面向业务的安全管理模型研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
和应用以及服务器 和终 端等相关 因素的监控和管理 ,为用户提供业 务视 图、资产分析视 图、业务风险评 估视 图和业 务影响性分
析等信息 ,实现对全局 安全态势的正确感知 ,对安全 风险的准确评 估与合理控制 ,以及 对安 全事件 的及 时响应 为此 ,面向业 务的安全 管理模 型应 具备对业务系统中各种安 全设备 的运行状况 的实时监察 和统一配 置,安 全策略 的统一管理 和智能 调整,安
同种类 安全 设备和系统 中分散 、海量 的设 备状 态 信息 、安
32安全事件关联分析技术 -
安全事 件关联 分析技术 就是采用 特定 的关联 策略 、关联
事件 信息进行采集 、规范化 、归并、过滤 和存储 。
算法或模 型将从业 务系统中采 集的相关安 全事件进 行深化 处
2安全管理信息流程
团囤 一震
安 全管理信息流程如 图 2所示,由监控 采集流程 、设备
管理流程 、预警 响应流程和风险评估流程 等子流程组 成。
图圈 亩
11分析评估模块 .
该 模 块 由事件 关联 分 析和 安全 风 险评 估 两个 子模 块 组 成 。事 件关 联分析 子模 块将来 自不 同应 用、设 备、系统等 的 不 同类 型 的安 全信息进 行实 时关 联,在 大量安 全事件 、甚至
整体安全 防护效能 .必须要解决安 全设备的统一管控 ,各种 安全 设备 的安全 策略和安 全事件 的融合汇总等问题 ,实现高效 的关
联 分 析 和 应 急 联 动 ,提 升 网 络 的 町控 性 、可 管 理 性 和 系统 的整 体安 全 水平 ,提 升 管 理 维 护 人 员 日常运 维 效 率 。
1面 向业务 的安全管理模 型
传统 的安 全管理是 以被管 安全设备为核心,缺乏业 务视角,不能满足用户对业务系统安全状 态全面掌控 的要求。刈 业务系 统I 真正 的安全 是确保其整个业 务流程的全程安 全,通 过对业 务系统软硬件环境 、人 为因素 、网络结构 、安全设 施 、服 务
全事件 实时监 控及联动 响应等 功能,按级 、分权限为安管人员提供安 全事件综合 分析和处置、安 全审计 综合 关联 分析、系统风 险分析和预警等手段 ,强调安全 运维和流程管理 ,为业 务系统的安全 、 稳定 、高效 运行提 供可靠保 障。
●
收稿时间 : 0 卜0 — 5 2 1 7 1 作 者 简 介 : 琳 (17 一) ,河 北 ,工 程 师 , 士研 究 生 ,主 要 研 究 方 向 :信 息 网络 安 全 ;刘 福 强 (17 一) 马 9 4 ,女 硕 9 6 ,男, 宁,工 程 师 ,硕 士研 究 生 辽 主要 研 究方向 :信息网络 安全 ;刘嵩 ( 9 4 ,男,辽宁,高级 工程师,硕士研 究生,主要 研 究方 向 :信息网络 安全 1 7 一)
21监控采集流程 .
该 流程 包 括状 态监 控、 日志 采集和 格式化 处 理等 步骤 ,
管理 的需要制定或修改相关安全设备的安全策略。
1 — 8I 9 l —
21第 9 0年 o l 期\第2次 国 算 安 学 交 会 翻 6全 计 机 全 术 流 《
一
方面实时监 控网络流量、漏洞分布 、病毒爆发分布、入侵事
Ar hie t e c t c ur
M A i , U u q a g L U o g L n LI F — i n , I S n
( i9 6 5 Be ig 1 0 3 , hn Unt 1 5 , in 0 0 6 C ia) j
A bsr t t ac :On t s n l zi ro e wor he ba e ofa a y ng a va i usofn t k busne ss se ’ g ntn e f e rt i s y tm S Ur e e ds ors cu iy ma a m e t, i a e r po e h sn s — ine e u iy M a g me tA rhi cur ,nd t n itod c s n ge n t sp p rp o s st e Bu i e s Ore td S c rt na e n c t t e a he n r u e h e
I 1 8 8
第2次 国 算 安 学 交 会 § /2 1第 9 6 全 计 机 全 术 流 墨 0年 0 1 期
面向业 务 的安 全管 理模 型如 图 1 示,该 模 型由采集转 所
13综合管理模块 .
该 模 块 由设备 管 理 、策 略管 理、监控 管理 、事件 管理 、
换模 块 、分析评 估模 块、配 置管理模 块 、综 合管 理模 块、系
知识库 由资产库 、漏洞库 、风 险库 、事件库 和规则库 等
设备 、服务器和终端的设备信息、状态信息 、安全 日 、系统 志
日志、安 全事 件、报 警信息等相关 信息采 集。格式化 处理 子
部分组 成 ,为安全事件 关联分析 、安全资产评 估 、安全策 略 配置管理以及安全事件处置 和应急响应等提供支撑。
■
等安全 属性进行 评价,为进行 安全风 险管理 和控制提供基 础
支撑。
I1 — 一 2 蛾l t.  ̄ —r
12配置 管理模块 .
该 模块 一方面提供 统一 的配 置管理 登录人 口,实现不 同 安 全设备 的登录管 理与身份认证 的集成 ,另一方面根据 安全
圈
图2 安全管理信息流程
联分析 子模块 分析得到的安全 事件进行 响应 ,进行 响应的流
程控制,在必要 时进行病毒 和攻击隔离等响应操 作。
14系统应 用模块 .
该 模 块 由图形展示 、报 表管 理 、系统配 置、用户管理 和
日志管理等子模块 组成 。图形展示子模 块将业务系统 的资产 、
网络 拓扑 、业务 流程以及安 全事件 等信息将 以图形化 的形式
s m eke e h olgiso c tcur ,u h a e u iy I i e tCor lto n l i e h lg n c i o y tc n o e ft Ar hi t e s c sS c rt ncd n re ainA aysstc noo y a d Se urt he e y
0引 言
随着信息技术 的不断发展 ,各种网络业 务系统 的部署 规模 越来越 大,结 构越来 越复杂 ,所面临的安 全威胁 也越来越 严重, 信息安全问题越来越 突f , J 为此很 多业务系统配备了相应 的安全 防护系统 , { 通过部 署防火墙 、 网络安 全隔离设备 、 网络 防病 毒系统 、
行 了探 讨 。
关键 词 :安全 管理 ;安全 事件 关联 分析 ;安 全 态势 感知 中图 分类 号 : P 9 . 文献标 识码 :A 文 章编 号 :17 — 12( 0 1 0 — 18 0 T 330 8 6 1 12 2 1 ) 9 0 8 — 3
Th s a c fBusne sore e c iy M a ge e t eRe e r h o i s - int d Se urt na m n
2 o期\第2次 计 机 全 术 流 颇 0年第 9 l 1 6 全国 算 安 学 交 会 翻》
面 向业务 的安全 管理模 型研究
马琳 ,刘福强 ,刘 嵩
( 15 9 6 5部 队 , 北 京 1 0 3 0 0 6) 摘 要 : 文章 结合 目前 各种 网络 业务 系统 对安 全 管理 的迫 切 需 求 ,设 计 了面 向业 务 的安 全 管理 模 型 , 分析 了模 型 中涉及 的安 全 事件 关联 分 析技 术和 安 全 态势 感知技 术等 关键技 术 ,并就 安全 管 理的 发展 趋 势进
入侵检测 系统 等安全 设备,较好 的消除了病 毒 、木马 、越权访 问等单一模 式的安全威 胁。但 由于缺 乏有 效 的统一管 理机制 ,安
全设备 “ 自为战”的现象 比较突出,安全 防护、安全检测 、安全 响应 没有形成高效 的闭环,各安 全子系统的响应手段单一 ,安 各
全部件 、网络设备 、用户终端和管理 员之 间缺乏协 同与联动 ,导 致安全管 理用户无法从海量 的安全 事件 中准确判断 网络 的感 染 源或攻击 源,更无法进行及时 的预警,对安全 事件 的响应 能力低下,难 以做到及时、准确 的整体联 动防御 。为了有效提 升系统的
统应用模 块和知识 库等模块构成 。
告警 管理 、风 险管理和应急管理等 子模 块组 成,实现对所 管 设备信息的维 护、设备策略的监控与配置 、设备运行状态的监 控 ,安全 事件 的监 察与 审计,以及 安全 告警 的处置 ,实时监 控 网络 内部风险较 高的漏洞 ,进行风 险管理 与控制 ,并对关
略进行 转换 翻译 ,映射成 不 同产 品的策 略语言。安 全事件 策 略描述 与翻译 的好坏将直接影 响设备 管理和关联分析的成 败, 是建立安全管理模 型必须要解决 的关键性问题。
件分布的状 态,以及网络和业务系统 的安 全状 态,另一方面通
过通用 协议或 定制接 口从 网络、安 全设备 、服务 器和终端 上 采集 安全 日志 、状 态 日志 、管 理 日志等信息,将不 同位 置、不
统用户、权 限管理 , 日 志管理模块实现对系统各类 日 的管理 志
功能。
采集 转换模 块 由信息采集 、事件采集 、格 式化处 理和管 理转换 等子模 块组 成。信息采集和事 件采集子模块 通过与各 类 网络 、安全 和应用 系统和设备 交互 联动,完成网络 中安 全
15知 识 库 .
模 块 为消除信息采 集子模块 所采集 的数据 的异 构性 ,针对各 类 异构安全产品上报的源信息 , 进行 预处 理, 实现数 据标准化 、 分 类 、合并和过 滤,以便 于进行 安全事件 的关 联分 析和安全 评 估等 ; 略转换子模 块的职能与格 式化 处理 子模 块 的职 能 策
相 反,用 于将标准 格式 的策 略转换 为具体设备 特定 格式 的配 置信息。
Si a ina t to l u Awa e s e h l y ,tls ic s st ete dsofs c rt n g m e . rne stc noog a a td suse h rn e u i ma a e nt y Ke ywor s e u i n ge e t s c rt n i n o r lto n l i; e u iy st ton l wa e s d :s c rt ma a m n ; e u iyI cde tc reai na ayss s c rt i y uai a a rne s
r . J i... .. . .. . .. 删
r —— — — — — 1
l赫 l 髓
是误 报安 全事件 中提取有用 的信息 ,发现 引发 安全事件 的真
正 原因和隐 藏的威胁 ,进而为安全 设备 的策略配 置、评 估和
调整 ,以及对安 全事件 的快 速响应奠定 基础。安全 风险评 估 子模块 对业 务系统 的软硬 件环境 、人为 因素及 业务系统 其所 生成 、传输 、处理 和存储 的信息 的保 密性 完 整性 和可用 性
为 向用户展 示,为用户 提供业 务系统 的整体安 全态势。报 表 管理 子模块为用户提供 丰富的报表 管理功能 ,在基础 数据 的
基础 上,根 据用户的需求灵 活定制各种综 合报表 。系统配置
子模块 实现安全管 理模 型的配 置管理,提 供多级安全 管理配
图 1面 向业务的安全管理模型
置模 式,完 成上下级级 联关 系配置。用户管理 子模 块 实现系