大数据态势感知系统白皮书_V2.0

目录

一、安全现状及挑战 (2)

1.1安全现状 (2)

1.2面临挑战 (2)

二、安全态势感知系统 (3)

2.1方案概述 (3)

2.2方案内容 (4)

2.2.1典型网络状况 (4)

2.2.2态势感知工作流程 (5)

2.2.3态势感知功能组成 (5)

3、系统技术体系 (8)

3.1系统总体架构 (8)

3.2系统主要功能 (9)

4、系统部署方式 (10)

4.1部门级部署 (10)

4.2企业应用部署 (10)

4.3集团应用部署 (11)

4.4部署要求 (12)

五、系统优势 (12)

一、安全现状及挑战

1.1安全现状

近年来，我国政府和企业信息化建设得到快速发展，越来越多的各类核心业务的开展高度依赖于信息技术应用，信息安全问题的全局性影响作用日益增强。为了保障国内各企事业单位的信息系统安全，国家出台了网路安全法，各行业和相关主管部门也出台了各类信息安全监控、审计作为保障信息系统安全的制度，相关的制度标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准制度从不同角度提出信息安全控制体系，可以有效地控制信息安全风险。同时公安部发布的《信息系统安全等级保护技术要求》中也对安全监控、审计提出明确的技术要求。

目前，很多政府企业在信息安全保障体系建设方面已经达到了一定的水平，先后建立了非法外联监控管理系统、防病毒系统、补丁分发系统、防火墙、入侵检测系统、漏洞扫描系统等，为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段。

1.2面临挑战

目前政府企事业单位通过各类安全产品建立起信息安全保障体系，但当前各种信息安全保障工作相对独立，各自为政，单点的工作开展的多，缺乏有效手段将这些安全工作有效串接，并未形成一个综合防御体系。这些安全设备往往产生大量违反安全策略和安全规则的告警事件，其中不乏大量的重复报警和误报警，且各类安全事件之间分散独立，缺乏联系，无法给安全管理员提供在攻击时序上和地域上真正有意义的指导，加重了安全运维人员的工作负担，所以通过购买更多的单点的安全设备已经无法保证企业的信息安全综合保障能力的提升。

二、安全态势感知系统

2.1方案概述

安全态势感知系统是帮助企事业单位建立一套横向贯穿孤立的安全防线的整体安全态势感知平台，通过获取防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、运行主机、交换机、路由器、数据库系统、中间件等日志事件、设备状态事件、网络流量、数据包和各类设备的状态运行数据，实现对来自内部外部各类威胁的发现、分析和响应。通过分析挖掘异常入侵信息、审计业务系统关键数据，真正让企业和组织的管理者能够把握网络信息整体安全态势，实现有效地协同防御。

方案涵盖以下几个方面：

整合企业目前部署的各种相对孤立的安全防护资源（主要包括：防火墙、入侵检测系统、漏洞扫描系统、UTM等），实现对各种网络安全装置信息的综合采集、存储、监测、管理、分析和场景建模；

在大数据时代，以数据为核心，用新技术提供的低成本、高可靠、可弹性扩展的数据处理能力，满足组织和企业对异构海量日志数据的处理需求;以关联分析(知所已知)和行为分析(知所未知)为基础，为安全管理人员提供智能化分析方法，以应对日益复杂的隐蔽攻击和威胁；

紧密围绕对各类系统和安全设备日志、网络流量、网络数据包内容的实时监测，建立基于各类安全场景相关的态势感知模型，如重点设备的流量特征模型、异常用户行为模型、异常日志模型等，通过各类态势感知模型提升网络系统的整体合规安全。

安全态势感知平台充分利用大数据分析及预测技术，大幅度提高安全事件监测预警和快速响应能力。平台将海量数据采集、大数据分析、统计学习、和机器学习等技术充分融合，形成新一代的安全态势感知平台，解决目前信息系统安全被动防御的状况。

2.2方案内容

2.2.1典型网络状况

对于一个典型的用户而言，经过较为系统的安全建设后，都会部署较多的安全产品。这些安全产品每天产生的事件量是巨大的，如下表所示：

安全目标安全产品每天产生的日志量

网络安全

防火墙600万条网络设备（交换机、路由器）>10000条网络入侵检测>200万条

防病毒/桌面管理防病毒服务器、防病毒网关10万条内网安全桌面终端管理系统>3000条

保护关键业务系统

主机审计系统、数据库服务器

审计系统、应用程序审计系

统。

15万条总日志量/每天820余万条

面对上面用户典型的网络状况，收集和分析上述海量的安全事件是一个巨大的挑战，而能否做到这点将直接决定一个安全态势感知系统的成败。同时，安全态势感知系统决不能简单地将这些海量的信息直接展示给客户，否则，用户面对这些海量的网络安全事件将束手无策，管理运维效率将不升反降。态势感知系统的目标就是要收集这些海量事件，并通过有效的分析手段输出很少量的、真正值得管理员关注的安全事件。

2.2.2态势感知工作流程

态势感知平台首先是对海量的网络各类数据的采集、规格化和存储；根据日常安全运营工作的业务需要，分析、总结和抽象基于安全运营业务需求的各类安全场景和高阶威胁，形成具体的安全感知对象。通过体系化的分析方法，建立相应的分析模型。基于大数据技术，分析原始日志和网络流量数据，形成基于场景的态势。最后，场景态势感知实现自动化，从而提高感知效率。

2.2.3态势感知功能组成

安全态势感知平台是对设备系统日志、网络流量和网络数据包的数据分析为核心，提供有效的安全分析模型和管理工具来融合这些数据，通过实时分析、离线分析、关联分析、统计分析、规则库、专家经验库以及外部安全情报的交换、机器学习等多方位进行风险分析，可准确、高效地感知整个网络的安全状态以及发展趋势。从而对网络的资源作出合理的安全加固，对外部的攻击与危害行为可以及时的发现并进行应急响应，从而有效的实现防外及安内，保障信息系统安全。

安全态势感知平台体系可分为如下四个功能部分：

•态势察觉

态势察觉是通过各种类型的网络数据了解当前的网络状态，包括状态识别与确认（攻击发现），以及对态势认知所需信息来源和素材的质量评价。任何单一的情况和状态都不能叫做态势，态势察觉阶段完成多层次多维度的态势要数采集。