大数据态势感知系统白皮书_V2.0

目录

一、研发背景 (2)

二、需求要点 (3)

三、解决方案 (4)

四、系统技术体系 (8)

4.1系统总体架构 (8)

4.2系统主要功能 (9)

4.3业务模型 (11)

五、系统部署方式 (13)

5.1部门级部署 (13)

5.2企业应用部署 (13)

5.3集团应用部署 (14)

5.4部署要求 (15)

六、系统优势 (16)

一、研发背景

近年来，我国政府和企业信息化建设得到快速发展，越来越多的各类核心业务的开展高度依赖于信息技术应用，因此，信息安全问题的全局性影响作用日益增强。

目前，很多政府企业在信息安全保障体系建设方面已经达到了一定的水平，先后建立了非法外联监控管理系统、防病毒系统、补丁分发系统、防火墙、入侵检测系统、漏洞扫描系统等，为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段；但当前各种信息安全保障工作相对独立，各自为政，单点的工作开展的多，缺乏有效手段将这些安全工作有效串接，并形成一个综合防御体系。另外，信息安全监控、审计作为保障信息系统安全的制度逐渐成熟，并已在对信息系统依赖性高的行业开始普及。信息安全审计的相关标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准从不同角度提出信息安全控制体系，可以有效地控制信息安全风险。同时，公安部发布的《信息系统安全等级保护技术要求》中对安全监控、审计提出明确的技术要求：监控审计范围覆盖网络设备、操作系统、数据库、应用系统，监控审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。

伴随着大数据时代的到来，不同规模的企业和组织每天发生的事件从上亿到百亿之间，随着企业和组织规模的扩大，各类应用系统的日益增多，各类安全信息的规模变得非常庞大和种类繁多，这使以日志和事件为代表的安全信息的采集规模变得日益庞大，而构架在传统关系型数据库下的日志安全中心因在数据扩展方面的劣势，已经无法适应海量数据的存储和安全事件的处理的现实要求，使得安全中心的日志历史数据的分析能力变弱，导致安全事件的调查效率较低。同时，构建在传统关系型数据库下的日志安全中心对企业各类设备的产生的各类异构安全数据的存储和管理也变得困难。所以为了应付安全大数据带来的问题，还需要用大数据的技术来解决。只有将大数据分析技术充分融合

到现有的安管平台技术架构中形成新一代的安全态势感知平台，才能使传统的安管平台焕发新生。

二、需求要点

●整合企业目前部署的各种相对孤立的安全防护资源（主要包括：防火

墙、入侵检测系统、漏洞扫描系统、UTM等），实现对各种网络安全装

置信息的综合监控、管理及分析；

●在大数据时代，以数据为核心，用新技术提供的低成本、高可靠、可弹

性扩展的数据处理能力，满足组织和企业对异构海量日志数据的处理需

求;以关联分析(知所已知)和行为分析(知所未知)为基础，为安全管理

人员提供智能化分析方法，以应对日益复杂的隐蔽攻击和威胁，从数据

中发现价值;同时，以运维和管理为动力，提供流程辅助、合规管控、

安全分析和决策支持等能力;并且通过可视化技术和人机交互为安全管

理人员提供工作接口，展现数据价值。

●紧密围绕具体业务，采用主动的和真正具有安全智能的管理技术，并采

用融合大数据技术的软件架构，严格监控各种关键业务系统（主要包

括：生产类的生产调度系统，财务类的集团财务系统，研发类的PDM系

统以及管理类的办公自动化系统、HR系统、ERP系统等），防止对重要

数据非授权篡改行为的跟踪及审计等。

通过以上几点可以帮助企业建立一套横向贯穿孤立的安全防线的整体安全态势感知平台，通过获取防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、运行主机、交换机、路由器、数据库系统、中间件等日志事件、状态事件和网络数据包和各类设备的状态运行数据的采集、综合评价和网络安全事件关联分析，实现对来自外部攻击的安全审计和对来自内部攻击的安全审计，为网络管理维护人员提供一个监控整个网络的软件和硬件设备运行状况、分析挖掘异常入侵信息、审计业务系统关键数据、发出各种方式网络安全事件告警的手段，真正让企业和组织的管理者把握网络信息整体安全态势，实现有效地协同

防御。

三、解决方案

随着网络规模的迅速扩大，单一式的安全技术逐步被分布式安全技术所代替，加上各类应用系统逐步增多，网络管理人员、运维人员工作量往往会成倍增加，海量的数据和日志信息使得关键信息得不到重点关注。大量事实表明，对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员，及时进行分析并采取相应措施进行有效阻止，从而大大降低安全事件的发生率。

对于一个典型的用户而言，经过较为系统的安全建设后，都会部署较多的安全产品。这些安全产品每天产生的事件量是巨大的，如下表所示：

显然，收集和分析上述海量的安全事件是一个巨大的挑战，而能否做到这点将直接决定一个安全态势感知系统的成败。同时，安全态势感知系统决不能简单地将这些海量的信息直接展示给客户，否则，用户面对这些海量的网络安全事件将束手无策，管理运维效率将不升反降。此外，大量的安全事件汇聚到一起，根据其安全属性的相关性，可能隐含了新的更严重的安全事件，这种相关性是管理人员难以用肉眼观察出来的。网络安全监控系统的目标就是要收集这些海量事件，并通过有效的分析手段输出很少量的、真正值得管理员关注的安全事件。

态势感知平台数据处理流程

针对以上存在的问题，我们推出了云码安全态势感知平台，该平台系统以海量日志为核心，采用模块化的工作组件设计和大数据分布式系统架构。安全态势感知平台采用机器学习、数据建模、行为识别、关联分析等方法，通过全量收集网络设备、网关、终端、虚拟化和认证系统上的日志，对海量日志进行集中分析和挖掘，从而发现潜在的安全风险。实现安全信息的长期全量存储、全文检索分析、异常行为检测和安全合规要求。

鉴于网络安全管理过程中存在的诸多问题和充分利用现有网络安全设备功能，统一的系统应在充分发挥现有网络安全设备功能的基础上，组成一个“联合防御”体系，实现对来自外部攻击的安全审计、对来自内部攻击的安全审计和对信息访问的内容审计。为网络管理维护人员提供一个监控整个网络的软件和硬件设备运行状况、分析挖掘异常入侵信息、审计业务系统访问手段、各种方式预警的网络管理工作平台。

安全态势感知系统就是以业务系统为安全防护中心，通过适时采集网络中发生的瞬间即逝的海量网络信息安全事件，并将大量的安全事件过滤、压缩、归并，提取出少量的、或者是概括性的重要安全事件（相当于“关联分析中的事件量变”），然后从大量的安全事件之中发掘隐藏的相关性，产生新的不在之前事件之中的安全事件（相当于“关联分析中的事件质变”），实现经过高效和精确的事件关联，降低网络维护成本，改进网络和主机系统的可用性和网络服务的性能。