安全事件采集分析系统介绍

安全事件采集分析系统介绍一、信息安全防御现状

随着政府、企事业单位等各类组织的正常工作开展对信息化的依赖程度越来越高，信息系统运行的稳定性、安全性的重要性也随之增高。对于重要的IT设施产生的各类安全事件层出不穷，攻击手段不断翻新，重要信息系统安全面临着多重危险。以往安全系统的设计是采用被动防护模式，针对系统出现的各种情况采取相应的防护措施，当新的应用系统被采纳以后，或者发现了新的系统漏洞，是系统在实际运行中遭受攻击，系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大，而且往往是系统破坏造成以后才进行处理，防护效果不理想，也很难对网络的整体防护做出规划和评估。

信息系统运营使用单位需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成数据丢失、系统崩溃等问题，而这些不是单一的防病毒软件外加一台安全设备就能解决的，也不是单某一方面做安全防御可以预防的，而是需要一个可以全方位防御，可以全面详细的收集系统产生的安全信息，并且可以综合多方面安全信息进行多角度分析的平台。

二、安全事件采集分析系统介绍

2.1 安全事件采集分析系统功能

安全事件采集分析系统包括信息采集、信息汇总、关联分析、安全预警、综合展示分析等模块，主要包括安全事件溯源分析系统和网络流量分析系统两个子系统。在目标网络部署安全事件采集分析系统后，可以实现对目标网络的全方位信息收集，全方位的安全分析，关

联多个角度的安全信息。加以分析，发现一些隐藏在深处的安全隐患，给出一个网络的目前的安全状况，查找系统还存在哪些网络安全风险，并给出相应的解决方案，从而有效的避免了防御孤岛带来的防御片面性，最终以图表的方式展现给管理员和信息安全服务人员。对下一步加强网络安全建设提供依据。

2.1 安全事件溯源分析子系统功能介绍

安全事件溯源分析系统对网络中各类系统、应用和设备的安全事件、系统日志、系统状态的实时采集、实时报警、集中存储和事后分析，可以对各类网络设备、安全设备、操作系统、应用系统的系统日志进行全面的安全审计。

系统是功能强大的智能化日志管理设备,通过系统一方面可以随时了解整个IT系统的日志吞吐情况，在实时的日志分析中及时发现系统异常和安全事件；另一方面，从日志类型、特征、数量、内容中分析IT系统全面的运行状况，及时发现安全漏洞和非法访问行为，判断性能瓶颈和预测性能波动，同时为系统今后的战略规划提供依据。遇到特殊安全事件和系统故障，确保日志完整性和可用性，协助快速定位相关故障，并以此为依据进行追查和恢复。

2.2 网络流量分析子系统功能介绍

网络流量分析子系统主要对捕获到的底层数据包进行解码、分析、诊断。网络流量分析子系统具有八大功能，包括安全分析、故障诊断、网络预警、决策依据、责任界定、业务梳理、应用监控、数字取证。

●通过数据包级的网络行为分析，进行深度网络通讯检测，快速

发现网络攻击、蠕虫、木马等危害网络安全的异常行为。

●快速检索、智能分析故障发生时的通讯数据，能够准确定位故

障点并深入分析故障根源。

●通过实时智能的网络通讯分析，及时发现各类异常并报警，

避免潜在的网络问题演变为紧急时间造成不必要的损失。

●提供网络行为规律及运行趋势分析数据、针对性能优化、新业

务部署、带宽规划、安全策略等决策提供科学的依据。

●准确分析导致业务应用异常的根本原因，为界定责任部门和责

任人提供依据，提高各运维部门间的协同效率。

●对网络通讯按业务类型进行归类和分析，帮助网络管理人员有

效地掌握业务通讯状态，提供管理策略依据。

●对应用通讯流量、网络传输质量、应用性能进行实时监控分析、

及时发现运行异常、为关键业务提供更好的网络服务质量保

障。

●快速准确的追踪定位到问题发生点，找到网络犯罪的证据，完

成安全时间的鉴定与取证工作，并帮助建立实施更佳的安全策

略。

三、安全事件采集分析系统部署方式

该系统以多点接入汇总的方式部署在目标网络中，无需改变目标网络的结构的情况下，实现多方位的信息收集和分析，具有部署简单，收集信息全面，分析结果全面的特点。

部署示意图如下图所示（示例图）：

四、服务流程

（1）安全事件监测方案的制定

首先，需要制定信息安全事件监测、跟踪、管理方案。包括了解信息系统基本构成，了解信息系统可能面临的安全威胁，制定用于发现、报告、评估和响应信息安全事件的表单、规程和支持工具，以及事件严重性衡量尺度的细节。（2）安全事件的监测、跟踪、报警

其次，部署监测设备，对信息系统进行持续跟踪。

安全事件采集分析是指对系统中的设备、流量、运行情况等进行全面的监测、分析、评估，记录下已经发生的事情，接收日志信息，通过这些记录来检查、发现系统或用户行为中的攻击或异常行为。它将网络安全从被动的防范入侵上升到全面的监控与主动防范。安全监控包括对主机的安全监控和对网络的安全监控。

（3）信息安全事件的审计分析

再次，检测并报告信息安全事态，评估并决定是否将事态归类为信息安全事件，定期为客户提交信息系统安全审计报告，审计报告中将包括建设整改建议，确定安全的改进之处。

五、部署安全事件采集分析系统带来的收益

一个结构严谨、计划周全的信息安全事件管理方案带来的益处，可分为以下

几类：

a) 提高安全保障水平；

b) 降低对业务的负面影响，例如由信息安全事件所导致的破坏和经济损失；

c) 强化着重预防信息安全事件；

d) 强化调查的优先顺序和证据；

e) 有利于预算和资源合理利用；

f) 改进风险分析和管理评审结果的更新；

g) 增强信息安全意识和提供培训计划材料；

h) 为信息安全策略及相关文件的评审提供信息。

（1）提高安全保障水平

一个结构化的发现、报告、评估和管理信息安全事态和事件的过程，能使组织迅速确定任何信息安全事态或事件并对其做出响应，从而通过帮助快速确定并实施前后一致的解决方案和提供预防将来类似的信息安全事件再次发生的方式，来提高整体的安全保障水平。

（2）降低对业务的负面影响

结构化的信息安全事件管理方法有助于降低对业务潜在的负面影响的级别。这些影响包括当前的经济损失，及长期的声誉和信誉损失。

（3）强调以事件预防为主

采用结构化的信息安全事件管理有助于在组织内创造一个以事件预防为重点的氛围。对与事件相关的数据进行分析，能够确定事件的模式和趋势，从而便于更准确地对事件重点预防，并确定预防事件发生的适当措施。

（4）强化调查的优先顺序和证据

一个结构化的信息安全事件管理方法为信息安全事件调查时优先级的确定提供了可靠的基础。

（5）预算和资源

定义明确且结构化的信息安全事件管理，有助于正确判断和简化所涉及组织部门内的预算和资源分配。

（6）信息安全风险分析和管理

结构化的信息安全事件管理方法有助于：

可为识别和确定各种威胁类型及相关脆弱性的特征，收集质量更好的数据；