《中国移动业务支撑网安全研究.ppt》由会员分享,可在线阅读,更多相关《中国移动业务支撑网安全研究.ppt(54页珍藏版)》请在三一办公上搜索。
1、中国移动集团重点/联合研发项目结题汇报报告,项目名称:业务支撑网安全研究项目编号:,一.开题计划完成情况,目 录,二、主要研究成果,1.1 研究背景及目标,业务支撑系统的安全保障涉及网络、硬件、系统软件、应用部署、运维管理等各个方面,任何一个方面的安全问题都将影响到整个系统的安全水平。本课题旨在总部业务支撑系统部的指导下,江苏、北京、吉林、湖北、重庆五省通力合作,综合梳理各省在业务支撑域安全管理工作中共性的能力短板和提升需求,并发挥各自专长,对相关技术及管控策略开展专题性、前瞻性研究,为总部提供业务支撑领域安全管理的实践经验和技术支撑。,1.2 主要研究内容及分工,1、研究省级业支安全管理策略
2、和制度体系全面分析评估省公司在10个安全域方面的符合程度,形成省级业务支撑网安全检查框架,探索涵盖省、市及合作厂家的安全管理架构和问题闭环管理机制。(江苏公司万莉莉负责)2、研究敏感信息保护技术及策略基于4A平台,建立业务支撑系统敏感数据的识别标准,并研究敏感数据集中化访问控制、外发审批管理、审计、告警相关实现技术。(湖北公司李林、张欣负责)研究账号及关键数据使用行为模型,对业务支撑系统各类账号登陆、关键敏感数据使用的行为特征进行关联分析,建立帐号敏感数据规则模型,为异常登陆及使用行为监控奠定理论基础。(重庆公司黄国强负责),1.2 主要研究内容及分工,3、研究业支面向互联网的应用安全防护体系
3、(北京公司徐猛负责)分析来自不同出口的安全威胁,建立统一接入层,加强中间层的安全防护,再通过统一的安全管理层实现集中监控管理、策略和维护层面与安全管理层有机结合,达到安全防护和安全管理的双重目标。,为web业务提供可用性和安全性保障,实现业务独立安全防护,为web业务提供可用性和安全性保障,规范内部人员行为,提升内网安全性,1.2 主要研究内容及分工,4、研究业支系统安全访问管理方法和控制技术(吉林公司徐党生负责)建立面向业务支撑系统的安全访问、面向业务需求的全面安全访问管理方法。解决两大问题:动态展现系统访问是否符合安全制度、安全系统的配置是否完备,及时发现非法、违规、异常访问操作;目前安全
4、系统都是基于通用的攻击或病毒特征,也就是知道什么访问是错误并去匹配,而不能基于正常业务访问规则去校验。,构建安全访问模型,建立安全配置库,按照安全管理制度、业务访问流程和维护管理流程进行梳理、抽取和提炼业务访问规则库。访问规则依据主要为安全域管理办法、日志审计管理办法、数据安全管理办法、IP地址规划、终端管理要求等;,通过实时采集网络设备、安全系统来生成安全配置库。主要针对目前业务支撑系统的安全设备,包括基础网络设施、防火墙、入侵检测系统、病毒防护系统、终端管理系统等,基于流量采集动态的获取各层系统的交互访问行为,收集整个业务端到端流量。基于访问规则库、安全配置库、业务访问流量为基础构建安全访
5、问模型,形成分层分级正常业务访问视图、异常业务访问分析、访问规则配置变更指导、配置和规则核查比对、安全报表和操作展现。,通过各种自动、人工的接口动态的收集、完善业务规则库、安全配置库、访问流量信息,基于业务安全访问模型来实现功能整合,并在后继实施和维护中不断更新访问模型,达到面向业务需求的真正可用访问管理。,梳理业务访问规则库,基于安全访问模型的访问管理,1.2 主要研究内容及分工,5、研究业务支撑网安全态势感知技术(江苏公司方鹏负责)依托14项子课题的研究平台和成果共享,超越传统的网络与信息安全研究视角,实现端到端并可持续性的综合评估业务支撑系统的基础设施、核心应用、运营管理等各层面的安全运
6、行态势。本子课题以对业务连续性和客户感知影响度为主要评价依据,对业务支撑网的主设备、操作系统、应用软件及业务管理的内部威胁、故障、脆弱性进行全面采样、量化、关联评测,对其中能够引起支撑网安全态势发生变化的安全要素进行实时获取、理解、显示并预测其演化趋势,并向管理层提供比较准确的整体安全态势形象展现和趋势预测。,业务支撑网安全态势感知,研究安全评估指标体系,分析典型业务安全问题,建立风险评估方法框架,建立分层安全指标体系,建立数据采集基本模型与标准化流程,基于数据融合算法定量描述态势现状,研究数据分析与风险评测方法,研究态势评估方法,安全态势趋势预测,安全态势可视化,研究态势呈现方法,安全态势的
7、IT系统实现,各子课题间的协作关系暨研究总体框架,1.3 开题计划完成情况总结,110%,100%,100%,100%,85%,在按时完成原计划纯理论研究的基础上,已提前立项并落实系统开发,进一步论证、提升成果的说服力,已实现敏感信息分级管理策略、数据生命周期和加密管理,并建成统一管理中心,因立项原因,平台需延至2011年3月前建成,整体项目进展顺利,项目完成实施,涉及到研究课题的关键产品和相关技术都已在项目中印证,按时完成理论研究,1.3 开题计划完成情况总结,研究过程中遇到并克服的主要难点:1、安全管理策略研究:如何确保安全检查框架的全面性和可操作性,以及安全细则、流程可以实施并起到应有的
8、效果2、业务支撑网安全态势感知技术研究目前没有成熟统一的安全态势评估算法或软件产品,需要自主创新研究对业务支撑网进行安全态势评估必须充分考虑到不同层面实体之间的依赖关系所涉及的场景非常广泛;且分析业务流程及其中的安全风险比较困难3、敏感信息保护技术与账号行为模型研究:实施问题:其他应用系统敏感信息访问下载的配合接口改造难度大准确性问题:由于日志完整性存在问题,部分日志未采集到帐号等关键信息,影响分析结果;对登陆次数较少的帐号,分析准确性较低4、系统安全访问管理方法和控制技术研究区别于传统基于通用特征库进行安全访问分析和管理的模式,通过流量数据、业务访问规则的输入进行安全分析和管理,市面上无类似
9、产品可参考。区别于面对单个领域的安全管控方法,通过正常业务访问规则与现有控制手段融合、实现面向业务需求的访问规则变更和动态视图,研究范围广、技术要求,一.开题计划完成情况,目 录,二、主要研究成果,业务支撑网安全研究课题研究成果集,研究成果间的关联关系,研究成果汇报,一种信息系统安全态势的综合量化评估方法:研究思路,以对业务连续性和客户感知影响度为主要评价依据,对主机设备、应用软件、业务服务、数据管理的脆弱性和各类安全事件进行归一化量化评估,通过数据融合算法生成整个业务支撑网的定量描述的安全评估报告,在主机、网络、应用系统中等不同空间分配多个信息捕获和处理源,收集安全评估所需的各种信息,是支撑
10、检测与感知系统的基础平台,对检测与感知的结果进行呈现和响应控制,以可视化的方式为决策层和系统管理员提供形象直观、清晰明确的信息数据,对于复杂的安全威胁态势评估工作,我们使用层次化的架构设计思路,将其分级细化成四个安全层面,并在各个安全层面上建立对应此层面安全态势检测的工作场景。,安全态势感知的技术实现框架,以层次化技术框架为基础,导出各层的功能需求、输入输出以及关键技术,其中,融合模型及态势评估算法是整个课题的技术核心,它指导着系统的实现。,数据采集方法,流量数据采集模块采用基于专用数据流引擎方式提供的数据源,管理人员可以在各关键网络交换位置上安装合适的专用数据流引擎,对网络流量进行不简断的检
11、测和过滤,实时提供网络中的流量状态,动态、全面地了解网络流量的分布,供后台分析模块进行处理。,网络设备类:路由表、ARP表,采集的内容包括:IP地址、网络、掩码、网关、接口、IP/mac绑定关系。主机类:主机类支持AIX、AIX、Solaris、Windows、Redhat Linux AS的信息采集,包括服务器的CPU负载、内存利用率、应用进程、文件系统、文件体积等信息的分析与监视。数据库类:数据库类支持ORACLE 数据仓库和ORACLE数据库、MSSQL2000的信息采集,提供基本的数据库性能监控能力。对于其它设备的状态数据采集方式采用SNMP方式,通过MIB库配置模板指定采集的数据和轮
12、询时间并上报。,通过部署在事件采集服务器上的事件集中采集系统,集中收集安全事件到安全基础维护平台中进行处理,即:根据可预先定义的配置进行聚并、过滤处理、并把各种类型的安全数据格式化成统一的格式,实现安全事件的集中收集和处理。事件数据采集覆盖防火墙、IDS、防病毒、安全审计等安全产品,也包括网络设备、主机、数据库、中间件等通用软硬件设备。,配置数据指系统在运行时的基本配置信息,主要包括:网络设备的基本配置信息;操作系统、数据库系统的配置和关键参数;防火墙的基本配置信息;AccessControl的ACL规则采集;防病毒的客户端信息、终端资料。,此处研究成果来源于系统安全访问控制子课题,其为安全态
13、势感知子课题的状态和配置信息采集提供了充分的验证依据和实施经验。,数据融合及态势评估算法总体思路,本算法基于IT支撑系统的常用层次关系,提出一个层次化系统安全威胁态势量化评估算法.从上到下分为系统、主机、应用软件、业务运营4个层次,首先分析业务运营层面的安全事件及业务连续性,然后分析各主机上各应用软件进程服务的运行态势和主机自身的安全威胁情况,在此基础上综合评估主机的安全状况,最后根据系统部署架构评估整个系统乃至整个业务支撑网的安全态势.,本算法属江苏公司自主原创,具备技术保护点和较好的保护价值,已申报技术专利一种信息系统安全态势的综合量化评估方法(申请中),以业务运营层安全态势定量评估为例,
14、进一步说明主要算法,研究成果汇报,安全态势感知IT建设方案,安全态势感知IT功能框架,安全态势展现界面,KPI指标呈现,用户管理,权限管理,规则配置,基础数据管理,基础支撑功能,定损管理,风险计算,权重定义,态势定量评估,风险评估与态势感知层,数据集市,数据仓库,元数据库,数据汇总存储层,统一信息采集平台-BOMC,4A,BOSS等应用,堡垒机,SOC,漏洞扫描,配置基线管理,KPI执行分析,集团考核指标分析,安全度量分析,业务合规性分析,软件维护分析,身份与访问类分析,威胁与病毒分析,漏洞与补丁分析,控制与响应分析,业务连续性分析,审计作业分析,配置与变更分析,敏感数据访问分析,BOSS审计
15、,接口管理,业务支撑网安全态势感知展现场景,安全态势感知模型中的基础指标体系,以安全度量(security metrics)为理论基础,结合业务支撑网特点和本课题需求,制订出可量化分析与评估BSS安全效能的指标体系,共计5级、311个基础KPI。,安全态势感知中开发的风险评估维度框架,研究成果汇报,安全访问规则模型,通过采集系统规划、部署信息(IP分配、VLAN划分、网络三层结构)以及现有管理制度(数据安全、终端接入、病毒管理、安全域等),生成业务管理规则库。对业务访问模型的规则维护和更新,实现业务流量数据的呈现和分析,分层分级展示正常、异常的访问视图,从而有效的进行异常流量分析。,研究成果汇
16、报,基于规则模型的安全访问管理实现思路,通过对路由器、防火墙、主机等设备安全配置和安全流量进行采集和动态分析,得出当前各系统的安全访问现状以及与业务安全要求的符合性,然后基于配置流量流程进行动态化、综合性分析各层系统的交互访问行为,对业务访问视图进行分层分级展现。,基于访问规则模型和安全配置库的系统实现方案,以访问规则模型、安全配置库为理论基础,系统化实现分层分级正常业务访问视图、异常业务访问分析、访问规则配置变更指导、配置和规则核查比对、安全报表和操作展现,并覆盖业务支撑系统内的主要业务访问安全规则,实现异常流量的告警通知,且能对业务扩容升级后的配置、规则变化及时更新、维护。,系统建设效果:
17、安全访问管理系统和方法能够清晰展现和发现正常、异常业务访问,实现业务访问权限最小化。有效将日常安全作业计划落地,并对安全运维提供基础有效的数据,对整体业务支撑系统的安全规则贯彻、日程运维和故障分析、定位、处理起到良好的作用。,试点系统部署架构说明,工程规模:本次工程7台PC服务器:其中1台监控维护终端+BASS接入,1台监控BOSS地市接入和BOMC接入,1台监控数据中心接入和公网接入,1台监控BOSS侧网管中心和OA接入,1台监控OA地市接入和公网接入,1台监控容灾中心和生产直联,1台监控客服中心和客服终端;同时还部署1台PC服务器,运行业务数据流管理系统核心模块。,研究成果汇报,基于4A的
18、敏感信息标准化管理体系,建立一套敏感信息安全策略的标准化管理体系,并基于4A流程引擎,将账户、认证和审计和4A体系进行集成,建立敏感信息的访问权限审批。,文档成果敏感信息识别和定义敏感信息传输和载体定义基于4A平台的敏感信息访问控制体系敏感信息审计、管理制度和应急体系,身份认证结合4A平台阻止对重要资源的非法访问利用4A平台实现身份识别,给其他安全技术提供权限管理的依据敏感信息定义根据相关策略确定哪些文档或网络中传输的哪些数据为敏感信息。根据敏感信息定义策略集中化存储敏感信息。敏感信息泄露行为定义文档非授权访问、敏感信息传输使用违规通道等敏感信息泄露补救与防护策略定义敏感信息的泄露行为确定敏感
19、信息泄漏时的应对措施全维日志追踪,敏感信息管理流程,主流敏感信息检测技术的综合评估,基于规则/正则表达式,文档局部匹配,统计分析,技术特点,使用场景,优势,使用特定规则对内容进行分析,如手机号码数字的校验和、账单编号或者其他文字的匹配。,作为第一遍过滤,或者用于检测诸如手机号、姓名等易于识别的结构化数据块,处理速度快且易于配置,通过完全或局部匹配来保护数据内容。获取数据内容的部分哈希值,然后跳到某个预先设定的字符,继续计算哈希值,直到文档被作为一系列重叠哈希值导入。,保护已知的非结构化的敏感文档,保护非结构化的能力,低误报率。不依赖于大文档的完全匹配。,利用机器自我学习、贝叶斯分析和其他统计技
20、术来分析内容库,然后找出类似保护内容的违规策略,类似于垃圾邮件防护技术,针对诸如局部文档匹配等确定性技术失效的非结构内容。如,工程计划文档因为变化太快和量太大而无法导入局部文档匹配,适用无法单个分拆进行匹配的模糊数据内容,劣势,误报率高,对于敏感的非结构化内容难以起到保护作用,保护的数据内容容量有限。必须完全知道哪些文档是需要保护,误报率和漏报率高,需要大量的源数据内容,概念/词典,融合词典、规则和其他分析技术来保护模糊数据内容。如对“内幕交易”的流量进行告警的策略,该策略使用关键字短语、字数位置发现违规行为。,基于已经文档、数据库或其他已注册资源对简单分类的非结构化数据进行阻断,不是所有的策
21、略或内容都可以使用具体例子来进行描述,用户无法对规则库进行自定义。因为是松散规则所以会有较高的误报率和漏报率。,研究成果汇报,结果比对,帐号访问规则算法设计,数据分析,数据整理,基础信息收集,帐号访问规则算法设计,结果比对,数据分析,数据整理,基础信息收集,帐号访问规则算法设计,结果比对,数据分析,数据整理,基础信息收集,根据帐号登陆矩阵分布,计算敏感数据N(m)在Time(t)t1,2,3T,T=12时间被客户端Client(c)c1,2,3C,使用帐号L3(k)的访问几率,形成各账号的集合N(m),并设,则N(mtcl)为敏感表N(m)在Time(t)时间被客户端Client(c),使用帐
22、号L3(k)的访问几率的概率,即为该敏感表的访问行为特征,敏感数据访问规则算法设计,敏感数据访问规则设计,与帐号设计类似,主要基于以下三类访问分布概率进行分析敏感数据帐号分布,敏感数据终端分布,敏感数据操作时间分布,研究成果汇报,面向互联网的WEB安全防护技术调研总结,北京公司依托USG四期项目,全面建设WEB应用安全监控与防护体系,WEB应用安全防护的应用实践包括如下主要内容:在出口网关处部署应用防火墙,保护互联网业务;部署网页防篡改系统,加强web安全防护,减少黑客恶意攻击给企业带来的影响;将USG防火墙改造为虚拟防火墙,增加安全防护能力;部署上网行为管理系统,实现对网站、不良信息的过滤和
23、监控,提升工作效率,实现带宽管理,避免因互联网访问对业务造成影响课题及项目主要效果:完成了WEB应用安全监控与防护体系理论研究和建模项目前期的集中测试选型,为本项目选择了业内最先进、最成熟的技术和产品,做了必要的技术储备完成防护体系理论的初步实践,切实考虑到了应用层面的安全防护,大大提高了业务应用的安全性,虚拟化安全防护技术应用研究,虚拟防火墙是将防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源、管理员、安全策略、用户认证数据库等。,技术发展趋势:虚拟防火墙-虚拟化防火墙,支持现有的虚拟化系统的防火墙。监控虚拟系统里的应用系统的
24、虚拟防火墙是一个新生事物,其产品在国内还没有出现。,改造难点:实现独立安全防护,需要对业务的访问策略和影响程度进行调研,梳理独立业务的访问需求,转发为防火墙访问策略;USG大部分业务实时性、连续性要求较高,且业务系统数量较多,改造周期长;DMZ区域部分系统IP地址需变更,需由业务人员提供详细的系统IP地址改造方案后,共同实施;,方案优势:整个改造过程不涉及服务器线路的调整,只涉及防火墙配置的变更,为减少了改造的复杂度,降低了系统割接的风险;实现业务系统独立安全防护,提升了业务安全防护能力,使访问策略清晰,便于管理;可实现业务单独割接,每次仅影响一个业务,以及该业务相关系统,影响范围可控;,WE
25、B应用安全防护技术应用研究,传统防火墙允许80端口的正常流量通过防火墙,但是SQL注入、跨站脚本、蠕虫等病毒和攻击,可以通过80端口正常流量进入内部网络,实现对web应用的攻击。传统防火墙的不足之处:无法检测加密的Web流量;普通应用程序加密后,也能轻易躲过防火墙的检测;对于Web应用程序,防范能力不足;应用防护特性,只适用于简单情况;无法扩展带深度检测功能;,Web应用防火墙主要功能:SQL注入攻击防御跨站脚本攻击防御自动建立网站合法访问行为模型对XML和SOAP的支持对HTTP的协议合法性进行验证参数注入和篡改的防护非法扫描软件的防御Web蠕虫的防御针对利用编码进行攻击规避技术的防御网页盗
26、链攻击防御网站DDoS攻击防御,技术发展趋势:Web应用防火墙的发展目前有两个方向,其一向高性能专业设备的方面发展,其二是朝Web应用综合网关的方面发展。,网页防篡改系统与上网行为管理技术应用研究,网页防篡改系统目标:通过实时监控、实时报警和自动恢复等功能为用户Web站点提供实时安全保护,并通过日志实现对网站文件更新过程的全程监控,防止黑客、网络病毒等对网站的网页等文件进行任何形式的破坏或非法修改,从而为网站提供可靠的安全保障。技术应用情况:USG项目已部署网页防篡改系统,对USG的网上营业厅、招聘系统、SIMS系统的web页面实现监控和安全防护。,上网行为管理主要功能:上网行为管理将帮助互联
27、网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。技术应用情况:USG项目已在望京部署上网行为管理系统,对办公人员的上网行为进行管理。,技术发展趋势:网页防篡改系统只能是根据客户需求不断演变,技术进展缓慢。上网行为管理将支持IPV6、移动互联网,识别率更高,与其他管理系统的结合更紧密,管理更智能、性能更强,研究成果汇报,安全管理研究的主要成果,在全面调研省公司在业务支撑网安全方面现状的基础上,参照NISS总纲要求,从10个安全域方面进行了安全控制点和控制措施的梳理,形成适用于省公司的安全检查框架。,详细内容请阅附表:,一套适用于省公司业
28、务支撑网的安全检查框架,安全管理研究的主要成果,对未形成明确管理规范的安全要求以正式发文的形式进行确立,对跟不上实际情况发展要求的管理规范进行了修订和重新发布。,江苏公司对照安全检查框架,全面完善安全管理制度,省市协同的安全问题闭环管理机制,1、建立涵盖省、市及合作厂家的安全管理架构,明确各类安全人员的职责,确保安全工作落实到人。,2、建立由安全月例会、安全周例会、每月安全交流、不定期安全检查组成的安全工作机制。,安全管理研究的主要成果,3、建立安全问题跟踪机制,通过管理的规范和技术的支撑,实现安全要求的真正落地。安全问题经过指定牵头部室、确定整改方案、执行整改计划、完成整改后进入常态管理。,省市协同的安全问题闭环管理机制(续),感谢北京、吉林、湖北、重庆公司对本课题的大力支持和密切协作!,54,结束,谢谢大家!敬请指正!,