《SOC2.0网络管理平台与安全管理平台的融合.doc》由会员分享,可在线阅读,更多相关《SOC2.0网络管理平台与安全管理平台的融合.doc(76页珍藏版)》请在三一办公上搜索。
1、SOC2.0(2)网络管理平台与安全管理平台的融合 1 网络管理系统的发展分析 网络管理系统作为一类IT管理系统,伴随着网络技术的兴起而迅速发展起来,其发展路线经历了一个从网络设备管理到业务管理的过程。最早的网络管理就是对网络设备的管理。后来,由于客户网络化程序加深,设备网管逐步发展到综合网管阶段,不仅管理网络设备,还管理主机、存储、应用系统等等,管理范围不断扩大。到了最近,网络管理领域出现了将IT监控与业务整合的需求和发展趋势,客户开始关心IT服务对业务带来的影响,强调从业务目标角度出发来优化IT服务,也就是到达了IT与业务融合的阶段。 随着客户的信息化水平不断提升,对网络的依赖日趋加深,而
2、其中的信息问题,尤其是网络安全问题日益突出,严重威胁了客户的整个IT系统。对此,网络管理系统显得力不从心。 现在的应用性能管理(Application Performance Management)系统或者业务服务管理(Business Service Management)系统虽然可以监控客户的应用和业务,但是却没有考虑到安全保障方面的因素。以BSM为例,该系统的核心的业务的可用性和连续性,保障业务服务的持续性。虽然有的BSM也能够对防火墙、IDS等安全设备进行监控,但是基本是监控这些设备的运行状态,并没有从安全的角度去分析这些设备产生的安全事件。还有的BSM也能够收集来自网络设备、主机甚至
3、安全设备的日志,但仅仅将这些日志存储起来,供用户查询,没有去对这些日志进行深入的关联分析,挖掘日志背后隐藏的安全威胁。当然,BSM也就不可能去评估业务系统的安全风险,从而难以指导运维人员进行安全预警与应急响应。 2 传统安全管理平台的不足 安全管理平台的发展也经历了一个从分散到集中的过程。传统的安全管理平台比较多的将焦点放到了对客户资产的安全风险,尤其是隐性的安全风险管理之上,借助安全事件的分析和处理过程建立起了一套应急响应流程。但是,传统的安全管理却存在不少管理上的缺失,严重影响了安管平台的应用效果。 那么,传统的安全管理到底存在什么问题呢?主要原因有以下几点: 1) 传统的安全管理信息来源
4、单一,安全分析不全面 传统安全管理的信息来源不充分,基本集中在对日志和事件的处理分析,缺少IT资源的性能、故障、运行状态等信息的输入,难于反映用户业务系统的实际情况。有些应用系统连日志采集都是很困难的,根本无法通过日志分析知晓这些应用的情况。有的安全管理系统声称能够收集用户已有的网管系统发出的告警信息,但实际上,目前国内大量用户(包括企事业单位和政府部门)连网络管理、业务管理等基本的IT资源管理技术手段都缺乏,也就更无法为安全管理提供必要的信息了。 由于和网络管理割裂,安全管理基本处于被动状态,对系统和设备的可用性和健康状态无法做到主动和有效监控,安全管理就成了无根之木。当用户的网络和系统出现
5、故障后,安全管理系统都不可能收到事件,那么分析和展示又有什么意义呢?所以目前很多SOC项目基本停留在审计安全设备的日志层面,不可能有好的效果。 此外,传统的安全风险分析基本集中在事件和弱点的简单关联计算上,无法反应实际安全威胁和风险的全貌,由于弱点本身的滞后性,导致这种分析基本都是事后诸葛亮,无法给用户体现实际效果。 2) 传统的安全管理片面强调解决隐性安全问题,缺乏实效性 传统的安全管理系统实用性存在问题,它没有解决用户面临的更为首先的问题IT资源可用性管理和业务连续性管理。所有安全风险中最基本、也是最常见的一类风险就是可用性风险。如果业务中断,那么其他安全风险分析也就失去了意义,而传统的安
6、全管理过分强调分析各种隐性的安全问题,例如外部入侵和内部违规,这些行为往往不导致业务和网络负载出现波动。诚然,这类分析很重要,但却是片面的,忽略了对显性的安全风险,也即可用性风险的识别。 由于缺乏对显性化安全问题的处理,使得安全管理系统看起来总是捕风捉影,难以快速建立起用户的信任和正面反馈,从而制约了系统自身的不断完善。 3 用户需求催生网管安管一体化IT管理系统 对于客户而言,网络管理也好,安全管理也罢,最首要的是要解决他们面临的实际问题。企业和组织的IT运维人员经常面临这样的问题: l 接到的保障电话只是反映网络和系统的可用性问题,但实际上可能是由于网络和系统自身导致的,也可能是安全问题引
7、发的: l 总是事后响应,甚至是等到公安部门找上门来,难以提前发现安全问题: l 发现可疑情况后,缺少分析、响应的手段和流程; l 无法了解当前整个IT系统的整体运行状况和安全状态,风险和运维管理全凭感觉; 要缓解和消除上述问题是一个系统性的问题,需要体系化的IT建设思维。其中,很关键的一环就是IT部门必须对其IT设施和服务进行全面的、整体的网络运行监控和安全管理。这其中,既涉及到网络管理,也有安全管理。 但从目前的实际情况来看,网络管理和安全管理建设基本是割裂开来的:网络管理系统主要采用SNMP等协议监控设备和应用的可用性和健康状态,而安全管理则通过分析安全设备,主机和应用的事件信息,采用关
8、联规则进行事件关联,进行审计和风险管理。二者各管一块,看似也正好和一些IT管理部门的职能划分一致。虽然存在就有一定的道理,但是未必就真正合理。长期的客户自身实践,以及大量的网管和安管的实施案例都表明,要想保障业务的持续运营,必须统筹考虑业务的可用性与业务的安全性。越来越多的客户已经开始主动要求进行一体化的IT管理系统建设。 未来的网络发展趋势必然是网络与安全密不可分,很多网络故障都是安全问题引发的,而大部分安全问题都是透过网络传播的。因此,只有将网络管理与安全管理有机结合,才能满足中国用户的实际需要。 4 SOC2.0:网络管理与安全管理的融合 SOC2.0不仅将传统的安全管理从资产安全的层面
9、提升到了更加贴近客户的业务安全层面,并且极大地丰富了安全管理对于客户的实际价值。 可以看出,针对相同的客户IT资源,网络管理平台和安全管理平台相互割裂,分别为用户提供服务功能,并各自向上层的运维平台输出管理信息,给客户的IT运维人员使用运维管理平台造成了极大的困难。 最典型地,就是IT资产的一致性问题。对于运维管理而言,一切运维流程都是建立在一套完整的IT资产库的基础之上,而当前的网管平台和安管平台各自有自己的资产库,导致输出到运维平台的信息缺乏一致性,从而使得工单处理、事故管理、配置管理、变更管理无所适从。 又例如,网管和安管各自面向客户的IT资源进行信息采集,造成了数据重复采集的事实,并可
10、能造成对IT资源和业务系统自身运行的影响,或者导致客户网络中的管理流量过大,影响业务数据流。 再例如,网管平台和安管平台产品的告警信息之间的关联性没有得到体现。事实上,很多网络告警事件是由于安全威胁导致的,而传统的IT管理架构下却无法进行相关性分析,造成了运维平台之上的报警事故频繁,降低了运维人员故障处理的效率。 通过对现在的IT管理架构的深入分析,可以发现,网络管理平台和安全管理平台都可以划分为三个层次:采集层、资产层和业务层。在这三个层次上,网络管理平台和安全管理平台都具有一些技术相似性,因而具有融合的可行性。 SOC2.0的理念突破了传统方式下网络管理和安全管理割裂的状况,有机地融合网络
11、管理和安全管理的相关技术,并统一到IT运维之下。SOC2.0强调集中地管理用户IT资源环境,统一地采集用户的主机、网络设备、安全设备、数据库、中间件、服务和机房设备的资产信息、运行信息、安全信息,实现面向IT资产的可用性和风险管理,并建立一个面向业务的统一IT管理平面。 SOC2.0在多个技术层次上实现了网管与安管的整合。 1) SecFox-UMS整合了IT运行监控信息采集过程和安全事件信息采集过程,避免对被监控保护对象重复采集数据,最大程度地降低了管理系统对IT资源自身运行的影响。 2) SecFox-UMS整合了运行监控信息分析过程和安全事件分析过程。通过统一的关联分析引擎,系统能够将资
12、产可用性和性能事件与安全事件进行关联,全面的处理各种显性安全问题和隐性安全问题,更加准确的定位安全故障点。 3) SecFox-UMS整合了运行监控展现与安全事件监控的展现过程。系统采用面向业务的方式,从业务的角度为用户提供了IT资源整体运行状况和安全状况的视图。 SOC2.0将IT运维的运行管理过程与安全管理过程聚焦到用户的业务系统上,而非承载这些业务的繁杂的IT资源本身,从而更加有效地为用户提供全面的IT监控、安全运行和维护解决方案。 5 统一管理平台的最佳实践 SOC2.0提出的统一管理的概念无疑是对现有IT管理架构的革新,为客户的IT管理体系建设提供了一幅蓝图。在现实之中,客户行业千差
13、万别、发展阶段各有差异、管理水平各有高低、管理需要也各不相同,如何才能逐步实现这个蓝图?这就需要一个IT管理发展的路线图和一套适合客户自身发展需要的最佳实践。我们认为,至少应该从以下几方面进行考虑。 5.1 职责分离 统一管理系统的建设,既涉及技术层面,也涉及到管理层面。从管理层面来看,一方面,国内很多客户的组织结构决定了网管与安管是两个不同的部门,并可能较长时间内都是如此;另一方面,从职责和目标上而言,网管人员和安管人员一定是存在区别的。因此,对于当前的用户而言,首先是要考虑技术层面的融合。这也意味着SOC2.0统一管理平台需要在技术架构融合的同时支持管理职责的分离。 以网神SecFox-U
14、MS为例,通过其开放的平台技术和细粒度权限机制,能够做到有效的分权管理,使得网管和安管人员既各司其职,又相互协助,同时保持底层技术支撑的一致性。 可以认为,这种分工是基于统一技术支撑平台的分工,是在更高层次上的分工。 5.2 统一运维 在构建完整的IT管理体系的过程中,SOC2.0强调将运维管理单独抽象出来,形成一个统一的运维服务平台,不仅要有IT运行管理触发的流程,还要管理IT安全管理触发的流程。基于这个运维服务平台,参照ITIL的要求,逐步建立起面向整个IT系统运行维护和安全保障的流程。 例如,我们不建议客户在部署单纯的网络管理或者安全管理平台的时候同时部署内置的工单或者应急响应处理流程模
15、块,而应该将与流程相关的需求独立出来,形成一套对整个IT管理流程的需求,并由一个运维管理系统(Operation Management System)系统担当,然后借助这个系统从流程的角度去整合客户已有的管理系统,逐步实现SOC2.0所描绘的统一管理蓝图。 5.3 可裁剪的管理平台 SOC2.0提到的统一管理是一套完整的管理体系,对于不同的客户、统一客户的不同发展阶段,对IT管理的认识和需求都是不同的。因此,在IT管理的实践过程中,蓝图要完整,实施要分步,要切合客户自身的实际,不要盲目追求一步到位。因此,一款符合SOC2.0要求的管理平台应该是一个开放的、可裁剪的、可持续发展的平台。 以Sec
16、Fox-UMS为例,从设计伊始,就十分强调整个产品的开放性,因为只有开放性才能满足用户不断优化的IT计算环境和不断提升的安全需求。SecFox-UMS的开放性体现在以下四个方面: l 可伸缩的统一管理平台:系统既能够通过单一部署方式适应中型企事业单位和政府,也能够通过分布式级联部署方式适应大型企业集团和省部级多级垂直政府电子政务系统; l 可裁剪的统一管理平台:系统采用平台化的体系架构进行设计开发,实现了管理系统的组件化封装和产品的模块化销售。用户可以根据自身需要选择适合的模块,随着需求的提升,可以无缝地进行模块扩充; l 对下(北向)开放的统一管理平台:用户既可以使用系统自有的网络管理模块,
17、也能够直接集成用户已有的网管类系统; l 对上(南向)开放的统一管理平台:系统可以和外部的工单系统、服务台、ITIL运维系统进行集成,将IT监控和安全事件处理过程集成到整个企业统一的工单处理流程之中; l 可扩展的统一管理平台:通过添加配置文件的方式实现对新设备日志采集的支持,不需要修改代码,方便快捷。 6小结 SOC2.0从关注客户的安全问题入手,提出了从业务的角度去审视安全的观点,并进一步设计出了一幅将网络管理与安全管理融合的蓝图。针对这个蓝图,SOC2.0从方法论和最佳实践的角度阐明了未来管理系统发展的路线路。 可以说,网络管理与安全管理的融合是未来发展的必然,这是客户需求决定的,也是技
18、术发展的必然。安全管理平台中的大规模网络安全态势评估模型(2009-10-29 09:50:55)标签:安全管理soc安全态势感知安全指标体系国防科大cert2009secfoxit 分类:Benny专栏 在刚刚结束的CERT/CC 2009年会上,网络安全新技术分会场有一个是国防科大的贾焰教授做的网络安全态势分析与预测的报告。里面比较详细地阐述了态势感知及其在信息安全领域的研究与应用,并提出了一个大规模网络安全态势评估模型。这个研究与我们的研究领域是相同的,我们多年来也对态势感知应用与集中化安全管理系统进行了深入研究,并将阶段性成果目标瞄准了产品化,已经取得了一些成效,尤其是态势感知模型的L
19、evel0到Level2的部分。图:我们的态势感知模型目前,我们正在重点研究Level3的部分,也看到了贾焰教授对这个分析阶段的研究成果,她提出了一个层次式指标体系的概念,的确值得我们参考。“我们现在研究了一种层次式指标体系,分三级,一级指数是综合安全指数,在基础设施运行安全指数、脆弱性指数、威胁指数三个围度进行指标体系测试,然后在流量、服务状态、资源消耗、漏洞状态、防护软件、木马等各种威胁进行细化,如木马事件数、木马严重程度、木马增长率等等细化方法。那么,我们提出了一个特殊的模型,如在第三级提出最大-最小值法,反正切函数法、中间值法,在第二级提出加权平均法调和三角模法等。这个指标体系,标准组
20、织已经立项,下一步有做充分研究和工作细化的过程。”国防科大贾焰教授她们的这个思想方法我们比较赞同,并且事实上我们也正在安全指标体系这个方面进行探索。在这篇文章中,有所论述。的确,目前的关键还在于对指标体系建模方法和关键指标选取上,否则这个分析结果的有效性就存在问题。此外,她还研究了态势预测的领域,我想这个对于我们而言现在显得有些远了。面向业务做安管记者:孙红娜安全功能的简单叠加,创造不了全能的安全产品,安全产品的简单堆砌,同样建不成牢固的安全体系。面对不断增加的安全威胁种类,大多数用户都会不停地添置各种类型的安全产品,以便填补安全体系的空隙,让安全防线牢固有效。然而,这种“头痛医头,脚痛医脚”
21、的策略本身就存在问题,再加上各类安全产品通常各自为政,很难共同去处理或响应同一个安全问题,这就让组织机构在应对本身就变化多端的安全威胁时,还要分出很大的精力去管理和协调越来越复杂的安全体系,这让安全管理工作越来越难做。尽管为了让各个安全产品不再是“安全孤岛”,业界推出了很多安全管理产品,但因为它们都是以资产为核心的,缺乏业务视角,无论是在体系设计、技术支撑还是实施过程中,更多的都只是考虑安全本身,而忽略了业务本身。但事实上,安全的目的不是设备的安全,而是业务系统的安全,因此,用户真正需要的其实是一套面向业务的一体化集中安全管理系统。而网御神州自主研发的网神SecFox-UMS统一管理系统就是这
22、样一款产品。网神SecFox-UMS的最大特色就在于该系统以业务为核心,包括了业务连续性监控功能、业务展示功能,以及面向业务的风险分析功能。同时,该产品在事件采集和关联分析性能、关联分析引擎及其算法、安全态势感知和信息可视化等多个技术领域都取得了重大突破,并被申请了多项发明专利。而且,该产品有效继承了传统的安全管理理论,该系统包括IATF纵深防御理论、国家等级化保护体系思想、安全风险管理理论等,同时也充分吸收了ISO20000基于PDCA和业务服务管理思想,以及ITIL运维管理理论,真正以业务资产为核心,以业务安全为目标,为用户提供了一套一体化的安全保障技术支撑平台。业务系统安全面临的挑战随着
23、信息和网络技术的普及,政府和企事业单位的核心业务信息系统不断的网络化,随之而来的就是面临的信息安全风险日益增加。而这些安全风险中,来自内部的违规操作和信息泄漏最为突出。由于政府和企事业单位的核心业务系统(例如数据库系统、核心业务主机系统)都实现了网络化访问,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给业务系统造成难以恢复的损失。此外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对核心业务系统的访问权限也是一个难题,外包方的技术工程师可能在开发业务系统的时候留下后门或者幽灵帐号,
24、为将来侵入核心业务系统埋下隐患。另一方面,为了加强内控,国家强制机关和行业的主管部门相继颁布了各种合规和内控方面的法律法规和指引,例如企业内部控制基本规范、银行业信息科技风险管理指引、证券公司内部控制指引、保险公司风险管理指引(试行)等。在这种情况下,政府和企事业单位迫切需要一款专门针对网络中业务系统进行全方位审计的系统。传统的数据库审计产品存在局限性传统的数据库审计产品仅仅关注对数据库的审计,希望以此来保护重要的信息,防止篡改和泄漏。的确,数据库是数据存放的重要地方,审计很有必要。但是,仅仅审计数据库是不够的。因为,内部人员的违规数据操作的途径有很多,有的是直接违规访问数据库,有的是登录到数
25、据库所在的主机服务器上,有的是透过FTP去下载数据库所在主机的重要数据文件。还有的是透过其他程序或者中间件系统访问数据库。所以,必须从业务的角度出发,对构成业务系统的数据库、主机、HTTP协议、TELNET、FTP协议,网络流量、中间件等都进行审计,才能更加全面的发现违规、防止信息泄漏。SecFox-NBA(业务审计型)全面保障核心业务和关键数据网御神州SecFox-NBA(Network Behavior Analysis for Business Audit)网络行为审计系统(业务审计型)采用旁路侦听的方式对通过网络连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采
26、集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者可疑行为。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。SecFox-NBA网络行为审计系统(业务审计型)能够对业务环境下的网络操作行为进行细粒度审计。系统通过制定符合业务网的审计策略,对符合策略的网络操作行为进行解析、分析、记录、汇报,
27、以帮助用户事前规划预防,事中实时监控、违规行为响应,事后合规报告、事故追踪回放,帮助用户加强内外部网络行为监管、避免核心资产(数据库、网络服务器等)损失、保障业务系统的正常运营。SecFox-NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。价值和优势 面向业务的安全
28、审计,关注客户的业务和应用系统保护和内控 对业务网络进行数据访问审计、数据变更审计、用户操作审计、违规访问审计 基于会话的审计技术,轻松掌握谁、什么时间、从什么地方访问了什么资源、结果如何 完全自主开发,针对中国客户需求和管理习惯,旁路部署、即插即用 产品特点 基于旁路侦听的工作原理和灵活便捷的部署方式 SecFox-NBA(业务审计型)采用旁路侦听的方式进行工作,对业务网络中的数据包进行应用层协议分析和审计,就像真实世界的摄像机。SecFox-NBA(业务审计型)部署十分方便,即插即用,不必对业务网络结构做任何更改,对业务网络没有任何影响。SecFox-NBA(业务审计型)可以同时审计多个不
29、同的网段;多个系统可以级联,实现分布式部署,实现对大规模业务网络的审计。 细粒度数据库行为审计、操作回放 SecFox-NBA(业务审计型)可审计包括各个平台(Windows、Linux、Solaris、AIX)和版本的SQL Server、Oracle、DB2、Sybase、MySQL等在内的数据库的DDL,DML,DCL和其它操作等行为。操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言(DDL)操作CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令数据操作语言(DML)操作SELECT,DELETE,UPD
30、ATE,INSERT等用于检索或者修改数据的SQL指令数据控制语言(DCL)操作GRANT,REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令借助网御神州独有的基于会话的行为分析(Session-based Behavior Analysis)技术,真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。 面向业务的网络安全审计 网神SecFox-NBA(业务审计型)是一个集成了数据库审计、主机审计、应用审计和网络流量审计的综合安全审计系统。针对业务的审计就要对构成业务系统的各个IT资源之间的访问
31、行为以及业务系统之间的操作的审计,这样才能真正反映出业务系统的安全状态。SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。 全方位的安全审计 SecFox-NBA(业务审计型)产品的核心目标就是保障客户业务网络中数据安全和操作合规,具体包括:1) 数据访问审计;2) 数据变更审计;3) 用户操作审计;4) 违规访问行为审计;5) 恶意攻击审计。 快速响应和跨设备协同 SecFox-NBA(业务审计型)在识别出安全事故
32、后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。在发生告警后,SecFox-NBA(业务审计型)可以通过电子邮件、SNMP Trap等方式对外发出通告;能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序;可直接实时阻断可疑的网络通讯;可以与众多第三方网络设备、安全设备进行联动。 报表报告 SecFox-NBA(业务审计型)内置大量报表报告,包括数据库报表、FTP报表、TELNET报表、主机报表、网络流量报表、综合报表,等等。SecFox-NBA(业务审计型)生成的报表图文并茂,报表可以按组管理,可以对报表生成进行日程规划,提供打印、导出以及邮件送达
33、等服务。报告可用PDF、HTML、Excel或RTF等格式存档。 用户可以通过系统内置的报表编辑器自定义各类报表【引言】安全管理平台(SOC)最大的特色之一就是收集网络中各种异构信息源的数据,进行综合分析,构建起一套业务安全视图,展示给管理员一个全网安全的总览图。通过安全管理平台(SOC)的层层抽象,原本复杂的安全数据提升为了安全事件,进而提升为业务决策信息和安全知识,这个过程的本质上就是安全态势感知。作为本系列的第四篇文章,将详细阐述SOC2.0是如何将安全态势感知理论和技术运用到安全管理实践中去的,并以网御神州SecFox安全管理系统为实例加以说明。1安全态势感知概述1.1态势感知溯源 如
34、果追根溯源,态势感知(Situation Awareness)这个概念来自我国古代的孙子兵法。而现代意义上的态势感知研究也来自于战争的需要,在二战后美国空军对提升飞行员空战能力的人因工程学(Human Factor)研究过程中被提出来,至今仍然是军事科学领域的重要研究课题。后来,态势感知渐渐被信息技术(IT)领域所采用,属于人工智能(Artificial Intelligence)范畴。一般地,态势感知的核心部分可以理解为一个渐进明晰的过程,借鉴人工智能领域的黑板系统(Blackboard System),可由下图所示的三级模型来表示:图:态势感知核心过程示意图它通过态势要素获取,获得必要的数
35、据,然后通过数据分析进行态势理解,进而实现对未来短期时间内的态势预测。注意,态势感知最终达成的目标是实现对未来的短期预测,是一个动态、准实时系统。1.2安全态势感知在上个世纪末90年代,态势感知才被引入到信息技术安全领域,并首先用于对下一代入侵检测系统的研究,出现了网络安全态势感知(Network Situation Awareness),或者安全态势感知(Security Situation Awareness)的概念。本文中,SA特指安全态势感知。目前,对于安全态势感知尚无统一定义,以下给出几个描述性定义:定义1(来自维基百科):态势感知是指一定时间和空间内环境因素的获取,理解和对未来短期
36、的预测。定义2:所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。2安全态势感知模型 说到态势感知,就必须提到数据融合(Data Fusion)。数据融合是指将来自多个信息源的数据收集起来,进行关联、组合,提升数据的有效性和精确度。可以看出,数据融合的研究与态势感知在很多方面都是相似的。目前,大部分安全态势感知的模型都是基于美国的军事机构JDL给出的数据融合模型衍生出来的。如下图所示,为我们展示了一个典型的安全态势感知模型:图:
37、一个典型的态势感知模型在这个基于人机交互的模型中,态势感知的实现被分为了5个级别(阶段),首先是对IT资源进行要素信息采集,然后经过不同级别的处理及其不断反馈,最终通过态势可视化实现人机交互。5个处理级别分为是:1. 数据预处理:可选的级别,对于部分不够规整的数据进行预处理,例如用户分布式处理、杂质过滤,等等。2. 事件提取:是指要素信息采集后的事件标准化、修订,以及事件基本特征的扩展。3. 态势评估:包括关联分析和态势分析。态势评估的结果是形成态势分析报告和网络综合态势图,为网络管理员提供辅助决策信息。4. 影响评估:它将当前态势映射到未来,对参与者设想或预测行为的影响进行评估。5. 资源管
38、理、过程控制与优化:通过建立一定的优化指标,对整个融合过程进行实时监控与评价,实现相关资源的最优分配。 当前,态势感知领域还有一个发展方向是复杂事件处理(Complex Event Processing,简称CEP),主要应用于金融、能源等行业的商业智能分析过程。基于CEP,学术界和产业界也提出了一些态势感知的模型。我们以后会专门论述CEP在安全事件管理领域的运用,本文不再讨论。应当说,到目前为止,安全态势感知大体上处于学术界研究领域,核心的技术还有待于突破,包括数据融合技术、数据挖掘技术、模式识别技术等,尤其是对态势预测的研究尚处于起步阶段,整体上距离产品化还有不少的距离。但是,基于安全态势
39、感知理论,部分技术已经可以指导现在的产品研发,并且一部分较成熟技术和模型已经实现了产品化和商业化。【引言】随着企业和组织安全防御不断向纵深发展、对加强内部安全的重视、以及内控与合规性要求的不断提升,安全审计技术和产品得到了广泛的应用。现在,客户已经认识到单一的安全审计产品无法满足实际要求,需要一套体系化的安全审计平台,以及将这个审计平台与安全管理平台进行整合。作为本系列的第三篇文章,将详细阐述SOC2.0是如何将安全审计体系与安全管理平台整合到一起的,并以网御神州SecFox安全管理与审计解决方案做为示例。1 安全审计的定义和组成安全审计,本文专指IT安全审计,是一套对IT系统及其应用进行量化
40、检查与评估的技术和过程。安全审计通过对IT系统中相关信息的收集、分析和报告,来判定现有IT安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略的合规性,获取犯罪和违规的证据,确认必要的记录被文档化,以及检测网络异常和入侵。根据GB/T 20945-2007信息安全技术信息系统安全审计产品技术要求和评价方法,安全审计被定义为对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应比较动作。信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行的目的。同时,信息系统安全审计产品对信息系统各组成要
41、素进行事件采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管理的效率。对于一款安全审计产品,从产品功能组成上应该包括以下几个部分:(1) 信息采集功能:产品能够通过某种技术手段获取需要审计的数据,例如日志,网络数据包等。对于该功能,关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。如果采用数据包审计技术,网络协议抓包和分析引擎显得尤为重要;如果采用日志审计技术,日志归一化技术则是体现产品专业能力的地方;如果采用宿主代理审计技术,代理程序对宿主的兼容性、影响性是很关键的环节。(2) 信息分析功能:是指对于采集上来的信息进行分析、审计。这是审计产品的核心,审计效果
42、好坏直接由此体现出来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计、基于时序的审计,以及基于人工智能的审计算法,等等。(3) 信息存储功能:对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。(4) 信息展示功能:包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。(5) 产品自身安全性和
43、可审计性功能:审计产品自身必须是安全的,包括要确保审计数据的完整性、机密性和有效性,对审计系统的访问要安全。此外,所有针对审计产品的访问和操作也要记录日志,并且能够被审计。2 安全审计技术分析当前,随着企业和组织安全防御不断向纵深发展、对加强内部安全的重视、以及内控与合规性要求的不断提升,安全审计技术和产品得到了广泛的应用。一方面,企业和组织对安全的建设思路已经开始从以防外为主的策略,逐步转为以防内为主、内外兼顾的策略,安全审计技术和产品成为安全防御纵深的延伸和安全体系建设中的必要一环,大量地应用于防范内部违规和内部用户行为异常。另一方面,政府、行业对IT治理、IT内控和IT风险管理的日益重视
44、极大地促进了安全审计的发展。目前推出的一些国际、国家、行业的内控和审计相关的法律、法规、标准等,都直接或者间接地对某些行业或企业提出了需要配备安全审计产品的要求。国内的安全审计产品根据被审计对象和审计采用的技术手段两个维度,可以划分为不同的产品类型。从被审计对象的维度来看,IT环境的各种IT资源都能够成为被审计对象,自底向上依次可以包括网络和安全设备、主机和服务器、终端、网络、数据库、应用和业务系统审计,以及IT资源的使用者人。对于审计产品而言,被审计对象也可以看作是被保护对象。据此,可以分为:(1) 设备审计(Device Audit):对网络设备、安全设备等各种设备的操作和行为进行审计;(
45、2) 主机审计(Host Audit):审计针对主机(服务器)的各种操作和行为;(3) 终端审计(Endpoint Audit):对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计;(4) 网络审计(Network Audit):对网络中各种访问、操作的审计,例如telnet操作、FTP操作,等等;(5) 数据库审计(Database Audit):对数据库行为和操作、甚至操作的内容进行审计;(6) 业务系统审计(Business Behavior Audit):对业务IT支撑系统的操作、行为、内容的审计;(7) 用户行为审计(User Behavior Audit):对企业和组
46、织的人进行审计,包括上网行为审计、运维操作审计。有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象。从审计采用的技术手段维度来看,为了实现审计目标,通常采用以下几种审计技术手段:(1) 基于日志分析的安全审计技术(Log Analysis Based Audit Technology)一种通过采集被审计或被保护对象运行过程中产生的日志,进行汇总、归一化和关联分析,实现安全审计的目标的技术。这种审计技术具有最大的普适性,是最基本、最经济实用的审计方式,能够对最大范围的IT资源对象实施审计,并应对大部分的审计需求。在国家等级化保护技术要求中、以及行业内控规范和指引中都明确提及了这
47、种审计方式。该日志审计类产品在市场上也最为常见。(2) 基于本机代理的安全审计技术(Host Agent Based Audit Technology)一种通过在被审计或者被保护对象(称为“宿主”)之上运行一个特定的软件代码,获取审计所需的信息,然后将信息发送给审计管理端进行综合分析,实现审计目标的技术。作为这种技术应用的扩展,采用该技术的审计产品通常还具有对宿主的反向控制功能,改变宿主的运行状态,使得其符合既定的安全策略。这种审计技术的审计粒度十分细致,多用于对主机和终端等设备进行审计。目前市场上常见的服务器加固与审计系统、终端安全审计系统都采用这种技术。(3) 基于远程代理的安全审计技术(Remote Agent Based Audit Technology)一种通过一个独立的审计代理端对被审计对象或者保护对象(宿主)发出远程的脚本或者指令,获取宿主的审计信息,并提交给审计管理端进行分析,实现安全审计目标的技术。这种方式与基于本机代理的技术最大的区别就在于不需要安装宿主代理,只需要开放远程脚本或者指令的通讯接口及其帐号口令。当然,这种审计技术的审计粒度受限于远程脚本的能力。目前市场上常见的产品有基于漏洞扫描的审计系统、WEB安全审
