技术领域
[0001] 本
发明涉及信息安全、网络管理、业务管理、数据交换平台和大数据技术领域,尤其涉及到分布式信息安全运维管理平台架构的系统。
背景技术
[0002] 本发明中包含的英文简称如下:
[0003] SOC:Security Operation Center安全管理中心
[0004] IDS:Intrusion Detection Systems入侵检测系统
[0005] MIS:Management Information System管理信息系统
[0006] DMZ:demilitarized zone隔离区、或非军事化区
[0007] APP:Application应用程序
[0008] SNMP:Simple Network Management Protocol简单网络管理协议
[0009] HDFS:Hadoop Distribute File System Hadoop分布式文件系统
[0010] ODBC:Open Database Connectivity开放
数据库互连
[0011] WMI:Windows Management Instrumentation Windows管理规范
[0012] Opsec:Open Platform for Security安全开放平台
[0013] NAS: Network Attached Storage网络附属存储
[0014] SAN:Storage Area Network and SAN Protocols存储区域网络及其协议[0015] IBM:International Business Machines Corporation国际商业机器公司[0016] MQ:Message Queue消息队列。
[0017] 安全生产历来是保障各项工作有序开展的前提,也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络高效稳定地运行,是企业一切市场经营活动和正常运作的
基础。
[0018] 随着各类企业信息系统的建设和完善,有效的提高了劳动生产率,降低了运营成本。一旦企业各业务系统出现安全事件、或发生故障、或形成性能
瓶颈,不能及时发现、及时处理、及时恢复,势必直接导致承载在其上所有业务的运行,影响企业的正常运营秩序,企业业务不能正常开展。因此,对于政府和企业IT基础实施的安全保障就显得格外重要。
[0019] 随着政府和企业信息化程度不断提高。各业务系统间联系越来越密切,数据交换越来越频繁,各系统有着复杂网络或逻辑连接,存在大量数据交换,甚至一个故障可以引发成为企业全网故障,一点或一种业务系统出现漏洞感染病毒或受到攻击,将迅速波及其它业务系统及网络,甚至导致企业全网瘫痪。
[0020] 尽管目前一些企业的信息安全技术体系已初步形成,但是信息安全运维管理体系需要进一步健全提高和完善,安全运维管理的服务模式单调,缺乏多用户模式;管理能
力也有待加强,缺乏安全运维隐患的深度挖掘和大数据分析,安全运维故障
定位和分析工具少,缺乏APP商店。由于缺少安全体系建设的宏观思路,安全管理存在
真空地带,责任没有有效落实。
[0021] 目前,各类企业信息安全运维管理平台存在以下问题:
[0022] 1、各种信息安全产品和网络设备品种多,分布广,缺少统一的数据分析管理;
[0023] 2、信息安全产品和网络设备的
知识库不统一,缺少统一的解决方案;
[0024] 3、安全职责不清,具体职责未落实到位;
[0025] 4、信息安全运维管理考核不细致,缺少部分必要和关键的指标;
[0026] 5、不同安全设备事件之间甚至同一安全设备的事件缺少更加高级智能的分析和汇聚关联,导致数据量庞大,不便于对安全隐患的分析和发现问题,防患于未然;
[0027] 6、信息安全事件上报不及时,故障诊断不及时,处理效率低,效果差;
[0028] 7、信息安全事件和资产的漏洞没有进行必要的关联分析,导致很多事件没有进一步的分析和处理;
[0029] 8、无法对于终端的安全问题进行审计和方便的查看;
[0030] 9、出现紧急事件没有很好的预警和处理流程;
[0031] 10、安全运维管理服务模式单调,缺乏多用户模式;
[0032] 11、安全运维故障定位和分析工具少,缺乏APP商店。
[0033] 上述问题不同程度地存在企业已经建成的业务和网络,成为企业今后业务安全运维管理稳定提升的障碍。
[0034] 为此,如何利用信息化手段提高企业安全运维管理效益,解决企业各系统所存在的安全运维管理隐患,以及设计出一款信息安全运维管理平台,优化企业信息安全管理和维护工作,使得它能够为各类企业提供专业的和高效率的信息安全运维管理服务,即成为尤其是信息安全运维管理设计上必须要解决的一个重要课题。
发明内容
[0035] 本发明在分析了上述各类企业信息安全运维管理的
缺陷和不足之后,提出了一种基于大数据的分布式信息安全运维管理平台系统。
[0036] 本发明的核心思想是:构建基于数据交换平台的分布式安全运维管理
框架,支持单用户模式和多用户模式,包括:客服模
块、安全运维管理模块、采集终端模块、分布式存储模块和安全运维APP商店模块;在多用户模式之下,每一个企业用户的安全运维管理模块均为自治的,一个客服模块能够同时为多个企业用户提供安全运维管理服务。
[0037] 所述数据交换平台,完成安全运维管理平台各个模块之间的数据交换,从第三方安全产品、网络产品、网管和SOC等采集到的数据(包括安全事件、配置、性能、告警等)通过数据交换平台通知上层应用,上层应用通过数据交换平台对底层程序进行控制,各模块之间通过数据交换平台进行通信。
[0038] 一种基于大数据的分布式信息安全运维管理平台系统,包括客服模块、安全运维管理模块、采集终端模块、分布式存储模块和安全运维APP商店模块。
[0039] 所述客服模块,在多用户模式之下,每一个企业用户的安全运维管理模块均为自治的,一个客服模块能够同时为多个企业用户提供安全运维管理服务,它与各个企业的安全运维管理模块相连接。主要功能包括处理各个安全运维管理模块所上报的告警、派发工单、通过email或短信或windows消息通知等方式将告警通知给客户、通过SNMP SET等协议配置、自动配置或自动批量配置各个企业设备的参数,配置、自动配置或自动批量配置各个企业的安全策略,以及从安全运维APP商店下载处理告警所需要的工具
软件;对于不能在短时间之内解决的重大告警,将问题升级,并请专家分析。客服模块的客户端均能够
访问所有各个企业的安全运维管理模块的权限。
[0040] 所述安全运维管理模块,与各个企业的采集终端相连接,将各个企业终端上报的数据进行分析,深度挖掘安全
风险和故障隐患,并上报给客服模块。其主要功能是安全风险分析、关联、故障定位、漏洞扫描、
数据挖掘和实时监控等。在安全运维管理模块的客户端上能且仅能够访问本企业的安全运维管理模块和采集终端模块。
[0041] 所述采集终端模块,与安全对象和网管对象相连接,负责收集安全对象和网络对象的信息、预处理,以及配置命令和安全策略下发到安全对象和/或网络对象,并将预处理的结果上报给安全运维管理模块,支持Syslog、SNMP、ODBC、WMI、Opsec、HTTP等协议,支持本地存储。
[0042] 所述分布式存储模块,分别与全运维管理模块、客服模块和安全运维APP商店相连接,存储安全运维历史信息,供全文检索、数据挖掘和大数据分析,支持HDFS、支持NAS/SAN互操作。数据挖掘及大数据分析工具软件可以在安全运维APP商店里下载、使用。
[0043] 安全运维APP商店提供易用、易理解的常用工具集,提高用户的快速解决问题的能力,方便用户使用;在本平台的任意一个客户端上均能够访问它。
[0044] 优选地,所述客服模块,包括配置管理子模块、用户管理子模块、
门户管理子模块、告警通知子模块、流程管理子模块、知识库子模块、
接口子模块和客户
端子模块。
[0045] 所述配置管理子模块,配置或批量配置各个企业设备的参数和安全策略,内部统一将配置指令解析为特定的格式,下发到设备,实现配置管理功能。
[0046] 所述用户管理子模块,对平台中用户的管理及其能访问模块的授权,实现单点登录。功能包括用户增、删、改、查,用户组增、删、改、查,可访问模块的授权,以及用户口令重置和单点登录功能等。
[0047] 所述门户管理子模块,各个功能组件都可以通过门户进行统一呈现,可以依据权限使用其中的部分组件;通过此门户管理功能,实现相关组件和应用系统的集中呈现和用户单点登录。
[0048] 所述告警通知子模块,根据平台统一的响应指令产生标准响应通知客户,如email、短信、windows消息通知等,以及通过SNMP SET等协议
修改设备的配置参数,产生告警关联动作。
[0049] 所述流程管理子模块,是安全运维管理策略的具体贯彻,是实现工单
电子化处理,通过电子流程规范和优化安全运维管理部门的生产工作流程,从而提高安全工作效率。管理流程可划分为安全运维管理事件发现流程、安全运维管理事件分析流程、安全运维管理事件处理流程、安全运维管理趋势分析流程等。
[0050] 所述知识库子模块,能够实现关联分析的智能化、自动化,逐步实现基于
专家系统的
人工智能分析,同时为安全运维管理人员在处理事件的整个过程中提供分析处理的依据。用户可以定义、查寻、更新、维护知识库。用户可以直接在知识库中添加相关安全知识、安全策略、安全漏洞、事件特征等,完善知识库模块的功能。
[0051] 所述接口子模块,提供了平台与其被集成系统的交互功能,主要起采集异构数据和调用特定系统接口的作用,例如,与安全事件预警信息和用户安全投诉的接口、企业MIS的接口和下发配置和策略的接口等。
[0052] 所述统一界面,支持PC和手机客户端,展示包括客服信息、APP商店信息、安全运维管理信息等。安全运维管理平台的管理和使用人员包括资产管理人员、安全运维监控人员、安全运维管理员、安全运维人员、安全负责人领导等,不同的人员关注的信息有所不同。为实现界面风格的灵活统一,事件基于统一界面方式进行展示。
[0053] 优选地,所述安全运维管理模块,包括安全管理子模块、运维管理子模块、通用功能子模块和客户端模块。
[0054] 所述安全管理子模块,是协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。它的职能分成管理层面的职能和技术层面的职能,它的存在有效地将企业的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起,保持一致性。
[0055] 所述运维管理子模块,从网络和应用的不同层次,收集与业务和服务相关的各种信息:网络设备信息、全网流量信息、
服务器内存、I/O的使用情况,甚至应用系统对资源的占用情况等;同时,内置的智能系统对收集到的信息进行综合关联分析;不同于设备厂商提供的专用管理工具,为企业提供透明化的全面管理视图。
[0056] 所述统一界面,支持PC和手机客户端,展示包括安全管理信息、运维管理信息、通用功能信息等。安全运维管理平台的管理和使用人员包括资产管理人员、安全运维监控人员、安全运维管理员、安全运维人员、安全负责人领导等,不同的人员关注的信息有所不同。为实现界面风格的灵活统一,事件基于统一界面方式进行展示。
[0057] 优选地,所述采集终端模块,包括
数据采集子模块和预处理子模块。
[0058] 所述数据采集子模块,根据要求采集被管理资源(安全对象、网管对象),包括各种安全设备、网络和主机设备等的原始信息,诸如事件信息、漏洞信息、流量信息和从网管系统或其它安全运维管理平台采集的数据等,并存储在本地数据库中;组件有:安全/网管事件采集组件、安全漏洞采集组件、配置采集组件、性能采集组件、资产发现组件。
[0059] 所述预处理子模块,将数据采集的所管理资源(
硬件、软件等)参数按照一定格式进行处理,同时要求遵循标准的通信协议进行输出或被访问,输出到安全运维管理平台。
[0060] 优选地,所述安全管理子模块,包括风险管理、配置管理、脆弱性管理、预警管理和资产管理。
[0061] 所述风险管理,全面收集信息资产的漏洞和相关事件,通过关联分析去除各种误报,发现有用信息,给出级别度量,并自动上报客服模块,达到管理和控制风险的效果。一方面,对从采集终端收集来的各种数据进行存储;另一方面接收上层的指令进行统一调度管理并传送给下层的执行模块以实现用户的管理功能。风险管理是平台
数据处理和指令指挥中心,主要功能包括)漏洞分析、威胁分析、风险分析、攻击分析。
[0062] 所述配置管理,从管理上来说,建立企业内部统一的安全配置标准,实现企业内部设备安全标准化管理;从技术上来说,自动化实现内部设备安全配置核查,智能实现针对内部设备安全加固;从运维流程上来说,自动监控各设备安全配置,定期输出各设备安全配置状态报表,自动化进行设备安全配置生命周期维护。
[0063] 所述脆弱性管理,首先,通过远程安全扫描获得安全脆弱性信息和通过在主机上运行脚本收集的脆弱性信息。在定期收集到这些脆弱性信息后可以利用脆弱性管理系统进行导入和处理,以利于安全管理员对脆弱性信息的查询、呈现并采取相应的措施进行处理,并提供脆弱性分析预警功能。
[0064] 所述预警管理,即通告预警机制,安全运维管理人员可以预测并提前采取相应的措施来规避可能发生的安全运维管理问题。
[0065] 所述资产管理,依据自动发现网络环境信息,提供网络拓扑管理、对象扩展管理、网络状态监视,直观体现在平台上。
[0066] 优选地,所述运维管理子模块,包括拓扑发现管理、线路状态分析、环境管理、数据流监视与分析、应用服务管理、智能巡检、网络接入管理、面板管理、告警管理、故障相关性分析、设备管理和设备健康分析。
[0067] 所述拓扑发现管理,采用多种
算法、迅速搜索整个网络内的所有
节点、支持多厂商的设备组成的“混合”网络,智能分析网络拓扑结构,自动勾画出整个网络的真实物理拓扑图,真实反映整个网络的运行状态。拓扑图直观地反映设备的分布情况、负载状况和设备属性,以及线路的实时流量;通过
颜色显示负载和流量的压力,主动告诉用户关注点应在哪里,动态告诉用户可能的故障隐患。
[0068] 所述线路状态分析,以丰富的图、文报表的方式,分析线路收发流量、流速趋势分析,设备端口流量、趋势分析,线路间流量对比分析;支持线路流量的
阈值设定,对过载实施预警。
[0069] 所述环境管理,为用户提供
所见即所得的机房拓扑图,直观展示机房物理或逻辑部署状态。用户可以根据机房设备的真实物理排列,或个人对设备的分类和关注程度,设定一个或多个机柜,将不同设备放置在机柜中;机柜的高度可以根据设备的多少灵活调整,设备在机柜中的
位置可以上下拖动调整。
[0070] 所述数据流监视与分析,关注网络中数据流量的组成,通过数据流分析探针的方式,对网络中的数据流量进行2-7层的监视,确保流量的透明化管理,并据此对网络中各种业务应用占用网络带宽的情况进行分析,为用户及时掌控网络带宽的使用提供依据。
[0071] 所述应用服务管理,将主机、
中间件、数据库、标准应用等IT组件纳入到日常运维体系中,化繁为简,以最直观、最便捷的方式帮助用户实现对“业务相关IT组件”的实时监控,辅助用户执行高效率、高
质量的业务管理。
[0072] 所述智能巡检,支持多用户、多任务的巡检工作模式,支持人工/自动双巡检方式;实现单个巡检单工作周期设置,可根据巡检任务的工作特性安排工作周期;提供健康等级比较,辅助评价当前IT系统整体运行状况;提供巡检统计分析功能,直观展示整体IT运维状况的短板所在。
[0073] 所述网络接入管理,提供网络接入控制功能,及时发现非法占用IP资源,内部设备非法跨网段接入,以及外部设备非法接入内部网络,并进一步定位到设备端口,实现实时干扰。保障全网的IP管理秩序和网络接入安全。
[0074] 所述面板管理,在设备面板图上,用户可以随时查看端口流量、端口所连接的设备、端口的类型、工作状态、端口速率等重要信息。面板图真实、实时地显示设备的真实运行状态。对于某个具体端口,平台提供与该端口连接的主机名称、相对应的IP地址、MAC物理地址;提供端口关断与启用操作。
[0075] 所述告警管理,通过实时监视整个网络应用,可以不断获取设备各类指标参数,在问题发生前及时了解非正常情况,分析非法入侵、攻击、病毒、物理故障等现象。
[0076] 所述故障相关性分析,当网络中发生了故障以后,如何尽快判断故障的原因、性质和发生地点,是排除故障的关键前提。告警的大数据量问题是影响网管性能和系统
稳定性的关键问题,因此,实现告警相关性分析是网络故障管理系统的一个重要和基本要求。通过告警相关性分析,去除假告警,精确定位告警。
[0077] 所述设备管理,实时监视网内所有设备的各个端口、CPU、内存,既可以通过传统的设置阈值的方式来判断异常,也可以通过对历史数据的智能分析,及时发现网络设备的异常
波动;对工作异常的设备,可进一步查看实时详细工作情况,并可远程关闭相应端口。
[0078] 所述设备健康分析,主要提供故障预测和
健康状态管理两个功能。故障预测功能可预测故障发生时间和部位,并确定设备的剩余寿命,在发生灾难性事故之前,能够及时预知,并采取必要的维修
预防措施;健康状态管理则是根据诊断和预测信息、可用维修资源和使用需求对维修活动做出适当的决策。
[0079] 优选地,所述通用功能子模块,包括查询、报表管理、实时监控、系统管理和上下级管理。
[0080] 所述查询,提供实时数据查询、历史数据查询、模糊查询和全文检索等,例如,资产查询、脆弱性查询和风险查询等。
[0081] 所述报表管理,包括预制报表和自定义报表。
[0082] 所述实时监控,对企业信息系统运行的过程进行同步的监控,实时地展现企业安全设备、网络设备和系统运行情况等。
[0083] 所述系统管理,包括
角色权限管理、组件状态管理、系统和数据库维护、响应规则管理、扫描器注册和管理、代理管理、任务调度中心、Syslog服务器管理。
[0084] 所述上下级管理,针对多级安全运维管理模块的特点,上下级之间需要有一个统一管理的功能,例如,消息通讯接口、数据下发接口、数据上报接口等。
[0085] 优选地,所述统一界面,支持PC和手机客户端,展示包括安全管理信息、运维管理信息、通用功能信息等。安全运维管理平台的管理和使用人员包括资产管理人员、安全运维监控人员、安全运维管理员、安全运维人员、安全负责人领导等,不同的人员关注的信息有所不同。为实现界面风格的灵活统一,事件基于统一界面方式进行展示。
[0086] 本发明还提供了一种企业信息安全运维管理的服务系统,包括基础保障运维服务、增强安全运维服务、高级安全运维服务服务;所述基础保障运维服务包括定期“安全评估、健康分析、渗透测试”服务和客服等;所述增强安全运维服务包括设备日常巡检、安全维护和日志审计等;所述高级安全运维服务包括安全运维规划与策略体系完善、安全运维培训等。
附图说明
[0087] 图1为本发明所述的一种基于大数据的分布式信息安全运维管理平台系统的功能
框图;
[0088] 图2为本发明所述的一种基于大数据的分布式信息安全运维管理平台系统的多用户模式部署示意图;
[0089] 图3为本发明所述的一种基于大数据的分布式信息安全运维管理平台系统的业务
流程图;
[0090] 图4为本发明所述的一种基于大数据的分布式信息安全运维管理平台系统与其它系统关系图;
具体实施方式
[0091] 下面是根据附图和实例对本发明的进一步详细说明:
[0092] 从服务模式上看,安全运维管理平台可以分为单用户模式和多用户模式,在多用户模式之下,每一个企业用户的安全运维管理模块均为自治的,一个客服模块能够同时为多个企业用户提供安全运维管理服务。在单用户模式之下,每一个企业用户都要安装一套安全运维管理平台软件,包括客服模块、安全运维管理模块、采集终端模块、分布式存储模块和安全运维APP商店模块;然而,在多用户模式之下,每一个企业仅需要安装安全运维管理模块、采集终端模块和分布式存储模块,共用客服模块和安全运维APP商店模块。一般地,安全运维管理服务提供商采用这种多用户模式。
[0093] 从体系结构上看,构建基于数据交换平台的分布式安全运维管理框架,所述数据交换平台,完成安全运维管理平台各个模块之间的数据交换,从第三方安全产品和网络产品等采集到的数据(包括安全事件、配置、性能、告警等)通过数据交换平台通知上层应用,上层应用通过数据交换平台对底层程序进行控制,各模块之间通过数据交换平台进行通信。常见的数据交换平台,例如,IBM MQ,消息交换中心。
[0094] 总的来说,一个安全运维管理平台可分为采集终端、安全运维管理、客服、分布式存储和APP商店,分别具备如下功能:
[0095] 1、采集终端
[0096] 采集终端提供了安全运维管理平台与其被集成系统的交互功能,主要起采集异构数据和调用特定系统接口的作用,其中包括的功能模块有:企业数据收集、安全数据收集、网管数据收集等。在这一层各类异构的数据被全部或分类地归一化表示为安全运维管理平台内部使用的统一格式,同时也可将安全运维管理平台内部统一格式的指令和数据解析成特定的结构供需调用的子系统使用。该层屏蔽了安全运维管理平台和外部系统在数据集和指令集上的差异,为安全运维管理平台对其他系统和安全解决方案的集成提供了基础和保障。
[0097] 采集数据种类,包括:
[0098] (1)企业数据收集
[0099] 目前企业数据主要分成二类:企业员工数据、资产数据。
[0100] (2)安全数据收集
[0101] 安全数据收集主要包括二大类:安全事件、安全漏洞。
[0102] 安全事件可以细分为:告警、日志;安全漏洞目前可以细分为扫描器报告漏洞、配置审计产生的漏洞。
[0103] (3)网管数据
[0104] 它从网络和应用的不同层次,收集与业务/服务相关的各种信息:网络设备信息、全网流量信息、服务器内存、I/O的使用情况,甚至应用系统对资源的占用情况等,主要包括三大类:告警事件、性能数据、配置数据。
[0105] 、安全运维管理
[0106] 建立全面的预警机制和响应机制,全面收集信息资产的漏洞、安全事件、告警、配置信息和性能数据,通过关联分析去除各种误报和冗余信息,发现有用信息,给出级别度量,并自动上报客服来降低风险,达到管理和控制风险的效果。
[0107] 安全运维管理对各类统一格式的内部数据进行分布式存储、管理和基于规则的关联分析,同时对各类任务进行统一协调管理并向下层的执行模块下发指令。按数据的类别和功能划分为安全管理和网络管理。一方面,对从采集终端收集来的各种数据进行存储;另一方面,接收上层的指令进行统一调度管理并传送给下层的执行模块以实现用户的管理功能。
[0108] 安全运维管理是平台的数据处理和指令指挥中心,主要由以下模块组成:
[0109] (1)安全管理
[0110] 安全管理对于采集到的各类原始安全事件进行分析后,最终需要人为去解决和处理的事件定义为安全故障,对于这些安全故障能够自动提交给客服进行工单/任务单的流转处理。
[0111] 通过安全管理,管理者可以得到图文并茂的安全报告,能够整体、宏观地了解相关地域、系统的安全情况。同时,也能更好地了解安全人员的工作业绩,并进行有效的业绩考核、工作安排和组织管理。
[0112] 对业务人员来说,安全管理将是业务人员从安全层面抓取数据的一个基础手段,实现以业务为核心的安全管理,使得技术真正有能力为业务提供需要的数据和内容。
[0113] 对技术人员来说,安全管理能够从一个相对权威的层面告诉技术人员该做什么,该怎么做。安全管理可以实现自动审计企业要求的安全基线符合性,将安全运维流程
固化在系统内部。技术员可以比较容易地通过安全管理了解到目前的安全
水平,以及存在的安全问题,彻底改变安全人员工作的盲目性。
[0114] (2)网络管理
[0115] 实现对异构的IT环境之运行、维护的规范化,同时对IT信息化的使用效果进行综合管理和分析。第一是面向服务的综合资源管理:对整个IT环境的所有资源,实现在一个平台上的综合透明的管理,全面掌握IT资源利用情况、诊断服务瓶颈,优化服务质量,同时为服务的扩展提供依据;第二是智能故障分析:能通过性能阈值判断服务的
临界状态,同时提供故障过滤与故障根源分析,简化故障处理难度;第三是全网流量分析可监控:网络中的“摄像头”,自动快速发现影响网络性能和状态的“罪魁祸首”;第四是即时可用的价值保证:方便的部署,实用的功能,大幅降低网络与系统的运行维护工作量。
[0116] 、客服
[0117] 在多用户模式之下,每一个企业用户的安全运维管理模块均为自治的,一个客服能够同时为多个企业用户提供安全运维管理服务。客服具有IT服务台的功能,客服能够存储安全信息和安全知识,产生告警通知(如email、短信、windows消息通知等),或在解析为特定的格式的基础上,通过调用外部对应的模块接口(如工单系统、短信网关、
防火墙互动等)实现各类特定响应。
[0118] 另一方面,客服还有配置功能,将平台内部统一的安全设备配置指令解析为特定的格式,通过调用外部对应的模块(各类实现级的安全设备配置工具或API)实现配置功能,该模块实际上翻译平台内部配置命令,并为安全设备管理模块提供实现级的支持。
[0119] 、分布式存储
[0120] 存储历史安全事件信息和历史网管信息,供搜素、数据挖掘和大数据分析;数据挖掘及大数据分析工具软件可以在安全运维APP商店里下载、使用。根据平台部署的不同,可以分为分布式存储和集中存储。例如,在多用户模式之下,如果安全运维管理模块被安装在各个所属企业之内,则此时的存储模式为分布式存储;然而,如图3所示,当所有的安全运维管理模块都存储在
数据中心时,此时的存储模式为集中存储。
[0121] 、APP商店
[0122] APP商店主要提供日常维护工作中需要的各种自动化工具:例如,任务单服务用于追踪风险和事故的处理情况;例如,预警服务可以实现主动的预警,通过平台和各个安全服务供应商共同合作,形成一条完整的预警-处理链,可以保证在漏洞出现还未被利用前就
送达各个管理员并保证被采取了应对的措施;还有通过对日常工作的进行评价来促使找到如何提高安全水平的方法;例如,跨网段的IP地址定位、IP地址分布情况查询、IP服务分布情况查询、远程Telnet接口检测、Web接口检测、Ping测试,SNMP连接测试,Trace Route等,这些易用、易理解的常用工具集,提高用户的快速解决问题的能力,方便用户的使用。
[0123] 如图1所示,所述客服模块,在多用户模式之下,每一个企业用户的安全运维管理模块均为自治的,一个客服模块能够同时为多个企业用户提供安全运维管理服务。它与各个企业的安全运维管理模块相连接,主要功能包括处理各个安全运维管理模块所上报的告警、派发工单、通过email或短信或windows消息通知等方式将告警通知给客户、通过SNMP SET等协议自动配置或自动批量配置各个企业设备的参数、自动配置或自动批量配置各个企业的安全策略,以及从安全运维APP商店下载处理告警所需要的工具软件;对于不能在短时间之内解决的重大告警,将问题升级,并请专家分析。在客服模块的客户端上能够访问所有各个企业的安全运维管理模块。
[0124] 所述安全运维管理模块,与各个企业的采集终端相连接,将各个企业终端上报的数据进行分析,深度挖掘安全风险和故障隐患,并上报给客服模块。其主要功能是安全风险分析、关联、故障定位、漏洞扫描、数据挖掘和实时监控等。安全运维管理模块的客户端能且仅能够访问本企业的安全运维管理模块和采集终端模块。
[0125] 所述采集终端模块,与安全对象和网管对象相连接,负责收集安全对象和网络对象的信息、预处理,以及配置命令和安全策略下发到安全对象和/或网络对象,并将预处理的结果上报给安全运维管理模块,支持Syslog、SNMP、ODBC、WMI、Opsec、HTTP等协议,支持本地存储。
[0126] 所述分布式存储模块,分别与安全运维管理模块、客服模块和安全运维APP商店相连接,存储安全运维历史信息,供全文检索、数据挖掘和大数据分析,支持HDFS、支持NAS/SAN互操作。数据挖掘及大数据分析工具软件可以在安全运维APP商店里下载、使用。
[0127] 安全运维APP商店提供易用、易理解的常用工具集,提高用户的快速解决问题的能力,方便用户使用;在本平台的任意一个客户端上均能够访问它。
[0128] 优选地,所述客服模块,包括配置管理子模块、用户管理子模块、门户管理子模块、告警通知子模块、流程管理子模块、知识库子模块、接口子模块和客户端子模块。
[0129] 所述配置管理子模块,配置或批量配置各个企业设备的参数和安全策略,内部统一将配置指令解析为特定的格式,下发到设备,实现配置管理功能。
[0130] 所述用户管理子模块,一方面,对平台中用户的管理及其能访问模块的授权。功能包括用户增、删、改、查,用户组增、删、改、查,可访问模块的授权,以及用户口令重置等;另一方面,用户管理模块能够实现对常见
操作系统、数据库系统、网络设备、应用系统、业务系统等IT资源系统的帐号拉、推、删除、修改和同步管理,建立企业统一安全目录,梳理用户树(包含主帐号、从帐号)和资源树的管理关系。
[0131] 用户管理具有单点登陆功能,为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录过程、用户ID和口令。它通过应用的集中接入和口令代填等方式向用户提供对其个性化资源的快捷访问提高生产效率和利润。同时,由于单点登录系统自身是采用强认证的系统,从而提高了用户认证环节的安全性。单点登陆系统支持以下强身份认证方式,包括:CA证书、令牌、USB Key、IC卡、短信密码认证、
生物识别。
[0132] 所述门户管理子模块,各个功能组件都可以通过门户进行统一呈现,可以依据权限使用其中的部分组件;通过此门户管理功能,实现相关组件和应用系统的集中呈现和用户单点登录。
[0133] 所述告警通知子模块,根据平台统一的响应指令产生标准响应通知客户,如email、短信、windows消息通知等,以及通过SNMP SET等协议修改设备的配置参数,产生告警关联动作。
[0134] 所述流程管理子模块,是安全运维管理策略的具体贯彻,是实现工单电子化处理,通过电子流程规范和优化安全运维管理部门的生产工作流程,从而提高安全工作效率。管理流程可划分为安全运维管理事件发现流程、安全运维管理事件分析流程、安全运维管理事件处理流程、安全运维管理趋势分析流程等。
[0135] 所述知识库子模块,能够实现关联分析的智能化、自动化,逐步实现基于专家系统的人工智能分析,同时为安全运维管理人员在处理事件的整个过程中提供分析处理的依据。用户可以定义、查寻、更新、维护知识库。用户可以直接在知识库中添加相关安全知识、安全策略、安全漏洞、事件特征等,完善知识库模块的功能。
[0136] 所述接口子模块,提供了平台与其被集成系统的交互功能,主要起采集异构数据和调用特定系统接口的作用,例如,与安全事件预警信息和用户安全投诉的接口、企业MIS的接口和下发配置和策略的接口等。
[0137] 所述统一界面,支持PC和手机客户端,展示包括客服信息、APP商店信息、安全运维管理信息等。安全运维管理平台的管理和使用人员包括资产管理人员、安全运维监控人员、安全运维管理员、安全运维人员、安全负责人领导等,不同的人员关注的信息有所不同。为实现界面风格的灵活统一,事件基于统一界面方式进行展示。
[0138] 优选地,所述安全运维管理模块,包括安全管理子模块、运维管理子模块、通用功能子模块和客户端模块。
[0139] 所述安全管理子模块,是协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。安全管子模块是一种安全管理的形式,他的职能分成管理层面的职能和技术层面的职能,它的存在有效地将企业的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起,保持一致性。
[0140] 所述运维管理子模块,从网络和应用的不同层次,收集与业务/服务相关的各种信息:网络设备信息、全网流量信息、服务器内存、I/O的使用情况,甚至应用系统对资源的占用情况等;同时,内置的智能系统对收集到的信息进行综合关联分析;不同于设备厂商提供的专用管理工具,为企业提供透明化的全面管理视图。
[0141] 所述统一界面,支持PC和手机客户端,展示包括客服信息、APP商店信息、安全运维管理信息等。安全运维管理平台的管理和使用人员包括资产管理人员、安全运维监控人员、安全运维管理员、安全运维人员、安全负责人领导等,不同的人员关注的信息有所不同。为实现界面风格的灵活统一,事件基于统一界面方式进行展示。
[0142] 优选地,所述采集终端模块,包括数据采集子模块和预处理子模块。
[0143] 所述数据采集子模块,根据要求采集被管理资源(安全对象、网管对象),包括各种安全设备、网络和主机设备的原始信息,诸如事件信息、漏洞信息、流量信息和从网管系统或其它安全运维管理平台采集的数据等,并存储在本地数据库中;组件有:安全/网管事件采集组件、安全漏洞采集组件、配置采集组件、性能采集组件、资产发现组件。
[0144] 具体地说,平台至少支持如下方式采集各种数据:
[0145] (1)Syslog:采集Unix和各种支持Syslog协议的防火墙、路由器、交换机、防病毒和IDS等系统或设备;
[0146] (2)Snmp Trap V1、V2、V3:采集各种支持Snmp协议的防火墙、路由器、交换机、防病毒、终端
补丁、IDS和应用系统等系统或设备;
[0147] (3)FTP:采集开放FTP下载服务的应用系统的日志文件,例如Apache的日志文件;
[0148] (4)OPSEC:采集CheckPoint防火墙的日志;
[0149] (5)ODBC:采集系统日志存储到关系型数据库的应用系统的日志,例如数据库自身日志开启情况下的日志采集;例如MOM微软运行管理平台,所有微软的服务器产品的日志能够统一记录到此管理平台;
[0150] (6)通用文件:支持基于文件的日志采集,如通过FTP,NFS或SMB等获得日志文件的方式,并能够通过模板配置完成日志记录的格式化;
[0151] (7)专用日志采集接口:对仅支持专用管理接口的系统,能够支持多种专用API采集接口和通用的采集调度能力,例如Lotus Domino系统的Database API、Windows的WMI;
[0152] (8)主机代理软件:负责采集不支持公共通讯协议或需要特殊解析的应用系统的日志,例如IIS系统。
[0153] 具体地说,平台至少支持如下数据采集模式:
[0154] (1)直接从被管各类对象采集配置、日志、漏洞、性能信息;
[0155] (2)从网管系统采集机通过数据共享同步获取被管理对象的相关信息;
[0156] (3)从SOC采集机通过数据共享同步获取被管理对象的相关信息;
[0157] 具体地说,平台至少支持如下数据采集内容:
[0158]
[0159] (1)路由器设备管理内容
[0160]
[0161] (2)交换机设备管理内容
[0162]
[0163] (3)主机设备管理内容
[0164]
[0165] (4)终端设备管理内容
[0166]
[0167] (5)数据库管理内容
[0168]
[0169] (6)应用系统管理内容
[0170]
[0171] (7)中间件管理内容
[0172]
[0173] (8)防火墙\UTM设备管理内容
[0174]
[0175] (9)IDS\IPS入侵检测系统管理内容
[0176]
[0177] (10)防病毒系统管理内容
[0178]
[0179] (11)终端管理系统管理内容
[0180]
[0181] (12)漏洞扫描管理内容
[0182]
[0183] (13)防垃圾邮件网关
[0184]
[0185] (14)防DDos攻击设备
[0186]
[0187] 所述预处理子模块,将数据采集的所管理资源(硬件、软件等)参数按照一定格式进行预处理,同时要求遵循标准的通信协议进行输出或被访问,输出到安全运维管理平台。
[0188] 数据预处理流程,主要集中Probe和Server两个层面,包括:
[0189] 1、Probe的数据处理流程:
[0190] (1)原始事件采集
[0191] (2)事件标准化
[0192] (3)事件过滤
[0193] (4)事件主机重定向
[0194] (5)事件归并压制
[0195] 2、Server的数据预处理流程:
[0196] (1)事件可信度分析
[0197] (2)事件级别重定义
[0198] (3)事件关联分析
[0199] (4)告警转化入库
[0200] 优选地,所述安全管理子模块,包括风险管理、配置管理、脆弱性管理、预警管理和资产管理。
[0201] 所述风险管理,全面收集信息资产的漏洞和相关事件,通过关联分析去除各种误报,发现有用信息,给出级别度量,并自动上报客服模块,达到管理和控制风险的效果。一方面,对从采集终端收集来的各种数据进行存储;另一方面接收上层的指令进行统一调度管理并传送给下层的执行模块以实现用户的管理功能。风险管理是平台数据处理和指令指挥中心,主要功能包括)漏洞分析、威胁分析、风险分析、攻击分析。
[0202] 所述配置管理,从管理上来说,建立企业内部统一的安全配置标准,实现企业内部设备安全标准化管理;从技术上来说,自动化实现内部设备安全配置核查,智能实现针对内部设备安全加固;从运维流程上来说,自动监控各设备安全配置,定期输出各设备安全配置状态报表,自动化进行设备安全配置生命周期维护。
[0203] 所述脆弱性管理,首先,通过远程安全扫描获得安全脆弱性信息和通过在主机上运行脚本收集的脆弱性信息。在定期收集到这些脆弱性信息后可以利用脆弱性管理系统进行导入和处理,以利于安全管理员对脆弱性信息的查询、呈现并采取相应的措施进行处理,并提供脆弱性分析预警功能。
[0204] 所述预警管理,即通告预警机制,安全运维管理人员可以预测并提前采取相应的措施来规避可能发生的安全运维管理问题。
[0205] 所述资产管理,依据自动发现网络环境信息,提供网络拓扑管理、对象扩展管理、网络状态监视,直观体现在平台上。
[0206] 优选地,所述运维管理子模块,包括拓扑发现管理、线路状态分析、环境管理、数据流监视与分析、应用服务管理、智能巡检、网络接入管理、面板管理、告警管理、故障相关性分析、设备管理和设备健康分析。
[0207] 所述拓扑发现管理,采用多种算法、迅速搜索整个网络内的所有节点、支持多厂商的设备组成的“混合”网络,智能分析网络拓扑结构,自动勾画出整个网络的真实物理拓扑图,真实反映整个网络的运行状态。拓扑图直观地反映设备的分布情况、负载状况和设备属性,以及线路的实时流量;通过颜色显示负载和流量的压力,主动告诉用户关注点应在哪里,动态告诉用户可能的故障隐患。
[0208] 所述线路状态分析,以丰富的图、文报表的方式,分析线路收发流量、流速趋势分析,设备端口流量、趋势分析,线路间流量对比分析;支持线路流量的阈值设定,对过载实施预警。
[0209] 所述环境管理,为用户提供所见即所得的机房拓扑图,直观展示机房物理或逻辑部署状态。用户可以根据机房设备的真实物理排列,或个人对设备的分类和关注程度,设定一个或多个机柜,将不同设备放置在机柜中;机柜的高度可以根据设备的多少灵活调整,设备在机柜中的位置可以上下拖动调整。
[0210] 所述数据流监视与分析,关注网络中数据流量的组成,通过数据流分析探针的方式,对网络中的数据流量进行2-7层的监视,确保流量的透明化管理,并据此对网络中各种业务应用占用网络带宽的情况进行分析,为用户及时掌控网络带宽的使用提供依据。
[0211] 所述应用服务管理,将主机、中间件、数据库、标准应用等IT组件纳入到日常运维体系中,化繁为简,以最直观、最便捷的方式帮助用户实现对“业务相关IT组件”的实时监控,辅助用户执行高效率、高质量的业务管理。
[0212] 所述智能巡检,支持多用户、多任务的巡检工作模式,支持人工/自动双巡检方式;实现单个巡检单工作周期设置,可根据巡检任务的工作特性安排工作周期;提供健康等级比较,辅助评价当前IT系统整体运行状况;提供巡检统计分析功能,直观展示整体IT运维状况的短板所在。
[0213] 所述网络接入管理,提供网络接入控制功能,及时发现非法占用IP资源,内部设备非法跨网段接入,以及外部设备非法接入内部网络,并进一步定位到设备端口,实现实时干扰。保障全网的IP管理秩序和网络接入安全。
[0214] 所述面板管理,在设备面板图上,用户可以随时查看端口流量、端口所连接的设备、端口的类型、工作状态、端口速率等重要信息。面板图真实、实时地显示设备的真实运行状态。对于某个具体端口,平台提供与该端口连接的主机名称、相对应的IP地址、MAC物理地址;提供端口关断与启用操作。
[0215] 所述告警管理,通过实时监视整个网络应用,可以不断获取设备各类指标参数,在问题发生前及时了解非正常情况,分析非法入侵、攻击、病毒、物理故障等现象。
[0216] 所述故障相关性分析,当网络中发生了故障以后,如何尽快判断故障的原因、性质和发生地点,是排除故障的关键前提。告警的大数据量问题是影响网管性能和系统稳定性的关键问题,因此,实现告警相关性分析是网络故障管理系统的一个重要和基本要求。通过告警相关性分析,去除假告警,精确定位告警。
[0217] 所述设备管理,实时监视网内所有设备的各个端口、CPU、内存,既可以通过传统的设置阈值的方式来判断异常,也可以通过对历史数据的智能分析,及时发现网络设备的异常波动;对工作异常的设备,可进一步查看实时详细工作情况,并可远程关闭相应端口。
[0218] 所述设备健康分析,主要提供故障预测和健康状态管理两个功能。故障预测功能可预测故障发生时间和部位,并确定设备的剩余寿命,在发生灾难性事故之前,能够及时预知,并采取必要的维修预防措施;健康状态管理则是根据诊断和预测信息、可用维修资源和使用需求对维修活动做出适当的决策。
[0219] 优选地,所述通用功能子模块,包括查询、报表管理、实时监控、系统管理和上下级管理。
[0220] 所述查询,提供实时数据查询、历史数据查询、模糊查询和全文检索等,例如,资产查询、脆弱性查询和风险查询等。
[0221] 所述报表管理,包括预制报表和自定义报表。
[0222] 所述实时监控,对企业信息系统运行的过程进行同步的监控,实时地展现企业安全设备、网络设备和系统运行状态等。
[0223] 所述系统管理,包括角色权限管理、组件状态管理、系统和数据库维护、响应规则管理、扫描器注册和管理、代理管理、任务调度中心、Syslog服务器管理。
[0224] 所述上下级管理,针对多级安全运维管理模块的特点,上下级之间需要有一个统一管理的功能,例如,消息通讯接口、数据下发接口、数据上报接口等。
[0225] 优选地,所述统一界面,支持PC和手机客户端,展示包括客服信息、APP商店信息、安全运维管理信息等。安全运维管理平台的管理和使用人员包括资产管理人员、安全运维监控人员、安全运维管理员、安全运维人员、安全负责人领导等,不同的人员关注的信息有所不同。为实现界面风格的灵活统一,事件基于统一界面方式进行展示。
[0226] 基于统一界面实现数据的展示的方案实现包括:
[0227] (1)技术标准选择
[0228] 统一界面平台遵循JSR 168 Portlet规范,遵循J2EE规范。
[0229] (2)安全监控和管理功能
[0230] 统一界面支持安全运维管理的监控功能,包括图形化的安全事件的实时告警信息、安全风险信息、多角度展示业务视图、基于平台、业务和IT资产的多种报表等。
[0231] (3)应用集成能力
[0232] 能集成其他B/S应用系统和安全系统;能展示第三方基于JSR 168 Portlet的告警监控;支持标准的J2EE、Portlet API,提供门户应用开发API等。
[0233] 如图2所示是安全运维管理平台的一种多用户模式的部署
实施例,每一个企业都要安装一个安全运维管理模块和一个采集终端模块,共用一个客服模块和一个安全运维APP模块。各个企业的安全运维管理模块都部署在数据中心,客服模块和安全运维APP模块也部署在数据中心;然而,采集终端部署在各个所属企业内。在这种多用户模式之下,每一个企业用户的安全运维管理模块均为自治的,互不影响,并且,一个客服模块能够同时为多个企业用户提供安全运维管理服务。
[0234] 如图3所示,是所述平台所支持的其中的安全运维管理流程。首先,客服接收经过安全运维负责人确认的安全运维管理模块的故障告警、或接收用户的安全故障投诉、或接收第三方安全机构的预警信息;如果故障被客服解决了,则关闭所述故障的工单,并通知用户,流程结束;否则,将所述故障转派给安全运维管理员进行定位,如果所述故障被解决,则关闭工单,并通知用户,流程结束;否则,转派专家来进一步的分析和处理。
[0235] 如图4所示,是安全运维管理平台主要的接口(数据采集接口除外),包括与外部接口和
内部接口。外部接口是与MIS的接口,以及第三方组织和用户的接口;内部接口是向被管设备下发指令接口。
[0236] 以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的
专利范围所涵盖。
