科技成果 设备运维智能化调控关键技术研究与系统应用
刘燕文
[摘 要]本文对安全运维平台所需的关键技术进行了阐述,描述了其在企业系统中运行的规则和实现的方法。
[关键词]安全运维平台;关键技术
中图分类号:TP309 文献标识码:A 文章编号:1009-914X(2016)22-0133-01
0 引言
当今实际处于信息技术迅速普及的时代,各行各业的业务领域都在不断地扩大,信息化建设的程度也在逐渐提高。很多企业在规模迅速扩张的时候却忽视了信息化建设的整体规划,导致安全运维工作严重滞后于经济发展工作,给业务的持续性和可靠性带来危机,本文笔者阐述了安全运维所需的关键技术:
1 从多元化、异结构的设备中进行数据采集并将其标准化的技术
(一)数据采集
数据采集以遵循snmp、syslpg、telnet等网管协议或者日志文件为前提,并在此基础上实施风险评估、故障分析、安全监测和网络监控等信息收集工作。日常安全运维中通常通过服务器运行状态信息、数据转发、网络流量和防火墙的攻击日志等途径进行信息的收集。数据采集并没有对采集的内容和采集的形式进行规范化要求,在本质上它就是从信息网络中获取信息的过程,只要能够满足为某种目的的分析活动持续、有效、正确地收集信息的目的,我们都可以将之成为数据采集。数据采集在安全运维管理中的作用可见一斑。举例来说,监控中心的职责就是图形化展示业务系统信息和设备安全信息并对日志进行审计,所以它需要直接对数据进行处理;分析中心则是分析各个安全设备的警告事件并实施关联分析的场所,数据采集对二者都至关重要。
当前安全运维平台的数据采集存在以下弊端:首先,产品类别纷杂。企业在数字化和信息化过程中产生了购买大量产品的需求,而这些产品往往都是不同厂商、不同品牌的,如微软、华为、思科等,这就导致了功能的重叠和交叉,比如在防火墙、路由器、交换机、数据库和操作系统上存在着一致性的功能;其次,部署地点地理位置悬殊。各个设备和应用系统并不是集成化部署和安排,而是分别部署在不同的机房或者安全域之内,客观上存在着层级关系,给数据采集带来了难度;再次,事件类型和发送方式存在差异。各个品牌对事件的描述都有自己的字段和格式,还可能通过不同的协议方式进行数据的发送,导致了采集来的数据适用性和灵活性都受到限制。
针对数据采集的上述弊端,笔者认为采取多元化的方法对所有设备进行数据采集是可行之策。以下方法可以考虑其中:基于网络的数据采集、基于主机的数据采集、基于syslog采集设备的日志信息、基于SNMP trap的数据采集、基于文本方式的数据采集。多元化的数据采集方式能够提升数据的兼容性和适用性,便于进行后续的分析工作。
(二)事件标准化
时间标准化是一种翻译机制,它能够将安全事件按照统一的格式进行处理。事件标准化的过程就是对从不同设备中采集的事件信息进行规范化处理,使之能够被系统识别的过程。数据标准化在内容上涵盖了数据格式、字段名称、事件名称的标准化。我们不难看出,标准化的目的是统一安全事件的格式和信息,从而便于后续的关联分析。数据标准化应该尽可能遵循两个原则:第一,尽可能保持数据的完整性,使得原始事件中的所有信息填充到标准化事件记录中,以使其在服务器终端中的适用性更高;第二,标准化过程需要预留一些字段,为以后的信息扩展做出准备。标准化的事件字段应该包括事件编号、事件名称、事件内容、事件类型、设备地址、设备名称、设备类型、威胁级别、原始级别、事件时间、原始时间、协议、源地址、源子网掩码、目的地址、目的子网掩码等内容。
另外,数据标准化之后、关联分析之前,要进行时间信息补全工作,将分析的精确度和准确度提升到一定高度。在实际安全运维中通常需要做的是事件的威胁级别和资产信息补全工作。
2 多个安全域情境下的地图动态报警技术
(一)划分安全域
在复杂和庞大的信息网络之中,对资产最理想的管理状态是确定一种可以精细化管理的方法,但是精细化管理的代价是管理成本的上升和管理工作复杂性的增加,并且更容易因为错误或者疏忽造成严重的安全漏洞。但是从另一个层面来看,如果对所有的防护对象采取同种安全等级防护又会丧失防护重点,导致数据保护难以做到有的放矢,风险管控能力大大降低。因此,采取分安全域进行防护的方式是相对科学的一种防护方法,划分安全域就是将网络结构和物理区域进行分区管理的过程,每一个安全域在安全级别、安全威胁、安全防护上应该具有一致性,这样所有的资产都能够划分到不同级别的安全域之中去,实现针对新安全防护。划分安全域进行防护在本质上是对复杂环境分解、使之成为简单组合的过程,整个复杂、庞大的网络信息能够分散到不同的安全域中,这样能够实现全方位、多角度的保护形态。
在对企业业务系统进行分析之后,安全域可以在大体上划分为安全用户域、安全网络域、业务服务域、基础保障域几类。安全用户域包含了企业内部系统中的管理维护终端和用户终端,它们经常和业务用户域发生关联,因此需要在终端桌面安全管理、访问控制、日志审计上下功夫;安全网络域则是指网络设备和网络拓扑方面的安全域内容,对整个系统的网络安全性和可用性负责,该域需要做好域间的安全隔离工作并进行边界保护;业务服务域则是指业务服务器、业务数据库等业务系统,是整个安全域中的核心子域,需要在防范病毒攻击、木马植入、信息篡改和盗取、数据丢失方面做好足够的安全工作;基础保障域提供的是基础性的安全服务,主要涵盖身份认证、访问控制、补丁管理和策略管理等内容。
(二)动态地图报警技术
通常的安全运维管理在发生报警事件的时候都是以记录的形式显示的,但是这样做的一大弊端是管理员查看非常不方便,难以快速找到并定位安全事件。所以笔者认为经报警事件和地图技术结合是非常有效的一种方法。当安全事件发生的时候,地图监控动态地显示警报信息,并且允许管理员点击查看该信息。
多个安全域情境下的地图动态报警首先需要进行配置工作:划分安全域、配置地图、创建资产、标识位置并分配安全域;其次要进行监控工作:发现警报并查看信息;再次要对警报进行管理:通报警告、工单响应处理。
参考文献:
[1] 王雪芳,薛红荣,基于深层数据集成的统一网络安全管理关键技术研宄[J].产业与科技论坛,2011.
[2] 李明明.统网络安全管理数据采集与分析系统的研宂与实践[D].东华大学硕士学位论文,2010.
[3] 刘光伟.基于的企业信息化运行体系再设计[J].信息技术,2012.
