新一代信息安全管理平台的设计思路

龙源期刊网新一代信息安全管理平台的设计思路作者：徐金伟来源：《信息安全与技术》2015年第11期【摘要】论文详细地阐述了新一代信息安全管理平台的设计思路，提出了引入大数据关联分析和历史数据追溯等技术，重点防范“AET【注1】和APT【注2】”攻击的设计要点，可供从事信息安全管理平台研发的专家和技术人员参考。【关键词】信息安全管理；信息安全管理平台1引言前些年，在我国推进信息安全体系建设的工作中，各行业在信息网络边界和纵深部署大量信息安全防护产品的基础上，为了符合国家信息安全的相关政策和监管要求及便于进行一体化管理和掌握整个信息系统的安全态势，许多单位还部署了信息安全管理平台，并在信息系统安全运行和管理上发挥了重要的作用。信息安全管理平台是网络中心必备的安全管理基础设施，是网络安全管理员遂行网络安全管理任务的必备手段，是网络安全体系结构中的一个重要技术支撑平台。为规范网络系统的安全管理，重要的信息网络都应设置信息安全管理平台（见《信息安全技术信息系统等级保护安全设计技术要求》GB/T24856—2009）。近年来，随着云计算、物联网和移动互联网技术的兴起，信息网络的边界愈发模糊，系统中的虚拟化技术和设备被广泛采用，信息系统中的安全信息采集和集中审计变得更加困难。另一方面，外部的信息安全威胁，随着AET和APT技术的不断升级，也变得愈来愈凶险和难以防护。面对当前信息安全的新形式，以往的信息安全管理平台必须进行更新换代或升级改造。搭建新一代信息安全管理平台（以下简称平台）有重要意义：（1）设计和建设新一代平台是构建自主可控信息安全体系体系顶层设计不可或缺的重要一环，以实现对重要信息系统的风险可监控、可管理、业务过程可审计，真正实现安全体系自主可控，保障体系安全；（2）引入大数据分析技术完善平台关联分析能力，增加AET和APT攻击的检测技术手段，提升信息系统安全态势感知和预警能力，可及时发现和处置重大信息安全威胁，真正实现信息安全自主可控。2设计目标信息安全管理平台的设计目标是：设计一体化、开放性和具有智能防御未知威胁攻击的平台。一体化就是将多家不同类型的安全产品整合到一起，进行统一的管理配置和监控。开放性就是提供标准的接口，使第三方产品很容易整合到系统中。智能防御未知威胁攻击，就是充分龙源期刊网利用和发挥大数据技术应用于安全态势和安全事件的深度挖掘和分析，对AET和APT进行检测和响应，构建智能化的主动防御系统。通过信息安全管理平台，对网络系统、网络安全设备以及主要应用实施统一的安全策略、集中管理、集中审计、并通过网络安全设备间的互动，应对已知和未知的安全威胁，充分发挥网络安全防护系统的整体效能。3设计原则依据GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T20269-2006《信息安全技术信息系统安全管理要求》，结合网络安全管理的实际需求，按以下原则设计信息安全管理平台。（1）标准化设计原则。为了能够与第三方厂家安全产品联动，安全管理平台需制定安全产品互联的接口标准，这个接口标准在业界应具有权威性并易于操作，便于各厂家实现。（2）逐步扩充的原则。网络系统安全集中管理包含的内容很多，管理技术难度很大，安全管理平台的建设应选择好切入点，本着由简至繁，逐步扩充的原则进行。（3）集中与分布的原则。许多单位网络从结构上看，呈树状的多节点分层（级）结构。这些网络具有分布广、结构复杂的特点。为此，可在各层（级）网管中心设置安全管理平台，其作用是对本级局域网进行集中安全管理；上级对下级采用分布式分级的方式进行安全管理。4设计要求（1）可扩展性。信息安全管理平台的系统设计，终端采用以对象模型驱动的管理机制，对象模型用XML语言描述，可以通过定义/修改对象模型的属性（关系和操作），即插即用地扩充和管理网络终端及服务。此外，管理平台主机在性能和带宽上，应留有一定冗余度，具有管理1000～5000个对象的扩展能力。（2）易用性。信息安全管理平台提供的所有功能，应做到操作简易，界面友好，使用方便。（3）经济性。信息安全管理平台设计，应采用先进的、成熟的软硬件IT技术，搞好总体设计，优化软件编程，避免重复投资，提高性能价格比。（4）稳定可靠性。信息安全管理平台设计，应重视硬件支撑设备的选型，性能上应留有空间；安全管理软件要经过充分测试，不断优化，保证系统稳定可靠运行。龙源期刊网（5）自身安全性。信息安全管理平台设计，要重视自身的安全性，系统应具有管理员身份和权限的双重鉴别能力，应保证数据网上传输的完整性、保密性和数据记录的真实可靠及抗抵赖性。5系统组成和主要功能信息安全管理平台的基本功能是：对网络系统、安全设备、重要应用实施统一管理、统一监控、统一审计、协同防护，以充分发挥网络安全防护系统的整体作用，提高网络安全防护的等级和水平。5.1系统组成信息安全管理平台由几个模块组成：人机界面模块、总控模块、安全网管模块、安全监控模块、安全审计模块、安全策略处理模块、安全代理模块、安全事件分析模块、安全事件响应模块、设备配置模块、平台与设备接口模块和安全管理数据库。系统的逻辑结构如图1所示。（1）人机界面模块。面向安全管理员的操作控制界面。（2）总控模块。总控模块控制信息安全管理平台各模块正常运转，其中包括网络通信和通信加密程序，用于保障网络间远程数据交换的安全（主要是真实性和完整性）。（3）安全网管模块。用于显示网络拓扑并进行安全网管。（4）安全监控模块。用于对网络主机和网络设备进行安全监控。（5）安全审计模块。接受操作系统或下一级安全管理平台发来的安全日志；接收主机代理、防火墙、IDS等网络安全设备发来的报警信息；接收网络出口探针记录的网络数据流信息，存储并实时进行内容审计。安全审计的方式有三种：基于规则和特征的安全检测，基于数据流的安全检测，基于特定场景深度数据挖掘的安全检测。审计的结果：启动报警系统和产生安全态势报表。（6）安全策略处理模块。自动将安全策略翻译成安全设备可执行的规则。（7）安全代理模块。安装在网络客户机（服务器、终端）操作系统中，与安全管理平台上的安全监控模块配合使用。其作用是用于接收安全管理平台发来的监控指令和审计规则；监视客户机的工作状态；根据规则进行安全过滤和记录；将安全记录实时发回至安全管理平台。（8）安全事件关联分析模块。将所有收集到的安全事件按其对系统安全的危害程度等级进行重要性排队，然后调阅安全专家知识库，对事件进行基于规则的实时关联分析，该模块可引入大数据的历史关联分析能力，以提升关联的可信度。最终将分析结果（关联要素）和处理规则，提交安全事件响应模块或管理员处理。龙源期刊网（9）安全事件响应模块。按预先制定的安全事件处理规则（应急预案）对事件自动进行安全处置。（10）系统配置模块。对IDS/IPS、防火墙、内容监测、主机代理等安全系统设备或模块进行安全和审计规则的配置。（11）平台与设备接口模块。实现信息安全管理平台与各类网络安全产品之间的标准数据交换。其流程是：各类安全产品将各自检测到的安全日志通过接口模块进行格式转换后发给平台安全事件收集模块，供安全管理平台分析处理。平台人机界面或安全事件响应模块发出的处置指令，通过接口模块发给指定的安全设备，安全设备接到指令后按相应安全策略执行；信息安全管理平台能够管理的系统和设备有：防火墙、IDS/IPS、内容监测、路由器、交换机、网络主机。（12）安全管理数据库。安全管理数据库是安全管理平台运行的基础资源，主要存放从本级和下级网络采集来的所有安全数据（包括日志数据、设备状态数据）、安全策略数据、安全专家知识、网络拓扑连接关系、网络中所有客户机的详细地址和安全管理平台加工的各种报表数据等。5.2主要功能（1）网络安全管理。在各级安全管理平台上动态显示本级局域网当前网络拓扑，根据策略，适时改变网络拓扑结构。动态显示网络设备（路由器、交换机、服务器、终端）的在线状态、参数配置，及时发现系统结构变化情况和非授权联网的情况，并予以响应。①自动识别网络中主机的IP、机器名称和MAC地址。②按部门对设备（交换机、路由器）、主机和人员进行管理。③通过系统提供的智能学习功能，自动识别网络的物理拓扑结构。④自动生成网络拓扑图（该网络的真实物理联接结构图），并能动态显示当前的网络状态，如图2所示。⑤动态显示主机的当前状态，如合法使用（如IP和MAC地址的配对，已登记注册的合法主机）、非法使用（如IP和MAC地址随意更改）、关机、不通或故障、未登记主机的入网使用等。⑥可以自动发现入侵的主机，并关闭其网络连接端口。⑦提供主机与设备端口的绑定。龙源期刊网⑧提供网络逻辑图（显示设备之间的连接关系）、网络拓扑图（显示整个网络中所有设备、主机及其连接关系）和组织结构图（显示该单位的组织结构），可以方便地在三种不同的显示方式之间切换，便于网络安全管理员全面掌握和操控整个网络；在网络拓扑图中可以拖动设备（交换机、路由器、集线器）改变其相对位置；进行文字和分组标注；改变设备与设备、设备与主机之间的连接关系；还可以由系统对所有设备、主机进行自动排列。（2）网络监控管理。安全管理平台上的网络安全管理与监控功能，可根据制定的安全策略，对受控主机进行安全控制。①对受控机进行主机屏幕监视或控制（接管）功能。②对受控机部分或全部文件进行访问控制，即对文件的访问，不仅要通过系统的认证，还必须通过网络安全管理与监控系统的认证才能访问。③对受控机网络访问进行通断控制。④对受控机无线上网进行阻断控制。⑤对受控机的打印机、USB移动设备进行允许和阻断控制。⑥对受控机的进程进行监控，可以控制指定进程的加载。⑦对受控机的internet访问进行基于IP和DNS的详细控制，提供Internet网络监控。（3）网络安全设备管理。在各级安全管理平台上，根据安全策略，对本级局域网设置的防火墙、IDS/IPS等进行参数配置，并适时监测安全设备的运行状态，以便及时处理。（4）策略执行管理。根据安全策略生成的安全规则，通过管理平台向所有网络系统中安全设备和主机用户发布，实现对网络设备、网络客户机、安全设备及主要应用系统进行控制的目的。安全策略处理模块功能有：对中层安全策略提供的形式化语言进行程序处理，输出安全设备安全规则配置表；安全管理员通过安全管理平台设备配置界面手工配置安全规则配置表；将安全规则配置表通过网络发给安全设备并执行；安全管理平台也可直接对网络中的受控客户机进行安全规则配置。（5）审计管理。审计数据的获取有四条渠道：各客户机上的代理模块发来的内网安全事件实时报警和安全日志信息；不同厂家安全产品（防火墙、IDS等）发来的安全事件报警和安全日志信息；下级安全管理平台发来的安全日志和网络探针发来的网络数据流信息。紧急安全事件报警信息通过安全事件分析和响应模块实时处理。安全日志直接存入安全日志数据库。网络数据流存入盘阵中，供事后历史数据关联分析和部分实时处理。龙源期刊网在各级安全管理平台上的审计管理包括：对本级局域网络系统中的设备（包括路由器、交换机、服务器、数据库、客户机）根据预先制定的审计规则产生的故障、访问、配置、外设的报警信息和安全日志进行审计；对本级局域网络安全防护设备（包括防火墙、IDS/IPS）及主要应用系统等在运行中产生的安全日志，进行采集、分析；上级安全管理平台有选择的抽取下级的安全事件进行审计，对严重的安全事件及时督促下级采取相应措施及时整改；对本级局域网中的进出口数据流进行记录和实时异常检测。审计内容涉及十个方面。①对受控机文件按IP地址、操作时间、操作类型、操作内容、用户名、机器名等进行审计。②对受控机进行基于IP（源IP、目的IP）和DNS的internet访问审计，审计内容为源IP、目的IP、访问时间、协议、服务和访