信息安全态势感知平台技术白皮书Word文档格式.docx
《信息安全态势感知平台技术白皮书Word文档格式.docx》由会员分享,可在线阅读,更多相关《信息安全态势感知平台技术白皮书Word文档格式.docx(18页珍藏版)》请在冰点文库上搜索。
信息安全态势感知平台-技术白皮书
电子文档
信息安全态势感知平台-技术白皮书.docx
版本号
1.0
机密
文档编号
制写人员
编订时间
阅读人员
版本控制信息
版本变更日期
作者
摘要
新建文档
1.综述错误!
未定义书签。
1.1.项目背景错误!
未定义书签
1.2.管理现状错误!
1.3.需求描述错误!
2.建设目标错误!
3.整体解决方案错误!
3.1.解决思路错误!
3.2.平台框架错误!
动态掌握全网风险状态错误!
实时感知未来风险趋势.错误!
安全管理提供数据支撑错误!
决策执行效果进行评价.错误!
4.平台功能介绍错误!
4.1.全网安全风险实时监测错误!
解决问题场景错误!
具体实现功能描述错误!
4.2.业务系统安全风险管理错误!
4.3.内容安全风险管理错误!
4.4.数据安全风险管理错误!
4.5.重大安全事件态势分析错误!
46信息安全整体态势分析错误!
4.7.信息安全专项整治错误!
5.平台部署方案错误!
6.方案的亮点及优势错误!
1.综述
1.1.项目背景
随着信息化的发展,国际国内各行各业的信息安全事件频发,给国家和社会造成重大的经济损失、严重的社会负面影响,致使老百姓的生活形成不同程度的困惑。
电信运营商作为通讯服务提供商,其掌握大量用户信息和运营数据,安全、有效地监管内部信息的产生、存储、传输和使用等环节极为重要。
在十八后,信息安全的重视不同程度的提升,2013年两部委明确要求各电信运营商必须成立专职部门,并明确各级信息安全中心(部)工作职责,保障和指导集团、省市的信息安全工作开展及技术支持,为该范围内信息安全工作统一接口。
因此,信息安全中心(部)的工作很重要,如何做到集中、实时地监控全网信息安全状态、安全事件变化、安全预警、安全评估、以及预估未来风险走势等内容成为信息安全管理重点,用技术手段建立一套完整的支持平台,协助信息安全工作尤为重要。
1.2.管理现状
各省公司的信息安全部(中心)成立不久,其组织机构、技术支持手段都处于的建设与完善阶段,对全省的信息安全现状正在梳理与清查,各类安全防护系统和手段皆较独立,大部分信息安全监测平台均以生产单位或业务范围为安全主体而存在,很难或无法从全省的角度上完整、全面地反应出信息安全状态,未形成一套信息安全状态实时监测、分析、告警、展现及跟踪、取证等的信息安全态势感知平台。
各省信息安全主要存在以下几个现状:
1、全省网络结构复杂,业务众多,安全态势全面掌控难从模拟到数字,移动网络、业务系统不断改变与发展,其网络结构、业务各类和关系也越来越复杂,信息安全的状态和发展很全面、实时掌握与把控。
2、安全系统分散,安全日志数量巨大,全面准确分析和定位难各省的信息安全建设最初都是以业务为对象或管理主体业务范围为中心而形成,其安全系统分散独立,海量的安全日志分布在各个安全系统中,无法进行安全事件关联分析,很难对信息安全风险的状态变化监控和安全事件的定位。
3、安全管理工作量巨大,缺乏数据支撑,科学决策难
信息安全管理工作集中为一个部门来处理,其安全管理工作量可想而知,而其成立不久,缺乏相应技术手段或安全系统支持,对日常的信息安全管理与信息安全的建设缺乏数据支撑,难很做到科学化决策。
目前,各省信息安全大多都处于独立分散状态,信息安全中心(部)对全省信息安全的状态监测都存在时间上的不及时、分析不全面,无法对全面信息安全现状进行正确评价,难以为信息安全工作决策支持,无法形成信息安全实时监测、告警、响应等全方位、立体化的纵深式监管机制。
1.3.需求描述
通过对多省的信息安全中心(部)的管理现状跟踪与调查,对其状况进行深入分析,并结合运营商信息安全监管特点和信息安全管控体系的缺陷,我司认为现阶段信息安全的监管面临如下几个挑战(状态监测、分析、量化与跟踪):
1.信息安全风险的发现,面对全省复杂的网络结构、众多的业务以及分散的安全系统,如何做到信息安全风险状态的及时发现、全面的发现以及准确的发现?
2.信息安全风险状态分析,从当前各省的安全系统建设情况来看,其安全系统多以独立存在,要么只能反应出网络层面的安全状态、要么只能反应某个或某几个业务系统的安全状态,而信息安全所面临的风险往往是复杂的,缺乏集中性和整体性。
真正高价值的是业务信息、数据资产、用户信息等内容,针对风险的利用过程或环节来看,很多安全风险或风险状态往往需要对各层面、一系列的设备和关联系统的关联分析。
3.信息安全风险的评估与量化,目前,各省大多都是以生产单位为范围构建的安全系统,各安全系统发应出的安全问题、安全事件等都只针对某个点或局部的安全状态,很难或无法从整体上,全网、全业务等角度上反应信息安全现况,因此,全面评估全业务的信息安全状况,其势在必行。
4.信息安全态势的预测,对于信息安全中心(部)日常管理工作中,要进行很多信息安全工作,像定期或不定期的安全专项整治、安全系统建设等工作,而这些工作的开展,需要大量的风险状态历史数据和分析技术的支撑,否则,专项工作很难切入重点或关键问题面上,直接会影响工作开展的意义;
同时,在安全系统的新建或扩建,都需要对现有安全状态、未来安全变化走势等进行预判,使信息安全工作达到未雨绸缪的效果。
2.建设目标
建立一套完善的信息安全风险实时监测平台,全面覆盖信息安全的各个层面各个环节,实现全网信息安全状态实时监控、信息安全风险识别、分析及评估、量化,从技术手段上形成一整套信息安全监测与跟踪体系,落实集团和国家对信息安全考核规定和要求,实现对全网信息安全风险状态统一、集中监测、安全事件集中管理及风险态势评估,支撑信息安全中心对全网安全状态的监测与安全工作有效开展。
全网信息安全态势感知系统是承载全省信息安全中心(部)对全业务安全态势的集中化监测的技术平台,具备实时监测全业务的安全风险状态、变化及未来发展趋势,实现信息安全风险管理“可发现”、“可量化”、“可预测”和“可评价”的建设目标。
3.整体解决方案
3.1.解决思路
在全面深入分析信息安全中心(部)日常工作及两部委对信息安全的考核要求,参照并依据信息安全管理体系(ISMS)和GBT20984-2007规范要求,按照风险管理措施并结合PDCA模型,实现对全网信息安全风险的实时监测,识别、分析、跟踪及评价。
按照信息安全管理体系(ISMS)及方滨兴院士的对信息安全的定义和范围界定,将信息安全管理范围分为四层,即物理安全、运行安全、数据安全及内容安全。
新的定义和界定将涵盖全网各层面,包括全网设备和全网业务的运行状况以及各业务和其产生的数据的安全,从网络环境到数据应用的各环节,形成全方位、立体化、集约型的信息安全风险监测、定位、跟踪及趋势预估的解决体系。
根据业务安全与风险管理思想,事前预警应该从能主动检测和发现全网业务的风险识别、分析、展现、跟踪及评价管理模式。
借鉴GBT20984-2007规范中风险分析模型、信息安全管理体系ISMS,并结合方滨
兴院士对信息安全的研究思想,构建信息安全风险评价的监测方法、分析和评价模型,实现对全网信息安全态势感知。
因此,全网信息安全态势感知平台基于上述全业务安全与风险管理思想,动态掌握全网安全风险状态,实时感知未来风险趋势,安全管理提供数据支撑和决策执行效果进行评价等效果,从技术上对全网信息安全的监测、分析、展现与评价,为信息安全中心(部)对全省信息安全监管提供合理化的数据支持,降低或规避信息安全风险采集的延迟性和不完整性,提升安全管理和建设决策的针对性和科学性,建立起一套信息安全事前预警、事后跟踪定位的风险监管机制,为信息安全态势提供预测和有力支持,有效支撑对信息安全风险可识别、可定位、可跟踪、可评价的响应机制和管理流程。
3.2.平台框架
全网信息安全态势感知平台是针对全网业务的安全状态为目标,从风险管理角度出发,以风险识别预警、分析、跟踪和评价及全业务安全态势分析为核心,通过对全网各业务系统的接口,收集各业务的风险状况,经过风险特征、大数据关联分析等技术手段,结合信息安全四个层次的风险特征建模和信息安全风险漏洞库,全面覆盖全网业务安全状况的监测、分析、量化、评价、溯源和定位,实现对全网信息安全态势的感知。
全网信息安全实时监测平台分为四层:
应用展现层、信息安全管理层、数据分析层和数据采集层。
应用展现层是系统的应用集中展现,提供独立大屏展示以及WEB页面方式的信息安全风险监测综合视图和系统管理;
可根据用户需求进行展现内容组装。
应用管理层为信息安全工作所承载的各类业务工作的内容支撑功能,包括安全事件态势管理、信息安全态势分析、信息安全专项治理、信息安全考核和信息安全策略,它是具体业务的独立展现和维护管理,是信息安全各层面的业务分析、逻辑处理的重要部分。
数据分析层为业务系统安全、内容安全、数据安全及运行安全等层面的风险计算和态势分析,包括风险计算和风险态势分析两部分;
风险计算是通过风险模型对风险量化、评价、溯源、定位等功能,为信息安全各层次提供统一的分析计算方法,风险态势分析是信息安全各层面的安全态势分析。
为系统提供基础数据分析和数据单元,主要从风险到态势分析,包括全业务及内容安全状态等层次对信息安全进行分析,同时包括风险量化处理等内容,是信息安全的各方面的基础数据分析、基本逻辑分析等功能,也是平台核心模块。
数据采集层是负责与各业务系统进行通讯和简单的数据加工,与数据
源直接对接层,对分析层下达的采集指令进行执行调度、数据基础归并及
分析等功能。
其通讯采用WCF、Socket或WebService方式与相关安全系统
的对接,如IDS/IPS、4A等对象,预留有WebService、Syslog或FTP通讯
方式。
平台整体架构如下图所示:
图3-1平台整体架构
3.2.1.动态掌握全网风险状态
全网信息安全态势感知平台与全网各设备、各业务系统进行关联,实时采集全网的安全日志、告警信息、异常信息等信息采集、关联分析,统一集中对全网的安全系统、网络设备、应用系统等业务的安全日志分析,实现对全网信息安
全状况的实时评价、量化,达到动态掌握全网安全风险状态,提供对安全风险定位、跟踪和溯源的功能。
3.2.2.实时感知未来风险趋势
通过长期对全网信息安全风险信息的采集、归纳和分析,形成信息安全数据仓库、利用云技术、大数据等手段和方法,结合风险分析模型,可实现实时对全信息安全风险数据进行分析,同时,可通过修订内置分析策略达到用户自定义需求的效果,实现对各业务系统及全网信息安全风险趋势分析与判断。
3.2.3.安全管理提供数据支撑
面对全省庞大的网络体系和复杂的业务结构关系,其安全手段或安全系统的规划、投建和实施都需要科学的数据支持,而进行辅助决策。
全网信息安全态势感知平台是一个集中、顶层的信息安全风险状态监测、分析、量化和评估的系统,它与全网所有设备、安全系统、业务系统等对象进行关联对接,其提供的数据是经过关联和综合分析的结果,所表现出来的效果是真实的,具有科学根据,能全面反应整个网络安全风险现状,因此,在信息安全工作管理中,起到有力的辅助支撑效果。
3.2.4.决策执行效果进行评价
全网信息安全态势感知平台提供大量安全监测数据和分析报告,从多维度多角度对全省信息安全情况分析,呈现各层次、各部门、各业务及相关责任人在信息安全工作的状况,从整体到具体,从面到点分析评估,包括全省安全、生产部门、地市州、业务系统及管理人员等角色的安全状态及趋势变化,能全面地反应安全系统的投建、应用等过程的效果。
同时,平台具备信息安全专项工作管理功能,对重难点安全工作事项进行专题管理,按照专项整治过程,提供前期分析、整治过程监测、整治过程优化、整治效果对比等功能,实现对决策执行结果进行分析和效果评价。
4.平台功能介绍
4.1.全网安全风险实时监测
集中对全网各设备、安全系统、应用系统等资产对象进行关联、采集资产的安全日志等信息,综合分析、量化和评估,实现对全网、全业务进行安全风险实时监测和分析。
4.1.1.解决问题场景
1、目前,安全系统大多都是独立存建,安全系统的规划、建设和应用只针对某些安全问题或解决特定的应用系统、设备等的安全问题,表现出的安全风险数据具备一定的局限性。
2、从多省的调研数据来看,归结起来具有共同的问题:
所有安全系统的功能都集中在安全事件的事中和事后,即安全事件正在发生或已经发生,对安全问题的前期或即将发生之前的状态信息未得到收集、分析,无法在安全事件的萌芽阶段给予处置。
3、全网信息安全情况现处于何状态,无法直观或简洁的方式表现现网每时每刻的安全状况。
4.1.2.具体实现功能描述
1、关联各系统、集中采集信息本系统与全网各系统进行对接、通讯,实现安全风险数据集中采集、进行关联分析,根据各系统特点,将其风险要素归一化,通过统一的风险识别、分析模型计算。
(可解决
2、实时分析、异常告警系统对采集数据,自动分析各业务系统的安全状态,根据风险计算模型关联各设备和系统,并按设定策略进行异常分析,再结合告警策略进行异常告警。
(可解决
3、信息安全状态评估与量化系统基于风险计算模型及风险量化标准,自动分析出全网信息安全状况,对安全状态进行定量和定性分析,并以“高、中、低”及分值来体现全网当前安全情况。
(可解决
4.2.业务系统安全风险管理
业务安全风险管理针对全省业务系统安全状况的呈现,全业务的风险实时分析、趋势变化、关联分析等以及各业务安全状况分析,集中实时掌握业务系统安全态势。
4.2.1.解决问题场景
1、如何体现全业务的安全状况?
从总体着眼,整体掌握全业务系统的安全现状、变化、趋势等情况。
2、针对每个业务系统的安全状况,如何把握脉络,并全面了解每个业务系统风险构成、种类等具体情况。
3、如何集中体现各业务系统的运行状态、展现业务系统的故障、设备负荷状况等问题。
4.2.2.具体实现功能描述
1、通过对各业务系统的风险要素梳理,给予各个业务的风险要素权值,根据风险计算模型,对各业务系统的安全状况进行分析、评估和量化,实现对业务的安全状态分析与呈现;
同时,对各业务系统的重要性、按一定权值进行加权计算和量化出整体业务系统的安全状态。
提供全业务实时健康度呈现、高危风险实时变化、可查看各类风险等级在单位时间内的趋势变化情况,风险状况排名、风险级别占比、风险业务分布,全业务风险关联分析等。
着眼于总体、整体掌握全业务安全现状,变化、趋势等情况。
同时,对各个业务系统安全状况风险分析与呈现,实现各业务实时风险情况呈现,各业务的脆弱性、面临的威胁等数量趋势及单位时间内的分析,每个业务的高危风险占比、威胁各类占比、威胁数量变化、业务使用与高风险发现时间分析等,把握每个业务安全脉络,全面了解各业务风险构成、种类等具体情况。
2、跟踪各业务的运行状态与使用情况,定位业务故障、设备负荷状况所在(可解决
采集各业务系统的运行状态数据,对异常数据进行归并、分析,统计现各业务故障发生时间、引发原因,各业务的故障率对比分析等,呈现各个业务的运行状态、负荷情况。
通过对设备的性能指标数据(CPU、MEM、DISK等)的采集、分析,梳理出设备高负荷占比、对业务系统运行的影响,同时,还将呈现业务设备性能指标超标次数等分析数据。
对于各业务系统的异常、故障,将实时告警,并以邮件、短信等方式告知相关负责人员。
4.3.内容安全风险管理
从宏观和微观两个层面上,集中地呈现业务内容的健康度,能全面、具体地实时反映全业务内容的安全状态、趋势变化、风险占比、风险排名等内容信息,把握全业务内容的安全态势。
4.3.1.解决问题场景
1、全网的内容信息分布于各个应用、业务系统中,其内容存在形式和方式差异性较大,安全风险程度、风险构成及分布等风险状况未进行评估与量化,信息安全中心(部)无法动态地了解各应用或业务系统内容的安全状态。
2、由于各个应用或业务系统的内容未进行实时安全评估,内容安全的纵向、横向比较数据很少,或者不全,从整体上很难把握内容安全的状态和变化趋势。
4.3.2.具体实现功能描述
1、各业务系统内容安全状况评估与态势分析(可解决针对各业务系统特点,将内容从文字、图片和视频三个方向进行违规审计,根据其访问次数、转发量、违规内容类别等风险要素进行分析和评估。
以获得每个业务系统内容安全程度、违规信息类别、数量、分布等问题;
利用大数据分析技术对各业务系统内容安全的发展变化进行分析、评估,掌握内容安全的发展态势变化。
内容安全相对特殊,与其业务系统本身特点在关系,其内容安全的评估相对复杂,因此,平台提供评估模型和策略自定义方式。
2、全业务内容健康度的综合评估与分析(可解决对全业务内容违规数量及发展趋势的分析与结果呈现,违规内容比例分析,违规内容来源、分布情况,占比情况等。
通过各种图形、报表等方式对业务系统内容安全状态及整体内容安全形态的分析,实现内容安全从全局到具体、全网内容安全现状到未来安全态势发展的分析与呈现。
4.4.数据安全风险管理
数据安全风险管理以业务系统数据安全为核心,展现敏感数据分布情况,评估数据泄漏、篡改、丢失的风险,分析风险变化趋势,并能通过细化分析影响风险的指标,提供用户全面掌握全局数据安全状况。
4.4.1.解决问题场景
1、各业务数据安全状况,面临哪些威胁、威胁程度、威胁分布、趋势变化等安全问题。
2、全面掌握敏感数据或核心数据的分布、使用情况及安全状态。
3、全网数据安全状态及整体数据安全走势评估。
4.4.2.具体实现功能描述
1、各业务数据安全风险识别、分析、评估与量化(可解决
按风险计算模型,将业务数据的重要性、脆弱性和威胁性三要素进行梳理各业务系统数据风险信息,根据风险的级别进行评估和量化,实现对各个业务系统数据安全健康度的分析与判断。
及时发现各业务系统数据安全缺陷,按业务系统,实时评估各业务系统数据安全状态,分析数据风险状态、种类和来源;
追溯具体安全问题并细化安全指标情况,分析构成业务系统数据安全风险指标及变化趋势;
分析各业务系统数据安全走向,按业务系统分析业务系统数据安全风险发展态势。
2、敏感数据识别与应用状态分析(可解决2)根据敏感信息策略识别出各业务系统的敏感内容,提取特征,监测敏感数据访问或应用流向,对敏感信息定位、流向监测,实现敏感信息分布展现,访问流向视图,敏感信息的异常访问者分布等;
实现业务系统的敏感信息及全网敏感的安全状态、应用视图和异常视图。
2、全局数据安全整体态势分析(可解决3)实现对各业务系统数据安全风险状态分析、根据风险模型进行分析加工,实现全网数据安全风险状态的评估和量化。
掌握全局数据安全健康状态,以安全等及健康分值体现,实现敏感数据全局分布,全面掌握业务数据安全风险变化趋势。
4.5.重大安全事件态势分析
重大安全事件态势分析从内部安全系统、互联网等收集信息,对安全事件进行趋势变化、关联分析等,便于信息安全中心(部)掌握内部重大安全事件以及相关社会舆情事件,关注事件发展过程,评估事件发展态势。
4.5.1.解决问题场景
1、全面了解内部、外部重大安全事件情况,以及重大安全事件整体态势变化。
2、内部安全事件呈现
3、外部舆情事件呈现
4.5.2.具体实现功能描述
1、安全事件整体呈现(可解决1)
当前内部、外部重大安全事件的呈现,重大安全事件热度实时变化展现。
安全事件数量单位时间的趋势变化分析。
安全事件地域、部门、类别分布等综合分析。
新发现重大安全事件告警等。
2、内部安全事件分析与呈现(可解决2)按时间、等级、部门、地区(生产部门)、业务系统、事件类别、数量等维度呈现内部安全事件变化趋势。
分析具体安全事件构成因素、造成影响等,如攻击数量、攻击范围、经济损失、社会影响等维度的分析结果呈现。
分析具体安全事件构成因素变化趋势。
3、外部舆情事件分析与趋势跟踪(可解决3)自动发现当前相关外部热点话题,综合归并为舆情事件;
按照来源、类别、主题、级别、传播等维度呈现各个事件发展态势、突出重点舆情;
八\、/\IH?
详细分析某事件发展态势、言论内容、来源等,评估未来走势等。
4.6.信息安全整体态势分析
从多维度对全省信息安全情况分析,呈现各层次各部门各业务及相关责任人在信息安全工作的状况,为信息安全考核提供数据支撑。
4.6.1.解决问题场景
1、如何展现全网信息安全风险的总体态势?
2、如何站在信息安全的整体上反应各生产部门、业务系统、安全负责人等角度的安全态势及其变化趋势?
3、如何体现全网信息安全的薄弱点或问题突出点?
4.6.2.具体实现功能描述
1、通过不同角度对全网信息安全总体安全态势呈现,支撑有针对性的安全过程监控、提供专项整治方向以及明确信息安全系统的建设需求,同时感知未来信息安全趋势。
(可解决1)
以全网安全为目标,从全局着眼,展现全网信息安全健康形态及趋势;
以曲线图、柱状图、雷达图等方式呈现全网总体安全变化走势、高危风险出现的时段等,同时体现信息安全性较高的部门、地市州、业务系统及安全责任人。
2
升级会员 