近20个功能点 世博安管系统建设汇总

安全管理系统是世博会信息安全建设的核心和支撑，对于整合所有信息安全建设内容，充分发挥各类信息安全技术产品的效用，提升世博信息系统的整体安全防护能力，有着不可或缺的作用。因此，二期在周家渡机房对安管平台一期所有功能模块和本期建设的功能模块进行系统备份建设，实现安管平台在主备机房间的系统热备份，保障行政中心机房与周家渡机房互为主辅备份机房的安全和可靠。 1. 安全管理系统建设成果

　　通过项目一期和二期的开发和部署，世博信息安全管理系统已经形成一个较完整的系统架构。

　　系统功能方面，安管系统覆盖了从安全事件集中管理和监控、统一安全管理和综合分析、日常安全运维和管理作业三大方面近20个功能点。系统架构见下图：

　　

　　安全管理系统架构

　　覆盖范围方面，安全管理系统覆盖了世博行政中心和周家渡两个IDC，管理和监控了两个IDC中所有的安全设备、网络设备、主要应用系统。并实现了应用级灾备。系统部署拓扑见下图：

　　

　　最终安管系统部署拓扑

　　通过10个月的测试运行和3个月的实际运行的检验，信息安全综合管理系统在上海世博会信息安全运维工作中发挥了重要的作用。其对于上海世博会信息系统的安全资产管理、安全事件管理、安全分析、安全预警、应急响应、安全运维等工作提供了强大的支撑。

　　系统通过智能分析后能将关键信息分级分类的快速传递给运维人员和管理人员，并能够通过知识库指导运维如何进行事件处理，还能够通过系统进行安全运维资源的合理调度。

　　同时系统集中式的管理方式解决了各个安全系统信息孤岛的问题，提高了管理人员对于整个系统安全状况的掌控程度，也大大降低了管理人员的工作量，提高了工作效率。

2. 安全管理系统技术特点

　　2.1. 基于数据格式和数据映射脚本的数据标准化方法

　　在安全运维管理中，监控设备和应用类型繁 多，没有统一标准，数据语义存在差异，如何快速实现这些设备数据的接入和解析是运维管理重要基础。系统采用了基于数据格式和数据映射 脚本的数据归一化方法。数据格式化脚本，用于按照需要对数据进行灵活的拆分、组装，实现数据格式化。数据映射脚本，用于将格式后的数据进 行语义表达，实现数据映射。最终实现数据归一化。与传统的基于插件的数据归一化方法相比，具有开发、维护难度小，快速灵活适应客户化等特点。

　　2.2. 基于面向消息的中间件（MOM）和面向方面编程（AOP） 框架。

　　基于MOM的系统架构，使整个系统可支持群集部署，也就是说将多个服务平台分布部署或其中的功 能模块分布部署，这样可以最大的利用硬件资源，支持大业务量的处理，支持海量信息的处理，也就保证了系统的高可用性与可靠性。而基于MOM的 系统具备平台无关性这样的特点，可以加大系统部署与配置的灵活性，并提高系统的可扩展性。AOP的核心思想就是要将应 用程序内部的逻辑与所支持的服务分离，也就是说服务平台系统本身不会阻碍业务系统流程的改变，而是说可以完全根据业务的流程的调整来调整。

　　2.3. 基于SVG的网络拓扑与攻击展示技术。

　　使用SVG里的对象元素来表现网 络拓扑图形以及相关节点，通过脚本语言控制所述对象元素，动态的控制拓扑节点和连线的加载和显示，信息存储在Web服 务器上。与传统的C/S界面和HTML相比，信息表现更丰富，交互性强等优点。

　　2.4. 基于可扩展标记语言动态生成报表方法。

　　利用可扩展标记语言对生成报表所需的统计参数 和静态数据进行编辑，将报表模板转换为能够获得所需对应统计数据的命令集合，以此获得生成报表的动态数据，根据获取的动态数据及其表达方 式，生成报表图形。统计参数、动态数据和图形的路径信息记录在一个可扩展标记语言文件中。使用时将该文件转换为HTML文 件。这一方法可以实现自定义报表的动态生成，具有灵活、易扩展等特点。

　　2.5. 基于状态机的实时关联分析方法。

　　由于各种攻击行为都会在不同的网络设备及安全设备中 留下蛛丝马迹，导致事件的产生，但是单一的设备事件确难以有效的分析攻击行为及正确评估网络中实时威胁的态势。因此，我们通过使用状态机 来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发。实时关联分析技术通过对事件的关联，可以有效的帮助我们过 滤事件，在大量事件（甚至是误报事件）中提取有用的信息。通过实时关联来自不同设备的事件，可以大大的降低IDS的 误报率，发现引发事件的真正原因和隐藏的威胁。

　　3. 具体实现的功能效果

　　3.1. 实现信息资产综合管理

　　信息资产的综合管理是整个安全管理及运维的基础工作。有了良好的资产管理就能够将安全事件与资产关联起来、能够将事件和资产的安全要素关联起来、能够将事件和资产的使用人关联起来。这对于安全事件定级、安全事件跟踪和溯源、安全事件的处理、以及安全态势的判断都是必要条件。

　　对上海世博来说，天融信安全管理系统的建设将大大提升用户对信息资产的管理能力，安全管理系统将用户信息资产进行全方位、多角度的综合安全管理。

　　天融信安全管理系统所能够对所有用户所关注的信息资产进行综合信息管理。管理的内容不仅包括资产的管理属性（如所属部门、人员）、业务属性（所属业务系统）、IT属性（IP、MAC）、安全属性（安全三要素CIA赋值、物理价值），还包括资产脆弱性（漏洞）的管理。

　　附部分使用状况截图

　　

　　全面的资产信息管理

3.2. 实现事件综合分析

　　在上海世博网络中部署的天融信安全管理系统提供了对信息系统运行过程中产生的大量事件信息的收集和整合

　　对事件的整合包括：

　　- 规一化处理

　　- 事件归并和事件过滤

　　- 危险级别映射

　　- 事件类型映射

　　- 事件与资产的关联

　　整合后的事件将用于进一步的事件综合分析。

　　单一的设备事件确难以有效的分析攻击行为及网络中实时威胁，但由于各种攻击行为会在不同的网络设备及安全设备中留下蛛丝马迹，所以通过关联分析技术将大大提高安全分析的成功率。

　　天融信安全管理平台采用基于状态机的实时关联检测技术，通过使用状态机来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发。实时关联分析技术通过对事件的关联，可以有效的帮助我们过滤事件，在大量事件（甚至是误报事件）中提取有用的信息。采用XML形式，支持部分面向对象的特征，用于描述攻击场景，及在攻击场景的描述中加入特定的响应动作，便于利用基于状态机的实时检测技术发现攻击场景及实现攻击的分阶段自动响应。

　　通过事件查看器，用户可以分类分级查看需要的安全事件；可以快速查询到事件相关IT资产的信息；可以对关联事件的整个过程进行回放；可以查询事件的相关说明和解决指南。

　　目前通过安管发现安全问题主要有：

　　- 拒绝服务攻击定位

　　发现世博系统内的拒绝服务攻击，并成功定位IP，运维组成功处理攻击行为。

　　- SSH暴力破解IP定位

　　通过关联分析主机日志，发现SSH登陆暴力破解，并成功定位IP。应用开发部门根据情况，调整系统配置，完善安全措施。

　　- 病毒定位

　　发现世博系统内病毒发生情况并定位，为解决病毒问题提供了有力的帮助。

　　- 服务故障和连通性故障定位

　　通过安管系统几次发现系统服务故障和连通性故障，有些确认为是故障并及时排除，有些是应用部门在调整系统，告知了应用部门今后如有调整请告知运维团队。

　　附部分使用状况截图

　　

　　增加的关联分析

　　

　　关联分析攻击回放

　　3.3. 业务可用性监视

二期开发的业务可用性监视模块主要实现如下效果：

　　1. 实现对设备状态包括CPU、内存、磁盘、连接数等指标的监视。

　　2. 实现对业务连通性的监视，可监视到业务端口。

　　3. 实现对HTTP服务的健康状态的监测。能够根据WEB服务器返回的数据判断HTTP应用的健康状态。

　　

　　灵活的配置方式

　　

　　连通性监控

　　3.4. 实现综合展示和实时监控

　　对于用户来说，除了通过系统关联分析获得安全事件场景告警之外，日常管理中最主要的工作是对系统进行综合性实时的监视，了解系统安全状态如何，是否出现或将要出现安全问题。

　　天融信安全管理系统提供丰富的综合展示和实时监视工具，提供了包括事件查看、事件分布、应用连通性、主机状态、工单调度、安全风险走势等多种信息的展示，并能够以图形、表格等形式同屏显示。用户通过这种直观的监视方式能够及时发现系统中发生的安全问题、异常情况、安全隐患，及时作出响应。

　　除了提供多角度同屏监视外，安全管理系统还提供了拓扑形式的监视试图。用户通过拓扑试图能够更直观的发现哪个位置的哪个信息资产存在安全问题，可视性更强，更易于管理。

　　在世博目前的安管综合展示应用中主要进行如下配置：

　　1. 定制了运维屏仪表盘展示在IOC大屏幕上。

　　2. 为机房人员单独定制了监视仪表盘。

　　3. 新增的业务树状的仪表盘。

　　4. 重新勾画了可动态显示安全状态的网络拓扑。

　　5. 提供了包括资产风险在内的各种类型的报表提供给运维人员使用。

　　6. 提供了更多的生成报表的参数。

　　7. 新增了饼图、柱状图、线图等各种类型的图表供安全人员查看。

　　8. 合并了windows主机状态查看结果。

　　9. 合并了安全报警的频率，并可根据需求灵活展开。

　　附部分使用状况截图

　　

　　IOC大屏监视仪表盘

　　

　　拓扑展示 业务树

　　

　　Windows主机状态监视

　　

　　可自定义的柱状图

3.5. 及时的安全响应和预警

　　安全管理系统通过定制事件响应规则，实现了对世博关注的满足特定条件的安全事件进行及时的响应。响应的方式主要包括：

　　- 声光报警；

　　- 邮件报警；

　　- 工单处理；

　　- 短消息；

　　多种的安全响应方式，保证系统及其管理人员能够在最短的时间内对出现的安全问题作出反应，将系统的损失降到最低。

　　同时，安全管理平台的工单及工作流功能，能够保证告警信息及时传递给到正确的工作人员，工作人员在处理过程中可以依照流程进行规范的处理。

　　附部分使用状况截图

　　

　　预警、报警条件的增强

　　3.6. 提供决策支持

　　天融信安全管理系统为世博用户提供多角度的决策支持。

　　安全管理平台的报告模块将提供面向资产和面向安全事件的两大类报表，在两大类中还将细分出多中报表模板。同时，报表模块还提供的周期自动报表生成功能，系统可以按每日、每周、每月为周期自动生成用户指定的报表。

　　安全报表主要是在长期积累的大量数据的基础上，对安全事件和安全态势进行综合分析，包括：

　　- 对安全事件的类型、来源、目的、产生的效果、起因、发生的时段进行综合分析，得到宏观的规律。

　　- 对重要事件的来源进行综合查证，进而定位到个人。

　　- 对相近时段发生的各种事件进行相关性分析，得出在各类不同事件相互联系的规律，并可指导自动联动规则和安全策略的制定。

　　- 对资产属性进行多角度统计分析，例如资产类型、漏洞分级、风险分级、风险走势等。

　　运维团队利用安全管理平台，每周生成安全运维周报、每月生成安全运维月报。安全运维周报和月报会整合到整个IT运维报告中，提交给安全小组和信息化部领导，帮助决策层了解系统安全状况。

　　

　　各种类型的报表

　　3.7. 完善管理机制

　　通过天融信安全管理系统中的综合调度管理模块，有效帮助世博用户整合现有运维管理流程，可将运维流程、运维记录、运维结果等管理信息统一在综合安全管理系统中集中处理。

　　同时配合事件管理、实时监控、响应告警等功能模块，并且通过分布分级式部署，能够有效的完善用户的管理机制。

　　目前系统中的综合调度模块主要实现如下效果：

　　1. 新增的应急预案为一线运维团队提供了技术参考。

　　2. 应急预案中包含了应急预案编号、名称、版本号、tag号、生效时间、适用范围等。

　　3. 工单分为内部和外部工单，同时又分为自动和手动工单，支持工单升级和流转，为安全小组提供了灵活的工单管理模式。

　　4. 新增加了文件管理管理系统，提供可视化的目录树方式，可方便运维人员查看、录入、上传、下载各种文件，并可对各种文件按级别的进行文件管理。

　　5. 新增的安全管理综合调度报表为一线运维团队提供了流程上的参考。

　　6. 安全管理综合调度报表包含了报表名称、报表生成时间、安全事件名称、安全事件内容、安全事件应急响应预案、工单处理过程等。

　　附部分使用状况截图

　　

　　应急预案管理

　　

　　工单流程管理

　　

　　文件系统管理

　　综合调度报表

　　3.8. 应用级灾备

　　安全管理系统是世博会信息安全建设的核心和支撑，对于整合所有信息安全建设内容，充分发挥各类信息安全技术产品的效用，提升世博信息系统的整体安全防护能力，有着不可或缺的作用。因此，二期在周家渡机房对安管平台一期所有功能模块和本期建设的功能模块进行系统备份建设，实现安管平台在主备机房间的系统热备份，保障行政中心机房与周家渡机房互为主辅备份机房的安全和可靠。

　　安管平台的系统备份主要涉及到数据采集的同步和数据存储的同步。数据采集的同步采用以下机制实现：受控设备将事件数据发送到所在安全域的安管代理服务器。安管代理服务器将数据优先发送至主安管平台服务器。当安管代理服务器无法将数据发送到主安管平台服务器时，将数据发送至备份安管平台服务器。同步机制和示意如下图所示。

　　3.9. 运维数据列举

　　通过不断研究和探索，世博安全管理平台成功了解决了世博信息系统中海量的、复杂的安全事件信息的标准化难题。为世博安全管理平台的运营打下了坚实的基础。以下是一些运维数据：

　　世博安管平台中目前共有收集了16大类67个设备的安全事件数据，每天收集的总日志量在200W条左右。每天的安全事件约4400条，每周约3W条。其中每周内网事件约5400条，外网攻击的事件约24600。其中，WEB攻击占83%。

　　从这些安全事件中，通过分析系统每天发出攻击告警约300次，处理约50次，每天封锁约2个IP。

　　主机状态告警，每月约200次，处理约60次，另外140次是系统正常启动造成。

　　病毒告警，约100次，处理了60次，定位了20个IP。

　　

　　主备安管平台不同时提供服务。备份安管平台平时处于待机状态，只有当主安管平台不能正常工作后才启动相关服务。这种备份方式在确保安全可靠的同时，降低了系统实施和维护的复杂度。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。