浅谈信息安全管理平台与其在电力行业的实践
摘 要
信息安全管理平台的目的是实现对信息安全事件进行监测与响应,它有助于对所有安全元素和策略进行集中的管理和控制,信息安全管理平台包括一个技术平台和安全管理团队。在当今的企业环境中,信息安全事件管理对繁忙的 IT 人员及其组织提出了一系列的挑战,安全部门每天都会面对来自不同系统、平台和应用程序的安全攻击。众多解决方案(如防毒软件、防火墙、入侵阻止系统、入侵检测、访问控制、身份管理等)都以不同格式提供信息、将信息存储在不同地方并向不同位置进行报告。安全部门每天要处理数百万条来自这些互不兼容的安全设备的日志,这导致了安全信息过载,造成高额开销、重复劳动、脆弱的安全模型和审计失败。正确配置和管理的信息安全管理平台将智能的收集来自网络各个区域的数据、自动对各种警报进行筛选、确定风险级别,并预防可能的攻击,以免造成损失。
本文对信息安全管理平台的相关概念和整体框架进行了介绍,探讨了在具体实施信息安全管理平台时,从业务与技术上必须考虑的各个环节,阐述了安管平台完整的功能架构,它主要由事件采集、资产管理、脆弱性管理、风险管理、事件分析、工单管理、知识库、报表与界面等模块组成,并对具体模块的设计思路和技术细节进行了分析和讨论。
本文对信息安全管理平台在电力行业实际生产环境中的部署和应用情况进行了介绍,对信息安全管理平台的主要功能进行了描述,并针对这一实例的功过得失进行了认真的总结和分析,对比目前国内外的主流产品,对信息安全管理平台的发展方向与趋势进行了有益的思索。
关键词:信息安全管理平台,信息安全管理体系,Security operation center(SOC)
上海交通大学硕士学位论文 ABSTRACT
THE RESEARCH AND IMPLEMENTATION OF INFORMATION SECURITY MANAGEMENT PLATFORM IN POWER INDUSTRY
ABSTRACT
Information security management platform is a generic term describing a platform whose purpose is to provide detection and reaction services to security incidents. It helps centrally monitor and control all the security elements and policy. It consists of a technical platform and an organizational team with security focus. Managing security events in today’s corporate environment poses a series of challenges for beleaguered IT personnel and their organizations. A daily onslaught of security data from disparate systems, platforms and applications delivers the challenge. Numerous point solutions such as antivirus software, firewalls, intrusion prevention systems, intrusion detection, access control, identity management present information in different formats, store it in different places and report it to different locations. Most organizations deal with literally millions of messages daily from these incompatible security technologies, resulting in security information overload which, in turn, contributes to high overhead, duplication of effort, weak security models and failed audits. A properly configured and managed platform acts as an intelligent brain gathering data from all areas of a network, automatically sifting through alerts, prioritizing the risks and preventing attacks before they can be executed and cause costly damage.
In this dissertation, we introduce the concepts and framework of the information security management platform and explore the business and technical requirements that organizations must consider when implementing it . We show the whole functional architecture of a Security Operation Center (SOC). It is made up of several modules: event collectors, asserts
上海交通大学硕士学位论文 ABSTRACT
management, vulnerability management, risk management, event analyze, work-flow, knowledge base, display and report etc. In this paper we discuss the design and technical deployment of them in detail.
We briefly describe the instance of SOC in Shanghai Municipal Power Company. We then focus on the key technology of SOC and common problems encountered in practice. Experience shows that a pragmatic approach needs to be taken in order to implement a professional SOC that can provide reliable results. A short conclusion will describe further research & analysis to be performed in the field of SOC design.
Keywords: Information Security Management Platform, Information Security Management System, Security Operation Center(SOC)
上海交通大学硕士学位论文 图片目录
图片目录
图 3-1 网络安全事件采集模型...............................................................................22 图 3-2 事件采集器内部逻辑...................................................................................22 图 4-1 SOA体系架构...............................................................................................34 图 4-3基于MOM及AOP的开放式安全管理系统框架......................................34 图 5-1 上海电力SOC平台拓扑.............................................................................52 图 5-2 SOC平台事件处理图..................................................................................59 图 5-3 关联分析场景1............................................................................................60 图 5-4关联分析场景2.............................................................................................60 图 5-5 上海电力SOC工单示例.............................................................................62 图 5-6 上海电力SOC风险报表示例.....................................................................63
X页
上海交通大学 学位论文原创性声明
本人郑重声明:所呈交的学位论文,是本人在导师的指导下,进行研究工作所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。
学位论文作者签名:黄 凯
日期: 年 月 日
上海交通大学 学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
保密□,在 年解密后适用本授权书。 本学位论文属于
不保密□。√ (请在以上方框内打“√”)
学位论文作者签名:黄 凯 指导教师签名:陈剑波
日期: 年 月 日 日期: 年 月 日
上海交通大学硕士学位论文 第1章 引言
第1章 引 言
1.1 课题背景
信息化深入人心的今天,与信息技术的飞速发展伴随而来的则是更多信息安全方面的挑战。[1]信息系统由主机、网络、应用系统等要素组成,其中每个要素都存在可以被攻击的漏洞,比如通讯的网络线路存在被窃听监控的风险,操作系统、应用软件在系统架构、协议设计与实现、配置管理等诸多环节上都可能存在安全弱点……必须全面而发展的对待信息安全问题,并且采取适当的安全保障措施。近50年来,信息安全大致经历了通信保密、计算机安全(网络信息安全)、信息保障三个发展阶段。而在人们不断实践和探索过程中,信息安全的三大基本属性,机密性(confidentiality)、完整性(integrity)、可用性(availability)被广泛的接受和认可,并在此基础上衍生出了可控性(controllability)和不可否认性(Non repudiation)。[2]安全技术的发展经历了从最早以加密技术为核心的通信保密,到防病毒、防火墙、入侵检测传统三大件,到近年来各种国际标准体系的颁布,业界开始偏重以风险管理为核心,人们开始从技术到管理去寻求某种统一的体系[3]。
人们随着技术的进步和认识的不断深化,信息安全的外延逐渐扩大,越来越多的从业者开始意识到管理的重要性,现实世界里的任何系统都牵涉到纷乱复杂的诸多环节,而安全必须是完整全面的概念,必须渗透覆盖到系统的所有要素。没有任何技术可以的解决所有安全问题,而某一环节的安全缺陷就会对整个系统造成威胁。所谓三分技术,七分管理[4],要让安全技术发挥应有的作用,必须依靠适当的管理手段支持,不然安全技术必定将无所作为。必须充分有效地利用有限的资源加强信息安全管理,从技术和管理上综合建立一个包含人的因素在内的信息安全管理体系。
国内大部分企业近年来在信息化建设方面都投入了大量人力物力,虽然购置了大量安全产品,使用了先进的技术,但是整体的信息安全状况仍然不佳,究其原因在于各种安全产品各自为营,作战,由于决策者和管理人员缺乏统一规划和系统考虑,这些安全产品的实际应用不充分,发挥效用不明显,甚至长期闲置。随着操作系统的通用化,信息系统面临越来越广泛的威胁,信息安全形势日益严峻,总
1页
上海交通大学硕士学位论文 第1章 引言
体上,存在如下问题:安全产品部署的越多,就需要越多的管理人员,然而,往往受人员编制等因素的,导致安全管理人员无暇他顾,使很多安全产品事实上处于闲置或者半闲置状态。安全产品往往会产生大量的信息输出,但是由于条目太过于繁多而专业,即使配备专门的管理人员,可能也没有足够时间和能力进行分析,因此,当发生重要的安全事件时,经常不能及时发现和处理;不同的安全产品,对于同一安全事件可能表示方法也不同,这样会造成不同的管理人员沟通出现不畅,贻误处理时机;没有适当的措施让业务部们和决策层及时了解安全状况,加之缺乏现状和历史的对比,无从了解安全趋势的走向,没有信息安全保障工作的决策依据,无法真正将信息安全工作落到实处。
1.2 研究目的和意义
事实证明:传统的信息安全系统的运行方式已经成为众多安全隐患形成的根源,因此,需要一种新的运行方式和机制,能将不同位置、不同安全系统中分散而海量的单一安全事件进行汇总、过滤、归并和关联分析,得出全局角度的安全风险事件,
[5]
并行成统一的安全决策对安全事件进行响应和处理。各类安全产品和管理系统的平
台化整合将是信息安全建设在未来几年内的思路和趋势。通过建设一个完备的信息安全管理平台,具备标准事件收集功能、标准事件分析功能、信息资产管理功能、风险监控功能、脆弱性管理功能、工单管理功能、自定义报表功能等,才能充分发挥现有安全设备的作用,做好风险管理,避免和减少潜在的损失,减少信息系统的暴露风险,改善安全部门与业务部门的沟通效果,提高信息系统的整体合规性,从而切实提高整体的信息安全水平。[6]
本文在总结信息安全和信息安全管理理论的基础上,对如何实现信息安全技术与管理的融合作了深入探讨。从工程实践的角度,论述了信息安全管理平台的设计思路和功用,并提供了一个实用的、管理与技术并重的信息安全管理平台应用实例,并对业界的同类产品和发展趋势作了比较和研判。信息安全管理平台根本就是为了保障企业的业务持续性运营和降低安全风险的,是对企业整个安全保障体系进行运营支撑的平台,所以无论企业的IT系统发展到任何阶段,它的安全运营系统都需要安全人才的管理,技术措施的支撑和服务流程的保障。它应该是一个技术架构和管理体系的结合。技术体系上除事件外还应支持状态的管理,配置的管理,安全报告,分析等内容。管理体系上除组织人员外应融合ITIL服务和支持流程。
本文希望结合笔者自身在建设信息安全管理平台方面的经验教训,能够对业界
2页
上海交通大学硕士学位论文 第1章 引言
同仁们在如何从管理的角度探讨信息安全并致力于技术实现这一领域有所帮助
1.3 本文主要内容
第一章 前言。本章介绍了本文的课题研究背景,阐述了课题的研究目的以及意义,然后说明了本文的主要创新点和全文结构。
第二章 信息安全管理平台综述。本章介绍了信息安全管理的相关概念和原理,揭示了信息安全管理平台化的意义和内涵、信息安全管理平台的体系架构、应用情况以及国内外研究动态和研究的热点问题。
第三章 信息安全管理平台的主要功能。本章从设计角度出发,分析了信息安全管理平台的设计目的与功用,简单介绍了一个完备的信息安全管理平台的主要模块功能。
第四章 上海电力信息安全管理平台的典型设计。本章以上海电力SOC平台的建设为实例,详细阐述了平台建设的设计理念和关键技术,首先介绍了基础体系架构和开发环境,然后探讨了平台涉及的接口协议、格式,论述了平台的关键技术,介绍了上海电力的关键功能模块,并讨论了如何进行性能方面的估算,如何对数据库的设计参数进行调优。
第五章 信息安全管理平台的实现。本章对上海电力SOC平台的实现过程进行了介绍,并重点探讨了在平台建设过程中的几个关键点,如事件收集处理、关联分析、工单系统、报表展现等。
第六章 总结与展望。本章对全文的研究工作进行总结,提出了主要结论,并介绍了课题今后进一步的改进和发展方向。
3页
上海交通大学硕士学位论文 第2章 信息安全管理平台综述
第2章 信息安全管理平台综述
2.1 信息安全管理必然平台化
信息安全管理是动态的保障信息安全的过程[7]。近50年来,信息安全大致经历了通信保密、计算机安全(网络信息安全)、信息保障三个发展阶段。随着人们对信息安全认识的逐渐深入,信息安全管理的重要性也在不断得到人们的理解和赞同,“三份技术、七分管理”的理念深入人心。信息安全的趋势是建立信息保障体系,充分有限的利用有限的资源加强信息安全管理。从安全威胁、安全产品、安全管理、安全部署等各方面看,信息安全管理的平台化、标准化都是信息安全理论与技术发展的必然结果。目前的信息安全态势有如下特点[8]:
¾ 攻击事件层出不穷,全球网络安全事件呈几何级数上升的趋势,安全威胁
愈演愈烈;
¾ 应用系统越来越复杂,漏洞越来越多,安全风险越来越大,越来越难以防
范,漏洞能够随着互联网的传播,被人迅速的加以利用,演变成实际危害,而且危害越来越大;
¾ 各种技术手段不断融合,病毒与黑客技术的合而为一,通过以电子邮件、
网页传递恶意代码、木马,分布式拒绝服务等手段,攻击力强,技术含量高,危害大,近年来的灰鸽子、熊猫烧香等都体现了这一点;
¾ 攻击技术成本越来越低,出现了恶意软件专业制作、传播、商业销售的新
的现象,获取恶意软件的渠道越来越宽泛,使用越来越简便;另外,来自系统内部的恶意攻击呈增加的态势,威胁传递和放大的情况严重。 ¾ 安全技术的堆积并不能解决实际问题。
而对于一个规模较大的组织机构而言,在安全管理和部署上,又存在如下问题 ¾ 复杂报警如何处理
目前组织的安全运行管理的普遍现象是不同种类的安全产品分别由其自身的控制台管理,各类设备各行其是,各管理系统相互,无法实现安全信息共享,不但存在安全漏洞,疏于安全防范,同时增加了各部门的重复工作量。比如防病毒系统、防火墙系统、入侵检测系统等,各个系统都有单独的管理员或者管理控制台,
4页
上海交通大学硕士学位论文 第2章 信息安全管理平台综述
设备配置、引擎对安全事件报警,这些分散的安全事件信息难以形成全局的风险评价,导致了安全策略和配置难于统一协调。大规模系统的安全管理也正是信息安全管理平台的需求根源。
¾ 海量的事件日志如何分析。
随着安全系统建设越来越大,也许产生的十万条事件,可识别的只有5000条,而在这5000条事件中,可分析的事件只有100条,最终能够处理的事件仅仅5条。有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。为了从大量的、孤立的单条事件中准确地发现全局性的、整体的安全威胁行为,需要一个平台使得整个安全体系的检测能力更加准确,更加集中于影响重大的焦点问题。
¾ 专业安全人员匮乏。
人力资源匮乏、信息泛滥、工具短缺所有这些问题均可通过平台应用来加以解决,而且平台还能处理大量的安全和审计数据,帮助企业从这些数据中发现问题,使企业只需配备很少量的人员就能充分利用其中的自动化技术和功能。
¾ 管理层的困惑
领导关心的是业务风险,但安全产品只能保障某一点的安全,那么如何将业务风险同信息安全事件关联起来,单独的安全产品显然为力。要做到全局可控性。建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法及时了解,针对体系内局部发生的安全入侵等事件进行响应。总之,信息安全的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性。对于安全问题、事件的检测要能够汇总和综合到监控体系,确保对全局的掌控,实现全面支撑信息安全运营管理目标[9]。
综上所述,建设信息安全管理平台成为必然,它不但要体现将各安全技术进行整合管理的特点,还要为管理层、决策者服务[10]。
2.2 信息安全管理平台的内涵与价值
信息安全管理平台在业界尚未形成统一认识,如有的学者认为安全管理平台即Security Operation Center(SOC) [11],是多个安全设备的配置中心,有的认为SOC就是统一的信息安全日志采集与处理中心,有的认为SOC就是资产管理中心。而本文认为SOC的内涵是不断升级拓展的,信息安全管理平台是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过
5页
上海交通大学硕士学位论文 第2章 信息安全管理平台综述
滤、收集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。
信息安全平台化不是单单解决孤立的安全问题,而是通过对系统的整体分析和处理,最终形成决策层面宏观分析、运营层面统一运营、统一管理、技术层面积极部署、可靠运行的结构化平台,形成一个结构化的整体保障思路。
¾ 通过安全运营与管理,全面实时掌握信息系统内的安全状况:
例如:系统内实时发生的安全活动?这些活动的危害程度?对这些活动如何有效控制?系统每天发生多少安全攻击?都发生哪些类型的攻击?哪些攻击已经被成功阻断?这些攻击主要针对那些业务系统?这些攻击来自于哪些地区、那些部门?系统每天发生多少违规事件?哪些违规需要重点审查?这些违规来自于哪些部门、那些人?哪些安全制度没有很好的被执行?都是哪些部门、哪些人没有执行?还缺少那些安全制度?
¾ 通过安全运营与管理,全面动态管理信息系统内部的资源
例如:业务系统是否被合法使用(规定的人员在规定的时间、规定的地点、 通过规定的路径、访问规定的业务系统)内部脆弱性是否得到有效管理(那些业务系统有哪些脆弱性?那些已经采取措施弥补?)IP地址资源、带宽资源等是否得到合法使用……
¾ 通过安全运营与管理,对组织安全的执行情况进行有效的监督与审计 对所有访问违规行为的审计、跟踪、分析、处理、报告、惩戒等
¾ 通过安全运营与管理,对安全威胁进行有效的预警,减少安全事故造成的 损失,对于安全事件,早发现、早处理、早惩戒、早反思。
¾ 通过安全运营与管理,为组织制定安全规划、编制安全投入预算提供充分 的数据支撑提供的强大分析报表,它是掌握安全状况、组织制定安全规划、编制安全预算的重要依据。
因此,SOC并不应该理解为单一产品或者一些安全产品的集合,它应该由相关技术平台、运行维护制度、安全服务、专业维护人员等构成,SOC实际是一个安全工程建设的过程和成果。
6页
上海交通大学硕士学位论文 第2章 信息安全管理平台综述
2.3 信息安全管理平台的体系结构
图 2-1 SOC 体系架构
Fig 2-1 the architecture of SOC
防火墙、IDS/IPS、主机、网络设备及应用系统等各种安全产品和信息资产是整个SOC的安全事件源,他们通过SNMP/SYSLOG/ODBC/API等方式将安全事件相关的日志、安全告警信息提交,由数据采集管理模块对其进行采集,并按照一定的安全事件格式进行标准化处理,按照逻辑进行过滤与归并,提交给上层分析模块,各管理模块通过安全事件关联分析对标准化后的安全事件进行处理,以便能够充分缩减从安全设备/系统中采集的海量安全事件[12],并对安全事件进行严重性排序,使安全管理人员和系统管理人员能及时、全面、方便地了解和识别出信息系统中存在的安全威胁和异常事件;分析、处理的信息一方面供相应功能模块调用,另一方面存入安全数据库/知识库(DB/KB),成为有用的安全资料;最后对一定严重程度以上的安全事件进行显示并通过安全报表管理模块进入响应流程。同时对第三方系统如网管系统、工单系统开放接口。SOC平台的具体功能将在第三章中予以详细描述。
7页
上海交通大学硕士学位论文 第2章 信息安全管理平台综述
2.4 信息安全管理平台的应用
IT界的SOC最早由ISS提出的[13]。ISS的SOC主要是用于为其客户提供安全外包服务(MSS),提供客户的防火墙、VPN、IDS、AV的管理服务和安全评估服务。提出大力发展MSSP(managed security services provider)来解决MSS的scalability 和capacity的问题[14]。当时的SOC,是一个安全集中监控、研究、处理流程的概念,通过它实现MSS,为客户提供安全外包服务。它依赖于“security research+ security management application+ security management operations”, 从这一点上可以看出国内外的SOC的不同用法,国外公司是安全厂商建SOC给客户提供MSS,但是MSS在国内还不流行,所以每个客户都想建自己的SOC。国内2000年初由安氏开始在国内大力推广MSS/SOC的概念,和多家IDC谈了MSS/SOC合作,并签署了多个合作协议,当时的想法是利用ISS的模型,开发一个SOC平台,包含前面提到的三个要素,然后把这个产品提供给MSSP,把自己定位在Value Chain的高端。后来SOC的概念才被慢慢转移到开始出现的集中安全管理的需求上来[15]。
融合了管理理念和技术手段的信息安全管理平台有着十分广阔的应用前景,目前在金融行业、能源行业、电信行业、组织、军工等行业已经不乏成功案例,信息安全管理平台的建设必须结合各行业自身特点,要求紧密联系实际。不同行业对于信息安全的侧重点不同,比如在金融领域,随着世界经济全球化和信息化的发展,由于利益的趋势、针对金融行业的安全威胁越来越多,金融行业需要根据国内外先进信息安全管理机制级和自身特点和需求,开展信息安全体系的规划设计与建设,由于IT和财务报告的关联性,IT也需要加强控制以达到国际业界规范和国内相关法规的要求[16]。IT的合规审计必须落实到企业对IT的有效管理控制上来,它强调加强内部控制和内部管理,降低营运风险;在能源领域,由于能源作为基础性支撑领域,关系到国计民生,信息安全问题直接威胁到其业务的安全稳定运行,因此它侧重于如何确保业务系统稳定可靠,防止来自内部和外部的攻击行为,当业务连续性受到影响时应急响应措施的制定与执行等;军工行业机密性则是首要问题,应严格遵守涉秘网保密资质的规定,高密级信息禁止流向低密级系统,不同密级的边界必须进行细颗粒的访问控制,特别是强调对互联网的管理和监控等。
2.5 信息安全管理平台的研究动态及热点问题
信息安全管理平台作为一个较新的研究领域,在基础理论和工程技术两个层面
8页
上海交通大学硕士学位论文 第2章 信息安全管理平台综述
向研究者提出了大量的挑战性课题。SIM(安全信息管理)产品是SOC的技术核心,国外在SIM方面投入很大。 国外一般有三类厂商在做SIM[17]:
一类是老牌的网络管理厂商,如IBM、CA等,近年SAP也开始有所涉猎[18]; 一类是老牌的安全设备厂商,如CHECKPOINT等; 一类是新兴的START-UP厂商,如ARCSIGHT、E-SECURITY、INTELLITECTICS等。 SOC的事件关联分析除了要集中收集信息(包括日志信息、设备自身的告警信息、资产属性信息等),要对事件进行格式统一并进行关联分析,信息关联是SOC的核心。上述厂商在核心技术,尤其是事件关联分析等核心技术上的积累是国内厂商短时间无法企及的。国外的ESM、SIM解决方案着重点在于事件的处理,通过对不同安全设备所获得的信息进行关联分析来提供告警。而国内所提的SOC概念在范围上已经被扩大化了(至少用户的期望值很高),他们希望SOC可以从安全预警、安全告警、安全故障处理及反馈、人员和流程管理等方面有所突破。目前国外产品进入中国主要目前是通过与国内安全厂商OEM的方式来进行,所以其重点还是局限于事件的处理。
另外一项颇有争议的研究方向就是联动互操作技术[19]。
联动互操作指在网络安全管理平台集成的产品之间,当某一平台部件产品根据一定的策略侦测到了某些安全事件,若该安全事件可以通过修改另一平台部件产品的安全策略或访问规则等来解决,则平台联动互操作功能可以通过平台自动修改另一平台部件产品的策略或规则,并且用户可以从界面看到这种联动互操作的发生。联动互操作功能在平台上有两种功能需求:
(1)平台部件产品无关的联动互操作功能。平台部件产品无关的联动互操作功能是指当平台部件产品之间没有通信渠道时,平台将收集到的某一平台部件发生的某些安全信息数据,根据平台配置功能完成的针对该事件的策略信息,形成对另一平台部件产品的配置或配置更改,通过平台配置信息流对另一平台部件产品进行配置。 (2)平台部件产品相关的联动互操作功能。平台部件产品相关的联动互操作功能是指某些平台部件产品之间原本已具有一定的联动能力,能根据某一平台部件发生的某些安全信息数据,对另一平台部件产品进行配置或配置更改。此时,平台的联动互操作性已通过平台部件产品自行解决,平台只负责实时收集具有联动互操作能力的平台部件产品各自对该事件的事件数据,以及针对事件的配置信息等安全信息数据,并进行关联。
目前而言,尚无将联动互操作技术结合的非常好的产品出现[20]。
9页
上海交通大学硕士学位论文 第2章 信息安全管理平台综述
2.6 本章小结
信息安全管理是动态的保障信息安全的过程,当信息化建设发展到一定阶段,平台化、标准化成为信息安全理论与技术发展的必然结果。信息安全管理平台其内涵在于它是安全技术与管理体系紧密结合的产物。SOC的体系结构是层次化的,安全事件管理(SIM)是SOC的核心,SOC在国内外已经部署了不少成功案例,SOC有着广阔的应用前景。
10页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
第3章 信息安全管理平台的主要功能模块设计
建设信息安全管理平台的目的,一是整合后台的各类安全产品和信息资产,为用户提供一个统一的、基于角色的安全视图,二是对各类信息资产进行集中安全监管和控制,三是对各类安全事件进行集中管理和智能分析,通过规范流程能够及时对安全事件进行响应和处理[21]。它应该具有以下功能:
3.1 安全事件采集
事件采集应该最大程度考虑组织的业务需求,从而提出具体需求,明确网络与安
全事件监控对象涵盖的网络设备、主机系统和安全系统。安全产品包括防火墙系统、主机入侵检测系统、漏洞扫描系统、防病毒系统、网络安全审计、身份认证系统等;网络产品包括路由器、交换机、Windows操作系统主机、Solaris操作系统主机、Oracle数据库、不同版本的WebLogic、流量管理系统[22]。
对这些系统的日志和事件告警信息进行集中收集,其中网络产品的日志信息可通过网管系统获取。通过事件采集器的部署,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等,安全运营中心监测点的代理及引擎部署),通过安全通信方式,集中收集安全事件到安全运营中心中的安全管理服务器进行处理。
网络与安全事件采集模块一般支持以下日志信息类型的采集[23]:防火墙日志、入侵监测系统报警、防病毒系统报警、漏洞扫描系统扫描报告、主机日志信息采集、审计系统报警、特定的应用系统日志(如:FTP、IIS、MS-SQL Server、Oracle数据库、WebLogic等)、路由器交换机等网络设备日志、预留其他设备的接口。
11页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
图 3-1 网络安全事件采集模型
Fig3-1 security events collection model
(1)事件采集器。网络与安全事件监控模块采集的信息涵盖信息安全平台的网络设备、主机系统和安全系统,安全产品包括防火墙系统、NIDS系统、漏洞扫描系统、防病毒系统、网络安全审计、身份认证系统等,网络产品包括路由器、交换机、Windows操作系统主机、Solaris操作系统主机、Oracle数据库等。对这些系统的日志和事件告警信息进行集中收集,事件采集器应能够通过参数配置支持多种设备信息的采集,如对IDS事件的支持,可通过参数配置分别支持不同厂家的产品。事件采集器的内部逻辑关系如图
图 3-2 事件采集器内部逻辑
Fig3-2 the internal relationship of events collector
(2)状态采集器。状态采集器通过 PING、SNMP等方式采集设备在线状态与运 行参数(CPU利用率、内存利用率、硬盘利用率、网卡流量),实时反映被管理设备的状态;状态数据从网管系统接口获取;状态数据的采集间隔默认为120秒,可配,但不能大于30分钟;状态数据最大应保存过去7天的数据。
(3)事件分析器。远程安全信息采集系统能够对来自不同安全系统的报警信息进行实时的关联分析,并根据威胁程度的大小对安全事件进行排序,对不同威胁程度的安全事件通过不同颜色来着重显示。应提供三种事件关联方法,即基于统计的关联、基于规则的关联、基于漏洞的关联。
事件分析器通过后台关联分析模块完成各种安全关联分析功能。
(4)信息上报模块。信息上报模块完成对采集的信息向平台上级系统发送功能。上报的信息中应包含组织代码,信息上报模块至少应支持的上报方式即数据库、
12页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
SysLog、SNMP、Windows日志、事件报表。
3.2 资产管理
信息资产是整个平台的保护对象[24]。不同的信息资产具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对组织中的信息资产进行科学分类,以便于进行后期的信息资产抽样、制订风险评估策略、分析安全功能需求等活动。
信息资产还具有很强的时间特性,它的价值和安全属性都会随着时间的推移发生变化,所以应该根据时间变化的频度制订资产相关的评估和安全策略的频度。例如,某些重要的市场活动策划方案(数据资产),在活动开始之前,为达成市场目标,需要对该数据资产进行机密性、完整性和可用性方面的保护。但是在该活动之后,策划已经基本上都传达给了大众,所以资产价值已经大部分消失,相关的安全属性也失去保护意义。
在信息安全的资产管理系统中一个重要的概念是业务单元(BU) [25]。BU是组织业务的重要组成部分,是各个资产的组合。资产管理中,BU的视图是展示的一个重点。
另外,资产管理的定位是为风险管理和业务视图提供一个坚实的基础。所以,风险管理需要提供相关的属性也是资产管理中要考虑的。信息资产管理模块将建立安全管理的整体安全视图。信息资产管理模块实现对综合网络安全风险分析系统所管辖的设备和系统对象的管理。它将其所辖IP设备资产与风险的重要程度关联,遵从ISO 27001标准的基于资产CIA属性,按照资产信息、漏洞、补丁与备件分类导入或登记入库。
信息资产管理模块维护信息资产的所有信息,为风险管理提供分析依据。系统应提供权限管理、资产维护、信息查询和报表、资产审计等功能。
系统可以根据其他功能模块的数据和信息对资产进行评估,及时掌握资产的安全状况;和其他资源管理系统互连,能够进行数据转换,实现资产的数据共享,并能支持查询和导入功能。
3.3脆弱性管理
各种重要的主机系统和网络设备上存在的安全脆弱性是影响信息系统安全的重
13页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
要潜在风险,为了了解网络中主机和网络设备的安全脆弱性状况,平台中应包含脆弱性管理模块,实现对重要主机系统和网络设备安全脆弱性信息的收集和管理。该模块收集和管理的脆弱性信息主要包括通过远程安全扫描可以获得的安全脆弱性信息(远程脆弱性信息)和通过运行本地脆弱性脚本搜集与安全相关的系统信息(本地脆弱性信息)。在定期收集到这些脆弱性信息后进行导入和处理,提供安全管理员对脆弱性信息的查询、呈现方式并采取相应的措施进行处理。
¾ 远程脆弱性信息管理。
平台通过远程评估产品,收集整个网络的弱点情况并进行统一管理[27],并对收集的信息进行统一的标准化处理后,对脆弱性信息提供查询和展现功能,使得管理人员可以清楚地掌握全网的安全健康状况。脆弱性管理模块具有统一的可视界面,显示各个系统的脆弱性分布情况。
平台提供与主流远程评估产品的接口,完成远程脆弱性信息的搜集,将漏洞扫描系统搜集的远程脆弱性信息导入到脆弱性管理功能中。
1、与远程漏洞扫描设备的互操作。平台通过与漏洞扫描系统的互操作接口,采集和分析扫描评估结果,实现管辖网络设备和主机的脆弱性数据采集。
2、与其他模块的接口。脆弱性管理模块能够通过系统内部接口,实现与信息资产管理模块的关联,提取到资产的相关信息,将脆弱性信息与每个资产进行关联,形成资产脆弱性报告、安全风险,如明确每一台资产的漏洞分布情况。脆弱性管理模块还能通过系统内部接口,实现与风险管理模块关联。风险管理模块利用脆弱性信息,形成资产的整体风险报告。
3、脆弱性信息的导入与导出。本模块对外提供统一的信息导入的文件格式,无论哪种远程安全评估设备,只要导出的文件格式符合标准或格式化成标准格式,就能直接导入。导入内容包括IP地址、操作系统类型、操作系统版本、操作安全脆弱性的端口和范围、安全脆弱性名称和编号、安全脆弱性的描述、安全脆弱性的解决措施。支持多次导入并标识[28]。
脆弱性管理模块导入了漏洞评估系统的扫描结果,可以提供对外的查询、文件或打印输出,可以提供所选的特定区域的脆弱性列表的查询和汇总,也可以按照核心资产的IP进行查询和汇总,提供对于一个设备的不同风险级别的漏洞数提供查询统计的能力;提供基于不同关键字及其组合的查询统计,并按关键字排序;对于多次导入的评估结果提供比较、统计分析;可以显示所选区域TOP20高风险脆弱性问题;生成的查询结果可以生成Word、Excel和HTML格式的文档。
4、脆弱性信息展现方式。本模块的脆弱性信息可以采用图的方式进行呈现,
14页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
包括高风险安全脆弱性分布图、设备平均脆弱性数量分布图,以及两次评估的结果对比图。
¾ 本地脆弱性信息管理
本地脆弱性信息收集脚本主要用于收集重要主机系统上与安全相关的系统信息,并通过与脆弱性管理系统中相关安全基线的比较,分析获得系统的本地安全脆弱性信息。平台提供丰富的针对于实际网络环境和业务情况的脚本库,可以用于业务系统主机系统与安全相关的系统信息。
脆弱性管理模块可针对本地脆弱性脚本制订采集、传送等策略,并通过接口,将策略下发给本地脆弱性脚本。当本地脆弱性脚本完成信息收集后,将信息通过接口发送给脆弱性管理模块。 。
本地脆弱性脚本的开发对于Sun Solaris、HP-UX、Linux等操作系统[29],通过标准的语言编写Shell脚本,将脚本部署在需要进行本地脆弱性搜集的系统上。该Shell脚本与脆弱性管理模块间遵循安全运维支撑平台接口间通信协议SSL,执行脆弱性管理模块发送的策略,收集安全信息。对于Microsoft Windows系统,将脆弱性信息搜集指令和方法形成可安装的应用程序,将应用程序部署在需要进行本地脆弱性搜集的系统上,该应用程序与脆弱性管理模块间遵循平台接口间通信协议加密SSL,进行策略及搜集结果的传送。在传输过程中可利用数字证书对所有接口通信进行验证。本地脆弱性脚本收集的目标系统安全信息为操作系统版本、安装的补丁信息、用户账号策略、口令策略、口令脆弱性、注册表信息、端口信息、进程信息等内容。
3.4 风险管理
通过对网络中主机系统和网络设备安全脆弱性信息的收集和管理,及时掌握网络中各个系统的最新安全风险动态。脆弱性管理模块与资产管理模块通过统一数据平台进行信息调用,实现脆弱性和资产的对应关系。
本功能模块用于进行各种风险的计算,并将计算后的结果提交给风险显示/查看模块。风险的计算包括支持风险的定期计算、风险的实时计算、事件风险实时计算、资产风险实时计算等。
平台遵循ISO/IEC 27001的资产管理规范,允许对信息资产的价值进行有效评估,从而确定信息资产的安全需求(完整性需求、保密性需求和可用性需求),不仅可以协助用户有效管理信息资产的各类属性,同时也便于贯彻ISO 108/GB 17859的等级保护规范。
15页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
平台能够根据资产风险的状况,对资产进行评级并将最后的量化的风险归结到不同的风险级别。风险分析计算模型为:风险=F(安全事件,资产漏洞,资产价值,安全事件所影响的资产及业务单元的CIA属性,安全事件所影响的区域) [26]。它较真实地反映了同一事件,因资产所承载的业务的CIA属性不同,造成的风险不同。利用上述模型,将事件对资产的威胁,通过事件、漏洞与业务CIA属性进行关联分析,有机地反映在企业的业务风险上,这样就可以将安全事件的风险管理上升到对企业业务的风险管理。
安全评估对当前网络系统状况的评估,提供该评估的依据,安全事件以及安全事件处理的状况,提供网络系统建设的建议。安全预警是一种有效预防措施。结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时做好安全防范工作,防忠于未然。同时通过安全威胁管理模块所掌握的全网安全动态,有针对性指导各级安全管理组织做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
安全预警是对来自于不同威胁事件和脆弱性模块的资产漏洞状态信息,根据规则的事件关联分析、漏洞关联分析和风险评估进行准确分析计算,形成统一的风险级别,为安全管理人员进行安全预警。显示系统可支持GIS和网络拓扑展现预警风险分布,具备良好的用户界面。
平台的安全预警模块通过基于响应规则的工单系统和通知系统实现的。该系统产生的预警事件可以通过安全响应管理模块的策略形成针对安全事件的处理过程,根据具体的安全响应流程进行配置实现的。
3.5事件管理与分析
本模块从资产采集模块得到资产的基本信息,从脆弱性采集模块获取资产的脆弱性信息,从安全事件采集模块获取发生的安全事件。事件管理模块接收接口至少应支持的接口方式即数据库、SYSLOG、SNMP、Windows日志等。
本功能模块主要功能需求如下: 3.5.1 事件管理
¾ 事件采集
平台应支持从各种主流安全系统收集安全事件数据,支持SYSLOG、SNMP、
16页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
XML、ODBC、JDBC、TXT等通用协议[30]。远程安全信息采集系统负责采集事件到平台中分析应用。数据通信可通过网络传输、数据库、文件交换等方式完成。
¾ 事件范化
收集到的日志信息被综合安全监测系统统一范化成大类事件,形成标准格式,以便于后期的事件分析处理。这些事件类型代表了常见类型的安全攻击情况并包括:拒绝服务(DoS)、侦察、应用利用、授权、躲避、病毒、系统状态、违反、可疑等。每大类事件下有相应的详细小类分类。另外事件范化要求一般满足:用户可自定义增加事件类别;用户可更改已有事件类型,包括修改、删除;用户可自定义增加一些事件小类。大类参考分类方式即病毒木马、系统状态、扫描探测、拒绝服务、规避、认证授权计费、应用漏洞、非授权访问、未知类型。
¾ 事件过滤
能够根据管理人员的需要主动地排除某些事件的上报。事件的过滤既可以在事件采集阶段进行,也可以在采集后的平台监控阶段进行。用户配置的事件过滤器,可以按照事件的各个字段进行筛选,例如事件类型、级别、源IP、目标IP、源端口、目标端口、设备类型。
¾ 事件归并
通过对范化后的事件进行同类合并,实现事件压缩,精简数量。事件归并可以依据安全事件的各个字段(IP、类型、级别等)进行合并。 3.5.2 关联分析
事件分析器通过后台关联分析模块完成各种安全关联分析功能,事件关联能够将原始的设备报警进一步规范化并归纳为典型安全事件类别,从而协助使用者更快速地识别当前威胁的性质。
关联分析的结果作为一个新的事件类别单独显示,作为关联分析事件,通常可以下设小类,比如漏洞关联事件、规则关联事件、统计关联事件。与其他事件相同,这三类事件可以适用不同的响应处理策略。 本功能模块主要功能需求如下:
(1)漏洞关联。基于漏洞的关联依赖于脆弱性评估模块[31]。
漏洞关联判断事件所利用的漏洞在目标IP资产上是否存在,它的判断条件是基于CVE号,要求上报的事件与采集的漏洞均支持CVE编号。如果事件与漏洞能够匹配,则生成一条“漏洞关联事件\",该事件的级别为高级,事件的详细信息中必须有
17页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
CVE号的显示。
(2)实时规则关联。规则关联是把各种安全事件按照时间的先后序列与时间间隔进行检测,判断事件之间的相互关系是否符合预定义的规则。规则关联的结果为白定义规则关联事件,名称一般为‘规则关联事件——XXX,,属于关联分析事件大类,事件级别可由用户指定。预定义规则使用的条件可能包括:
¾ 不同事件之间的前后顺序,例如A事件之后的1分钟内出现B事件; ¾ 同种事件之间的数量关系,例如A事件之后又再次出现10次A事件; ¾ 前一事件与后一事件的事件属性之间的关系,例如B事件的目标IP等于A 事件的源IP,B事件的目标端口等于A事件的源端口;
¾ 常规的事件条件,例如事件名称、IP、端口等; ¾ 各个条目之间为“与’’的关系。
(3)统计规则关联。统计关联是一种特殊的规则关联[32],即由用户设定某个事件单位时间内的统计阀值,当超过此阀值时触发一条“统计关联事件\",级别由用户设定。 用户可以配置的条件一般包括时间范围、事件次数、事件名称、事件级别、事件类型、源IP、目标IP、源端口、目标端口。
3.6 工单处理
平台应利用灵活、全面和可定制的工作流,用户可利用一个专门针对安全事件而设计的严格的、定义的、记录在文件中的且完整的流程来处理每个安全事件。此外,还提供了预配置的事件模版以及可对站点定制的事故响应管理程序,进而简化事故响应管理流程[33]。
事件监控中心在监测到安全事件后,生成新的工单,由专人审核,并派发到相应的处理部门。对于平台,一方面有专人会通过系统报警的方式收到通知并在规定的时间内对工单进行接收,并进入对安全事件的处理阶段,另一方面工单跟踪模块会对工单被派发后的整个过程进行跟踪,进行工单收回、重新派发等工作。工单处理结果可能有两种可能:一种是安全事件被解决,这个工单就被关闭,同时工单的内容被保存到知识库中,作为历史记录和以后参考用;另一种是安全事件因为某些原因没有被彻底解决,这个工单所包含的问题会被重新处理考虑,生成新的工单,进入新的工单处理流程。响应管理完善了从防护到检测再到响应的一个安全事件处理过程的闭环。通过不同安全事件、脆弱性、资产价值及资产的CIA属性间的相互关联分析形成针对资产及BU的不同的风险报警级别,以便安排响应措施,便于统
18页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
一安排安全事件响应管理。通过上述方式形成较为完善的安全事件响应管理系统让安全防护工作变被动为主动。
本模块利用平台内置的工作流模块可以灵活、全面和可定制的工作流。利用内置的工作流的定制特性,结合现有的工作流程[34],可对工单系统进行定制设计,使之符合实际需求和流程。一般需要平台支持多种通知方式,如声音、Email、短信、工单、实施事件监控等。平台对安全事件的管理具有优先级分类功能,可以针对不同的优先级改变安全事件处理的策略:
¾ 能保证优先级高的安全事件比优先级低的安全事件更快地处理。
¾ 能针对同一个处理流程或同一个处理人,高优先级的事件应该可以抢断低
优先级的事件,首先得到处理。
¾ 能根据事件处理中发生的不同情况(等待时间过长,事件被抢占,需要的资 源无法获得等),可以自动改变事件的优先级和流程以及相应的干系人。
3.7 安全知识管理
安全知识管理模块既提供一般知识管理功能,比如安全知识库、培训和人员考核等,也提供了强大的漏洞库、事件特征库、安全配置知识库和案例库等。安全知识管理实现了安全信息的共享和利用,提供统一界面以安全Web等形式发布最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该知识库的数据以数据库的形式存储及管理,为培养高素质网络安全技术人员提供培训资源。
平台将历史上处理完毕的安全事件信息导入安全知识库中,并结合平台的脆弱性分析等模块,形成的安全基线,并提供针对于现有网络设备及应用的安全知识。
3.8 界面与报表管理
整个系统进行管理和信息展示都统一在平台上,来自系统的各个功能模块的管理信息集中在这个平台上发布和展示。整个安全平台应提供用户集中管理的功能,对用户可以访问的资源进行细致地划分[35];用统一的系统管理接口,各子信息系统的界面统一都是以Web形式提供给各级用户的;发布最新的漏洞说明、攻击特征说明。
系统具备安全可靠的分级及分类管理功能,具体要求支持用户的身份认证、授
19页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
权等功能;支持用户的口令修改;支持不同的操作员具有不同的数据访问权限和功能操作权限,系统管理员应能对各操作员的权限进行配置和管理;系统具有良好的可扩展和自开发能力,能针对用户录入、删除、修改密码等功能分不同模块,以便针对以后不同的需求进行分模块修改;系统有完整的安全控制手段,对用户和系统管理员的权限进行分级管理,相应的账号和口令都是加密后存放在数据库中的,充分保证了用户信息的安全性,对系统操作员的密码有安全保障机制。
平台模块之间的敏感数据传输是加密的,因此组件之间的通信安全是可靠、安全的。如果一个报表系统能够运用开放标准的框架结构正确设计,它能够很容易地集成到整个企业IT架构,以及Internet/Intranet架构中去。它具有和其余系统的松散的或是紧密的集成能力。它甚至还能被彻底地嵌入到其他应用软件当中去,而不再表现为一个的软件。它还能够让系统输入/输出任何形式的任何数据,以满足用户获取信息的需求或者是系统集成的需要。任何具备开放标准技巧的人都将有能力高效率地管理该应用系统。最终用户完全有能力来扩展该软件的功能,以便能够服务于更多的商业需求,并且可以被更长期地使用。对于开放系统的使用者来说,这意味着更高的投资回报率。报表模块是基于XML、J2EE、JavaScript和SOAP[36]等开放标准设计,它具有极度扩展能力的系统结构为产品提供了更为长久的使用寿命。不论是报表开发人员还是最终用户,都非常易于使用,事实上对使用者来说只需要很少的培训和要求很少的使用经验,就能够保证很高的工作效率。报表模块还允许用户通过替换硬件或软件组件的方式来无地升级系统。
报表模块支持多种报表形式,适合领导、业务、技术等不同人员的需要。提供可靠的报告功能,其特性包括事件级和行政级报告。被授权操作员和分析员可从事件个案数据库中轻松检索事件个案。系统可对逐个个案或多组个案生成个案报告。系统可为管理人员和行政主管人员轻松生成个案监控和汇总报告。此外,还可对其进行配置,使之能自动生成事件报告供管理层或第三方分享。报告可以衡量性能等方面的实时纠错和风险发现,呈现状态报告和影响各个资产的威胁。强大的分析能力,允许用户运用这些数据去自行定义组成报表格式。
3.9 与其他平台集成
从安全平台自身的角度来看,其可以被视为的系统,对于在大型组织的部署,平台技术通常要求多级的分层次的部署。比如很多国家组织都包括国家中心、省、地市等分级的关系,那么不同领域管辖的区域可以的进行平台的建设。组
20页
上海交通大学硕士学位论文 第3章 信息安全管理平台的主要功能模块设计
织内部又需要贯穿于各级之间的管理模型,所以要求各自平台之间能够建立彼此的关系,比如可以使国家中心的监控中心作为所有下级组织平台的总控,从而更好地与行政结构相一致。而同样有些组织需要采用并行的关系,比如省与省所建设的平台之间,它们之间并不存在上下级的关系,但也要通过平台建立某些必要的联络,如知识库的共享,安全的整体预警等。
由于现有安全产品从功能上涵盖了网络防病毒、防火墙、安全网管、入侵检测、漏洞扫描、安全风险评估等多个领域[37],具有种类繁多、个性较强的特点。此外,如果平台要集成其他厂商的安全产品,就需要了解其技术内核,由于内核源代码版权问题且目前并没有国际性的标准组织和联盟对网络安全产品之间的接口标准进行制订,再加上很多网络安全产品的核心技术拥有者受到目前市场经济利益的驱动,对一些关键安全产品还存在市场保护,并不情愿提供自己产品的接口供别人集成使用。因此,如何保证安全管理平台上各组件间良好的联动互操作能力和平台基于各种日志的综合交叉分析能力,将是安全平台集成是否成功的关键。
3.10 本章小结
本章从实际角度出发,探讨了一个易于设计和实现的信息安全管理平台框架。并对其基本模块和功能作了简要介绍,本文将在下章中结合实际案例详细论述平台的设计思路和功能实现。
21页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
第4章 上海电力信息安全管理平台的典型设计
本章详细介绍了上海市电力公司信息安全管理平台(Top analyzer)的设计思路、体系架构、关键技术等[38]。上海市电力公司的SOC采用了J2EE的架构基础,并根据自身应用特点进行定制开发,在规范统一的平台上有机整合了各种安全产品及技术,并与管理因素相结合,引入到企业的安全管理中,改变了信息孤立的状态,提高了上海电力的信息化管理水平。
4.1 平台设计原则
设计信息安全管理平台时应该考虑如下的原则:
(1)符合性和标准性。平台遵循各种IP网络国际标准和安全标准,需要遵循的主要标准[39]如下:
¾ ISO-17799/BS7799信息安全管理体系国际标准; ¾ CC-ISO 108和GB/T 18336信息技术安全性评估准则; ¾ ISO-13335 IT安全管理指南; ¾ ITIL/BS 15000 IT服务管理标准; ¾ SSE-CMM成熟度模型; ¾ AS/NZS 4360风险管理;
(2)框架性和全局性。在平台设计时需要参考和依据国内外多个信息网络标准和安全标准中的框架和指南,做到全面地反映安全需求的各个方面。
(3)规划性、支持性和可扩展性。在平台设计时,需要考虑具备良好的扩展性,初期建设之后可以以之为基础扩展至其他系统。同时,系统的设计也可以满足分期分阶段部署和实施的整体规划要求。兼顾未来随着网络及业务的发展对平台的可扩展性要求。
(4)互连、互通、互操作性。平台既要实现平台自身各个子系统互连、互通、互操作性,又要通过平台代理方式所管理的各个系统(网络安全设备、主机、网络设备)都能够有机地通过该平台实现了互连、互通、互操作。真正使得本工程构建的是一个大系统(系统的系统SoS——System of Systems)。
(5)安全性。系统平台涉及整个网络的敏感信息,设计时要充分考虑管理数据的
22页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
保密性、可用性、完整性的要求。
(6)最小影响性。安全管理系统将最大限度地减小对于其承载业务系统的影响。 (7)效益性。安全管理整体方案将充分考虑资源的投入和回报。系统平台设计要充分考虑利用现有设备发挥作用,选择高性价比的产品和系统,一定阶段业务扩展的适应性等等。总之,充分考虑保护的资源和投资,达到最佳效益。
(8)易操作、易管理性、准确性。设计时将充分考虑具有良好的用户操作界面、详细的帮助信息;系统参数的维护与管理通过操作界面实现。同时提供多种核查手段,保证数据的准确性。
(9)技术文档完善性。在安全整体方案相关的平台设计阶段,要保证应用软件文档规范、正确、完整、一致和有效。
(10)应用系统的开放性。保证系统与其他系统的互连,系统需要根据要求与网管和其他系统互连,预留扩展部署接口。
4.2 平台体系结构设计
一个好的平台基础架构将为整体平台设计带来明显的优势,特别是在平台的后期维护和需求更新阶段。本文简要介绍一下目前比较流行的两种体系架构SOA和J2EE。具体内容请详细阅读相关专著。 4.2.1 SOA(Service-Oriented Architecture)
SOA即面向服务的体系架构,是一种有别于传统BOA(Business-Oriented Architecture,面向业务的体系架构)的系统开发体系架构[41]。在基于SOA架构的系统中,具体应用程序的功能是由一些松耦合并且具有统一接口定义方式的构件,也就是服务,组合构建起来的。大多数组织的IT现状,是由不同种类的操作系统,应用软件,系统软件和应用基础结构相互交织的。一些现存的应用程序被用来处理当前的业务流程,因此从头建立一个新的基础环境是不可能的。组织应该能对业务的变化做出快速的反应,利用对现有的应用程序和应用基础结构的投资来解决新的业务需求,为客户、商业伙伴以及供应商提供新的互动渠道并呈现一个可以支持有机业务的构架。SOA凭借其松耦合的特性,使得组织可以按照模块化的方式来添加新服务或更新现有服务,以解决新的业务需要、提供选择从而可以通过不同的渠道提供服务,并可以把组织现有的或已有的应用作为服务,从而保护了现有的IT基础建
23页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
设投资。
。
图 4-1 SOA体系架构 Fig4-1 SOA architecture
4.2.2 基于J2EE的上海电力公司安管平台架构
图 4-2基于MOM及AOP的开放式安全管理系统框架
Fig4-3 open-framework of security management system based on MOM and AOP
24页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
Top Analyzer采用J2EE的体系架构,系统的不同功能模块可以灵活地以服务的形式部署在不同主机上,功能模块间的通信通过MOM(面向消息的中间件)完成。采用这种面向服务的与平台无关的系统架构,便于用户合理分配现有资源和进行系统性能调优。同时,Top Analyzer通过TSM的基于WEB的门户管理系统向认证用户提供基于B/S架构的管理界面,无须用户安装客户端软件。主要具有以下优势[42]: ¾ 系统间通讯的透明化:作为分布式系统,系统间的通讯通常需要开发人员设计和
实现,系统拟通过JMS、RMI及EJB技术来构架分布式系统,同时实现对开发人员的通讯透明。
¾ 降低系统间模块的耦合性:通过使用面向消息的中间件(MOM)作为应用架构
的主干有效降低系统间各模块的耦合性,便于分块开发、调试和除错。 ¾ 实现系统的热部署:系统可以在运行状态中加入新的组件或者卸除已有组件,整
个过程都不影响系统的运行。
¾ 提供系统的可靠性:与原有系统不同,系统的各重要模块可以运行在不同的进程
中,有效的隔离错误。
¾ 支持灵活的分布式部署:系统的各模块不仅可以分布在不同的进程中,同时可以
透明分布在不同的主机中,以通过分布式计算提供系统的处理能力。而这些应该不会导致开发和部署中的额外工作。
¾ 支持群集:当服务器的某种状态崩溃时,状态能够被透明的复制到其它服务器。 易于不同系统间的整合:整合不同的管理系统。
4.3 平台关键技术
4.3.1安全代理——数据采集标准化
网络与安全事件监控对象涵盖网络设备、主机系统和安全系统,安全产品包括防
火墙系统、NIDS系统、漏洞扫描系统、防病毒系统、网络安全审计、身份认证系统等,网络产品和主机系统包括路由器、交换机、Windows操作系统主机、UNIX/LINUX操作系统主机、关系数据库、流量管理系统等。对这些系统的日志和事件告警信息进行集中收集,通过专用安全代理(Agent)和事件采集器实现,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等,安
25页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
全运营中心监测点的代理及引擎部署),通过安全通信方式,集中收集安全事件到安全运营中心中的安全管理服务器进行处理,即聚并、过滤、标准化,并进行基于 资产及域的风险关联分析产生准确的风险管理[43],从而实现安全事件的集中收集和处理。对于一些没有专用代理来采集的设备,可通过通用代理技术(UA)支持,确保事件的广泛采集。
主要包括如下几类代理[44]:
(1)事件收集(Collection)代理:支持特定方式采集事件的代理。例如,SNMP Agent 支持通过SNMP协议从支持SNMP协议的网络设备、安全设备、操作系统等来源采集事件。
(2)综合分析(Analysis)代理:依据自带的或者用户定义的规则进行特定分析的代 理。例如,Correlation Agent支持事件关联分析,根据规则不同可以是基于IP地址的关联、基于时间的关联或者跨设备的关联。
(3)响应管理(Response)代理:根据预设的规则响应综合分析后的事件。例如,Task Agent支持基于工单系统的任务管理。通过任务管理可以结合事件响应流程,便于相关人员配合。
(4)定制API
4.3.2基于状态机的实时关联检测技术
使用攻击状态机模型来抽象和描述攻击行为,建立多种攻击关联场景,能有效地从大量安全事件中准确识别出真实的入侵行为[45]。从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。侧重脆弱性的关联分析,即从攻击者的角度描述脆弱点的挖掘过程。用模型检查方法来研究攻击图的自动生成和分析,其基本的思路是将网络抽象成一个有限状态机,状态的迁移表示原子攻击,并且赋予特定安全属性要求。然后用模型检查器自动生成攻击图,并以网络攻击领域知识来解释图中状态变量意义和分析图中的状态变迁关系。TopAnalyzer使用内置的攻击状态机模型来抽象和描述攻击行为,支持用户手工建立攻击关联场景,可以有效地从大量安全事件中准确识别出真实的安全威胁帮助用户快速响应安全问题,不断优化网络的安全状况。采用XML形式,支持部分面向对象的特征,用于描述攻击场景,及在攻击场景的描述中加入特定的响应动作,便于利用基于状态机的实时检测技术发现攻击场景及实现攻击的分阶段自动响应。
26页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
4.3.3 可视化技术
综合显示模块作为整个安全管理平台统一人机界面接口,发布,采用Web方式,
支持各功能模块的信息显示和管理。综合显示模块提供多种的信息显示和发布方式主要有[46]:
(1)基于列表的信息显示。提供列表方式的信息显示信息,支持信息的检索、排序和查询。
(2)基于网络拓扑的信息显示。与网管系统接口相结合,可以在逻辑层面定位事件发生的位置。将各个模块的信息集中显示和通过简明清晰的列表来显示信在网络拓扑上提供信息显示。
(3)基于GIS的信息显示。与GIS系统接口相结合,在地理上提供信息显示,可以在物理层面定位事件发生的位置。
采用数据库系统对采集到的统一化安全事件进行统一的存储管理,支持安全管理员能够对安全事件的历史记录进行查询、分析和入侵追踪。而且通过安全事件分析过程与分析报告的可视化(通过图/曲线/数据表/关联关系图等)使得安全事件的分析更为直观。另外还将根据报警信息及其关联分析,力图提供详细的入侵攻击信息直至关于攻击场景的重现,从而能够实现入侵攻击的追踪或入侵攻击的特征分析。 4.3.4 风险分析
基于ISO27001建立网络安全的风险计算模型,根据该模型计算网络内资产的风险指数,并能对当前网络的安全风险状况进行集中监视和控制[48]。内容主要包括:风险分析和计算、安全风险监视和控制。风险管理的具体要求如下:风险分析应能够根据各监控点的资产信息、脆弱性统计信息以及威胁分布信息,为每一个资产定量地计算出相应的风险等级,同时根据业务逻辑,分析此风险对其他系统的影响,计算出业务系统或区域的整体安全风险等级。不仅可以向用户提供动态、实时、智能的风险评估以及多视角(资产)多视图(仪表、拓扑、地图)的企业风险可视化展示,还可以根据灵活的响应方式和专家系统建议指导用户采取有效、及时、恰当的防护手段。从而为企业实现闭环的、持续改进的风险管理提供了有效保证。 (1)风险等级划分。根据风险值的大小,风险分析模块应具有一个统一的风险等级划分标准(划分为很高、高、中、低、很低5个等级),能够对某资产或业务单元、区域单元面临的所有风险都明确地定义出当前等级,并将高等级风险显著标识出来。
27页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
(2)风险分布列表。资产、业务单元、区域单元可能面临若干种不同的风险,风险分析模块应针对每个资产、业务单元、区域单元给出一个全面统一的风险分布列表。
(3)风险图形化显示。图形化显示资产、业务单元、区域单元的风险级别,利用单击向下挖掘方式,最终定位到影响的关键事件。(最终形态依赖于提供的电子地图) (4)风险实时显示。实时显示资产、业务单元、区域单元的量化风险值和风险级别。
(5)风险报表。定期累计计算各资产、业务单元、区域单元的风险评估计算结果,可根据不同岗位的需求,形成不同表现形式的各资产、业务系统、区域的日、周、月风险报表,并进行风险趋势分析[49]。
(6)风险级别。通过不同的方式显示不同的风险状态,判断处理方式。比如通常采用的5级的风险级别。 4.3.5 基础性支撑协议/技术
平台作为整个安全系统运行的监控者和管理者,其中的每一步关键操作都会对整个安全系统产生重要影响,甚至会改变系统运行方式和运行状态,因此平台自身的安全性非常重要,其自身安全包括多方面,如物理安全,数据安全,通讯安全等。简言之,平台在总体设计时必须考虑以下方面[50]: ¾ 在所有组件之间进行可选的加密方式确保安全的通信; ¾ 引擎可利用数字证书对所有用户类代理进行身份验证; ¾ 增强的用户和管理界面可采用基于SSL的身份验证; ¾ 可在所有组件之间实现统一的配置。
4.4 平台具体功能模块设计
4.4.1 安全事件采集与处理
TopAnalyzer系统的QUICK AGENT支持主要的日志收集方式包括Syslog、Snmp
v1、v2 trap、文件、数据库、消息、API[51]。对于Syslog、Snmp trap、文件支持flexer方式收集,通过标记语言的方式实现,可以快速支持,并且不需要修改程序代码。 支持主要的数据源:
28页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
安全设备:防火墙、IDS、VPN、过滤网关、反垃圾邮件网关、防病毒、蜜罐、扫描器等
网络设备:交换机、路由器等
操作系统:Linux、Unix、Solaris 、Windows等
应用系统:Web服务器、FTP服务器、邮件服务器、数据库服务器等 4.4.2 资产管理
资产信息管理维护信息资产的所有信息,为风险管理、脆弱性管理提供分析依据。域(资产组)也是风险管理的对象,是按照资产的集合进行的风险与脆弱性展示。资产信息管理主要是管理平台监控范围的各个系统和设备,是风险管理、事件监控协同工作和分析的基础。资产信息管理模块将其所辖IP设备资产与风险的重要程度关系,依据风险评估的结果、定期的漏洞扫描结果和信息资产相结合,遵从ISO/IEC 27001标准基于资产CIA属性,按照资产信息、漏洞、补丁与备件分类导入或登记入
库,并为其他安全运行管理模块提供信息接口[52],比如综合显示、综合安全监测等。
本功能模块的功能需求如下所述: (1) 资产管理
资产的变更应实现手工添加、外部工具导入、资产列表导出等功能。资产的基本属性包括资产名称、资产编号、资产描述、资产类型、资产子类型、资产所属域、资产主IP、资产其他IP、资产使用者、资产使用者姓名、资产使用者联系方式、资产使用者邮件、资产操作系统、资产端口信息、资产补丁信息、资产地理位置、资产保密性价值、资产完整性价值、资产可用性价值、通用属性等。
资产的信息修改可以通过手工修改资产的上述属性。系统应支持资产删除、批量删除等。资产管理人基本属性包括管理人姓名、联系电话、电子邮件等。可以按照资产名称、IP、域名称进行资产查询,查询结果可以导出为CSV格式。
(2) 域管理 通常平台系统的域采用树状样式进行管理。域可以进行添加、删除、修改。可以 定义资产所属的域,资产可移入、移出某个域。资产相对于域具备权重,用户可以修改此权重。域相对于它的上级域也具有权重,并可修改。
(3) 资产导入导出
29页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
可以进行资产信息的导入导出工作,进行资产信息的备份与还原。一方面,资产导入通过Excel文件进行,如果有IP重复则跳过。另外可以按域选择域下面的所有资产,并进行资产导出,导出为CSV格式。
(4) 资产自动发现
系统自动根据收集到的事件进行分析,发现未入资产信息库的资产IP。自动发现 可以预先配置网段范围或漏洞级别、资产的归属域、资产的默认价值。自动发现的资产由管理员手工导入,可批量进行。
(5) 资产报表
资产报表提供资产信息的查询和检索功能报表,包括域资产的分布、资产的数量 变化、资产风险、域风险、资产脆弱性、域脆弱性,以及与其他系统的接口。实现与现有资源管理系统的互操作。包括资源共享、同步更新、信息的查询、导入和数据格式相互转换等功能。实现与其他功能模块的信息接口,以便其他管理模块可以导入资产信息。
(6) 权限管理
域与资产管理权限:可以增加、删除、修改资产与域,并调整其信息,可以导入、导出资产,可以配置资产自动发现设置。具备本权限也就自动具备下面的两种权限。
¾ 域与资产查看权限:可以查看域与资产自身的信息,可以查看自动发现的
配置,但通常不提供修改权限。具备本权限并不代表可以查看域与资产所产生的相关信息。
¾ 风险、脆弱性、事件查看权限:可以查看资产或域所属的风险、脆弱性、
事件等产生信息。具有本权限并不代表可以查看域与资产自身的信息。
4.4.3 脆弱性管理
脆弱性管理模块功能主要包括[56]: ¾ 通过远程安全扫描获取远程脆弱性信息 ¾ 允许管理员手工录入、修改脆弱性信息 ¾ 提供安全管理员对脆弱性信息的查询和管理
¾ 提供与主流远程评估产品的接口,完成远程脆弱性信息的搜集
平台的设计应可以将采集到的资产脆弱性信息与资产的安全需求信息进行综合分析计算,从而给出资产的脆弱性指标。可以将资产的脆弱性指标传递给资产所属
30页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
的域(业务单元),从而给出域(业务单元)的脆弱性指标。能够改变漏洞的状态,并重新计算脆弱性值。根据单次评估结果的输入,能提供本次评估中按照漏洞类型、漏洞级别、受影响资产等进行统计的结果;根据多次导入的评估结果,能提供不同评估结果之间的比较、统计分析,统计出已修补脆弱性问题列表、未修补脆弱性问题列表、新增脆弱性问题列表,评估对比基于自然时间进行;统计分析指定域或子域的Top 20高风险脆弱性问题。
设计应支持脆弱性的查询功能,允许用户指定资产名称(或IP)查询资产的脆弱性指标、详细的脆弱性信息(如漏洞列表等),允许用户查询特定的脆弱性信息(如某个特定的漏洞)所影响到的资产;应提供基于不同关键字及其组合的查询统计功能,查询结果的显示应能提供依据不同关键字的排序功能;上述查询统计结果应能够导出到Excel、Word、HTML格式。
脆弱性报表应包括资产脆弱性、域脆弱性、资产漏洞、域漏洞、高脆弱性资产、 高脆弱性域等报表内容。图形化显示也是一个好的平台的设计亮点,比如平台显示应支持高风险安全脆弱性分布图、单设备平均脆弱性数量分布图、任意两次评估点之间高风险脆弱性变化情况分布图、资产的脆弱性变化趋势、域的脆弱性变化趋势等,使得平台的使用者更加直观地分析结果。 4.4.4 风险管理
安全风险分析,以掌握网络的最新安全风险动态,为调整安全策略适应网络安全的动态变化系统内置了基于BS7799标准的风险模型[53],用户可以调整风险模型的参数。风险计算根据资产的机密性价值、可用性价值、完整性价值、物理价值和威胁事件实时计算每个资产的风险值。按照资产组和客户、区域、类型分类计算风险值,为用户提供全局的风险信息。通过风险仪表盘可以为用户提供风险的可视化的展现,通过地图显示和拓扑图显示可以提供可视化的全局的风险状况和浏览功能。
结合ISMS的建设思路以及ISO/IEC 27001的标准要求,安全风险分析从资产管理模块得到资产的基本信息,从脆弱性管理模块获取资产的脆弱性信息,从安全事件监控模块获取发生的安全事件,然后在这些原始信息的基础上,进行综合安全风险分析。本模块进行综合与资产的价值、事件威胁的大小呈正相关关系[]。本模块从资产管理模块中得到资产的基本信息,从脆弱性管理模块中获取资产的脆弱性信息,从安全事件监控模块中获取发生的安全事件。得到上述这些原始信息后,本模块进行综合安全风险分析。综合安全风险分析是分析整个组织面临的威胁和确保
31页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
这些威胁所带来的挑战处于可以接受的范围内的连续流程,风险分析结果输出到综合显示模块。本模块还对收到的事件信息进行关联分析,对分析后的结果可以产生预警信息,进行响应管理的处理,弱点信息和事件信息、资产信息进行风险分析以后,若资产的风险过高,也会产生预警信息,发往响应管理模块[55]。 4.4.5 事件管理与关联分析
¾ 事件管理
平台应支持从各种主流安全系统收集安全事件数据,支持SYSLOG、SNMP、XML、ODBC、JDBC、TXT等通用协议[57]。远程安全信息采集系统负责采集事件到平台中分析应用。事件采集模块完成和远程安全信息采集系统的接口,数据通信可通过网络传输、数据库、文件交换等方式完成。对采集到的异构网络安全事件的统一化(Normalization)问题,即将网络中异构的安全产品自定义的安全事件信息统一化处理成一些特定的信息;然后,通过聚合、过滤,将各个设备发送的重复信息和成一条,这既包括一个设备来的重复信息,也包括跨设备的重复信息,从而达到剔除冗余报警信息的,精简报警数据的目的。因此必须对集成的安全产品进行详细地分析,需要对各安全设备/机制能够共享的资源和信息进行统一地定义、描述或统一化处理;并提供相应的数据接口定义。比如从安全报警事件的关联分析的角度,首先必须统一或熟悉各安全设备对入侵攻击的认识及其在各自报警信息中的表现模式;只有这样才能够对来自各安全设备的报警信息进行相应的预处理,并根据相应的先验知识对这些报警信息进行关联,提供可信度更高的报警信息,提供系统对入侵攻击的监测率,降低安全误报率。收集到的日志信息被综合安全监测系统统一范化成大类事件,形成标准格式,以便于后期的事件分析处理。这些事件类型代表了常见类型的安全攻击情况并包括:拒绝服务(DoS)、侦察、应用利用、授权、躲避、病毒、系统状态、违反、可疑等。每大类事件下有相应的详细小类分类。 另外事件范化要求一般满足:用户可自定义增加事件类别;用户可更改已有事件类型,包括修改、删除;用户可自定义增加一些事件小类。大类参考分类方式即病毒木马、系统状态、扫描探测、拒绝服务、规避、认证授权计费、应用漏洞、非授权访问、未知类型。
能够根据管理人员的需要主动地排除某些事件的上报。事件的过滤既可以在事件采集阶段进行,也可以在采集后的平台监控阶段进行。当在Web平台监控中过滤时,用户可以预先配置多个过滤条件,并选择其中一个生效。系统自动为每个用户
32页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
分配一个过滤器,即全部显示,这个过滤器不允许修改或删除。用户配置的事件过滤器,可以按照事件的各个字段进行筛选,例如事件类型、级别、源IP、目标IP、源端口、目标端口、设备类型等[58]。
通过对范化后的事件进行同类合并,实现事件压缩,精减数量。事件归并可以依据安全事件的各个字段(IP、类型、级别等)进行合并。
¾ 关联分析
事件分析器通过后台关联分析模块完成各种安全关联分析功能,事件关联能够将原始的设备报警进一步规范化并归纳为典型安全事件类别,从而协助使用者更快速地识别当前威胁的性质。关联分析的结果作为一个新的事件类别单独显示,作为关联分析事件,通常可以下设小类,比如漏洞关联事件、规则关联事件、统计关联事件。与其他事件相同,这三类事件可以适用不同的响应处理策略。
本功能模块主要功能需求如下:
(1)漏洞关联。基于漏洞的关联依赖于脆弱性评估模块。
漏洞关联判断事件所利用的漏洞在目标IP资产上是否存在,它的判断条件是基于CVE号,要求上报的事件与采集的漏洞均支持CVE编号。如果事件与漏洞能够匹配,则生成一条“漏洞关联事件\",该事件的级别为高级,事件的详细信息中必须有CVE号的显示。
(2)实时规则关联。规则关联是把各种安全事件按照时间的先后序列与时间间隔进行检测,判断事件之间的相互关系是否符合预定义的规则。规则关联的结果为白定义规则关联事件,名称一般为“规则关联事件——XXX”,,属于关联分析事件大类,事件级别可由用户指定。
(3)统计规则关联。统计关联是一种特殊的规则关联,即由用户设定某个事件单位时间内的统计阀值,当超过此阀值时触发一条“统计关联事件\",级别由用户设定。 用户可以配置的条件一般包括时间范围、事件次数、事件名称、事件级别、事件类型、源IP、目标IP、源端口、目标端口。
TopAnalyzer系统使用攻击状态机模型来抽象和描述攻击行为,建立多种攻击关联场景,能有效地从大量安全事件中准确识别出真实的入侵行为。从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的误报和漏报。图形化的攻击场景配置,可以实现用户快速响应安全问题,不断优化网络的安全状况。
33页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
4.4.6 认证管理和工单管理
TopAnalyzer是一个多用户系统,允许多个用户同时登录、查看或者处理用户本身权限范围内可浏览到的信息。因此,在系统管理员初始化TopAnalyzer时,需要进行配置的另一个重要内容就是设定用户及其本身拥有的权限。
TopAnalyzer在用户管理方式上采用基于角色的用户认证和管理模式,一个用户可以属于多种角色,一个角色可以被分配多种资源权限,用户与资源权限之间是通过角色来联系的。
工单管理是为了迅速响应客户需求,提高安全管理服务而建立的一个高效服务系统,它可以统一服务渠道,综合利用企业的安全支持资源。用户的安全需求通过呼叫中心转到工单管理控制中心,控制中心根据现有的资源制定工单,并交给某支持工程师来做支持,工程师可以查询知识库中的案例,来找出问题的解决办法;如果不能,靠自己或支持中心的其他资源来解决客户的问题。成功后,把这个过程作为案例记录到平台的知识库中供以后查询。
TopAnalyzer提供的工单管理功能,用户可以手工创建和派发工单,也可以设定规则由系统在一定条件下自动创建/派发工单。方便用户及时通知相关人员处理安全事件,提高安全响应效率,摆脱人工处理的弊端。
工单处理的整个过程分为派单人创建并派发工单、责任人处理工单、工单升级处理、通知派单人、派单人审核工单等。派单人还可以将已经关闭的工单重新打开,进行派发;派单人也可以将已经关闭的工单保存到事故案例库中。支持自动升级的分级处理,当一级处理人没有按时完成处理,升级到二级处理人处理,以此类推。目前工单支持4级处理人,最高级别的处理人就是派单人。通过多级处理和派单人机制可以实现灵活的工单处理流程。基于状态的工单可以实现标识当前工单的处理状态,用户对工单处理操作会使工单自动实现工单状态的变迁。对于需要简化流程的用户可以直接跳过一些工单状态,实现工单处理流程的剪裁。 4.4.7 安全知识库与辅助决策
安全知识库包括安全知识文章、漏洞库、补丁库、事故案例库等。系统预置了大量的安全知识文章,包括安全知识、安全通告等。系统按照CVE标准建立了漏洞库,预置流行操作系统的补丁信息库。事故案例库主要是针对工单处理系统,对于
34页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
典型的安全事故通过工单方式处理结束后,用户可以将事故处理的过程信息保存在事故案例库中以方便用户的知识积累和知识共享。
Top Analyzer提供辅助决策功能,使用户在处理事件时能够采用标准的安全专家知识。用户把现有的安全专家知识录入系统中,系统生成辅助决策。每当用户查看事件并调用辅助决策时,系统会根据事件的信息自动匹配辅助决策,由用户决定是否对事件进行处理及如何处理。
基于安全专家知识库的内容,采用专家推理的技术,对当前发生的各类入侵行为,给出切实可行的决策方案和建议,实现对网络安全的智能控制,提高安全管理的效率和智能化水平。辅助决策的功能主要包括:智能推理和决策、安全知识库的管理、安全知识的自学习。
当发现入侵行为时,系统能迅速采取合理的应对措施,动态实现安全策略的调整,最终保障网络的安全运行。安全响应的内容主要包括:防火墙联动、执行动作脚本、交换机端口阻断等。安全响应与辅助决策相配合还能实现对入侵行为的智能化控制和处理。
对于大部分用户在处理威胁发生时,缺乏足够的知识积累,因此可以造成错误的安全响应。而辅助决策系统恰恰利用安全专家知识库为用户提供具体威胁的辅助决策建议和安全响应脚本。
用户可以分析辅助决策带来的影响,然后有选择的执行响应动作。通过系统内置的专家知识库为用户提供了有力的技术支持[59]。 4.4.8 界面与报表管理
TopAnalyzer通过基于WEB的门户管理系统向认证用户提供基于B/S架构的管理界面,无须用户安装客户端软件。针对功能树系统提供对象级的权限控制,充分满足用户的权限划分需求。每个用户可以继承多个角色,减少了权限定义的工作量。权限包括对象的读权限、写权限、修改权限、执行权限。通过统一的权限管理可以实现用户在系统中的单点登陆功能。
安全仪表盘可以将系统的各种安全分析的数据统一呈现。用户可以自定义各种监视对象,定义监视对象的统计条件、显示方式等。显示方式包括表格方式显示和3D柱图、线图、饼图等各种图用户可以定义监视对象在安全仪表盘中的排布方式。安全仪表盘为用户呈现了实时的安全信息。面对系统中的威胁事件,需要快速发现这些事件中的内在关联。事件图为用户提供了实时事件分析的工具,通过可视的方
35页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
式展现事件的内在联系,快速定位事件产生的真实原因。攻击场景还原功能可以展现威胁事件产生的过程,揭示威胁事件的内在规律,展现威胁发生的全景信息。
系统具有强大的全中文事件分析报告和安全趋势报告系统。能够收集和整理所有的安全事件报告,整理分析,产生针对不同阅读者的专业安全报表。
安全报表包括了强大的安全趋势分析和安全现状报告功能,能够将一段时期内的整体安全状况、攻击来源、攻击方式、攻击目标,最多的和最少的攻击排序、IP子网攻击、IP子网攻击目标、设备类型、事件警告类型、事件状况类型和事件的严重性等等做出专业的分析报告,同时能够预测近一段时间的安全威胁、攻击方式等,进行一系列安全趋势分析,帮助客户提前做出安全防御准备[60]。系统在对收集的事件进行详尽的分析及统计的基础上支持丰富的报表,实现分析结果的可视化。为了帮助管理员对网络事件进行深度的挖掘分析,系统提供多达300多种的报表模板,支持管理员从不同方面进行网络事件的可视化分析,不仅支持对网络事件的按条件统计,更提供了对如防火墙流量等变化趋势的形象表现。对于分析结果系统提供了表格及多种图形表现形式(柱状图、饼图、曲线图),使管理员一目了然。
4.5 平台的性能设计
¾ 事件源类型
表4-1 上海市电力公司事件源分类表
产品类型
厂商 Check Piont
产品 SmartCenter、VPN-1 Pro
Nokia IP FireWall/VPN 防火墙/VPN
Cisco PIX Juniper NetScreen FireWall/VPN Sunyard VPN 身份认证
RSA SecurID 36页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
Sunyard OTPS IDS设备 漏洞扫描 防病毒产品 内容过滤产品 网络流量管理
Is-One LinkTrust FoundStone FS Serial
Symantec Norton AntiVirus Mcafee Webshield Packeteer Packshaper 6500/2500 Microsoft ISA 应用代理
Sun
iPlanet Web Proxy Server
Cisco Router/Switch 网络设备
Foundry Switch/Router AVAYA Switch Microsft Windows AIX
IBM
OS 400
主机系统
HP
HP-UX
Sun Solaris RedHat Linux OSF
37页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
Oracle Oracle 数据库服务
Microsoft MySQL
SQL Server2000 MySQL
Microsoft IIS HTTP服务
Apache Apache FTP服务 EMAIL服务 ¾ 数据汇总
本次安全管理平台设计目标:实际设备数量估算为219台,包括HP/IBM/SUN主机,HP/IBM PC服务器、Cisco/Foundry/AYAVA网络交换机/路由器、防火墙/IDS/反垃圾邮件网关/代理服务器/负载均衡设备等设备。其中防火墙大部分是千兆,入侵检测有一台是千兆 。
¾ 设备分析
从事件量产生的角度来看,防火墙、入侵检测产生的事件量最大。根据以往项目经验,按照事件产生特点将以上设备初步划分为:防火墙、IDS、网络设备、主机及其他,通过这四种类型设备来预测可能需要配备的资源。
¾ 设备列表
事件量与存储容量估算:
Microsoft IIS IBM
Lotus Domino / Notes
38页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
表4-2 安管平台每日事件量与存储容量估算表
数据库性能调试参数 版本Oracle 9.2.0.4
aq_tm_processes = 1 compatible = 9.2.0.0.0 db_block_size = 8192
db_cache_size = 25165824 db_domain = ''
db_file_multiblock_read_count = 16
dispatchers = '(PROTOCOL=TCP) (SERVICE=TMSDBXDB)' fast_start_mttr_target = 300 hash_join_enabled = TRUE java_pool_size = 3332 job_queue_processes = 10 large_pool_size = 8388608 open_cursors = 300
pga_aggregate_target = 25165824
39页
上海交通大学硕士学位论文 第4章 信息安全管理平台的典型设计
processes = 150
query_rewrite_enabled = FALSE
remote_login_passwordfile = EXCLUSIVE shared_pool_size = 503318 sort_area_size = 524288
star_transformation_enabled = FALSE timed_statistics = TRUE undo_management = AUTO undo_retention = 10800
undo_tablespace = TMS_UNDO
4.6 本章小结
上海电力SOC平台采用B/S架构设计。分为:代理层,服务层。其中代理层(agent)负责信息采集、安全管理、安全监视等工作,通过syslog、SNMP trap、API、agent等多种标准方式收集不同设备(防火墙、IDS、交换机、主机等)的海量原始日志信息,服务层(Server)是SOC平台的核心部件,负责收集并集中处理下级代理上报的安全事件,并对采集到的事件执行标准化、过滤、归并等事件处理过程,根据预先定义的分类规则对事件进行归纳分类,并存储到事件数据库中进行数据保全[61]。SOC平台在功能设计上主要由资产管理、事件管理、风险管理、响应与告警、工单管理、报表系统几大模块构成,其目的希望对现有的网络和安全设备进行统一管理,可以全面、完整地了解上海电力信息系统的安全状况,有效管理上海电力内网安全设备所产生的安全事件,并对严重安全事件进行监控与甄别,分析安全趋势变化。
安全事件集中监控模块将提供采集、过滤、归并、关联分析等手段,运用了基于状态机的实时关联技术,能够充分梳理信息系统产生的大量安全事件,并对安全事件按严重性进行排序,优先呈现和处理严重性级别较高的安全事件。有效监控、定位黑客入侵、网络攻击、蠕虫病毒爆发、重大漏洞发布和发现等严重安全事件。
SOC还能够根据系统收集到的威胁以及脆弱性信息,结合资产模块中的资产信息,基于风险模型计算风险。并对当前网络的安全风险状况进行集中监视和控制。通过工单流转,及时对安全事件进行响应和处理。
40页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
第5章 信息安全管理平台的实现
本文在上一章节对上海电力公司信息安全管理平台的具体设计做了详细描述。根据设计方案,从2006年6月起开始进行安管平台的实际开发工作。先后完成了网络环境分析与安全管理平台部署设计、安全管理平台测试环境搭建、设备日志分析、设计及扩展开发与测试、界面、报表和资产定制开发与测试、安全管理平台部署(包括资产管理、事件管理、知识库、权限管理、关联分析模块、工单管理模块、风险管理模块、报表管理模块、辅助决策模块等)、信息初始化、功能配置、规则优化和性能优化等工作[62]。现对整个过程的关键点以及项目的得失展开论述。
5.1 上海电力安管平台拓扑
依据实际对上海电力公司事件量和性能的估算,所需的硬件服务器设备配置清单如下:
表5-1 安管平台硬件配置表
名称
配置说明
cpu:2*Intel p4 3.0GHz XEON 内存:4096M
硬盘: 3*300G SCSI
数据库服务器 1 网卡:1000M网卡 网络:1000M以太网
操作系统:win2003 企业版 cpu:2*Intel P4 3.0GHz XEON 内存:4096M
硬盘: 2*146G SCSI
管理服务器 1 网卡:100M网卡 网络:100M以太网
操作系统:win2003 企业版 cpu:Intel P4 3.0GHz XEON 内存:2096M
TopAnalyzer代硬盘: 2*146GM
2
理 网卡:1000M网卡
网络:1000M以太网
操作系统:win2003 企业版
数量
功能描述
安装ORACLE9i数据库,保存来自各个Agent转发过来的安全事件及对这些安全事件进行分析处理的结果,部署审计、归并、关联及定制分析引擎 为用户提供基于IE浏览器的用户界面,呈现SOC系统已实现的各种功能
安装事件收集分析Agent,负责接收来自各种服务器,网络产品,安全产品的安全事件,收集资产配置脆弱性,驱动资产漏洞扫描并回收扫描结 果。
41页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
整个系统的部署拓扑如下 反病毒系统 IDS系统 AgentAgent数据库系统交换机Manager服务器Console防火墙路器由威胁管理系统图 5-1 上海电力SOC平台拓扑 Fig 5-1 the topology of SOC
5.2 日志解析
所有设备可以分为下列几类
1、支持标准snmp、syslog,且能够拿到官方完整MIB的
¾ 已确认日志解析完整的设备类型 有相关资料的设备类型: SUN iPlanet MicroSoft ISA RSA SecurID Avaya switch.
McAfee Websheild Is-one LinkTrust Symantec AntiVirus FoundStone
42页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
基于标准syslog日志的且通用的设备类型: Cisco router Cisco switch
Foundry router/switch Unix and Linux Sunyard Nokia Firewall
2、已完成日志解析,但有所保留的设备类型
日志类型:Checkpoint VPN-1 pro
解析说明:它发的是自身硬件crossbeam的日志,由于设备资料较少,目前比较陌生,到目前为止只有一条日志样本,所以对此有所保留。
处理说明:采取的措施是在agent服务器中设定一个缓存文件,当遇到无法解析的日志,会自动保存在该文件。可在之后加以解析。 3、OPSEC联盟产品的日志收集
OPSEC安全管理平台具有代表性,它代表了在信息安全方面的一种开放式平台,其设计目的就是解决目前各种安全产品间的联动互操作性问题。OPSEC联盟分为两大部分,一部分提供集成的应用程序,另一部分提供基于Check Point平台的安全服务。联盟中的产品,可以通过公开的API、工业标准的协议和高级编程语言,可以轻松实现OPSEC集成[]。由于API隐藏了协议和网络中的复杂技术,使得编程工作变得较为简单。为了提供额外的安全性,使用OPSEC SDK创建的应用还能够利用SSL对客户和服务器之间的所OPSEC通信实施加密。OPSEC的目的就是解决目前各种安全产品问的互操作性问题和管理的复杂性问题,它避免了选择多个厂商的产品带来的产品集成和灵活性的,让用户通过一个开放的、可扩展的框架集成,管理所有的网络安全产品。
以CheckPoint防火墙为例,可以在其管理服务器的fwopsec.conf文件中增加LEA(log event agent) 配置: # sam_server auth_port 18183 # sam_server port 0 #
lea_server auth_port 18185 lea_server port 18184 #
# ela_server auth_port 18187 # ela_server port 0
43页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
#
# cpmi_server auth_port 18190 #
# uaa_server auth_port 19191 # uaa_server port 0
在agent上编辑PlgCheckpointCfg.xml
表5-2 CheckPoint防火墙原始日志表
原始日action=drop;orig=IP710-1;i/f_dir=inbound;i/f_name=eth-s3p1c0;has_ac
counting=0;product=VPN-1 & 志1
FireWall-1;__policy_id_tag=product=VPN-1 & FireWall-1[db_tag={C4024D6E-CD06-4519-AE92-E22D7974EC1F};mgmt=FW_MGT;date=1160369682;policy_name=20060603_HEAD];src=10.130.17.158;s_port=1113;dst=38.153.81.198;service=TCP_135;proto=tcp;rule=44
原始日action=accept;orig=IP710-1;i/f_dir=inbound;i/f_name=eth2c0;has_acco
unting=0;product=VPN-1 & 志2
FireWall-1;__policy_id_tag=product=VPN-1 & FireWall-1[db_tag={C4024D6E-CD06-4519-AE92-E22D7974EC1F};mgmt=FW_MGT;date=1160369682;policy_name=20060603_HEAD];src=80.12.255.136;s_port=45133;dst=Topmail;service=domain-udp;proto=udp;rule=internal;message_info=Implied rule
44页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
日志分 析
经过分析,可以对原始日志进行解析,对原始日志各项的定义可以与设定格式进行一一对应:
表5-3 CheckPoint防火墙日志属性解析对应表
TopAnalyzer Event Data Field TRANS_PROTOCOL(传输协议) POLICY(策略) OP(操作)
SRC_ADDRESS(源地址) DEST_ADDRESS(目的地址) SRC_PORT(源端口) DEST_PORT(目的端口) MESSAGE(事件详细信息) BYTES_IN(流入字节) PACKETS_IN(流入数据包) BYTES_OUT(流出字节) PACKETS_OUT(流出数据包) MSG_ID (事件id) DURATION(持续时间)
Vendor-Specific Event Definition Proto Rule Action Src Dst s_port Service Detail Bytes Packets Bytes Packets EventId Elapsed
CRYPTO_SIGNATURE Dstkeyid File FILE_NAME(文件名)
SENDER orig_from RECEIVER orig_to src_name SRC_HOST_NAME(源主机名) SRC_USER_NAME(源用户名) POLICY(策略) FWRULE(防火墙规则)
EventUser policy_name Rule
DEST_HOST_NAME(目的主机名)dst_name
CUSTOM1 Orig CUSTOM2 if_name 45页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
CUSTOM3 has_accounting CUSTOM4 Product CUSTOM5 Mgmt DEST_SERVICE_NAME(目的服务Service 名)
CUSTOM7 message_info
4、脆弱性监测系统的接口分析
上海市电力公司采用McAfee FoundStone脆弱性管理系统,其脆弱性管理报表可以导出为csv格式,可对其进行分析。
表5-4 FoundStone 原始日志分析
原始日10.131.7.141,[Unknown],ITSMECC2,10.131.7.141,866,Null Session Share Enumeration,It is possible to enumerate NetBIOS shared 志1
resources via a NetBIOS session by specifying a NULL for the username and password for the connection.,Low,\"To prevent NetBIOS null session share enumeration block access to TCP port 139 (NetBIOS) and TCP port 445. Blocking NetBIOS on the system can be done one of three ways:1) Use a network router upstream from the affected system to block TCP port 139 and port 445 to your network.2) Use a software firewall on the affected system and block TCP port 139 and TCP port 445.3) Disable 'WINS TCP/IP Client' bindings in Windows NT or Windows 2000.To disable NetBIOS in Windows NT 4.0: a) Click 'Start' from the Start Menu b) Click 'Settings' c) Click 'Control Panel' d) Double clickon 'Network' e) Click on the Bindings tab f) Under 'Show Bindings for:' select 'all adapters' g) Find the network card you wish to disable Netbios for and expand it h) Select 'WINS Client (TCP/IP)', and hit the 'Disable' button I) Then reboot for the change to take effectTo disable NetBIOS in Windows 2000: a) Click 'Start' from the Start Menu b) Click 'Settings' c) Click 'Network and Dialup Connections' d) Click on the interface for you wish to disable Netbios e) Select the 'Internet Protocol (TCP/IP) component f) Select 'Properties' g) Click the 'Advanced' button h) Select the 'WINS' tab i) Click 'Disable Netbios over TCP/IP' j) Click 'OK'To disable Netbios in Windows XP: a) Select Internet Protocol (TCP/IP) and then the Properties button. b) Now select the Advanced button.
46页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
c) Then click on the WINS tab. d) From there, click Disable NetBIOS over TCP/IP. e) Click Ok 2 times after you've finished making your changes and restart as requested.To simply restrict the amount of information gleaned from the target system, you can add a registry key to Windows. To do so perform these steps:1) Go to Start, Run.2) Then type regedit, and hit enter.3) Find the following key:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa4) Click on the LSA key5) Select 'Edit' then 'Add Value' from the menu6) For 'Value Name', type 'RestrictAnonymous'7) For 'Data Type', select REG_DWORD8) Click 'OK'9) In the DWORD Editor, for 'Data' enter '1'10) Click 'OK'11) You must reboot your system for the change to take effect.\Windows platforms include support for the NetBIOS network protocol stack. The NetBIOS protocol provides the underlying support for Microsoft Windows file and resource sharing. On some systems, it is possible to authenticate with a target system's NetBIOS implementation using null session credentials. Once authenticated, it is possible to enumerate sensitive information such as shared resources, user accounts, operating system type, installed applications and more.While the enumerated information is not an immediate risk, much of the information can be leveraged to launch further attacks against the target system.NetBIOS Null session share enumeration allows an attacker to obtain a list of shared file and print resources such as the following:IPC$C$ - DISKD$ - DISKSHARE1 - DISKPRINTER1 - PRINTER\
日志分IP_Address Vulnerability_Name Vulnerability_Description Risk_Rating
Recommendation CVE_ID Observation 析
表5-5 FoundStone报表字段属性对应表 TopAnalyzer Event Data Field Vendor-Specific Event Definition
IP_Address DEST_ADDRESS(目的地址) VULNERABILITY(漏洞) MESSAGE(事件详细信息) RISK_FACTOR(风险因素) SOLUTION(解决方案)
Vulnerability_Name Vulnerability_Description Risk_Rating Recommendation
47页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
CVE(CVE编号集合) REFERER(参照)
CVE_ID Observation
5.3 关联分析的实现
由于各种攻击行为都会在不同的网络设备及安全设备中留下蛛丝马迹,导致事件的产生,但是单一的设备事件确难以有效的分析攻击行为及网络中实时威胁。基于状态机的实时关联检测技术通过使用状态机来抽象和描述攻击的过程与场景,状态机间的状态转换的条件由不同安全事件触发。
实时关联分析技术通过对事件的关联,可以有效的帮助过滤事件,在大量事件(甚至是误报事件)中提取有用的信息。实时关联来自不同设备的事件,可以大大的降低IDS的误报率,发现引发事件的真正原因和隐藏的威胁。
1、实时规则关联:
规则的制订由用户在界面上分步骤进行编辑,下面是一条具备3个步骤规则的样例:
¾ 初始事件为A事件,目标IP为a.b.c.d,端口为135;
¾ A事件之后1分钟后,出现了B事件,B事件的源IP=A事件源IP,端口
为445;
¾ B事件之后1分钟内,再次发生B事件10次以上; 满足以上条件则生成一条‘规则关联事件一XXX’,级别为高。 规则定义也支持分支,例如:
¾ 初始事件为A;
¾ A事件之后出现B事件,则生成“规则关联事件——XXX\",级别为高; ¾ 如果A事件之后出现的不是B事件,而是C事件,则生成“规则关联事件
YYY\",级别为中。
规则编辑可以定义其约束条件,比如相邻两条步骤之间的间隔不能超过60分钟;一条规则中的步骤数不超过10步;系统中同时运行的关联事件不超过50(对于分支情况,以定义出来的事件名称计算)。
2、统计规则关联。
统计关联是一种特殊的规则关联,即由用户设定某个事件单位时间内的统计阀值,当超过此阀值时触发一条“统计关联事件\",级别由用户设定。
用户可以配置的条件一般包括时间范围、事件次数、事件名称、事件级别、事
48页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
件类型、源IP、目标IP、源端口、目标端口。比如可以定义目标端口为1433,在一分钟内由同一源地址在安全设备上产生记录超过50次的关联分析事件定义为疑似MS-SQLworm。
事件源 事件 规范化 过滤事件分类事件关联分析 Denial of ServiceWorm 威胁 antivirus Normal/Benign攻击场景匹配 颜色分类 长短一致 杂乱的事件 表示一个事件
安全匹配
图 5-2 SOC平台事件处理图
Fig5-2 the process of dealing with enormous security events
关联分析的能力主要依靠技术能力的积累,举两个比较完善的实例: ¾ 对W32.Blaster Worm的分析流程
此例也可用于对其他基于网络流量模式的恶意代码分析.
49页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
图 5-3 关联分析场景1 Fig 5-3 correlation analyze scene 1
¾ 对SQL 注入攻击的分析流程
图 5-4关联分析场景2
Fig 5-4 correlation analyze scene 2
50页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
5.4工单系统
1、安全响应信息接收
安全响应模块提供通用响应接口,从综合分析与预警模块等处接收预警信息进行安全响应,收到的响应信息进入响应处理模块,由系统管理员对响应信息确认后发出。响应接口支持人工输入的方式,可以由管理员直接派单,指定响应人、响应截止时间、响应监督人、响应审核人和响应通知方式。
对于来自不同模块的响应要求可以配置策略,可以根据响应请求的种类、等级、资产属性、发生时间等配置不同的响应人,响应截止时间,响应监督人,响应审核人,响应通知方式。响应策略可将工单配置成确认发出和自动发出两种模式,默认为确认发出方式。响应策略可存储、导入和导出。 2、系统处理流程
在接收到响应请求后,应急响应支持根据响应请求的信息内容自动生成工单,并根据响应策略确定响应人,响应发出方式默认为确认发出模式,经管理员确认后发出工单和工单通知。管理员可以看到全部工单,并有权修改状态,包括使工单直接结束。响应人可以指定多个人。
工单通知采用邮件、短信、登录界面短信、SNMP Trap四种方式,短信部分与短信发送模块相接口。
工单发出后,可被响应人看到,在处理完成后对工单填写答复信息,答复信息可由不同被响应人多次填写,若工单未通过审核,响应人可以重新处理后修改工单答复内容,工单的历史修改信息保留。
工单至少应具有四种状态,即待确认状态、待处理状态、待审核状态、结束状态。
51页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
图 5-5 上海电力SOC工单示例 Fig 5-5 the sample of workform system
5.5 自定义报表
提供实时的报表查询功能,主要包括事件、资产、脆弱性、风险和设备等五类。 能够提供强大的过滤器,可以灵活选择设备、主机、IP、协议、事件、用户、时间等,从物理安全、系统安全、网络安全、应用安全角度出发,生成各种安全报表,例如:资产管理报表、邮件使用情况报表、攻击报表、病毒报表、协议使用及趋势报表、安全事件概要报表、事件趋势报表、脆弱性与漏洞扫描报表、风险值报表等; 各报表之间还可关联整合,分析报表之每一字段数据,提供相关关联报表之链接,如发生攻击事件即可连结查询攻击来源。使用户能够明确安全事件的时间、类型、起因、过程、影响及其重要程度等,并能根据报表分析结果,在一定程度上提供各种安全事件相对应的解决措施。
52页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
报表系统应支持多种格式的显示,包括:pdf、html、excel等。生成方式分为手工报表和自动报表两种,手工报表可以直接支持生成,自动报表可以按照每小时、每天、每月、每年等周期的方式生成。应能够根据客户需求定制报表,将客户所需的相关数据在不同的表单中提取,并合并,生成满足客户要求的报表(按时段、不定期)。
图 5-6 上海电力SOC风险报表示例 Fig 5-6 the sample of risk report
5.6 本章小结
目前,上海电力SOC平台中已确认日志解析完整的设备类型包括:SUN iPlanet、MicroSoft ISA、RSA SecurID、CheckPoint SmartCenter、Avaya switch.、McAfee Websheild、Is-one LinkTrust、Symantec AntiVirus、FoundStone、Cisco router/Switch、Foundry router/switch、Unix and Linux、信雅达VPN、Nokia Firewall等。安全运行中
53页
上海交通大学硕士学位论文 第5章 信息安全管理平台的实现
心平台需要在逐步的运行中不断优化规则和性能,才能发挥它最佳的效能,真正实现对安全事件从开始到结束的集中整合管理。
上海电力SOC最有价值的功能之一就是它能够向用户展现风险的变化趋势曲线,利用量化的风险值从时间维度比较,可以看到某个资产或者整个企业的风险变化情况,风险是在增加还是在减少,如果是在增加,是在急剧增加还是在缓慢增加,增加的原因是什么?采取的安全控制措施是否生效,有没有有效的抑制风险?这些信息对企业来说都是至关重要的。此外,利用量化的风险值从横向比较,可以看到众多资产的“风险值排行榜”,即哪些资产的风险大,哪些资产的风险小,大几倍,小几倍等,从而为企业采取响应措施提供指导。
页
上海交通大学硕士学位论文 第六章 总结与展望
第6章 总结与展望
6.1 主要结论
信息安全管理平台是信息技术发展的必然产物。它强调安全产品的统一管理和控制,通过对物理环境系统、网络管理系统、应用管理系统等多方面信息资源的整合,加强智能化的检测、分析、预警和响应手段,以安全事件管理为出发点,以智能化分析技术为手段,以知识管理为支撑,以系统整合为目标,最大程度上的消除了安全隐患,保障了信息安全。
本文在国内外相关研究的基础上,分析了信息安全管理平台的相关理论,进行了宝贵的工程实践。本文的创新点在于:
1、将抽象的信息安全管理平台的相关理论、模型与具体工程实践结合起来,用模块化的思路进行剖析,描述了SOC平台功能模块的设计思路与实现方式。
2、对信息安全事件和收集、关联分析做了较深入的研究,实现了安全事件统一化、整合化、关联化和可视化的要求。
3、事实证明,对安全事件的性能分析是必要而且合乎实际情况的,为安管平台的顺利实施提供了数据支撑。
4、上海市电力公司的具体实施环境比较复杂,众多的事件源包括中外各种主流产品,它的成功实施对国内信息安全管理平台同类项目提供了宝贵经验。
5、对比分析了国内外主流安全管理产品的情况,总结了项目的成败得失,并分析了安管平台的发展前景。
6、本文还对安全产品联动、数据库优化、关联分析等热点技术进行了较深入的探讨。
6.2 研究展望
本文的后续工作可从以下几个方面入手:
1、联动技术平台之间集成的技术在安全业界也有不同的探讨和研究,也没有一个固定的产品形态和模式。一般来讲,针对与安全运营的平台应该侧重于安全设备
55页
上海交通大学硕士学位论文 第六章 总结与展望
的集中配置、监控管理,同时扩展地包括网络安全报警信息的集中管理,也即SIM(安全信息管理)。良好的联动互操作功能可以较好地形成资源整合以组成网络安全体系,从整体上避免木桶效应的产生,它还能在最大程度上保障用户利益,根据用户需要调整建设安全的网络系统,但是就目前技术而言,难度较大。如何有效的结合资产、脆弱性管理,提高威胁事件分析的准确性,纳入合理的响应流程,在现有技术水平上尽可能提高整体安全管理的效率和准确性,这应该是大家努力的方向之一。
2、数据库性能的优化
根据实际情况表明,当原始日志量超过5G/天,SOC系统的性能就会受到很大影响,查询检索速度下降,关联分析处理能力降低,经过对数据库表结构,索引文件的优化,仍然未得到有效改善,如何在不过多影响系统本身性能的前提下迅速处理海量日志?由于结构的因素,传统的 (RDBMS)系统在处理海量日志时,性能显得并不是很出色。在事件日志方面,需要对写入数据方面高度优化。节约系统总体的I/O负荷;如何提供高精度的访问控制,将日志设计成储存基于IP的信息并且它总是会储存每一个信息来源(IP,MAC地址,主机名,等等)成为一个的信息单位,不像传统RDMS那样将多个信息单位混用成一行或一个表格,如何进一步提高裸数据(Raw Data)压缩率?
3、关联分析主要来自经验的积累,普遍感觉国内厂商的技术功底不佳,而国外厂商的业务逻辑又定制的过于复杂,此外,原始日志由于来自不同的设备,其时间未必同步,而某些设备不支持NTP时钟服务器,时间偏移量过大会对关联分析带来一定影响。
56页
上海交通大学硕士学位论文 第六章 总结与展望
参 考 文 献
[1] Intrusion detection using autonomous agents – Eugene H. Spafford, DiegoZamboni – Computer
Networks 34 (2000) 7-570 [2] atsec information security [Z].http://www.atsec.com.
[3] Clifford Stoll,The Cuckoo’s Egg.Tracking a Spy Through the Maze of Computer Espionage [M].The Bodley Head Ltd,1990.
[4] Doraswamy N,Harkins D.IPS ec:The New Security Standard for the Internet,Intranets,and [5] Virtual Private Networks[M].Prentice Hall PTR,2003.
[6] Erich Gamma,Richard Helm,Ralph Johnson,et a1.Design patterns:Elements of reusable object—oriented software[M].Addison Wesley,1995.
[7] Evans A.,KantrowitzW.A user authentication scheme for requiring secrecy in the computer. Comm[J].ACM.1974,17(8).
[8] Helmut Kurth,Yan Liu,David Ochel,Fiona Pattinson,Li Zhang.Common Criteria Certification in China:A comparison with the schemes of the CCRA[J].2006.
[9] Lennon R.E.,Matyas S.M.Cryptographic authentication of time invariant quantities[J]. IEEE Trans.Comm.1981,29(6).
[10] Monica J.Garfield,Patrick G McKeon.Information Systems Management[J].Planning for Internet Security,1 997,14(1).
[11] PearsonS.Trusted Computing Platform,the Next Security Solution[R].Bristol UK:HP Laboratories,2002.
[12] Sandhu,R.S.,Bhamidipati,V.,and Munawer,Q.The ARBAC97 Model for Role—Based [13] Administration of Roles[J],ACM Transactions on Information and System Security, V01.2,No.1,1 999.
[14] Siegel C A,et a1.Cyber—risk Management:Technical and Insurance Controls for Enterprise level Security[J].Information Systems Security,2002,11(4).
[15] Vijay Atluri,Rutgers University.Security for workflow systems[J],Information Security Technical Report,200 1,6(2).
[16] John W. Satzinger,Robert B.Jackson,Stephen D.Burd.系统分析与设计(Systems Analysis and Design in a Changing World)[M].北京:机械工业出版社,2003.
[17] [美]Rich Helton,Johnnie Helton.Java Security Solutions[M].北京:清华大学出版社,2003. [18] [美]Scott Barman.Writing Information Security Policies[M].北京:人民邮电出版社,2002. [19] [美]候世达著,郭维德等译.哥德尔、艾舍尔、一一信息安全集成之大成[M].商务印
书
57页
上海交通大学硕士学位论文 第六章 总结与展望
馆,1996.
[20] GB 17859—1999,计算机信息系统安全保护等级划分准N[s],1999.
[21] IATF,信息保障技术框架v3.1,美国国家[S]Ten emerging technologies that will change the world. Technology Review. Feb.2003,
[22] Application-Integrated Data Collection for Security Monitoring – Magnus Almgren, Ulf Lindquist – SRI International
[23] Probabilistic Alert Correlation – Alfonso Valdes and Keith Skinner – SRI International [24] Fundamentals of Computer Security Technology – Edward G. Amoroso
[25] A Common Language for Computer Security Incidents – John D. Howard, Thomas A. Longstaff – Sandia Report – SAND98-8667
[26] Remote Network Monitoring Management Information Base – IETF RFC 1757 -S. Waldbusser – Carnegie Mellon University
[27] Attack trees - Bruce Schneier – Counterpane Labs
[28] Survivable Networks Systems: An Emergency Discipline – R. J. Ellison,D. A. Fisher, R. C. Linger,
H. F. Lipson, T. Longstaff, N. R.
[29] Mead – CERT Technical Report - Carnegie Mellon University
[30] Incident Reporting Guidelines – CERT Coordination Center – Carnegie Mellon University
[31] Analysis Techniques for Detecting Coordinated Attack and Probes – John Green, David Marchette,
Stephen Northcutt, Bill Ralph
[32] A Pattern Matching Based Filter for Audit Reduction and Fast Detection of Potential Intrusions –
Josué Kuri, Gonzalo Navarro, Ludovic Mé, Laurent Heye [33] IATF,信息系统安全保障理论模型和技术框架[S]. [34] ISO/IEC 13335,信息系统安全管理指南[S].
[35] ISO/IEC 1 08/GB 18336,信息技术安全性评估准则[S]. [36] ISO/IEC 27001,信息安全管理体系标准系列[S]. [37] RFC 1 825,TCP/IP安全体系结构[S].
[38] 陈福莉,谭兴烈.信息安全管理平台及其应用[J].信息安全与通信保密,2006,(1 2). [39] 电力工业部,国家保密局.电力工业中涉及的国家秘密及具体范围的规定[Z],1 996. [40] 逢玉台.网络信息安全综述[J].现代通信,2003.
[41] .计算机信息网络国际联网安全保护管理办法[S],1998. [42] 公通字[2006]7号.信息安全等级保护管理办法(试行)[S],2006.
[43] 古利勇,黄元飞,罗万伯.网络安全运行管理平台体系结构研究[J].电信科学,2006(2). [44] 国家保密局.计算机信息系统保密管理暂行规定[S],1998.
[45] 国家保密局.涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法[Z],1998. [46] 国家经贸委.电网和电厂计算机监控系统及调度数据网络安全防护规定[Z],2002. [47] .中华人民共和国计算机信息系统安全保护条例[S],1 994. [48] 李冰.信息安全平台抵御威胁[J].软件世界,2006(9).
[49] 李晓勇.关于建立信息安全等级保护标准体系的思考[J].网络安全技术与应用,2004(5). [50] 刘立卫,严磊.J2EE构架下的电信网管系统[J].电信科学,2003(05).
58页
上海交通大学硕士学位论文 第六章 总结与展望
[51] 闵京华,范红.信息安全风险管理的研究[J].信息安全与通信保密,2004(11). [52] 聂小逢,郑东等.认证机构CA的安全体系设计[J].计算机工程,2004(S 1). [53] 潘静,张岩.我国信息安全等级保护工作动态[J].信息网络安全,2006(1 2). [] 潘柱廷.三观思想落实等级保护[J].软件世界,2006(1 8).
[55] 启明星辰.信息系统安全域划分建议[Z].上海:启明星辰资料,2005(7). [56] 萨师煊,王珊.数据库系统概论[M].北京:高等教育出版社,2000.
[57] 邵烈雄,徐中华,张焕国.基于IPSec的虚拟专用网的实现和安全性分析[J]计算机工 程,2003(05).
[58] 沈斌,史鸣杰.同一身份认证平台设计[J].南京师范大学学报(工程技术版),2003. [59] 沈昌祥.构造积极防御的安全保障框架.中国计算机用户[N],2003—1 O一1 3. [60] 沈昌祥.信息安全工程导论[M].北京:电子工业出版社,2003.
[61] 史简,郭山清,谢立.统一网络安全管理平台的研究与实现[J].计算机应用研究, [62] 刑戈等.网络安全管理平台研究[J].计算机工程,2004(5).
59页
上海交通大学硕士学位论文 致 谢
致 谢
首先要感谢我的导师陈剑波教授,在两年半的研究生学习和生活中给了我极大的帮助与关怀。导师治学严谨,学识广博,幽默风趣,平易近人,给我留下了深刻的印象。该课题能顺利完成,离不开导师的关心与指导,在此向导师表示衷心的感谢。
在做这个课题过程中,得到了齐开悦老师的支持和帮助。该课题所遇到的一些关键问题中,经常能得到他的指点和启发,使我获益匪浅。在此向他表示诚挚的谢意。
感谢我的研究生同学及朋友们,他们在我的研究生学习和生活中都给了我极大的帮助和关心。最后要感谢我的父母和所有关心我的老师和亲人,在整个学习过程中,给予了我无微不至的关爱与支持,使我有坚定的信念克服困难、完成学业。
60页
上海交通大学硕士学位论文 攻读硕士学位期间已发表或录用的论文
攻读硕士学位期间已发表或录用的论文
[1] 黄凯《浅谈信息安全风险评估及在电力系统的应用》,供用电 2007 NO.5, P27-29
61页
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- 69lv.com 版权所有 湘ICP备2023021910号-1
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务