一種基于大數(shù)據(jù)分析技術(shù)的信息安全綜合管理平臺(tái)

◆黃 煒

?

一種基于大數(shù)據(jù)分析技術(shù)的信息安全綜合管理平臺(tái)

◆黃 煒

（廣東省廣播電視網(wǎng)絡(luò)股份有限公司 廣東 510623）

國(guó)家對(duì)網(wǎng)絡(luò)安全提到了前所未有的高度，將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)以及等級(jí)保護(hù)制度落到實(shí)處是行業(yè)監(jiān)管的要求。本文分析了目前網(wǎng)絡(luò)（信息）安全防護(hù)系統(tǒng)分散、獨(dú)立建設(shè)的不足，結(jié)合實(shí)際工作提出綜合網(wǎng)絡(luò)安全管理平臺(tái)的建設(shè)思路。

網(wǎng)絡(luò)安全 ；關(guān)鍵信息基礎(chǔ)設(shè)施 ；大數(shù)據(jù)

0 引言

隨著國(guó)家安全法的發(fā)布實(shí)施，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度和等級(jí)保護(hù)制度實(shí)施力度地不斷加強(qiáng)，越來(lái)越多的企業(yè)和組織投入到信息安全管理體系的建設(shè)之中，將信息安全管理體系落到實(shí)處，需要技術(shù)平臺(tái)來(lái)實(shí)現(xiàn)等級(jí)保護(hù)及內(nèi)控合規(guī)的相關(guān)具體要求。

信息安全保障體系經(jīng)過(guò)多年的發(fā)展，各種各樣的安全功能組件，如防火墻、IPS、防病毒、審計(jì)等系統(tǒng)相繼出現(xiàn)，在一定程度上確保網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運(yùn)行。目前這些系統(tǒng)的管理和監(jiān)控一般都是自成體系、獨(dú)立分布，有價(jià)值的信息容易淹沒(méi)在大量的安全事件日志中。大數(shù)據(jù)分析能夠?qū)Ω黝惏踩畔⑦M(jìn)行集中管理，實(shí)現(xiàn)安全信息的集中收集、存儲(chǔ)、關(guān)聯(lián)分析，配合內(nèi)置的各種模型和算法，識(shí)別各類安全事件、及時(shí)發(fā)現(xiàn)安全隱患，采取必要的措施，使具備統(tǒng)一采集、統(tǒng)一分析、統(tǒng)一管理的信息安全綜合管理平臺(tái)成為可能。

1 廣播電視網(wǎng)絡(luò)存在的不足

廣播電視網(wǎng)絡(luò)作為信息互聯(lián)網(wǎng)絡(luò)的一部分，常見(jiàn)的威脅主要為以下幾點(diǎn)：

1.1外部黑客惡意入侵

入侵者通過(guò)控制邊界網(wǎng)絡(luò)設(shè)備，進(jìn)一步了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用網(wǎng)絡(luò)滲透搜集信息，造成信息泄露。比如，入侵者同樣可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng)漏洞或者配置漏洞，實(shí)現(xiàn)對(duì)其的控制。其次，通過(guò)各種手段，對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施拒絕服務(wù)攻擊，使網(wǎng)絡(luò)設(shè)備癱瘓，從而造成網(wǎng)絡(luò)通信的癱瘓。

1.2大規(guī)模蠕蟲(chóng)或病毒爆發(fā)

在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)，網(wǎng)絡(luò)病毒的這些新的特點(diǎn)都會(huì)對(duì)信息網(wǎng)絡(luò)與應(yīng)用造成極大的威脅。

1.3內(nèi)部人員違規(guī)或非授權(quán)訪問(wèn)

據(jù)統(tǒng)計(jì)，有70%的網(wǎng)絡(luò)攻擊來(lái)自于網(wǎng)絡(luò)的內(nèi)部。對(duì)于網(wǎng)絡(luò)內(nèi)部的安全防范會(huì)明顯的弱于對(duì)于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對(duì)于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，所以，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功。因此，一旦攻擊成功，其強(qiáng)烈的攻擊目的也就必然促使了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。

1.4防護(hù)的局限性

安全措施、安全設(shè)備僅是針對(duì)特定的威脅進(jìn)行的“頭痛醫(yī)頭、腳痛醫(yī)腳”的救火式的解決，孤立的安全措施很難適應(yīng)現(xiàn)在安全事件發(fā)生的綜合性特征，不能從全局的視覺(jué)識(shí)別和防范安全風(fēng)險(xiǎn)，從而以全局的層級(jí)來(lái)對(duì)信息安全進(jìn)行管理、部署。

2 綜合管理平臺(tái)建設(shè)思路

2.1需求分析

信息安全綜合管理平臺(tái)的目的是保障信息系統(tǒng)的安全、連續(xù)、可靠、有效運(yùn)行，實(shí)現(xiàn)對(duì)環(huán)境設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用等信息系統(tǒng)的統(tǒng)一運(yùn)維，須促進(jìn)信息安全管理工作的體系化、規(guī)范化、指標(biāo)化。

（1）信息安全綜合管理平臺(tái)應(yīng)遵循統(tǒng)一信息模型，實(shí)現(xiàn)運(yùn)維服務(wù)管理的體系化、規(guī)范化、指標(biāo)化，可建立多級(jí)（如省市縣三級(jí)）聯(lián)動(dòng)的統(tǒng)一運(yùn)維體系。

（2）通過(guò)信息安全綜合管理平臺(tái)與其他運(yùn)維平臺(tái)，全面掌握網(wǎng)絡(luò)和信息系統(tǒng)的運(yùn)行狀況，通過(guò)運(yùn)行分析和安全分析，及時(shí)調(diào)整運(yùn)行、安全策略，確保系統(tǒng)安全運(yùn)行，降低安全風(fēng)險(xiǎn)。

（3）信息安全綜合管理平臺(tái)能提供統(tǒng)一的對(duì)外服務(wù)接口，支持主流IT服務(wù)支持體系，通過(guò)流程保證事件、故障、異常的閉環(huán)管理。

（4）信息安全綜合管理平臺(tái)具備大數(shù)據(jù)分析能力。詳細(xì)需求在下節(jié)進(jìn)行闡述。

2.2大數(shù)據(jù)分析在安全管理平臺(tái)中應(yīng)用

基于大數(shù)據(jù)分析的安全管理平臺(tái)能提供強(qiáng)大的安全事件分析方法和工具，包括基于特征的、行為、機(jī)器學(xué)習(xí)的自動(dòng)化和半自動(dòng)化分析工具等。這些分析方法自動(dòng)地對(duì)采集來(lái)的數(shù)據(jù)進(jìn)行實(shí)時(shí)和歷史分析。

（1）傳統(tǒng)基于特征的關(guān)聯(lián)分析依賴于專家經(jīng)驗(yàn)定義的攻擊簽名或已知的攻擊方法。高級(jí)威脅經(jīng)常沒(méi)有簽名，并且確切的攻擊者行為也難以實(shí)現(xiàn)預(yù)測(cè)。大數(shù)據(jù)平臺(tái)不是基于靜態(tài)的關(guān)聯(lián)規(guī)則，而是建立在被觀測(cè)對(duì)象正?；鶞?zhǔn)行為，通過(guò)對(duì)實(shí)時(shí)活動(dòng)與基準(zhǔn)行為的對(duì)比來(lái)揭示可疑的攻擊活動(dòng)。事件行為分析可以智能發(fā)現(xiàn)隱藏的攻擊行為，加速確定沒(méi)有簽名的威脅，減少管理人員必須調(diào)查的事故數(shù)量。

（2）基于機(jī)器學(xué)習(xí)和統(tǒng)計(jì)學(xué)的分析技術(shù)。大數(shù)據(jù)為機(jī)器學(xué)習(xí)和統(tǒng)計(jì)分析提供了用武之地，首先海量的安全數(shù)據(jù)保證了機(jī)器學(xué)習(xí)的準(zhǔn)確性，分布式處理技術(shù)為統(tǒng)計(jì)分析方法提供了快捷高效的計(jì)算方法，使海量數(shù)據(jù)的處理得以在短時(shí)間內(nèi)完成。大數(shù)據(jù)分析平臺(tái)采用Map/Reduce的方法,將復(fù)雜的統(tǒng)計(jì)和計(jì)算分配給各個(gè)節(jié)點(diǎn)處理，各個(gè)節(jié)點(diǎn)計(jì)算完成將結(jié)果匯總至主節(jié)點(diǎn)，完成復(fù)雜的計(jì)算過(guò)程。

（3）實(shí)時(shí)分析主要采用流式計(jì)算框架，使用復(fù)雜事件處理（Complex Event Processing）技術(shù)的流式分析引擎對(duì)采集的數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析，關(guān)聯(lián)分析有集中式實(shí)時(shí)分析和分布式實(shí)時(shí)分析，CEP分析引擎采用基于規(guī)則關(guān)聯(lián)和情景關(guān)聯(lián)的分析技術(shù)。

（4）大數(shù)據(jù)平臺(tái)通過(guò)特定的統(tǒng)計(jì)算法，在特定的時(shí)間周期內(nèi)從多個(gè)維度對(duì)事件進(jìn)行統(tǒng)計(jì)，獲得如均值、標(biāo)準(zhǔn)差等統(tǒng)計(jì)數(shù)據(jù)，計(jì)算一段時(shí)間的行為基線，通過(guò)置信區(qū)間的設(shè)置，可發(fā)現(xiàn)超出正常行為基線的異常安全事件。

綜上所述，大數(shù)據(jù)分析能力使得功能全面的信息安全綜合管理平臺(tái)成為可能。

3 系統(tǒng)總體架構(gòu)

3.1技術(shù)架構(gòu)

根據(jù)筆者實(shí)際的工作，信息安全綜合管理平臺(tái)的總體技術(shù)架構(gòu)如下圖1所示：

圖1 總體技術(shù)架構(gòu)

平臺(tái)應(yīng)用架構(gòu)為B/S模式，管理員可以通過(guò)瀏覽器對(duì)系統(tǒng)進(jìn)行配置管理，對(duì)流程進(jìn)行定制，用戶可以通過(guò)瀏覽器查看、處理工單。

系統(tǒng)的各類配置信息和定制的流程能存儲(chǔ)在數(shù)據(jù)庫(kù)中，便于備份和管理。

系統(tǒng)具備應(yīng)用級(jí)的熱備功能或操作系統(tǒng)級(jí)的熱備功能。當(dāng)主服務(wù)器發(fā)生故障時(shí)，應(yīng)用可自動(dòng)切換到備用服務(wù)器上繼續(xù)為用戶正常提供服務(wù)。整個(gè)切換工作自動(dòng)進(jìn)行，在切換過(guò)程中數(shù)據(jù)不能丟失，用戶的使用不受影響。

系統(tǒng)具備應(yīng)用級(jí)的負(fù)載均衡特性，在應(yīng)用會(huì)話連接期間自動(dòng)判斷、切換，無(wú)需等待，以消除人工干預(yù)和信息丟失的情況。

系統(tǒng)具有分布式部署的能力，采用分布式部署時(shí)，各流程間應(yīng)無(wú)縫銜接，在數(shù)據(jù)的存儲(chǔ)與分析上采用多種數(shù)據(jù)處理技術(shù)手段：分布式緩存、大數(shù)據(jù)存儲(chǔ)、情境數(shù)據(jù)庫(kù)，能夠滿足各種不同結(jié)構(gòu)數(shù)據(jù)的存儲(chǔ)分析的功能需要。

系統(tǒng)除具備自身的認(rèn)證方式外，還支持第三方的認(rèn)證方式，如LDAP、PKI認(rèn)證，支持多域認(rèn)證。

系統(tǒng)本身是一個(gè)開(kāi)放性、模塊化的系統(tǒng)，在硬件方面采用標(biāo)準(zhǔn)的服務(wù)器體系架構(gòu)，并預(yù)留擴(kuò)展空間，可通過(guò)添加內(nèi)存、添加或升級(jí)CPU、升級(jí)硬盤、添加接口卡等方式，對(duì)硬件性能及存儲(chǔ)空間進(jìn)行擴(kuò)容。

信息安全綜合管理平臺(tái)采用面向服務(wù)的體系結(jié)構(gòu)，建立從運(yùn)行環(huán)境、編程模型、架構(gòu)風(fēng)格等在內(nèi)的可重用、松耦合、互操作的服務(wù)體系結(jié)構(gòu)，涵蓋服務(wù)的整個(gè)生命周期，使得信息安全綜合管理平臺(tái)更靈活、更易于重用、更好（也更快）地應(yīng)對(duì)變化。

信息安全綜合管理平臺(tái)采用組件化的分層結(jié)構(gòu)設(shè)計(jì)思想，使其具有預(yù)制性、封裝性、透明性、互操作性、通用性等特征，便于快速地組裝新的應(yīng)用。通過(guò)服務(wù)的分層，降低服務(wù)之間的耦合度，提高可重用性。

3.2功能架構(gòu)

根據(jù)前面的分析，信息安全綜合管理平臺(tái)的總體功能組成如下圖2所示：

圖2 總體功能架構(gòu)

安全管理以資產(chǎn)和風(fēng)險(xiǎn)為核心、以事件為驅(qū)動(dòng)、以知識(shí)庫(kù)為技術(shù)保障，以實(shí)現(xiàn)安全設(shè)備的集中管理，能對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)以及各種應(yīng)用系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，對(duì)各類系統(tǒng)的日志、事件、告警等安全信息進(jìn)行全面的管理和審計(jì)，對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析與展現(xiàn)。平臺(tái)包括但不限于以下功能：綜合展現(xiàn)功能、資產(chǎn)管理、脆弱性管理、安全事件管理、事件分析模型管理、安全監(jiān)控管理、安全風(fēng)險(xiǎn)管理、安全響應(yīng)管理、報(bào)表管理、知識(shí)庫(kù)、宏觀態(tài)勢(shì)分析管理、系統(tǒng)自管理等功能。

4 結(jié)束語(yǔ)

本文通過(guò)對(duì)信息安全管理系統(tǒng)現(xiàn)狀的分析，闡述了大數(shù)據(jù)分析得到廣泛應(yīng)用背景下實(shí)現(xiàn)信息安全綜合管理平臺(tái)的可行性。結(jié)合工作實(shí)際，提出一種基于大數(shù)據(jù)分析的安全管理平臺(tái)技術(shù)架構(gòu)和功能架構(gòu)，由于篇幅限制，未能詳盡介紹其中內(nèi)容。筆者認(rèn)為基于大數(shù)據(jù)分析技術(shù)的信息安全綜合管理平臺(tái)有利于解決目前安全管理系統(tǒng)獨(dú)立分散、有價(jià)值的安全信息難以提取和關(guān)聯(lián)分析、安全事件定位不準(zhǔn)確、效率不高等問(wèn)題。展望后期，安全管理平臺(tái)核心分析算法的不斷創(chuàng)新、優(yōu)化也是將來(lái)研究的重點(diǎn)。

[1]Dean, Jeffrey & Ghemawat, Sanjay (2004). "MapReduce: Simplified Data Processing on Large Clusters". Retrieved Apr.，2005.

[2]鄒國(guó)偉，成建波.大數(shù)據(jù)技術(shù)在智慧城市中的應(yīng)用[J].電信網(wǎng)技術(shù)，2013.