基于SaaS大數(shù)據(jù)平臺(tái)的安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

騫 巍，劉莎莎，孫晶瑩

(中國電建集團(tuán)海外投資有限公司，北京 100048)

0 前 言

當(dāng)下，全球已經(jīng)全面進(jìn)入了大數(shù)據(jù)時(shí)代，期刊《Science》在2011年發(fā)表的《Dealing With Data》中深入討論了我們在數(shù)據(jù)洪流(data deluge，DD)中所面臨的挑戰(zhàn)，并指出人們在有效地組織和利用這些海量數(shù)據(jù)的基礎(chǔ)上，將會(huì)更好地利用科學(xué)技術(shù)，達(dá)到發(fā)揮推動(dòng)社會(huì)發(fā)展的巨大作用[1]。

在我國，隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)支付等新興技術(shù)的快速發(fā)展，以及智慧城市發(fā)展需求的提出，導(dǎo)致各種智能移動(dòng)設(shè)備、傳感器、電子商務(wù)網(wǎng)站、社交網(wǎng)絡(luò)每時(shí)每刻都在產(chǎn)生結(jié)構(gòu)各異的海量數(shù)據(jù)[2]。區(qū)別于傳統(tǒng)的數(shù)據(jù)組成，容量大、結(jié)構(gòu)復(fù)雜的大數(shù)據(jù)背后隱藏著更多的知識(shí)與智慧，并為人類理解世界和社會(huì)提供了新的契機(jī)[3]。TB、PB級(jí)數(shù)據(jù)已成為常見數(shù)據(jù)規(guī)模，數(shù)據(jù)規(guī)模的幾何級(jí)增長遠(yuǎn)遠(yuǎn)超出了現(xiàn)有信息系統(tǒng)和傳統(tǒng)計(jì)算技術(shù)的計(jì)算能力，因此，尋找高效的大數(shù)據(jù)處理技術(shù)已經(jīng)成為必要。將信號(hào)轉(zhuǎn)化為數(shù)據(jù)、將數(shù)據(jù)分析為信息、將信息提煉為知識(shí)、以知識(shí)促成決策和行動(dòng)是大數(shù)據(jù)技術(shù)的根本驅(qū)動(dòng)力[4]。

服務(wù)器是IT系統(tǒng)中的核心設(shè)備，服務(wù)器一旦出現(xiàn)故障，整個(gè)IT系統(tǒng)就會(huì)立馬癱瘓，因而做好服務(wù)器的安全防護(hù)部署十分必要[5]。而對(duì)于政府部門和企業(yè)來說，機(jī)密文件較多，信息存儲(chǔ)量大，日常運(yùn)轉(zhuǎn)對(duì)于計(jì)算機(jī)系統(tǒng)的依賴性較強(qiáng)，做好服務(wù)器安全防護(hù)方面的工作顯得尤為重要。

隨著大數(shù)據(jù)時(shí)代的來臨，如何展示大數(shù)據(jù)分析挖掘得到的關(guān)鍵數(shù)據(jù)成為新的研究方向。可視化分析挖掘人類對(duì)于信息的認(rèn)知能力與優(yōu)勢，將人、機(jī)有機(jī)融合，借助人機(jī)交互高效洞悉大數(shù)據(jù)背后的信息與規(guī)律，是大數(shù)據(jù)分析的重要方法。人類從外界獲得的信息約有80%以上來自于視覺系統(tǒng)[6-7]。當(dāng)大數(shù)據(jù)以直觀的可視化圖形方式展現(xiàn)時(shí)，利用人眼的感知能力可洞悉數(shù)據(jù)背后隱藏的信息，并可將其轉(zhuǎn)化為知識(shí)。

1 系統(tǒng)概述

大數(shù)據(jù)服務(wù)器安全防護(hù)平臺(tái)是基于SaaS大數(shù)據(jù)分析平臺(tái)[8]DeepInsight進(jìn)行開發(fā)、為內(nèi)外網(wǎng)安全防護(hù)提供保障的可視化分析平臺(tái)。平臺(tái)能夠采集并存儲(chǔ)多種數(shù)據(jù)源，并對(duì)多種數(shù)據(jù)源進(jìn)行處理和數(shù)據(jù)分析。該安全防護(hù)系統(tǒng)主要從資產(chǎn)、用戶、數(shù)據(jù)、服務(wù)四個(gè)方面為用戶提供多維度安全分析的平臺(tái)，以確保企業(yè)用戶對(duì)各類資源進(jìn)行實(shí)時(shí)監(jiān)控，并重點(diǎn)關(guān)注異常事件發(fā)展趨勢。

2 模塊設(shè)計(jì)與實(shí)現(xiàn)

本系統(tǒng)是基于大數(shù)據(jù)服務(wù)器的安全防護(hù)平臺(tái)，為用戶提供了一體化、組件化、交互式、可視化、高可擴(kuò)展性的開發(fā)環(huán)境。本系統(tǒng)能夠以資源、用戶、數(shù)據(jù)、服務(wù)安全分析對(duì)象，追溯目標(biāo)實(shí)體發(fā)生的安全異常行為，便于用戶梳理安全事件線索，真正實(shí)現(xiàn)基于大數(shù)據(jù)服務(wù)器安全防護(hù)。

2.1 管理維護(hù)

控制中心負(fù)責(zé)完成系統(tǒng)的各項(xiàng)配置工作，如數(shù)據(jù)管理、采集配置、權(quán)限管理等，保證系統(tǒng)的正常運(yùn)營、數(shù)據(jù)采集、權(quán)限分配等。

管理維護(hù)主要分為資產(chǎn)維護(hù)、采集策略、過濾策略和性能監(jiān)控4個(gè)子模塊。其中，資產(chǎn)維護(hù)模塊用于查看當(dāng)前維護(hù)的資產(chǎn)情況，可通過增、刪、改、查對(duì)資產(chǎn)進(jìn)行操作；采集策略模塊通過配置Kibana相關(guān)參數(shù)來采集不同種類的數(shù)據(jù)；過濾策略模塊通過配置Logstash過濾策略對(duì)采集到的數(shù)據(jù)進(jìn)行規(guī)則篩選；性能監(jiān)控模塊可用于實(shí)時(shí)監(jiān)控Kibana、Logstash和Beats[9]的相關(guān)性能。

2.2 安全態(tài)勢

安全態(tài)勢主要有實(shí)時(shí)播報(bào)、拓?fù)湔故竞桶l(fā)展趨勢3個(gè)模塊。實(shí)時(shí)播報(bào)模塊主要展示異常事件表格數(shù)據(jù)，異常事件的類型主要分為4種：資產(chǎn)、用戶、數(shù)據(jù)、服務(wù)。異常事件數(shù)據(jù)的采集需要在采集策略中進(jìn)行配置。實(shí)時(shí)播報(bào)可以設(shè)置查詢時(shí)間，也可以設(shè)置為自動(dòng)刷新并設(shè)置刷新時(shí)間間隔，以實(shí)現(xiàn)實(shí)時(shí)滾動(dòng)播報(bào)當(dāng)前系統(tǒng)發(fā)生的安全異常時(shí)間。此外可以通過添加過濾條件或使用Lucene查詢語法進(jìn)行更精確的查詢。

拓?fù)湔故灸K主要用來展示各個(gè)地域以及地域內(nèi)各資產(chǎn)之間相互連接的形式。默認(rèn)按上一次保存布局的結(jié)果顯示拓?fù)浣Y(jié)構(gòu)。雙擊區(qū)域圖表可以展示該區(qū)域內(nèi)的資產(chǎn)拓?fù)浣Y(jié)構(gòu)，資產(chǎn)名稱對(duì)應(yīng)資產(chǎn)維護(hù)表中的用戶名和IP號(hào)。

發(fā)展趨勢模塊主要是針對(duì)安全異常趨勢進(jìn)行分析，通過對(duì)資產(chǎn)、用戶、數(shù)據(jù)和服務(wù)的安全異常歷史數(shù)據(jù)進(jìn)行分析，展示系統(tǒng)安全異常發(fā)展趨勢。其中，周期執(zhí)行功能模塊可以定時(shí)查詢發(fā)展趨勢信息，周期時(shí)間類型支持日、時(shí)、分、秒4種類型；時(shí)間范圍數(shù)據(jù)查詢模塊可以查詢不同時(shí)間范圍內(nèi)系統(tǒng)安全異常發(fā)展趨勢；資產(chǎn)、用戶、數(shù)據(jù)和服務(wù)異常事件統(tǒng)計(jì)模塊返回當(dāng)前查詢時(shí)間范圍內(nèi)對(duì)應(yīng)異常事件類型的記錄數(shù)、當(dāng)前查詢時(shí)間范圍內(nèi)對(duì)應(yīng)異常事件類型的記錄數(shù)與上一時(shí)間段異常記錄數(shù)的差值。資產(chǎn)、用戶、數(shù)據(jù)和服務(wù)異常趨勢展示模塊以時(shí)間軸的方式展示查詢時(shí)間范圍內(nèi)各時(shí)間段資產(chǎn)、用戶、數(shù)據(jù)和服務(wù)異常事件變化的趨勢。資產(chǎn)、用戶、數(shù)據(jù)和服務(wù)類型事件Top5模塊主要是將查詢時(shí)間范圍內(nèi)產(chǎn)生的4種異常事件按時(shí)間名稱進(jìn)行分組，統(tǒng)計(jì)異常事件的數(shù)量和嚴(yán)重程度，并按嚴(yán)重程度和異常事件數(shù)量進(jìn)行排序。嚴(yán)重程度高的、相同嚴(yán)重程度事件數(shù)量多的排在前面，最終以表格的形式進(jìn)行展示。

2.3 資產(chǎn)、用戶及服務(wù)安全

資產(chǎn)包括企業(yè)IT環(huán)境中存在的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、臺(tái)式機(jī)、移動(dòng)電腦等。資產(chǎn)安全異常是指在有形物理資產(chǎn)上發(fā)現(xiàn)的安全異常，如：資產(chǎn)是否存在安全漏洞；是否受到安全攻擊等。

系統(tǒng)提供Nessus系統(tǒng)漏洞掃描與分析工具，將采集到的系統(tǒng)漏洞數(shù)據(jù)寫入Logstash，并通過Kibana進(jìn)行多維度可視化分析，最終將分析結(jié)果通過儀表盤統(tǒng)一展示。

用戶是指使用IT系統(tǒng)資源的企業(yè)員工、訪客等。用戶安全異常是指人在IT環(huán)境中操作所引起的安全異常，例如：用戶上網(wǎng)行為異常，頻繁訪問重點(diǎn)監(jiān)控的招聘網(wǎng)站；開關(guān)機(jī)異常，在非正常工作時(shí)間開關(guān)機(jī)；違規(guī)使用移動(dòng)存儲(chǔ)外設(shè)、無線網(wǎng)絡(luò)；已解雇人員有IT操作痕跡；某員工賬號(hào)存在異常大流量郵件傳輸?shù)取?/p>

用戶安全目前只針對(duì)流量進(jìn)行分析，能監(jiān)控到訪問次數(shù)和訪問流量，并通過Kibana進(jìn)行多維度可視化分析，最終將分析結(jié)果通過儀表盤統(tǒng)一展示。

關(guān)鍵服務(wù)是指企業(yè)IT系統(tǒng)對(duì)內(nèi)或?qū)ν馓峁┑暮诵姆?wù)，如Web服務(wù)、SVN代碼管理服務(wù)、關(guān)鍵數(shù)據(jù)庫服務(wù)等。關(guān)鍵服務(wù)異常分析包括服務(wù)保活監(jiān)控；服務(wù)資源占用情況監(jiān)控；服務(wù)性能統(tǒng)計(jì)分析；服務(wù)用戶操作行為審計(jì)等。

目前系統(tǒng)服務(wù)安全內(nèi)容主要包括：故障預(yù)警趨勢、服務(wù)響應(yīng)時(shí)間、服務(wù)在線情況、故障預(yù)警詳情。Heartbeat監(jiān)控工具(服務(wù)響應(yīng)時(shí)間、服務(wù)在線情況)將采集到的數(shù)據(jù)保存到Logstash中，并將Heartbeat采集到的異常數(shù)據(jù)再進(jìn)行分析并保存，構(gòu)成故障預(yù)警趨勢和故障預(yù)警詳情的數(shù)據(jù)源。在數(shù)據(jù)采集之后通過Kibana進(jìn)行多維度可視化分析，最終將分析結(jié)果通過儀表盤統(tǒng)一展示。

服務(wù)安全模塊下的資源使用趨勢子模塊主要展示CPU使用率、內(nèi)存使用率、磁盤使用率。服務(wù)器性能監(jiān)控工具M(jìn)etricbeat(監(jiān)控內(nèi)容：CPU使用率、內(nèi)存使用率、磁盤使用率)采集資源使用趨勢數(shù)據(jù)。在數(shù)據(jù)采集之后通過Kibana進(jìn)行多維度可視化分析，最終將分析結(jié)果通過儀表盤統(tǒng)一展示。

2.4 安全查詢

安全查詢主要由漏洞掃描、故障查詢和流量查詢3個(gè)模塊組成。

漏洞掃描模塊主要通過Nessus系統(tǒng)漏洞掃描與分析工具采集數(shù)據(jù)，系統(tǒng)每天會(huì)將采集到的系統(tǒng)漏洞數(shù)據(jù)寫入數(shù)據(jù)庫中。資產(chǎn)安全模塊下的系統(tǒng)脆弱性即是基于此結(jié)果進(jìn)行的分析。漏洞掃描可以設(shè)置查詢時(shí)間，也可以設(shè)置為自動(dòng)刷新并設(shè)置刷新時(shí)間間隔，以實(shí)現(xiàn)實(shí)時(shí)滾動(dòng)播報(bào)當(dāng)前查詢時(shí)間范圍內(nèi)掃描到的系統(tǒng)漏洞。此外，可以通過添加過濾條件或使用Lucene查詢語法進(jìn)行更精確的查詢。

故障查詢模塊主要由系統(tǒng)提供的服務(wù)預(yù)警數(shù)據(jù)采集功能采集數(shù)據(jù)，系統(tǒng)將采集到的服務(wù)故障預(yù)警數(shù)據(jù)寫入數(shù)據(jù)庫，此模塊直接讀取故障預(yù)警詳情表結(jié)果。故障查詢可以設(shè)置查詢時(shí)間，也可以設(shè)置為自動(dòng)刷新并設(shè)置刷新時(shí)間間隔，以實(shí)現(xiàn)實(shí)時(shí)滾動(dòng)播報(bào)當(dāng)前查詢時(shí)間范圍內(nèi)發(fā)生的故障預(yù)警信息以及故障處理情況。此外，還可以通過添加過濾條件或使用Lucene查詢語法進(jìn)行更精確的查詢。

流量查詢模塊主要由系統(tǒng)提供的網(wǎng)絡(luò)流量監(jiān)控工具采集數(shù)據(jù)，系統(tǒng)將采集到的流量監(jiān)控?cái)?shù)據(jù)寫入數(shù)據(jù)庫。用戶可以查看各主機(jī)流量訪問情況。流量查詢可以設(shè)置查詢時(shí)間，也可以設(shè)置為自動(dòng)刷新并設(shè)置刷新時(shí)間間隔，以實(shí)現(xiàn)實(shí)時(shí)滾動(dòng)播報(bào)當(dāng)前查詢時(shí)間范圍內(nèi)采集到各主機(jī)流量使用情況。此外可以通過添加過濾條件或使用Lucene查詢語法進(jìn)行更精確的查詢。

2.5 大屏展示

大屏展示模塊主要用于查看各服務(wù)器流量訪問情況、異常報(bào)警情況、漏洞總數(shù)統(tǒng)計(jì)、各個(gè)正在使用中的服務(wù)器響應(yīng)時(shí)間，它不僅可以通過拓?fù)涓庇^地了解到所有虛擬機(jī)與所在服務(wù)器的連接關(guān)系，還可以通過拓?fù)淞私獾教摂M機(jī)以及物理機(jī)的在線情況和警報(bào)情況。

拓?fù)湔故痉譃?個(gè)區(qū)域，分別為A城市一區(qū)、二區(qū)(DMZ區(qū))以及B城市。

拓?fù)鋱D上有各個(gè)虛擬機(jī)以及物理機(jī)的分布情況，并可以通過拓?fù)溥B線關(guān)系，了解物理機(jī)與不同虛擬機(jī)的鏈接情況，清晰直觀地鎖定不同IP位置，同時(shí)，拓?fù)溥€具有告警展示的功能。機(jī)器報(bào)警時(shí)，拓?fù)鋱D上會(huì)展示警告數(shù)量在所報(bào)警區(qū)域的一期右上方，單擊告警機(jī)器時(shí)，還有觀看告警機(jī)器詳細(xì)報(bào)警的功能；另外，通過交互式平臺(tái)的拓?fù)湔故卷撁?，還可以修改大屏展示中拓?fù)涞倪B接情況。

3 結(jié) 語

企業(yè)大數(shù)據(jù)的應(yīng)用為商業(yè)智能的發(fā)展注入了新的活力，助力企業(yè)基于SaaS大數(shù)據(jù)平臺(tái)的服務(wù)器安全防護(hù)可視化系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)?？梢暬軌蛴行У乜朔?jì)算機(jī)自動(dòng)化分析的劣勢與不足，整合計(jì)算機(jī)的分析能力和人們對(duì)信息的感知能力，利用認(rèn)識(shí)理論、人機(jī)交互技術(shù)輔助人們直觀有效地洞悉大數(shù)據(jù)背后的信息，強(qiáng)調(diào)人類感知與計(jì)算機(jī)系統(tǒng)的深度耦合；構(gòu)建結(jié)構(gòu)化、非結(jié)構(gòu)化、海量、空間4類數(shù)據(jù)資源關(guān)聯(lián)模型，推進(jìn)四類數(shù)據(jù)中心的數(shù)據(jù)融合，實(shí)現(xiàn)業(yè)務(wù)對(duì)4類數(shù)據(jù)資源的綜合利用；把分散的異構(gòu)數(shù)據(jù)進(jìn)行整合，在自主可控、負(fù)載均衡的前提下，將數(shù)據(jù)資產(chǎn)化、可視化、共享化及云端化，構(gòu)建企業(yè)大數(shù)據(jù)的生態(tài)圈。

在未來，企業(yè)基于SaaS大數(shù)據(jù)平臺(tái)，需建立一套具有可用性高、伸縮性強(qiáng)、提供數(shù)據(jù)內(nèi)在關(guān)系和價(jià)值的數(shù)據(jù)挖掘分析系統(tǒng)，為企業(yè)的發(fā)展、業(yè)務(wù)決策提供便捷、快速和高效的平臺(tái)支撐。