社保系統安管平臺信息安全事件數據標準化方法研究

◆韓志堅

（南京市高淳區人力資源和社會保障局信息中心 江蘇 211300）

社保系統安管平臺信息安全事件數據標準化方法研究

◆韓志堅

（南京市高淳區人力資源和社會保障局信息中心 江蘇 211300）

社會保險在信息系統建設中面臨著多種安全威脅，如邊界安全風險、內網安全風險、應用風險等，為防范安全風險，必須進行信息安全監控，信息安全監控需要與現有各個業務系統提供商、網絡服務提供商、安全服務提供商等部門進行有序的技術協商和安全管理思路的融合。各個廠家設備的事件數據日志格式各異，功能各異，這為事件數據采集、過濾、歸并、關聯帶來的很大的技術挑戰，為此，我們需要對各類信息安全事件進行標準化處理。本文提出了一種方法。

社保系統；安管平臺；信息安全

0 前言

信息化在推動社會保險業務更好更快的發展上起到了不可替代的作用，但同時社保業務在信息化建設中也面臨著許多的安全威脅，如邊界安全風險，主要包括黑客攻擊、垃圾郵件等；內網安全風險，主要包括主機系統漏洞、服務配置不當等；應用風險，主要包括Web服務器、文件服務器安全風險等。所以對人社信息系統來說,重視和加強信息安全整體監控的建設刻不容緩。

而建立統一的信息安全監控平臺需要與現有各個業務系統提供商、網絡服務提供商、安全服務提供商、以及相關部門進行有序的技術協商和安全管理思路的融合，同時日志標準化的工作面臨著時間緊、責任大、技術難度高等一系列問題，安全監控平臺技術進展面臨著很大的考驗。

1 標準化難點分析

對于支撐、保障這些業務系統正常運行的網絡設備、安全設備、系統、數據庫等產生的事件數據全球沒有統一標準，高淳社會保險信息系統設備種類眾多，各個廠家設備的事件數據日志格式各異，功能各異，部署地點不在同一安全域，采集方式多異，歸并難度大，強度高，事件流路徑復雜等，這為事件數據采集、過濾、歸并、關聯帶來的很大的技術挑戰。

（1）品牌各異：高淳區社會保險管理中心為了通過信息化支撐業務系統，采購了大量的不同品牌的機器，如IBM、ORACLE、CISCO、華為、天融信、網御、深信服、易尚、安達通等等。

（2）產品功能各異：操作系統、數據庫、存儲、路由器、交換機、防火墻等設備和產品各自功能相異。

（3）日志事件內容各異：各個廠家日志事件都有自己的自定義字段。

（4）日志事件發送方式各異：日志事件發送方式有snmp、syslog、wmi、opsec 等，甚至有些廠家沒有提供顯示的日志發送功能，需要通過二次開發進行融合。

2 標準化方法

在調研如何整合高淳區社會保險管理中心現有系統的同時，還要考慮方便兼容未來引進新的系統和設備；因此經過細致深入的討論研究后，我們將問題分解為4個方面，分別著手解決日志標準化的問題。這4個部分是：

2.1 事件采集標準化

高淳區社會保險管理中心在原有的基礎上完善了系統的數據采集層。新的數據采集層能夠實現對各類安全設備的安全數據的采集，在組成形式上數據采集層可以由多種形式的采集功能組件組合構成，支持分布式的采集處理架構。

新的數據采集層支持對各類安全對象的標準接口協議的適配。實現對包括安全對象的配置、運行狀態、安全事件、脆弱性等數據的采集。數據采集層應支持主流采集協議或接口方式，包括但不限于：

（1）Syslog：采集Unix，支持Syslog協議的防火墻、路由器、交換機、防病毒和IDS等系統或設備；

（2）SNMP、SNMPTrap V1、V2、V3：采集支持Snmp協議的防火墻、路由器、交換機、防病毒、終端補丁、IDS和應用系統等系統或設備；

（3）OPSEC：采集CheckPoint防火墻的日志；

（4）ODBC/JDBC：采集存儲到于關系型數據庫的應用系統日志；

（5）通用文件：支持基于文件的日志采集，能夠通過模板配置完成日志記錄的格式化；

（6）專用日志采集接口：對僅支持專用管理接口的系統，能夠支持多種專用API采集接口和通用的采集調度能力，例如脆弱性掃描系統的API或接口XML文件、Windows的WMI。

2.2 事件格式標準化

安全事件采集過程收集到多種類型的原始事件信息，而這些原始事件的格式和內容不盡相同。高淳區社會保險管理中心開發了一套基于數據格式和數據映射腳本的數據標準方法和過程。數據格式化腳本，用于按照需要對數據進行靈活的拆分、組裝，實現數據格式化。數據映射腳本，用于將格式后的數據進行語義表達，實現數據映射。最終實現數據歸一化。與傳統的基于插件的數據標準方法相比，具有開發、維護難度小，快速靈活適應客戶化等特點。

事件標準化過程將不同的事件數據格式轉換成標準的事件格式并對其分類與存儲，能夠為上層各分析模塊提供數據支持。

經標準化處理后的各事件包括以下屬性：

?

?

以上是安全事件屬性的基本內容，其他屬性可以作為對安全事件描述的輔助屬性。

安全事件的屬性是可以擴展訂制的，擴展屬性與基本屬性都可以參與事件的標準化、邏輯判斷、條件查詢、報表輸出等。

2.3 事件過濾標準化

為了從海量的事件中進行有針對性的分析，我們優化了安管平臺的事件的過濾功能。事件過濾功能可以對接入的已經標準化的安全事件進行進一步過濾篩選。安全事件過濾規則包含以下屬性：

（1）過濾規則名稱：對過濾規則的描述；

（2）過濾條件：設定安全事件應該滿足的條件；

（3）響應方式：對滿足條件的安全事件的處理方式；

下面對安全事件過濾中的過濾條件、響應方式、以及安全事件調整進行統一要求。

（1）過濾條件

安全事件的過濾條件，根據標準化的安全事件的基本屬性，過濾條件至少可以按照以下屬性進行過濾：

①安全事件名稱；模糊匹配方式，比如包含、等于、等；

②設備地址；地址匹配方式，比如等于；

③設備類型名稱；模糊匹配方式，比如包含、等于、等；

④源地址；地址匹配方式，比如等于；

⑤源端口；數字匹配方式，比如等于、大于、等；

⑥目的地址；地址匹配方式，比如等于；

⑦目的端口；數字匹配方式，比如等于、大于、等。

（2）事件處理方式

安全事件過濾完成后，需要進行進一步的處理，這種處理是對滿足過濾條件的事件響應方式，安全事件的過濾響應方式至少應包括以下方式：

①丟棄：直接對滿足條件的安全事件丟棄，不再寫入數據庫，也不再進一步處理；

②寫入數據庫：對滿足條件的安全事件存入數據庫，作進一步的處理。

2.4 事件歸并標準化

對于過濾后的安全事件，仍然存在很多重復或者相似的事件。所以事件數據標準化的第四個方面是對事件進行歸并。歸并規則，就是在什么情況下，滿足什么條件，對哪些字段進行歸并。

事件歸并功能可以對海量的安全事件依據歸并條件進行歸并，達到簡化安全事件，提高安全事件準確率。

（1）安全事件歸并規則應該包含以下屬性

①歸并規則名稱：對過濾規則的描述；

②歸并條件：設定安全事件應該滿足的條件；

③歸并字段：歸并處理的事件字段，所列字段內容相同的事件才進行歸并，比如安全事件的名稱，設備地址等事件基本屬性；

④歸并時間：歸并事件的時間窗口，指多長時間進行一次歸并；

⑤歸并數目：需要歸并事件的數量，指多少事件進行一次歸并；

⑥對被歸并事件的處理方式：被歸并的事件以何種方式進行處理。

（2）被歸并事件的處理方式

①阻塞方式：直接將被歸并事件全部丟棄，不寫入數據庫；

②非阻塞方式：將被歸并事件全部寫入數據庫。

（3）可定義的歸并策略如下

①根據事件名稱進行歸并分析；

②根據事件類型進行歸并分析；

③根據源進程進行歸并分析；

④根據目標進程進行歸并分析；

⑤根據攻擊源進行歸并分析；

⑥根據攻擊目標地址進行歸并分析；

⑦根據事件原始時間進行歸并分析；

⑧根據受攻擊設備類型進行歸并分析。

3 結論

通過安全事件的數據標準化建設，高淳社會保險信息系統安全保障得到了極大的提高，安全事件得到了及時分析和處理。由此可見安管平臺信息安全事件的數據標準化對于社保安全大數據分析極為重要，只有實現了數據標準化之后，安全分析的效率才能提高，效果才能呈現。