基于云平臺(tái)的安全態(tài)勢(shì)感知系統(tǒng)

李 倩

（河鋼集團(tuán)唐鋼微爾自動(dòng)化有限公司 河北 唐山 063000）

1 引言

基于云平臺(tái)的智能態(tài)勢(shì)感知系統(tǒng)硬件設(shè)備包含IPS、漏洞掃描等硬件設(shè)備，軟件包括安全網(wǎng)關(guān)等軟件，結(jié)合高效運(yùn)營、節(jié)能環(huán)保、降低投資、對(duì)外經(jīng)營等途徑，可節(jié)省企業(yè)投入成本。通過收集分析各安全設(shè)備的處理信息，實(shí)現(xiàn)對(duì)云平臺(tái)應(yīng)用的全方位防護(hù)，提高了軟硬件資源的利用率和防護(hù)水平，節(jié)省了各個(gè)業(yè)務(wù)系統(tǒng)安全防護(hù)設(shè)備的重復(fù)建設(shè)成本。

2 可行性分析

為實(shí)現(xiàn)云平臺(tái)的安全檢測(cè)防護(hù)軟件和設(shè)備能夠協(xié)同工作，從而建全信息安全體系架構(gòu)，簡(jiǎn)化安全管理，解決海量數(shù)據(jù)和信息孤島的困擾，我們將智慧安全態(tài)勢(shì)感知系統(tǒng)與云平臺(tái)進(jìn)行了整合。智慧安全態(tài)勢(shì)感知系統(tǒng)將所有的信息安全產(chǎn)品銜接起來，對(duì)那些能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的要素進(jìn)行全面、快速和準(zhǔn)確地捕獲和分析，把用戶當(dāng)前遇到的安全威脅與過去的威脅進(jìn)行關(guān)聯(lián)回溯和大數(shù)據(jù)分析，最終產(chǎn)出未來可能產(chǎn)生的安全事件的威脅風(fēng)險(xiǎn)，并提供一個(gè)體系化的安全解決方案。

通過智慧安全態(tài)勢(shì)感知系統(tǒng)與云平臺(tái)的整合，實(shí)現(xiàn)基礎(chǔ)的數(shù)據(jù)收集、流量監(jiān)測(cè)、惡意主機(jī)漏掃、惡意web漏掃、釣魚郵件攻擊、釣魚網(wǎng)站攻擊、操作系統(tǒng)漏洞攻擊監(jiān)測(cè)、應(yīng)用服務(wù)器程序漏洞攻擊、瀏覽器漏洞攻擊、文件格式漏洞攻擊、web漏洞攻擊、惡意軟件傳播、惡意軟件行為、異常電子郵件行為監(jiān)測(cè)、異常web訪問行為監(jiān)測(cè)、異常遠(yuǎn)程控制行為監(jiān)測(cè)、漏洞攻擊逃避監(jiān)測(cè)防護(hù)、惡意軟件逃避監(jiān)測(cè)防護(hù)、隱蔽信道逃避監(jiān)測(cè)防護(hù)、未知威脅分析等等。

3 系統(tǒng)組成

云平臺(tái)主要由基礎(chǔ)云平臺(tái)、監(jiān)控云平臺(tái)和云服務(wù)自助平臺(tái)和云安全四大部分組成。基于云平臺(tái)的智慧安全態(tài)勢(shì)感知系統(tǒng)屬于云安全的主要組成部分。本課題圍繞智慧安全態(tài)勢(shì)感知系統(tǒng)的構(gòu)建與應(yīng)用進(jìn)行闡述，著重從以下幾點(diǎn)闡述：態(tài)勢(shì)感知系統(tǒng)的總體架構(gòu)、態(tài)勢(shì)感知系統(tǒng)的硬件部署和主要功能、態(tài)勢(shì)感知系統(tǒng)的數(shù)據(jù)采集、處理分析、評(píng)估、行預(yù)測(cè)等幾部分。

4 技術(shù)方案

（1）智慧安全態(tài)勢(shì)感知系統(tǒng)的構(gòu)成

云平臺(tái)主要由基礎(chǔ)云平臺(tái)、監(jiān)控云平臺(tái)和云服務(wù)自助平臺(tái)和云安全四大部分組成。智慧安全態(tài)勢(shì)感知系統(tǒng)架構(gòu)如圖1所示。

圖1 智慧安全態(tài)勢(shì)感知系統(tǒng)架構(gòu)圖

本課題圍繞智慧安全態(tài)勢(shì)感知系統(tǒng)的構(gòu)建與應(yīng)用進(jìn)行闡述，著重從以下幾點(diǎn)闡述：態(tài)勢(shì)感知系統(tǒng)的總體架構(gòu)、態(tài)勢(shì)感知系統(tǒng)的硬件部署和主要功能、態(tài)勢(shì)感知系統(tǒng)的數(shù)據(jù)采集、處理分析、評(píng)估、預(yù)測(cè)等幾部分。

①安全防護(hù)系統(tǒng)的搭建

云平臺(tái)安全防護(hù)體系分三層：

一層：云平臺(tái)網(wǎng)絡(luò)架構(gòu)終端安全防護(hù)、通訊和數(shù)據(jù)安全：主要涉及病毒控制、防火墻、入侵檢測(cè)、瀏覽器沙箱、反垃圾郵件系統(tǒng)、系統(tǒng)升級(jí)、在線補(bǔ)丁。

對(duì)于安全網(wǎng)關(guān)方面，整個(gè)云平臺(tái)部署3臺(tái)NISG集成安全網(wǎng)關(guān)，其中2臺(tái)部署在出口互聯(lián)區(qū)云平臺(tái)邊界，并通過HA進(jìn)行雙擊熱備，NISG集成防火墻、VPN、防病毒等功能實(shí)現(xiàn)邊界區(qū)域控制和病毒防護(hù)；另一臺(tái)部署在財(cái)務(wù)部網(wǎng)絡(luò)邊界，與云平臺(tái)之間通過VPN專線互聯(lián)，實(shí)現(xiàn)邊界訪問控制。

二層：病毒數(shù)據(jù)庫模型的建立：根據(jù)最新的病毒庫，病毒類型及病毒危險(xiǎn)程度，建立多級(jí)別多角度的病毒庫數(shù)據(jù)模型系統(tǒng)，云安全平臺(tái)實(shí)時(shí)監(jiān)測(cè)流量數(shù)據(jù)，類比病毒模型系統(tǒng)，將檢測(cè)結(jié)果進(jìn)行數(shù)據(jù)分析，根據(jù)危險(xiǎn)程度反映在云安全平臺(tái)界面，供云平臺(tái)運(yùn)維人員查看。

三層：安全防護(hù)平臺(tái)，實(shí)時(shí)顯示跟蹤的流量校驗(yàn)結(jié)果，及時(shí)作出感知預(yù)警。

基于安防體系的建立完成，形成智慧安全態(tài)勢(shì)感知系統(tǒng)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)入侵態(tài)勢(shì)感知，DDOS態(tài)勢(shì)感知，僵木蠕態(tài)勢(shì)感知， APT攻擊態(tài)勢(shì)感知，脆弱性態(tài)勢(shì)，網(wǎng)站安全，態(tài)勢(shì)溯源功能。同時(shí)在通信安全、多級(jí)權(quán)限控制、數(shù)據(jù)安全方面進(jìn)行安全防護(hù)，具體如下：

A通信安全：保護(hù)云用戶的安全地虛擬地接入云端，主要涉及身份認(rèn)證、安全信道、數(shù)據(jù)完整性等。

B多級(jí)權(quán)限控制：對(duì)云計(jì)算資源的訪問和管理涉及多個(gè)安全領(lǐng)域，每一個(gè)安全領(lǐng)域都需要進(jìn)行權(quán)限控制，一般分為以下幾類：機(jī)房管理和維護(hù)人員，云計(jì)算管理員，云計(jì)算維護(hù)員，系統(tǒng)管理員。

C數(shù)據(jù)安全：數(shù)據(jù)在通訊過程中和存儲(chǔ)以及處理時(shí)的安全，主要涉及數(shù)據(jù)的隔離、加密、備份。

②數(shù)據(jù)采集系統(tǒng)

態(tài)勢(shì)感知數(shù)據(jù)采集系統(tǒng)的建立。數(shù)據(jù)采集系統(tǒng)包含四個(gè)層次。

A數(shù)據(jù)采集技術(shù)

云平臺(tái)安全態(tài)勢(shì)感知系統(tǒng)在IT基礎(chǔ)資源信息數(shù)據(jù)采集實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用、機(jī)房環(huán)境等的配置、性能、告警、日志以及各類安全事件的信息數(shù)據(jù)采集。

B數(shù)據(jù)處理技術(shù)

本技術(shù)集中信息安全風(fēng)險(xiǎn)監(jiān)控管理，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用、機(jī)房環(huán)境的運(yùn)行狀態(tài)、實(shí)時(shí)事件日志、告警信息、配置數(shù)據(jù)、性能參數(shù)以及各類事件數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、歸并壓制、過濾、匯聚等預(yù)處理工作。系統(tǒng)將性能數(shù)據(jù)、告警、網(wǎng)絡(luò)、故障以及安全事件、配置等不同的信息數(shù)據(jù)采集后提交數(shù)據(jù)總線，數(shù)據(jù)總線經(jīng)過匯聚和預(yù)先定義配置后將不同的數(shù)據(jù)分發(fā)給不同的數(shù)據(jù)處理組件進(jìn)行處理，防止同一數(shù)據(jù)被不同的數(shù)據(jù)處理組件模塊分別處理出現(xiàn)重復(fù)和多余、不同的告警和故障信息，防止重復(fù)采集和重復(fù)告警。

5 實(shí)施效果

5.1 通過對(duì)云平臺(tái)智慧安全態(tài)勢(shì)感知系統(tǒng)的研發(fā)和搭建，可以實(shí)現(xiàn)有效監(jiān)測(cè)并感知全流量安全事件，從而得出實(shí)時(shí)而有效的結(jié)論。同時(shí)，把云平臺(tái)大數(shù)據(jù)與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防護(hù)管理相結(jié)合的思路，改變了傳統(tǒng)網(wǎng)絡(luò)空間安全與情報(bào)分析的研究格局，提高了高級(jí)網(wǎng)絡(luò)攻擊檢測(cè)、信息安全風(fēng)險(xiǎn)感知與威脅情報(bào)分析處理等網(wǎng)絡(luò)安全防御技術(shù)水平。

5.2 通過智慧安全態(tài)勢(shì)感知系統(tǒng)與云平臺(tái)的整合，聯(lián)動(dòng)各類的安全檢測(cè)防護(hù)軟件和設(shè)備，實(shí)現(xiàn)了高效運(yùn)營、節(jié)能環(huán)保、降低投資、對(duì)外經(jīng)營，消化了一次性投入成本節(jié)省了各個(gè)業(yè)務(wù)系統(tǒng)安全防護(hù)設(shè)備的重復(fù)建設(shè)成本。同時(shí)通過收集分析各安全設(shè)備的處理信息，實(shí)現(xiàn)對(duì)云平臺(tái)應(yīng)用的全方位防護(hù)，提高了軟硬件資源的利用率和防護(hù)水平，極大的節(jié)省后續(xù)遷移的應(yīng)用的安全防護(hù)成本。

5.3 通過云平臺(tái)安全態(tài)勢(shì)感知系統(tǒng)，可實(shí)現(xiàn)高效的信息安全運(yùn)維管理，節(jié)省了大量的硬件資源、網(wǎng)絡(luò)資源與人力成本。安全態(tài)勢(shì)感知系統(tǒng)可以實(shí)時(shí)掌控云平臺(tái)安全運(yùn)行情況，并融合了網(wǎng)管平臺(tái)與安管平臺(tái)的功能到IT綜合管理平臺(tái)之下，從而使得工單處理、事故管理、配置管理、變更管理得到統(tǒng)一的處理。同時(shí)避免了安管與網(wǎng)管兩套系統(tǒng)重復(fù)對(duì)IT資源進(jìn)行信息采集的資源浪費(fèi)、避免了數(shù)據(jù)采集的網(wǎng)絡(luò)流量對(duì)正常業(yè)務(wù)數(shù)據(jù)流的影響。