运营商行业业务支撑系统安全威胁分析与预警系统解决方案

1 概述


当前安全形势错综复杂,未知威胁情报已成为主流,两部委对运营商的综合安全要求进一步提升。运营商在日常运行维护中所产生的数据包含了大量的安全信息,如何基于这类海量的数据进行分析,有效识别各种风险漏洞,提升自身信息安全工作水平成为信息安全工作中的关键,因此需要研究如何从日常运行维护工作中的基于业务全流量的大数据采集、存储、加载,以及基于大数据的分布式大规模计算进行安全分析和对安全事件预测方法,从而进行安全事件预警分析、整体安全态势的多维度分析,同时基于全流量采集的关联分析,以及安全管控体系的合规映射算法研究,从而提高整个安全管理体系的安全态势感知预警能力和安全合规水平。

2 安全威胁分析


运营商业务支撑系统涉及业务种类繁多,系统庞大,在日常运维中由多个平台分别采集访问日志与系统日志,经过数年的实际运营分别积累了庞大的、种类多样的安全相关数据,但却形成了两个以上庞大的数据“孤岛”,多个平台之间无法数据共享。经调研分析,现网业务支撑系统的安全威胁分析中存在如下不足。


1.功能重复建设,造成资源严重浪费。

常用安全数据被反复采集、多次存储,浪费了宝贵的网络带宽与存储资源,采集任务容易对系统自身的连续性造成实质影响。


2.数据“孤岛”,导致无法进行安全关联分析。

安全威胁分析的重要功能,却由于数据被平台、系统的切割条块化,而无法进行有效关联,相互取数需要深度定制开发。


3.缺乏有效的多维数据关联分析能力。

对安全数据的分析仍基于传统的数据库检索查询模式,检索工作效率极为低下,增加新的分析需求,只有专业维护人员可以完成,亟需提升对安全数据的分析能力。


4.难以挖掘平台数据价值。

由于安全数据彼此割裂,缺乏必要的整合与关联,造成各个平台所能提供的威胁分析结果数据价值十分有限,阻碍了威胁协同处置,影响平台规划得到进一步的提升。


3 解决方案

针对运营商在日常运行维护中所产生的数据包含了大量的安全信息,对网络设备、安全设备、主机和应用系统的数据进行全面收集和标准化处理,以“数据驱动安全分析,形成安全闭环,解决安全事件遗漏”为安全理念,通过大数据实时分析引擎和机器学习深度智能分析引擎,及时发现各种安全威胁、传统安全设备无法识别的残余风险以及深度识别有效攻击事件。为管理人员提供全局视角和企业业务的不间断稳定运行提供安全防护。同时基于全流量采集的关联分析,以及安全管控体系的合规映射算法研究,从而提高整个安全管理体系的安全态势感知预警能力和安全合规水平。

3.1 系统功能架构

运营商行业业务支撑网安全威胁分析与预警系统主要由安全态势感知呈现层、安全态势场景分析层、安全数据中心层以及整个平台对外接口共四部分组成。


安全威胁分析与预警系统架构图


功能呈现层将安全数据按各种场景分析之后得出的成果,包括首页、安全态势视图与报告、安全告警、预警等功能,同时提供原始日志与标准化日志的搜索入口,以及系统管理入口。
安全态势场景层内置了针对外部安全威胁的分析能力,提供了多种安全分析场景。本层功能在平台中起到承上启下的作用,同时代表了安全态势分析的内容与能力。
安全数据中心层(简称SDC)是一个具有独立服务能力的数据中心,实现各类安全数据的采集、处理、汇聚、存储、检索能力,并向上提供数据订阅接口。该层以接口形式向安全态势感知的分析提供输入数据。

3.2 系统功能说明

3.2.1 安全态势分析展现

3.2.1.1 内网安全态势感知
整体感知内网的安全威胁态势,实现内网服务器异常登录、账户异常访问等安全分析场景,实现安全事件的多维度统计,从近7天安全事件态势分析,当天内网安全事件数量、异常资产、账户态势分析,感知整体内网安全态势。

3.2.1.2 攻击态势感知
感知整体网络被攻击的态势安全态势,实现攻击的类型、近7日的攻击趋势分析,当天攻击趋势分析,攻击者深度分析,感知网站被攻击的态势。

3.2.1.3 异常访问行为态势
感知整体网络环境的被访问的态势,实现访问终端、攻击、访问者来源地、访问行为等维度分析,并实时对异常访问进行告警。可以为网站安全和业务运营提供参考数据。

3.2.1.4 异常流量态势
感知整体网络环境的异常流量态势,包括外网攻击的异常流量和业务操作的异常流量,并实施对异常流量行为进行告警。

3.2.1.5 恶意操作态势
整体感知网络系统中的系统、设备、中间件、数据的我恶意操作态势,并从系统类型、资产等维度进行态势分析和可视化。

3.2.1.6 脆弱性态势
分析整体网站系统的漏洞、弱口令和非达标配置项三个方面展示系统自身脆弱性情况。以漏洞维度、资产、重要资产维度进行脆弱性态势分析和可视化。

3.2.1.7 资产安全态势
通过大数据分析,综合分析资产或业务系统遭受攻击、恶意操作以及系统自身的脆弱性情况。 以业务系统视图呈现资产安全态势,业务系统名称、包含资产数、被攻击次数、攻击者数量、攻击类型数、恶意操作类型、操作者数量、操作次数、漏洞数、弱口令数、合规率不达标数(配置合规率未达到省公司规范要求值)等。

3.2.1.8 威胁预警
结合威胁情报库中的互联网中实时收率的漏洞库和重大安全事件案例,对比分析现有网站系统的安全环境,对系统中存在的0day漏洞、安全威胁、系统脆弱性以及其他重大安全威胁实时预警。

3.2.1.9 攻击路径溯源
结合威胁情报库,攻击路径溯源模型,可视化展示对网站威胁程度较高的攻击者,并展示该攻击者的攻击路径。

3.2.2 安全数据中心
安全数据中心(SDC)负责全网的安全数据的集中采集、标准化、存储、全文检索以及数据共享。主要包括采集范围、采集能力、数据处理、数据存储、数据共享以及SDC自身的管理功能。

3.2.3 安全数据检索
安全大数据中心(SDC)以Hadoop库为后续存储、分析、计算、检索等提供支撑。将原始大数据库划分为基础分析库和实时查询库,在企业大数据平台的基础上,搭建一套ES全文检索集群,将安全大数据中的数据纳入ES集群中,实现日志统一管理,统一查询,有效快速帮助用户取证和检索数据。

3.2.4 安全态势分析
安全态势分析场景从攻击态势、脆弱性态势、恶意操作态势、威胁预警、攻击画像和趋势分析与预测等方面对安全威胁风险进行安全威胁分析与预警综合分析。

3.2.5 安全事件管理
安全威胁分析与预警平台采用基于大数据的处理架构,以流式处理方式实现安全事件的集成和预处理,以基于规则和行为模型的安全场景检测来实现安全事件分析和告警功能,旨在提升平台安全事件管理的处理能力和时效性、分析结果的准确性。安全事件管理的总体功能包括四个主要功能层次:安全事件采集层、安全事件预处理层、安全事件分析层、安全事件展现层。

3.3 方案技术优势




方案价值:


• 具备安全态势要素的输出和整体安全态势可视化感知能力实现预警通知效果,并对其范围、类型、危害以图形化展示,为安全分析人员提供直观、强大、清晰的安全威胁预警能力,以及重大问题、事件的整体性报告,为公司安全管理员,安全决策人员提供可靠的数据保障。

• 具备安全威胁要素分析和异常行为快速发现能力。为业务支撑系统安全管理员、安全决策人员提供简单、实用、高效的安全数据平台,内置业务支撑网重点安全分析场景,重点发现高级别安全攻击、顽固安全问题,采用大数据技术在更大量数据、更全面、更透彻的方式分析安全威胁。

• 实现安全威胁要素的采集和归一化能力。系统包含内部、外部及情报,其中内部要素包括:资产信息、网络拓扑、安全配置、安全漏洞、系统指纹;外部要素包括:安全攻击、恶意扫描、拒绝服务、异常流量等;情报要素包括:战略安全情报、战术安全威胁情报、通告和预警等。

•  实现安全数据的集中采集、存储、检索及对外接口,建设安全数据中心(SDC)平台。采用多样的、可适配数据源的方式对各类安全设备、系统数据进行采集、清洗、标准化、存储,提供离线、实时、全文检索等多种数据订阅及分析方式。

• 具备数据共享的能力。安全数据中心(SDC)是一个具有独立服务功能的数据中心,实现向上提供数据订阅和查询的接口能力,主要包括能想其他处置、运维平台提供数据接口的能力,同时也具备向上层安全数据中心(SDC)提供数据上传和共享接口的能力。

返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |