企業(yè)信息安全管理平臺研究

李博陵

(河北省機電一體化中試基地,河北石家莊 050081)

企業(yè)信息安全管理平臺研究

李博陵

(河北省機電一體化中試基地,河北石家莊 050081)

針對目前各大中型企業(yè)信息系統(tǒng)建設分散、各種安全設備簡單堆砌帶來的一系列安全問題,本文提出應用信息安全管理平臺將各系統(tǒng)產(chǎn)生的安全事件進行關聯(lián)、預警,實現(xiàn)企業(yè)信息系統(tǒng)各個安全防護設施的集中管理。主要闡述了信息安全管理平臺的系統(tǒng)結構、主要實現(xiàn)技術、應用環(huán)境等。

信息系統(tǒng);信息安全管理

隨著各種通信產(chǎn)品、安全產(chǎn)品大量的增加,企業(yè)單位信息系統(tǒng)的不斷擴大,不同時期不同應用系統(tǒng)經(jīng)常會采用不同廠商的安全產(chǎn)品和方案,并引入相當多異構安全技術[1]。這些事件中存在誤報、重報等現(xiàn)象。安全管理員在進行事件分析時,也會因為事件繁多,網(wǎng)絡結構復雜等原因,不能對企業(yè)的整個系統(tǒng)做一個全局的安全狀態(tài)的把握,使得一些重要的威脅被忽略。

通過企業(yè)信息安全管理平臺可實現(xiàn)將不同安全異構設備進行統(tǒng)一協(xié)調(diào)管理,對單一的安全事件進行收集、匯總、過濾、關聯(lián)分析,實現(xiàn)對整個企業(yè)信息系統(tǒng)的模塊化管理,協(xié)調(diào)各個模塊工作,得出全局角度的安全風險事件,并形成統(tǒng)一的安全決策,對重要的安全事件進行及時的響應和處理,對整個企業(yè)信息安全管理體系的安全提供技術支撐[2]。

1 系統(tǒng)結構設計

信息安全管理平臺(以下簡稱ISM P)基于三級模型組建,可靈活擴充為任意多級的結構;遵循構件之間低耦合、構件內(nèi)部高內(nèi)聚的設計原則;確保適應未來網(wǎng)絡在規(guī)模和速度上的快速增長;遵循抽象通用的原則,確保能將更多的安全產(chǎn)品納入該平臺之內(nèi)并進行有機的結合。

ISM P主要由管理中心、控制臺、集成接口三部分組成,圖1為系統(tǒng)的三級結構示意圖。具體模塊的名稱、代號及其功能描述如表1所示。

圖1 ISMP三級結構示意圖

表1 模塊名稱、代號及功能

2 系統(tǒng)關鍵技術

信息安全管理平臺是一個結構非常龐大的軟件系統(tǒng),具有實時性強,處理數(shù)據(jù)量大,綜合反映能力強等特點,因此對系統(tǒng)的穩(wěn)定性,兼容性,可靠性,準確性的指標參數(shù)要求都比較高。在ISM P中主要采用了以下一些關鍵技術。

2.1 采用智能代理技術

信息安全管理平臺實現(xiàn)了安全產(chǎn)品的統(tǒng)一管理(見圖2)。系統(tǒng)已經(jīng)內(nèi)置支持了很多常用的協(xié)議,能夠方便地對其他安全產(chǎn)品的信息進行獲取。采用引擎技術設計,通過正則式、Schema映射等技術實現(xiàn)對數(shù)據(jù)格式的識別;采用數(shù)據(jù)集技術實現(xiàn)了數(shù)據(jù)的靈活表示;采用Remoting技術與信道壓縮技術實現(xiàn)了數(shù)據(jù)的高效與安全傳輸。采用智能代理技術,并經(jīng)過內(nèi)置的手工配置模塊進行相關配置,能夠大大減少二次開發(fā)周期,預計80%的產(chǎn)品只需要建立規(guī)則通過手工簡單的配置即可完成數(shù)據(jù)格式的識別、數(shù)據(jù)采集工作。

2.2 異構不同種類產(chǎn)品信息的規(guī)范化處理技術

各類安全產(chǎn)品的輸出就是安全管理平臺的輸入。由于無統(tǒng)一標準的原因,各類安全產(chǎn)品的輸出無論在表達形式上還是文法上都沒有一致可言。這些報警信息中通常存在漏報與誤報情況,單一設備報警的規(guī)模有時可以達到100條/s,對于一個擁有大規(guī)模設備的網(wǎng)絡這些事件不可能被及時處理。本系統(tǒng)采用如下環(huán)節(jié):過濾、冗余處理、歸納分類、綁定環(huán)境,完成了對數(shù)據(jù)的規(guī)范化處理以及優(yōu)先級鑒別(見圖3)。

圖2 管理平臺對安全產(chǎn)品統(tǒng)一管理示意圖

圖3 異構不同種類產(chǎn)品信息處理環(huán)節(jié)

2.3 安全事件關聯(lián)分析

ISM P采用了以基于規(guī)則為主,結合了基于統(tǒng)計學的事件關聯(lián)技術,對ISM P內(nèi)的所有數(shù)據(jù)進行關聯(lián)分析,如:定義一些大的安全事件類別,將出現(xiàn)的事件先歸類,然后再根據(jù)大類出現(xiàn)的事件的安全級別和數(shù)量來估計發(fā)生的攻擊。

2.4 事件可視化顯示技術

ISM P利用相關技術體現(xiàn)了信息的可視化管理,這些可視化技術包括:風險三緯可視化、攻擊來源地理分布可視化、網(wǎng)絡性能現(xiàn)狀及歷史狀況可視化、事件因果關系可視化、網(wǎng)絡拓撲可視化、設備面版狀態(tài)可視化、應用服務狀況可視化等。在可視化顯示技術的基礎上,再進行關聯(lián)分析可以起到事半功倍的效果,ISM P將兩種技術進行了結合,使管理員可直觀、準確的定位事件源頭并及時進行處理。

2.5 分級管理與資產(chǎn)標識技術

ISM P可對網(wǎng)絡內(nèi)的包括終端和應用等所有資源進行管理,關鍵在于采用了分解技術將所有資源通過部門、用戶、資產(chǎn)這三個緯度進行了細致的劃分。同時系統(tǒng)對網(wǎng)絡中的資產(chǎn)進行了準確地標識,詳細定義了包括敏感性與關鍵性在內(nèi)的大量屬性,真實地反映了用戶網(wǎng)絡的現(xiàn)狀。這些屬性將在風險分析以及安全評估工作中發(fā)揮重大作用,并可為下一步的安全策略調(diào)整和維護提供大量、準確的依據(jù)。

3 系統(tǒng)應用實現(xiàn)

3.1 系統(tǒng)典型應用環(huán)境

對于拓撲結構比較簡單的網(wǎng)絡,ISM P三個構件可以同時安裝在目標網(wǎng)絡中。

在系統(tǒng)設計時,如果這三個構件可以在同一種類型的操作系統(tǒng)上運行,他們也可以被安裝到同一臺機器上,這樣可以進可能地降低硬件成本。例如:如果只使用網(wǎng)絡探測器,那么可以將管理中心和控制臺安裝在同一臺主機上。

管理中心的部署位置應該盡可能距離集成接口比較近?？刂婆_可以在本地網(wǎng)絡中安裝,也可在遠程網(wǎng)絡中安裝,只要通過標準的 TCP/IP網(wǎng)絡能夠訪問管理中心即可[3]。

3.2 分布式多級應用結構

對于結構比較復雜的網(wǎng)絡,例如銀行系統(tǒng)網(wǎng)絡。在這種情況下,必須使用多管理器進行級聯(lián),以保障全局范圍內(nèi)網(wǎng)絡的安全性[3]。在級聯(lián)結構中,上一級管理中心可對下一級管理中心的安全狀況進行實時的監(jiān)督,并對下一級的重要安全事件在所轄范圍內(nèi)進行及時全局預警處理,同時向上一級管理中心進行匯報。分布式多級應用結構示意圖如圖4所示。

圖4 信息安全管理平臺分布式多級應用結構示意圖

4 結束語

傳統(tǒng)的安全管理方式是將分散的不同類型的安全設施分別管理,這樣就導致安全信息互不相通,安全策略難以保持一致,這種傳統(tǒng)的管理運行方式是許多安全隱患形成的根源[1]。信息安全管理平臺具有良好的產(chǎn)品異構能力,它利用自身創(chuàng)建的安全系統(tǒng)庫,基于三層架構進行數(shù)據(jù)轉換,可以將其他產(chǎn)品或設備直接掛接在安全資源管理平臺管理范圍之內(nèi)。并且其使用了可隨時擴充的安全系統(tǒng)庫對增加的安全資產(chǎn)進行管理,避免新增加的產(chǎn)品與原有系統(tǒng)的不兼容性,降低投資風險,具有很好的可擴充性。解決了目前企業(yè)網(wǎng)絡安全設施復雜多樣、安全事件信息分散的問題。

[1] 古利勇,聶緒斌.政務網(wǎng)站集中安全管理平臺研究[J].通信與信息技術,2009,(6):69-70.

[2] 何為超,李宏,張雯.網(wǎng)絡安全管理系統(tǒng)的設計與實現(xiàn)[J].西北工業(yè)大學學報,2006,(6).

[3] 古利勇,黃元飛,羅萬伯.網(wǎng)絡安全運行管理平臺體系結構研究[J].電信科學,2006,(2):35-39.

Study on en terprise information security management platform

LIBo-ling

(Hebei Electromechanical Integration Experimental Base,Shijiazhuang Hebei050081,China)

To solve a series of safety p roblem s w hich brought by the dispersive constrouction in the large and middle scale enterp rise info rmation system,and the simp le piling of various safety device,the paper p roposes to correlate and early warn the security events p roduced by system s through the usage of info rmation security management p latfom(ISM P)and then realize the centralized management of safety p rotection facilities in enterp rise info rmation system.This paper mainly expounds system structure,main realization technology,app lication environment,etc.of the information security management p latfo rm.

Information system;Information security management

TP319

:A

1001-9383(2011)02-0030-04

2011-01-31

李博陵(1984-),女,河北博野人,研究實習員,主要從事計算機技術應用與開發(fā).