一體化網絡安全管控系統特性

◆黃海龍 郭怡薇

(新疆維吾爾自治區產品質量監督檢驗研究院 新疆 830011)

一體化網絡安全管控系統特性

◆黃海龍 郭怡薇

(新疆維吾爾自治區產品質量監督檢驗研究院 新疆 830011)

建立一體化網絡安全運維管理平臺是強化網絡安全的重要手段，是解決安全防御孤島的必須采用的方法之一，通過平臺的建立達到一加一大于二的效果， 同時對一體化平臺的建立，也提出了相應的技術和管理要求。

安全；網絡；系統

0 前言

隨著網絡技術的不斷發展，如何有效的防范來自網絡的安全威脅越來越重要，各個單位網絡都在署了大量的網絡安全設備，有些還建立了具備專項網絡防護的安全系統。但這些設備和系統大都是針對某類威脅開發的有針對性的防范系統，于是又形成了一個個獨立的防御體，導致彼此之間產生大量的安全缺口未防御，也不斷增加管理難度。

因此為了應對信息審計、內部管控、持續性業務等需求的挑戰，建立一套橫向貫穿各個孤立安全防線，建立一體化的整體網絡安全管控系統，實現對網內所有信息資源的安全及風險的統一監控，準確把握網絡系統內整體安全狀況，形成聯動機制，及時采取有力的防范及管控措施。

1 一體化網絡安全管控系統的介紹

一體化網絡安全管控系統，是一個面向全網 IT資源的，進行集中監控和安全管理的統一系統。它通過對互聯網內各類網絡資源的監控管理，以及對應海量異構網絡的告警等的采集、處理和分析，通過綜合安全運營管控，建立一整套與之對應的，同時又符合ITIL/ITSM標準的安全管控機制。

通過建立統一的監控平臺，將安全設備、網絡、服務器、存儲、數據庫、應用、機房環境等所有 IT資源的運行狀態等實施監控，并提供統一管控界面及手段，準確反映 IT系統的邏輯拓撲圖和物理拓撲圖。將各類記錄以需要的方式匯總展示，為進一步處理提供基礎信息支撐。

設備運行記錄與信息采集系統對各種網絡資源的運行狀態、警示信息等數據進行收集，同時將系統內各種軟、硬件設備配置信息導入一體化網絡安全管控系統，從而確保一體化網絡安全管控系統中的各類資料、數據與實際運行狀態相一致，為一體化網絡安全管控系統有效管控提供基礎。

2 一體化網絡安全管控系統的構成

信息安全運營中心分為SMC、DAC和V-SIMS三部分。

SMC：安全管理中心，以B/S/D三層架構實現監控、管理、響應、報表等功能。

DAC：數據分析中心，采用后臺服務方式， 實現綜合分析、關聯分析、資產發現、脆弱性信息采集分析等數據分析處理功能。

V-SIMS：安全信息管理系統，具備安全信息的采集、過濾、聚并、入庫等功能，方便統一的實現分布、分級部署事件采集引擎。

信息安全運營中心架構示意圖如圖1所示。

3 一體化網絡安全管控系統的主要功能

3.1 日志(事件)管理

日志(事件)管理主要包括: 處理日志采集、日志匯總整合和日志視圖化處理三方面工作。

圖1 信息安全運營中心體系結構示意圖

日志管理首先是日志的及時收集，并且按要求匯總整合。通過事件采集器的管理應用，將整個信息網絡系統里所有節點，按照安全等級劃分為不同級別的控制節點，按照既定規則獲取相應層級的日志數據，使用加密方式上載到統一體化網絡安全管控系統進行綜合分析等。

一體化網絡安全管控系統里，日志管理還應包含日志的分析，能夠合并、策略化、規范化日志信息，并且憑藉分析結果對整個信息網絡系統的安全日志進行處置。日志管理功能要能夠對信息網絡系統的主要設備的日志進行采集，對部分無法采集日志的設備，可使用第三方工具（代理插件）支持，確保日志收集的廣泛性、覆蓋性。

在日志收集與處理的基礎條件上，統一體化網絡安全管控系統可對日志進行各種有針對性的分析與展示，并進行可視化處理，包括實時產生的各類日志及其它信息。以及事件的關聯、查詢、備份、維護及報表展示。

3.2 綜合分析、風險評估和預警

綜合分析是整個統一體化網絡安全管控系統的核心內容，接收來自安全管控系統的各類日志，更據既定原則來評估日志結果，并對日志進行協同關聯特征所引發的多級綜合風險展開評估分析，并照風險級別進行預警；平臺參照相關信息，并依據既定安全策略進行響應處理。并將相關信息傳遞至指定人員，便于安全人員及時了解網絡的風險動態，及時為應對風險、動態調整策略提供依據。通過系統管控掌握系統整體以及局部的風險狀況，根據不同的類型、采取必要的預防措施。

3.3 拓撲監控功能

拓撲監控功能展示當前地域的拓撲圖，包括背景圖以及其中的地域、網元、鏈路等，并且可實時顯示拓撲圖中網元、地域、鏈路等的狀態信息。

對拓撲圖上所有網元進行狀態監控，當網元的某個狀態采集項（如CPU、內存、磁盤利用率）的值超出閾值，則該狀態采集項會以紅燈展示，否則以綠燈展示；當網元的一個或多個狀態采集項的值超出閾值或網元斷線，則網元圖標底色顯示為紅色，且系統會自動生成告警/事件。

3.4 數據庫監控

支持對各類數據庫實時狀態信息的采集。能夠支持 oracle、sqlserver等主流數據庫的狀態信息采集提供數據庫監控功能，能夠實時監控數據庫的各種狀態，聽過圖像化進行呈現。并且可以針對狀態信息設定告警閾值，自動進行告警。

3.5 Tcp狀態監控

提供TCP端口監控功能，可以實時監控端口的工作情況，當端口有異常情況時，可以提供圖像化的告警措施。

3.6 關聯分析

是將設備日志、警告等事件按設計好規則，規范化，從而快速辨認分析威脅。包括：對安全事件的規則關聯、統計關聯。

3.7 設備控制

設備控制管理模塊應提供通用性、擴展性高的架構來控制設備，一般內置兩種控制協議：Telnet和SSH。

設備控制管理模塊將設備控制抽象成以下三個層次：

（1）設備控制模塊：面向設備基本控制功能，“設備能控制拿些”。

（2）設備控制腳本：面向該種類全部設備，說明“如何使用該種類全部設備”。

（3）設備控制策略：面向該種類某單個設備，說明“如何使用該種類全部的某單個設備”。

3.8 自身安全保障

一體化網絡安全管控系統作為整個網絡里網絡安全的核心，擁有整個網絡的最高控制權限，所以自身的安全非常重要，一定要有既定策略，利用身份認證、加密通訊、控制確認等手段來保障系統核心安全。