一種基于大數據分析技術的信息安全綜合管理平臺

◆黃 煒

?

一種基于大數據分析技術的信息安全綜合管理平臺

◆黃 煒

（廣東省廣播電視網絡股份有限公司 廣東 510623）

國家對網絡安全提到了前所未有的高度，將關鍵信息基礎設施保護以及等級保護制度落到實處是行業監管的要求。本文分析了目前網絡（信息）安全防護系統分散、獨立建設的不足，結合實際工作提出綜合網絡安全管理平臺的建設思路。

網絡安全 ；關鍵信息基礎設施 ；大數據

0 引言

隨著國家安全法的發布實施，關鍵信息基礎設施保護制度和等級保護制度實施力度地不斷加強，越來越多的企業和組織投入到信息安全管理體系的建設之中，將信息安全管理體系落到實處，需要技術平臺來實現等級保護及內控合規的相關具體要求。

信息安全保障體系經過多年的發展，各種各樣的安全功能組件，如防火墻、IPS、防病毒、審計等系統相繼出現，在一定程度上確保網絡與信息系統安全穩定運行。目前這些系統的管理和監控一般都是自成體系、獨立分布，有價值的信息容易淹沒在大量的安全事件日志中。大數據分析能夠對各類安全信息進行集中管理，實現安全信息的集中收集、存儲、關聯分析，配合內置的各種模型和算法，識別各類安全事件、及時發現安全隱患，采取必要的措施，使具備統一采集、統一分析、統一管理的信息安全綜合管理平臺成為可能。

1 廣播電視網絡存在的不足

廣播電視網絡作為信息互聯網絡的一部分，常見的威脅主要為以下幾點：

1.1外部黑客惡意入侵

入侵者通過控制邊界網絡設備，進一步了解網絡拓撲結構，利用網絡滲透搜集信息，造成信息泄露。比如，入侵者同樣可以利用這些網絡設備的系統漏洞或者配置漏洞，實現對其的控制。其次，通過各種手段，對網絡設備實施拒絕服務攻擊，使網絡設備癱瘓，從而造成網絡通信的癱瘓。

1.2大規模蠕蟲或病毒爆發

在網絡環境下，網絡病毒除了具有可傳播性、可執行性、破壞性、可觸發性等計算機病毒的共性外，還具有一些新的特點，網絡病毒的這些新的特點都會對信息網絡與應用造成極大的威脅。

1.3內部人員違規或非授權訪問

據統計，有70%的網絡攻擊來自于網絡的內部。對于網絡內部的安全防范會明顯的弱于對于網絡外部的安全防范，而且由于內部人員對于內部網絡的熟悉程度一般是很高的，所以，由網絡內部發起的攻擊也就必然更容易成功。因此，一旦攻擊成功，其強烈的攻擊目的也就必然促使了更為隱蔽和嚴重的網絡破壞。

1.4防護的局限性

安全措施、安全設備僅是針對特定的威脅進行的“頭痛醫頭、腳痛醫腳”的救火式的解決，孤立的安全措施很難適應現在安全事件發生的綜合性特征，不能從全局的視覺識別和防范安全風險，從而以全局的層級來對信息安全進行管理、部署。

2 綜合管理平臺建設思路

2.1需求分析

信息安全綜合管理平臺的目的是保障信息系統的安全、連續、可靠、有效運行，實現對環境設備、網絡設備、安全設備、主機、數據庫、中間件、應用等信息系統的統一運維，須促進信息安全管理工作的體系化、規范化、指標化。

（1）信息安全綜合管理平臺應遵循統一信息模型，實現運維服務管理的體系化、規范化、指標化，可建立多級（如省市縣三級）聯動的統一運維體系。

（2）通過信息安全綜合管理平臺與其他運維平臺，全面掌握網絡和信息系統的運行狀況，通過運行分析和安全分析，及時調整運行、安全策略，確保系統安全運行，降低安全風險。

（3）信息安全綜合管理平臺能提供統一的對外服務接口，支持主流IT服務支持體系，通過流程保證事件、故障、異常的閉環管理。

（4）信息安全綜合管理平臺具備大數據分析能力。詳細需求在下節進行闡述。

2.2大數據分析在安全管理平臺中應用

基于大數據分析的安全管理平臺能提供強大的安全事件分析方法和工具，包括基于特征的、行為、機器學習的自動化和半自動化分析工具等。這些分析方法自動地對采集來的數據進行實時和歷史分析。

（1）傳統基于特征的關聯分析依賴于專家經驗定義的攻擊簽名或已知的攻擊方法。高級威脅經常沒有簽名，并且確切的攻擊者行為也難以實現預測。大數據平臺不是基于靜態的關聯規則，而是建立在被觀測對象正常基準行為，通過對實時活動與基準行為的對比來揭示可疑的攻擊活動。事件行為分析可以智能發現隱藏的攻擊行為，加速確定沒有簽名的威脅，減少管理人員必須調查的事故數量。

（2）基于機器學習和統計學的分析技術。大數據為機器學習和統計分析提供了用武之地，首先海量的安全數據保證了機器學習的準確性，分布式處理技術為統計分析方法提供了快捷高效的計算方法，使海量數據的處理得以在短時間內完成。大數據分析平臺采用Map/Reduce的方法,將復雜的統計和計算分配給各個節點處理，各個節點計算完成將結果匯總至主節點，完成復雜的計算過程。

（3）實時分析主要采用流式計算框架，使用復雜事件處理（Complex Event Processing）技術的流式分析引擎對采集的數據進行實時關聯分析，關聯分析有集中式實時分析和分布式實時分析，CEP分析引擎采用基于規則關聯和情景關聯的分析技術。

（4）大數據平臺通過特定的統計算法，在特定的時間周期內從多個維度對事件進行統計，獲得如均值、標準差等統計數據，計算一段時間的行為基線，通過置信區間的設置，可發現超出正常行為基線的異常安全事件。

綜上所述，大數據分析能力使得功能全面的信息安全綜合管理平臺成為可能。

3 系統總體架構

3.1技術架構

根據筆者實際的工作，信息安全綜合管理平臺的總體技術架構如下圖1所示：

圖1 總體技術架構

平臺應用架構為B/S模式，管理員可以通過瀏覽器對系統進行配置管理，對流程進行定制，用戶可以通過瀏覽器查看、處理工單。

系統的各類配置信息和定制的流程能存儲在數據庫中，便于備份和管理。

系統具備應用級的熱備功能或操作系統級的熱備功能。當主服務器發生故障時，應用可自動切換到備用服務器上繼續為用戶正常提供服務。整個切換工作自動進行，在切換過程中數據不能丟失，用戶的使用不受影響。

系統具備應用級的負載均衡特性，在應用會話連接期間自動判斷、切換，無需等待，以消除人工干預和信息丟失的情況。

系統具有分布式部署的能力，采用分布式部署時，各流程間應無縫銜接，在數據的存儲與分析上采用多種數據處理技術手段：分布式緩存、大數據存儲、情境數據庫，能夠滿足各種不同結構數據的存儲分析的功能需要。

系統除具備自身的認證方式外，還支持第三方的認證方式，如LDAP、PKI認證，支持多域認證。

系統本身是一個開放性、模塊化的系統，在硬件方面采用標準的服務器體系架構，并預留擴展空間，可通過添加內存、添加或升級CPU、升級硬盤、添加接口卡等方式，對硬件性能及存儲空間進行擴容。

信息安全綜合管理平臺采用面向服務的體系結構，建立從運行環境、編程模型、架構風格等在內的可重用、松耦合、互操作的服務體系結構，涵蓋服務的整個生命周期，使得信息安全綜合管理平臺更靈活、更易于重用、更好（也更快）地應對變化。

信息安全綜合管理平臺采用組件化的分層結構設計思想，使其具有預制性、封裝性、透明性、互操作性、通用性等特征，便于快速地組裝新的應用。通過服務的分層，降低服務之間的耦合度，提高可重用性。

3.2功能架構

根據前面的分析，信息安全綜合管理平臺的總體功能組成如下圖2所示：

圖2 總體功能架構

安全管理以資產和風險為核心、以事件為驅動、以知識庫為技術保障，以實現安全設備的集中管理，能對網絡設備、安全設備和系統、主機操作系統、數據庫以及各種應用系統的運行狀態進行監控，對各類系統的日志、事件、告警等安全信息進行全面的管理和審計，對當前網絡安全態勢進行分析與展現。平臺包括但不限于以下功能：綜合展現功能、資產管理、脆弱性管理、安全事件管理、事件分析模型管理、安全監控管理、安全風險管理、安全響應管理、報表管理、知識庫、宏觀態勢分析管理、系統自管理等功能。

4 結束語

本文通過對信息安全管理系統現狀的分析，闡述了大數據分析得到廣泛應用背景下實現信息安全綜合管理平臺的可行性。結合工作實際，提出一種基于大數據分析的安全管理平臺技術架構和功能架構，由于篇幅限制，未能詳盡介紹其中內容。筆者認為基于大數據分析技術的信息安全綜合管理平臺有利于解決目前安全管理系統獨立分散、有價值的安全信息難以提取和關聯分析、安全事件定位不準確、效率不高等問題。展望后期，安全管理平臺核心分析算法的不斷創新、優化也是將來研究的重點。

[1]Dean, Jeffrey & Ghemawat, Sanjay (2004). "MapReduce: Simplified Data Processing on Large Clusters". Retrieved Apr.，2005.

[2]鄒國偉，成建波.大數據技術在智慧城市中的應用[J].電信網技術，2013.