大数据安全管理平台

2015-03-17成都杨志农杨勇

网络安全和信息化 2015年11期

■成都杨志农杨勇

在当今大数据时代，传统单点式的安防系统，或者传统的基于黑名单的威胁分析方案已经不足以支撑企业现在的安全环境。企业需要更智能化的解决方案来应对日益增加的未知安全威胁。不仅如此，还应从信息安全风险管理视角，采用大数据技术，在物理、网络、主机、应用、数据及进一步细化的层次上，建立起风险感知、监控及预警平台，实现量化的安全风险管理、图形化的安全风险定位、可交互的安全事件监控和实时的安全态势感知，并形成一系列知识库、场景库、指标库等最佳实践成果。

传统安全分析面临的挑战

当前绝大多数安全分析工具和方法都是针对小数据量设计的，在面对大数据量时难以为继，新的攻击手段层出不穷，需要检测的数据越来越多，现有的分析技术不堪重负。面对海量的安全要素信息，我们如何才能更加迅速地感知网络安全态势呢？

传统的分析方法大都采用基于规则和特征的分析引擎，必须要有规则才能工作，而规则和特征只能对已知的攻击和威胁进行描述，无法识别未知的攻击，或者是尚未被描述成规则的攻击和威胁，面对未知攻击和复杂攻击如APT等，需要更有效的分析方法和技术，那么，如何做到知所未知呢？

基于大数据技术的安全分析

大数据安全管理平台实现基于开源HADOOP大数据平台系统进行的数据存储、数据建模、内置挖掘算法分析功能，提供了友好的用户界面、系统安装、集群配置、安全访问控制、应用和资源监控及丰富的告警等多方面的支持。

大数据安全分析完成异构数据预处理、存储、分析和展示，采用多种分析方法，包括关联分析、机器学习、运维学习、统计分析、OLAP分析、数据挖掘和恶意代码分析等多种分析手段对数据进行综合关联，结合SQL、NewSQL、NoSQL技术，实现对异构安全数据的快速可靠存储，实现对安全数据的实时分析和事后分析，为安全分析人员和管理人员提供快捷高效的决策支持。

大数据安全管理平台特点

基于大数据技术的安全管理平台，是基于全网海量多源异构各类告警数据、业务数据、网络数据、网管与运维数据和内控数据，通过数据的集中分析，构建安全场景分析，实现安全风险与态势的实时感知，将事前风险合规性管理运维流程成果量化、事中发生的各类安全告警和异常行为及时感知，事后网管系统监测到的业务异动和事件处置运维流程情况，全部汇总统一成风险感知的业务数据链。

平台面向各类使用者：决策者、管理者、安全运维人员、业务部门人员、系统管理者，为不同视角人员提供不同的安全业务数据和统计分析，并将风险可视化技术应用到信息安全风险管理全生命周期，从事前、事中、事后的不同维度，研究多层面、多视角信息安全风险量化评估模型、态势评价模型、可视化展现框架和可视化交互技术，将被动式信息安全管理转为主动式信息安全管理，逐步提升信息安全风险精确管控、动态决策和持续改进能力。

基于网络元数据实现大数据规模的历史数据，通过不断演进的场景规则，对历史数据进行风险滚动更新，基于历史数据对未来提供日益精准的分析规则。

大数据下安全管理平台的建设解决了海量数据和信息孤岛的困扰，整体上简化了安全管理的数据模型，将来自网络中各类IT基础设施的多类数据都会存储到一个通用数据库中，根据科学的策略进行智能关联分析。风险感知平台已经逐步成为信息技术人员在工作过程中的一把利器，能够更有效地回应不断变化的安全风险。

同时需要进行大数据平台的建设工作，具体包括：

1.Hadoop集群配置与管理。管理Hadoop集群，可进行节点安装、配置、服务配置等，提供Web窗口界面，提高了Hadoop配置可见度，降低了集群参数设置的复杂度。

2.资源监控。收集集群中各个节点的资源（CPU、内存、负载、网络IO等）使用情况，并提供丰富的展示画面，便于用户了解当前集群的资源使用情况。

3.应用管理。Hadoop提供了Job级别的监控功能，可以监视Job的执行情况，而通常一个应用程序需要多个Job来完成，所以无法得知应用的执行情况。当集群中存在大量应用时，更是无法根据Job来判断应用执行情况。NBDP提供了应用程序的管理和监控功能。另外提供了应用发布管理功能，使应用开发商与大数据平台隔离，通过管理工具进行应用的发布和状态监控，保证了Hadoop集群的安全。

4.安全管理。Hadoop的安全控制非常简单，只包含简单的权限，即只根据客户端用户名，决定使用权限。它的设计原则是：“避免好人做错事，但不阻止坏人做坏事”。NBDP提供了客户端对服务端、服务端对服务端的安全认证方案，同时提供用户权限管理功能，避免非法入侵和越权访问。

5.告警管理。NBDP具有强大的告警功能，可以自定义告警规则，对告警进行合并、过滤等。同时通过邮件或者短信方式进行实时的通知。

大数据安全管理平台的发展与探索

基于大数据技术的安全管理平台体系的建设，保证了IT基础环境中的安全运维、监控、预警分析，实现了对威胁IT业务系统正常运行的安全风险的集中研判，从安全管理的角度促进信息系统正常、稳定、安全、可靠运行，将风险可视化技术应用到信息安全风险管理全生命周期，从决策、管理和执行的视角，以及事前、事中、事后的不同维度，研究多层面、多视角信息安全风险量化评估模型、态势评价模型、可视化展现框架和可视化交互技术，将被动式信息安全管理转为主动式信息安全管理，逐步提升信息安全风险精确管控、动态决策和持续改进能力。