一体化网络安全管控系统特性

2017-11-17黄海龙郭怡薇

网络安全技术与应用 2017年11期

关键词：拓扑图日志管控

◆黄海龙郭怡薇

(新疆维吾尔自治区产品质量监督检验研究院新疆 830011)

一体化网络安全管控系统特性

◆黄海龙郭怡薇

(新疆维吾尔自治区产品质量监督检验研究院新疆 830011)

建立一体化网络安全运维管理平台是强化网络安全的重要手段，是解决安全防御孤岛的必须采用的方法之一，通过平台的建立达到一加一大于二的效果，同时对一体化平台的建立，也提出了相应的技术和管理要求。

安全；网络；系统

0 前言

随着网络技术的不断发展，如何有效的防范来自网络的安全威胁越来越重要，各个单位网络都在署了大量的网络安全设备，有些还建立了具备专项网络防护的安全系统。但这些设备和系统大都是针对某类威胁开发的有针对性的防范系统，于是又形成了一个个独立的防御体，导致彼此之间产生大量的安全缺口未防御，也不断增加管理难度。

因此为了应对信息审计、内部管控、持续性业务等需求的挑战，建立一套横向贯穿各个孤立安全防线，建立一体化的整体网络安全管控系统，实现对网内所有信息资源的安全及风险的统一监控，准确把握网络系统内整体安全状况，形成联动机制，及时采取有力的防范及管控措施。

1 一体化网络安全管控系统的介绍

一体化网络安全管控系统，是一个面向全网 IT资源的，进行集中监控和安全管理的统一系统。它通过对互联网内各类网络资源的监控管理，以及对应海量异构网络的告警等的采集、处理和分析，通过综合安全运营管控，建立一整套与之对应的，同时又符合ITIL/ITSM标准的安全管控机制。

通过建立统一的监控平台，将安全设备、网络、服务器、存储、数据库、应用、机房环境等所有 IT资源的运行状态等实施监控，并提供统一管控界面及手段，准确反映 IT系统的逻辑拓扑图和物理拓扑图。将各类记录以需要的方式汇总展示，为进一步处理提供基础信息支撑。

设备运行记录与信息采集系统对各种网络资源的运行状态、警示信息等数据进行收集，同时将系统内各种软、硬件设备配置信息导入一体化网络安全管控系统，从而确保一体化网络安全管控系统中的各类资料、数据与实际运行状态相一致，为一体化网络安全管控系统有效管控提供基础。

2 一体化网络安全管控系统的构成

信息安全运营中心分为SMC、DAC和V-SIMS三部分。

SMC：安全管理中心，以B/S/D三层架构实现监控、管理、响应、报表等功能。

DAC：数据分析中心，采用后台服务方式，实现综合分析、关联分析、资产发现、脆弱性信息采集分析等数据分析处理功能。

V-SIMS：安全信息管理系统，具备安全信息的采集、过滤、聚并、入库等功能，方便统一的实现分布、分级部署事件采集引擎。

信息安全运营中心架构示意图如图1所示。

3 一体化网络安全管控系统的主要功能

3.1 日志(事件)管理

日志(事件)管理主要包括: 处理日志采集、日志汇总整合和日志视图化处理三方面工作。

图1 信息安全运营中心体系结构示意图

日志管理首先是日志的及时收集，并且按要求汇总整合。通过事件采集器的管理应用，将整个信息网络系统里所有节点，按照安全等级划分为不同级别的控制节点，按照既定规则获取相应层级的日志数据，使用加密方式上载到统一体化网络安全管控系统进行综合分析等。

一体化网络安全管控系统里，日志管理还应包含日志的分析，能够合并、策略化、规范化日志信息，并且凭藉分析结果对整个信息网络系统的安全日志进行处置。日志管理功能要能够对信息网络系统的主要设备的日志进行采集，对部分无法采集日志的设备，可使用第三方工具（代理插件）支持，确保日志收集的广泛性、覆盖性。

在日志收集与处理的基础条件上，统一体化网络安全管控系统可对日志进行各种有针对性的分析与展示，并进行可视化处理，包括实时产生的各类日志及其它信息。以及事件的关联、查询、备份、维护及报表展示。

3.2 综合分析、风险评估和预警

综合分析是整个统一体化网络安全管控系统的核心内容，接收来自安全管控系统的各类日志，更据既定原则来评估日志结果，并对日志进行协同关联特征所引发的多级综合风险展开评估分析，并照风险级别进行预警；平台参照相关信息，并依据既定安全策略进行响应处理。并将相关信息传递至指定人员，便于安全人员及时了解网络的风险动态，及时为应对风险、动态调整策略提供依据。通过系统管控掌握系统整体以及局部的风险状况，根据不同的类型、采取必要的预防措施。