【文章內(nèi)容簡介】 時還采集分析網(wǎng)關(guān)的安全系統(tǒng)和設(shè)備（防火墻、入侵檢測、防病毒、漏洞掃描、系統(tǒng)審計等)產(chǎn)生的數(shù)據(jù)，最后統(tǒng)計進(jìn)行資產(chǎn)管理、事件關(guān)聯(lián)分析、綜合風(fēng)險監(jiān)控、實時預(yù)警和反制，并形成專業(yè)的安全知識庫。其實現(xiàn)架構(gòu)圖如下圖：云 安 全 管 理 平 臺 框 架主 機(jī) 、 網(wǎng) 絡(luò) 設(shè) 備 、 安 全 產(chǎn) 品 、 應(yīng) 用 系 統(tǒng) 、 數(shù) 據(jù) 庫 ， 防 火 墻 等S O C K E T S Y S L O G S N M P O D B C …數(shù) 據(jù) 采 集 系 統(tǒng)數(shù) 據(jù) 處 理 系 統(tǒng)事 件 監(jiān) 控 接 口資 產(chǎn) 關(guān) 聯(lián) 分 析 風(fēng) 險 評 估 風(fēng) 險 威 脅 關(guān) 聯(lián) 分 析 漏 洞 關(guān) 聯(lián) 分 析 安 全 信 息 處 理D B / K B系 統(tǒng)管 理脆 弱性 管理用 戶管 理顯示報表策 略管 理資 產(chǎn)管 理事 件管 理用 戶管 理風(fēng) 險管 理預(yù) 警管 理響 應(yīng)管 理知 識管 理報 表管 理云安全管理平臺解決方案12某云安全管理平臺架構(gòu)圖 資產(chǎn)分布式管理資產(chǎn)管理主要是管理云安全管理平臺監(jiān)控范圍的各個系統(tǒng)和設(shè)備，主要包括：網(wǎng)絡(luò)設(shè)備（如：路由器，交換機(jī)等） 、主機(jī)設(shè)備（如：計算機(jī)，服務(wù)器等） 、安全設(shè)備（如 IDS，防火墻等），資產(chǎn)管理是風(fēng)險管理、事件監(jiān)控協(xié)同工作和分析的基礎(chǔ)。實現(xiàn)對網(wǎng)絡(luò)綜合安全運行管理系統(tǒng)所管轄的設(shè)備和系統(tǒng)對象的管理。它將其所轄 IP 設(shè)備資產(chǎn)與風(fēng)險的重要程度關(guān)系，依據(jù)風(fēng)險評估的結(jié)果、定期的漏洞掃描結(jié)果和本模塊的信息資產(chǎn)相結(jié)合，基于資產(chǎn) CIA 屬性，按照資產(chǎn)信息、漏洞、補丁與備件分類導(dǎo)入或登記入庫，并為其他安全運行管理模塊提供信息接口,比如響應(yīng)管理中心、綜合分析與預(yù)警平臺等。具體功能實現(xiàn)詳述如下： 資產(chǎn)流程化管理VRV CSOC 對資產(chǎn)的管理不僅僅是對資產(chǎn)信息的簡單收集和分類，而是將資產(chǎn)的管理與實際的用戶業(yè)務(wù)管理流程統(tǒng)一結(jié)合起來，對資產(chǎn)進(jìn)行流程化的管理。從資產(chǎn)的入庫到資產(chǎn)的運行狀態(tài)跟蹤、資產(chǎn)的變更，一直到資產(chǎn)的注銷、報廢，整個資產(chǎn)的生命周期，VRV CSOC 都對其進(jìn)行跟蹤和監(jiān)控，且用戶可云安全管理平臺解決方案13隨時對資產(chǎn)狀態(tài)進(jìn)行更新，可隨時根據(jù)資產(chǎn)的最新情況對資產(chǎn)進(jìn)行核對、調(diào)用。VRV CSOC 還根據(jù)資產(chǎn)的各種安全屬性，進(jìn)行資產(chǎn)的分類統(tǒng)計，并提供相應(yīng)的統(tǒng)計圖形和報表。 資產(chǎn)流程化管理 資產(chǎn)域分布根據(jù)資產(chǎn)所處的地理位置、邏輯位置，自定義對資產(chǎn)進(jìn)行域分布管理，將資產(chǎn)進(jìn)行分布式統(tǒng)計分類后，呈現(xiàn)給用戶的是一目了然的資產(chǎn)分布信息，這無論對于用戶進(jìn)行資產(chǎn)的綜合統(tǒng)計，還是有針對性的對資產(chǎn)進(jìn)行分區(qū)域管理都提供了基礎(chǔ)的資產(chǎn)管理平臺信息。云安全管理平臺解決方案14 資產(chǎn)域分布 事件行為關(guān)聯(lián)分析事件關(guān)聯(lián)分析至少具有以下三個關(guān)鍵特性：1) 海量事件處理能力：是指關(guān)聯(lián)分析能夠高效地采集海量的異構(gòu)安全事件，并能夠進(jìn)行關(guān)聯(lián)匹配和輸出，還能夠?qū)踩录M(jìn)行可視化展示，以及將海量安全事件和告警信息進(jìn)行及時地存儲；2) 實時性：是指關(guān)聯(lián)分析的整個處理過程必須保持實時、不間斷的工作；3) 基于規(guī)則的：是指關(guān)聯(lián)分析的核心引擎至少應(yīng)該包括一套實時高速的規(guī)則引擎，實現(xiàn)模式匹配，這也是“關(guān)聯(lián)分析中的事件質(zhì)變”的要求。云安全管理平臺解決方案15 事件采集與處理VRV CSOC 事件管理功能首先要完成對事件的采集與處理。它通過代理（Agent）和事件采集器的部署，在所管理的骨干網(wǎng)絡(luò)、不同的承載業(yè)務(wù)網(wǎng)及其相關(guān)支撐網(wǎng)絡(luò)和系統(tǒng)上的不同安全信息采集點(防病毒控制臺、入侵檢測系統(tǒng)控制臺、漏洞掃描管理控制臺、身份認(rèn)證服務(wù)器和防火墻等)獲取事件日志信息，并通過安全通訊方式上傳到云安全管理平臺中的安全管理服務(wù)器進(jìn)行處理。 事件過濾與歸并在事件收集的過程中，事件管理功能還將完成事件的整合工作，包括聚并、過濾、范式化，從而實現(xiàn)了全網(wǎng)的安全事件的高效集中處理。事件管理功能支持大多數(shù)被管理設(shè)備的日志采集，對于一些尚未支持的設(shè)備，可通過通用代理技術(shù)（UA）支持，確保事件的廣泛采集。 事件行為關(guān)聯(lián)分析在事件統(tǒng)一采集與整合的基礎(chǔ)上，安全管理中心提供多種形式的事件分析與展示，將事件可視化，包括實時事件列表、統(tǒng)計圖表、事件儀表盤等。此外，還能夠基于各種條件進(jìn)行事件的關(guān)聯(lián)分析、查詢、備份、維護(hù)，并生成報表。云安全管理平臺解決方案16事件管理行為關(guān)聯(lián)分析系統(tǒng)主要的任務(wù)是記錄和分析用戶當(dāng)前的行為，并將該用戶當(dāng)前的行為與其正常的歷史行為進(jìn)行分析比較，從而發(fā)現(xiàn)其異常的行為，并根據(jù)異常行為的級別，給出異常警報。行為關(guān)聯(lián)分析系統(tǒng)的分析框架模型如下圖所示。云安全管理平臺解決方案17記錄證據(jù)歷史行為模式特定行為模式其他模式庫當(dāng)前用戶行為用戶異常行為檢測分析引擎響應(yīng)處理異常數(shù)據(jù)提取是否行為關(guān)聯(lián)分析框架模型行為關(guān)聯(lián)分析系統(tǒng)框架從該分析模型可以看出基本分析思路是：在系統(tǒng)啟動前，首先要建立一個初始的用戶行為模式庫，作為用戶行為的參考，該模式庫在系統(tǒng)運行的過程中不斷自我學(xué)習(xí)和更新；系統(tǒng)運行過程中，通過系統(tǒng)日志監(jiān)控模塊，不斷監(jiān)視并獲取用戶的當(dāng)前行為；然后將用戶的當(dāng)前行為與行為模式庫中的正常行為進(jìn)行模式匹配，并計算其相似度，做出入侵判斷，同時記錄保存相應(yīng)的入侵?jǐn)?shù)據(jù)，為系統(tǒng)的響應(yīng)提供依據(jù)。 資產(chǎn)脆弱性分析終端系統(tǒng)和網(wǎng)絡(luò)設(shè)備的脆弱性是影響網(wǎng)絡(luò)安全的重要潛在風(fēng)險。對其進(jìn)行脆弱性掃描和評估，對高風(fēng)險問題盡早的進(jìn)行補救可以減少網(wǎng)絡(luò)安全的威脅。 脆弱性管理主要包括兩方面的云安全管理平臺解決方案18內(nèi)容，即漏洞管理和配置管理。資產(chǎn)脆弱性分析VRV CSOC 以資產(chǎn)為核心，驅(qū)動漏洞的定期掃描、評估。用戶可以在 CSOC 界面中針對資產(chǎn)定制定期掃描或者發(fā)起一次單獨的掃描，通過 CSOC 界面驅(qū)動掃描系統(tǒng)，通過相應(yīng)的脆弱性采集腳本采集脆弱性信息，掃描的結(jié)果會返回到 CSOC 系統(tǒng)中，所有信息經(jīng)過標(biāo)準(zhǔn)化后存放在統(tǒng)一的數(shù)據(jù)庫中，漏洞信息和資產(chǎn)信息可以方便地關(guān)聯(lián)使用，掃描結(jié)果還可以自動觸發(fā)安全響應(yīng)流程，保證一發(fā)現(xiàn)漏洞就進(jìn)行解決。通過以資產(chǎn)為核心的漏洞管理，系統(tǒng)可以提供比傳統(tǒng)的漏洞掃描器更加詳盡的信息、更快的響應(yīng)以及更強(qiáng)的信息交互和關(guān)聯(lián)，并且可以實現(xiàn)統(tǒng)一的控制管理。云安全管理平臺解決方案19 風(fēng)險綜合監(jiān)控風(fēng)險是指資產(chǎn)遭受到安全威脅后，產(chǎn)生損失的大小及可能性。構(gòu)建在事件管理基礎(chǔ)上，與安全管理更加密切的一方面就是風(fēng)險管理和控制，也是符合安全管理標(biāo)準(zhǔn)體系 ISO27000 系列標(biāo)準(zhǔn)的要求和規(guī)范。內(nèi)容包含風(fēng)險的定量化、跟蹤和定位。風(fēng)險定量化應(yīng)支持根據(jù)風(fēng)險評估過程結(jié)果獲取的風(fēng)險定量取值，依據(jù)風(fēng)險的機(jī)密性、完整性、可靠性等屬性取值并自動計算風(fēng)險結(jié)果值，同時能夠支持用戶自定義風(fēng)險計算公式。風(fēng)險跟蹤是指系統(tǒng)自動監(jiān)控和跟蹤資產(chǎn)風(fēng)險狀況，風(fēng)險狀況可以隨時間推進(jìn)而變化。風(fēng)險定位是指對特定階段和周期內(nèi)，提供對業(yè)務(wù)風(fēng)險狀況顯示，并實現(xiàn)對高、中、低風(fēng)險區(qū)域的查詢、顯示。風(fēng)險管理是企業(yè)安全的關(guān)鍵，我們在進(jìn)行安全的監(jiān)控和管理的時候，不應(yīng)該割裂地看待企業(yè)的安全事件、脆弱性和資產(chǎn)風(fēng)險，而是應(yīng)該把他們綜合在一起，以風(fēng)險作為唯一的指標(biāo)來檢查和管理企業(yè)安全。 風(fēng)險管理VRV CSOC 風(fēng)險管理是從事件監(jiān)控模塊獲得安全事件信息、從資產(chǎn)管理模塊獲得資產(chǎn)和業(yè)務(wù)單元的安全需求信息、從脆弱性管理模塊獲得資產(chǎn)的脆弱性信息，將上述的信息加以綜合分析計算，將計算后的結(jié)果提交給用戶界面和用戶報表進(jìn)行風(fēng)險云安全管理平臺解決方案20顯示，并對風(fēng)險進(jìn)行相應(yīng)的預(yù)警和響應(yīng)處理。域風(fēng)險管理 風(fēng)險監(jiān)控綜合安全風(fēng)險分析是分析整個組織面臨的威脅和確保這些威脅所帶來的挑戰(zhàn)處于可以接受的范圍內(nèi)的連續(xù)流程，通過風(fēng)險綜合分析監(jiān)控，用戶可一目了然的了解到當(dāng)前網(wǎng)絡(luò)中各種安全資產(chǎn)所面臨的安全風(fēng)險，同時，VRV CSOC 還對收到的信息進(jìn)行關(guān)聯(lián)分析，對分析后的結(jié)果產(chǎn)生預(yù)警和響應(yīng)工單，為用戶了解安全風(fēng)險提供了數(shù)據(jù)和圖形化的依據(jù)，并幫助用戶及時作出管理決策。云安全管理平臺解決方案21 風(fēng)險綜合監(jiān)控 預(yù)警管理與發(fā)布 預(yù)警管理安全預(yù)警平臺體系建設(shè)原則采用適應(yīng)性、可管理性、安全及可靠性、開放性、便利性、標(biāo)準(zhǔn)化，實現(xiàn)了安全預(yù)警功能模塊可根據(jù)獲取的各種信息，對信息數(shù)據(jù)制定策略和閾值配置，進(jìn)行自動化、智能化分析，提取可能影響網(wǎng)絡(luò)安全可靠運行的各種異常情況，自動生成預(yù)警提示。其處理流程圖如下圖：云安全管理平臺解決方案22安全事件預(yù)警處理流程圖? 生成安全預(yù)警信息的目的是為了提高安全快速反應(yīng)，安全應(yīng)急處置。? 安全預(yù)警信息在第一時間自動通過網(wǎng)頁、短信、郵件等方式發(fā)送給相關(guān)人員。? 各級安全管理人員能夠迅速發(fā)現(xiàn)網(wǎng)絡(luò)運行的各種異常情況，及時準(zhǔn)確定位并進(jìn)行處置，第一時間做好安全整改，減少安全事故的發(fā)生。? 安全預(yù)警模塊所產(chǎn)生的安全預(yù)警提示信息需各級安全管理人員對事件及問題進(jìn)行及時整改，