【51CTO.com 综合消息】由于传统的网络运行中心(NOC)仅仅强调对客户网络进行集中化、全方位的监控,缺少在安全运行管理方面技术的支持,不能满足中国各行业用户的实际应用需求。
在此背景下,以资产为核心的SOC产品开始登上历史的舞台。然而,由于业务内容的不断深化和行业需求的进一步清晰,传统SOC理念和技术的局限性也逐渐凸现出来。事实上,对于用户而言,真正的资产安全不是简单的设备安全,而是要保障业务和服务的可用性、连续性以及重要信息系统的安全性,换言之,保障业务安全成为企业和组织的生命线。
针对目前SOC产品的市场现状,作为国内信息安全管理市场排名第一的企业,网御神州通过自主研发,率先发布了行业领先的SOC2.0全新概念,并同时推出了一款以业务为核心的SOC2.0代表性产品——网神SecFox-UMS统一管理系统。
网神SecFox-UMS统一安全管理系统有效继承了传统的安全管理理论,据了解,该系统包括IATF纵深防御理论、国家等级化保护体系思想、安全风险管理理论等,同时也充分吸收了ISO20000基于PDCA和业务服务管理思想,以及ITIL运维管理理论,真正以业务资产为核心,以业务安全为目标,为用户提供了一套一体化的安全保障技术支撑平台。
相对于传统的SOC产品,网神SecFox-UMS统一安全管理系统与传统SOC最大特色就在于该系统以业务为核心,包括了业务连续性监控功能、业务展示功能,以及面向业务的风险分析功能。同时,该产品在事件采集和关联分析性能、关联分析引擎及其算法、安全态势感知和信息可视化等多个技术领域都取得了重大突破,并被申请了多项发明专利,成为SOC2.0的典型产品代表。
通过对网神SecFox-UMS统一安全管理系统的详细了解,在产品展现层面,该款网神的SOC2.0代表作主要有以下五种功能特色与传统的SOC产品相异:
一、全方位的安全监控。
系统提供了全面的监控信息,不但包括传统安全管理系统被动采集的安全事件,而且提供主动探测的监控功能,定时轮询IT资源及其业务系统,获取相关的性能信息和安全信息,例如CPU利用率,内存利用率等性能数据,非法进程和非法开启服务端口等安全信息。
系统通过主动轮询检测,采集日志,网络旁路嗅探等多种管理和检测方式,避免了数据来源单一,提供了系统整体安全和性能状态。因为一个系统的安全信息不是孤立的,单单检测网络攻击,非法入侵等安全行为是远远不够的,实际上在现实中很多安全问题造成的结果是系统性能下降和网络阻塞,而这些安全问题本身是难于发现和规避的。例如ARP攻击、后门或者蠕虫病毒等,都是直接造成了系统和网络的故障或者严重下降后才能发现。因此,对于网络和系统的性能和故障检测也是安全管理必不可少的重要一环。系统提供了根据性能和故障信息的设备联动功能,可以根据性能和故障的直观状态表现来采取安全措施,而不是依赖探测到安全事态再进行设备联动,这样可以极大地减少以往安全系统面临的漏报和误报问题。
所有监控的内容都以Protal的形式直观的展示在系统大屏幕上,所有显示内容都可以自由定义、组合、切换。
 |
| 图1 统一管理门户 |
二、全生命周期的安全管理
系统不但提供了全面的管理和检测方式,还贯穿了安全管理的整个生命周期。系统遵照PDCA的模式,包含事前检测和评估、事中监控和分析,以及事后审计和追踪。事前监测和评估包含业务系统建模、业务指标体系建立、安全需求构建和映射,同时也包括系统漏洞和弱点探测,帮助提前预警和采取防护措施;事中监控和分析包括实时采集和监控系统性能、故障和网络行为,进行实时预警、事故管理,或者进行设备联动;事后审计和追踪包括历史事件查询、调查取证、用户操作回放,协助发现非法行为、进行责任认定,或者通过业务运行快照回放进行事后的故障定位、问题管理,总之,通过事后分析进行业务改善。
三、业务细粒度可视化展示
系统提供可视化的业务拓扑,通过图形表示业务的构成,可以自由创建业务拓扑,把构成业务的元素通过图形展示出来,不是简单的按照设备构成,而是包含主机,网络设备,数据库,中间件等应用服务,以及各个管理对象的连接关系,还可以在图形中细粒度动态展示管理对象的关键指标的数据和状态。例如可以在拓扑图中直接展示业务主机的CPU利用率,内存利用率,磁盘利用率,业务所在网络设备的端口状态和端口流量,数据库的吞吐量以及连接数等,全面详尽地反映业务的实际状态,让用户一目了然的对业务有全面的把握,清楚地了解业务的构成和运行状态,直接从业务拓扑视图就可以看到影响业务的关键指标,而不需要选择单独的管理对象进行详细查看。
系统提供了灵活地展示方式,可以根据用户的需求自行定义需要展示的详细参数和指标。例如对于一些管理对象可以配置为显示CPU利用率和内存利用率,而对于更重要的管理对象,还可以配置显示关键网络端口状态和端口流量。
 |
| 图2 业务管理视图 |
四、业务健康指数
系统创新地提出了业务健康指数的概念。业务健康指数采用定量的模式数据来衡量用户业务的健康风险和工作状态,便于评估和判断。
业务健康指数相当于证券市场的股票指数。股票指数即股票价格指数,是由证券交易所或金融服务机构编制的表明股票市场实际状态的一种供参考的指示数字,作为市场价格变动的指标,投资者据此可以检验自己投资的效果,并用以预测股票市场的动向。股票指数是选取有代表性的一组股票,把他们的价格进行加权平均,通过一定的计算得到。系统借鉴股票指数,提出了业务健康指数,将业务中监控对象的关键指标的健康状态进行加权平均,得到业务总体的健康指数,力求定量地反映业务的健康状态。
目前其他管理系统对于业务的综合评估判断采用事件关联的方式,即通过设置一系列的规则,将业务中各个监控对象的告警关联起来,通过规则判断来反映业务的状态,但是在实际应用中存在很多问题,即有些经验和判断很难实际转化为规则,而且规则可能很多,难于全面反映各个指标之间的联系。而实际环境中,很多判断更多的是一个模糊的概念,需要根据环境和实际的变化进行调整,没有一个准确的规则,事件关联缺乏实际运用能力和可操作性。因此,我们认为采用加权平均的指数更容易反映业务的实际健康状态,处理起来简单明了,更加具有实用价值,管理员可以根据经验和实际运行调节各个指标的权重,具备实际的运用能力和可操作性。
业务健康指数的关键是提供了一个可量化的评估标准,任何完全不同的业务都可以采用同样的标准来评估,就像股票指数,无论是石化行业,还是与之毫不相干的其他行业,都可以采用同样标准来判断。因此,对于用户来说,对于不同的业务,只要我们建立其各自的关键指标体系和权重,都可以采用健康指数这样一个标准来判断和评估,反映用户业务的实际健康和风险状态。例如,在本系统中将会显示每个业务最近5分钟的健康指数仪表图和健康指数历史曲线图、最近5分钟的健康指数仪表图可以帮助用户实时判断当前的业务健康状态、健康指数历史曲线图可以帮助用户分析业务历史运行的趋势,作为评估和决策的依据。
 |
| 图3 业务健康曲线图 |
五、态势感知和信息可视化
对于用户而言,系统最直观的感受就是信息安全态势感知。借助系统大量的信息可视化技术,用户能够直观地看到当前整个网络或者某个业务系统的整体安全态势,包括总体运行状况、安全风险状态和趋势、威胁和告警情况,等等。所有这些信息的展示都是实时、动态变化的,并且是用户可自定义的。借助系统的智能监控频道功能,用户可以定义自己的管理视图,将自己关注的安全指标纳入视图之中。
系统具备丰富的信息可视化功能。除了基本的网络拓扑图、机房机架视图、设备面板图和IP分布图之外,系统还具备丰富的事件可视化图形方式。事件可视化(Event Visualization)是指系统以图形化的方式将归一化和关联分析后的事件(日志)及其事件(日志)之间的关系形象展示出来的过程。事件可视化不是简单的柱图、饼图、曲线图等统计趋势图表的展示,它必须反映出大量事件之间的相互作用关系。事件可视化能够将安全管理和运维人员从繁重的事件查看工作中解脱出来,及时直观地进行事件调查,发现安全威胁。系统具备强大的事件可视化能力,变用户日常安全管理的认知为感知。系统的安全事件可视化包括:
1.事件全球定位图:在世界地图上实时定位源/目的IP地址的地理位置。系统内置世界地图,也支持通过Google Earth进行定位。
 |
| 图4 安全事件定位图 |
2.主动事件图:通过将数千条事件记录及其这些事件之间的关联关系变成一幅事件图,形象地展现出当前网络安全状态,一目了然。
 |
| 图5 安全事件分析图 |
3.事件行为分析图:将一段时间内的事件按照不同的属性进行排列和连接,形象地展示在坐标轴上,让管理员一目了然的看到事件所代表的用户(IP)行为。
4.动态雷达图:实时的将当前系统接收到的事件按照严重性和数量动态以时间切片的方式展现在雷达窗口中,让管理员及时了解当前阶段的安全态势。
