安全挑戰

　　隨著各行各業計算機網絡和信息系統的不斷建設，各企事業單位的管理經營模式逐步由傳統模式向信息化管理模式轉變。特別是全國性的單位機構，其信息系統網絡由總部核心區、對外服務區、總部辦公區、各個地市分支辦公局域網、分支業務網等共同組成。因此在網絡中部署了大量的各個廠家不同型號的網絡設備，安全設備和應用系統，例如防火墻、數據庫系統、中間件系統以及各種應用系統等。

　　與此同時各企事業單位大量應用信息系統相繼上線，整個信息系統面臨的各種安全風險也日益嚴重，如何確保信息系統安全運行、降低運維管理成本，成為公司信息系統建設過程中面臨的主要問題。目前企業面對的主要有以下挑戰：

　　由于網絡和設備環境情況復雜，使管理者無法了解企業網絡信息系統的整體運行狀況；

　　網絡出現故障后出現的海量安全事件，不能及時診斷快速定位，影響業務進行；

　　無法對全網、各類業務系統的安全運行態勢進行整體把控。

　　大量的異構安全產品的采用形成了安全信息孤島，不能對風險進行有效的關聯。

　　解決方案

　　針對上述挑戰，天融信提出了面向監管、業務運維、態勢感知等不同角度的安全監控管理解決方案，該方案通過基于TSM-TopAnalyzer建立的安全監控管理平臺，實現全面的網絡態勢感知與監控預警系統，對網絡活動行為進行動態的監控與評判，提升對網絡、互聯網出口、核心業務系統、重要網站的主要安全威脅的可知、可控、可管能力。

天融信安全監控管理架構圖

　　安全監控管理平臺是一個三層的架構，包括數據采集層、數據處理功能模塊層和展現層。數據采集層包括流量、配置、性能、告警、業務采集和預處理；數據處理功能模塊層包括系統監控管理、風險管理等，主要是對采集層采集的數據進行分析、處理，實現監控、處理、分析、響應、管理；數據展現層通過綜合運維門戶實現系統的綜合信息發布：系統監控視圖、業務監控視圖、態勢分析、綜合報表、告警通知等。與此同時天融信可針對不同客戶需求，在此平臺基礎上通過定制開發滿足，用戶個性化需求。

　　數據呈現

　　安全監控平臺是使用人員和維護人員在日常工作中的操作管理界面，是各類安全運行摘要信息、安全指標數據、統計分析數據的集中呈現界面，是平臺的入口和工作平臺頁面。平臺通過趨勢圖、匯總表、地圖、網絡圖等形式，為管理者提供基于地理位置、網絡拓撲、統計表格、監控對象、技術趨勢指標等各類形式的呈現方式。

　　事件歸一化

　　監控平臺在收集到海量的事件后，必然需要進行事件歸一化處理。來自不同設備和系統的事件千差萬別，只有將這些大量的異構數據轉化為平臺內部統一的數據格式才能進行后續的關聯事件分析，才能為客戶提供一個全局統一的事件監控界面。

　　關聯分析

　　事件關聯分析實現海量安全事件的抽取、降噪，剝離無用信息，提升后續安全管理工作的效率，降低安全管理工作的復雜性。事件關聯分析是風險分析的基礎，關聯分析的結果導出的關聯事件可以提升為威脅，從而參與風險計算，并且實現風險計算自動化、定量化；

　　風險管理

　　安全風險管理是安全監控平臺的核心，通過風險管理，系統可以動態、實時地對用戶所面臨的風險進行評估分析，根據分析的結果提供各類風險視圖，并對到達一定級別的風險自動地做出響應。

　　該模塊是基于資產管理、事件管理和評估管理中所提供的各項原始數據，從單個資產、業務系統、安全域、物理地域等多個維度獲取信息系統的安全風險狀況。

　　事件管理

　　安全事件管理是一種實時的、動態的管理模型，通過安全事件收集、安全事件標準化、安全事件過濾、安全事件歸并和安全事件關聯后分析來自于不同地點、不同層次、不同類型的信息事件，幫助我們發現真正關注的安全風險，且提高安全報警的信噪比，從而可以準確的、實時的評估當前的安全態勢和風險，并根據預先制定策略做出快速的響應。

　　安全預警

　　安全預警管理是根據來自內部預警信息、外部預警信息分析獲得對可能發生的威脅的提前通告，提供各類安全威脅、安全風險、安全態勢、安全隱患等信息，該模塊提供規則設定功能，以便準確定位用戶所關心的安全問題，以便有針對性的進行響應處理。

文章作者：eNet硅谷動力