企业信息安全管理平台研究

李博陵

(河北省机电一体化中试基地,河北石家庄 050081)

企业信息安全管理平台研究

李博陵

(河北省机电一体化中试基地,河北石家庄 050081)

针对目前各大中型企业信息系统建设分散、各种安全设备简单堆砌带来的一系列安全问题,本文提出应用信息安全管理平台将各系统产生的安全事件进行关联、预警,实现企业信息系统各个安全防护设施的集中管理。主要阐述了信息安全管理平台的系统结构、主要实现技术、应用环境等。

信息系统;信息安全管理

随着各种通信产品、安全产品大量的增加,企业单位信息系统的不断扩大,不同时期不同应用系统经常会采用不同厂商的安全产品和方案,并引入相当多异构安全技术[1]。这些事件中存在误报、重报等现象。安全管理员在进行事件分析时,也会因为事件繁多,网络结构复杂等原因,不能对企业的整个系统做一个全局的安全状态的把握,使得一些重要的威胁被忽略。

通过企业信息安全管理平台可实现将不同安全异构设备进行统一协调管理,对单一的安全事件进行收集、汇总、过滤、关联分析,实现对整个企业信息系统的模块化管理,协调各个模块工作,得出全局角度的安全风险事件,并形成统一的安全决策,对重要的安全事件进行及时的响应和处理,对整个企业信息安全管理体系的安全提供技术支撑[2]。

1 系统结构设计

信息安全管理平台(以下简称ISM P)基于三级模型组建,可灵活扩充为任意多级的结构;遵循构件之间低耦合、构件内部高内聚的设计原则;确保适应未来网络在规模和速度上的快速增长;遵循抽象通用的原则,确保能将更多的安全产品纳入该平台之内并进行有机的结合。

ISM P主要由管理中心、控制台、集成接口三部分组成,图1为系统的三级结构示意图。具体模块的名称、代号及其功能描述如表1所示。

图1 ISMP三级结构示意图

表1 模块名称、代号及功能

2 系统关键技术

信息安全管理平台是一个结构非常庞大的软件系统,具有实时性强,处理数据量大,综合反映能力强等特点,因此对系统的稳定性,兼容性,可靠性,准确性的指标参数要求都比较高。在ISM P中主要采用了以下一些关键技术。

2.1 采用智能代理技术

信息安全管理平台实现了安全产品的统一管理(见图2)。系统已经内置支持了很多常用的协议,能够方便地对其他安全产品的信息进行获取。采用引擎技术设计,通过正则式、Schema映射等技术实现对数据格式的识别;采用数据集技术实现了数据的灵活表示;采用Remoting技术与信道压缩技术实现了数据的高效与安全传输。采用智能代理技术,并经过内置的手工配置模块进行相关配置,能够大大减少二次开发周期,预计80%的产品只需要建立规则通过手工简单的配置即可完成数据格式的识别、数据采集工作。

2.2 异构不同种类产品信息的规范化处理技术

各类安全产品的输出就是安全管理平台的输入。由于无统一标准的原因,各类安全产品的输出无论在表达形式上还是文法上都没有一致可言。这些报警信息中通常存在漏报与误报情况,单一设备报警的规模有时可以达到100条/s,对于一个拥有大规模设备的网络这些事件不可能被及时处理。本系统采用如下环节:过滤、冗余处理、归纳分类、绑定环境,完成了对数据的规范化处理以及优先级鉴别(见图3)。

图2 管理平台对安全产品统一管理示意图

图3 异构不同种类产品信息处理环节

2.3 安全事件关联分析

ISM P采用了以基于规则为主,结合了基于统计学的事件关联技术,对ISM P内的所有数据进行关联分析,如:定义一些大的安全事件类别,将出现的事件先归类,然后再根据大类出现的事件的安全级别和数量来估计发生的攻击。

2.4 事件可视化显示技术

ISM P利用相关技术体现了信息的可视化管理,这些可视化技术包括:风险三纬可视化、攻击来源地理分布可视化、网络性能现状及历史状况可视化、事件因果关系可视化、网络拓扑可视化、设备面版状态可视化、应用服务状况可视化等。在可视化显示技术的基础上,再进行关联分析可以起到事半功倍的效果,ISM P将两种技术进行了结合,使管理员可直观、准确的定位事件源头并及时进行处理。

2.5 分级管理与资产标识技术

ISM P可对网络内的包括终端和应用等所有资源进行管理,关键在于采用了分解技术将所有资源通过部门、用户、资产这三个纬度进行了细致的划分。同时系统对网络中的资产进行了准确地标识,详细定义了包括敏感性与关键性在内的大量属性,真实地反映了用户网络的现状。这些属性将在风险分析以及安全评估工作中发挥重大作用,并可为下一步的安全策略调整和维护提供大量、准确的依据。

3 系统应用实现

3.1 系统典型应用环境

对于拓扑结构比较简单的网络,ISM P三个构件可以同时安装在目标网络中。

在系统设计时,如果这三个构件可以在同一种类型的操作系统上运行,他们也可以被安装到同一台机器上,这样可以进可能地降低硬件成本。例如:如果只使用网络探测器,那么可以将管理中心和控制台安装在同一台主机上。

管理中心的部署位置应该尽可能距离集成接口比较近。控制台可以在本地网络中安装,也可在远程网络中安装,只要通过标准的 TCP/IP网络能够访问管理中心即可[3]。

3.2 分布式多级应用结构

对于结构比较复杂的网络,例如银行系统网络。在这种情况下,必须使用多管理器进行级联,以保障全局范围内网络的安全性[3]。在级联结构中,上一级管理中心可对下一级管理中心的安全状况进行实时的监督,并对下一级的重要安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。分布式多级应用结构示意图如图4所示。

图4 信息安全管理平台分布式多级应用结构示意图

4 结束语

传统的安全管理方式是将分散的不同类型的安全设施分别管理,这样就导致安全信息互不相通,安全策略难以保持一致,这种传统的管理运行方式是许多安全隐患形成的根源[1]。信息安全管理平台具有良好的产品异构能力,它利用自身创建的安全系统库,基于三层架构进行数据转换,可以将其他产品或设备直接挂接在安全资源管理平台管理范围之内。并且其使用了可随时扩充的安全系统库对增加的安全资产进行管理,避免新增加的产品与原有系统的不兼容性,降低投资风险,具有很好的可扩充性。解决了目前企业网络安全设施复杂多样、安全事件信息分散的问题。

[1] 古利勇,聂绪斌.政务网站集中安全管理平台研究[J].通信与信息技术,2009,(6):69-70.

[2] 何为超,李宏,张雯.网络安全管理系统的设计与实现[J].西北工业大学学报,2006,(6).

[3] 古利勇,黄元飞,罗万伯.网络安全运行管理平台体系结构研究[J].电信科学,2006,(2):35-39.

Study on en terprise information security management platform

LIBo-ling

(Hebei Electromechanical Integration Experimental Base,Shijiazhuang Hebei050081,China)

To solve a series of safety p roblem s w hich brought by the dispersive constrouction in the large and middle scale enterp rise info rmation system,and the simp le piling of various safety device,the paper p roposes to correlate and early warn the security events p roduced by system s through the usage of info rmation security management p latfom(ISM P)and then realize the centralized management of safety p rotection facilities in enterp rise info rmation system.This paper mainly expounds system structure,main realization technology,app lication environment,etc.of the information security management p latfo rm.

Information system;Information security management

TP319

:A

1001-9383(2011)02-0030-04

2011-01-31

李博陵(1984-),女,河北博野人,研究实习员,主要从事计算机技术应用与开发.