安全运维平台关键技术探讨与实现.doc

安全运维平台关键技术的研究与实现 　　[摘 要]本文对安全运维平台所需的关键技术进行了阐述，描述了其在企业系统中运行的规则和实现的方法 [关键词]安全运维平台;关键技术 中图分类号：TP309 文献标识码：A 文章编号：1009-914X（2016）22-0133-01 0 引言 当今实际处于信息技术迅速普及的时代，各行各业的业务领域都在不断地扩大，信息化建设的程度也在逐渐提高。很多企业在规模迅速扩张的时候却忽视了信息化建设的整体规划，导致安全运维工作严重滞后于经济发展工作，给业务的持续性和可靠性带来危机，本文笔者阐述了安全运维所需的关键技术： 1 从多元化、异结构的设备中进行数据采集并将其标准化的技术 （一）数据采集 数据采集以遵循snmp、syslpg、telnet等网管协议或者日志文件为前提，并在此基础上实施风险评估、故障分析、安全监测和网络监控等信息收集工作。日常安全运维中通常通过服务器运行状态信息、数据转发、网络流量和防火墙的攻击日志等途径进行信息的收集。数据采集并没有对采集的内容和采集的形式进行规范化要求，在本质上它就是从信息网络中获取信息的过程，只要能够满足为某种目的的分析活动持续、有效、正确地收集信息的目的，我们都可以将之成为数据采集。数据采集在安全运维管理中的作用可见一斑。举例来说，监控中心的职责就是图形化展示业务系统信息和设备安全信息并对日志进行审计，所以它需要直接对数据进行处理;分析中心则是分析各个安全设备的警告事件并实施关联分析的场所，数据采集对二者都至关重要 当前安全运维平台的数据采集存在以下弊端：首先，产品类别纷杂。企业在数字化和信息化过程中产生了购买大量产品的需求，而这些产品往往都是不同厂商、不同品牌的，如微软、华为、思科等，这就导致了功能的重叠和交叉，比如在防火墙、路由器、交换机、数据库和操作系统上存在着一致性的功能;其次，部署地点地理位置悬殊。各个设备和应用系统并不是集成化部署和安排，而是分别部署在不同的机房或者安全域之内，客观上存在着层级关系，给数据采集带来了难度;再次，事件类型和发送方式存在差异。各个品牌对事件的描述都有自己的字段和格式，还可能通过不同的协议方式进行数据的发送，导致了采集来的数据适用性和灵活性都受到限制 针对数据采集的上述弊端，笔者认为采取多元化的方法对所有设备进行数据采集是可行之策。以下方法可以考虑其中：基于网络的数据采集、基于主机的数据采集、基于syslog采集设备的日志信息、基于SNMP trap的数据采集、基于文本方式的数据采集。多元化的数据采集方式能够提升数据的兼容性和适用性，便于进行后续的分析工作 （二）事件标准化 时间标准化是一种翻译机制，它能够将安全事件按照统一的格式进行处理。事件标准化的过程就是对从不同设备中采集的事件信息进行规范化处理，使之能够被系统识别的过程。数据标准化在内容上涵盖了数据格式、字段名称、事件名称的标准化。我们不难看出，标准化的目的是统一安全事件的格式和信息，从而便于后续的关联分析。数据标准化应该尽可能遵循两个原则：第一，尽可能保持数据的完整性，使得原始事件中的所有信息填充到标准化事件记录中，以使其在服务器终端中的适用性更高;第二，标准化过程需要预留一些字段，为以后的信息扩展做出准备。标准化的事件字段应该包括事件编号、事件名称、事件内容、事件类型、设备地址、设备名称、设备类型、威胁级别、原始级别、事件时间、原始时间、协议、源地址、源子网掩码、目的地址、目的子网掩码等内容 另外，数据标准化之后、关联分析之前，要进行时间信息补全工作，将分析的精确度和准确度提升到一定高度。在实际安全运维中通常需要做的是事件的威胁级别和资产信息补全工作 2 多个安全域情境下的地图动态报警技术 （一）划分安全域 在复杂和庞大的信息网络之中，对资产最理想的管理状态是确定一种可以精细化管理的方法，但是精细化管理的代价是管理成本的上升和管理工作复杂性的增加，并且更容易因为错误或者疏忽造成严重的安全漏洞。但是从另一个层面来看，如果对所有的防护对象采取同种安全等级防护又会丧失防护重点，导致数据保护难以做到有的放矢，风险管控能力大大降低。因此，采取分安全域进行防护的方式是相对科学的一种防护方法，划分安全域就是将网络结构和物理区域进行分区管理的过程，每一个安全域在安全级别、安全威胁、安全防护上应该具有一致性，这样所有的资产都能够划分到不同级别的安全域之中去，实现针对新安全防护。划分安全域进行防护在本质上是对复杂环境分解、使之成为简单组合的过程，整个复杂、庞大的网络信息能够分散到不同的安全域中，这样能够实现全方位、多角度的保护形态 在对企业业务系统进行分析之后，安全域可以在大体上划分为安全用户域、安