一种基于大数据的分布式信息安全运维管理平台的制作方法
【技术领域】
[0001] 本发明涉及信息安全、网络管理、业务管理、数据交换平台和大数据技术领域,尤 其涉及到分布式信息安全运维管理平台架构的方法与系统。
【背景技术】
[0002] 本发明中包含的英文简称如下: SOC :Security Operation Center 安全管理中心 IDS 〖Intrusion Detection Systems 入侵检测系统 MIS 〖Management Information System 管理信息系统 DMZ〖demilitarized zone隔离区、或非军事化区 APP〖Application应用程序 SNMP :Simple Network Management Protocol 简单网络管理协议 HDFS :Hadoop Distribute File System Hadoop 分布式文件系统 ODBC :0pen Database Connectivity 开放数据库互连 WMI :ffindows Management Instrumentation Windows 管理规范 Opsec :0pen Platform for Security 安全开放平台 NAS : Network Attached Storage 网络附属存储 SAN :Storage Area Network and SAN Protocols 存储区域网络及其协议 IBM international Business Machines Corporation 国际商业机器公司 MQ:Message Queue 消息队列。
[0003] 安全生产历来是保障各项工作有序开展的前提,也是考核各级领导干部的否决指 标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络高效稳 定地运行,是企业一切市场经营活动和正常运作的基础。
[0004] 随着各类企业信息系统的建设和完善,有效的提高了劳动生产率,降低了运营成 本。一旦企业各业务系统出现安全事件、或发生故障、或形成性能瓶颈,不能及时发现、及时 处理、及时恢复,势必直接导致承载在其上所有业务的运行,影响企业的正常运营秩序,企 业业务不能正常开展。因此,对于政府和企业IT基础实施的安全保障就显得格外重要。
[0005] 随着政府和企业信息化程度不断提高。各业务系统间联系越来越密切,数据交换 越来越频繁,各系统有着复杂网络或逻辑连接,存在大量数据交换,甚至一个故障可以引发 成为企业全网故障,一点或一种业务系统出现漏洞感染病毒或受到攻击,将迅速波及其它 业务系统及网络,甚至导致企业全网瘫痪。
[0006] 尽管目前一些企业的信息安全技术体系已初步形成,但是信息安全运维管理体系 需要进一步健全提高和完善,安全运维管理的服务模式单调,缺乏多用户模式;管理能力也 有待加强,缺乏安全运维隐患的深度挖掘和大数据分析,安全运维故障定位和分析工具少, 缺乏APP商店。由于缺少安全体系建设的宏观思路,安全管理存在真空地带,责任没有有效 落实。
[0007] 目前,各类企业信息安全运维管理平台存在以下问题: 1、 各种信息安全产品和网络设备品种多,分布广,缺少统一的数据分析管理; 2、 信息安全产品和网络设备的知识库不统一,缺少统一的解决方案; 3、 安全职责不清,具体职责未落实到位; 4、 信息安全运维管理考核不细致,缺少部分必要和关键的指标; 5、 不同安全设备事件之间甚至同一安全设备的事件缺少更加高级智能的分析和汇聚 关联,导致数据量庞大,不便于对安全隐患的分析和发现问题,防患于未然; 6、 信息安全事件上报不及时,故障诊断不及时,处理效率低,效果差; 7、 信息安全事件和资产的漏洞没有进行必要的关联分析,导致很多事件没有进一步的 分析和处理; 8、 无法对于终端的安全问题进行审计和方便的查看; 9、 出现紧急事件没有很好的预警和处理流程; 10、 安全运维管理服务模式单调,缺乏多用户模式; 11、 安全运维故障定位和分析工具少,缺乏APP商店。
[0008] 上述问题不同程度地存在企业已经建成的业务和网络,成为企业今后业务安全运 维管理稳定提升的障碍。
[0009] 为此,如何利用信息化手段提高企业安全运维管理效益,解决企业各系统所存在 的安全运维管理隐患,以及设计出一款信息安全运维管理平台,优化企业信息安全管理和 维护工作,使得它能够为各类企业提供专业的和高效率的信息安全运维管理服务,即成为 尤其是信息安全运维管理设计上必须要解决的一个重要课题。
【发明内容】
[0010] 本发明在分析了上述各类企业信息安全运维管理的缺陷和不足之后,提出了一种 基于大数据的分布式信息安全运维管理平台的方法与系统。
[0011] 本发明的核心思想是:构建基于数据交换平台的分布式安全运维管理框架,支持 单用户模式和多用户模式,包括:客服模块、安全运维管理模块、采集终端模块、分布式存储 模块和安全运维APP商店模块;在多用户模式之下,每一个企业用户的安全运维管理模块 均为自治的,一个客服模块能够同时为多个企业用户提供安全运维管理服务。
[0012] 所述数据交换平台,完成安全运维管理平台各个模块之间的数据交换,从第三方 安全产品、网络产品、网管和SOC等采集到的数据(包括安全事件、配置、性能、告警等)通过 数据交换平台通知上层应用,上层应用通过数据交换平台对底层程序进行控制,各模块之 间通过数据交换平台进行通信。
[0013] -种基于大数据的分布式信息安全运维管理平台,包括客服模块、安全运维管理 模块、采集终端模块、分布式存储模块和安全运维APP商店模块。
[0014] 所述客服模块,在多用户模式之下,每一个企业用户的安全运维管理模块均为自 治的,一个客服模块能够同时为多个企业用户提供安全运维管理服务,它与各个企业的安 全运维管理模块相连接。主要功能包括处理各个安全运维管理模块所上报的告警、派发工 单、通过email或短信或windows消息通知等方式将告警通知给客户、通过SNMP SET等协 议配置、自动配置或自动批量配置各个企业设备的参数,配置、自动配置或自动批量配置各 个企业的安全策略,以及从安全运维APP商店下载处理告警所需要的工具软件;对于不能 在短时间之内解决的重大告警,将问题升级,并请专家分析。客服模块的客户端均能够访问 所有各个企业的安全运维管理模块的权限。
[0015] 所述安全运维管理模块,与各个企业的采集终端相连接,将各个企业终端上报的 数据进行分析,深度挖掘安全风险和故障隐患,并上报给客服模块。其主要功能是安全风险 分析、关联、故障定位、漏洞扫描、数据挖掘和实时监控等。在安全运维管理模块的客户端上 能且仅能够访问本企业的安全运维管理模块和采集终端模块。
[0016] 所述采集终端模块,与安全对象和网管对象相连接,负责收集安全对象和网络对 象的信息、预处理,以及配置命令和安全策略下发到安全对象和/或网络对象,并将预处理 的结果上报给安全运维管理模块,支持Syslog、SNMP、ODBC、WMI、Opsec、HTTP等协议,支持 本地存储。
[0017] 所述分布式存储模块,分别与全运维管理模块、客服模块和安全运维APP商店相 连接,存储安全运维历史信息,供全文检索、数据挖掘和大数据分析,支持HDFS、支持NAS/ SAN互操作。数据挖掘及大数据分析工具软件可以在安全运维APP商店里下载、使用。
[0018] 安全运维APP商店提供易用、易理解的常用工具集,提高用户的快速解决问题的 能力,方便用户使用;在本平台的任意一个客户端上均能够访问它。
[0019] 优选地,所述客服模块,包括配置管理子模块、用户管理子模块、门户管理子模块、 告警通知子模块、流程管理子模块、知识库子模块、接口子模块和客户端子模块。
[0020] 所述配置管理子模块,配置或批量配置各个企业设备的参数和安全策略,内部统 一将配置指令解析为特定的格式,下发到设备,实现配置管理功能。
[0021] 所述用户管理子模块,对平台中用户的管理及其能访问模块的授权,实现单点登 录。功能包括用户增、删、改、查,用户组增、删、改、查,可访问模块的授权,以及用户口令重 置和单点登录功能等。
[0022] 所述门户管理子模块,各个功能组件都可以通过门户进行统一呈现,可以依据权 限使用其中的部分组件;通过此门户管理功能,实现相关组件和应用系统的集中呈现和用 户单点登录。
[0023] 所述告警通知子模块,根据平台统一的响应指令产生标准响应通知客户,如 email、短信、windows消息通知等,以及通过SNMP SET等协议修改设备的配置参数,产生告 警关联动作。
[0024] 所述流程管理子模块,是安全运维管理策略的具体贯彻,是实现工单电子化处理, 通过电子流程规范和优化安全运维管理部门的生产工作流程,从而提高安全工作效率。管 理流程可划分为安全运维管理事件发现流程、安全运维管理事件分析流程、安全运维管理 事件处理流程、安全运维管理趋势分析流程等。
[0025] 所述知识库子模块,能够实现关联分析的智能化、自动化,逐步实现基于专家系统 的人工智能分析,同时为安全运维管理人员在处理事件的整个过程中提供分析处理的依 据。用户可以定义、查寻、更新、维护知识库。用户可以直接在知识库中添加相关安全知识、 安全策略、安全漏洞、事件特征等,完善知识库模块的功能。
[0026] 所述接口子模块,提供了平台与其被集成系统的交互功能,主要起采集异构数据 和调用特定系统接口的作用,例如,与安全事件预警信息和用户安全投诉的接口、企业MIS 的接口和下发配置和策略的接口等。
[0027] 所述统一界面,支持PC和手机客户端,展示包括客服信息、APP商店