系图。
【具体实施方式】
[0063] 下面是根据附图和实例对本发明的进一步详细说明: 从服务模式上看,安全运维管理平台可以分为单用户模式和多用户模式,在多用户模 式之下,每一个企业用户的安全运维管理模块均为自治的,一个客服模块能够同时为多个 企业用户提供安全运维管理服务。在单用户模式之下,每一个企业用户都要安装一套安全 运维管理平台软件,包括客服模块、安全运维管理模块、采集终端模块、分布式存储模块和 安全运维APP商店模块;然而,在多用户模式之下,每一个企业仅需要安装安全运维管理模 块、采集终端模块和分布式存储模块,共用客服模块和安全运维APP商店模块。一般地,安 全运维管理服务提供商采用这种多用户模式。
[0064] 从体系结构上看,构建基于数据交换平台的分布式安全运维管理框架,所述数据 交换平台,完成安全运维管理平台各个模块之间的数据交换,从第三方安全产品和网络产 品等采集到的数据(包括安全事件、配置、性能、告警等)通过数据交换平台通知上层应用, 上层应用通过数据交换平台对底层程序进行控制,各模块之间通过数据交换平台进行通 信。常见的数据交换平台,例如,IBM MQ,消息交换中心。
[0065] 总的来说,一个安全运维管理平台可分为采集终端、安全运维管理、客服、分布式 存储和APP商店,分别具备如下功能: 1、采集终端 采集终端提供了安全运维管理平台与其被集成系统的交互功能,主要起采集异构数据 和调用特定系统接口的作用,其中包括的功能模块有:企业数据收集、安全数据收集、网管 数据收集等。在这一层各类异构的数据被全部或分类地归一化表示为安全运维管理平台内 部使用的统一格式,同时也可将安全运维管理平台内部统一格式的指令和数据解析成特定 的结构供需调用的子系统使用。该层屏蔽了安全运维管理平台和外部系统在数据集和指令 集上的差异,为安全运维管理平台对其他系统和安全解决方案的集成提供了基础和保障。 [0066] 采集数据种类,包括: (1)企业数据收集 目前企业数据主要分成二类:企业员工数据、资产数据。
[0067] (2)安全数据收集 安全数据收集主要包括二大类:安全事件、安全漏洞。
[0068] 安全事件可以细分为:告警、日志;安全漏洞目前可以细分为扫描器报告漏洞、配 置审计产生的漏洞。
[0069] (3)网管数据 它从网络和应用的不同层次,收集与业务/服务相关的各种信息:网络设备信息、全网 流量信息、服务器内存、I/O的使用情况,甚至应用系统对资源的占用情况等,主要包括三大 类:告警事件、性能数据、配置数据。
[0070] 2、安全运维管理 建立全面的预警机制和响应机制,全面收集信息资产的漏洞、安全事件、告警、配置信 息和性能数据,通过关联分析去除各种误报和冗余信息,发现有用信息,给出级别度量,并 自动上报客服来降低风险,达到管理和控制风险的效果。
[0071] 安全运维管理对各类统一格式的内部数据进行分布式存储、管理和基于规则的关 联分析,同时对各类任务进行统一协调管理并向下层的执行模块下发指令。按数据的类别 和功能划分为安全管理和网络管理。一方面,对从采集终端收集来的各种数据进行存储;另 一方面,接收上层的指令进行统一调度管理并传送给下层的执行模块以实现用户的管理功 能。
[0072] 安全运维管理是平台的数据处理和指令指挥中心,主要由以下模块组成: (1)安全管理 安全管理对于采集到的各类原始安全事件进行分析后,最终需要人为去解决和处理的 事件定义为安全故障,对于这些安全故障能够自动提交给客服进行工单/任务单的流转处 理。
[0073] 通过安全管理,管理者可以得到图文并茂的安全报告,能够整体、宏观地了解相关 地域、系统的安全情况。同时,也能更好地了解安全人员的工作业绩,并进行有效的业绩考 核、工作安排和组织管理。
[0074] 对业务人员来说,安全管理将是业务人员从安全层面抓取数据的一个基础手段, 实现以业务为核心的安全管理,使得技术真正有能力为业务提供需要的数据和内容。
[0075] 对技术人员来说,安全管理能够从一个相对权威的层面告诉技术人员该做什么, 该怎么做。安全管理可以实现自动审计企业要求的安全基线符合性,将安全运维流程固化 在系统内部。技术员可以比较容易地通过安全管理了解到目前的安全水平,以及存在的安 全问题,彻底改变安全人员工作的盲目性。
[0076] (2)网络管理 实现对异构的IT环境之运行、维护的规范化,同时对IT信息化的使用效果进行综合管 理和分析。第一是面向服务的综合资源管理:对整个IT环境的所有资源,实现在一个平台 上的综合透明的管理,全面掌握IT资源利用情况、诊断服务瓶颈,优化服务质量,同时为服 务的扩展提供依据;第二是智能故障分析:能通过性能阈值判断服务的临界状态,同时提 供故障过滤与故障根源分析,简化故障处理难度;第三是全网流量分析可监控:网络中的 "摄像头",自动快速发现影响网络性能和状态的"罪魁祸首";第四是即时可用的价值保证: 方便的部署,实用的功能,大幅降低网络与系统的运行维护工作量。
[0077] 3、客服 在多用户模式之下,每一个企业用户的安全运维管理模块均为自治的,一个客服能够 同时为多个企业用户提供安全运维管理服务。客服具有IT服务台的功能,客服能够存储安 全信息和安全知识,产生告警通知(如email、短信、windows消息通知等),或在解析为特定 的格式的基础上,通过调用外部对应的模块接口(如工单系统、短信网关、防火墙互动等)实 现各类特定响应。
[0078] 另一方面,客服还有配置功能,将平台内部统一的安全设备配置指令解析为特定 的格式,通过调用外部对应的模块(各类实现级的安全设备配置工具或API)实现配置功能, 该模块实际上翻译平台内部配置命令,并为安全设备管理模块提供实现级的支持。
[0079] 4、分布式存储 存储历史安全事件信息和历史网管信息,供搜素、数据挖掘和大数据分析;数据挖掘及 大数据分析工具软件可以在安全运维APP商店里下载、使用。根据平台部署的不同,可以分 为分布式存储和集中存储。例如,在多用户模式之下,如果安全运维管理模块被安装在各个 所属企业之内,则此时的存储模式为分布式存储;然而,如图3所示,当所有的安全运维管 理模块都存储在数据中心时,此时的存储模式为集中存储。
[0080] 5、APP 商店 APP商店主要提供日常维护工作中需要的各种自动化工具:例如,任务单服务用于追 踪风险和事故的处理情况;例如,预警服务可以实现主动的预警,通过平台和各个安全服务 供应商共同合作,形成一条完整的预警一处理链,可以保证在漏洞出现还未被利用前就送 达各个管理员并保证被采取了应对的措施;还有通过对日常工作的进行评价来促使找到如 何提高安全水平的方法;例如,跨网段的IP地址定位、IP地址分布情况查询、IP服务分布情 况查询、远程Telnet接口检测、Web接口检测、Ping测试,SNMP连接测试,Trace Route等, 这些易用、易理解的常用工具集,提高用户的快速解决问题的能力,方便用户的使用。
[0081] 如图1所示,所述客服模块,在多用户模式之下,每一个企业用户的安全运维管理 模块均为自治的,一个客服模块能够同时为多个企业用户提供安全运维管理服务。它与各 个企业的安全运维管理模块相连接,主要功能包括处理各个安全运维管理模块所上报的告 警、派发工单、通过email或短信或windows消息通知等方式将告警通知给客户、通过SNMP SET等协议自动配置或自动批量配置各个企业设备的参数、自动配置或自动批量配置各个 企业的安全策略,以及从安全运维APP商店下载处理告警所需要的工具软件;对于不能在 短时间之内解决的重大告警,将问题升级,并请专家分析。在客服模块的客户端上能够访问 所有各个企业的安全运维管理模块。
[0082] 所述安全运维管理模块,与各个企业的采集终端相连接,将各个企业终端上报的 数据进行分析,深度挖掘安全风险和故障隐患,并上报给客服模块。其主要功能是安全风险 分析、关联、故障定位、漏洞扫描、数据挖掘和实时监控等。安全运维管理模块的客户端能且 仅能够访问本企业的安全运维管理模块和采集终端模块。
[0083] 所述采集终端模块,与安全对象和网管对象相连接,负责收集安全对象和网络对 象的信息、预处理,以及配置命令和安全策略下发到安全对象和/或网络对象,并将预处理 的结果上报给安全运维管理模块,支持Syslog、SNMP、ODBC、WMI、Opsec、HTTP等协议,支持 本地存储。
[0084] 所述分布式存储模块,分别与安全运维管理模块、客服模块和安全运维APP商 店相连接,存储安全运维历史信息,供全文检索、数据挖掘和大数据分析,支持HDFS、支持 NAS/SAN互操作。数据挖掘及大数据分析工具软件可以在安全运维APP商店里下载、使用。
[0085] 安全运维APP商店提供易用、易理解的常用工具集,提高用户的快速解决问题的 能力,方便用户使用;在本平台的任意一个客户端上均能够访问它。
[0086] 优选地,所述客服模块,包括配置管理子模块、用户管理子模块、门户管理子模块、 告警通知子模块、流程管理子模块、知识库子模块、接口子模块和客户端子模块。
[0087] 所述配置管理子模块,配置或批量配置各个企业设备的参数和安全策略,内部统 一将配置指令解析为特定的格式,下发到设备,实现配置管理功能。
[0088] 所述用户管理子模块,一方面,对平台中用户的管理及其能访问模块的授权。功能 包括用户增、删、改、查,用户组增、删、改、查,可访问模块的授权,以及用户口令重置等;另 一方面,用户管理模块能够实现对常见操作系统、数据库系统、网络设备、应用系统、业务系 统等IT资源系统的帐号拉、推、删除、修改和同步管理,建立企业统一安全目录,梳理用户 树(包含主帐号、从帐号)和资源树的管