一種基于大數(shù)據(jù)的分布式信息安全運(yùn)維管理平臺(tái)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全��、網(wǎng)絡(luò)管理、業(yè)務(wù)管理�����、數(shù)據(jù)交換平臺(tái)和大數(shù)據(jù)技術(shù)領(lǐng)域��,尤 其涉及到分布式信息安全運(yùn)維管理平臺(tái)架構(gòu)的方法與系統(tǒng)�����。
【背景技術(shù)】
[0002] 本發(fā)明中包含的英文簡(jiǎn)稱(chēng)如下: SOC :Security Operation Center 安全管理中心 IDS 〖Intrusion Detection Systems 入侵檢測(cè)系統(tǒng) MIS 〖Management Information System 管理信息系統(tǒng) DMZ〖demilitarized zone隔離區(qū)�、或非軍事化區(qū) APP〖Application應(yīng)用程序 SNMP :Simple Network Management Protocol 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 HDFS :Hadoop Distribute File System Hadoop 分布式文件系統(tǒng) ODBC :0pen Database Connectivity 開(kāi)放數(shù)據(jù)庫(kù)互連 WMI :ffindows Management Instrumentation Windows 管理規(guī)范 Opsec :0pen Platform for Security 安全開(kāi)放平臺(tái) NAS : Network Attached Storage 網(wǎng)絡(luò)附屬存儲(chǔ) SAN :Storage Area Network and SAN Protocols 存儲(chǔ)區(qū)域網(wǎng)絡(luò)及其協(xié)議 IBM international Business Machines Corporation 國(guó)際商業(yè)機(jī)器公司 MQ:Message Queue 消息隊(duì)列。
[0003] 安全生產(chǎn)歷來(lái)是保障各項(xiàng)工作有序開(kāi)展的前提���,也是考核各級(jí)領(lǐng)導(dǎo)干部的否決指 標(biāo)�����。網(wǎng)絡(luò)及信息安全運(yùn)維體系是各類(lèi)企業(yè)安全生產(chǎn)工作的重要組成部分��。保障網(wǎng)絡(luò)高效穩(wěn) 定地運(yùn)行�,是企業(yè)一切市場(chǎng)經(jīng)營(yíng)活動(dòng)和正常運(yùn)作的基礎(chǔ)��。
[0004] 隨著各類(lèi)企業(yè)信息系統(tǒng)的建設(shè)和完善���,有效的提高了勞動(dòng)生產(chǎn)率����,降低了運(yùn)營(yíng)成 本。一旦企業(yè)各業(yè)務(wù)系統(tǒng)出現(xiàn)安全事件��、或發(fā)生故障����、或形成性能瓶頸,不能及時(shí)發(fā)現(xiàn)����、及時(shí) 處理�、及時(shí)恢復(fù),勢(shì)必直接導(dǎo)致承載在其上所有業(yè)務(wù)的運(yùn)行����,影響企業(yè)的正常運(yùn)營(yíng)秩序,企 業(yè)業(yè)務(wù)不能正常開(kāi)展��。因此���,對(duì)于政府和企業(yè)IT基礎(chǔ)實(shí)施的安全保障就顯得格外重要��。
[0005] 隨著政府和企業(yè)信息化程度不斷提高����。各業(yè)務(wù)系統(tǒng)間聯(lián)系越來(lái)越密切,數(shù)據(jù)交換 越來(lái)越頻繁�,各系統(tǒng)有著復(fù)雜網(wǎng)絡(luò)或邏輯連接,存在大量數(shù)據(jù)交換���,甚至一個(gè)故障可以引發(fā) 成為企業(yè)全網(wǎng)故障�,一點(diǎn)或一種業(yè)務(wù)系統(tǒng)出現(xiàn)漏洞感染病毒或受到攻擊�,將迅速波及其它 業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò),甚至導(dǎo)致企業(yè)全網(wǎng)癱瘓�����。
[0006] 盡管目前一些企業(yè)的信息安全技術(shù)體系已初步形成���,但是信息安全運(yùn)維管理體系 需要進(jìn)一步健全提高和完善�,安全運(yùn)維管理的服務(wù)模式單調(diào)���,缺乏多用戶(hù)模式�����;管理能力也 有待加強(qiáng)��,缺乏安全運(yùn)維隱患的深度挖掘和大數(shù)據(jù)分析�,安全運(yùn)維故障定位和分析工具少, 缺乏APP商店�����。由于缺少安全體系建設(shè)的宏觀思路�,安全管理存在真空地帶,責(zé)任沒(méi)有有效 落實(shí)����。
[0007] 目前,各類(lèi)企業(yè)信息安全運(yùn)維管理平臺(tái)存在以下問(wèn)題: 1��、 各種信息安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備品種多����,分布廣����,缺少統(tǒng)一的數(shù)據(jù)分析管理; 2�����、 信息安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備的知識(shí)庫(kù)不統(tǒng)一,缺少統(tǒng)一的解決方案���; 3��、 安全職責(zé)不清���,具體職責(zé)未落實(shí)到位; 4�����、 信息安全運(yùn)維管理考核不細(xì)致��,缺少部分必要和關(guān)鍵的指標(biāo)��; 5�、 不同安全設(shè)備事件之間甚至同一安全設(shè)備的事件缺少更加高級(jí)智能的分析和匯聚 關(guān)聯(lián),導(dǎo)致數(shù)據(jù)量龐大���,不便于對(duì)安全隱患的分析和發(fā)現(xiàn)問(wèn)題����,防患于未然; 6����、 信息安全事件上報(bào)不及時(shí),故障診斷不及時(shí)�����,處理效率低�,效果差; 7�、 信息安全事件和資產(chǎn)的漏洞沒(méi)有進(jìn)行必要的關(guān)聯(lián)分析,導(dǎo)致很多事件沒(méi)有進(jìn)一步的 分析和處理��; 8�����、 無(wú)法對(duì)于終端的安全問(wèn)題進(jìn)行審計(jì)和方便的查看���; 9�����、 出現(xiàn)緊急事件沒(méi)有很好的預(yù)警和處理流程���; 10、 安全運(yùn)維管理服務(wù)模式單調(diào)���,缺乏多用戶(hù)模式�����; 11��、 安全運(yùn)維故障定位和分析工具少�,缺乏APP商店����。
[0008] 上述問(wèn)題不同程度地存在企業(yè)已經(jīng)建成的業(yè)務(wù)和網(wǎng)絡(luò),成為企業(yè)今后業(yè)務(wù)安全運(yùn) 維管理穩(wěn)定提升的障礙�。
[0009] 為此,如何利用信息化手段提高企業(yè)安全運(yùn)維管理效益��,解決企業(yè)各系統(tǒng)所存在 的安全運(yùn)維管理隱患�����,以及設(shè)計(jì)出一款信息安全運(yùn)維管理平臺(tái)�,優(yōu)化企業(yè)信息安全管理和 維護(hù)工作����,使得它能夠?yàn)楦黝?lèi)企業(yè)提供專(zhuān)業(yè)的和高效率的信息安全運(yùn)維管理服務(wù)���,即成為 尤其是信息安全運(yùn)維管理設(shè)計(jì)上必須要解決的一個(gè)重要課題�。
【發(fā)明內(nèi)容】
[0010] 本發(fā)明在分析了上述各類(lèi)企業(yè)信息安全運(yùn)維管理的缺陷和不足之后�����,提出了一種 基于大數(shù)據(jù)的分布式信息安全運(yùn)維管理平臺(tái)的方法與系統(tǒng)�����。
[0011] 本發(fā)明的核心思想是:構(gòu)建基于數(shù)據(jù)交換平臺(tái)的分布式安全運(yùn)維管理框架�,支持 單用戶(hù)模式和多用戶(hù)模式,包括:客服模塊��、安全運(yùn)維管理模塊�、采集終端模塊、分布式存儲(chǔ) 模塊和安全運(yùn)維APP商店模塊���;在多用戶(hù)模式之下���,每一個(gè)企業(yè)用戶(hù)的安全運(yùn)維管理模塊 均為自治的,一個(gè)客服模塊能夠同時(shí)為多個(gè)企業(yè)用戶(hù)提供安全運(yùn)維管理服務(wù)�。
[0012] 所述數(shù)據(jù)交換平臺(tái),完成安全運(yùn)維管理平臺(tái)各個(gè)模塊之間的數(shù)據(jù)交換�,從第三方 安全產(chǎn)品、網(wǎng)絡(luò)產(chǎn)品���、網(wǎng)管和SOC等采集到的數(shù)據(jù)(包括安全事件�����、配置����、性能����、告警等)通過(guò) 數(shù)據(jù)交換平臺(tái)通知上層應(yīng)用,上層應(yīng)用通過(guò)數(shù)據(jù)交換平臺(tái)對(duì)底層程序進(jìn)行控制����,各模塊之 間通過(guò)數(shù)據(jù)交換平臺(tái)進(jìn)行通信。
[0013] -種基于大數(shù)據(jù)的分布式信息安全運(yùn)維管理平臺(tái)���,包括客服模塊���、安全運(yùn)維管理 模塊�����、采集終端模塊����、分布式存儲(chǔ)模塊和安全運(yùn)維APP商店模塊��。
[0014] 所述客服模塊����,在多用戶(hù)模式之下,每一個(gè)企業(yè)用戶(hù)的安全運(yùn)維管理模塊均為自 治的���,一個(gè)客服模塊能夠同時(shí)為多個(gè)企業(yè)用戶(hù)提供安全運(yùn)維管理服務(wù)����,它與各個(gè)企業(yè)的安 全運(yùn)維管理模塊相連接�。主要功能包括處理各個(gè)安全運(yùn)維管理模塊所上報(bào)的告警、派發(fā)工 單��、通過(guò)email或短信或windows消息通知等方式將告警通知給客戶(hù)、通過(guò)SNMP SET等協(xié) 議配置��、自動(dòng)配置或自動(dòng)批量配置各個(gè)企業(yè)設(shè)備的參數(shù)��,配置���、自動(dòng)配置或自動(dòng)批量配置各 個(gè)企業(yè)的安全策略,以及從安全運(yùn)維APP商店下載處理告警所需要的工具軟件�;對(duì)于不能 在短時(shí)間之內(nèi)解決的重大告警,將問(wèn)題升級(jí)����,并請(qǐng)專(zhuān)家分析?����?头K的客戶(hù)端均能夠訪問(wèn) 所有各個(gè)企業(yè)的安全運(yùn)維管理模塊的權(quán)限��。
[0015] 所述安全運(yùn)維管理模塊���,與各個(gè)企業(yè)的采集終端相連接��,將各個(gè)企業(yè)終端上報(bào)的 數(shù)據(jù)進(jìn)行分析����,深度挖掘安全風(fēng)險(xiǎn)和故障隱患,并上報(bào)給客服模塊��。其主要功能是安全風(fēng)險(xiǎn) 分析�、關(guān)聯(lián)、故障定位��、漏洞掃描��、數(shù)據(jù)挖掘和實(shí)時(shí)監(jiān)控等�。在安全運(yùn)維管理模塊的客戶(hù)端上 能且僅能夠訪問(wèn)本企業(yè)的安全運(yùn)維管理模塊和采集終端模塊。
[0016] 所述采集終端模塊��,與安全對(duì)象和網(wǎng)管對(duì)象相連接���,負(fù)責(zé)收集安全對(duì)象和網(wǎng)絡(luò)對(duì) 象的信息���、預(yù)處理,以及配置命令和安全策略下發(fā)到安全對(duì)象和/或網(wǎng)絡(luò)對(duì)象����,并將預(yù)處理 的結(jié)果上報(bào)給安全運(yùn)維管理模塊,支持Syslog��、SNMP、ODBC��、WMI�、Opsec、HTTP等協(xié)議�,支持 本地存儲(chǔ)。
[0017] 所述分布式存儲(chǔ)模塊�����,分別與全運(yùn)維管理模塊���、客服模塊和安全運(yùn)維APP商店相 連接,存儲(chǔ)安全運(yùn)維歷史信息����,供全文檢索、數(shù)據(jù)挖掘和大數(shù)據(jù)分析��,支持HDFS�、支持NAS/ SAN互操作。數(shù)據(jù)挖掘及大數(shù)據(jù)分析工具軟件可以在安全運(yùn)維APP商店里下載�����、使用。
[0018] 安全運(yùn)維APP商店提供易用�����、易理解的常用工具集�,提高用戶(hù)的快速解決問(wèn)題的 能力,方便用戶(hù)使用��;在本平臺(tái)的任意一個(gè)客戶(hù)端上均能夠訪問(wèn)它����。
[0019] 優(yōu)選地,所述客服模塊��,包括配置管理子模塊���、用戶(hù)管理子模塊����、門(mén)戶(hù)管理子模塊�����、 告警通知子模塊����、流程管理子模塊�����、知識(shí)庫(kù)子模塊�����、接口子模塊和客戶(hù)端子模塊�。
[0020] 所述配置管理子模塊���,配置或批量配置各個(gè)企業(yè)設(shè)備的參數(shù)和安全策略�,內(nèi)部統(tǒng) 一將配置指令解析為特定的格式���,下發(fā)到設(shè)備,實(shí)現(xiàn)配置管理功能�。
[0021] 所述用戶(hù)管理子模塊,對(duì)平臺(tái)中用戶(hù)的管理及其能訪問(wèn)模塊的授權(quán)���,實(shí)現(xiàn)單點(diǎn)登 錄����。功能包括用戶(hù)增、刪����、改、查���,用戶(hù)組增�����、刪���、改、查���,可訪問(wèn)模塊的授權(quán)���,以及用戶(hù)口令重 置和單點(diǎn)登錄功能等。
[0022] 所述門(mén)戶(hù)管理子模塊��,各個(gè)功能組件都可以通過(guò)門(mén)戶(hù)進(jìn)行統(tǒng)一呈現(xiàn)�����,可以依據(jù)權(quán) 限使用其中的部分組件;通過(guò)此門(mén)戶(hù)管理功能����,實(shí)現(xiàn)相關(guān)組件和應(yīng)用系統(tǒng)的集中呈現(xiàn)和用 戶(hù)單點(diǎn)登錄。
[0023] 所述告警通知子模塊����,根據(jù)平臺(tái)統(tǒng)一的響應(yīng)指令產(chǎn)生標(biāo)準(zhǔn)響應(yīng)通知客戶(hù),如 email�、短信、windows消息通知等�����,以及通過(guò)SNMP SET等協(xié)議修改設(shè)備的配置參數(shù)��,產(chǎn)生告 警關(guān)聯(lián)動(dòng)作�����。
[0024] 所述流程管理子模塊�����,是安全運(yùn)維管理策略的具體貫徹��,是實(shí)現(xiàn)工單電子化處理�����, 通過(guò)電子流程規(guī)范和優(yōu)化安全運(yùn)維管理部門(mén)的生產(chǎn)工作流程���,從而提高安全工作效率���。管 理流程可劃分為安全運(yùn)維管理事件發(fā)現(xiàn)流程、安全運(yùn)維管理事件分析流程���、安全運(yùn)維管理 事件處理流程�����、安全運(yùn)維管理趨勢(shì)分析流程等��。
[0025] 所述知識(shí)庫(kù)子模塊�,能夠?qū)崿F(xiàn)關(guān)聯(lián)分析的智能化�����、自動(dòng)化,逐步實(shí)現(xiàn)基于專(zhuān)家系統(tǒng) 的人工智能分析�����,同時(shí)為安全運(yùn)維管理人員在處理事件的整個(gè)過(guò)程中提供分析處理的依 據(jù)����。用戶(hù)可以定義、查尋���、更新����、維護(hù)知識(shí)庫(kù)��。用戶(hù)可以直接在知識(shí)庫(kù)中添加相關(guān)安全知識(shí)����、 安全策略、安全漏洞���、事件特征等�����,完善知識(shí)庫(kù)模塊的功能�。
[0026] 所述接口子模塊���,提供了平臺(tái)與其被集成系統(tǒng)的交互功能�����,主要起采集異構(gòu)數(shù)據(jù) 和調(diào)用特定系統(tǒng)接口的作用�����,例如����,與安全事件預(yù)警信息和用戶(hù)安全投訴的接口����、企業(yè)MIS 的接口和下發(fā)配置和策略的接口等。
[0027] 所述統(tǒng)一界面���,支持PC和手機(jī)客戶(hù)端���,展示包括客服信息�、APP商店