当前安全形势错综复杂,两部委对运营商的综合安全要求进一步提升。运营商在日常运行维护中所产生的日志、数据包含了大量的安全信息,如何基于这类海量的数据进行分析,有效识别各种风险隐患,提升自身信息安全工作水平成为信息安全工作中的关键,因此需要研究如何从日常运行维护工作中的大量日志、数据采集、存储、加载,以及大规模计算进行安全分析和对安全事件的检测方法,从而进行安全事件分析、整体安全态势的多维度分析,同时基干大量数据的关联分析,以及安全管控体系的合规映射算法研究,从而提高整个安全管理体系的安全态势感知预警能力和安全合规水平。
中国联通信息化部在信息化内网安全管理方面,经过几年的安全防护体系以及系统建设,已经具备了基本的安全管理功能,管控范围覆盖MSS、BSS、ECS/ESS系统的IT基础设施、安全基础设施和关键业务应用。随着电子商务业务的快速发展,中国联通核心业务支撑系统的社会与经济效应日益显著,外部安全威胁日益严重,内控压力逐渐增大,因此迫切需要进一步完善信息安全防护体系,在现有安全防护体系的基础上,建立针对突发事件的智能预警机制,提升安全事件实时分析能力,增强敏感操作的安全管控。并且目前随着上级部门和集团对信息安全的重视程度越来越高,信息安全的建设也相应的加大了投入,各安全设备、业务系统也逐渐建立,相关的信息保护(安全审计)的建设必要性也随之出现,基于上述背景及必要性,启动本建设项目。
平台系统逻辑架构设计
平台系统逻辑架构设计
联通集团本次威胁分析与预警平台工程项目整体架构将分为数据源层、采集层、数据处理层、数据存储层、分析层、管理与呈现层∶
—可视化层
采用统一的数据可视化框架,对审计日志、数据、事件和场景进行可视化的展示,便于快速的决策。采用信息可视化主要展现非结构化抽象数据及大尺度高维复杂数据。具备丰富的展现及交互能力, 数据加速渲染能力
—数据分析与检索层
数据功能层分为两个部分∶第一部分是数据分析体系,提供关联分析及基于模型的预测分析、非结构化数据分析等能力。关联分析主要针对关键词索引与攻击特征匹配,为安全审计的预测提供支撑;预测分析主要基干模型的策略,能够识别风险,对结果建模,进行安全态势预测分析;非结构化数据分析主要针对海量非结构化数据储存、发掘、过滤、聚并、分析、检索。第二部分是数据检索体系,通过对数据的总、建立索引等,提供在海量数据情况下的数据快速检索能力
—数据采集管理及缓存层
实现平台数据的规范,为数据功能层提供数据。负责针对汇聚到的数据流进行清洗,取出业务场景需要的字段信息,进行相关统计与建模分析,并将结果数据写入到缓存层进行备用,方便分析检索层能够快速的进行数据调取,供后台分析查询或者前台展示使用。安全日志、数据的审计汇聚是整个平台的基础,负责获取各类数据信息,提供各种类型的网络设备适配及各种类型的系统接口适配,获取需要的数据信息,例如资产信息、事件信息等,让各种各样的结构化数据,非结构化数据汇聚至平台安全数据中心
—采集层
通过syslog、snmp、ftp、JDBC、API对接、AGENT抓取等方式,对数据源的日志、数据进行采集,涵盖各类网络系统、安全系统、业务系统、服务器、终端等,主要应用系统自身的日志、数据及配套的数据、管理类数据、资产及结构数据等
项目价值
本项目将系统建设成为一套集相关数据采集、审计、大数据存储、管理、快速检索和各类日志智能分析、关联功能,能够进行安全事件预警、溯源,可定位到安全事件的责任设备、账号、IP地址等元素的平台,实现多设备日志联动、智能分析、分析结果可视化和结合威胁情报数据迅速对安全事件进行定位、溯源分析并快速反应、快速检索的管理目标
○ 实现多数据的集中采集、存储、快速检索能力。采用多样的、可适配数据源的方式对各类网络设备、安全设备、服务器系统等日志数据进行采集、清洗、标准化、存储,提供离线、实时、全文快速检索等多种数据管理及分析方式
○ 具备安全事件分析能力,为安全管理员、安全决策人员提供简单、实用、高效的安全数据审计、分析平台,采用大数据技术在更大量数据、更全面、更透彻的方式分析安全威胁
○ 具备将安全威胁作为预警输出的能力,通过对日志、数据的审计以及分析处理,将网络中存在的隐患转化为预警通知,为安全分析人员提供直观、强大、清晰的安全威胁预警能力,以及重大问题、事件的整体性报告