聊聊网络安全管理平台的必要性和架构

admin
admin
admin
140339
文章
117
评论
2024年5月26日19:36:58评论137 views字数 2224阅读7分24秒阅读模式

在当前的网络环境下,随着云计算的兴起以及信息系统功能的复杂化和网络的多样化,网络攻击日益增长,呈现出复杂化、泛滥化的态势。在拥有众多资产的大型企业,仅靠几台边界安全设备和少量安全人员的运维已经无法应对网络问题。

这时,能实现自动化的网络安全监测预警与处置的网络安全管理平台就成为必需品了。毕竟,信息安全不是一个静态的安全,而是动态的、整体的安全,它是随着业务的发展和外界安全威胁的不断变化而变化的。

理想情况下,网络安全管理平台应该能整合现有的安全设备资源,实现网络安全监测预警自动化,实现网络安全漏洞整改以及网络安全事件处置全流程可跟踪。能够从全局出发,整合各种安全设备和人员队伍,使之共同协作发挥作用。

总之,好的网络安全管理平台不仅要自动化发现安全问,还要能联动各方力量处置安全问题

下面以一个平台架构作为例子看看:

聊聊网络安全管理平台的必要性和架构

图1 网络安全管理平台架构图

一、数据采集

首先是采集状态数据,所谓的状态数据就是信息系统关联的服务器、网络设备的型号、版本、功能、端口、使用的中间件版本等。如果是安全设备,还要看设备特征库是否更新。再收集广泛一点,可以把信息系统的合规信息也写进去,比如说等级保护做了几级。如果还要收集广泛,那真的大了去了。

状态收集的方式是工具+人工。通过一些工具,采用标准的管理协议、接口,与主机、网络设备通信,获取进程、共享、账户、内存等指纹信息。这块的量比较大,可以是十几个信息,也可以是几百个信息。

总之,数据采集有一个原则,就是只采集对接下来的流程有帮助的信息,在这个图示的架构下,我们只采集能做脆弱性检测、威胁分析、安全事件分析的数据就行了。

接下来要采集漏洞数据,漏洞数据是通过安全漏扫设备去扫的,当然也有人工渗透的漏洞数据,这块可以采用自动加人工的方式完成。自动,就是在平台上部署一些安全扫描设备,定期扫描。人工就是让工程师去验证一下,这些漏洞是否是真实存在的,验证通过的漏洞可以作为漏洞数据录入平台。漏洞类型一般有操作系统漏洞、数据库漏洞、中间件漏洞、Web应用漏洞等。

然后是日志采集,可以采集Syslog日志、Netflow日志等。将这些日志格式化为系统统一的归一化数据格式,并将归一化的日志转发给分析节点。

还有流量采集,主要通过HTTP协议、邮件协议、DNS协议进行解析。比如HTTP协议解析可以把请求主机名、应答码、Refer、User-Agent、请求URL、上传下载的文件名拿到。

二、监测分析

监测分析需要建立算法模型,比如数值统计模型、攻击树推理模型等。

数值统计模型,就是根据各种关键信息表现出的统计特征来明确是否发生了相应的网络动作。进而判断是否发生网络攻击行为。

攻击树推理模型,是一种对系统的安全威胁进行建模的方法,树的根节点表示网络攻击要达到的目标,叶节点表示实现这一攻击目标可能采取的手段。

聊聊网络安全管理平台的必要性和架构

图2 攻击树(图片来源于网络搜索引擎baidu)

三、处置

以漏洞管理为例,漏洞被安全人员审核录入系统后,相应的安全负责人微信会收到推送的工单信息,会登陆平台进行查看。以漏洞管理为例,可以看到漏洞地址、漏洞名称、漏洞所属系统、漏洞级别、漏洞利用方法、漏洞修复建议等。安全负责人会把这个信息发给相应的人进行处置,处置后上传处置报告,然后进入审核、关闭漏洞的环节。这个流程会形成一个工作流,工作流进度条会显示各个处置环节的负责人,处置开始时间、处置完成时间等。这些信息有利于管理层跟踪工作进度。

四、可视化展示

可视化展示主要从可视化大屏作为主要的界面,从这个界面可以点击进入相应的详细信息展示。

可视化大屏通过接入平台收集、分析并处理后的数据,将存在技术门槛的安全技术数据转化为零门槛的安全业务数据,有利于网络安全组织管理者直观地获取单位内网络安全态势信息以及网络安全工作情况,为组织网络安全工作决策提供有效的数据支持。

大屏数据常见的有:

风险等级、安全事件数量趋势、漏洞分布图、人员处置耗时排名、安全事件统计信息、安全工作完成率等。

对于网络安全管理平台的架构就先简单讲这么多,接下来讲讲应用场景。

场景1:

安全运维人员不用再对设备进行定期巡检了,网络安全管理平台接入了所有设备运行状态信息,可以直接查看网络连通性、CPU占用率、内存占用率、磁盘占用率、安全告警等。有了平台,对于安全运维人员的技能要求也降低了,不用熟练操作各种设备,读懂各种日志信息。

场景2:

当发生事件处置时,平台会根据之前导入的资产清单信息自动匹配相应人员。工单处置流程清晰,进度可视化,减少了跨职能部门的沟通,提高了处置效率。

场景3:

以往单位领导想了解网络安全情况需要查阅很多报告,开很多次会。有了网络安全管理平台,可以通过实时化显示的可视化大屏直观了解信息。

  • 网络攻击类型、数量
  • 漏洞类型、数量
  • 漏洞处置周期、现状
  • 安全事件处置完成率
  • 合规(等保通保)工作进度
  • 工作人员处置效率
  • 安全运维年度工作进展

。。。。

通过这些数据,可以为领导决策提供依据。

今天关于网络安全管理平台的必要性和架构,我这边就聊这么多。

 

PS:我很想了解大家对这种安全管理平台的需求,如果你有更细的需求,或不同于这篇文章的需求或想法,请留言或私信。我进一步收集信息,再结合自己的经验在下一篇文章中进行阐述。

 

参考文献:

[1]毛辉,曹龙全,吴启星,刘东华.监测预警处置一体化网络安全管理平台研究[J].信息网络安全,2020,(201): 122-126

 

原文始发于微信公众号(透明魔方):聊聊网络安全管理平台的必要性和架构

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月26日19:36:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   聊聊网络安全管理平台的必要性和架构https://cn-sec.com/archives/2780502.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息