论文部分内容阅读
【摘要】随着电信网络的不断发展,对信息安全保障能力的要求越来越高,而传统的信息安全着眼于常规信息安全设备的部署,随着安全设备及事件种类和数量的快速增长,带来了巨大的安全监控及管理问题,所以本文设计了一套系统,来解决和完善电信网络安全监控管理问题。
【关键词】电信网络;安全监控
1. 概述
以MSS/OSS/BSS和基础支撑网络为核心的网络系统是电信运营商的基础系统,随着各大运营商都在朝着“全服务商”模型转变,随着NGN技术,软交换技术,3G技术的发展,电信网络的信息安全工作越来越被提到更高的层面,因此需要一套先进的网络安全监控系统,以提升网络安全监控能力,保证网络的安全运行。
2. 系统总体设计
2.1 风险控制模型
电信网络安全监控系统以风险控制为核心,系统设计参考了ISO13335的风险管理模型④,风险管理模型见图1。
图1 ISO13335模型
风险控制是一个动态的模型,在风险控制过程中系统设计时重点考虑的因素是:资产及其价值、威胁、漏洞和防护措施。电信网络中资产的集合构成了业务系统,系统通过统一采集网络中的各种安全事件,经过统一综合风险计算,以风险值的方式展示业务系统、资产的安全状况。业务系统的风险状况通过加权平均得到。
2.2 系统体系结构
电信网络安全监控系统完全采用分布式的多层体系结构进行设计,最大限度地考虑了系统的扩展性要求。系统体系结构见图2。
图2系统体系结构
整个系统由四层分布式组件构成:驻留主机的采集程序、标准化处理层、核心处理层、Web Portal层。
2.3 系统各层次功能设计
2.3.1驻留主机的采集程序
采集程序部署在被采集主机上,完成对本机的操作系统日志、应用系统日志进行主动收集。收到的信息将通过Syslog协议或TCP Socket方式传送回标准化处理层。
2.3.2标准化处理层
准化处理层负责接收各种设备、主机、应用系统的原始审计信息,完成这些信息的标准化工作,转化后的标准日志信息将会在本处理层进行一次过滤,过滤掉的日志将直接被丢弃,未被过滤掉的标准日志将被发送至核心处理层进行进一步处理。
2.3.3核心处理层
核心处理层接收由标准化处理层转发的标准日志,对这些日志进行过滤、归并、资产关联和实时风险分析,并提供对各种审计事件的實时响应。同时,核心处理层还完成所有日志的入库存储、数据预统计、数据备份等工作。
2.3.4 Web Portal层
Web Portal作为与用户的接口,,完全基于B/S架构实现。用户只需使用浏览器即可完成系统所有的管理、配置、分析、审计工作。
3. 各层功能实现
电信网络安全监控系统由四层分布式组件构成,每一层又由多个组件组成,通过这些组件通过协同工作,实现系统的各项功能。
3.1 事件采集层
3.1.1 Windows采集程序
Windows采集程序部署在被采集的Windows主机上,用于收集操作系统的EventLog、IIS以及其他运行于Windows平台的应用系统的审计日志。这些日志将通过Syslog协议发送给Syslog服务器。
3.1.2 Unix采集脚本
Unix采集脚本部署在Unix类主机上,用于收集Apache、WebSphere等运行于Unix平台的应用系统的审计日志。收集到日志通过TCP Socket的方式发送给标准处理层。
3.2 标准化处理层
3.2.1 Syslog服务器
Syslog服务器是一个高效的Syslog及SNMP Trap(v1、v2)服务器,用于接收标准Syslog协议或SNMP Trap(v1、v2)协议的数据包。
3.2.3 Agent
Agent负责接收各种设备的原始日志信息,并根据解析脚本完成原始日志的标准化工作。同时,还可以对这些事件进行过滤,去除各种无用信息。
3.2.4 AgentManager
AgentManager负责管理位于相同机器上的所有事件收集Agent,并将Agent收集到的标准日志信息传递给核心引擎。
3.3 核心处理层
3.3.1核心引擎
核心引擎收集各AgentManager发送来的已标准化的原始事件,对这些事件进行过滤、归并,随后将处理后的原始事件以及归并后产生的归并事件保存至系统数据库。同时,核心引擎还负责将这些原始事件转发给审计引擎、关联引擎和风险分析引擎,进行实时审计、关联和风险分析。核心引擎也将过滤后的原始事件发送给Web Portal层,提供用户通过Web页面实时查看原始事件的功能。
3.3.2审计引擎
审计引擎根据审计策略对原始事件进行实时审计分析,并完成各种审计响应动作。使用“产生审计事件”的响应方式,审计引擎可以将产生的审计事件写入系统数据库。
3.3.3关联引擎
关联引擎根据关联规则对原始事件进行实时关联分析,并完成各种关联响应动作。使用“产生关联事件”的响应方式,关联引擎可以将产生的关联事件写入系统数据库,并同时发送给Web Portal层,以进行实时查看。
3.3.4风险分析引擎
风险分析引擎负责持续的风险计算,风险计算基于ISO13335以资产为核心综合不断更新的资产漏洞、不断产生的威胁事件,进行持续性风险计算,并将最后的量化的风险归结到5个级别上。
3.3.5数据库
数据库用于保存所有组件的配置信息,企业资产信息,已收集的原始事件,系统产生的审计事件、归并、关联事件及其它统计信息,并定期对原始事件进行统计,以生成统计数据。
3.4 Web Portal层
Web Portal层的功能由应用服务器完成,提供通过浏览器管理、配置系统组件,查看实时事件,分析历史事件的功能。是用户与系统的接口,用户通过IE浏览器即可对系统进行访问。
4. 系统部署方式
电信网络安全监控系统部署方式灵活,支持大型分布式部署,可以满足企业各种安全监控需求。典型的电信网络安全监控系统系统安装需三台服务器:
系统典型部署方式见图3。
图3系统典型部署方式
5. 总结与展望
电信网络安全监控系统能够集中采集分析网络中的各种安全事件,并基于ISO13335和BS7799为 核心进行风险计算分析和展现,可以解决和改善传统信息安全设备的不足。可以预计通过部署与应用电信网络安全监控系统,能够帮助运营商实现网络安全监控的集中化、信息化和流程化,有效提升安全监控能力,保障网络和系统的安全运行。
参考文献
[1]萨班斯法案(SOX)404条款
[2]《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
[3]ISO/IEC 17799:2005Information technology-Security techniques ,Code of practice for information security management. 2005
作者简介:王金玲,毕业于吉林大学,本科,现就职于中国联通吉林省分公司,研究方向:IT维护工作
【关键词】电信网络;安全监控
1. 概述
以MSS/OSS/BSS和基础支撑网络为核心的网络系统是电信运营商的基础系统,随着各大运营商都在朝着“全服务商”模型转变,随着NGN技术,软交换技术,3G技术的发展,电信网络的信息安全工作越来越被提到更高的层面,因此需要一套先进的网络安全监控系统,以提升网络安全监控能力,保证网络的安全运行。
2. 系统总体设计
2.1 风险控制模型
电信网络安全监控系统以风险控制为核心,系统设计参考了ISO13335的风险管理模型④,风险管理模型见图1。
图1 ISO13335模型
风险控制是一个动态的模型,在风险控制过程中系统设计时重点考虑的因素是:资产及其价值、威胁、漏洞和防护措施。电信网络中资产的集合构成了业务系统,系统通过统一采集网络中的各种安全事件,经过统一综合风险计算,以风险值的方式展示业务系统、资产的安全状况。业务系统的风险状况通过加权平均得到。
2.2 系统体系结构
电信网络安全监控系统完全采用分布式的多层体系结构进行设计,最大限度地考虑了系统的扩展性要求。系统体系结构见图2。
图2系统体系结构
整个系统由四层分布式组件构成:驻留主机的采集程序、标准化处理层、核心处理层、Web Portal层。
2.3 系统各层次功能设计
2.3.1驻留主机的采集程序
采集程序部署在被采集主机上,完成对本机的操作系统日志、应用系统日志进行主动收集。收到的信息将通过Syslog协议或TCP Socket方式传送回标准化处理层。
2.3.2标准化处理层
准化处理层负责接收各种设备、主机、应用系统的原始审计信息,完成这些信息的标准化工作,转化后的标准日志信息将会在本处理层进行一次过滤,过滤掉的日志将直接被丢弃,未被过滤掉的标准日志将被发送至核心处理层进行进一步处理。
2.3.3核心处理层
核心处理层接收由标准化处理层转发的标准日志,对这些日志进行过滤、归并、资产关联和实时风险分析,并提供对各种审计事件的實时响应。同时,核心处理层还完成所有日志的入库存储、数据预统计、数据备份等工作。
2.3.4 Web Portal层
Web Portal作为与用户的接口,,完全基于B/S架构实现。用户只需使用浏览器即可完成系统所有的管理、配置、分析、审计工作。
3. 各层功能实现
电信网络安全监控系统由四层分布式组件构成,每一层又由多个组件组成,通过这些组件通过协同工作,实现系统的各项功能。
3.1 事件采集层
3.1.1 Windows采集程序
Windows采集程序部署在被采集的Windows主机上,用于收集操作系统的EventLog、IIS以及其他运行于Windows平台的应用系统的审计日志。这些日志将通过Syslog协议发送给Syslog服务器。
3.1.2 Unix采集脚本
Unix采集脚本部署在Unix类主机上,用于收集Apache、WebSphere等运行于Unix平台的应用系统的审计日志。收集到日志通过TCP Socket的方式发送给标准处理层。
3.2 标准化处理层
3.2.1 Syslog服务器
Syslog服务器是一个高效的Syslog及SNMP Trap(v1、v2)服务器,用于接收标准Syslog协议或SNMP Trap(v1、v2)协议的数据包。
3.2.3 Agent
Agent负责接收各种设备的原始日志信息,并根据解析脚本完成原始日志的标准化工作。同时,还可以对这些事件进行过滤,去除各种无用信息。
3.2.4 AgentManager
AgentManager负责管理位于相同机器上的所有事件收集Agent,并将Agent收集到的标准日志信息传递给核心引擎。
3.3 核心处理层
3.3.1核心引擎
核心引擎收集各AgentManager发送来的已标准化的原始事件,对这些事件进行过滤、归并,随后将处理后的原始事件以及归并后产生的归并事件保存至系统数据库。同时,核心引擎还负责将这些原始事件转发给审计引擎、关联引擎和风险分析引擎,进行实时审计、关联和风险分析。核心引擎也将过滤后的原始事件发送给Web Portal层,提供用户通过Web页面实时查看原始事件的功能。
3.3.2审计引擎
审计引擎根据审计策略对原始事件进行实时审计分析,并完成各种审计响应动作。使用“产生审计事件”的响应方式,审计引擎可以将产生的审计事件写入系统数据库。
3.3.3关联引擎
关联引擎根据关联规则对原始事件进行实时关联分析,并完成各种关联响应动作。使用“产生关联事件”的响应方式,关联引擎可以将产生的关联事件写入系统数据库,并同时发送给Web Portal层,以进行实时查看。
3.3.4风险分析引擎
风险分析引擎负责持续的风险计算,风险计算基于ISO13335以资产为核心综合不断更新的资产漏洞、不断产生的威胁事件,进行持续性风险计算,并将最后的量化的风险归结到5个级别上。
3.3.5数据库
数据库用于保存所有组件的配置信息,企业资产信息,已收集的原始事件,系统产生的审计事件、归并、关联事件及其它统计信息,并定期对原始事件进行统计,以生成统计数据。
3.4 Web Portal层
Web Portal层的功能由应用服务器完成,提供通过浏览器管理、配置系统组件,查看实时事件,分析历史事件的功能。是用户与系统的接口,用户通过IE浏览器即可对系统进行访问。
4. 系统部署方式
电信网络安全监控系统部署方式灵活,支持大型分布式部署,可以满足企业各种安全监控需求。典型的电信网络安全监控系统系统安装需三台服务器:
系统典型部署方式见图3。
图3系统典型部署方式
5. 总结与展望
电信网络安全监控系统能够集中采集分析网络中的各种安全事件,并基于ISO13335和BS7799为 核心进行风险计算分析和展现,可以解决和改善传统信息安全设备的不足。可以预计通过部署与应用电信网络安全监控系统,能够帮助运营商实现网络安全监控的集中化、信息化和流程化,有效提升安全监控能力,保障网络和系统的安全运行。
参考文献
[1]萨班斯法案(SOX)404条款
[2]《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
[3]ISO/IEC 17799:2005Information technology-Security techniques ,Code of practice for information security management. 2005
作者简介:王金玲,毕业于吉林大学,本科,现就职于中国联通吉林省分公司,研究方向:IT维护工作