CN103338128A - 一种具有一体化安全管控功能的信息安全管理系统 - Google Patents

Abstract

本发明提供了一种具有强大的一体化安全管控功能的信息安全管理系统，包括：管理中心；日志采集器；性能采集器；日志代理。本发明的一种具有一体化安全管控功能的信息安全管理系统，提供了强大的一体化安全管控功能平台，为不用层级的用户提供了多视角、多层次的管理视图；支持对大部分主流IT软硬件资产的监控；对于各种监控对象都能进行全方位细粒度的监控，具有丰富的监控指标。管理员可以通过丰富的可视化图表查看监控指标信息；可以对监控指标设置告警阀值；可以将监控指标的数据保存起来，并进行历史分析。

Description

一种具有一体化安全管控功能的信息安全管理系统

技术领域

本发明涉及一种管理系统，尤其是一种具有一体化安全管控功能的信息安全管理系统。

背景技术

经过十多年的信息与网络安全建设，大部分企业和组织已经从安全的局部建设进入到了整体优化阶段。当前的客户更加关注全网的整体安全，强调从业务信息系统安全风险的角度，而非单一安全威胁和防御机制的角度去更加主动地管理安全。而要做好安全管理工作，就需要一套相应的安全管理体系。在这个体系中除了组织保障和流程保障，很重要的一点就是技术保障。安全管理平台就是一套配合企业和组织建设安全管理体系的技术支撑平台。

目前，安全管理平台的需求主要源于客户管理层和执行层不同角色人员对于安全管理工作的切身需要。

对于管理层而言，高层领导、各业务主管领导和IT安全主管领导等都需要从各自的角度出发，对全网或相关业务信息系统的整体安全运行状况有一个直观的了解、清晰的掌控，能够获悉当前的安全态势、攻击分布、防护缺陷，掌握安全防御体系建设的水平和安全管理能力建设的水平。

对于执行层而言，安全经理、安全管理员、运维工程师、安全分析员、应急响应人员等也都需要从各自的角度出发，通过单一的管理界面，对网络和业务信息系统实施有计划地、持续地监视、检测、审计、分析、评估、预警、响应和报告，并能够实现相互之间的协同工作。

随着国家等级保护制度实施力度的不断加强，各行业内控与合规要求的不断增强，以及越来越多的企业和组织投入到信息安全管理体系(InformationSecurity Management Sys tem，简称ISMS)的建设之中，客户管理层更加需要一个安全管理技术支撑平台来协助符合和体现等级保护及内控合规的相关具体要求，将等级保护和信息安全管理体系落到实处。而客户执行层也希望有一个安全管理平台帮助他们进行等级保护和信息安全管理体系建设过程中理顺工作流程、提升工作效率。

发明内容

本发明提供了一种具有强大的一体化安全管控功能的信息安全管理系统。

实现本发明目的的一种具有一体化安全管控功能的信息安全管理系统，包括：

-管理中心，对IT系统集中化的性能及可用性监控、安全事件的集中管理、安全风险的评估、宏观安全态势感知，以及流程化的安全响应与处理；

-日志采集器，与所述管理中心相连，对异构管理对象的日志采集，用以辅助管理中心解决特定日志采集的问题；

-性能采集器，与所述管理中心相连，对异构管理对象的性能信息采集，用以辅助管理中心解决分布式性能数据采集的问题；

-日志代理，与所述管理中心或日志采集器相连，用于安装并运行在管理对象上，用于对管理对象的日志采集和转发。

本发明的一种具有一体化安全管控功能的信息安全管理系统的有益效果如下：

1、本发明的一种具有一体化安全管控功能的信息安全管理系统，提供了强大的一体化安全管控功能平台，为不用层级的用户提供了多视角、多层次的管理视图；支持对大部分主流IT软硬件资产的监控；对于各种监控对象都能进行全方位细粒度的监控，具有丰富的监控指标。管理员可以通过丰富的可视化图表查看监控指标信息；可以对监控指标设置告警阀值；可以将监控指标的数据保存起来，并进行历史分析。

2、以客户的业务信息系统安全为保障目标，从监控、审计、风险、运维四个维度对全网的整体安全进行集中化的管理与运维，为用户建立起了一个可视、可查、可度量与可持续的安全管理新平台。

3、对于日常安全运维而言，核心的工作内容就是对IT网络及重要业务系统进行持续监测，确保网络、主机、应用、业务、重要信息和人员资产的安全。更具体地说，就是要持续监测并识别针对网络、主机、应用、业务、重要信息和人员资产性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。

4、客户能够统一收集来自网络中IT资产的运行信息和日志信息，通过分析这些数据，识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵，以及违规与信息泄露等行为，协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告，成为客户日常安全运维的有力工具。

具体实施方式

本发明的一种具有一体化安全管控功能的信息安全管理系统，包括：

-管理中心，是本发明的一种具有一体化安全管控功能的信息安全管理系统的核心部件，实现了对IT系统集中化的性能及可用性监控、安全事件的集中管理、安全风险的评估、宏观安全态势感知，以及流程化的安全响应与处理。客户通过浏览器即可登陆管理中心，进行各种操作。

管理中心内置日志采集器和性能采集器，客户无需另行安装其它任何部件即可直接收集管理对象的日志信息和性能信息。管理中心也可以汇聚来自日志采集器、日志代理和性能采集器的日志信息。

-日志采集器，与所述管理中心相连，可以安装并独立运行在一台服务器上，也可以与性能采集器集成安装和运行在一台服务器上，实现对异构管理对象的日志采集，功能同管理中心的日志采集模块，用以辅助管理中心解决特定日志采集的问题，并可以实现分布式日志采集能力。

日志采集器收集的日志可以转发给管理中心。管理中心可以对网络中分散的日志采集器进行集中管理。

-性能采集器，与所述管理中心相连，可以安装并独立运行在一台服务器上，也可以与日志采集器集成安装和运行在一台服务器上，实现对异构管理对象的性能信息采集，包括可用性信息、运行状态信息、性能信息等，功能同管理中心的性能采集模块，用以辅助管理中心解决分布式性能数据采集的问题。

性能采集器收集的数据可以转发给管理中心。管理中心可以对网络中分散的性能采集器进行集中管理。

-日志代理，与所述管理中心相连，用于安装并运行在管理对象上，实现对管理对象的日志采集和转发。目前，日志代理支持Windows操作系统，主要用于采集Windows操作系统及其服务与应用的日志。

日志代理收集的日志可以转发给日志采集器，或者直接转发给管理中心。管理中心可以对网络中分散的日志代理进行集中管理。

本发明的一种具有一体化安全管控功能的信息安全管理系统的工作过程如下：

1、资产管理

系统提供资产管理功能，可以对网络中的管理对象资产进行管理。除基本资产信息外，系统提供灵活的资产分类功能，实现对资产的分类管理。系统提供基于拓扑的资产视图，可以按图形化拓扑模式显示资产，并可编辑资产之间的网络连接关系，通过资产视图可直接查看该资产的状态、事件及告警信息。借助网络拓扑自动发现功能，系统能够自动发现和识别资产。

2、网络拓扑管理

系统具备创新性的网络及拓扑自动发现引擎，不仅能够自动发现和识别IT硬件资产(例如网络设备、安全设备、主机)，还能自动发现和识别软件资产(例如数据库、中间件)，并识别这些软硬件资产之间的连接关系或包含关系，还能自动描绘出网络及服务拓扑图。

通过网络及服务拓扑图，管理员可以对全网的资产进行可视化的监控。拓扑图具备动态更新能力，能够实时地显示资产的运行状态和安全状态，能够方便地链接到其他功能模块。

系统还提供了机房机架视图，将客户资产设备根据实际机架摆放可视化地展示出设备的物理摆放。管理员透过机架视图可以清楚地知道每个资产的位置。机架视图也具备动态更新能力，能够实时地显示资产的运行状态和安全状态，并能够方便地实现与网络及服务拓扑视图的双向切换。

3、性能监控

性能信息采集

系统能够主动地、周期性地采集各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统的性能与可用性信息，采样周期、采集参数都可以独立配置。系统支持通过SNMP、TELNET、SSH、SSH2、ODBC、JMX、协议仿真等方式对IT资产进行性能与可用性信息的采集。管理中心内置性能信息采集，也提供独立安装的性能信息采集器。

性能信息转发

管理中心或者性能采集器都具备性能信息转发功能，可以将收集到的性能信息转发给指定的管理中心，或者第三方系统。通过性能信息转发功能，可以实现性能采集器的分布式部署以及系统级联部署。系统支持性能数据的加密压缩转发。

IT系统性能与可用性监控分析

系统对于各种监控对象都能进行全方位细粒度的监控，具有丰富的监控指标。管理员可以通过丰富的可视化图表查看监控指标信息；可以对监控指标设置告警阀值；可以将监控指标的数据保存起来，并进行历史分析。

系统提供各种性能监控指标的对比分析，如某段时间(小时、天、周、月)内某个资产的不同监控指标的对比分析、不同资产的相同监控指标对比分析，等等，并能够将分析的结果以折线图和柱状图的形式进行直观展现。

性能采集器管理

系统能够对所有外接的性能采集器进行统一管理。用户可以对性能采集器进行登记、注销，进行性能采集参数的配置，设定监控任务、配置信息存储转发的参数。

4、安全事件管理

日志采集

系统能够采集各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志，通过Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、She11脚本、VIP、Web Service等协议进行采集。用户仅需安装部署审计中心，无需另装采集器，即可实现对日志的采集工作。系统也支持通过日志采集器和日志代理的方式采集日志，完全取决于用户的实际需要。

日志范式化与分类

对于所有采集上来的日志，系统自动进行范式化处理，将各种厂商各种类型的日志格式转换成系统统一的格式。系统提供的范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等。

在进行日志范式化的时候，系统对日志进行了信息补齐，加入了日志类型字段，对日志进行自动分类，为后续日志审计提供了便利条件。

与此同时，系统将原始日志都原封不同的保存了下来，以备调查取证之用。

日志过滤与归并

系统可以对采集到的日志进行基于策略的过滤和归并，提升日志审计的效率。通过过滤操作，可以剔除掉无用的日志信息，降低日志噪音。通过归并操作，可以把短时间内满足一定条件的多条日志合并成一条日志，减少日志的存储量。日志过滤和合并策略可以用户自定义，系统默认不进行过滤和合并。

日志转发

管理中心或者日志采集器都具备日志转发功能，可以将收集到的日志转发给指定的管理中心，或者第三方系统。通过日志转发功能，可以实现日志采集器的分布式部署以及系统级联部署。

日志支持无条件转发，也支持基于过滤规则的转发。系统支持加密压缩转发，支持定时转发，支持断点续传。

关联分析

系统具备事件关联分析功能。通过关联分析规则，系统能够对符合关联规则条件的日志产生告警。系统提供了可视化的规则编辑器，用户可以定义基于逻辑表达式和统计条件的关联规则，所有日志字段都可参与关联。

规则的逻辑表达式支持等于、不等于、大于、小于、不大于、不小于、位于......之间、属于、包含、FollowBy等运算符和关键字。

规则支持统计计数功能，并可以指定在统计时的固定和变动的事件属性，可以关联出达到一定统计规则的事件。

规则支持外部引用，可以引用地址资源、端口资源、时间资源、过滤器、资产分类属性。

系统支持单事件关联和多事件关联。通过单事件关联，系统可以对符合单一规则的事件流进行规则匹配；通过多事件关联，系统可以对符合多个规则(称作组合规则)的事件流进行复杂事件规则匹配。

日志实时监视

系统提供了实时审计视图，审计员可以根据内置或者自定义的实时监视策略，从日志的任意维度实时观测安全事件的走向，并可以进行事件调查、钻取，并进行事件行为分析和来源定位。审计员可以实时监视防火墙、IDS、防病毒、网络设备、主机和应用的高危安全事件；可以实时监视各个部门、各个安全域、各个业务系统的重点安全事件；可以实时监视全网的违规登录事件、配置变更事件、针对关键服务器的入侵攻击事件；等等。

对于实时监视中的日志，用户可以进行追踪调查，进行源目标IP地址世界地图定位，并可以以图形化的方式展示日志之间的行为关系。

日志统计分析

系统提供了统计视图，审计员可以根据内置或者自定义的统计策略，从日志的多个维度实时进行安全事件统计分析，并以柱图、饼图、堆积图等形式进行可视化的展示。审计员可以查看一段时间内的主机流量排行、主机登录失败次数排行、活跃病毒排行、网络设备故障排行、最多访问用户排行，等等。

日志查询

系统提供日志的查询功能，便于从海量数据中获取有用的日志信息。用户可自定义查询策略，基于日志时间、名称、地址、端口、类型等各种条件进行组合查询，并可导出查询结果。系统还提供快速查询和模糊查询功能。

日志存储

系统将收集来的日志统一安全存储和备份。系统支持TB级的海量数据加密存储，满足合规与内控条款的相关需求。系统支持数据的自动或手动备份，备份数据可手工恢复，用作日志回查。

日志采集器管理

系统能够对所有外接的日志采集器进行统一管理。用户可以对日志采集器进行登记、注销，进行日志采集参数的配置，设定范式化、过滤、归并、转发的参数。

日志代理

如果管理中心无法通过远程方式主动或者被动地采集日志，那么系统提供了一个日志代理软件包。用户可以在被管理对象上安装日志代理，采集到日志后，发送给管理中心。

5、流量行为监视

系统通过采集网络中的流量日志，能够对全网的流量行为进行多维度透视分析，并可视化展示。

系统能够对全网流量进行多维度分析，实时展示网络中各应用分布情况；能够实时分析网络中的热点应用，为流量优化和网络优化提供数据依据；能够透视网络带宽占用情况，了解关键业务的性能，帮助保持关键业务的带宽和连续性。

6、流量异常检测

系统采集到流量日志信息后，进行了基于流量行为的建模和分析，实现了基于动态周期性基线和动态非周期性基线的异常行为检测，能够帮助客户识别流量敏感的异常行为检测，例如蠕虫爆发、多种协议的泛洪攻击、DDoS攻击，等等。

7、脆弱性管理

系统具有脆弱性管理功能，能够导入资产的弱点信息，并计算资产/安全域/业务系统的脆弱性值。系统能够通过多种方式展示资产/安全域/业务系统的弱点信息，支持时间趋势分析和横向对比分析。

8、风险评估

系统通过内置的风险计算模型，综合考虑资产的价值、脆弱性和威胁，能够定期自动地计算出资产、安全域和业务系统的风险值，并刻画出资产、安全域和业务系统随时间变化的风险变化曲线。

系统还能以图表的形式可视化地显示每个资产、安全域或业务系统风险的关键因素，便于管理人员理解风险的具体含义。

9、安全态势分析

系统具备安全态势分析功能，包括安全整体状态的计算和安全整体发展趋势的预测。系统通过对收集到的一段时间内的海量安全事件的源和目的IP地址进行熵值计算，得到这些安全事件源目的IP聚合度的变化幅度，以此来刻画这段时间内这些安全事件所属安全域或者业务系统的整体安全状态，并预测下一步的整体安全走势。

系统能够可视化的展示随时间变化的安全态势曲线，并能够通过曲线下钻到影响网络安全整体状态的关键安全事件，实现从宏观到微观的聚焦。

10、安全管理关键指标分析

系统通过对一组表征某个安全域或者业务系统安全管理建设水平的层次化指标的计算，得到该安全域或者业务系统的安全管理建设水平评级，以此来表明该安全域或业务系统的信息安全管理体系的建设成熟度。

系统将表征安全管理建设水平的这套层次化指标称作关键管理指标，每个指标项都建立了一个针对某类安全事件的度量标准。

系统能够可视化的展示出每个安全域或业务系统随时间变化的安全管理评估曲线，并能够进行环比分析，以及跨安全域或业务系统的同比分析。对于每个关键管理指标都支持指标项的下钻，实现从宏观到微观的聚焦。

11、告警管理

系统的告警功能包括告警设置和告警管理两个部分。

用户可以通过性能监控的监控指标阀值，或者安全事件的关联规则设置告警，包括告警触发条件和告警响应动作。系统的告警响应动作支持事件属性重定义、弹出提示框、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送MSN、发送Syslog等方式。

告警管理则包括对告警信息的查看、处理和统计分析。系统提供快捷的告警响应处理流程，可记录告警信息的处理过程和处理结果，并能够与工单管理模块联动。

12、工单管理

工单即任务单，是安排安全管理运维人员解决或者完成某项任务的指令，包含有工作内容描述，完成该项工作的人，以及工单的流转和完成状态等。

系统支持通过告警自动派发工单，也支持用户手工派发工单。指定的工单处理人在接收到工单后可以记录工单的流转信息和状态信息。管理员可以查看所有的工单及其流转的全过程。

13、报表管理

系统内置了丰富的报表模板，包括统计报表、明细报表、综合审计报告，审计人员可以根据需要生成不同的报表。系统内置报表生成调度器，可以定时自动生成日报、周报、月报、季报、年报，并支持以邮件等方式自动投递，支持以PDF、Excel、Word等格式导出，支持打印。

系统还内置了一套报表编辑器，用户可以自行设计报表，包括报表的页面版式、统计内容、显示风格等。

14、知识管理

系统提供开放的知识管理功能，内置了大量的安全知识，同时也允许用户在系统使用过程中不断丰富和完善。用户可以对所有的知识点进行基于关键字的全文检索，操作界面类似百度搜索或者Google搜索。

系统预先建立的知识包括：重要文档库、案例库、漏洞库、事件库、日志字典表，等等。

15、级联管理

系统支持多层的级联管理模式，适用于大型企业多分支机构的集中管控，或者集团管控。系统的级联管理模块允许上级管理中心对下级管理中心的节点进行集中管理和展示，上级管理中心可以访问下级管理中心。

16、用户管理

系统提供三权分立的设计，内置系统管理员、用户管理员和审计管理员。

系统提供用户集中管理的功能，对用户可以访问的资源进行细致的权限划分，具备安全可靠的分级及分类用户管理功能，支持用户的身份认证、授权、用户口令修改等功能。不同的操作员具有功能操作权限。

17、系统管理

系统具有丰富的自身配置管理功能，包括自身安全配置、系统运行参数配置、审计资源配置等。系统具有系统自身运行监控与告警、系统日志记录等功能。

上面所述的实施例仅仅是对本发明的优选实施方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神前提下，本领域普通工程技术人员对本发明技术方案做出的各种变形和改进，均应落入本发明的权利要求书确定的保护范围内。

Claims (1)

1.一种具有一体化安全管控功能的信息安全管理系统，包括：

-管理中心，对IT系统集中化的性能及可用性监控、安全事件的集中管理、安全风险的评估、宏观安全态势感知，以及流程化的安全响应与处理；

-日志采集器，与所述管理中心相连，对异构管理对象的日志采集，用以辅助管理中心解决特定日志采集的问题；

-性能采集器，与所述管理中心相连，对异构管理对象的性能信息采集，用以辅助管理中心解决分布式性能数据采集的问题；

-日志代理，与所述管理中心或日志采集器相连，用于安装并运行在管理对象上，用于对管理对象的日志采集和转发。