发明内容
本发明的目的在提出一种基于综合审计的云大数据智能安全管控系统,该系统支持对云网络数据进行审计:网络访问协议、入侵可疑行为等;支持对云租户行为进行审计:虚拟机系统配置管理、虚拟机系统用户行为等;支持对安全设备进行审计等:管理员行为、安全策略管理等,至少解决目前电子政务云平台主要面临的以下四大安全问题之一:虚拟化安全问题、数据传输安全问题、数据存储安全问题、数据审计安全问题,满足了电子政务云安全审计及技术统一的迫切需要。
为实现本发明的目的,采用以下技术方案:
一种基于综合审计的云大数据智能安全管控系统,包括基础设施层、数据采集层、数据分析层以及应用层;
所述基础设施层为系统审计对象,包括相关硬件配备及基础系统软件;
所述数据采集层用于采集基础设施层中被审计对象的审计数据,并将该数据上传到数据分析层,所述数据采集层包括云平台审计子系统、租户行为审计子系统、网络数据审计子系统和安全审计产品自身审计子系统;
所述数据分析层用于对数据采用数据清洗分类、数据分布式存储的技术手段,实现多维度数据分析,最终形成应用特性的系统化的分析报告;
所述应用层包括展示模块,用于通过统一的控制台界面进行实时、可视化的呈现分析报告和数据特点。
进一步的改进在于,所述云平台审计子系统产生的审计信息包括:
系统状态变化审计,包含从系统启动到系统终止的所有状态变化事件;
系统基本硬件设施的变化审计;
系统管理员对云平台的配置操作行为审计;
系统管理员对云平台的安全策略、访问控制、运行管理操作行为审计;
系统管理员对系统中虚拟机的创建、更改、删除、迁移操作行为审计。
进一步的改进在于,所述租户行为审计子系统产生的审计信息包括:
虚拟机操作系统基本信息;
虚拟机的开关机事件审计;
虚拟机系统配置信息的审计;
虚拟机系统用户信息、变更行为、登录与退出事件审计;
虚拟机的硬件和外围设备的配置与变更审计;
虚拟机的软件、进程环境与变更审计;
虚拟机资源访问行为审计。
进一步的改进在于,所述网络数据审计子系统产生的审计信息包括:
目标终端和主机的基本信息审计;
目标终端和主机的启动和关闭审计;
目标终端和主机的系统配置、安全策略、服务计划信息审计;
目标终端和主机的日志审计;
目标终端和主机的软、硬件信息审计;
目标终端和主机的外围设备使用审计;
目标终端和主机文件资源访问审计;
目标终端和主机网络连接审计;
目标终端和主机的用户登录、退出、打印、刻录行为审计;
网络访问协议还原审计;
入侵可疑行为审计;
网络流量异常审计;
数据库远程网络操作审计。
进一步的改进在于,所述安全审计产品自身审计子系统产生的审计信息包括:
管理员的登录、注销操作;
对产品策略进行更改的操作;
因鉴别尝试不成功的次数超出了设定的限值,导致的会话连接终止;
对管理角色进行增加,删除和属性修改的操作;
对安全功能配置参数的设置和修改操作;
对审计信息的查询、导出操作。
进一步的改进在于,所述多维度数据分析包括复杂行为分析、异常事件和行为分析、潜在危害分析;
所述分析报告包括系统运维分析报告、行为常规分析报告、异常行为分析报告、违规操作行为分析报告。
进一步的改进在于,所述复杂行为分析的具体内容包括:对不规则或频繁出现的事件进行统计分析、对相互关联的事件进行综合分析和判断、向授权用户提供自定义匹配模式;
所述异常事件和行为分析的具体内容包括:用户活动异常、虚拟机内部异常、系统资源滥用或耗尽、网络应用服务超负荷、网络通信连接数剧增;
所述潜在危害分析的具体内容包括:提供一个可通过策略定制的审计事件集合,当这些事件的发生、累计发生次数或发生频率超过设定的阀值时,表明被审计对象出现了可能的潜在危害,针对这些事件集合,有一个固定的规则集,利用该规则集对被审计对象的潜在危害进行分析。
进一步的改进在于,所述数据采集层向外界提供了一个对数据进行操纵的接口,所有对数据的操作必须经过该层,该层中定制了数据访问的策略、规则,对所有数据的任何操作均记录于日志中,确保了对数据的操作在可控的范围之内,提供了安全性,同时使逻辑相对清晰。
进一步的改进在于,所述应用层还包括实时报警模块,用于当被审计对象出现潜在危害、异常事件以及攻击行为时,向报警处理器发送报警消息或者生成特殊的审计记录,报警消息具有可理解的格式并包含下列内容:事件ID、事件主体、事件客体、事件发生时间、事件危险级别、事件描述。
进一步的改进在于,系统通过采用通用的、标准的数据格式,将不同的数据按照统一的标准化格式进行组织和存储,其中,安全审计产品自身审计子系统的数据与其它被审计对象的数据分开保存到不同的记录文件或数据库中,方便用户查阅和分析,系统对产生的审计数据进行保护,防止其被泄漏或篡改,增强数据的安全保护。
本发明的有益效果:
本发明支持对云网络数据进行审计:网络访问协议、入侵可疑行为等;支持对云租户行为进行审计:虚拟机系统配置管理、虚拟机系统用户行为等;支持对安全设备进行审计等:管理员行为、安全策略管理等,解决了目前电子政务云平台主要面临的以下四大安全问题:虚拟化安全问题、数据传输安全问题、数据存储安全问题、数据审计安全问题,满足了电子政务云安全审计及技术统一的迫切需要。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
请参考附图1-4,本发明实施例提出一种基于综合审计的云大数据智能安全管控系统,主要应用于电子政务、电子商务、电子金融、数字化部队、武器装备科研生产单位、科研生产单位、传媒行业、大型企业、制造业等。
如图1所示为本发明一种基于综合审计的云大数据智能安全管控系统的整体结构框架图,所述云大数据智能安全管控系统包括基础设施层、数据采集层、数据分析层以及应用层,所述基础设施层为系统审计对象,承担着系统的基础建设,包括相关硬件配备及基础系统软件,如服务器、PC机、I/O设备、路由器、交换机、中间件设备等。
所述数据采集层向外界提供了一个对数据进行操纵的接口,所有对数据的操作必须经过该层,该层中定制了数据访问的策略、规则,对所有数据的任何操作均记录于日志中,确保了对数据的操作在可控的范围之内,提供了安全性,同时使逻辑相对清晰。
所述数据采集层用于采集基础设施层中被审计对象的审计数据,并将该数据上传到数据分析层。其中,被审计对象包括信息系统和网络。
所述数据分析层是整体系统中最为核心的一层,集成了所有和数据分析相关的功能,该层将对数据提取有用信息并形成结论,对数据加以详细研究和概括,如统计分析中的top-k分析、相关性分析、回归分析、拟合分析,关联分析中的行为关联挖掘、群体关联挖掘、用户与资源双向关联挖掘等,具体地,所述数据分析层用于对数据采用数据清洗分类、数据分布式存储的技术手段,实现多维度数据分析,最终形成应用特性的系统化的分析报告,数据分析的结果直接应用于应用层。
所述应用层包括展示模块,模块在数据分析的基础上调用数学模型分析结果数据或者原始数据进行数据可视化图表展示,即通过统一的控制台界面进行实时、可视化的呈现分析报告和数据特点,管理员可借此监控云平台安全状况,实现云平台的量化管理。
所述数据采集层包括云平台审计子系统、租户行为审计子系统、网络数据审计子系统和安全审计产品自身审计子系统。
所述云平台审计子系统产生的审计信息包括:
系统状态变化审计,包含从系统启动到系统终止的所有状态变化事件;系统基本硬件设施的变化审计;系统管理员对云平台的配置操作行为审计;系统管理员对云平台的安全策略、访问控制、运行管理操作行为审计;系统管理员对系统中虚拟机的创建、更改、删除、迁移操作行为审计。
安全审计产品审计代理支持常用的操作系统,当云平台产生新的虚拟机时可以从模板中继承软件环境,对虚拟机内部的操作系统进行审计,所述租户行为审计子系统产生的审计信息包括:
虚拟机操作系统基本信息;虚拟机的开关机事件审计;虚拟机系统配置信息的审计;虚拟机系统用户信息、变更行为、登录与退出事件审计;虚拟机的硬件和外围设备的配置与变更审计;虚拟机的软件、进程环境与变更审计;虚拟机资源访问行为审计。
所述网络数据审计子系统用于对云平台所属网络的管理终端、使用主机、网络数据等进行审计,产生的审计信息包括:
目标终端和主机的基本信息审计;目标终端和主机的启动和关闭审计;目标终端和主机的系统配置、安全策略、服务计划信息审计;目标终端和主机的日志审计;目标终端和主机的软、硬件信息审计;目标终端和主机的外围设备使用审计;目标终端和主机文件资源访问审计;目标终端和主机网络连接审计;目标终端和主机的用户登录、退出、打印、刻录行为审计;网络访问协议还原审计;入侵可疑行为审计;网络流量异常审计;数据库远程网络操作审计。
所述安全审计产品自身审计子系统产生的审计信息包括:
管理员的登录、注销操作;对产品策略进行更改的操作;因鉴别尝试不成功的次数超出了设定的限值,导致的会话连接终止;对管理角色进行增加,删除和属性修改的操作;对安全功能配置参数的设置和修改操作;对审计信息的查询、导出操作。
本发明在部署上可灵活适应政务网络特点,支持扁平化扩展,也支持多级分布式部署,通过统一的管理中心,进行安全管理策略统一下发,并对安全态势实时可视化监控。
在本发明的一些实施例中,还对审计数据进行保护,为保证数据传输安全,在本系统中,审计代理与审计跟踪记录中心相互传输审计数据及配置和控制信息时,系统保证传输的数据不被泄漏或篡改,保证传输错误或异常中断的情况下能重发数据,满足数据传输的安全性要求。系统至少采取一种安全机制,保护审计数据免遭未经授权的删除或修改,例如采取严格的身份鉴别机制和适合的文件读写权限等。
在本发明的一些实施例中,云平台和云大数据智能安全管控系统还为管理角色进行分级,使不同级别的管理角色具有不同的管理权限,增强系统管理的安全性,云平台和云大数据智能安全管控系统对不同管理角色在管理期间的全部活动生成相应的审计记录,这些记录用来在系统遭到破坏时进行事故分析,并为行为的追溯提供依据,管理员能实时获取云大数据智能安全管控系统与云平台的运行状态信息,监控系统的运行情况,并对其产生的日志和报警信息进行统一分析和汇总。
如图2所示为本发明一种基于综合审计的云大数据智能安全管控系统中数据分析和分析报告流程图,在本发明实施例中,所述多维度数据分析包括复杂行为分析、异常事件和行为分析、潜在危害分析;所述分析报告包括系统运维分析报告、行为常规分析报告、异常行为分析报告、违规操作行为分析报告。
其中,系统支持按关键字生成、按模块功能生成、按危害等级生成、按自定义格式生成等分析报告生成方式;分析报告的内容支持文字、图形两种描述方式,审计数据分析报告生成格式支持txt、doc、 xls等系统格式。
在本实施例中,所述复杂行为分析的具体内容包括:对不规则或频繁出现的事件进行统计分析、对相互关联的事件进行综合分析和判断、向授权用户提供自定义匹配模式。
在本实施例中,所述异常事件和行为分析的具体内容包括:用户活动异常、虚拟机内部异常、系统资源滥用或耗尽、网络应用服务超负荷、网络通信连接数剧增。系统维护一个与被审计对象相关的异常事件集合,当这些异常事件发生时表明被审计对象产生了潜在或实际的危害与攻击,异常事件集合可以按用户的要求定制,并可升级,以便用户及时更新。
在本实施例中,所述潜在危害分析的具体内容包括:系统提供一个可通过策略定制的审计事件集合,当这些事件的发生、累计发生次数或发生频率超过设定的阀值时,表明被审计对象出现了可能的潜在危害,针对这些事件集合,有一个固定的规则集,利用该规则集对被审计对象的潜在危害进行分析。其中,可能的规则包含事件发生、事件发生频率或累计发生次数超过设定的阀值等。
具体地,所述应用层还包括实时报警模块,用于当被审计对象出现潜在危害、异常事件以及攻击行为时,系统向报警处理器发送报警消息或者生成特殊的审计记录,报警消息具有可理解的格式并包含下列内容:事件ID、事件主体、事件客体、事件发生时间、事件危险级别、事件描述。
其中,报警方式包含以下两种方式:向中央控制台发送报警信息和向系统管理员发送报警邮件。
当被审计对象出现潜在危害、异常事件以及攻击行为时,系统将采取保护程序,以保证被审计对象以及系统自身的安全,主要有以下几种保护措施:对系统自身相关文件进行写保护,不被轻易的更改或删除;对策略中标记为阻断的攻击进行阻断;调用授权管理员预定义的操作或应用程序;向其它网络产品发送互动信号,进行联合行动的协商和执行。
如图3所示为本发明一种基于综合审计的云大数据智能安全管控系统中责任认定流程图,通过上述的多维度数据分析和分析报告,能够达到“问题可追溯、风险可控制、责任可追究”的责任认定。
在本实施例中,系统通过采用通用的、标准的数据格式,将不同的数据按照统一的标准化格式进行组织和分布式存储,内容包括事件 ID、事件发生的日期和时间、事件类型、事件的级别、主体身份、客体内容、事件的结果(成功或失败)。其中,安全审计产品自身审计子系统的数据单独存放,安全审计产品自身审计子系统的数据与其它被审计对象的数据分开保存到不同的记录文件或数据库(或同一数据库的不同表)中,可以方便用户查阅和分析,本系统还对产生的审计数据进行保护,防止其被泄漏或篡改,增强数据的安全保护。
在本发明的一些实施例中,为规范虚拟化产品安全审计内容、审计格式和审计接口,为第三方审计产品提供统一规范的审计功能接口,满足未来涉密网络集中管控的需要,定义及编制相关技术要求。审计数据应包括事件主体、事件客体、事件描述、事件时间、事件类型、事件结果、事件描述、行为类别。
如图4所示为本发明一种基于综合审计的云大数据智能安全管控系统中审计数据采集与规范示意图,在数据采集时,虚拟化产品通过主动上报和被动轮询的方式向外部提供审计日志数据,其中主动上报将采用Syslog方式,被动查询则采用WebService的方式,从数据源获取上可划分为:应用日志、数据库、API和WebService四种模式。其中,Syslog是日志发送和接收的一种协议,属于一种主从式协议,分为客户端和服务器端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息,并将其保存处理,本实施例中Syslog协议采用TCP,默认TCP端口为1468端口,编码方式采用UTF-8。WebService是一个应用组件,逻辑性的为其它应用程序提供数据与服务,各应用程序通过网络协议和规定的一些标准数据格式 (如Http、XML、Soap等)来访问WebService,通过WebService内部执行得到所需结果,WebService可以执行从简单的请求到复杂商务处理的任何功能。
本发明支持市场主流虚拟化技术,包括Vmware vSphere、Citrix XenServer、Hyper-V、KVM等,实现一体化审计监控:包括机架管理、资源池管理、网络资源管理、软件资源管理、虚拟机管理、存储资源管理等。关于Vmware vSphere、Citrix XenServer、Hyper-V、KVM 等主流虚拟化技术的具体结构参考现有技术即可。
在本发明中,一方面,在虚拟化产品检测中,本系统可以接受虚拟化平台上报的安全事件审计日志数据,也可以提取虚拟化平台产生的其他审计日志数据,为专职机构和相关人员提供了统一的审计监管平台,另一方面,为满足未来涉密网络集中管控的需要,本系统规范了虚拟化产品的安全审计内容、审计格式和审计接口要求,对网络安全事件的追踪起到积极作用。
本发明通过全方位审计采集数据技术手段对云平台各类设施采集数据,运用数据深度挖掘技术、细粒度数据分析技术,做到对平台信息实时精准态势分析,实现对全网安全管理态势可知、可控、可管、可查,用数据说话,达到对信息安全精准管理,从而提升安全监测、防护、响应、恢复和抗击能力,真正做到“问题可追溯、风险可控制、责任可追究”的责任认定。
本发明支持对云网络数据进行审计:网络访问协议、入侵可疑行为等;支持对云租户行为进行审计:虚拟机系统配置管理、虚拟机系统用户行为等;支持对安全设备进行审计等:管理员行为、安全策略管理等,至少解决了目前电子政务云平台主要面临的以下四大安全问题:虚拟化安全问题、数据传输安全问题、数据存储安全问题、数据审计安全问题,满足了电子政务云安全审计及技术统一的迫切需要。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。