针对运营商大数据安全运维在国外SOC系统与网管系统(network management system,NMS)/网管中心(network operations center,NOC)等系统紧密相关,在SOC的建设过程中比较关注SOC与NOC的集成与互操作,在这种理念下实现的SOC更加关注的是安全事件的管理,也就是常说的SIM(security information management)或SEM(security event management)。以SIM为中心的SOC在实现时可以和NOC等共用一些数据收集模块或者支撑模块。根据ITU-T TMN管理模型,网络管理包括故障管理、性能管理、配置管理、安全管理、计费管理。因此,在国外SOC也常被看作是网管中更加细化的安全管理,如同在运营商中经常应用的一些故障管理系统一样,SOC常常作为网管系统的一部分或是与网管系统紧密联结的安全管理系统。
当前,信息安全日益受到重视,典型的安全管理系统通常由多种安全设备组成,如防火墙、IDS(入侵检测系统)等,这些安全设备通常由不同的厂商生产,随着网络规模的增大,安全设备的增多,企业安全管理呈现出如下一些问题:
●不同设备之间缺乏互操作性;
●不同安全设备着眼于网络安全中的某一方面,缺乏整个网络的安全统一视图;
●缺少对全网安全事件的查询、统计、分析等功能;
●缺少全网安全事件的监控、事件定位等功能;
●安全操作的工作量增大,发生了安全事件时可能需要在不同的设备上分别进行操作,难以进行全网安全资源的调配和优化;
●不能关联企业的信息资产进行风险管理以及预警管理,使得安全管理一直处于被动管理阶段;
●安全设备以网络为中心进行安全管理,并不能体现企业最关心的应用系统的安全状况,如运营商中的BOSS系统、ERP系统等。
针对运营商安全运维需要构建一套先进、完善的综合安全运维管理平台,集中采集信息系统的日志信息、配置信息、性能信息、流量信息、安全信息等,实时监控主机系统、网络系统、业务系统、数据库系统、安全系统的运行状况,并进行智能化的关联分析,找出IT威胁事件的根本原因,达到对整体网络安全状况的整体监控、管理,动态了解当前网络安全状况,同时能迅速提高企业员工的整体安全意识。
平台应以信息资产为核心,以风险管理为主要途径,通过技术手段提升网络安全管理成熟度,建立主动安全防御体系,有效降低安全风险。
平台架构分为四层:
接入层:根据要求从网络设备、安全设备、主机系统等数据来源采集各种安全信息。
处理层:将采集到的原始安全信息进行关联分析处理,并将所有安全信息进行格式标准化处理,根据策略进行数据归并和压缩后,存储到数据库中。
业务层:从数据库中提取信息,并按照策略完成数据的过滤、条件分析,为展示平台提供数据支持;通过工作流引擎定制各种安全事件的处理流程。
展示层:实现安全运维平台的统一界面展示。通过统一的图形化管理界面,安全运维平台实现了安全监控、维护、管理、展示的全部功能。
针对运营商对于IDC安全运维管理的需求,在电信IDC部署信泽大数据智能安全运维管理平台来作为统一威胁监管平台,系统自动实时接收来自IDC内各类主机、网络设备和安全系统的安全威胁事件,
通过在统一威胁分析平台上制定的安全策略进行威胁分析,并结合信息资产的安全保护等级进行智能化的综合关联分析,科学合理的定义IT事件的性质和处理级别。
该解决方案满足了电信运营商对于IDC安全运维方面的具体需求,具备网站监控防护和预警告警的能力,能够定时提供网站运维报告和安全分析报告,结合多方威胁情报,提高安全事件的分析准确率,降低安全运维人员的工作量.
此外,大数据安全运维平台还是一个开放的系统,基于插件化的架构提供了该系统良好的扩展性和兼容性。
