单位文秘网 2022-02-15 08:11:10 点击: 次
信息安全管理平台的设计思路,提出了引入大数据关联分析和历史数据追溯等技术,重点防范“AET【注1】和APT【注2】”攻击的设计要点,可供从事信息安全管理平台研发的专家和技术人员参考。
1 引言
前些年,在我国推进信息安全体系建设的工作中,各行业在信息网络边界和纵深部署大量信息安全防护产品的基础上,为了符合国家信息安全的相关政策和监管要求及便于进行一体化管理和掌握整个信息系统的安全态势,许多单位还部署了信息安全管理平台,并在信息系统安全运行和管理上发挥了重要的作用。
信息安全管理平台是网络中心必备的安全管理基础设施,是网络安全管理员遂行网络安全管理任务的必备手段,是网络安全体系结构中的一个重要技术支撑平台。为规范网络系统的安全管理,重要的信息网络都应设置信息安全管理平台(见《信息安全技术 信息系统等级保护安全设计技术要求》GB/T 24856—2009)。
近年来,随着云计算、物联网和移动互联网技术的兴起,信息网络的边界愈发模糊,系统中的虚拟化技术和设备被广泛采用,信息系统中的安全信息采集和集中审计变得更加困难。另一方面,外部的信息安全威胁,随着AET和APT技术的不断升级,也变得愈来愈凶险和难以防护。面对当前信息安全的新形式,以往的信息安全管理平台必须进行更新换代或升级改造。
搭建新一代信息安全管理平台(以下简称平台)有重要意义:(1)设计和建设新一代平台是构建自主可控信息安全体系体系顶层设计不可或缺的重要一环,以实现对重要信息系统的风险可监控、可管理、业务过程可审计,真正实现安全体系自主可控,保障体系安全;(2)引入大数据分析技术完善平台关联分析能力,增加AET和APT攻击的检测技术手段,提升信息系统安全态势感知和预警能力,可及时发现和处置重大信息安全威胁,真正实现信息安全自主可控。
2 设计目标
信息安全管理平台的设计目标是:设计一体化、开放性和具有智能防御未知威胁攻击的平台。一体化就是将多家不同类型的安全产品整合到一起,进行统一的管理配置和监控。开放性就是提供标准的接口,使第三方产品很容易整合到系统中。智能防御未知威胁攻击,就是充分利用和发挥大数据技术应用于安全态势和安全事件的深度挖掘和分析,对AET和APT进行检测和响应,构建智能化的主动防御系统。
通过信息安全管理平台,对网络系统、网络安全设备以及主要应用实施统一的安全策略、集中管理、集中审计、并通过网络安全设备间的互动,应对已知和未知的安全威胁,充分发挥网络安全防护系统的整体效能。
3 设计原则
依据GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 20269-2006《信息安全技术 信息系统安全管理要求》,结合网络安全管理的实际需求,按以下原则设计信息安全管理平台。
(1) 标准化设计原则。为了能够与第三方厂家安全产品联动,安全管理平台需制定安全产品互联的接口标准,这个接口标准在业界应具有权威性并易于操作,便于各厂家实现。
(2)逐步扩充的原则。网络系统安全集中管理包含的内容很多,管理技术难度很大,安全管理平台的建设应选择好切入点,本着由简至繁,逐步扩充的原则进行。
(3)集中与分布的原则。许多单位网络从结构上看,呈树状的多节点分层(级)结构。这些网络具有分布广、结构复杂的特点。为此,可在各层(级)网管中心设置安全管理平台,其作用是对本级局域网进行集中安全管理;上级对下级采用分布式分级的方式进行安全管理。
4 设计要求
(1)可扩展性。信息安全管理平台的系统设计,终端采用以对象模型驱动的管理机制,对象模型用XML语言描述,可以通过定义/修改对象模型的属性(关系和操作),即插即用地扩充和管理网络终端及服务。此外,管理平台主机在性能和带宽上,应留有一定冗余度,具有管理1000~5000个对象的扩展能力。
(2)易用性。信息安全管理平台提供的所有功能,应做到操作简易,界面友好,使用方便。
(3)经济性。信息安全管理平台设计,应采用先进的、成熟的软硬件IT技术,搞好总体设计,优化软件编程,避免重复投资,提高性能价格比。
(4)稳定可靠性。信息安全管理平台设计,应重视硬件支撑设备的选型,性能上应留有空间;安全管理软件要经过充分测试,不断优化,保证系统稳定可靠运行。
(5)自身安全性。信息安全管理平台设计,要重视自身的安全性,系统应具有管理员身份和权限的双重鉴别能力,应保证数据网上传输的完整性、保密性和数据记录的真实可靠及抗抵赖性。
5 系统组成和主要功能
信息安全管理平台的基本功能是:对网络系统、安全设备、重要应用实施统一管理、统一监控、统一审计、协同防护,以充分发挥网络安全防护系统的整体作用,提高网络安全防护的等级和水平。
5.1 系统组成
信息安全管理平台由几个模块组成:人机界面模块、总控模块、安全网管模块、安全监控模块、安全审计模块、安全策略处理模块、安全代理模块、安全事件分析模块、安全事件响应模块、设备配置模块、平台与设备接口模块和安全管理数据库。系统的逻辑结构如图1所示。
(1)人机界面模块。面向安全管理员的操作控制界面。
(2)总控模块。总控模块控制信息安全管理平台各模块正常运转,其中包括网络通信和通信加密程序,用于保障网络间远程数据交换的安全(主要是真实性和完整性)。
(3)安全网管模块。用于显示网络拓扑并进行安全网管。
(4)安全监控模块。用于对网络主机和网络设备进行安全监控。
(责任编辑:单位文秘网) )地址:https://www.kgf8887.com/show-116-98933-1.html
上一篇:绿色建筑中建筑电气设计的应用探析
下一篇:试分析游戏概念设计与插画的差异
版权声明:
本站由单位文秘网原创策划制作,欢迎订阅或转载,但请注明出处。违者必究。单位文秘网独家运营 版权所有 未经许可不得转载使用