安全解决方案的使命就是在先进的理念与方法论的指导下,综合运用安全技术、产品、工具,提供客户化的服务,全面系统地解决客户面临的安全问题。
1.理念与方法论
理念与方法论主要关注如何将各种安全要素有效地配合来满足安全需求。一个解决方案中最核心的部分是解决方案所基于的理念与方法论,它好比解决方案的神经中枢。尤其是对那些看起来相似的安全需求,基于不同的理念与方法论会得到大相径庭的安全解决方案。
良好安全理念和方法论力图挖掘和把握信息安全的本质规律,以便为客户提供可行的,易实施的安全解决方案。
2.需求获取
客户的安全需求是整个解决方案的起源和持续的推动力。没有对客户本身、客户的行业、客户的业务、客户系统的安全需求做详细和准确的分析之前,不可能得到切合实际的解决方案。
在需求分析过程中,会采用多种需求分析方法。比如,BDH方法,就是从业务、分布、层次等三个方向进行分解,同时考虑业务分解后的各要素之间的内在联系,力求完整而准确地获取客户的安全需求。
3.安全措施
安全措施是解决方案中具体的方法、技术、服务和产品等的集合,但又不是简单的堆砌。一个解决方案除了要有正确的安全理念和方法作为基础,全面、清晰地把握客户安全需求之外,还要对可用的各种安全措施(产品与服务)的特点有准确的了解和
把握,深刻理解各种措施之间的内在联系,取长补短,充分发挥服务和产品的特性,最终提供有效的实施方案。
4.安全实现
安全实现是解决方案的最后一步。所谓“行百里者半九十”,优秀的安全解决方案必须通过完美地实现才能真正生效,满足客户的安全需求。
在努力完善理念和方法论的同时,要注重安全实现与执行。从项目管理、质量保障等方面全面加强。
二、解决方案指导思路
三观安全包括:微观安全、宏观安全和中观安全。
三观安全的一个典型模型就是上图的执行模型。上面的执行模型分为底层的实现层,体现为安全部件,即安全产品和规范化的安全服务;中间的运营层,体现为对于安全产品的集成管理和各种安全任务的流程管理;顶层的决策层,包括决策支持、残余风险确认,以及顶尖上的“使命”。
任何安全系统、安全项目、安全工作都要在三个层次体现和实现:都要上传到决策层,以确保决策层的支持和指导,并且能够保证对于机构真正使命的支撑和达成;都要下达到实现层,以确保所有问题都落实得非常具体,达成安全要求;而且还要通过运营层,协调、控制、反馈、管理实现层的安全要素,已达成决策层的安全使命和决策。
从微观到中观是一个协调管理的过程。从中观到宏观是一个总体监控的过程。从宏观到中观是一个全局指导的过程,从中观到微观是一个控制和配置的过程.
事实上,同一安全要素可能同时包括了微观、中观、宏观三个层次的内容。例如安全策略中,执行流程是微观的内容,规范是中观的内容,而安全策略的基本方针则是宏观的内容。
三、电信运营商网络安全需求分析
目前影响电信运营商的主要安全事件主要表现为:
全网爆发性的蠕虫和病毒
对于全网的拒绝服务攻击
对于支撑网和OA网的入侵
软硬件设备的故障导致系统重大灾难
从技术层面来看,运营商最关注的安全属性可以归结为:
在设计电信运营商网络安全系统的过程中,都充分考虑各项措施对于上面安全目标属性的直接和间接支撑。力图将安全的能力侧重在这些重要的点上。
同时,未来的安全建设也要持续考虑上面的目标属性要求,而且还要不断检查和改进上述判断。
四、电信运营商网络总体安全监控解决方案
1、对IP骨干网进行全面流量监测,发现异常流量和蠕虫、拒绝服务等突发安全事件
电信运营商IP骨干网络总体分为IP公共服务骨干网和IP支撑服务骨干网,分别承载IP公共服务业务系统和电信运营商的电信网络运行维护及营业服务支撑系统。针对IP骨干网络的高位流量监测一大特点是能够比较容易的从宏观的角度观测到整个网络的整体状况,IP、端口、协议等流量是反映骨干网整体状况的最好也是最直接的事件对象。自动化蠕虫、恶意代码等在爆发前需要做大量的探测,扩大其可利用传染、控制途径,特定的网络流量时间走势和流量分布会发生明显的变化,这是作为网络流量异常的典型特征。
在IP骨干网进行流量异常检测,相当是在一个高位上建立宏观监测的机制,其监测分析结果就具有典型代表性。
启明星辰最新推出天阗流量异常监测系统可以对1G-16G的高速网络进行全面的流量监测。
天阗流量异常监测系统是三层分布式结构,由管理控制中心、流量监测中心、流量监测引擎(流量异常监测阵列引擎)组成。
通过流量检测,描绘出连续的流量曲线,可以发现异常安全事件的突然爆发。
通过对定义关注的恶意流量特征,描绘出连续的事件流量分布曲线,可以发现由于安全事件(特别是蠕虫)发生带来的附加流量等在网络中分布变化趋势。
基于滑动时间窗置信区间的自学习异常发现功能能够通过对一个时间窗(包括系统默认时间窗口,如:24小时自动滑动窗口模型,和用户自定义滑动时间窗口)内历史数据的自动学习,获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础,在实际运行中不断自我调整、逼近,最后自动剔除历史时间窗内的异常历史数据,实现历史时间窗数据与网络实际正常流量行为特征的高度吻合,从而可以提高对异常流量报警的准确性。
因此,通过在骨干网络层面对各种异常进行分析,就有可能在各种安全事件爆发前,从事后到事前、从被动到主动、从预警到保障地建立安全事件反应机制。
帮助用户建立的正常流量模型,在第一时间迅速发现网络流量的异常,并研究其原因,做出及时而准确的流量异常报警和安全响应;
帮助用户研究和发现网络攻击和蠕虫病毒的发生发展的规律,估计可能造成的影响、发生的范围,从而研究相应的防范对策。
2、建立全面的入侵检测和漏洞扫描体系,及时发现安全问题和建立预警、应急措施
在整体的宏观网络安全中,依靠安全策略的指导行必要的系统防护有积极的意义。但是,随着技术的发展,网络中新的安全事件和安全漏洞会不断出现,带来新的安全风险。
在攻击与防御的较量中,监测(Detection)是处在一个核心的地位。在实时监测中,入侵检测和漏洞扫描系统是目前最为主要的一个广泛应用的技术和管理手段,用来对网络中的入侵事件的监测采集和安全漏洞的分布统计,以及时调整安全策略和修补防护。
对于电信运营商来说,入侵检测和漏洞扫描系统属于跨地区的广泛部署。因此在管理上需要采取集中监测、分级部署的方式。各个点的入侵检测系统和漏洞扫描通过自带的管理软件进行配置和本地区的事件监测,同时将各地产生的事件上报,形成集中的安全报告。
启明星辰天阗入侵检测与管理系统可以统一管理入侵检测和漏洞扫描系统,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有的对应关联关系,给出入侵威胁和资产脆弱性之间的风险分析结果,从而有效地管理安全事件并进行及时处理和响应。
因此,通过建立全面的入侵检测和漏洞扫描体系实施,将实现以下目标:
(1)建立全网统一策略的大规模入侵检测体系
(2)建立全网网络和应用系统漏洞扫描机制和漏洞扫描监测体系
(3)建立全网对于重大潜在攻击和破坏源的预警体系
