摘要：当BYOD、社交化办公、云及虚拟化以及运维服务外包等新一代组网形态日益普及，这也让网络安全问题变得更为棘手。新的网络安全问题随之而来，即网络的边界在哪里？被保护的对象在哪里？如何对新式的组网进行安全防护？本文将给出答案。

近年来企业或政府的边界防护日益的完备，但网络安全事件却依然频发。

2014年12月，一份包含13万12306网站用户的账号、明文密码、身份证、邮箱、手机号等敏感信息的文件,在网络上疯狂传。

2015年2月，海康威视的窃密门事件的危害严重，而起因竟是网络安全中最为低级的安全漏洞-弱口令。

2015年5月，发现精密组织的网络APT攻击，持续时间长达3年，使用“鱼叉”、“水坑”等攻击手段，攻陷政府人员、外包商、行业专家等目标人群电脑。

众多的安全事件表明传统的基于边界封堵的方式已经难以阻拦多样化、智能化的安全威胁，网络安全面临新挑战。如何保证安全运维管理工作的有效性？如何快速预测、感知风险？是摆在安全运维管理人员面前的主要难题。

一、网络安全重要武器-“安全监控中心”

为解决上述安全运维管理难题，需广泛收集来自企业内的安全设备、应用、服务器、数据库等单点设施的安全日志，对日志数据进行横向拉通，结合资产和业务，从中发现隐蔽的攻击痕迹并预测其影响程度，及时响应处理。“安全监控中心”即是这样的系统。有别于单点安全产品，如部署于边缘的防火墙，应用于主机的HIPS等等，安全监控中心是广泛收录基础架构设施中与安全存在关系的日志，并进行融合分析的集中化安全产品。单点安全产品往往用于对某个区域或者台服务器进行单独防护，缺乏信息的整合和关联，也难以从业务或企业级别进行整体风险度量。安全监控中心具有以下特点：

1、 具备企业网络整体监控功能，该功能时刻监控整网安全。

2、 企业业务安全状态评估功能，主要是对业务面临的风险状况进行评估，对安全管理启到预警作用。

3、 对分散在基础架构设施中的事件进行闭环式管理：即原始事件解析、事件关联分析、威胁响应，使安全运维更有效。

4、 事件关联分析：减轻安全事件的漏报以及海量原始事件带来的“噪音”。

5、 事件高速检索：应支持从海量的数以亿计的事件中快速检索到结果。

6、 安全风险监控：网络、安全、业务全面风险度量，使重要业务、服务器、企业整体的安全风险得以全面直观展现

二、“安全监控中心”平台详细设计

“安全监控中心”设计应遵从ISO13335风险管理模型，对威胁进行监管，对重要资产、业务进行保护，采用各种技术（如多厂商设备事件通用处理框架、事件关联分析、大数据分析、安全策略全局部署、威胁响应等）进行安全防护，最终消除企业面临的安全风险。除上述因素外，在设计上还应注重以下几点：

1、 以业务风险管理为导向和根本动力，形成层次化的纵向监控呈现。

2、 形成资产、业务、事件、脆弱性等的融合关联，监控数据的横向拉通 。

3、 提供安全设备管理、策略部署、风险分析、预警、响应、报告等，实现安全的全方位监管。

图1 安全监控中心架构

如图1所示安全监控中心从结构上大致分为数据处理层、服务管理层以及业务表示层。数据处理层用于对收集到的来自被管设备的日志进行标准化处理并进行存储；服务管理层则行使安全监控中心的业务逻辑处理，包括安全服务管理、安全事件分析、安全风险分析和安全响应管理。而业务表示层则是针对服务管理层的业务逻辑，做对外业务呈现和交互，比如，综合监控管理、业务风险风险、事件关联分析、事件明细检索、安全事件分析等。相比之下服务管理层的作用较为突出，下文将对这一层的主要功能详细展开描述。

1、 安全服务管理

如图2所示，“安全服务管理”的主要作用是FW、IPS等安全设备的安全策略配置管理和部署、安全设备软件及配置文件管理等，确保关键安全节点自身的正常运行。

图2安全服务管理

与此同时，对网络和应用的管理是作为安全监控中心中的重要辅助功能，主要用于：监控到的性能指标用于事件关联分析、确保关键路径安全设备的正常运行、攻击拓扑溯源等。

2、 安全事件管理：

安全事件管理是安全监控中心的基础功能，对数据处理环节标准化了的基础架构设施中的日志及事件进行事件级的关联分析、多维度统计分析及明细等功能。安全事件管理应该是SEM与SIM的一体化事件分析管理。

• SEM：即安全事件管理。收集和分析来自网络及安全设备产生的安全事件进行分析；
• SIM：即安全信息管理。收集和分析来自主机及应用系统的日志进行分析。

Gartner提出SIEM的概念，首次将SIM和SEM整合在一起，认为安全监控中心系统必须首先是一个SIEM管理系统，在这中间，SIM聚焦于内控管理；SEM关注于内外部的威胁及安全事故响应处理。

新一代安全监控中心系统必须是一个以SIEM为根基的安全运维管理系统，设计时应考虑以下几个方面。

a) 事件关联分析

经过基础架构设施建设之后，企业往往会部署很多种类、不同厂商的安全产品，每种安全产品都会产生大量的安全日志及事件。而面对海量的安全日志及事件，管理者往往无所适从，难以从中提炼出真正需要关注的安全问题，这就对安全运维管理工作构成了一个巨大挑战。事件关联分析即是解决如此难题的一把钥匙。事件关联分析要能从海量的来自异构数据源的事件或日志进行相关性分析，找出其中的联系，从中提炼出需要运维人员关注的“关联事件”，这也体现了量变导致质变的道理。并且事件关联分析至少应该涵盖如下处理：

• 简单事件关联：对事件中的要素进行简单关联，比如，凌晨3点产生的来自FW的安全事件需要重点进行关注，于是就可以定义相应的关联规则，来产生这样的事件
• 事件序列关联：将多个具有时序性的相关事件组合分析，比如，FW产生了指向某个目的IP的DDOS安全事件，IPS同样上报类似事件，主机IPS也上报了类似事件，即可认为该攻击很可能已经达成，于是我们就可以定义相应的关联规则，来产生这样的事件
• 事件归属关联：针对来自不同归属类别的事件进行关联分析。比如，网络设备首先上报针对某个目的IP的大量扫描，而该IP对应的主机随后有大量的登录尝试，随后登录成功，即可认为该攻击属于定点爆破攻击而且很可能已经达成，于是我们就可以定义相应的关联规则，来产生这样的事件
• 统计关联：统计一段时间之内的事件，当触发关联规则时产生新事件。比如，设定10分钟范围内的触发某规则的一系列事件，产生一条新的安全事件。
• 资产状态关联：可以结合资产当前状态，对设备产生的事件是否达成进行评判。比如，防火墙上报针对某个目的IP的DDOS事件，而该目的IP对应的主机CPU明显升高，则基本可以断定该主机正在承受攻击，于是我们就可以定义相应的关联规则，来产生这样的事件

针对关联分析结果，应该具有关联事件相关的界面进行呈现，针对分析产生的事件，还应能基于关联出的新事件生成告警。

b)事件统计分析

首先，传统关系型数据库已经不能满足海量安全事件及日志的存储和检索（TB甚至PB级别的数据量）需求。应该对安全事件明细存入高速读写的数据库中，比如，NoSQL数据库或者典型的内存数据库如Spark等，在事件查询上将具有比传统关系型数据库快数十倍的性能表现，同时，真正从海量日志中进行查询也得以成为现实。

在安全监控中心实现上，事件统计分析应至少包括如下的展现能力：

• 多维度分析：从攻击、漏扫、设备、主机、运行状态、综合等等多维度，分别给出系列数据分析报告，不留死角的对企业安全状态进行全面呈现，使安全监控中心的使用者更有效聚焦安全威胁
• 事件概览：对最近一小时的安全事件进行呈现，便于管理员快速获知当前的安全态势。事件概览中提供攻击源、攻击目的、产生事件最多的设备、产生最多的事件等多个TOP统计图表；同时提供IPS规则级别、攻击协议等统计图表；并支持查看安全事件趋势。
• 事件明细：安全监控中心应该长期维护安全事件的历史数据，根据过滤/审计条件展示整网的攻击事件，以列表的形式显示攻击时间、攻击源、攻击目的、攻击协议、攻击事件等信息，并提供对应的攻击源/目的/设备/事件TopN，针对某一个攻击，能在拓扑中绘制攻击路径，然后可以限制攻击源的连接速率或用户下线操作，可以有效的控制flood等攻击。同时，在设计上应该既能体现出事件清单明细，又能对清单明细进行统计并一屏体现出来，以方便安全运维管理工作。针对每条事件，还应该能支持事件拓扑溯源，即基于拓扑关系，提供从源到目的端的真实拓扑路径，管理员可进行更有针对性的实施管理动作。

3、 安全风险分析：

安全事件分析是以事件为核心，来进行安全分析，属于微观层面的分析；而安全风险分析是站在资产和业务、以及整个企业的高度，进行宏观的风险分析、安全风险评级。

• 资产风险监控：资产风险由指向该资产的攻击事件以及漏洞组成。攻击事件前文已经提到过，漏洞由漏洞扫描系统通过扫描目标资产而获得，典型的漏扫应包括：Web漏扫、主机漏扫、数据库漏扫，并提供漏洞风险情况的展现，以便于及时进行漏洞修复。由攻击事件、漏扫结果进行计算，得到某个资产的安全评分。
• 业务风险监控：首先应该进行“业务建模”，也就是将具有相关性的资产通过建模，来构成一个业务，比如，人力资源管理系统可能由两台服务器、一台网络设备、一个Apache应用组成。业务的安全度数值由该业务下各个资产的安全度通过加权计算而得出，反映出该业务面临的风险状况。
• 全局风险监控：应该体现出全局安全评分，由各个资产安全评分加权得到；也应该提供高风险资产、安全告警、网络告警、安全事件趋势、攻击源和IP变化趋势等内容，从宏观视角评判整个企业的风险情况，有利于快速做出安全运维管理方面的决策。

4、 安全响应管理

通过对安全事件、安全风险的分析，可以生成相应告警事件，此时则通过安全响应管理对这些事件进行及时和规范的处理和解决。在响应上，至少应该提供如下方式：邮件响应、短信、声音、SNMP TRAP等通知用户，并触发响应动作，响应动作应该包括但不限于：用户下线、用户隔离、加入黑名单、执行设备命令脚本等。

为了使事件处理更为规范，还应提供事件处理流程，并能支持流程定制，用来实现安全事件的运维工单，可以跟踪每个环节人员的工单处理流程，直至流程关闭。

结束语：

安全监控中心是面向全网IT资源的集中安全管理平台。通过对海量异构网络与安全事件的采集、处理和分析，通过对安全�