大数据安全分析与预警平台建设方案.docx

《大数据安全分析与预警平台建设方案.docx》由会员分享，可在线阅读，更多相关《大数据安全分析与预警平台建设方案.docx（73页珍藏版）》请在第一文库网上搜索。

1、大数据安全分析与预警平台建设方案目录1 .概述 51.1. 项目背景 51.2. 项目目标 52 .安全风险分析 62.1. 网络安全风险 62.1.1. 网络病毒威胁 62.1.2. 数据泄露的风险 72.1.3. 内部局域网的安全威胁 72.2. 主机安全风险 72.3. 应用系统安全风险 82.3.1. 数据库系统平台风险分析 82.3.2. 中间件系统平台风险分析 92.3.3. 网站系统平台风险分析 93 .方案设计原则 104 .参考标准 105 .安全模型 116 .技术方案设计 116.1. 平台架构 116.2. 不同网络区域的安全威胁应对之道 136.2.1. 互联网出口

2、156.2.2. 互联网区数据中心 186.23.公共区数据中心 216.11.3.运维管理员视角 646.3.1. 调查取证 256.3.2. 关联分析 296.33.机器学习 311.4. 数据采集和预处理 331.4.1. 采集范围和方式 331.4.2. 数据预处理 351.4.3. 数据源要求 361.5. 数据存储 411.5.1. 数据底层存储架构设计 411.5.2. 数据逻辑架构设计 411.5.3. 对存储量及性能的设计 431.6. 资产管理 441.6.1. 资产管理功能设计 451.6.2. 基础信息 461.6.3. 安全域态势 471.6.4. 网络资产梳理 47

3、1.7. 统计分析 481.8. 知识库和威胁情报分析 491.9. 告警响应 501.10. 事件处置 521.10.1. 安全事件分类 521.10.2. 安全事件分级 531.10.3. 安全事件处理流程 541.10.4. 工单系统 541.11. 安全信息可视化 551.11.1. 领导视角 567. 实施部署 677.1. 系统部署 677.2. 性能设计 687.3. 软硬件清单 687.4. 项目团队 697.5. 实施周期 697.6. 项目管理 708. 方案总结 708.1. 方案优势 708.2. 后续规划 711.概述1.1. 项目背景XX企业网络是我国XX企业信息化

4、建设的关键，随着XX企业信息化程度的提高,对信息系统的依赖程度越来越高。同时 整个XX企业网络的信息系统所面临的各种安全风险也日益严重，如何更好地为XX企业网络和电子政务信息系统提供安全保障，确保XX企业网络的安全运行和信息化的健康发展是XX电子政务网络和信息系统建设所面临的一个主要问题。根据XX企业网络的主要功能和独特的安全需求，结合国家相关政策，建立XXXX企业网络的安全管理平台，强化信息系统基础平台的安全管理，建设可信的信息系统环境，为XX的各类信息系统的安全、可靠、稳定、高效的运行提供良好的基础和强有力的保障。1.2. 项目目标通过大数据安全分析和预警平台的建设，建立XXXX企业网络安

5、全监控信息汇总枢纽和信息安全事件风险协调处理中心。大数据安全分析和预警平台负责监控区安全信息的收集、汇总、分析与展示，对XX企业网络的互联网出口、互联网区数据中心和公共区数据中心进行实时监控和威胁分析，以及对各相关部委的安全事件协调处置和统一指挥调度。深化已建设信息安全项目的持续提升、提高IT资源防护水平，有效弥补XX企业网络信息安全风险管理的全局可知、可辨、可控、可管与可视能力，提升信息安全风险事件处置水平与信息安全运维效率，提高对XXXX企业网络信息安全宏观态势的掌控、分析和评估水平。具体实现以下目标：1）整体和局部的安全状况可视可对XXXX企业网络的安全状况进行可视化的展现，包括整体、局

6、部、不同区域、不同的单位、不同人员视角多维度。通过大数据安全分析平台可掌握安全状况如何。2）未知威胁和异常行为的检测分析支持从各种数据源产生的海量的告警、日志、其他数据中及时关联分析出重要紧急的安全事件，通过大数安全分析平台统一告警。3）对安全事件进行分类分级响应建立安全事件分类分级响应机制，通过大数据安全分析平台和工单系统对安全事件分类分级响应。4）安全事件的取证溯源当发生安全事件或进行检查时，通过大数据安全分析平台可快速的进行相关事件的长周期全文溯源取证。5）整体和部门的安全报表报告可提供整体和部门的安全报告报表，作为工作汇报总结和决策支撑的依据。2.安全风险分析2.1. 网络安全风险由于

7、和外网互连后，病毒、攻击者可以将攻击或病毒携带在EMAIL、网页里，P2P软件里，社交媒体里传播进入内部网，通过内部人员上网的正常过程来感染内部客户机,这样就会出现大量数据流量，内部访问速度变慢的情况，严重的会直接导致交换机崩溃,所有网络通讯停止。除了 Internet,实际上外部的其它网络，由于不可控制，如果不注意安全防护，安全风险并不比Internet少，这也是种网络互联的风险。所以，将与外部网络互联的安全威胁列为XX信息系统网络中的头号风险。2.1.1. 网络病毒威胁网络是病毒传播的最好、最快的途径之一，病毒程序可以通过网页浏览、网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径

8、潜入内部网。病毒的传播途径如此众多，传播速度如此之快，因此，病毒的危害是不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。XX信息系统的网络（现状）比较庞大，各级网络之间均存在路由可以相互访问。一旦有任何一个网络中的任何一台主机感染病毒，都将非常迅速地在整个网络中传播。2.1.2. 数据泄露的风险各种信息资源的访问控制要建立在可靠的身份鉴别之上。XX信息系统的网络内未采用集中的证书认证系统，客户端对业务数据库的访问，几乎都是采用的用户名、口令方式，完全有可能因为口令泄漏、口令脆弱等

9、各种原因导致身份假冒，从而使原有的访间控制措施失去效力。并且远程管理也通过明文传输协议TELNET, FTP, SMTP, POP3,这样任何一个人都可以在内部窃听数据，通过简单的软件还原数据包，从而获得机密资料以及管理员口令，威胁所有服务器安全。2.1.3. 内部局域网的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络。如内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；内部不怀好意员工编写破坏程序在内部网上传播；内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都将对网络安全构成很大的威胁。从XX组织架构上看，既不可能有一个管理中心来保证所有各级网络的

10、安全性，又不可能有效管理每一个员工的网络行为，因此，采用某种手段来防范来源于内部的风险就显得特别重要。2. 2.主机安全风险XX信息系统中可能存在的主机安全风险如下：非法外联通过双网卡、WIFE 3G、蓝牙、红外等方法进行非法外联造成内外网联通的风险;A木马病毒主机感染木马病毒的风险;系统漏洞主机存在被黑客利用的系统漏洞的风险；外设违规使用通过使用U盘、光盘等外接设备造成的安全风险； 一机两用访问互联网的主机与访问内部网络的主机混用，造成信息安全风险；2. 3.应用系统安全风险XX信息系统的应用系统由数据库系统平台、中间件系统平台和XX信息系统的网站系统平台组成等。因此，对应用系统安全风险的分

11、析也就是对各种系统平台的安全风险分析。2.3.1. 数据库系统平台风险分析数据库系统一般可以理解成两部分：一部分是数据库，按一定的方式存取数据；另一部分是数据库管理系统，为用户及应用程序提供数据访问，并具有对数据库进行管理、维护等多种功能。随着计算机在社会各个领域的广泛应用，信息系统中的数据库管理系统担负着集中处理大量信息的使命，但是数据库通常没有像操作系统和网络那样在安全性上受到重视。数据完整性和合法存取会受到很多方面的安全威胁，包括对数据库中信息的窃取、篡改和破坏，计算机病毒、特洛伊木马等对数据库系统的渗透、攻击，系统后门以及本身的安全缺陷等。数据库系统平台是应用系统的核心，其面临的安全风

12、险包括：偶然的、无意的侵犯/或破坏。自然的或意外的事故。例如地震，水灾和火灾等导致的硬件损坏，进而导致数据的损坏和丢失。硬件或软件的故障/错误导致的数据丢失。硬件或软件的故障/错误导致可能导致系统内部的安全机制的失效，也可导致非法访问数据或系统拒绝提供数据服务。人为的失误。操作人员或系统的直接用户的错误输入、应用系统的不正确的使用。蓄意的侵犯或敌意的攻击。授权用户可能滥用他们的权限，蓄意窃取或破坏信息。病毒。病毒可以自我复制，永久的或通常是不可恢复的破坏自我复制的现场，到达破坏信息系统、取得信息甚至使系统瘫痪。特洛伊木马。一些隐藏在公开的程序内部收集环境的信息，可能是由授权用户安装（不经意的）

13、的，利用用户的合法权限窃取数据。隐蔽通道。是隐藏在合法程序内部的一段代码，在特定的条件下启动，从而许可此时的攻击可以跳过系统设置的安全稽核机制进入系统，以达到窃取数据的目的。信息的非正常的扩散。对信息的非正常的修改，包括破坏数据一致性的非法修改以及删除。 绕过DBMS直接对数据进行读写。2.3.2. 中间件系统平台风险分析对于中间件的安全风险主要是在网络互连及数据通信过程中来自不速之客的非法性动作，主要有非法截取阅读或修改数据、假冒他人身份进行欺骗、未授权用户访问网络资源等。2.3.3. 网站系统平台风险分析网站的常见风险包括：拒绝服务攻击；端口扫描；篡改网站主页；非授权用户访问；冒充合法用户

14、的访问； Web服务器主机的详细信息被泄漏； Web服务器私人信息和保密信息被窃;利用Bug对Web站点进行破坏；3 .方案设计原则易扩展性原则系统具备良好的可扩展性，支持未来随着用户容量的增加和业务扩容。系统具备灵活的体系架构，支持对新系统接入的快速响应。系统应考虑到升级、扩展以及与其它应用系统的接口能力。产品具有良好的扩展性，能够快速响应需求的扩展，满足买方的进一步需要。开放性，兼容性原则设计规范、技术指标及产品均要符合国际和工业标准，并可提供多厂家产品日志的支持能力。安全性原则系统开发、建设及维护的全过程中，在代码安全、数据保密、系统安全防护措施上采取较严格的措施，进行缜密的权限、身份、

15、帐号与信息加密管理，以保证系统和数据的安全。管理、操作、易维护性随着信息系统建设规模的不断扩大，系统的可管理性已成为系统能否实施的关键，系统必须具有了友好的用户界面，操作简单、直观、灵活，易于学习和掌握。4 .参考标准本方案制作过程中主要参考了以下标准：国家XX企业网络安全等级保护实施指 GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 IS027001 （信息安全管理体系标准） GB/Z20986 （信息安全技术信息安全事件分类分级指南）5 .安全模型本方案采用以大数据安全分析平台为核心的新型安全模型，安全模型如下图:基于传统安全设备的纵深防御模型是基础；基于大数据技术的实时异常行为检测和持续监控是核心;外部安