方案背景
随着客户业务系统对网络依赖程度的日益加深,以及层出不穷的安全威胁,各行各业对网络安全的重视程度也日渐加强。针对上市公司、大中型企业(尤其是央企)、银行、证券、保险,国家和各行业主管部门都出具了大量的内控、合规管理标准、规范、规定,都对IT信息系统的安全审计提出了要求。
针对中大型网络中IT资产多、日志量大的特点,系统支持级联和分布式部署的方式,配合系统高性能的日志采集技术,能够实现日志的集中化存储与审计,降低客户满足合规性要求的总体成本。
解决方案
安全审计中心应实现海量信息的采集、分析与展示,应用大数据技术对用户行为进行分析,快速发现单位网络信息系统异常行为和安全违规事件,保障客户内部数据安全,应符合并体现信息安全管理体系和等级保护的要求,并能够进行持续运营和改进。
以下为基于大数据技术开展应用安全审计系统建设的目标:
Ø 建立专业技术架构
利用大数据技术,建设专业的应用安全审计系统技术架构。以大数据技术实现应用安全审计系统的日志数据采集、汇聚、分析、处理和管理能力,完成对业务系统日志的分析和应用,着重建设应用安全审计系统对单位网络信息系统异常行为和安全违规事件的发现能力。
Ø 建立多种日志采集方式,实现日志审计日志采集范围全覆盖
建立多种业务系统日志采集方式,对应用、平台等日志进行采集、汇聚,实现全面的日志审计,构建全面的单位网络业务安全日志审计与分析体系。
Ø 建设可扩展的海量信息存储功能
对于采集到原始信息,以及审计信息都要进行保存、备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。
Ø 明确威胁场景,注重实战应用
明确行业内部常见的威胁场景,梳理重点,以数据驱动和专家驱动为切口,建设针对性的威胁模型,借助机器学习进行深度挖掘日志背后的关键信息。注重业务安全日志审计与分析实战应用,建设多样化的应用安全审计系统,做到事前预警、事中防范、事后追踪。
Ø 建设多种日志审计应用功能
建设全面、完整的日志审计手段和机制,构建全面的单位网络安全日志审计与分析体系。采用机器学习、大数据等技术,实现对海量日志数据的监控、分析、预警、预测、挖掘等功能,满足单位业务安全日志审计与分析需求。
方案架构
如上图所示,总体架构图包括五个部分:数据源、采集层、存储层、服务层、展示层;其中扩展集成部分为了丰富安全审计中心的内部威胁行为,增加了第三方的功能。
Ø 数据源
审计数据的数据源范围包括:应用、IAM平台、终端、网络日志等相关审计数据。
Ø 采集层
采集层实现对各类日志数据的采集和汇聚接入,通过数据对接、协议接口、主动采集等多种采集方式获取各类日志信息,并将各类日志数据整合、分类后统一接入汇聚到分布式数据库集群。
Ø 存储层
依托大数据平台建设安全数据存储资源池,采用分布式数据库集群构建基础库、主题库和聚合库,并对日志数据进行注册编目、质量监控等资产管理,为上层应用服务提供数据支撑。
Ø 服务层
对海量日志的数据价值进行充分的挖掘和分析,形成日志数据资产,并将挖掘和分析结果提供给数据应用层。
Ø 数据应用层
提供基础数据的全文检索、认证行为记录审计、账号生命轨迹审计。权限使用过程审计。
Ø 扩展集成
为了增强安全审计中心对企业内部风险的挖掘和探测,在自有架构基础上,扩展集成方式插入大数据等机器学习组件,达到更丰富的展示效果和挖掘企业内部用户的风险行为。
方案价值
Ø 数据驱动合规
一个平台实现统一安全数据的集中管理;通过将各类安全数据的统一采集、存储和检索和审计,日志存储和生产环境分离,基于平台提供的智能搜索界面,用户可以轻松的查找、分析安全相关信息,避免对生产环境的不当操作,提高安全运维效率,满足合规监管部门的基本安全要求。
Ø 数据驱动安全
检测高级安全威胁,降低安全风险;通过多种各种分析手段,帮助安全分析人员从海量数据中快速检测、发现当前正在发生、且真正需要关心的内外部高级安全威胁,并进行告警,方便安全人员及时处置,将风险降至最低。
典型案例
友情链接