——江苏地税局借助大数据可视化技术构建防病毒安全管理平台
2013年爆发的斯诺登事件,为全球网络安全敲响了警钟。
2015年初,瑞星公司发布的《瑞星2014年中国信息安全报告》指出,新增病毒的总体数量依然呈上涨趋势,数量增加了128.75%。瑞星安全专家预测,伴随着国产Linux系统即将普及,随之而来的Linux病毒极有可能大规模爆发。由于Windows系统漏洞的大幅下降,黑客将演变为“团体作战”模式,并将关注焦点从个人转向企业及政府。受此影响,未来带有经济或政治目的的大型网络攻击事件将有可能成倍增加。
病毒木马千变万化,近年来还出现了APT攻击等新型安全威胁,这让被动防守的企业、政府机构等组织防不胜防。
不仅如此,2015年4月,由工业和信息化部电子科学技术情报研究所及社会科学文献出版社共同发布的《世界网络安全发展报告(2014-2015)》进一步指出,网络安全的战略地位已在全球形成普遍共识,世界各国纷纷加快战略推动步伐,以应对日趋激烈复杂的网络空间竞争。未来网络安全威胁将更加严峻,安全情报将更加重要,网络攻击将威胁国家安全,网络安全将面临万物互联新挑战。
那么,面临信息安全和网络安全的新形势,我们有没有什么新策略来应对呢?
大数据PK新网络安全威胁
大数据技术的诞生,为传统的信息安全手段带来了新的发展契机。目前,业界已出现将大数据分析技术应用于信息安全的技术,即大数据安全分析。该技术的普遍应用方式是,通过建立大数据安全分析和展现平台,对安全大数据进行实时分析和历史分析, 建立行为轮廓,并进行行为建模和数据挖掘,就能帮助安全分析师识别出攻击者及其攻击行为和过程,并提取攻击特征,反馈给安全防御设施进行阻断。
在这一技术中,数据可视化扮演了重要角色,依靠可视化技术,可以实现对安全数据的预警总览、列表及图形展示、病毒和风险的全过程的历史情况展现以及用户权限控制等功能。
借助大数据分析技术,人们能够更好地解决海量安全细节数据的采集、存储和计算等问题,借助基于大数据分析技术的机器学习和数据挖据算法、前端可视化展现技术,人们能够实时了解网络安全状况,可以更加主动地防范和处理安全威胁。
来自地方政府的一个真实案例
当很多机构还对于大数据技术有些生疏的时候,江苏省地方税务局(以下简称江苏地税局)已经悄然通过大数据分析技术成功搭建防病毒安全管理平台,为政府部门构筑更加坚实的信息安全体系做出了示范。
在搭建此平台前,江苏地税局就已采用过一系列的网络安全措施。例如,对内部网和外部网实行物理隔离;采用防火墙技术;安装防病毒软件;建立备份系统等。但由于仍存在网络系统的安全隐患问题,江苏地税局决定搭建防病毒安全管理平台。
在项目实施前,江苏地税局梳理了自己面临的几大问题:部分硬件或软件产品依赖国外进口,核心技术掌握在别人手里,没有完全的主动权;病毒发生分布情况和态势不知,没有预警和管理功能;桌面杀毒软件和网络防病毒网关互动性差,整个网络防病毒防护体系未有效形成,现有产品安全效益发挥不足;各地和省局无法及时了解辖区内病毒发生情况,无法及时排查和处理病毒风险,无法对病毒管理实行考核;病毒目的行为不知,病毒行为风险对网络和信息系统危害无法及时防范和处理。
作为本项目的实施方,瑞星邀请了国内专注于数据可视化分析解决方案的提供商北京永洪商智科技有限公司(以下简称永洪BI)参与该项目的设计和实施:瑞星提供病毒数据,永洪BI则负责病毒和攻击的查询、分析,并将管理平台部署到江苏地税局信息安全管理系统中,帮助该系统应对网络安全威胁。
“五驾马车”驱动信息安全管理平台
为了更加安全、高效地构建江苏地税局的信息安全管理平台,在平台设计阶段,永洪BI就在病毒及时防范和查杀的基础上,基于全省和各级防病毒管理岗责体系,制定了严谨的防病毒安全管理工作规范,并通过构建“五驾马车”来驱动防病毒安全管理平台的最终目的。
首先是工作平台。工作平台主要满足安全管理员及安全审计员对风险的全过程处理,风险事件管理,绩效考核及统计汇报,日常情况交流和通知等工作需要。
其次是监控平台。监控平台是对病毒情况进行实时监控,以方便管理者实时了解病毒最新情况,支撑决策者做出正确的判断。另外,该平台还要对系统的运行情况进行实时监控,以实时掌握系统的状态。病毒情况的监控,从以下几个方面来体现,包括病毒风险监控、病毒爆发监控、重点监控。其中,重点监控从三个角度进行,即重要部门、重要人员、重要资产;系统的运行情况监控是只对病毒硬件运行状态实时采集,以便管理者及时发现问题,并解决问题。
第三是分析平台。分析平台是对病毒风险及病毒爆发情况进行详细分析,从中得出结论,支持决策。分析平台提供两种分析模型,即病毒风险分析以及病毒爆发情况分析。该平台主要满足病毒时序和地域分布,关联关系分析,技术和历史分析,针对已发生或者预期可能发生的各种风险进行评估和预测。建立通用管理分析平台,模仿“会议管理”模式,仿真人工管理,实现“所想即可选、所选即可得”的地域、时间、通用业务和常规技术分析,满足全面管理和个性化管理的需要。
第四是管理平台。管理平台主要实现对本系统的各种管理配置,以便系统满足所需,达到预期要求。管理平台包括防护策略管理、风险策略管理、工作流模板管理、报表管理、考核管理、知识库管理、经验库管理。
最后是系统平台。系统平台包括用户管理、岗位管理、角色管理、单位资产管理、防护设备管理、系统中心配置、系统维护与升级。
在江苏地税局的案例中,我们可以看到,大数据安全分析平台架构分为采集层、大数据层、分析层、管控层和呈现层,分别完成采集、存储、分析和展示,采用多种分析方法,完成数据分析、挖掘和可视化展现的功能,为安全分析人员和管理人员提供快捷高效的决策支持。而江苏地税局的防病毒管理平台作为整个项目的核心部件,将分散的安全要素信息进行集中、存储、分析、可视化,对分析的结果进行分发,对分析的任务进行调度,将各个分散的安全分析技术整合到一起,实现各种技术间的互动。
目前该项目已顺利实施,其成效十分显著:该平台平均每3个月统计900万病毒,病毒感染的次数比以前减少了很多,系统风险也因此大大降低,基本可以杜绝全网病毒大暴发而影响整个税收工作开展的事件。此外,防病毒安全事件处理的响应时间和处理时间都大幅度缩短,足以保障全省税务业务网络、支撑网络、业务系统以及整个信息化系统安全高效的运行。
类似案例,永洪BI以前接触过不少。例如,永洪BI一直在帮助国内某知名运营商打造信息安全分析系统。该系统的功能是,对移动运营商的核心网数据进行全量分析,采集分析来自运营商移动核心网的关键日志数据,通过模式识别算法,帮助移动运营商从海量数据中分析发现恶意软件的蛛丝马迹。在本项目中,全网数据量的峰值为数百万条/秒,每小时增量数据上千亿条,极大地考验了实施方的大数据处理能力。
永洪BI的数据可视化分析软件直接基于细节数据,即可通过拖拽快速生成分析报表。它强调自服务操作,业务人员可自己上手完成分析需求;一天内实现新报表、变更报表需求。而后端的MPP数据集市,则利用列存储和内存计算,实现从千万到百亿级数据分析的秒级响应。