安全应用与服务
多源联动平台基于聚合安全操作系统,利用多源日志采集系统收集多类型安全日志,对数据进行预处理和存储,通过安全大数据分析系统对存储的预处理数据进行分析、分类,通过情报系统进行二次威胁校验,通过智能联动系统对分类安全威胁进行动态安全策略处置,最后安全可视化和全局监控系统将各子系统整体运行状况和联动情况进行可视化呈现和告警。
● 监控中心:多源设备监控根据设备类型分为日志源监控、阻断器监控、代理监控三种。监测不同设备的运行状态、响应时间、以及各个设备的详细信息。系统资源监测主要监测系统本身的内存占用率、CPU占用率、磁盘占用率、设备详细信息以及设备的授权管理。
● 日志中心:多源详细日志主要是安全设备产生的告警数据可以通过网络流量、日志、系统API接口方式被多源平台采集数据。各类安全设备可以通过将分析出的告警数据封装成网络数据包,将相关数据包通过网络发给多源平台,采集模块通过抓取网口流量,逆向组包分析相关流量包,提取所需要的数据。数据采集范围包括网络中的的所有安全设备设备采集分析的数据;日志采集方式包括但不限于以下方式:Syslog、JDBC等。安全厂商的设备智能通过其数据API接口对外输出其分析产生的数据,因此多源平台提供了相关接口来适配提取安全厂商设备的数据。
● 策略中心:策略管理主要是建立分析模型、处置模型、以及交换机对应的模型信息。同时设置不同的处置规则,包括通用设置、以及其他关于重要活动时间、内网池、处置时间等一些特殊设置。支持黑白名单管理、配置管理、报表管理等功能。
● 分析中心:攻击分析以图形化的形式显示分析模型的情况、告警事件的数量及攻击次数、威胁等级的分布情况。支持攻击趋势的分析、攻击目标的排名及攻击类型的分析、攻击源的分析情况等。情报平台模块内置威胁情报库,同时支持通过API添加第三方情报平台,将攻击者与情报库信息进行碰撞匹配,多维度展示攻击者情报信息。
● 处置分析:处置分析是以图形化的形式展示当日阻断数量、当日失效数量、历史阻断数量、历史失效数量。处置模型的统计分析以及攻击阻断的总趋势等。处置管理主要是对网络防火墙、终端防火墙、专用阻断器、网络设备的管理。处置分析依照策略动态灵活智能处置,确保威胁在全局范围内实时预测、发现和阻断,避免因人为原因或非工作时间等原因错过最佳处置窗口。详细展示处置信息以帮助管理人员对处置情况进行快速的查看或处理。
● 安全建设创新思路:传统安全防护建设思路为积木式搭建,根据防护漏洞来弥补对应缺少的功能。此种建设方式只能在发现问题后去解决问题,防御被动且滞后。多源联动平台的建设思路为主动防御,体系式建设,能够最大化发挥安全设备的作用,最大化提升安全防护能力。
● 安全防护闭环:目前安全设备注重威胁检测和威胁分析,那么防护最终要落地到处置,而处置环节是目前安全防护最薄弱的一环,因为手动操作具有很多局限性。而平台实现了处置环节的自动化与检测分析融为一体,实现安全防护的闭环,并且实现全流程的自动化、智能化。
● 化零为整:安全防护建设,必不缺少大量的各种类型的安全设备,然后这些大量安全设备是各自为战,彼此之间没有联系,缺少信息的共享、统一调度,使得整体价值没有完全发挥。平台作为连接各安全设备的桥梁,打通各设备各品牌的壁垒,实现安全设备的专项发挥,最大化提升每台设备的作用,使整体价值发挥到最大。
● 一站式安全防护:检测类设备的对接,实现了所有告警信息的统一归集、排序、展现,无需对每台设备再进行频繁监控;处置类设备的联动,实现策略的统一下发,无需在每台设备单独配置策略。即平台实现了所有安全设备的针对安全防护方面的一站式管理,通过平台的监控、大屏展示、智能处置,可以实现高效的安全防护工作。
● 管理效率提升:平台的各种智能、自动化功能,最终目的是提升安全防护效果,并且能够为安全管理人员降低运维压力。平台的一站式管控,能够代替工作人员进行多台设备的告警监控,高级威胁的应急处置,大量并发策略的实时下发。通过平台能够实现1人达到10人运维效果,极大的提升了安全运维管理的效果,节省人工成本。