回顾信息系统的历史,我们一直沿着智慧的脚步前行。从计算机、网络、互联网到云,以及物联网和智慧地球,信息系统正大步跨入智慧时代。信息安全是信息系统的保障,更需要通过智慧的思考,架构智慧的解决方案。
智慧是对事物能迅速、灵活、正确地理解和解决的能力。智慧首先需要尽可能全面的信息获取。其次是理解,即正确的建模和理解信息的含义。第三是分析,通过知识和经验,结合我们的创造力,得出正确处理问题的方法和判断。智慧的信息安全管理系统同样需要实现信息系统的信息获取、理解和分析,并将分析结果进行可视化人机交互。
下面,我们以网御星云安全管理系统为例,探讨信息安全管理系统智能的实现,我们将分两期讨论这个话题,本期首先讨论智慧安管的信息采集。
网御安全管理系统Leadsec-SOC技术架构示意图
熟话说,巧妇难为无米之粥,没有全面的信息系统信息获取手段,所有分析数据都将是空中楼阁,缺乏数据支撑和实际意义。同时我们也看到,获取信息系统信息也不应当是无限度的,过度获取信息可能导致信息系统性能下降,成本上升,所以我们应当寻找一个平衡点。从信息采集方法上看,今天的安管系统不应当只支持被动的采集方法,还应该支持主动的采集方法,实现主动感知和被动感知相结合,为安全管理提供更有价值的数据分析基础。
网御星云安全管理系统Leadsec-SOC具有丰富的主、被动采集方法,支持诸如Syslog、SNMp Trap、FTp、OpSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、VIp、Web Service等各种协议的信息采集,同时支持按计划驱动漏洞扫描,并自动获取系统资产脆弱性等先进的主动信息采集,形成多维度立体化信息系统信息获取。
安全管理系统不仅获取信息,还需要理解信息,这里包含两个层面,一是对信息系统的理解,二是获取信息内容的理解。
第一,从对信息系统理解的角度,安全管理系统应该能够从不同的维度映射信息系统。如网络管理通过网络拓扑来映射网络系统,而安全管理系统则对信息系统的映射扩充到了资产维度、安全域维度、网络拓扑等多维度,而从业务的维度理解信息系统,实现以业务为核心的安全管理系统则是新一代安全管理平台的标志。
第二,从获取信息的理解角度,我们需要意识到信息安全管理系统面对的信息是海量和异构的,但当今市场中,各家的日志规范各不相同,没有统一标准,譬如有的设备把安全等级分为8级,有的分为5级,有的使用“0”表示最严重的安全事件,有的用“0”表示最轻的安全事件。而网御星云安全管理系统Leadsec-SOC采用先进的范式化技术,通过可导入导出的标准XML范式化文件,快速定义和标准化信息系统信息的格式,并预留足够的范式化字段和备用字段,使安全管理系统能够快速标准化采集信息,为理解和深度分析信息打下坚实的数据基础。
本文讨论了全面的信息采集、多维度的信息系统映射和信息的范式化,这些功能是智慧安管的基础,下一期,我们还将讨论如何智慧的分析和可视化展示信息系统的整体安全态势,实现信息系统的监控、风险管理、审计和运维,敬请期待。
