高偉

摘要：業(yè)務(wù)系統(tǒng)中的安全防護(hù)技術(shù)和產(chǎn)品發(fā)展至今，已經(jīng)非常全面了，包括了防火墻、IDS、主機(jī)防護(hù)、防病毒、VPN等等，但由于融合度低，容易形成一個(gè)個(gè)的安全孤島?，F(xiàn)在這些技術(shù)產(chǎn)品如果全部納入了安全信息與事件管理之中。不僅能完成對(duì)于這些技術(shù)產(chǎn)品的整合，還滿足了企業(yè)日常管理的需求。比如說安全風(fēng)險(xiǎn)評(píng)估策略、防病毒策略、安全資產(chǎn)的管理、安全事故的處置流程等等。本文重點(diǎn)在于如何建立和設(shè)計(jì)一個(gè)高效能的SIEM。

關(guān)鍵詞：SIEM；風(fēng)險(xiǎn)管理；安全預(yù)警

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）07-0036-03

Abstract：Business system of security technology and product development up to now， has been very comprehensive， including the firewall， IDS， host protection， antivirus， VPN， etc.， but due to the alignment is low， easy to form the safety of the island. Now all these technology products， if incorporated into the security information and event management. Not only can finish for the integration of these technology products， also meet the needs of the enterprise daily management. This article focuses on how to build and design a highly efficient SIEM.

Key words：SIEM；Risk Management；safety alarm

1 引言

隨著網(wǎng)絡(luò)信息化的飛速發(fā)展與應(yīng)用，各單位經(jīng)過多年的信息化建設(shè)，單位內(nèi)部網(wǎng)絡(luò)已部署相關(guān)的信息安全產(chǎn)品設(shè)備，包括防火墻、VPN、入侵防御、基線掃描、行為審計(jì)、病毒過濾網(wǎng)關(guān)等。基本涵蓋了威脅檢測、脆弱漏洞管理、安全審計(jì)、邊界安全的信息安全運(yùn)行各層面的基本要求。隨著安全信息化建設(shè)的不斷加深，勢必還要增加新的安全設(shè)備或安全子系統(tǒng)，與越來越多的安全設(shè)備相對(duì)應(yīng)的是，缺少統(tǒng)一的監(jiān)控、管理系統(tǒng)，如此多的安全信息系統(tǒng)彼此獨(dú)立數(shù)據(jù)信息互無關(guān)聯(lián)，分散的管理應(yīng)用不但給管理人員帶來更大的管理負(fù)擔(dān)，而且造成監(jiān)控管理效率低下，不能聯(lián)合發(fā)揮安全保障作用。

針對(duì)這樣的現(xiàn)狀，能夠?qū)π畔踩a(chǎn)品來綜合管理、以及對(duì)業(yè)務(wù)系統(tǒng)的安全態(tài)勢統(tǒng)一監(jiān)控的安全信息、事件管理系統(tǒng)將會(huì)是一個(gè)較好的解決方案和途徑，統(tǒng)一的安全信息與事件管理系統(tǒng)（SIEM）將實(shí)現(xiàn)對(duì)IT各種資產(chǎn)的集中化管理、信息安全產(chǎn)品的告警信息統(tǒng)一采集、分析、管理、綜合各類事件及監(jiān)控信息形成針對(duì)性的告警。

2 SIEM概述和設(shè)計(jì)

2.1 SIEM簡介

SIEM系統(tǒng)主要責(zé)任是監(jiān)控并分析以及管理整個(gè)信息系統(tǒng)的整體信息安全勢態(tài)，并為整個(gè)信息業(yè)務(wù)系統(tǒng)的安全運(yùn)維提供關(guān)鍵的服務(wù)。

SIEM系統(tǒng)通過使用多種采集技術(shù)和手段來收集和融合各類信息安全事件，并使用強(qiáng)大的事件關(guān)聯(lián)分析算法、推理技術(shù)和基于ISO 27005的風(fēng)險(xiǎn)管理內(nèi)容，實(shí)現(xiàn)對(duì)信息安全事件的深度挖掘和分析，能迅速做出不同的響應(yīng)，實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的統(tǒng)一監(jiān)控、分析以及預(yù)警并處理。

SIEM系統(tǒng)需要依據(jù)ISO 27005風(fēng)險(xiǎn)管理安全標(biāo)準(zhǔn)，結(jié)合整體風(fēng)險(xiǎn)管理的的最佳實(shí)戰(zhàn)，以安全資產(chǎn)管理為基礎(chǔ)，以風(fēng)險(xiǎn)管控為主要核心，以信息安全事件管理為主線，通過深度的數(shù)據(jù)挖取、若干個(gè)信息事件的關(guān)聯(lián)等技術(shù)，并輔助以有效的監(jiān)視，報(bào)警響應(yīng)等功能，對(duì)業(yè)務(wù)系統(tǒng)內(nèi)部的各類安全事件進(jìn)行集中的管理和智能的分析，來實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)態(tài)勢的統(tǒng)一監(jiān)控、分析、預(yù)警處理。

2.2 SIEM架構(gòu)

2.2.1總體架構(gòu)

1）安全對(duì)象層：SIEM來進(jìn)行統(tǒng)一監(jiān)控和管理的資產(chǎn)對(duì)象，包括入侵防御、防病毒網(wǎng)關(guān)、漏洞掃描、防火墻、VPN、入侵檢測、行為審計(jì)等設(shè)備。安全管理系統(tǒng)是這些設(shè)備的上層管理同臺(tái)，同時(shí)這些設(shè)備也是安全關(guān)系系統(tǒng)實(shí)現(xiàn)統(tǒng)一安全監(jiān)控、管理的具體手段和數(shù)據(jù)來源。

2）數(shù)據(jù)采集層：這個(gè)層面用來使用各種采集技術(shù)來采集被監(jiān)控對(duì)象層的資產(chǎn)的數(shù)據(jù)，并將該數(shù)據(jù)傳輸?shù)降胶诵奶幚韺?。各種事件在數(shù)據(jù)采集層進(jìn)行標(biāo)準(zhǔn)化、過濾并壓縮歸并。

3）核心處理層：也叫做數(shù)據(jù)管理層。在這個(gè)層面來實(shí)現(xiàn)對(duì)信息安全的各種數(shù)據(jù)的深入深加工處理并負(fù)責(zé)用戶相關(guān)功能的核心業(yè)務(wù)邏輯。核心層主要完成的任務(wù)包括：運(yùn)行監(jiān)測、安全分析、策略管理、風(fēng)險(xiǎn)管理、關(guān)聯(lián)分析、安全對(duì)象管理、脆弱性管理、事件管理、報(bào)表管理等。

4）集中展示層（數(shù)據(jù)呈現(xiàn)層）：集中展示層主要負(fù)責(zé)完成與用戶之間的交互，達(dá)到安全預(yù)警和事件監(jiān)控、安全運(yùn)行監(jiān)控、綜合分析的統(tǒng)一展示，是綜合安管平臺(tái)與各類安全管理人員交互的窗口。

2.2.2 平臺(tái)技術(shù)架構(gòu)

安管系統(tǒng)包括數(shù)據(jù)采集機(jī)、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器和客戶端四部分。相關(guān)部分之間通過消息總線進(jìn)行通訊。

2.3 SIEM核心功能設(shè)計(jì)

從架構(gòu)上的系統(tǒng)組件，SIEM可以分為三大塊組件：服務(wù)器（SIEM-Server）、代理（SIEM-Agent）、數(shù)據(jù)庫（SIEM-DataBase）。代理負(fù)責(zé)在業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)中采集全網(wǎng)出現(xiàn)的各種安全事件，對(duì)原始安全事件進(jìn)行收集、過濾、歸并等預(yù)處理操作后發(fā)送給服務(wù)器；服務(wù)器負(fù)責(zé)對(duì)預(yù)處理后的信息安全事件進(jìn)行統(tǒng)一的分析、響應(yīng)、可視化輸出；數(shù)據(jù)庫負(fù)責(zé)統(tǒng)一的存儲(chǔ)預(yù)處理后的信息安全事件數(shù)據(jù)，方便追朔。

2.3.1 首頁動(dòng)態(tài)配置

SIEM提供首頁配置功能，首頁應(yīng)該具有內(nèi)容豐富，實(shí)時(shí)性強(qiáng)，與用戶交互友好等特性。如系統(tǒng)操作員的首頁包含以下主題：全局風(fēng)險(xiǎn)趨勢、安全域風(fēng)險(xiǎn)趨勢、風(fēng)險(xiǎn)安全對(duì)象Top10、事件相關(guān)監(jiān)控、系統(tǒng)性能監(jiān)控等。

2.3.2 安全對(duì)象管理

SIEM系統(tǒng)通過對(duì)業(yè)務(wù)系統(tǒng)中關(guān)鍵的各種安全對(duì)象的實(shí)時(shí)監(jiān)控，及對(duì)安全對(duì)象所產(chǎn)生的安全事件進(jìn)行風(fēng)險(xiǎn)化的分析和加工處理，從而可以維護(hù)各種管理的安全對(duì)象的安全屬性。所以，安全對(duì)象的設(shè)置、分類是信息安全管理員在運(yùn)行使用SIEM系統(tǒng)時(shí)首先需要完成的。

通過各種安全對(duì)象視圖可以查看安全對(duì)象的軟件硬件信息、漏洞補(bǔ)丁列表，通過查看該安全對(duì)象的最新的掃描報(bào)告可以了解最新的漏洞信息。

2.3.3 脆弱性管理

SIEM對(duì)系統(tǒng)中的安全對(duì)象進(jìn)行脆弱性漏洞的監(jiān)視，方便信息安全管理員動(dòng)態(tài)及時(shí)的了解掌握各個(gè)安全對(duì)象的名稱、IP、CIA屬性及漏洞等參數(shù)信息。

SIEM還提供了第三方漏洞掃描服務(wù)的管理接口，以便對(duì)相應(yīng)安全對(duì)象進(jìn)行脆弱性收集。管理員可以將第三方的漏洞掃描報(bào)告（如Nessus掃描報(bào)告）導(dǎo)入SIEM系統(tǒng)，從而由SIEM系統(tǒng)進(jìn)行解析處理，最后得出相應(yīng)安全對(duì)象的脆弱度。

2.3.4 風(fēng)險(xiǎn)管理

SIEM系統(tǒng)依據(jù)ISO/IEC 27005風(fēng)險(xiǎn)管理信息安全標(biāo)準(zhǔn)，結(jié)合安全服務(wù)項(xiàng)目的最佳實(shí)戰(zhàn)，可提供動(dòng)態(tài)實(shí)時(shí)的對(duì)也為系統(tǒng)的風(fēng)險(xiǎn)現(xiàn)狀做整體的評(píng)估。SIEM系統(tǒng)可以根據(jù)多項(xiàng)指標(biāo)和算法來計(jì)算出安全對(duì)象的風(fēng)險(xiǎn)值，并根據(jù)指標(biāo)的變化來實(shí)時(shí)計(jì)算得出安全對(duì)象的當(dāng)前風(fēng)險(xiǎn)狀況。

SIEM系統(tǒng)還可自動(dòng)的對(duì)超過已經(jīng)設(shè)定的風(fēng)險(xiǎn)閥值的風(fēng)險(xiǎn)情況進(jìn)行及時(shí)響應(yīng)，提醒信息安全管理員關(guān)注出現(xiàn)此問題的安全對(duì)象的風(fēng)險(xiǎn)，以及時(shí)采取必要的防護(hù)手段。

2.3.5 事件管理

SIEM系統(tǒng)通過各種不同的方式采集業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)中的各類信息安全事件，對(duì)收集到的各種信息安全事件進(jìn)行標(biāo)準(zhǔn)化、過濾以及歸并，并按照預(yù)先在SIEM中定義好的各種分類規(guī)則對(duì)收集到的信息安全事件進(jìn)行不同的分類，同時(shí)實(shí)時(shí)的存儲(chǔ)到數(shù)據(jù)庫中，以進(jìn)行數(shù)據(jù)的及時(shí)保護(hù)，防止丟失。

SIEM系統(tǒng)支持市場上流行的日志收集方式，包括：snmp trap、syslog、數(shù)據(jù)庫等等。

SIEM通過關(guān)聯(lián)分析實(shí)現(xiàn)事件設(shè)備源與安全對(duì)象的關(guān)聯(lián)；來描述攻擊行為，建立智能的攻擊關(guān)聯(lián)場景，從大量安全事件中進(jìn)行實(shí)時(shí)的關(guān)聯(lián)分析，準(zhǔn)確的識(shí)別出真正隱藏在嘈雜事件中的入侵行為，從而實(shí)現(xiàn)報(bào)警信息的精確化，減少報(bào)警信息中的無用信息，降低誤報(bào)。同時(shí)，直觀的圖形化的攻擊場景配置，可以實(shí)現(xiàn)管理者能快速響應(yīng)信息安全問題。

2.3.6 安全預(yù)警

SIEM的安全預(yù)警功能，能根據(jù)來自預(yù)警信息的智能分析獲得對(duì)可能發(fā)生的各種威脅的提前通告，這是一種有效預(yù)防措施，和風(fēng)險(xiǎn)管理、安全資產(chǎn)管理等功能無縫聯(lián)系在一起。安全預(yù)警分為預(yù)備預(yù)警和正式預(yù)警，預(yù)備預(yù)警審核后變成正式預(yù)警，選擇性的進(jìn)行預(yù)警發(fā)布。預(yù)警信息除了在SIEM內(nèi)顯示以提醒信息安全運(yùn)維人員之外，還可以選擇郵件、短信和SNMP Traps等方式來通知相關(guān)人員。預(yù)警信息經(jīng)信息安全管理員篩選甄別后，由系統(tǒng)自動(dòng)地與安全對(duì)象進(jìn)行關(guān)聯(lián)，并且列出相應(yīng)受影響的安全對(duì)象和它們受影響的嚴(yán)重程度，并自動(dòng)通知相應(yīng)的安全資產(chǎn)的管理人員。

2.3.7 安全策略

SIEM提供的安全策略功能可協(xié)助運(yùn)維人員和信息安全管理者來制定各種針對(duì)不同對(duì)象（人員、設(shè)備、應(yīng)用）的安全策略，實(shí)現(xiàn)安全策略的快速導(dǎo)入以及安全策略的集中分級(jí)管理。并且支持安全策略的導(dǎo)出等功能。

2.3.8 報(bào)表管理

SIEM系統(tǒng)的報(bào)表管理功能用于管理和生成各類信息安全事件及各種安全對(duì)象信息的報(bào)表數(shù)據(jù)內(nèi)容。報(bào)表管理為用戶提供了各類統(tǒng)計(jì)信息的直觀綜合的視圖。

3 總結(jié)

綜上所述，一個(gè)高效能的SIEM可以為來自業(yè)務(wù)系統(tǒng)中的中所有IT資源（包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等各個(gè)層面）產(chǎn)生的信息安全信息（包括日志、警報(bào)）進(jìn)行統(tǒng)一的監(jiān)控、分析，對(duì)來自外部的入侵和內(nèi)部的入侵、違規(guī)操作、誤操作等行為進(jìn)行監(jiān)控、審計(jì)、調(diào)查、取證、產(chǎn)生各種報(bào)表報(bào)告，提升信息安全管理者對(duì)業(yè)務(wù)系統(tǒng)的的安全運(yùn)維運(yùn)營、各種威脅的總體管理和信息安全事件的應(yīng)急響應(yīng)能力。

參考文獻(xiàn)：

[1] 信息技術(shù)安全技術(shù)信息安全管理體系要求（GB/T 22080-2008）.

[2] 信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則（GB/T 22081-2008）.

[3] 信息安全管理體系—風(fēng)險(xiǎn)管理（ISO 27005）.