天融信世博安管平台系统说明

　　一：背景概述

    信息化在推动上海世博会业务更好更快的发展上起到了不可替代的作用，但同时上海世博会在信息化建设中也面临着许多的信息安全威胁，如边界安全风险，主要包括黑客攻击、垃圾邮件等；内网安全风险，主要包括主机系统漏洞、服务配置不当等；应用风险，主要包括Web服务器、文件服务器安全风险等。所以，对上海世博局来说，重视和加强信息化安全整体监控的建设刻不容缓。

    而建立统一的信息安全监控平台需要与世博会各个业务系统提供商、网络服务提供商、安全服务提供商、以及相关部门进行有序的技术协商和安全管理思路的融合，同时日志标准化的工作面临着时间紧、责任大、技术难度高等一系列问题，安全监控平台技术进展面临着很大的考验。

　　二：四因素制约事件数据标准化

    第41届上海世博会是历史上参与国家最多、参观人员最多的一次。支持此次盛会的信息系统非常复杂，这对信息安全提出了非常高的要求。

    对于支撑、保障这些业务系统正常运行的网络设备、安全设备、系统、数据库等产生的事件数据全球没有统一标准，世博局设备种类众多，各个厂家设备的事件数据日志格式各异，功能各异，部署地点不在同一安全域，采集方式多异，归并难度大，强度高，事件流路径复杂等。这为事件数据采集、过滤、归并、关联带来的很大的技术挑战。

　　品牌各异：上海世博会为了通过信息化支撑业务系统，采购了大量的不同品牌的产品，如微软、IBM、CISCO、华为等等。
　　产品功能各异：操作系统、数据库、存储、路由器、交换机、防火墙、UTM、网闸
　　部署地点各异：安全管理域、互联网域、周家渡、行政中心机房等

    事件内容各异：各个厂家都有自己的自定义字段

    事件发送方式各异：snmp syslog wmi opsec 等，甚至有些厂家没有提供显示的日志发送功能（通过二次开发融合）。

　　三：从四方面入手解决事件数据标准化的问题

    经过细致深入的讨论研究后，攻关团队将问题分解为4个方面，分别着手解决日志标准化的问题。这4个部分是：

    1. 数据采集方法的标准化

    攻关团队在原有的基础上完善了系统的数据采集层。新的数据采集层能够实现对各类安全设备的安全数据的采集，在组成形式上数据采集层可以由多种形式的采集功能组件组合构成，支持分布式的采集处理架构。

    新的数据采集层支持对各类安全对象的标准接口协议的适配。实现对包括安全对象的配置、运 行状态、安全事件、脆弱性等数据的采集。数据采集层应支持主流采集协议或接口方式，包括但不限于：

    Syslog：采集Unix，支持Syslog协议的防火墙、路由器、交换机、防病毒和IDS等系统或设备；

    SNMP、SNMPTrap V1、V2、V3：采集支持Snmp协议的防火墙、路由器、交换机、防病毒、终端补丁、IDS和应用系统等系统或设备；

    OPSEC：采集CheckPoint防火墙的日志；

    ODBC/JDBC：采集存储到于关系型数据库的应用系统日志；

    通用文件：支持基于文件的日志采集，能够通过模板配置完成日志记录的格式化；

    专用日志采集接口：对仅支持专用管理接口的系统，能够支持多种专用API采集接口和通用的采集调度能力，例如脆弱性扫描系统的API或接口XML文件、Windows的WMI；

　　2. 原始事件格式标准化：

    安全事件采集过程收集到多种类型的原始事件信息，而这些原始事件的格式和内容不尽相同。攻关团队开发了一套基于数据格式和数据映射脚本的数据标准方法和过程。数据格式化脚本，用于按照需要对数据进行灵活的拆分、组装，实现数据格式化。数据映射脚本，用于将格式后的数据进 行语义表达，实现数据映射。最终实现数据归一化。与传统的基于插件的数据标准方法相比，具有开发、维护难度小，快速灵活适应客户化等特点。

    事件标准化过程将不同的事件数据格式转换成标准的事件格式并对其分类与存储，能够为上层各分析模块提供数据支持。

    经标准化处理后的各事件包括以下属性：

序号	名称	是否必需	说明
1.	发送安全事件的设备地址	是	发送该事件的设备地址。
2.	发送安全事件的系统类型	是	该设备的设备类型名称。
3.	事件名称	是	格式如 “HTTP_读命令”
4.	协议类型	否	涉及网络协议的事件必填。参照常用协议类型表，未列出的自行填写。
5.	特征串	是	详细事件特征串
6.	事件源IP	否	按网络字节序存
7.	事件目的IP	是	按网络字节序存。在病毒、蠕虫类事件中，为感染这些恶意代码的系统IP。
8.	事件源端口	否	按网络字节序存
9.	事件目的端口	否	按网络字节序存
10.	发送流量	否	发送的流量。异常流量事件必填。
11.	接收流量	否	接收的流量。异常流量事件必填
12.	发送流量单位	否	如有发送流量，必填。其中，0：KB；1：MB。
13.	接收流量单位	否	如有发送流量，必填。其中，0：KB；1：MB。
14.	进入数据包数	否	接收数据包数量。异常流量事件必填。
15.	离开数据包数	否	发送数据包数量。异常流量事件必填。
16.	事件相关域名和URL	否	网页挂马、域名劫持、CGI攻击、网络仿冒等涉及域名和URL的事件必填
17.	原始危害等级	否	直接取原始事件中的某个字符串在初始化部分赋给它即可
18.	归并数量	是	多个事件归并的数量
19.	事件内容	是	事件内容描述(从原始日志中提取得关键字)，例如Syslog包所有原始内容

　　以上是安全事件属性的基本内容，其他属性可以作为对安全事件描述的辅助属性。

[1] [2] 下一页