该信息安全综合管理系统作为世博会安全监控和运维管理的统一平台,采用了J2EE体系架构设计,采用了B/S结构和基于HTTPS的WEB管理界面,无需安装任何客户端软件,并且所有功能模块之间的通信均采用SSL加密方式进行数据传输,使用起来非常方便,而且具有极好的自身安全性。该信息安全综合管理系统采用了很多先进的技术,包括:
基于数据格式和数据映射脚本的数据标准化方法
基于面向消息的中间件(MOM)和面向方面编程(AOP) 框架
基于SVG的网络拓扑与攻击展示技术
基于可扩展标记语言动态生成报表方法
基于状态机的实时关联分析方法
基于地理信息系统(GIS)的实时状态监控和显示
基于模型的安全态势感知和分析方法
通过采用这些先进技术,达到了对世博园神经网络进行全面安全监控、管理、分析、预警、响应、调度处理、应用备份、实时GIS状态显示、实时安全态势分析等以确保世博会安全举办的效果:
实现了对世博园神经网络内关键设备和系统的综合管理,管理的内容包括:设备和系统的管理属性(所属单位、人员)、业务属性(所属业务系统)、IT属性(IP、MAC)、安全属性(安全三要素CIA赋值、物理价值、脆弱性、风险值)等。
实现了对世博园安全事件的海量存储、处理和综合关联分析。通过采用基于状态机的实时关联检测技术,在大量事件(甚至是误报事件)中提取有用的信息,再现攻击场景,快速查询定位,发现并定位多起世博园神经网络遭受到的攻击、病毒、故障等。
拒绝服务攻击定位:发现世博园神经网络系统遭受的拒绝服务攻击,并成功定位IP,运维组成功处理攻击行为。
SSH暴力破解IP定位:通过关联分析主机日志,发现SSH登陆暴力破解,并成功定位IP。应用开发部门根据情况,调整系统配置,完善安全措施。
病毒定位:发现世博园神经网络系统内病毒发生情况并定位,为解决病毒问题提供了有力的帮助。
服务故障和连通性故障定位:通过信息安全综合管理系统几次发现世博园神经网络某系统服务故障和连通性故障,有些确认为是故障并及时排除,有些是应用部门在调整系统,告知了应用部门今后如有调整请告知运维团队。
实现世博园业务可用性监测,包括:对设备状态包括CPU、内存、磁盘、连接数等指标的监测,对业务端口连通性的监测,对HTTP服务的健康状态的监测等。
实现世博园信息安全状况的综合展示和实时监控。展示的信息包括事件查看、事件分布、应用连通性、主机状态、工单调度、安全风险走势、实时GIS状态显示、安全态势分析等,并能够以图形、表格等形式同屏显示,用户通过这种直观的监视方式能够及时发现系统中发生的安全问题、异常情况、安全隐患,及时作出响应;除此之外,还提供了拓扑形式的监视试图,通过拓扑试图能够更直观的发现哪个位置的哪个信息资产存在安全问题。
实现对世博园安全事件的及时响应和预警。通过定制事件响应规则,可以以声光报警、邮件报警、工单处理和短消息多种响应方式对世博园安全事件响应和预警,保证系统及其管理人员能够在最短的时间内对出现的安全问题作出反应,将系统的损失降到最低;同时,还可通过工单及工作流功能,保证告警信息及时传递给到正确的工作人员,以便工作人员依照流程进行规范快速处理。
为世博园安保提供决策支持。在长期积累的大量数据的基础上,对世博园安全事件和安全态势进行综合分析,得出宏观的规律和各类不同事件相互联系的规律,指导自动联动规则和安全策略的制定等。
