數(shù)據(jù)中心風(fēng)險洞察系統(tǒng) RIS

０引言隨著網(wǎng)絡(luò)安全法、等保2.0、ISO27001、上市企業(yè)法規(guī)、銀保監(jiān)辦[2018]313號便函等合規(guī)性政策的陸續(xù)出臺和收緊，數(shù)據(jù)中心運(yùn)維管理領(lǐng)域的合規(guī)建設(shè)需求以及安全管理需求越發(fā)凸顯。數(shù)據(jù)中心風(fēng)險洞察系統(tǒng)（DatacenterRiskInsightSystem，RIS），基于賬號、資產(chǎn)、操作審計等維度的數(shù)據(jù)采集和智能分析，及時發(fā)現(xiàn)數(shù)據(jù)中心運(yùn)維風(fēng)險并準(zhǔn)確溯源，實(shí)現(xiàn)數(shù)據(jù)驅(qū)動的多場景運(yùn)維安全管理。RIS以特權(quán)賬號管理、資產(chǎn)安全管理、終端安全管理、堡壘機(jī)（操作安全管理）為基礎(chǔ)組件，采用大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)檢索技術(shù)，配合工作流、調(diào)度、搜索三大引擎構(gòu)建數(shù)據(jù)分析層，為組織建立數(shù)據(jù)中心運(yùn)維安全管理平臺，面向政府、金融、電力、企業(yè)、互聯(lián)網(wǎng)等行業(yè)組織的數(shù)據(jù)中心構(gòu)建最強(qiáng)防御體系。１理念和架構(gòu)1.1

設(shè)計理念圖1RIS產(chǎn)品設(shè)計理念數(shù)據(jù)中心風(fēng)險洞察系統(tǒng)RIS以“數(shù)據(jù)驅(qū)動運(yùn)維安全管理”為核心設(shè)計理念，通過縱向的分層數(shù)據(jù)采集完成多維度風(fēng)險分析；基于橫向的“4w模型”（什么時間“when”、誰“who”、做了什么“what”、在哪里“where”），

對數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)潛在異常行為。設(shè)計理念如圖1所示。1.2

產(chǎn)品技術(shù)架構(gòu)

圖2RIS產(chǎn)品技術(shù)架構(gòu)

如圖2所示，RIS采用三層架構(gòu)設(shè)計，依次實(shí)現(xiàn)了對數(shù)據(jù)中心管理數(shù)據(jù)的自動化數(shù)據(jù)采集、數(shù)據(jù)分析和數(shù)據(jù)應(yīng)用，幫助用戶解決在管理過程中存在的身份不明、權(quán)限混亂、日志不可溯、橫向攻擊、弱口令、僵尸賬號、竊取數(shù)據(jù)等問題。數(shù)據(jù)采集：提供網(wǎng)關(guān)代理、API、數(shù)據(jù)引擎多種采集技術(shù)獲用戶、操作、資產(chǎn)、賬號的數(shù)據(jù)。數(shù)據(jù)分析：采用大數(shù)據(jù)分析、數(shù)據(jù)挖掘等技術(shù)手段，借助工作流引擎、調(diào)度引擎、搜索引擎對采集的運(yùn)維數(shù)據(jù)進(jìn)行分類、分析、流程化處理。數(shù)據(jù)應(yīng)用：對運(yùn)維操作流程進(jìn)行“切片”處理，從事前、事中及事后三個方面多維度解決現(xiàn)階段用戶面臨的一系列運(yùn)維安全問題。1.3

系統(tǒng)功能架構(gòu)（1）賬號安全管理系統(tǒng)引入用戶帳號概念，實(shí)現(xiàn)主從帳號管理，從而有效解決因系統(tǒng)帳號共享使用帶來的身份不唯一的問題。通過用戶管理功能，可對用戶角色分權(quán)、用戶認(rèn)證及身份識別進(jìn)行集中統(tǒng)一管理。同時，支持用戶自定義分權(quán)管理的同時考慮認(rèn)證多樣化，支持多種認(rèn)證方式共存、組合。除此之外，通過加強(qiáng)用戶認(rèn)證安全，滿足對身份識別安全管理規(guī)范。（2）操作安全管理基于用戶、設(shè)備、系統(tǒng)帳號、協(xié)議類型、登錄規(guī)則的嚴(yán)格訪問控制設(shè)置，有效規(guī)避非授權(quán)訪問帶來的問題；通過密碼托管和自動改密，使得密碼管理規(guī)范能有效落地，避免了因人員的流動還會導(dǎo)致設(shè)備密碼存在外泄的風(fēng)險；利用實(shí)時監(jiān)控和實(shí)時切斷功能，使得運(yùn)維管理擺脫了“黑匣子”模式，管理員可以隨時掌握用戶當(dāng)前的操作狀態(tài)，一旦發(fā)現(xiàn)高危操作立即進(jìn)行阻斷；具備完善的操作審計，在設(shè)備因人為操作導(dǎo)致故障的時候，能夠快速定位故障原因和責(zé)任人；產(chǎn)品功功能滿足安全等級保護(hù)、SOX、ISO270001、BS7799等安全規(guī)范對運(yùn)維操作管理的要求。（3）資產(chǎn)安全管理對用戶業(yè)務(wù)系統(tǒng)所屬的服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等資源進(jìn)行統(tǒng)一管理。支持以可視化方式自定義業(yè)務(wù)系統(tǒng)架構(gòu)，并以樹狀結(jié)構(gòu)方式展示資產(chǎn)視圖，并提供目標(biāo)資源、業(yè)務(wù)系統(tǒng)靈活管理參數(shù)配置等基礎(chǔ)功能（設(shè)備名、IP、系統(tǒng)賬號、密碼等）。２關(guān)鍵技術(shù)（1）風(fēng)險行為關(guān)聯(lián)分析RIS屬于數(shù)據(jù)驅(qū)動的安全分析平臺，針對負(fù)責(zé)不同的安全模塊中的風(fēng)險數(shù)據(jù)進(jìn)行提煉與自動響應(yīng)，解決數(shù)據(jù)中心在管理過程中因安全數(shù)據(jù)孤島無法快速響應(yīng)與自動處置的風(fēng)險。具體行為分析思路如圖3所示。圖3RIS產(chǎn)品行為分析

（2）機(jī)器學(xué)習(xí)與自動建?；诓杉降暮Ａ繑?shù)據(jù)進(jìn)行訓(xùn)練，自動學(xué)習(xí)和建立行為數(shù)據(jù)表、結(jié)果字段表、用戶畫像表、關(guān)聯(lián)數(shù)據(jù)表等，再利用表與表之間的相同數(shù)據(jù)做關(guān)聯(lián)，如圖4所示，形成新數(shù)據(jù)模型，從而不斷優(yōu)化模型，增加風(fēng)險防護(hù)維度，提升管理效率。

圖4RIS產(chǎn)品自動學(xué)習(xí)與建模（3）大數(shù)據(jù)檢索技術(shù)基于ES、PSQL等大數(shù)據(jù)索引技術(shù)和大數(shù)據(jù)倉儲技術(shù)提升海量大數(shù)據(jù)檢索能力，如圖5所示，通過將索引數(shù)據(jù)緩存在內(nèi)存中，部分查詢可以直接在內(nèi)存中直接命中索引任務(wù)中的結(jié)果數(shù)據(jù)，從而降低存儲訪問的開銷，提高整體檢索性能。圖5RIS產(chǎn)品大數(shù)據(jù)分析技術(shù)３創(chuàng)新能力（1）管理方式的創(chuàng)新數(shù)據(jù)中心風(fēng)險洞察系統(tǒng)RIS創(chuàng)新亮點(diǎn)在于實(shí)現(xiàn)了運(yùn)維自動化創(chuàng)新，包括人員管理的自動化、資產(chǎn)管理的自動化、權(quán)限管理的自動化。產(chǎn)品自帶200

多種API接口，能夠完成對各種系統(tǒng)的對接工作（

如OA、CMDB、AD、LDAP、OPENSTACK、ANSIBLE等），實(shí)現(xiàn)自動化運(yùn)維。在結(jié)合自身的動態(tài)授權(quán)功能時，可在用戶使用AD/CMDB或其他系統(tǒng)增減用戶/

資產(chǎn)操作的同時，自動化完成用戶/

資產(chǎn)/

權(quán)限的配置動作，真正實(shí)現(xiàn)自動化運(yùn)維工作。此外，還可以通過創(chuàng)新的自動化技術(shù)來滿足虛擬化環(huán)境中動態(tài)管理的要求。（2）部署方式的創(chuàng)新RIS創(chuàng)新性地實(shí)現(xiàn)了多個數(shù)據(jù)中心集中管理與高可用的部署模式，采用“多站點(diǎn)+多A集群”的技術(shù)實(shí)現(xiàn)運(yùn)維管理的連續(xù)性，提升異地管理的效率，保障運(yùn)維管理的安全。這種跨地域的集群部署方案尤其可以面向金融高端機(jī)構(gòu)，解決兩地三中心典型數(shù)據(jù)中心集中管理與高并發(fā)運(yùn)維等難題。（3）感知能力的創(chuàng)新RIS作為最頂層的數(shù)據(jù)應(yīng)用平臺，其價值不僅僅在于數(shù)據(jù)的分析能力，也擁有獨(dú)特的行為軌跡風(fēng)險感知能力。RIS基于“人（賬號）、事（行為）、物（資產(chǎn)）”三大關(guān)鍵維度，有效地將賬號安全模塊、操作安全模塊、資產(chǎn)安全模塊進(jìn)行縱橫多維分析，幫助組織在數(shù)據(jù)中心構(gòu)建“最后一道防線”。４產(chǎn)品優(yōu)勢（1）多維度智能采集，準(zhǔn)確實(shí)時更新數(shù)據(jù)中心風(fēng)險洞察系統(tǒng)RIS多視角數(shù)據(jù)動態(tài)采集，實(shí)現(xiàn)數(shù)據(jù)中心主機(jī)、中間件、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等全量資產(chǎn)的自動發(fā)現(xiàn)，構(gòu)建立體全景視圖，全象限資產(chǎn)管理；自動跨層多維數(shù)據(jù)檢測，實(shí)現(xiàn)全方位系統(tǒng)督查。（2）大數(shù)據(jù)可視化分析，威脅態(tài)勢感知RIS通過海量實(shí)時分析功能，準(zhǔn)確識別各類運(yùn)維風(fēng)險；結(jié)合機(jī)器學(xué)習(xí)與關(guān)聯(lián)分析，及時發(fā)現(xiàn)數(shù)據(jù)中心各類未知威脅；通過自定義可視化管理平臺，多場景順暢切換，實(shí)現(xiàn)威脅的快速準(zhǔn)確感知。（3）細(xì)粒度權(quán)限控制，提升組織安全管理水平通過RIS的訪問規(guī)則、命令權(quán)限等事前控制機(jī)制，有效減少誤操作發(fā)生的概率，保障業(yè)務(wù)人工管理的可靠性，提升內(nèi)部管理水平。（4）洞察數(shù)據(jù)中心風(fēng)險，監(jiān)督組織內(nèi)部管理工作RIS實(shí)時監(jiān)控數(shù)據(jù)中心的訪問來源、操作行為、資產(chǎn)狀態(tài)，減少組織內(nèi)部管理工作的紕漏；通過多維度數(shù)據(jù)分析與展示，讓數(shù)據(jù)中心管理人員全局洞察數(shù)據(jù)中心的運(yùn)營行為，實(shí)現(xiàn)風(fēng)險的全掌握。（5）安全合規(guī)解決方案，保障業(yè)務(wù)高可靠RIS研發(fā)之初就嚴(yán)格遵循信息安全國家政策法規(guī)和行業(yè)法規(guī)，進(jìn)行架構(gòu)功能設(shè)計，能夠全面支持各行業(yè)安全管理要求：滿足公安、金融、電力等各行業(yè)安全保護(hù)法案法規(guī)；同時，滿足國家政策法規(guī)要求：符合網(wǎng)絡(luò)安全法、《信息安全等級保護(hù)管理辦法》以及國家主管部門對于關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的相關(guān)條例。５結(jié)語數(shù)據(jù)中心風(fēng)險洞察系統(tǒng)RIS首創(chuàng)數(shù)據(jù)中心安全管理架構(gòu)和方法論，為用戶構(gòu)建數(shù)據(jù)中心安全管理平臺提供理論依據(jù)。產(chǎn)品目前已在OPENSTACK、A