本发明涉及信息安全、云计算应用技术领域,尤其涉及到构建快速和高效的安全运维服务云平台的框架。
背景技术:
本发明中包含的英文简称如下:
soc:securityoperationcenter安全管理中心
id:identifier身份识别唯一编号
ids:intrusiondetectionsystems入侵检测系统
snmp:simplenetworkmanagementprotocol简单网络管理协议
clf:commonlogformat普通日志格式
json:javascriptobjectnotationjava脚本对象符号
hdfs:hadoopdistributefilesystemhadoop分布式文件系统
安全生产历来是保障各项工作有序开展的前提,也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息系统高效稳定地运行,是企业一切市场经营活动和正常运作的基础。
当前,企业it系统都不同程度地部署了各种不同的业务系统和安全设备,有效地提高了劳动生产率,降低了运营成本,已经成为企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面,因为一旦网络及各业务系统出现安全事件或故障,如果不能及时发现、及时处理、及时恢复,这势必直接影响承载在其上所有业务的运行,影响企业的正常经营秩序,涉及到客户的系统将直接导致客户投诉,客户满意度下降,企业形象受到损害,对于企业网络的安全保障就显得格外重要;另一方面,由于各种网络攻击技术也变得越来越先进,越来越普及化,企业的网络系统面临着随时被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行;日益严峻的安全威胁迫使企业不得不加强对网络及业务系统的安全防护,不断追求多层次、立体化的安全防御体系,建设安全运维服务云平台,实时跟踪系统事件、实时检测和预测各种安全攻击、及时采取相应的控制动作,消除或缩减攻击所造成的损失或危害,尽一切可能来保护企业网络及业务系统的正常运营。
然而,在安全运维服务云平台与各个企业的日志数据采集客户端之间的数据传输,已有技术存在许多安全漏洞和隐患。已有的相关协议,在告警消息的传输过程中很脆弱,没有任何安全机制来验证所接收到的数据可信任和完整性。因此,为了告警信息传输的高可靠和抵抗黑客攻击,需要增强信息安全机制和可靠性。
为此,如何利用信息化手段提高企业的运营效益,优化企业信息系统,使得它能够为各类企业提供专业的和高性价比的信息安全运维服务,即成为尤其是信息安全运维管理设计上必须要解决的一个重要课题。
技术实现要素:
本发明提供了一种安全运维服务云平台弹性存储告警信息的实现方法,以保证告警信息的高可用性和抗攻击。
本发明的一种安全运维服务云平台弹性存储告警信息的实现方法,应用于能够为多个企业提供各种安全服务和运维监控服务的安全运维监控服务平台中。
所述安全服务包括配置管理/基线管理、安全风险评估、威胁检测、漏洞扫描、防病毒等。
所述运维监控服务包括配置管理、故障管理、性能管理、问题管理、变更管理等。
所述方法包括企业it网络、安全运维服务云平台。所述企业it网络,包括数据采集终端及其它多个节点,每一个节点包括一个哈希(hash)模块和一个加密(encrypt)模块。所述数据采集终端从网络设备、服务器和安全设备等采集告警信息;所述企业it网络可以包括多个不同企业的it网络;所述安全运维服务云平台包括组合模块和存储模块。
本发明的一种安全运维服务云平台弹性存储告警信息的实现方法,一种安全运维服务云平台与各个企业采集客户端之间高可靠和抗攻击地传输和存储告警信息的实现方法。所述方法包括采集客户端(数据采集终端)、安全运维服务云平台,以及哈希(hash)模块、加密(encrypt)模块、组合模块、存储模块。通过本发明,可以使得安全运维服务云平台与各个企业的采集客户端之间的告警信息的传输更加可靠,以及能够抵抗黑客攻击,也提升了安全运维服务云平台的核心竞争力。
附图说明
图1为本发明所述的一种安全运维服务云平台弹性存储告警信息的实现方法的示意图;
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
图1为本发明所述的一种安全运维服务云平台弹性存储告警信息的实现方法的示意图。所述企业it网络,包括数据采集终端及其它多个节点,每一个节点包括一个哈希(hash)模块和一个加密(encrypt)模块。所述数据采集终端从网络设备、服务器和安全设备等采集告警信息;所述企业it网络可以包括多个不同企业的it网络;所述安全运维服务云平台包括组合模块和存储模块。
所述方法采用多个密钥,实际上,仅采用一个密钥,但是,该密钥被分成n个部分(共享密钥),且每一个共享密钥被存储在不同的节点。该方法可以通过舒普阈值加密算法(shoupthresholdcryptographyalgorithm)来实现,也就是说,在起始阶段,通过一个软件模块实现舒普阈值加密算法。执行该模块就能够生成n个共享密钥、n个验证共享密钥和一个主密钥的验证密钥,生成这些密钥之后,n个共享密钥被分别发送到每一个节点;然而,n个验证共享密钥和一个主密钥的验证密钥被发送到组合模块;每一个验证共享密钥被用来验证每一个节点利用其自己的共享密钥所生成的共享签名的正确性;组合模块将收到的各个节点的共享签名结合在一起,采用主密钥的验证密钥来验证整个签名的正确性。该算法最突出的优点就是如果小于k-1个共享密钥没有被黑客攻破(k≦n),则黑客就不可能获得密钥。该加密算法的特征就是两个参数:n和k。n表示节点的数量,k表示安全门限。
存储的告警是由所述数据采集终端产生的,这些告警包括漏洞信息、基线信息、配置信息、访问权限信息等方面,因此必须要安全可靠地存储。所述数据采集终端产生的告警被分别发送到n个节点,然后各节点将经过处理的告警信息再发送到组合模块。每一个节点对所收到的告警计算哈希(hash)摘要(该摘要用h表示之)处理,最后,每一个节点采用各自的共享密钥加密摘要h,并将生成的共享签名发送到组合模块。
所述组合模块,对于同一个告警,至少接收k个节点的共享签名之后,病将这些部分签名进行组装,以获得一个完整的签名,并用验证密钥验证完整的签名。如果验证失败,则组合模块采用相应的共享验证密钥来验证每一个共享验证密钥的正确性。当某一个节点被确认发送了一个错误的共享签名时,则该节点被认为遭到黑客攻击。如果同一个告警的其它签名没有遭到攻击破坏的话,则组合模块利用余下的k个共享签名创建k个共享签名,否则如果能够获得这同一个告警的新的共享签名,则组合模块利用已经验证有效的共享签名和新的共享签名来创建k个共享签名;这样,组合模块生成了一个新的完整的签名,并且重复如上所述的验证过程。如果验证过程成功的话,则完成签名,原始告警和遭受攻击的节点的编号(id)存储在数据库中。在组合模块和数据库中也使用到了多副本技术。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。