数据中心运维的安全系统,其特征在于:该系统包括数据采集层,数据分析层和应用层;数据采集层包括横向扩展的数据采集器,数据采集器采集,数据采集层获得的数据汇集于数据分析层;数据分析层包括横向扩展的分析引擎,所有分析引擎共用来自于数据采集层的数据;应用层包括横向扩展的应用模块。本发明专利技术的优点在于采集层、分析层和应用层横向可扩展,应用层各应用模块纵向集成采集层和分析层,可以根据用户需求源源不断的快速开发出各种安全应用。
【技术实现步骤摘要】
数据中心运维的安全系统
本专利技术涉及信息安全领域,特别是一种数据中心运维的安全系统。
技术介绍
本部分只是为了方便理解本专利技术的内容,不应视为现有技术。根据网络面向的用户不同,可以将网络划分为外网(互联网)和内网(局域网)。内网又可以划分为办公网和生产网。办公上网的网络行为相对开发,容易发生病毒和网络入侵事件。若办公用户和生产用户处于同一网络中,则办公网络发生的发生的病毒和入侵事件会几乎没有障碍的迅速传播到生产网,给生产安全带来极大的威胁。因此,办公网和生产网也被要求隔离。生产网也称为数据中心。数据中心包括计算资源、存储资源和网络资源等。常见的攻击行为包括:1、口令入侵,指使用某些合法用户的帐号和口令登录到目的设备,然后再实施攻击活动。这种方法的前提是必须先得到该设备上的某个合法用户的帐号,然后再进行合法用户口令的破译。2、特洛伊木马,常被伪装成工具程式或游戏等诱使用户打开,一旦用户打开了这些邮件的附件或执行了这些程式之后,他们就会留在计算机中,并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。3、WWW欺骗,正在访问的网页已被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求。4、节点攻击,攻击者在突破一台设备后,往往以此设备作为根据地,攻击其他设备。他们能使用网络监听方法,尝试攻破同一网络内的其他设备;也能通过IP欺骗和设备信任关系,攻击其他设备。5、网络监听,是设备的一种工作模式,在这种模式下,设备能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。但是,对于风险的监控或预警都只是用户,或者目标设备各自报警,所有预警都是是单一维度的信息。例如:用户报警:XX账号异常;或者是目标设备报警:XX设备异常。单一维度的信息无法获知是由于被攻击造成的异常报警,还是只是因为临时改变了操作规则导致的误报。现有的异常识别,能够单独针对账号或目标设备进行异常事件报警。该异常事件报警机制是在单一数据维度、基于固定规则进行判断而识别出的单一维度异常事件。这种异常事件报警机制存在的问题是:1、固定规则死板、无法与时俱进。如,某账号在非有效时段登录数据中心,则该账号发出异常事件报警。但是,有可能该账号是由临时的工作任务需要进入数据中心,并且已经过工作流引擎审批通过形成被允许的操作,但该被允许的操作并非固定规则,因此,具有合法被允许的操作的账号在非固定规则规定的有效时段登录数据中心,账号维度会发出账号异常事件报警。2、只从单一维度进行报警,而单一维度的异常事件无法构成异常行为或攻击行为。如某账号发出账号异常事件,但异常信息也仅在于该账号异常,没有办法获得与该账号关联的其他维度的信息。这些原因造成的问题主要有:1、误报率高,2、单一维度的异常事件报警,出本维度信息以外,没有其他维度的信息,因此无法判断异常事件是否由攻击行为造成,异常事件报警的参考价值较低。误报率高加上报警的参考价值不高,导致运维人员习惯性忽略异常事件报警,导致报警形同虚设。
技术实现思路
本专利技术将进入数据中心的模型视为包含终端和服务端,终端代表用户,服务端代表数据中心的资产。常规的运维操作时,工作人员以各自的服务端账号登录数据中心的服务端,进行工作。数据中心的服务端数量庞大,每一台服务端至少有一个账号,因此,进入服务端的账号数量更加庞大,无法管理。另外,工作人员进入服务端之后的操作无法监控,工作人员的误操作和违规操作等导致运维安全事件频繁发生,且难以查清原因。数据中心运维的安全系统,其特征在于:该系统包括数据采集层,数据分析层和应用层;数据采集层包括横向扩展的数据采集器,数据采集器采集,数据采集层获得的数据汇集于数据分析层;数据分析层包括横向扩展的分析引擎,所有分析引擎共用来自于数据采集层的数据;应用层包括横向扩展的应用模块。优选的,采集层包括账号维护系统,账号维护系统包括数据采集器,数据采集器定时登录服务端、并在服务端的操作系统内搜索账号的存放位置,再获取该服务端上的所有账号;自动增加新出现的服务端账号;数据采集器定时对所有账号自动修改密码。优选的,数据采集器搜寻操作系统的账号存放位置,获取能够登录操作系统的所有账号。优选的,账号维护系统的数据采集器获取服务端的操作系统账号,数据采集器以操作系统账号远程登录服务端,登录后、探测该操作系统的进程,以进程对应应用,再搜寻应用的账号存放位置,获取操作系统的所有账号。优选的,采集层包括资产数据中台,包括:资产采集层和资产数据层,资产采集层定时从服务端、搜索并获取目标数据,数据中台配置有安全基线,当前采集的数据与安全基线出现的变化作为异常事件。优选的,采集层定时通过服务端账号登录操作系统进行数据搜索和采集;采集层内配置有服务端账号集合,采集层定时自动化采集数据。优选的,数据中台具有探测模块,探测模块基于已登录的服务端发现与当前服务端有连接的新资产。优选的,采集层包括堡垒机,堡垒机作为数据中心的运维操作网关;通过身份认证的用户,堡垒机根据操作权限建立用户和资产的连接,用户对资产的操作形成操作日志留存于堡垒机。优选的,堡垒机与工作流引擎相连,工作流引擎中审批通过的工作单作为被授权行为输入堡垒机;和、或堡垒机的静态配置。优选的,数据分析层包括行为识别引擎;行为分析引擎包括余获取采集层数据的输入接口,分析数据的引擎内核和输出数据的输出接口;以被授权的行为数据建立白名单,行为分析引擎获得资产数据中台的异常事件,行为分析引擎将每一个异常事件与白名单对比,判断异常事件的内容是否属于白名单,若不属于白名单,则该异常事件标记为异常行为;行为分析引擎只对异常行为报警。优选的,行为分析引擎针对每一个异常事件,判断该异常事件是否具有身份认证信息,若是,则判断该身份认证信息是否属于白名单,若否,则该异常事件视为异常行为。优选的,若该异常事件通过堡垒机的身份认证,则获得该异常事件对应的服务端账号,判断异常事件的服务端账号是否属于白名单,若否,则该异常事件视为异常行为。优选的,判断服务端账号是否属于白名单时,先获取服务端账号的账号-密码,若服务端账号的账号-密码不属于白名单,则认为是异常行为;若服务端账号的账号-密码属于白名单,则判断该账号的实际使用时间是否与服务端账号的操作权限一致,若不一致,则认为是异常行为。优选的,若异常事件时经过堡垒机认证、并使用白名单内的服务端账号在允许的时间内登录,则判断该异常事件对应操作指令是否属于白名单,若否,则该异常事件视为异常行为。优选的,数据采集层至少包括堡垒机,账号维护系统和资产数据中台。优选的,数据分析层包括搜索引擎,和、或任务调度引擎。本专利技术的优点在于:1、采集层、分析层和应用层横向可扩展,应用层各应用模块纵向集成采集层和分析层,可以根据用户需求源源不断的快速开发出各种安全应用。2、本专利技术以堡垒机本文档来自技高网...
【技术保护点】
1.数据中心运维的安全系统,其特征在于:该系统包括数据采集层,数据分析层和应用层;数据采集层包括横向扩展的数据采集器,数据采集器采集,数据采集层获得的数据汇集于数据分析层;数据分析层包括横向扩展的分析引擎,所有分析引擎共用来自于数据采集层的数据;应用层包括横向扩展的应用模块。/n
【技术特征摘要】
20200307 CN 202010154373X1.数据中心运维的安全系统,其特征在于:该系统包括数据采集层,数据分析层和应用层;数据采集层包括横向扩展的数据采集器,数据采集器采集,数据采集层获得的数据汇集于数据分析层;数据分析层包括横向扩展的分析引擎,所有分析引擎共用来自于数据采集层的数据;应用层包括横向扩展的应用模块。
2.如权利要求1所述的数据中心运维的安全系统,其特征在于:采集层包括账号维护系统,账号维护系统包括数据采集器,数据采集器定时登录服务端、并在服务端的操作系统内搜索账号的存放位置,再获取该服务端上的所有账号;自动增加新出现的服务端账号;数据采集器定时对所有账号自动修改密码。
3.如权利要求2所述的数据中心账号维护系统,其特征在于:数据采集器搜寻操作系统的账号存放位置,获取能够登录操作系统的所有账号。
4.如权利要求1~3之一所述的数据中心账号维护系统,其特征在于:账号维护系统的数据采集器获取服务端的操作系统账号,数据采集器以操作系统账号远程登录服务端,登录后、探测该操作系统的进程,以进程对应应用,再搜寻应用的账号存放位置,获取操作系统的所有账号。
5.如权利要求1所述的数据中心运维的安全系统,其特征在于:采集层包括资产数据中台,包括:资产采集层和资产数据层,资产采集层定时从服务端、搜索并获取目标数据,数据中台配置有安全基线,当前采集的数据与安全基线出现的变化作为异常事件。
6.如权利要求5所述的数据中心运维的安全系统,其特征在于:采集层定时通过服务端账号登录操作系统进行数据搜索和采集;采集层内配置有服务端账号集合,采集层定时自动化采集数据。
7.如权利要求5所述的数据中心运维的安全系统,其特征在于:数据中台具有探测模块,探测模块基于已登录的服务端发现与当前服务端有连接的新资产。
8.如权利要求1所述的数据中心运维的安全系统,其特征在于:采集层包括堡垒机,堡垒机作为数据中心的运维操作网关;通过身份认证的用户,堡垒机根据操作权限建立用户和资产的连接,用户对资产的操作形...
【专利技术属性】
技术研发人员:吴强,
申请(专利权)人:浙江齐治科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。