e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

领先一步驾驭企业安全运维

2014/6/9    来源:e-works    作者:e-works整理      
关键字:大数据  信息安全  解决方案  数据分析  数据挖掘  
2014年5月21日,重庆,在e-works数字化企业网、重庆市首席信息官(CIO)协会联合主办,重庆市物流与供应链协会协办的“2014(第五届)中国汽车行业信息化深化应用论坛”上,RSA高级安全顾问胡江波以《领先一步驾驭企业安全运维——RSA高级信息安全中心》为题,介绍了大数据背景下面临的安全挑战和安全行业的方向性转变,并由此提出了RSA的大数据挖掘、分析思路及安全策略。本文根据演讲内容整理而成。

RSA高级安全顾问胡江波
图1 RSA高级安全顾问胡江波  

  大数据时代的安全挑战

  目前,信息行业全面转向大数据分析,信息安全问题也随之演变成为一个大数据问题。大数据汇集到一起之后的分析、处理门槛相对较高。近期的一项基本调查显示,40%的专家无法处理所收集到的海量安全数据,35%的专家没有足够的时间或专业人员来分析他们收集的安全数据和信息。可见,绝大部分企业无法独立分析处理自身收集到的大数据。

  什么样的数据叫大数据?这个问题在业界一直有争议,在EMC的定义里,大数据是指超出了一个应用能力解决的数据。如一个PPT很小的数据,在一个通用的领域里面却能成为大数据,因为40M的PPT在系统里不能进行有效的传输,即超出应用能力。基于传统的关系数据库容量达到1TB时就将处于满负荷运转的状态,而对于现在的汽车制造商来说,1TB只是一个小数据。因不同系统和应用的能力差异,大数据有其相对性。

  目前,大数据背景下的信息安全形势不容乐观:去年3月,韩国约一半金融系统体系瘫痪,经过调查,韩国政府证实瘫痪由恶意代码所致,基础设备未受影响;一个名为社会工程学库的非法网站至今依旧存活在互联网上,该网站数据库约有5TB,来源于近十年来遭受过攻击的知名网站,在该网站输入身份证号可以获取相应的身份信息,输入QQ 账号则可以得到相应的QQ密码……国内大型互联网企业都有很好的安全管控措施,常见的反病毒设备一个不少,但安全问题却愈演愈烈。

令人震惊的社工库
图2 令人震惊的社工库

  大数据时代安全构架的转型

  从更高的角度来看,安全形势堪忧的原因在于安全投入的项目方向和层次不合理。目前企业用于信息安全项目的资金都投入在阻止设备上,例如杀毒软件,阻止方面的安全投入占到了80%,而监控层面只有15%。阻止手段本身的阻止能力是非常好的,但阻止手段对阻止对象的确认存在短板,如杀毒软件对于很多有风险的文件、链接不敏感。类似于杀毒软件这种特征的技术,防范的病毒数量是45%,如果想防范45%之外的一些病毒,就需要使用沙箱技术从原有的阻止可疑程序对系统访问,转变成将可疑程序对磁盘、注册表等的访问重定向到指定文件夹下,从而消除对系统的危害。加上沙箱技术能够再额外防御30%的病毒,而这两项技术之外的25%的安全威胁就需要RSA来抵御。

  大数据时代安全界的转型,一个很显著的特征就是将资金投入在监控层面,实现对阻止对象的精确定位。阻止、监控、响应三个方面的安全投入在未来将各占三分之一,形成三足鼎立的阵势以应对复杂的安全问题。

大数据带动安全行业方向性转变
图3 大数据带动安全行业方向性转变

  安全数据的收集

  想要整合现有的安全技术实现合理的层级划分,就需要依靠大数据思维进行科学的分析和布局。RSA在这一领域的安全策略是将各类数据收集到一个大平台上,形成自己的大数据,然后运用各种现代技术进行智能分析,再依据分析结果对企业的安全问题做一些治理。

  RSA的大数据架构做了两个级别的处理,最高级别就是现在最热门的Security Analytic(以下简称SA)大数据架构:第一层做数据解析工作,解析器通过旁路抓取流量、镜像流量、收集日志,解析之后形成原始数据;第二层进行数据过滤,将第一层的原始数据进行存储、整理;第三层利用HiveQL执行来自SA的查询;第四层进行数据分析。

SA大数据架构
图4 SA大数据架构

  整个架构采用分布式存储方式,数据从不同地方采集,在不同地方存储,进行分布式的处理。这种数据架构理论上没有处理极限,因为基本的单台设备就可以存储150TB数据,不存在性能局限。无论多么大量的数据,这种简单的四层架构处理系统都能在几秒钟之内给出结果。

  对于企业保存数年的需要进行分析的复杂庞大数据,RSA会使用SA数据仓库进行处理。SA不仅可以处理常见的日志数据,还具有网络流量数据包的分析、存储等功能。SA核心分析组件能够在对数据进行处理之后以绘图的形式重建原数据,以便日后可以基于原数据进行分析。现有的SA模块即可满足短期分析的需要,数据仓库则为中长期或更强化的分析选项。客户可以根据自身情况进行合理的选择。

责任编辑:涂君军
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐