东软NetEye网络安全互联互通实践
背 景
网络安全设备互联互通是基于多源数据从整体上对网络中的安全风险进行识别和预测,其建设需要从不同数据源进行数据采集,并与其它安全产品和系统进行联动,因此存在较多需要定义的数据接口,包括前端采集接口、数据指令接口、数据共享接口等。
目前,各网络安全产品的开发厂商、各平台建设单位缺乏标准的数据接口,给数据对接增加了工作量、带来了困难。此外,由于目前缺少统一的标准,建设单位在建设时无据可依,为系统架构设计带来较大难度,后期可能会出现系统能力难以扩展,网络安全协调防御能力参差不齐,无法真正实现网络安全数据分析能力进行异构兼容等问题。
随着安全产品集成的增多,以及各级平台类产品的建设和实践,需要有配套的网络安全产品互联互通标准来对相关功能进行规范;对整体的评价体系进行构建;对产品间数据采集、数据共享、协同联动的接口进行标准统一,促进不同产品和平台之间的互联互通,从而进一步增强网络安全协同防御能力。
技术实现
网络安全产品互联互通技术是一项不断完善建设的工作,不可能一蹴而就。通过对国际技术实现和国内相关技术分析,东软NetEye以网络安全一体化平台架构为基础,逐步完成三个阶段目标。
-
数据标准化:基于通用协议的数据采集抽象形成一个数据字典,形成大数据资源池;
-
数据建模功能化:依据标准化的大数据资源池,根据安全功能建模,形成安全功能数据池;
-
服务能力接口化:面向应用场景提供标准的对外服务接口。
图1 东软互联互通技术框架
应用场景
东软NetEye以架构安全和业务安全为导向,以互联互通技术为基础,构建一体化安全框架体系。互联互通作为独立模块,处于整体框架的基础层,用于收集异构的日志数据和指令数据,面向数据使用者提供标准的对外服务接口。主要有两个应用场景,具体如下。
1、面向大型企业场景,东软网络态势感知平台已经完成了多品牌安全设备数据对接,防火墙联动和扫描器联动等集中分析、监控和响应的能力。
2、面向小型企业场景,东软防火墙实现了和EDR产品的联动,实现防火墙从终端获取威胁信息并联动阻断策略,以及终端从防火墙获取威胁信息并进行威胁检测和响应。
东软NetEye互联互通技术框架能够在一套平台与架构中集成所有安全能力,实现安全、集中的安全监控和操作,用于提升一致的整体安全态势能力,从而帮助客户提高安全保护、检测和响应的有效性和效率。此外,基于此框架开展的互联互通不受供应商和应用程序的限制,可以将任何产品集成到框架中。
网络安全产品互联互通工作依赖于用户、厂商和科研机构的共同推进,东软愿与业界共建互联互通新生态。
