7、安全管理平台

7.1 安全+业务共防护

        安全威胁集中监测

       全威胁的集中监测对于有效保护系统和数据资产至关重要。通过集中监测安全威胁，可以及时发现潜在的攻击行为或异常情况，并采取相应措施加以防范或应对。

       实施终端安全监测：除了网络层面的监测外，还应该关注终端设备上的安全监测。使用终端安全解决方案来监视终端设备的活动，以便发现恶意软件、异常行为或未经授权的访问。

       持续漏洞扫描和漏洞管理：定期进行漏洞扫描，并及时修复系统和应用程序中存在的漏洞，以减少被攻击的风险。漏洞管理工具可以帮助您跟踪和管理漏洞修复的进度。

       建立安全事件响应计划：制定完善的安全事件响应计划，明确各种安全事件的级别和处理程序，并组织团队进行演练和培训，以确保在安全事件发生时能够迅速有效地作出反应。

        多云协同联动性

       随着企业广泛采用多云环境，即同时使用多个公共云、私有云或混合云服务，确保不同云服务能够有效协同工作并实现联动至关重要。

       跨云数据流动：确保在不同云服务之间无缝安全地传输和共享数据是至关重要的。采用一致的数据格式、协议和加密技术，以确保数据在不同云平台之间的有效流动。

       标准化和互操作性：采用标准化的API和协议，以促进不同云服务之间的互操作性。例如，使用通用的云管理接口和规范可以简化多云环境中的管理和集成。

       统一的治理和安全策略：确保在各种云服务之间实施统一的治理和安全策略是关键的。这包括统一身份验证、访问控制、数据加密等安全措施，以保护企业数据免受威胁。

       自动化和编排：利用自动化和编排工具来实现不同云服务之间的自动化流程，以提高效率并减少人为错误。例如，使用工作流程编排工具来跨多个云环境自动执行任务。

        安全能力统一调度

       安全能力统一调度是指将不同安全功能和资源整合在一起，以有效协同工作并提高整体安全性能。这种方法有助于最大化安全投资的效益，减少重复努力，并提高对多种安全挑战的综合应对能力。

       安全策略统一管理：确保各个安全防护机制遵循一致的安全策略是非常重要的。通过统一的安全策略管理平台，可以简化安全策略的管理和更新过程，并确保所有安全设备和系统都符合最新的安全标准。

       自动化安全响应：利用自动化工具和技术来快速响应安全事件和威胁，可以大大减少对手工干预的依赖，提高安全事件的响应速度和准确性。

       统一身份和访问管理：统一调度身份认证、授权和访问管理功能，可以确保只有经过授权的用户才能访问公司网络和资源。

       整合安全培训和意识计划：将安全培训和意识计划整合到一个统一的框架下，有助于提高员工对安全最佳实践和政策的认识，并减少内部安全漏洞的风险。

        应急响应协同联动

       应急响应协同联动是指在面临安全事件或灾难情况时，不同团队、部门或组织之间有效合作和协同工作的能力。这种协同联动可以帮助快速准确地应对紧急情况，并最大限度地减少损失。

       建立清晰的通信渠道：确保各个团队之间有畅通的通信方式和渠道是关键的。建立多种通信渠道，包括电话、电子邮件、即时通讯工具等，以便在紧急情况下能够迅速联系到关键人员。

       制定明确的责任分工：明确定义各个团队、部门或组织在应急情况下的职责和责任，确保每个人知道自己应该承担的角色，并且能够迅速有效地采取行动。

       协同制定预案和流程：制定详细的应急响应计划和流程，包括紧急联系人信息、行动计划、决策流程等内容。所有团队应该熟悉这些计划，并经常进行演练以确保顺利执行。

       整合安全事件监控和响应系统：集成安全事件监控系统和响应工具，以实现实时监控和响应恶意活动。这种整合可以帮助快速识别并应对潜在的安全威胁。

       定期演练和评估：定期组织模拟应急情况的演练，评估团队的应急响应能力，并根据演练结果进行改进。持续演练可以提高团队的协同联动能力和应对紧急情况的效率。

7.2 关键特性

       安全管理平台用于监控、管理和加强整体安全性的系统。以下是安全管理平台的关键特性：

        可靠性

       可靠性指的是系统在给定时间内正常运行的能力。对于安全管理平台而言，可靠性意味着其能够持续有效地监测和保护系统、网络和数据，同时不容易受到攻击或故障破坏。

       保证安全管理平台的可靠性意味着要采取适当的备份策略、故障转移机制，并进行定期的更新和维护，以确保其始终处于高效稳定的状态。

        可用性

       可用性涉及到系统或服务对用户的可用程度，即用户可以在需要时使用系统的能力。对于安全管理平台来说，可用性确保了安全功能的连续性。

       确保安全管理平台具有高可用性意味着需要通过冗余部署、负载均衡、灾难恢复计划等方式，确保即使遇到故障或攻击，也能迅速恢复和提供服务。

        机密性

       机密性是指信息只能被授权用户访问和查看的性质。在安全管理平台中，机密性是确保数据和敏感信息不被未经授权的人员访问或泄露的关键方面。

       实施强大的加密技术、访问控制、身份验证和审计机制是确保安全管理平台数据和信息机密性的重要手段。

       安全管理平台在应对安全威胁和事件时具有事前、事中和事后管理能力，这些能力涵盖了安全防御的不同阶段。

        事前管理能力

       事前管理能力旨在预防安全事件和威胁的发生，通过制定并执行预防措施来降低风险。

       具备事前管理能力的安全管理平台可能包括安全策略制定、漏洞管理、访问控制、身份验证、加密技术等功能，以减少潜在的安全漏洞和风险。

        事中管理能力

       事中管理能力涉及到发现和及时识别安全事件和威胁的过程，以便快速做出反应并限制损失。

       安全管理平台的事中管理能力可能包括实时监控、入侵检测系统、日志分析、异常行为分析等功能，帮助发现潜在的安全威胁并提供警报。

        事后管理能力

       事后管理能力指的是在安全事件发生后采取措施来进行响应、修复和改进，以减少未来发生类似事件的可能性。

       安全管理平台的事后管理能力可能包括事件响应计划、漏洞修复、恢复和故障处理、调查和溯源分析等功能，以便尽快纠正问题并学习经验教训。

       通过整合事前、事中和事后管理能力，安全管理平台能够更全面地应对各种安全挑战，并提高系统的整体安全性和稳定性。

7.3 系统概述

       云安全管理平台整合和集成相关安全组件，以虚拟化实例的方式部署在安全资源池内进行调度，或以安全服务的形式接入到平台内，供租户开通使用。同时配套提供系统管理、日志管理、报表管理等多种管理类功能，提升后期使用时的运维管理效率。以满足用户细粒度的安全需求和自主可控、可管理的安全目标；用户可根据自己的业务情况，在租户界面服务市场中自行按需选择满足自己安全需求的安全能力，实现安全的自主可控；同时在租户安全服务界面自主实现安全服务细粒度的策略配置和下发；用户还可以通过服务监控、服务报表了解自己购买服务的运行情况和业务系统的安全风险。

7.4 系统架构

       云安全管理平台架构如下所示：

       3、云安全能力组件销毁流程

        资源层：包括网络资源、计算资源、存储资源等基础算力，为平台上层能力和应用提供支撑。

        支持层：平台采用WEB前端与后端业务逻辑分离设计，该层设计为门户提供基础功能支持。为平台基础提供功能层服务包括消息中间件、数据服务等。安全中心主要提供底层资源池安全数据的收集汇总、安全分析能力；业务中心主要负责安全组件的注册，以及安全能力服务化的实现，以及安全能力的调度；运维中心主要提供整体平台以及安全资源池的监控运维管理能力。

        管理层：向使用管理平台的云租户及管理员提供产品管理、用户管理、订单管理、许可管理、升级管理等管理类功能，帮助用于快速完成云上安全建设情况，掌握全局云安全态势。

7.5 功能模块

        产品管理：为方便云租户快捷、高效地管理和使用云安全产品，安全资源管理平台为云租户提供一站式安全产品统一管理功能，覆盖产品开通、使用、扩容、删除的全生命周期流程，提升云安全管理效率。

        使用产品：通过管理平台和各安全产品的账号认证体系统一，可通过单点登录方式跳转至产品控制台界面，无需二次身份验证，大大提升了用户的产品使用效率。

        产品扩容：当云租户业务规模扩大导致安全产品性能不足时，用户可直接在通过管理平台对已订购的安全产品进行规格扩容，依靠虚拟化技术实现底层资源的弹性伸缩，在不影响用户业务的前提下实现产品规格的平滑升级。

        删除产品：当云租户因业务变化不再需要某类安全产品时，可直接在界面进行产品删除，安全资源管理平台将在底层自动回收产品占用的虚拟化资源和授权许可，收回后可继续供其它用户和产品使用，提升整体资源利用率，保护用户投资。

        用户管理：安全资源管理平台为管理员和云租户均提供了丰富、完善的用户身份体系。对于平台管理员，通过管理界面可以进行租户的创建、编辑、删除等操作，以及对平台侧账号的权限设置；对于云租户，可以在自服务界面创建自己的子用户，并支持自定义子用户的身份和资源权限，满足三权分立的要求。

        监控管理：安全资源管理平台承载着用户所有的安全产品，管理员可以通过运营管理界面快速获取整个安全资源池包括物理机和虚拟机的安全运行状态，如CPU占用率、内存、磁盘使用率、网络流量的趋势等，一旦发现安全问题及时告警，帮助用户快速发现问题并进行响应。

        升级管理：特征库的及时更新是安全产品提供最大化防护效果的前提。安全资源管理平台为用户提供安全产品特征库的统一升级功能，通过运营管理界面的升级管理功能，管理员可在上传特征库后一键完成对所有租户安全组件的特征库更新，避免逐一升级的繁琐操作，提升运维管理效率。

        云安全中心：安全资源管理平台向用户提供安全态势分析能力。通过内置的数据中台汇总收集安全产品产生的安全日志和告警信息，结合大数据分析技术进行智能化解析后将安全态势向用户进行统一展示和呈现。云平台管理员可以通过态势感知服务实时监控和感知整个云平台的安全动态和各租户的安全情况，云租户可以通过态势感知服务从资产和风险两个维度审视自身业务系统的安全情况，实现安全态势可视化，协助用户开展预警通报、应急处置和网络安全综合管理工作。

        多区域管理：对于业务分布在云平台不同区域节点的用户，安全资源管理平台可通过多区域管理功能，实现对多个云平台节点安全的统一防护和管理。通过将安全资源池与区域进行关联，根据区域使安全产品和被防护业务进行绑定，最多可支持省-市-区三级区域设置，并基于区域设置差异化的管理权限，超级管理员拥有全局视角，各区域管理员拥有区域视角，实现多区域云租户安全的统一管理及权限划分。

        工单管理：为云租户和平台管理员均提供了工单功能，对于云租户，可根据自身业务灵活设置工单流程，如主机登录审批、服务申请审批等，使业务流程可根据工单进行流转驱动；对于管理员，可将产品开通流程与工单进行关联，实现对租户申请安全产品进行审批。同时管理员也可建立工单模板面向所有团队发布，来实现不同业务类型的工单按照规划的流程在团队与运营中心进行流转。

        订单管理：通过订单管理功能，平台管理员可以快速统计安全产品的开通种类、数量、有效时长、产品归属关系等信息，为管理员提供完整的安全运营机制。租户也可以查看自身团队内的订单信息，了解订单状态详情。

        许可管理：通过许可管理模块，平台管理员可以统一管理产品授权许可，查看产品许可的消耗详情及剩余库存情况，并可以按需给租户团队分配配额，查看各团队的已消耗许可数。为方便用户灵活使用，安全资源管理平台采用通用授权许可的方式，只需导入统一的授权许可文件，即可用于激活平台内各类安全产品。

        第三方能力管理：安全资源管理平台提供以下三种第三方能力纳管模式，用以适应不同的第三方能力兼容场景。

7.6 部署模式

       标准部署模式

       标准部署模式下，用户使用第三方产品的体验性和使用安全资源管理平台原有自带产品的体验是保持一致的，能够实现自动化一键部署和跳转单点登录。标准模式下，需将符合三方镜像接入规范的镜像上传到安全资源池，在完成产品创建及镜像上传后，用户订购成功便可使用一键部署功能快速上线，等待镜像初始化完成就可直接访问使用。

       非标部署模式

       非标模式下，对镜像没有相关要求，且支持硬件设备接入，安全实例只需网络可达即可，相比标准模式部署具有更加灵活的适应性，但不提供一键部署功能。部署时，需要用户自行上架产品；上架完成后，只需在平台端填写相应的访问地址和MAC地址即可完成接入。

       平台不集成模式

       对于人工服务和网络不可达的场景，支持平台不集成模式，只为用户提供产品订购和工单记录功能；如人工渗透测试服务订购或公网SaaS服务订购，租户下单可生成订单记录并通知管理员。  

7.7 程序逻辑流程

       1、云安全能力组件开通流程 。

       2、云安全能力组件规格变更流程。

       4、云安全能力组件使用流程

       5、云安全能力组件主机监控流程

 7.8 管理流程流程

       1. 系统管理经登录管理功能审核用户账号及权限合法后，成功登录系统；

       2. 通过组件服务模块对安全资源池安全组件进行授权，启用安全组件；

       3. 使用自助门户服务对已授权的安全组件进行激活，经审批流程通过后，管理员完成安全组件资源订购，可自由使用安全组件；

       4. 借助安全服务模块使安全组件对目标业务进行安全防护，当系统管理对安全组件下发制定后策略后，组件进入防御控制状态；

       5. 当被防护对象遭受异常访问等情况后，安全组件按防御策略进行被动防护并向云安全资源管理平台推送异常告警；

       6. 云安全资源管理平台将通过内置异常分析引擎将异常告警进行细粒度分析，并对分析结果进行归类，以资产和事件维度进行统计分析，并进行不同维度事件关联；

       7. 所有异常事件、监控日志、资源监控信息将由日志管理功能进行集中管理，实现存储、展示、筛选与分析；

       8. 平台通过系统管理中接口管理实现与第三方平台联动，可以将平台状态、风险信息、异常告警等信息进行同步推送；实现防护系统的全生命周期联动。

7.9 防护流程

       1）业务访问防护流程

       业务访问请求数据发送后，会由核心交换机对数据包做路由转发以及地址表访问控制判断，确认为业务资源池访问请求后，将把请不说数据包发送到安全资源池中，经安全资源池调配发送给云防火墙组件。 云防火墙组件按安全防御策略对访问请求进行合法性判断，并将检测安全的请求包还原并推送给业务资源池；业务资源池对外服务采用相同流程进行安全防护。

       2）安全风险分析流程

       由云安全管理平台制定安全检测任务并下发至安全资源池内云漏洞扫描系统，云漏洞扫描系统将通过接入交换机，直接对目标系统进行综合安全漏洞扫描；扫描结果，将通过云安全管理平台展示给用户。

       3）综合日志分析流程

       云日志审计系统通过日志采集接口以及代理模式对业务资源池内需采集分析对象进行日志数据采集；日志告警数据通过接入交换机直接与云日志审计系统进行日志数据通信。日志分析结果，将通过云安全管理平台展示给用户。

       4）云内主机安全防护流程

       云内主机安全防护由安全资源池内云主机安全组件实现，系统采用C/S模式实现服务端与主机端管理，主机与云主机安全通过接入交换机直接通信；用户通过云安全管理平台对云主机安全进行病毒补丁库升级以及终端防护策略调整，通过安全资源池实现主机防护手段的分发；主机状态、主机风险分析等实时监控结果，将通过云安全管理平台展示给用户。