◆韩志坚

（南京市高淳区人力资源和社会保障局信息中心 江苏 211300）

社保系统安管平台信息安全事件数据标准化方法研究

◆韩志坚

（南京市高淳区人力资源和社会保障局信息中心 江苏 211300）

社会保险在信息系统建设中面临着多种安全威胁，如边界安全风险、内网安全风险、应用风险等，为防范安全风险，必须进行信息安全监控，信息安全监控需要与现有各个业务系统提供商、网络服务提供商、安全服务提供商等部门进行有序的技术协商和安全管理思路的融合。各个厂家设备的事件数据日志格式各异，功能各异，这为事件数据采集、过滤、归并、关联带来的很大的技术挑战，为此，我们需要对各类信息安全事件进行标准化处理。本文提出了一种方法。

社保系统；安管平台；信息安全

0 前言

信息化在推动社会保险业务更好更快的发展上起到了不可替代的作用，但同时社保业务在信息化建设中也面临着许多的安全威胁，如边界安全风险，主要包括黑客攻击、垃圾邮件等；内网安全风险，主要包括主机系统漏洞、服务配置不当等；应用风险，主要包括Web服务器、文件服务器安全风险等。所以对人社信息系统来说,重视和加强信息安全整体监控的建设刻不容缓。

而建立统一的信息安全监控平台需要与现有各个业务系统提供商、网络服务提供商、安全服务提供商、以及相关部门进行有序的技术协商和安全管理思路的融合，同时日志标准化的工作面临着时间紧、责任大、技术难度高等一系列问题，安全监控平台技术进展面临着很大的考验。

1 标准化难点分析

对于支撑、保障这些业务系统正常运行的网络设备、安全设备、系统、数据库等产生的事件数据全球没有统一标准，高淳社会保险信息系统设备种类众多，各个厂家设备的事件数据日志格式各异，功能各异，部署地点不在同一安全域，采集方式多异，归并难度大，强度高，事件流路径复杂等，这为事件数据采集、过滤、归并、关联带来的很大的技术挑战。

（1）品牌各异：高淳区社会保险管理中心为了通过信息化支撑业务系统，采购了大量的不同品牌的机器，如IBM、ORACLE、CISCO、华为、天融信、网御、深信服、易尚、安达通等等。

（2）产品功能各异：操作系统、数据库、存储、路由器、交换机、防火墙等设备和产品各自功能相异。

（3）日志事件内容各异：各个厂家日志事件都有自己的自定义字段。

（4）日志事件发送方式各异：日志事件发送方式有snmp、syslog、wmi、opsec 等，甚至有些厂家没有提供显示的日志发送功能，需要通过二次开发进行融合。

2 标准化方法

在调研如何整合高淳区社会保险管理中心现有系统的同时，还要考虑方便兼容未来引进新的系统和设备；因此经过细致深入的讨论研究后，我们将问题分解为4个方面，分别着手解决日志标准化的问题。这4个部分是：

2.1 事件采集标准化

高淳区社会保险管理中心在原有的基础上完善了系统的数据采集层。新的数据采集层能够实现对各类安全设备的安全数据的采集，在组成形式上数据采集层可以由多种形式的采集功能组件组合构成，支持分布式的采集处理架构。

新的数据采集层支持对各类安全对象的标准接口协议的适配。实现对包括安全对象的配置、运行状态、安全事件、脆弱性等数据的采集。数据采集层应支持主流采集协议或接口方式，包括但不限于：

（1）Syslog：采集Unix，支持Syslog协议的防火墙、路由器、交换机、防病毒和IDS等系统或设备；

（2）SNMP、SNMPTrap V1、V2、V3：采集支持Snmp协议的防火墙、路由器、交换机、防病毒、终端补丁、IDS和应用系统等系统或设备；

（3）OPSEC：采集CheckPoint防火墙的日志；

（4）ODBC/JDBC：采集存储到于关系型数据库的应用系统日志；

（5）通用文件：支持基于文件的日志采集，能够通过模板配置完成日志记录的格式化；

（6）专用日志采集接口：对仅支持专用管理接口的系统，能够支持多种专用API采集接口和通用的采集调度能力，例如脆弱性扫描系统的API或接口XML文件、Windows的WMI。

2.2 事件格式标准化

安全事件采集过程收集到多种类型的原始事件信息，而这些原始事件的格式和内容不尽相同。高淳区社会保险管理中心开发了一套基于数据格式和数据映射脚本的数据标准方法和过程。数据格式化脚本，用于按照需要对数据进行灵活的拆分、组装，实现数据格式化。数据映射脚本，用于将格式后的数据进行语义表达，实现数据映射。最终实现数据归一化。与传统的基于插件的数据标准方法相比，具有开发、维护难度小，快速灵活适应客户化等特点。

事件标准化过程将不同的事件数据格式转换成标准的事件格式并对其分类与存储，能够为上层各分析模块提供数据支持。

经标准化处理后的各事件包括以下属性：

?

?

以上是安全事件属性的基本内容，其他属性可以作为对安全事件描述的辅助属性。

安全事件的属性是可以扩展订制的，扩展属性与基本属性都可以参与事件的标准化、逻辑判断、条件查询、报表输出等。

2.3 事件过滤标准化

为了从海量的事件中进行有针对性的分析，我们优化了安管平台的事件的过滤功能。事件过滤功能可以对接入的已经标准化的安全事件进行进一步过滤筛选。安全事件过滤规则包含以下属性：

（1）过滤规则名称：对过滤规则的描述；

（2）过滤条件：设定安全事件应该满足的条件；

（3）响应方式：对满足条件的安全事件的处理方式；

下面对安全事件过滤中的过滤条件、响应方式、以及安全事件调整进行统一要求。

（1）过滤条件

安全事件的过滤条件，根据标准化的安全事件的基本属性，过滤条件至少可以按照以下属性进行过滤：

①安全事件名称；模糊匹配方式，比如包含、等于、等；

②设备地址；地址匹配方式，比如等于；

③设备类型名称；模糊匹配方式，比如包含、等于、等；

④源地址；地址匹配方式，比如等于；

⑤源端口；数字匹配方式，比如等于、大于、等；

⑥目的地址；地址匹配方式，比如等于；

⑦目的端口；数字匹配方式，比如等于、大于、等。

（2）事件处理方式

安全事件过滤完成后，需要进行进一步的处理，这种处理是对满足过滤条件的事件响应方式，安全事件的过滤响应方式至少应包括以下方式：

①丢弃：直接对满足条件的安全事件丢弃，不再写入数据库，也不再进一步处理；

②写入数据库：对满足条件的安全事件存入数据库，作进一步的处理。

2.4 事件归并标准化

对于过滤后的安全事件，仍然存在很多重复或者相似的事件。所以事件数据标准化的第四个方面是对事件进行归并。归并规则，就是在什么情况下，满足什么条件，对哪些字段进行归并。

事件归并功能可以对海量的安全事件依据归并条件进行归并，达到简化安全事件，提高安全事件准确率。

（1）安全事件归并规则应该包含以下属性

①归并规则名称：对过滤规则的描述；

②归并条件：设定安全事件应该满足的条件；

③归并字段：归并处理的事件字段，所列字段内容相同的事件才进行归并，比如安全事件的名称，设备地址等事件基本属性；

④归并时间：归并事件的时间窗口，指多长时间进行一次归并；

⑤归并数目：需要归并事件的数量，指多少事件进行一次归并；

⑥对被归并事件的处理方式：被归并的事件以何种方式进行处理。

（2）被归并事件的处理方式

①阻塞方式：直接将被归并事件全部丢弃，不写入数据库；

②非阻塞方式：将被归并事件全部写入数据库。

（3）可定义的归并策略如下

①根据事件名称进行归并分析；

②根据事件类型进行归并分析；

③根据源进程进行归并分析；

④根据目标进程进行归并分析；

⑤根据攻击源进行归并分析；

⑥根据攻击目标地址进行归并分析；

⑦根据事件原始时间进行归并分析；

⑧根据受攻击设备类型进行归并分析。

3 结论

通过安全事件的数据标准化建设，高淳社会保险信息系统安全保障得到了极大的提高，安全事件得到了及时分析和处理。由此可见安管平台信息安全事件的数据标准化对于社保安全大数据分析极为重要，只有实现了数据标准化之后，安全分析的效率才能提高，效果才能呈现。