下面的文章主要介紹的是安全運維管理平臺之精髓，你如果對安全運維管理平臺之精髓有興趣的話，不妨看看以下的文章。面對品牌與種類各異的安全設(shè)備與眾多業(yè)務(wù)系統(tǒng)，海量數(shù)據(jù)如何做到全面采集與統(tǒng)一轉(zhuǎn)換？

這個關(guān)鍵性的一步需要通過應(yīng)用信息資源轉(zhuǎn)換和海量異構(gòu)數(shù)據(jù)集成技術(shù)來實現(xiàn)。

資產(chǎn)管理是信息安全風(fēng)險管理的重要基礎(chǔ)，它建立了統(tǒng)一的分析平臺判斷依據(jù)，從根本上解決了傳統(tǒng)威脅事件管理的不足。針對系統(tǒng)服務(wù)平臺應(yīng)用特點，它將主機、網(wǎng)絡(luò)、系統(tǒng)、安全、流量與應(yīng)用系統(tǒng)健康度監(jiān)控統(tǒng)一納入到安全運維管理平臺的工作內(nèi)容中，并按照信息系統(tǒng)所屬類型、業(yè)務(wù)信息所屬類型、信息系統(tǒng)服務(wù)類型、業(yè)務(wù)系統(tǒng)依賴程度來定義不同的資產(chǎn)價值。

安全運維管理平臺的運作基礎(chǔ)是統(tǒng)一的信息安全庫，它也是完整地收錄各種系統(tǒng)資產(chǎn)信息建立關(guān)聯(lián)分析與權(quán)責(zé)工單的分析基礎(chǔ)。這種信息的采集不應(yīng)只局限在安全設(shè)備層面，而應(yīng)通過多種協(xié)議手段盡可能多地采集IT系統(tǒng)各個層面中的系統(tǒng)資源數(shù)據(jù)。

隨著IT基礎(chǔ)設(shè)施種類的增加、品牌的擴充，及信息安全技術(shù)的逐步發(fā)展，信息安全庫的內(nèi)容也日漸豐富，越來越復(fù)雜。面對品牌與種類各異的安全設(shè)備和眾多業(yè)務(wù)系統(tǒng)，海量數(shù)據(jù)如何做到全面采集與統(tǒng)一轉(zhuǎn)換？這個關(guān)鍵性的一步需要通過應(yīng)用信息資源轉(zhuǎn)換和海量異構(gòu)數(shù)據(jù)集成技術(shù)來實現(xiàn)。

應(yīng)用信息資源轉(zhuǎn)換技術(shù)

實現(xiàn)應(yīng)用信息資源轉(zhuǎn)換首先要從不同品牌的IT基礎(chǔ)設(shè)施中收集原始的日志全集(也稱為原始信息安全庫)，然后進行統(tǒng)一的轉(zhuǎn)換和解析，并保存到安全運維管理平臺統(tǒng)一的信息知識庫中。不同品牌的IT基礎(chǔ)設(shè)施輸出原始信息安全庫的方式各有不同，根據(jù)目前的研究，至少包括MIB庫形式、XML格式文件、文本文件方式和數(shù)據(jù)庫文件形式等。針對不同形式的原始信息安全庫輸出，信息資源轉(zhuǎn)換技術(shù)和系統(tǒng)分別設(shè)計單獨的模塊進行資源轉(zhuǎn)換，具體遵從如下步驟：

1. 針對每種原始信息安全庫的輸出，根據(jù)廠商提供的輸出格式，信息資源轉(zhuǎn)換技術(shù)和系統(tǒng)設(shè)計信息安全庫識別模塊從原始信息安全庫讀取所有內(nèi)容;

2. 將讀取后的內(nèi)容按照安全運維管理平臺規(guī)定的安全信息接口規(guī)范進行逐一轉(zhuǎn)換;

3. 對轉(zhuǎn)換后的內(nèi)容按照安全事件的基本類型進行歸類，再按照子類型進行細(xì)分;

4. 將歸類后的內(nèi)容存放在平臺的統(tǒng)一信息安全庫中。

海量異構(gòu)數(shù)據(jù)集成技術(shù)

海量異構(gòu)數(shù)據(jù)集成是數(shù)據(jù)采集過程中最為重要的技術(shù)。異構(gòu)數(shù)據(jù)集成采用XML這種標(biāo)準(zhǔn)、開放的數(shù)據(jù)結(jié)構(gòu)來表示數(shù)據(jù)信息。XML是一種半結(jié)構(gòu)化的數(shù)據(jù)模型，它具備的諸多特性使其可以描述不規(guī)則的數(shù)據(jù)，集成來自不同數(shù)據(jù)源的數(shù)據(jù)，并可以將多個應(yīng)用程序所生成的數(shù)據(jù)納入同一個XML文件中。因此，將XML作為集成系統(tǒng)中集成層的數(shù)據(jù)描述工具和轉(zhuǎn)換工具是海量異構(gòu)數(shù)據(jù)集成技術(shù)和系統(tǒng)的必然選擇。

海量異構(gòu)數(shù)據(jù)集成技術(shù)和系統(tǒng)的實現(xiàn)路線如圖所示。在此模型中，用戶對信息的訪問、操作并不是直接作用于數(shù)據(jù)源，而是通過訪問虛擬數(shù)據(jù)庫接口實現(xiàn)的。此結(jié)構(gòu)分為三層：

(1)數(shù)據(jù)源層 ：負(fù)責(zé)提供包括以各種方式獲取的系統(tǒng)數(shù)據(jù)。

(2)通信層：完成各類數(shù)據(jù)源與XML 數(shù)據(jù)模型的轉(zhuǎn)換。將數(shù)據(jù)存儲到集成模式空間中，并維持集成模式空間與異構(gòu)數(shù)據(jù)源之間的映射。

(3)集成層：通信層統(tǒng)一格式的易于通信的數(shù)據(jù)借助于元數(shù)據(jù)字典，集成為統(tǒng)一視圖。虛擬數(shù)據(jù)庫的建立過程是針對所有數(shù)據(jù)源數(shù)據(jù)模式的抽取過程，它將各應(yīng)用系統(tǒng)數(shù)據(jù)庫中的不同數(shù)據(jù)表示成形式統(tǒng)一的數(shù)據(jù)視圖。

上層(接口層)針對虛擬數(shù)據(jù)庫進行，與具體應(yīng)用數(shù)據(jù)庫無關(guān)，因此能夠?qū)⒉捎媚壳傲餍?、成熟的軟件?gòu)件方法開發(fā)的構(gòu)件集成到任意一個應(yīng)用系統(tǒng)中, 具有構(gòu)件集成簡單、與數(shù)據(jù)庫聯(lián)系緊密等特點。另外，集成存取處理模塊可以用來實現(xiàn)對異構(gòu)數(shù)據(jù)的存取、查詢等功能。

通信層主要完成XML數(shù)據(jù)模型與數(shù)據(jù)源的雙向轉(zhuǎn)換。用XML描述集成數(shù)據(jù)，用XML 文檔和格式文件DTD表示集成模式與數(shù)據(jù)源之間的映射。XML數(shù)據(jù)模型與數(shù)據(jù)庫的轉(zhuǎn)換主要體現(xiàn)在XML 的DTD 和數(shù)據(jù)庫數(shù)據(jù)模型的相互轉(zhuǎn)換上。從DTD 轉(zhuǎn)換到數(shù)據(jù)庫模型的原理如下:

1. 從DTD 生成一個關(guān)系模式，并在此基礎(chǔ)上建立關(guān)系數(shù)據(jù)庫;

2. 對DTD 中的每一個元素，產(chǎn)生關(guān)系數(shù)據(jù)庫的一個表和一個主鍵列;

3. 對每一個有混合內(nèi)容的元素，產(chǎn)生一個獨立的表，用來存儲PCDATA，并通過父表的主鍵與父表相連;

4. 對元素類型中的每一個單一值的屬性，即對只具有PCDATA內(nèi)容的按順序出現(xiàn)的子元素產(chǎn)生一個單獨列;

5. 對有多個值的屬性和可以出現(xiàn)多次的PCDATA類子元素，需要創(chuàng)建一個單獨的表來存儲這些值，并通過父表的主鍵與父表相連;

6. 對每一個包含元素或混合內(nèi)容的子元素來說，通過父表的主鍵把父元素與子元素連接起來。

從數(shù)據(jù)庫模型到DTD的轉(zhuǎn)換相對容易一些，分為三步: 對一個表，創(chuàng)建一個元素;對表中的每一列，創(chuàng)建一個屬性或是一個只有PCDATA內(nèi)容的子元素;根據(jù)表中的每一個主鍵/ 外鍵關(guān)系，創(chuàng)建該表元素的子元素。

XML 數(shù)據(jù)模型與數(shù)據(jù)之間的轉(zhuǎn)換可以分為模板驅(qū)動和模型驅(qū)動兩種形式:

基于模板驅(qū)動，只能應(yīng)用于關(guān)系數(shù)據(jù)庫與XML文檔之間傳遞數(shù)據(jù)。它需要在一個模板中嵌入帶參數(shù)的SQL命令，并用數(shù)據(jù)傳輸如中間件等實體軟件進行處理;

基于模型驅(qū)動的轉(zhuǎn)換是當(dāng)把數(shù)據(jù)從數(shù)據(jù)庫傳送到XML 文檔或把數(shù)據(jù)從XML文檔傳送到數(shù)據(jù)庫時，用一個具體模型實現(xiàn)轉(zhuǎn)換，而不僅僅依賴內(nèi)嵌的SQL命令。關(guān)系數(shù)據(jù)庫的理論依據(jù)是關(guān)系模型;面向?qū)ο蟮睦碚撘罁?jù)是對象模型;而XML的文檔的依據(jù)是XML Schemas或DTD。

總體說來，通信層的專用接口模塊是從各數(shù)據(jù)源的數(shù)據(jù)到一個XML數(shù)據(jù)模型的雙向轉(zhuǎn)換。

集成層為用戶提供針對特定集成應(yīng)用而設(shè)計的虛擬集成視圖。虛擬集成視圖是一個虛擬關(guān)系(或虛擬對象類)的集合。采用XML 作為集成系統(tǒng)的公共模型，用一個DTD描述集成層的一個虛擬對象類，一個元素對應(yīng)虛擬對象類的一個屬性，所有虛擬對象類的DTD組成集成系統(tǒng)的集成模式。根據(jù)不同用戶的不同需求，可定義不同的XSL樣式表，屏蔽部分對象或?qū)ο髮傩?，改變對象顯示形式，提供不同的用戶視圖。

海量異構(gòu)數(shù)據(jù)集成技術(shù)實現(xiàn)了對各個數(shù)據(jù)源的集成存取，即將用戶對集成視圖的存取轉(zhuǎn)換成對異構(gòu)數(shù)據(jù)源的操作，具體有兩種實現(xiàn)方法，即GAV(GlobaL As View)和LAV(Local As View)。GAV方法要求為集成視圖中的每一個虛擬關(guān)系(或虛擬對象類)R寫出一個查詢，說明如何從信息源得到R 的元組(或?qū)ο?。

這種方法的特點是查詢轉(zhuǎn)換簡單，但增加新數(shù)據(jù)源時比較繁瑣。LAV 方法則相反，它要求為每一個數(shù)據(jù)源S 給出一個針對集成視圖的查詢，說明集成視圖中的哪些元組(或?qū)ο?可在S中找到。它的優(yōu)點是易于插入新數(shù)據(jù)源，但查詢轉(zhuǎn)換相對復(fù)雜。

海量異構(gòu)數(shù)據(jù)集成技術(shù)和系統(tǒng)為集成模式中的每一個虛擬對象類創(chuàng)建一個能動態(tài)生成XML 文檔的安全運維管理平臺腳本文件，說明如何從信息源得到該虛擬對象類的對象，如何將源數(shù)據(jù)轉(zhuǎn)換成集成數(shù)據(jù)。

當(dāng)用戶要訪問集成數(shù)據(jù)時，系統(tǒng)按下列步驟進行查詢轉(zhuǎn)換: 1.根據(jù)用戶提出的查詢條件，生成一棵查詢樹;2.將諸如選擇、投影操作等盡量推向葉節(jié)點，即數(shù)據(jù)源;3.將對各數(shù)據(jù)源的操作追加到相應(yīng)的文本文件中;4.調(diào)用文本文件生成來自多數(shù)據(jù)源的包含用戶所需數(shù)據(jù)的XML文檔;5.選擇合適的XSL，應(yīng)用于所生成的XML 文檔。

【編輯推薦】

1. 啟明星辰TSOC為煙草用戶構(gòu)建安全管理平臺
2. 賽門鐵克并購Altiris后推出端點管理平臺EMS
3. SINFOR VPN管理平臺應(yīng)用于四川省煤碳產(chǎn)業(yè)集團
4. VPN、防火墻集中安全管理平臺
5. 深入SOC2.0系列4：具備安全態(tài)勢感知能力的安全管理平臺