业务互联关系可视化管理系统
软科星云业务互联关系可视化管理系统(以下简称“Nebula-VMI”)采用并行计算的高性能流量分析引擎,充分利用多核CPU的架构优势,大幅提升流量分析的性能指标。采用从2-7层的深度网络协议分析技术,完全还原网络协议内容,为各种合法流量、非法流量的分析定位提供强力支撑。
考虑到当前企业中网络流量巨大的特性,Nebula-VMI支持分布式部署、集中管控。
功能概述
Nebula-VMI利用网络流量抓取的方式抓取安全域内部各子域、安全域不同接口流量,形成可视化的设备互连关系视图,从而全面地掌握各通信网、业务网和各支撑系统安全域内部、安全域之间设备互连关系,并根据业务生产逻辑需要和业务生产维护需要对检测到的已知合法的互连关系进行合法的白名单定义。对于不能明确的互连关系,通过系统自动分析、提取协议内容、连接特征等信息,并提供给业务系统或安全管理人员进行判断,以降低人工确认的复杂度。
设备管理
通过流量发现IP设备,并提供IP地址与设备名称、设备类型、所属组织机构等属性信息的对应,并实现设备信息的批量导出和导入,提高互连关系的可读性。
互连关系管理
Nebula-VMI的互联关系管理主要展现了网络中设备间因一定需求而实事存在的连接情况的总体视图。可以制定、查看、修改各种统计分析策略,设定策略适用方法;依据策略对来自各个边界的白名单之外的其它流量的协议分析结果进行多维度的统计分析,发现基于五元组的统计特征,如周期性、频次等;可以配置优化策略,对不同边界提供的信息采取不同的统计方法、顺序。
图1 互联关系图
黑白名单管理
根据已生成的互连关系,并结合其连接周期、频次、管理指令、登陆帐号等特征生成白名单,用于区分网络环境中的合法流量和不明确流量;相对的,对黑名单中的应用流量进行违规行为告警。
图2 白名单
图3 黑名单
图4 违规告警
异常访问行为的可视化
异常情景1:异常资产的发现;
异常情景2:异常互联行为的发现;
异常情景3:用户异常登录的发现;
异常情景4:监控敏感数据访问;
异常情景5:发现APT内部潜行;
异常情景6:发现木马隐蔽通道;
异常情景7:发现运维违规行为;
报表中心
报表主要是用户可以查询已经确认的互连关系白名单、待确认互连关系名单、指定流量的包内容等信息,提供报表的生成、查看、导出功能,导出格式为PDF、Excel等常见格式。
系统管理
包括对系统的日志转发配置、系统组件管理、存储配置、软件升级及许可证信息。
用户管理
增加、修改、删除用户、用户组、角色及组织信息,可以在此模块中直接对用户进行授权:授权的内容包括功能模块的读、写及访问权限、组织机构权限、设备权限。
日志审计
提供系统的查询及操作产生的日志,支持日志的导出。