成功案例
ISOinsight / LOGinsight 前瞻智慧政府大型IT資訊網路維運
發佈日期:2018-10-12
案例主旨:政府成功案例
解決方案:ISOinsight / LOGinsight 前瞻智慧政府大型IT資訊網路維運
關鍵字: ISOinsight, LOGinsight, AI網管智慧機器學習, 維運監控, 前瞻智慧政府, 資源管理, 伺服器監控, 網路監控, 存取管控, IOT管控, 流量分析, 效能管理, 環境監控, ISO27000, ISMS, 風險管理, 無線漫遊, 無線網管, AAA認證
【問題癥結】
-
太多IP網路下的IT維運設備可視度、整合困難
-
應用服務ISO維運、各式儀表板需求殷切
-
2D多層次3D展現情態牆需求殷切
-
更高的前瞻智慧需求
【解決方案】
-
發現與盤點:IP、資訊、網路、IOT端點設備管理
-
儀錶板: 網路維運、系統監視、ISMS營運架構管理
-
電路與服務效能監控整合、機房設施監控整合
-
大數據與AI智慧運算
【ISOinsight & LOGinsight應用說明】
本文敘述說明ISOinsight & LOGinsight在政府、軍方大型網路與資安IT維運應用案例,包括:
-
AI運算基礎架構設計
-
分散運算、集中儲存暨權限管理
-
友善IT維運資產整合美工平面圖、拓樸圖
-
網路服務狀態、設備組態管理。
-
資訊系統應用服務監控。
-
無線認證與設備網管
-
人員BYOD / IOT物聯網設備管控。
-
大數據儲存、統計分析。
-
資安通報整合、追蹤、結案
-
ISO27000合規性報表與客製化
-
情態牆設計
(一) AI運算基礎架構設計
前瞻智慧政府大型IT資訊網路維運AI運算三元素 – Predict /Prevent / Protect
AI運算整體架構圖
Predict(預測) – 藉由內網IT維運設備資產、維運日誌、監控數據、流量與行為日誌趨勢等大數據資料進行情境設計與分析, 預測異常提前處理, 提高維運妥善率。
Prevent(預防) – 藉由管控措施, 防止人員有意或無意干涉分部正常維運規則, 造成運算衝突或異常入侵, 預防不正常與偽造事件發生, 提高維運效率。
Protect(保護) – 藉由保護或阻斷手段, 針對違規或攻擊行為進行隔離或阻斷, 可及時阻止並避免危害的發生, 提高分部維運可用率。
AI區域運算 - 人員設備智慧管控機制, 架構圖:
(二) 分散運算、集中儲存暨權限管理
- 雲佈署、可延伸分散之大型監控架構 :
「雲運算」與「區域運算」以ISCA被動模式及IRPE 主動模式進行資料訊息的交換. 如下圖各分部「區域運算」取得人員/設備狀態資訊回報至 中心「雲運算」,而「雲運算」將資安通報經由大數據運算之後以事件派送至分部「區域運算」儀錶板。
- 日誌大數據結構 – 叢集、備援容錯 雲端運算模式
如下圖,中心及各邊際端設備/人員/IP相關紀錄(syslog、netflow)由於數量龐大,以大數據方式集中存放於中心Elastic NoSQL 之中, Elastic具備橫向擴展與備援容錯特性,提供「雲運算」龐大數據的運算與追蹤。
- 雲集中、及時同步、分散權限管控資料結構
如下圖,中心及邊際端設備/人員/IP集中存放於中心關聯式DB之中,「雲運算」或各校端「區域運算」管理員依據管理權限分享或存取/編輯。
整合區域與雲總部管理員角色與權限,包括:權限(封鎖), 範圍(區域或芸總部),設備保固商,設備檢視與處理事件進行歸類與定義,保障網路安全。
(三) 友善IT維運資產整合美工平面圖、拓樸圖
- ISOinsight /LOGinsight
是一對完善的IT資源暨威脅的管理器,提供分部IT維運設備甚至使用者BYOD最基礎的設備管理, 包括如屬性管理、生命週期管理。並藉由區域運算異常偵測手段, 在L2~L7層次的異常偵測(感知)、控制加上雲大數據運算統計分析,管理員可以設計各種AI情境,發揮資源管理卓越的功能,涵蓋的層面有:
-
完整機構組織與IT資源的資料庫與報表 – 以機構組織、網路拓樸為基礎建構機構完整IT網路運作的設備全貌與資產清冊, 甚至包括IP、軟體應用服務、聯外電路、端點等
-
自動化資源與資產的學習程序 – 具備網路自動化的學習精靈,協助IT人員建構與評估現在及未來分部內部網路資源合法性與變更,包括相關網路設備、伺服器、軟體系統、環控與IOT物聯網設備、授權用戶機台資產、參數等基本資料
-
資產衝擊、風險等級評估的事件管理 – 依據IT資產的營運價值與事件等級進行風險運算與流程管理, 並依風險等級以E-mail、簡訊、app. 不同層級的告警, 以保障IT系統與網路穩定的運營 , 並作為機構IT維運風險評鑑的基礎。
-
系統與網路資源可用性的監視 – 協助網路與系統管理員對IT資源與服務運作可用性監視、異常事件與燈號顏色狀態及時顯示。符合ISO27001 ISMS管理精神
-
網路/系統行為與效能異常偵測(APM,NPM) – 藉由系統agent與網路probe的佈署, 可對伺服器、應用服務、網路品質進行監看、分析、整合告警。亦可針對伺服器與使用者間 或 IP群組之間效能分析與異常行為的偵測。
-
即時儀表板的展現 – 提供多元儀表板展現不同層面IT運作可用率KPI, 包括: 機房設備資訊儀表板, 應用服務資訊儀表板, 網路服務儀表板, 骨幹與聯外電路介面流量儀表板。
-
圖形化親和性的操作 –視窗拓樸地圖、流量地圖、事件源地圖,藉由圖形即時動態顯示設備/應用程式運作狀態、燈號、流量警示、事件發生位置。
- 網路設備發生異動時及時告警
友善儀表板: 專門設計給一般非專業網管工程師使用,設計原則one click, keyboard less, 標示所有網路設備資訊事件燈號與線路狀態。當設備發生異常或資安通報攻擊等事件時, 友善儀錶板會立即告警發出警報聲響(亦會依據設定發出mail、SMS、LINE通知等)
即時顯示設備/線路狀態及維運資訊,如所在switch位置與上線人數
mouse on 移動游標即可以取得資訊如下: (事件燈號與警報聲響、事件內容、設備維修資訊:年度、得標商、保固年限、裝置位置)
❶設備說明與事件
❷介面流量與流量圖
❸Switch介面的使用者
(四) 網路服務狀態、設備組態管理
- 設備運作存活狀態
- 資產資訊- 設備序號、韌體版本、廠牌型號說明、財產編號、存放位置、分類
- 終端在線列表
- 終端上下線列表
- 匯出MAC/IP表
- 交換設備介面、MAC、ARP、Online(在線IP)
- 設備CPU/memory趨勢圖
網路設備維護與組態管理 (備份/回復)
網路設備組態備份與回復功能, 依據設備品牌支援可以分為二類:
(1)以SNMP方式達成: 設備本身具備private MIB讓系統可以SNMP指令進行組態備份與回復, 例如CISCO品牌設備
(2)以script方式達成: 設備的組態備份與回復透過script方式達成, 例如HPe, Extreme, Ruckus, Alcatel-Lucent, FortiNET等品牌設備
交換設備組態備份與回復可以及時 或 定時方式進行
交換設備組態以本文方式儲存時, 可以進行異動比對並可觸發告警。
(五) 資訊系統應用服務監控
- 關鍵應用
- 以VLAN網段自動建構網路拓樸為基礎建構完整IT網路運作的全貌
- 內網骨幹與聯外電路介面流量儀表板
- 資產自動的獲取,減輕IT人員大量工作負荷
- 拓樸地圖、流量地圖、事件源地圖操作介面
- 設備資源使用(CPU,RAM,I/O) 臨界值告警、圖表
- 網路骨幹介面流量、組織IP群組流量監視及告警
- 伺服器服務反應效能監視與用戶會談記錄查詢
- 事件源與異常設備、行為的追蹤
- VM虛擬主機管理, 支援VMware vSphere, vCenter API虛擬伺服器效能監控
- 完整的資訊統合及監控管理機制,使事件資訊與組織權責人員即時同步進行處理提高 SLA 。
- 即時儀表板的展現
提供多元儀表板展現不同層面IT運作可用率KPI與異常的發現, 包括: 機房設備資訊儀表板, 應用服務資訊儀表板, 骨幹與聯外電路介面流量儀表板。
-
- 應用服務系統負載、可用率
- 骨幹與聯外電路介面流量負載、可用率
- 伺服器ICMP, TCP/UDP探測反應效能監控服務
- 伺服器用戶應用系統訪問會談反應效能分析
- 虛擬伺服器運營狀態與報表,包括CPU與記憶體即時與長期運營、vCenter事件、資產清冊。
- 網路IP流量TCP服務排行
-
- 圖形化親和性的操作
視窗拓樸地圖、流量地圖、事件源地圖,藉由圖形即時動態顯示設備/應用程式運作狀態、燈號、流量警示、事件發生位置。
-
- 拓樸圖 – 手動方式或自動收尋網管路由器與交換器與繪製、展示網路資源關聯與分類, 包括layer 2/3 路由器、VLAN網段、交換器、主機等。這些關聯圖可以多個視窗方式來顯示不同群組設備的狀態、相關資訊。
- 流量圖 – 以箭頭來表示網路骨幹介面上行與下行的流量資訊, 並以顏色及MRTG趨勢圖來表示目前流量離臨界值的狀態及當日的流量趨勢
- 事件關聯圖 –自動持續監視網路節點之狀況與連結狀態,將網路設備以圖形(Icon)改變顏色變化來示警, 並直接可將事件相關聯, 協助管理員掌握事件發生的時間、內容、位置與處理的結果。並協助管理問題查找,如左上圖以拓樸圖提示問題來源, 並佐證相關環境資訊。
(六) 無線認證與設備網管
1、身分認證自動紀錄實名 - AD認證機制
- 由智慧監測器(probe)攔截彈出認證畫面 - 到AD認證, 認證資訊 = MAC+IP+帳號+日期 時間紀錄. 每個身分系統預設可以有五個授權BYoD設備, 其中一個設備認證過後, 其他設備可以不必再認證。認證通過後, 系統允許 n 天(可設定)之內可以不必再認證。
- 未授權設備 - 取得隔離區IP, 轉入認證與BYoD申請授權網頁
- 未授權終端遭隔離, 並彈出申請網頁如下圖
2、提供AD認證方便性:
❶ 認證過期 或 未授權終端遭隔離, 並彈出註冊/認證網頁
- 系統可設定有效期, 允許 n 天(可設定)之內可以不必再認證
❷系統將Name/對應設備MAC 加入放行名單內
-
- 每個身分系統預設可以有五個授權BYoD設備, 其中一個設備認證過後, 其他設備可以不必再認證。
❸辨識精靈盡力獲取設備資訊
❹原未授權設備授權綁定IP, 並及時加入雲端白名單, 允許單一帳號, 多個設備的管控
- 每個身分系統預設可以有五個授權BYoD設備
3、提供無線網路管理
-
- 無線使用人數當日/當月
- AP忙碌排行榜
- SSID rank排行榜
- 無線用戶上網量排行榜
- AP狀態統計 – 在線, 不在線, 無人上AP
- 連線SNR排行
- AP群組使用排行
- AP狀態表
-
(七) 人員BYOD / IOT物聯網設備管控
Prevention & Protection是AI網管區域運算前瞻智慧維運管理執行極為重要管控手段, 智慧政府預防資安事件與阻止滲透有效方法, 說明如下:
Prevent(預防) – ISOinsight NAC edition管控策略是內網資訊服務維運管控有效的機制,可藉由白名單的設立進行IP/端點/行為存取管控策略,有效預防分部IT維運的混亂與衝突。這些管控策略包括有:
(1)IPAM - 對於使用者IP發放進行有效管控, 系統支援IPAM功能包括: DHCP、RADIUS、DNS服務功能。IPAM管理職司 IP組成與維護、IP屬性與來源整合網路服務、IP使用歷程管理。DHCP、RADIUS、DNS服務則提供終端DHCP IP派發、 802.1x網路授權、有(無)線認證登入管理與IP網域名轉址服務,以保障分部員工/訪客/夥伴網路位址使用在安全存取管控策略之下執行。
編輯IP網段(固定與DHCP)與行政組織關係
ISOinsight支援以VLAN為基礎對IP進行控制,違規使用未分配IP位址的用戶將被封鎖;除此外以圖示方式統計IP的使用頻率,便於回收長期未被使用的IP資源。
-
- 各VLAN中, IP使用/歷史狀態圖燈號:
--使用中,
-- 已離線,1 週內,
--已離線,1~2 週,
-- 此IP 2 週~ 1 月未曾使用,
--此IP 1~3 月未曾使用,
--此IP 3~6月未曾使用,
--此IP 超過6個月未曾使用,
-- 此IP未曾使用過。 - 此IP屬於網路設備(
-- 防火牆,
-- 路由器,
-- 閘道器,
-- VLAN,
-- 交換器,
-- 伺服器). 
表示禁用的IP.
- 各VLAN中, IP使用/歷史狀態圖燈號:
(2)端點存取管控 - 內建ARP Probe收集終端MAC/IP, 主機名稱, 群組名稱, 網卡供應商等設備資訊自動辨識, 建立內網設備白名單。搭配管控策略可有效管制未授權設備的入侵網路使用, 策略包括: IP位址發放與收回禁用、VLAN為基礎的MAC, IP檢測驗證策略、DHCP強制執行, 整合AD進行帳號與主機完整性驗證等。
具備DHCP 強制能力、整合交換器 DHCP snooping
操作: 依次點擊“管控策略”->“VLAN策略”->DHCP強制。
設定VLAN授權策略,如下表:
對於未授權訪客或廠商, 系統提供自動或手動強制鎖定工具: (1) ARP鎖定 可直接針對主機(MAC+IP)ARP進行鎖定,不須依賴交換埠。透過此方法鎖定,可以進行WEB通知, 當使用者被ARP lock並開啟瀏覽器時, 可進行web 網頁彈出
提供VLAN、網段基本列表, 讓管理員可對企業VLAN進行所有管理的VLAN與網段的觀察, 管理員可有效掌握企業VLAN廣播運行的情況。
ARP異常偵測警報, 可以針對ARP掃描或ARP異常/回應封包偽造進行偵測, IP 衝突、非法 DHCP 與設備位置、廣播/群播封包超量等觸發告警
(3)TCP行為存取管控 – 搭配mirror封包的鏡像, 針對伺服器、IOT設備行為或訪問進行策略管控與阻擋。
Protect(保護) – ISOinsight NAC edition阻斷策略是跨廠牌多元內網資訊服務維運阻止異常或駭客網路攻擊有效的機制,這些手段通常伴隨不同的事件或應用情境而有不同的方法, 例如蠕蟲巨量網路攻擊最有效的阻斷方式是「埠鎖定」,而當使用者使用未授權設備接入網內,最快速有效方式是「ARP阻斷」。目前系統提供的阻斷方式, 包括有:
(1)埠鎖定: 以SNMP直接shutdown 交換器介面, 是實體的阻斷. 缺點是需要精確的網路結構與管理機制, 一般分部常因為人力的不足與交換器管理不善而無法執行
(2) ARP阻斷: 以ARP spoofing手法阻斷端點主機的ARP table, 使之無法對外聯繫. 目前是較歡迎的手法.
(3)L2/L3 ACL list : 以SNMP或Script 直接對交換器/路由器進行ACL script指令的動作, 改變設備組態, 一般並不建議使用
(4)TCP reset : 必須是在鏡像模式下使用, 是一不錯的阻斷方式, 只要是新一代的交換器, 鏡像是由ASIC晶片進行,並不會對網路效能有影響, 不僅可以獲取1:1的netflow紀錄, 也可以進行有效的阻斷效果.
(八) 大數據儲存、統計分析
LOGinsight 巨量資料日誌安全管理解決方案,以獨特的大數據分析技術作為核心,針對不同的 IT 設備或裝置所產生的日誌紀錄統一蒐集、風險識別、分析報告,簡化管理人員作業時間以及資料正確性可視性,並與ISOinsight整合關聯式與行為分析包括 SNMP、Syslog 以及 Flow。
IT 管理人員藉由 LOGinsight 巨量資料日誌安全管理解決方案,可更快速找出所有網路設備與裝置、資訊安全設備、伺服器系統、應用系統、VMware及防毒系統等潛在問題、威脅活動、攻擊模式、異常狀況、機密資料存取以及內部威脅等情報資訊,進一步調查並解析各種威脅來源與目的,輕鬆分析所有記錄,進而長期偵測與追蹤可疑的惡意活動,找出其他安全性解決方案所遺漏的隱性威脅,並依據事件風險等級產生所需稽核報表,符合企業日誌管理成本效益解決方案。
應用情境
- 巨量資料運算比傳統方式更快速
透過巨量資料運算及資料挖掘技術,將跨平台、設備裝置日誌統一蒐集、儲存、管理、搜尋分析,偵測網路安全攻擊及早扼止威脅以免造成危害,協助管理者防範 IT 營運風險。
- 基於 ISO27001 的 IT 設備風險分析平台
即時掌控所有 IT 設備及網路系統資料營運狀態,並可與 SIEM、NOC 及 SOC 整合成緊密聯合防禦平台,提高資產可用性與可靠型並降低整體維護成本。
-
- 鑑識分析簡化稽核管理作業
蒐集的安全訊息與事件日誌,提供稽核追蹤途徑,用來偵測網路攻擊行為與執行詳細的鑑識分析,包括依資料來源、時間、關鍵字、嚴重等級、組織網段、設備 IP 位址及 MAC 等過濾搜尋。
大數據日誌管理與流量分析
組織管理 – 以樹狀結構建立企業/機構/分部的行政組織概念,並對應於網路IP的區間,使本統的分析報表可以實際組織的方式表達。
設備管理 – 提供IT網路運作的設備全貌與資產清冊, 包括IP、營運設備、軟體應用服務、聯外電路、端點等. 並藉由學習精靈,協助IT人員建構與評估現在及未來企業內部網路資源合法性與變更,包括相關網路設備、伺服器、授權用戶機台資產、參數等基本資料
日誌管理 - 以大數據NoSQL儲存來自伺服器、網路設備、應用服務等大量數據,並提供檢索、聚合、分析能力, 產出相關日誌清單、報表、視圖。
流量與效能分析 - 以大數據NoSQL儲存來自伺服器、網路設備、應用服務等會談數據(sessions),並提供檢索、聚合、分析能力, 產出相關IP流量排行、效能分析報表與視圖。
(九) 資安通報整合、追蹤、結案
- 事件觸發感知分類通報
依據資安設備日誌來源, 客製化資安通報事件分類, 並提供事件處理追蹤、催促, 事件與流程圖、流量關聯 (drill down to NOC)。
- 資安分布儀表板 - 資安分類分布統計暨處理狀態儀表板
- 警報管理
依據異常事件來源設備IP, 通告不同群組管理員。多元通報方法: ①本機加裝簡訊②EMAIL③WINDOWS視窗彈出④WINDOWS指令⑤LINE通知, 關於LINE通知, 管理員可以將其他第三方系統的EMAIL告警設定接入, 藉本功能即可與社群軟體整呵告警。
(十) ISO27000合規性報表與客製化
ISO基礎的網路中文運營報表 & 生成管理
-
IT運營指標報表
-
線上資訊服務可用率。
-
設備運轉使用良率。
-
-
端點使用相關報表
-
未授權終端網路入侵列表。
-
授權用戶登入/離線身份與終端使用列表。
-
終端異動列表。
-
終端封鎖列表。
-
-
IT運營事件週期性報表
-
事件類別資訊主機與網路設備效能異常告警記錄。
-
分析日、周、月、季、年報表。
-
資訊主機與網路設備log分析。
-
影響「線上資訊服務可用率」事件清單。
-
影響「設備運轉使用良」事件清單。
-
-
IT運營設備清冊
-
交換器財產清冊。
-
伺服器財產清冊。
-
綜合裝備財產清冊。
-
-
IT運營設備運營狀態週期性報表
-
交換器運營狀態周、月、季、年報表。
-
伺服器運營狀態周、月、季、年報表。
-
綜合裝備運營狀態周、月、季、年報表。
-
(十一) 情態牆設計
客製化情態牆設計, 歡迎聯繫本公司業務