信息安全運營中心在大中型企業(yè)中的應用

1、信息安全運營中心在大中型企業(yè)中的應用啟明星辰信息技術有限公司 高級咨詢顧問 陳萍瓊隨著經(jīng)濟建設的持續(xù)發(fā)展和知識經(jīng)濟模式的到來，國內(nèi)企業(yè)以一種前所未有的熱情致力于企業(yè)內(nèi)部管理素質與效率的提升中，通過信息化手段實現(xiàn)辦公自動化，網(wǎng)絡信息系統(tǒng)成為企業(yè)辦公的基礎設施之一。組織機構復雜、用戶眾多、流程復雜；各類應用軟件系統(tǒng)負載大，數(shù)據(jù)量大是大中型企業(yè)普遍的特點。通常，大中型企業(yè)有著更高的建設目標，他們希望通過實施辦公自動化來提升管理水平，提高協(xié)作效率。因此也給承載該服務的網(wǎng)絡信息系統(tǒng)提出了較高要求。本文將從目前大中型企業(yè)在信息安全工作中存在的問題出發(fā)，提出針對性的解決方案，幫助大中型企業(yè)構建有效的系統(tǒng)及業(yè)

2、務安全保障體系。大中型企業(yè)信息安全工作中存在的問題Ø 多種安全設備，不同的報警，如何整合？在大中型企業(yè)的網(wǎng)絡系統(tǒng)中，為了確保系統(tǒng)的穩(wěn)健運行，通常會采用多種安全技術手段和安全產(chǎn)品，比如防火墻系統(tǒng)、入侵檢測系統(tǒng)、防病毒系統(tǒng)等，都是安全基礎設施。在實際的運維過程中，這些不同種類、不同廠家的安全產(chǎn)品會給技術人員帶來不小的麻煩各個安全系統(tǒng)相對孤立，報警信息互不關聯(lián)，策略和配置難于協(xié)調(diào)。當一個報警事件產(chǎn)生時，不知道該如何處理。Ø 海量的事件、海量的日志，如何分析存儲？網(wǎng)絡設備、安全設備、服務器都會產(chǎn)生日志，即使防火墻只做被丟棄數(shù)據(jù)包的日志，IDS也精簡日志，每天產(chǎn)生的日志量仍然達到10

3、0-200M左右，相當于每秒鐘10條，1個小時36000條。實際上，一個專職的安全工程師一天能處理10多條已經(jīng)很多了，一小時處理4條是極限。如何跨越36000條事件和4條事件之間的數(shù)字鴻溝，避免“關鍵的安全信息和告警常常被低價值的告警所淹沒，讓技術人員能及時針對重要安全事件進行處理，成為亟待解決的一個關鍵問題。除了對事件的分析外，還涉及到一個存儲的問題，以便事后快速方便地進行查證。技術人員通常希望可以到統(tǒng)一的庫里面去查，而不是搭建多個日志中心，防火墻到防火墻日志服務器去查，IDS到IDS日志服務器去查。Ø 如何將網(wǎng)絡安全事件與業(yè)務風險關聯(lián)？在日常的工作中，技術人員關注的是網(wǎng)絡安全，而

4、領導關注的是信息安全或業(yè)務安全，是全局的狀況。這也就提出了一個需求，將網(wǎng)絡安全事件跟業(yè)務風險進行關聯(lián)，將業(yè)務系統(tǒng)的安全運行情況展現(xiàn)出來，很直觀地看到被監(jiān)控的業(yè)務系統(tǒng)是安全級別中的哪一級，每個業(yè)務系統(tǒng)各是什么樣的狀況。業(yè)務系統(tǒng)是一個支撐系統(tǒng)，如果業(yè)務系統(tǒng)正常，就不需要花過多時間來維護。技術人員的工作也能從全局角度出發(fā)，而并非某個局部設備的運維。Ø 如何計算安全投資的回報率？通過安全投入，減少了多少安全損失，這一點通常是很難度量的。比如說去年發(fā)生了多少安全事件，今年少發(fā)生了多少，如果能把風險量化，就能通過計算風險的降低率來推算投資回報率。Ø 安全技術過于底層，安全管理過于抽象，

5、如何有效整合？信息安全不僅涉及到安全技術，還包括安全管理的內(nèi)容。在做安全工作時，講到安全理念、安全標準就會特別虛。講技術體系，技術實現(xiàn)又會太細節(jié)化。27號文里談到技術和管理并重，在實際的工作中，需要把過于底層的安全技術和過于抽象的安全管理進行有效的整合。泰合信息安全運營中心解決方案泰合是啟明星辰提出的SOC（Security Operation Center信息安全運營中心）解決方案，其體系架構如下圖所示，由“四個中心、五個功能模塊”組成。Ø “四個中心”是漏洞評估中心、事件流量監(jiān)控中心、綜合分析決策支持與預警中心和響應管理中心；Ø “五個功能模塊”是策略管理、資產(chǎn)管理、用

6、戶管理、安全知識管理和自身系統(tǒng)維護管理。圖1：泰合信息安全運營中心體系結構示意圖其核心功能描述如下：n 資產(chǎn)管理 對用戶所關注的信息資產(chǎn)的各類信息進行統(tǒng)一管理。將其所轄IP設備資產(chǎn)與風險的重要程度關系，依據(jù)風險評估的結果、定期的漏洞掃描結果和本模塊的信息資產(chǎn)相結合，遵從ISO17799和ISO13335的資產(chǎn)管理規(guī)范，允許對信息資產(chǎn)的價值進行有效評估，從而確定信息資產(chǎn)的安全需求（完整性需求、保密性需求和可用性需求），不僅可以協(xié)助用戶有效管理信息資產(chǎn)的各類屬性，同時也便于貫徹即將強制推行的公安部等級保護規(guī)范（ISO 15408/GB 17859）。n 安全域管理安全域是用戶根據(jù)業(yè)務特點、網(wǎng)絡劃分

7、、信息資產(chǎn)重要程度等因素，劃分出的信息安全防護基本單元，貫徹安全域管理不僅可以協(xié)助用戶理清現(xiàn)有信息系統(tǒng)的結構和安全需求，同時也簡化了實施安全保障措施的復雜度和難度。Ø 允許用戶根據(jù)業(yè)務系統(tǒng)、網(wǎng)段等不同的屬性對信息系統(tǒng)進行安全域劃分；Ø 允許用戶將重要的信息資產(chǎn)與安全域進行關聯(lián)；Ø 支持同一資產(chǎn)隸屬不同的安全域，支持多層次安全域管理；Ø 用戶可以對安全域進行重要性賦值；Ø 用戶可以對安全域進行風險監(jiān)控和脆弱性評估，了解其安全狀況。n 脆弱性管理通過脆弱性管理可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況，結合當前的安全動態(tài)和預警信息，有助于及時調(diào)整安全

8、策略，開展有針對性的安全工作，并且可以借助弱點評估中心的技術手段和安全考核機制有效督促各分支機構落實安全工作。n 綜合分析與預警 綜合分析與預警是安全運營中心的核心模塊，它接收來自安全事件監(jiān)控中心的事件，依據(jù)資產(chǎn)管理和脆弱性管理中心進行綜合的事件協(xié)同關聯(lián)分析，并基于資產(chǎn)（CIA屬性+價值）進行風險評估分析，按照風險優(yōu)先級針對各個業(yè)務區(qū)域和具體事件產(chǎn)生預警，參照網(wǎng)絡安全運行知識管理平臺的信息，并依據(jù)安全策略管理平臺的策略驅動響應管理中心進行響應處理。n 響應管理 響應管理是根據(jù)當前的網(wǎng)絡安全狀態(tài)，工單系統(tǒng)發(fā)布工作指令，及時調(diào)動相關資源做出響應。實現(xiàn)人機接口，所有的工單經(jīng)人工審核后，通過人工派單方

9、式發(fā)送到相應的工單處理部門。工單的通知方式包括圖形顯示、SNMP Trap、郵件和短信。n 安全策略管理網(wǎng)絡安全的整體性要求需要有統(tǒng)一的安全策略和基于工作流程的管理。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略，指導各級安全管理機構因地制宜做好安全策略的部署工作，有利于在全網(wǎng)形成安全防范的合力，提高全網(wǎng)的整體安全防御能力，同時通過策略和配置管理平臺的建設可以進一步完善整個IP網(wǎng)絡的安全策略體系建設，為各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認證、訪問控制等方面策略而帶來到安全風險問題。n 安全知識管理安全信息管理是安全信息的WEB發(fā)布系統(tǒng)，不僅可以充分共享各種安全信息資源，而且也會

10、成為各級網(wǎng)絡安全運行管理機構和技術人員之間進行安全知識和經(jīng)驗交流的平臺，有助于提高人員的安全技術水平和能力。實現(xiàn)在安全管理中心WEB門戶提供統(tǒng)一界面以安全WEB的形式發(fā)布最新的安全信息，并將處理的安全事件方法和方案收集起來，形成一個安全共享知識庫，該信息庫的數(shù)據(jù)以數(shù)據(jù)庫的形式存儲及管理，為培養(yǎng)高素質的網(wǎng)絡技術人員提供培訓資源。n 用戶管理 提供用戶集中管理的功能，對用戶可以訪問的資源權限進行細致的劃分，具備安全可靠的分級及分類用戶管理功能，要求支持用戶的身份認證、授權、用戶口令修改等功能；支持不同的操作員具有不同的數(shù)據(jù)訪問權限和功能操作權限。系統(tǒng)管理員應能對各操作員的權限進行配置和管理，要有完

11、整的安全控制手段,對用戶和系統(tǒng)管理員的權限進行分級管理, 相應的賬號和口令加密存放，充分保證用戶信息的安全性。對系統(tǒng)操作員的密碼有安全保障機制。用戶的賬號等數(shù)據(jù)以數(shù)據(jù)庫的形式進行加密存儲及管理；對用戶數(shù)據(jù)的管理要保證其完整性和一致性,在系統(tǒng)出錯的情況下,對用戶數(shù)據(jù)要有有效的保護措施。n 報表處理作為整個系統(tǒng)的公共基礎模塊，為各個功能提供報表支持。報表輸出格式可轉換為多種常用的格式。n 顯示綜合顯示模塊作為整個安全運營中心統(tǒng)一人機界面接口，將各個界面的信息集中顯示和發(fā)布，采用Web方式，支持各功能模塊的信息顯示和管理。綜合顯示模塊提供多種的信息顯示和發(fā)布方式。支持基于列表、基于網(wǎng)絡拓撲、基于GI

12、S信息多種的信息顯示方式。n 運營狀態(tài)監(jiān)控創(chuàng)建實時的可視化網(wǎng)絡設備狀態(tài)，包括：CPU使用率、內(nèi)存占用、硬盤占用和帶寬占用等，使設備便于管理和分析。設備狀態(tài)視圖能對設備進行集中配置。能聯(lián)系特定的鏈接圖、地理位置圖和圖表視圖能夠使不同層面的人員通過糾錯生命周期來復制威脅鑒別過程。多種顯示方式可以根據(jù)網(wǎng)絡應用環(huán)境，進行定制顯示。n 自身安全保障 安全運營中心作為整個網(wǎng)絡安全運行的監(jiān)控者和管理者，其中的每一步關鍵操作都會對整個網(wǎng)絡安全產(chǎn)生重要影響，甚至會改變網(wǎng)絡運行方式和運行狀態(tài)，因此安全運營中心體系自身的安全性非常重要。安全運營中心體系的自身安全包括多方面，如物理安全，數(shù)據(jù)安全，通訊安全等。在總體設

13、計時必須考慮安全運營中心體系的使用安全和管理流程安全。Ø 在所有組件之間進行可選的加密方式確保安全的通信；Ø 引擎可利用數(shù)字證書對所有用戶類代理進行身份驗證；Ø 增強的用戶和管理界面可采用基于SSL的身份驗證；Ø 可在所有組件之間實現(xiàn)統(tǒng)一的配置。泰合安全運營中心的價值體現(xiàn)通過泰合解決方案，針對大中型企業(yè)中的不同人群，將帶來如下價值：n 針對技術人員統(tǒng)一管理網(wǎng)絡中的安全設備，特別是不同廠商的設備。制定基于全局的安全策略和安全工作流程；對各安全設備產(chǎn)生的日志，尤其是監(jiān)測類產(chǎn)品（如IDS、審計、Scanner等）的日志報警信息進行關聯(lián)分析，提煉出有價值的信息，

14、并能獲取后續(xù)處理的建議和幫助；對安全設備的日志集中存儲，并提交統(tǒng)一的報表。降低技術人員的工作煩瑣度。對企業(yè)中的風險評估工作進行持續(xù)管理。管理評估是持續(xù)性的過程，做完之后如果只在紙上，可能很難把這個成果繼續(xù)延續(xù)下去。通過SOC系統(tǒng)對評估結果進行管理，將業(yè)務資產(chǎn)評估的結果直接導入SOC中，成為資產(chǎn)管理的數(shù)據(jù)；將脆弱性評估的結果也導入SOC中，作為脆弱性管理的數(shù)據(jù)。n 針對運營主管通過建立知識庫、應急預案等體制，幫助技術人員提高自身的專業(yè)素質，并協(xié)助他們在出現(xiàn)重大安全事件時做出合理的決策，提高技術人員的工作效率。通過SOC系統(tǒng)對技術人員進行量化的績效管理，可以進行縱向比較。對下屬機構進行集中管理和監(jiān)控。某個大中型企業(yè)有多個分支機構，當某一個點發(fā)生蠕蟲病毒的時候，總部知道后會采取措施通知下面的點在網(wǎng)絡設備上關閉一些端口，阻止蠕蟲的泛濫，預防安全事件