淺析兩種安全運維管理模式

1、一、安全運維所面臨的問題安全建設是信息化建設的一個重要組成部分。隨著IT建設的逐步完善與深入，IT運維人 員需要管理越來越龐大的IT系統(tǒng)。僅僅在安全保障方面，具有一定規(guī)模的單位已經部署相 當多的安全設施，如防火墻、防病毒、遠程訪問設備等等。眾多的安全技術與安全設備的應 用卻在相當程度上加重了系統(tǒng)與IT管理人員的負擔。另一方面，安全設備的應用越來越多，安全手段的采用也越來越多，而安全狀況卻不見 好轉。以下就是經常擺在IT管理人員面前的問題：我們已經在安全方面投入了相當多的努力，但為什么還不時出現(xiàn)安全問題？我們的安全項目己制定了很多安全制度、管理流程等，但面對一大堆的文檔，怎么樣 才能真正地執(zhí)行下

2、去？這類問題，幾乎讓每個IT管理人員頭痛。面對眾多的設備與手段，安全管理人員卻往往 感到無所適從。其根源是什么呢？我們早就知道，安全不僅僅是一個技術問題，更是一個管理問題。實際上，在整個耳產 品的生命周期中，運營階段占了整個時間和成本的70% - 80%左右，剩下的時間和成本才 是花費在產品開發(fā)(或采購)上面。以往我們聽說”蘭分技術、七分管理”是突出管理的重要性， 而這個”管理”則是大部分的精力花費在”運營”方面。效果(Effect)和效率(Efficiency)是服務管理的主要目標。安全運維的主要目的即是保證 安全手段(產品+技術)的應用能夠達到預期的良好效果(Effect)和提高效率(Ef

3、ficiency)。因 此，如何保證安全運維工作的有效(有效果和有效率的)，是擺在IT安全管理人員面前的主 要難題。當前在通行的解決方案上，主要存在著兩種安全運維管理的方式：(7)安全運維外包安全運維外包服務是將自身的安全運維管理工作外包給外部專業(yè)的安 全管理服務商，依賴外部的力量未完成自身的安全運維管理任務。在這里我們稱之為安全運 維外包服務(Outsourcing ManagedSecurity Services)，有時候也直接稱之為管理的安全服務 (MSS， Managed Security Services);(2)安全運維中心大部分的單位會選擇依靠自身的力量來完成安全運維工作。當信息

4、系 統(tǒng)具備一定的規(guī)模之后，為了有效地完成安全運維，就必須建設自己的安全管理與運維中心， 這個安全管理與運維中心在專業(yè)術語上就稱之為安全運維中心或安全運營中心(SOC，SecurityOperations Center)。二、安全運維外包(MSS)根據風險管理的概念，我們知道風險可以有四種結果接受、降低、避免和轉移。信息系 統(tǒng)的安全風險管理相同，將安全運維外包即是風險轉移的有效于段。安全運維外包即是將自 己業(yè)務系統(tǒng)的安全運維工作完全外包給外部專業(yè)的安全服務供應商，自己不再承擔系統(tǒng)的安 全運維工作。這種方式在國外稱之為Outsourcing Managed SecurityServices，有時直

5、接稱管 理安全服務(MSS ， ManagedSecurity Services)，而外部的專業(yè)安全服務供應商則稱之為 MSSP (Managed Security Services Provider)。在國外MSS已經是非常普遍的一種安全服務 模式。安全運維外包服務可以包括以下內容：安全設備的管理，比如防火墻系統(tǒng)、IDS系統(tǒng)、VPN系統(tǒng)等的安全策略配置，設備日 常管理、日志審計等工作；網絡及系統(tǒng)的日常安全監(jiān)控、安全事件處理等；安全服務的內容，比如風險評估、滲透測試、事件響應、調查取證等方面的內容；(4 )數據安全的內容，如存儲、備份、恢復等；(5)日常安全人員外包服務等。嚴格講，安全運維外包

6、服務也分為兩類，一類我們稱之為安全托管服務，另一類則稱之 為純牌的安全管理服務。安全托管服務比較容易理解，即將自己需要管理的業(yè)務系統(tǒng)托管到安全外包服務提供商 (MSSP)那里，這類的MSSP具備專業(yè)的安全托管環(huán)境，一般自己擁有或租用專業(yè)的IDC機 房，提供專業(yè)的安全運維環(huán)境，比如Internet帶寬、安全防護設備、安全運維平臺等。而稱之為純粹安全管理服務的MSSP則一般具有完善的安全解決方案(如全線的安全產 品)，或具備較高的安全運營管理水平，他們利用自己的核心優(yōu)勢，為客戶提供外包的安全 服務。比如某用戶可選擇將終端的惡意軟件防護工作外包出去，那么MSSP將根據用戶的 環(huán)境，為其提供全系列的諸

7、如防病毒、防垃圾、內容過濾等安全防護產品解決方案、日常人 員的技術支持以及管理和應急響應等服務。MSS在國外是一個成長迅速的安全市場，根據Ga由ler報告，2005年有60%的組織 會將其網絡邊界防護技術里的至少一個方面外包出去。而根據IDC的報告，MSS正以35% 的年增長率在迅速增長。圖1則是Gartner發(fā)布的2005年底北美市場的MSSP魔方圖 (Magic Quadrant)。圖1 2005年北美市場MSSP魔方圖從圖1中我們可以看出，像AT&T這類公司，由于具備IDC等電信領域的先天優(yōu)勢， 在提供托管式安全外包服務方面具有相當的優(yōu)勢，而另一類如Symantec VeriSign等公

8、司 利用自己在安全方面的專業(yè)技術優(yōu)勢，同樣能夠為用戶提供專業(yè)的安全管理服務。1、安全外包服務的優(yōu)勢安全外包服務中；無論是托管式外包服務還是管理安全服務，都是用戶本身不再負責自己的安全 運維工作，將安全運維管理的責任交由MS*來負責.安全運維外包服務在很多方面都具備明顯的優(yōu) 勢i血）運營成本酉先體現(xiàn)在運營成本方面，將安全服務外包出去的成本要明顯低于自己負責安全運維工作。無論 哪一種安全運維外包服務方式，安全外包服務提供商（MSSP）都是同時向多個客戶提供相同成相似類型 的服務，因此能夠充分s有效地利用現(xiàn)有的入員、設施、環(huán)境等，瓜而有蘊地曜低了終端成本任口 Client.Cost 口（2）X員成本

9、入員成本是企事業(yè)單位安全管理方面很重要的一部分。安全專業(yè)入員的招聘、培訓和管理會給單 位IT運營管理帶來很重的負擔，而采用外包服務，這方面的人員成本就應由MS*來負責了。陶）技術優(yōu)勢如果企事業(yè)單位采用自身的安全運推人員來完成安全運維工作的話，由于運維人員長期局限于目 己的業(yè)務安全管理，其技術能力、經驗方面也捋局限在一定的范圍內。相對于MSSF ,其安全運維入員 則負責運維管理食多不同的用戶，面臨諸多復雜的幽絡環(huán)境、異構環(huán)境等，因此，技術上要明顯憂于 采用單位自己雇傭的安全人員。（4）設施環(huán)境專業(yè)的MSSF 一般部擁有或租用大規(guī)模的1況專門員責運營余多不同用戶的業(yè)務系統(tǒng)，有的MSSF 還有比較優(yōu)

10、秀的安全運繾.爵理成心SOC. S e C1JX1 ty Op er at lonsC ent er）系統(tǒng)，能夠提供更加憂席的服 務保障-此外，安全外包服務商在管理手既管理流程&所提供的服務能力（如可提供禪4小時的鼬哩 務）等很多方面具備相當的憂勢 安全風險管理(SVM，Security Vulnerability Management* 安全知識管理(SKM， SecurityKnowledge Management)、安全運營管理(SOP， Security Operation Process，關注流程 和質量)、安全產品管理(SIM，Security Implement Manageme

11、nt)于一體的統(tǒng)一安全管理平臺 (Unified Security Management Platforms)。從技術實現(xiàn)上，這個統(tǒng)一的安全管理平臺不僅僅 像SOC/SIM那樣關注安全事件、安全產品狀態(tài)的收集和監(jiān)控，而是更希望能夠借助面向服 務架構(SOA，Services-Oriented Architecture)來建設一種平臺，從根本上來實現(xiàn)各種安全產 品和技術以及安全管理的集成化和自動化。因此，安全運維管理平臺既是一個管理平臺，也是一個技術平臺。從功能上來講應該 包含以下內容：安全集成管理(SIM)通常在企事業(yè)單位的安全體系組成中，其安全功能的實現(xiàn)由多種安全設備或軟、硬件 系統(tǒng)來實現(xiàn)，

12、比如安全防護產品(防火墻、防病毒等)、安全檢測產品(IDS、漏洞掃描等)。 這些系統(tǒng)都有自己拙立部署和管理方式，加之安全建設是逐步完成的，這些系統(tǒng)之間缺乏一 個統(tǒng)一的管理平臺，一旦出現(xiàn)安全問題，則無法有效地從這些分散的系統(tǒng)之中快速寇位并解 決問題。因此安全設施的集中管理是SOC功能必不可少的一個組成。安全風險管理(SVM)安全風險管理是指一個有效的風險管理平臺，它能夠對企事業(yè)單位根據單位資產、威 脅及系統(tǒng)的安全弱點等對單位的安全風險進行統(tǒng)一的管理，包括風險的評估、風險的分級以 及風險管理的措施等。在技術方面，安全風險管理能夠將企事業(yè)單位內的系統(tǒng)的技術脆弱性進行集中的評估 和管理，并提供周期性評

13、估報告和改進建議。安全知識管理(SKM)安全知識管理主要體現(xiàn)在企事業(yè)單位的安全知識庫建設方面。日常的安全運維，本身 即是一個知識不斷積累的過程，安全知識庫的建設有利于提高單位的整體安全管理能力。 SOC的安全知識管理能夠記錄安全事件處理過程、處理方法等，同時能夠提供日常安全基 礎知識、安全漏洞信息、安全技術發(fā)展等，形成單位內統(tǒng)一的安全知識管理平臺。(4)安全流程管理(SOP)有效的安全的運維，不是僅僅依賴于產品或技術，更重要是對服務流程的控制。SOC 的建設，不僅是安全產品的部署與管理，還需要一系列的操作流程和事件處理流程來配合。 SOC能夠將這些安全運維處理流程有效地管理起來，與相應的產品平

14、臺和技術手段相結合， 才能夠有效發(fā)揮這樣一個統(tǒng)一管理平臺的作用。安全運維流程通常包括安全事件處理流程、安全故障寇位流程、應急響應流程、日常 操作流程等，這些操作流程和制度是整體安全策略的組成部分，通過SOC的平臺，這些流 程將是安全管理決策分析的重要依據和安全知識積累的來源。(5)安全策略管理(SPM)信息安全管理是以安全策略為中心的，如何制訂完善的信息安全策略，并保證信息安 全策略的有效執(zhí)行，是SOC這個集中的安全管理平舍里的一部分。3、安全運維中心的重點安全運維中心(SOC)的建設，無論從人員、流程、技術和平臺等方面來講，都是非常 復雜的一個體系。這個體系期望從多個方面將上述內容整合在一起

15、，提供一個有效的、可操 作的管理方式，最終的目的是為了提高安全運維的有效Effective and Efficiency)。但無論從技術層面上，還是管理層面上來看，當前的SOC系統(tǒng)都無法達到有效的投 資預期。首先，從技術層面上看，由于SOC涉及到的產品、系統(tǒng)及目標要求較多，單就日志 收集與歸并查詢方面來講，當前市場上的任何一個SOC產品都還不能達到理想效果，更談 不上數以千計的安全軟、硬件產品的集中綜合管理。安全設備的集中管理，需要更廣泛的開 放式標準接口的應用，而不是僅局限在自身產品或特定范圍內的標準。隨著 Web服務及 XML技術的發(fā)展，我們期望著真正的”工業(yè)標準”的出現(xiàn)。其次，從管理層面

16、看上，基于流程的安全運維管理，更多時候體現(xiàn)的是一種管理模式 和管理技術，這種管理模式和單位的業(yè)務類型、業(yè)務模式及單位性質有相當大的關系，而這 種管理方式要通過一個安全平臺來進行整合，無疑于實施另外一套ERP”，所以難度可想而 知。在當前國內的環(huán)境下，民然有關SOC的概念被熱妙不斷，但真正的應用還僅僅局限 在核心業(yè)務對IT建設依賴性較高、信息化建設相對完善的領域。除此之外，企業(yè)成功實施 SOC的又有幾個?可以這樣說，經過了幾年的建設后，SOC產品還需要向用戶進一步證明平 臺的可擴展性、對安全事件的挖掘能力和趨勢分析，以及用戶的投資回報(ROI: Return On Investment)?？傊?，目前的SOC與用戶的期望值還是有相當大的差距。四、選擇合理的安全運維模式不同規(guī)模、不同類型的企事業(yè)單位選擇的安全運維管理模式不盡相同。小型的緣于IT 規(guī)模及信息化建設投資較小等因素，可能會選擇由自己的網絡管理員來維護日常的辦公網 絡，而將關鍵的業(yè)務服務器(如Web、Mail等)托管出去的方式；而規(guī)模較大、信息化程度 較高的企事業(yè)單位，