信息安全運(yùn)營中心在大中型企業(yè)中的應(yīng)用

1、信息安全運(yùn)營中心在大中型企業(yè)中的應(yīng)用啟明星辰信息技術(shù)有限公司 高級(jí)咨詢顧問 陳萍瓊隨著經(jīng)濟(jì)建設(shè)的持續(xù)發(fā)展和知識(shí)經(jīng)濟(jì)模式的到來，國內(nèi)企業(yè)以一種前所未有的熱情致力于企業(yè)內(nèi)部管理素質(zhì)與效率的提升中，通過信息化手段實(shí)現(xiàn)辦公自動(dòng)化，網(wǎng)絡(luò)信息系統(tǒng)成為企業(yè)辦公的基礎(chǔ)設(shè)施之一。組織機(jī)構(gòu)復(fù)雜、用戶眾多、流程復(fù)雜；各類應(yīng)用軟件系統(tǒng)負(fù)載大，數(shù)據(jù)量大是大中型企業(yè)普遍的特點(diǎn)。通常，大中型企業(yè)有著更高的建設(shè)目標(biāo)，他們希望通過實(shí)施辦公自動(dòng)化來提升管理水平，提高協(xié)作效率。因此也給承載該服務(wù)的網(wǎng)絡(luò)信息系統(tǒng)提出了較高要求。本文將從目前大中型企業(yè)在信息安全工作中存在的問題出發(fā)，提出針對(duì)性的解決方案，幫助大中型企業(yè)構(gòu)建有效的系統(tǒng)及業(yè)

2、務(wù)安全保障體系。大中型企業(yè)信息安全工作中存在的問題Ø 多種安全設(shè)備，不同的報(bào)警，如何整合？在大中型企業(yè)的網(wǎng)絡(luò)系統(tǒng)中，為了確保系統(tǒng)的穩(wěn)健運(yùn)行，通常會(huì)采用多種安全技術(shù)手段和安全產(chǎn)品，比如防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)等，都是安全基礎(chǔ)設(shè)施。在實(shí)際的運(yùn)維過程中，這些不同種類、不同廠家的安全產(chǎn)品會(huì)給技術(shù)人員帶來不小的麻煩各個(gè)安全系統(tǒng)相對(duì)孤立，報(bào)警信息互不關(guān)聯(lián)，策略和配置難于協(xié)調(diào)。當(dāng)一個(gè)報(bào)警事件產(chǎn)生時(shí)，不知道該如何處理。Ø 海量的事件、海量的日志，如何分析存儲(chǔ)？網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器都會(huì)產(chǎn)生日志，即使防火墻只做被丟棄數(shù)據(jù)包的日志，IDS也精簡日志，每天產(chǎn)生的日志量仍然達(dá)到10

3、0-200M左右，相當(dāng)于每秒鐘10條，1個(gè)小時(shí)36000條。實(shí)際上，一個(gè)專職的安全工程師一天能處理10多條已經(jīng)很多了，一小時(shí)處理4條是極限。如何跨越36000條事件和4條事件之間的數(shù)字鴻溝，避免“關(guān)鍵的安全信息和告警常常被低價(jià)值的告警所淹沒，讓技術(shù)人員能及時(shí)針對(duì)重要安全事件進(jìn)行處理，成為亟待解決的一個(gè)關(guān)鍵問題。除了對(duì)事件的分析外，還涉及到一個(gè)存儲(chǔ)的問題，以便事后快速方便地進(jìn)行查證。技術(shù)人員通常希望可以到統(tǒng)一的庫里面去查，而不是搭建多個(gè)日志中心，防火墻到防火墻日志服務(wù)器去查，IDS到IDS日志服務(wù)器去查。Ø 如何將網(wǎng)絡(luò)安全事件與業(yè)務(wù)風(fēng)險(xiǎn)關(guān)聯(lián)？在日常的工作中，技術(shù)人員關(guān)注的是網(wǎng)絡(luò)安全，而

4、領(lǐng)導(dǎo)關(guān)注的是信息安全或業(yè)務(wù)安全，是全局的狀況。這也就提出了一個(gè)需求，將網(wǎng)絡(luò)安全事件跟業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行關(guān)聯(lián)，將業(yè)務(wù)系統(tǒng)的安全運(yùn)行情況展現(xiàn)出來，很直觀地看到被監(jiān)控的業(yè)務(wù)系統(tǒng)是安全級(jí)別中的哪一級(jí)，每個(gè)業(yè)務(wù)系統(tǒng)各是什么樣的狀況。業(yè)務(wù)系統(tǒng)是一個(gè)支撐系統(tǒng)，如果業(yè)務(wù)系統(tǒng)正常，就不需要花過多時(shí)間來維護(hù)。技術(shù)人員的工作也能從全局角度出發(fā)，而并非某個(gè)局部設(shè)備的運(yùn)維。Ø 如何計(jì)算安全投資的回報(bào)率？通過安全投入，減少了多少安全損失，這一點(diǎn)通常是很難度量的。比如說去年發(fā)生了多少安全事件，今年少發(fā)生了多少，如果能把風(fēng)險(xiǎn)量化，就能通過計(jì)算風(fēng)險(xiǎn)的降低率來推算投資回報(bào)率。Ø 安全技術(shù)過于底層，安全管理過于抽象，

5、如何有效整合？信息安全不僅涉及到安全技術(shù)，還包括安全管理的內(nèi)容。在做安全工作時(shí)，講到安全理念、安全標(biāo)準(zhǔn)就會(huì)特別虛。講技術(shù)體系，技術(shù)實(shí)現(xiàn)又會(huì)太細(xì)節(jié)化。27號(hào)文里談到技術(shù)和管理并重，在實(shí)際的工作中，需要把過于底層的安全技術(shù)和過于抽象的安全管理進(jìn)行有效的整合。泰合信息安全運(yùn)營中心解決方案泰合是啟明星辰提出的SOC（Security Operation Center信息安全運(yùn)營中心）解決方案，其體系架構(gòu)如下圖所示，由“四個(gè)中心、五個(gè)功能模塊”組成。Ø “四個(gè)中心”是漏洞評(píng)估中心、事件流量監(jiān)控中心、綜合分析決策支持與預(yù)警中心和響應(yīng)管理中心；Ø “五個(gè)功能模塊”是策略管理、資產(chǎn)管理、用

6、戶管理、安全知識(shí)管理和自身系統(tǒng)維護(hù)管理。圖1：泰合信息安全運(yùn)營中心體系結(jié)構(gòu)示意圖其核心功能描述如下：n 資產(chǎn)管理 對(duì)用戶所關(guān)注的信息資產(chǎn)的各類信息進(jìn)行統(tǒng)一管理。將其所轄IP設(shè)備資產(chǎn)與風(fēng)險(xiǎn)的重要程度關(guān)系，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果、定期的漏洞掃描結(jié)果和本模塊的信息資產(chǎn)相結(jié)合，遵從ISO17799和ISO13335的資產(chǎn)管理規(guī)范，允許對(duì)信息資產(chǎn)的價(jià)值進(jìn)行有效評(píng)估，從而確定信息資產(chǎn)的安全需求（完整性需求、保密性需求和可用性需求），不僅可以協(xié)助用戶有效管理信息資產(chǎn)的各類屬性，同時(shí)也便于貫徹即將強(qiáng)制推行的公安部等級(jí)保護(hù)規(guī)范（ISO 15408/GB 17859）。n 安全域管理安全域是用戶根據(jù)業(yè)務(wù)特點(diǎn)、網(wǎng)絡(luò)劃分

7、、信息資產(chǎn)重要程度等因素，劃分出的信息安全防護(hù)基本單元，貫徹安全域管理不僅可以協(xié)助用戶理清現(xiàn)有信息系統(tǒng)的結(jié)構(gòu)和安全需求，同時(shí)也簡化了實(shí)施安全保障措施的復(fù)雜度和難度。Ø 允許用戶根據(jù)業(yè)務(wù)系統(tǒng)、網(wǎng)段等不同的屬性對(duì)信息系統(tǒng)進(jìn)行安全域劃分；Ø 允許用戶將重要的信息資產(chǎn)與安全域進(jìn)行關(guān)聯(lián)；Ø 支持同一資產(chǎn)隸屬不同的安全域，支持多層次安全域管理；Ø 用戶可以對(duì)安全域進(jìn)行重要性賦值；Ø 用戶可以對(duì)安全域進(jìn)行風(fēng)險(xiǎn)監(jiān)控和脆弱性評(píng)估，了解其安全狀況。n 脆弱性管理通過脆弱性管理可以掌握全網(wǎng)各個(gè)系統(tǒng)中存在的安全漏洞情況，結(jié)合當(dāng)前的安全動(dòng)態(tài)和預(yù)警信息，有助于及時(shí)調(diào)整安全

8、策略，開展有針對(duì)性的安全工作，并且可以借助弱點(diǎn)評(píng)估中心的技術(shù)手段和安全考核機(jī)制有效督促各分支機(jī)構(gòu)落實(shí)安全工作。n 綜合分析與預(yù)警 綜合分析與預(yù)警是安全運(yùn)營中心的核心模塊，它接收來自安全事件監(jiān)控中心的事件，依據(jù)資產(chǎn)管理和脆弱性管理中心進(jìn)行綜合的事件協(xié)同關(guān)聯(lián)分析，并基于資產(chǎn)（CIA屬性+價(jià)值）進(jìn)行風(fēng)險(xiǎn)評(píng)估分析，按照風(fēng)險(xiǎn)優(yōu)先級(jí)針對(duì)各個(gè)業(yè)務(wù)區(qū)域和具體事件產(chǎn)生預(yù)警，參照網(wǎng)絡(luò)安全運(yùn)行知識(shí)管理平臺(tái)的信息，并依據(jù)安全策略管理平臺(tái)的策略驅(qū)動(dòng)響應(yīng)管理中心進(jìn)行響應(yīng)處理。n 響應(yīng)管理 響應(yīng)管理是根據(jù)當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)，工單系統(tǒng)發(fā)布工作指令，及時(shí)調(diào)動(dòng)相關(guān)資源做出響應(yīng)。實(shí)現(xiàn)人機(jī)接口，所有的工單經(jīng)人工審核后，通過人工派單方

9、式發(fā)送到相應(yīng)的工單處理部門。工單的通知方式包括圖形顯示、SNMP Trap、郵件和短信。n 安全策略管理網(wǎng)絡(luò)安全的整體性要求需要有統(tǒng)一的安全策略和基于工作流程的管理。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略，指導(dǎo)各級(jí)安全管理機(jī)構(gòu)因地制宜做好安全策略的部署工作，有利于在全網(wǎng)形成安全防范的合力，提高全網(wǎng)的整體安全防御能力，同時(shí)通過策略和配置管理平臺(tái)的建設(shè)可以進(jìn)一步完善整個(gè)IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為各項(xiàng)安全工作的開展提供行動(dòng)指南，有效解決目前因缺乏口令、認(rèn)證、訪問控制等方面策略而帶來到安全風(fēng)險(xiǎn)問題。n 安全知識(shí)管理安全信息管理是安全信息的WEB發(fā)布系統(tǒng)，不僅可以充分共享各種安全信息資源，而且也會(huì)

10、成為各級(jí)網(wǎng)絡(luò)安全運(yùn)行管理機(jī)構(gòu)和技術(shù)人員之間進(jìn)行安全知識(shí)和經(jīng)驗(yàn)交流的平臺(tái)，有助于提高人員的安全技術(shù)水平和能力。實(shí)現(xiàn)在安全管理中心WEB門戶提供統(tǒng)一界面以安全WEB的形式發(fā)布最新的安全信息，并將處理的安全事件方法和方案收集起來，形成一個(gè)安全共享知識(shí)庫，該信息庫的數(shù)據(jù)以數(shù)據(jù)庫的形式存儲(chǔ)及管理，為培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)技術(shù)人員提供培訓(xùn)資源。n 用戶管理 提供用戶集中管理的功能，對(duì)用戶可以訪問的資源權(quán)限進(jìn)行細(xì)致的劃分，具備安全可靠的分級(jí)及分類用戶管理功能，要求支持用戶的身份認(rèn)證、授權(quán)、用戶口令修改等功能；支持不同的操作員具有不同的數(shù)據(jù)訪問權(quán)限和功能操作權(quán)限。系統(tǒng)管理員應(yīng)能對(duì)各操作員的權(quán)限進(jìn)行配置和管理，要有完

11、整的安全控制手段,對(duì)用戶和系統(tǒng)管理員的權(quán)限進(jìn)行分級(jí)管理, 相應(yīng)的賬號(hào)和口令加密存放，充分保證用戶信息的安全性。對(duì)系統(tǒng)操作員的密碼有安全保障機(jī)制。用戶的賬號(hào)等數(shù)據(jù)以數(shù)據(jù)庫的形式進(jìn)行加密存儲(chǔ)及管理；對(duì)用戶數(shù)據(jù)的管理要保證其完整性和一致性,在系統(tǒng)出錯(cuò)的情況下,對(duì)用戶數(shù)據(jù)要有有效的保護(hù)措施。n 報(bào)表處理作為整個(gè)系統(tǒng)的公共基礎(chǔ)模塊，為各個(gè)功能提供報(bào)表支持。報(bào)表輸出格式可轉(zhuǎn)換為多種常用的格式。n 顯示綜合顯示模塊作為整個(gè)安全運(yùn)營中心統(tǒng)一人機(jī)界面接口，將各個(gè)界面的信息集中顯示和發(fā)布，采用Web方式，支持各功能模塊的信息顯示和管理。綜合顯示模塊提供多種的信息顯示和發(fā)布方式。支持基于列表、基于網(wǎng)絡(luò)拓?fù)?、基于GI

12、S信息多種的信息顯示方式。n 運(yùn)營狀態(tài)監(jiān)控創(chuàng)建實(shí)時(shí)的可視化網(wǎng)絡(luò)設(shè)備狀態(tài)，包括：CPU使用率、內(nèi)存占用、硬盤占用和帶寬占用等，使設(shè)備便于管理和分析。設(shè)備狀態(tài)視圖能對(duì)設(shè)備進(jìn)行集中配置。能聯(lián)系特定的鏈接圖、地理位置圖和圖表視圖能夠使不同層面的人員通過糾錯(cuò)生命周期來復(fù)制威脅鑒別過程。多種顯示方式可以根據(jù)網(wǎng)絡(luò)應(yīng)用環(huán)境，進(jìn)行定制顯示。n 自身安全保障 安全運(yùn)營中心作為整個(gè)網(wǎng)絡(luò)安全運(yùn)行的監(jiān)控者和管理者，其中的每一步關(guān)鍵操作都會(huì)對(duì)整個(gè)網(wǎng)絡(luò)安全產(chǎn)生重要影響，甚至?xí)淖兙W(wǎng)絡(luò)運(yùn)行方式和運(yùn)行狀態(tài)，因此安全運(yùn)營中心體系自身的安全性非常重要。安全運(yùn)營中心體系的自身安全包括多方面，如物理安全，數(shù)據(jù)安全，通訊安全等。在總體設(shè)

13、計(jì)時(shí)必須考慮安全運(yùn)營中心體系的使用安全和管理流程安全。Ø 在所有組件之間進(jìn)行可選的加密方式確保安全的通信；Ø 引擎可利用數(shù)字證書對(duì)所有用戶類代理進(jìn)行身份驗(yàn)證；Ø 增強(qiáng)的用戶和管理界面可采用基于SSL的身份驗(yàn)證；Ø 可在所有組件之間實(shí)現(xiàn)統(tǒng)一的配置。泰合安全運(yùn)營中心的價(jià)值體現(xiàn)通過泰合解決方案，針對(duì)大中型企業(yè)中的不同人群，將帶來如下價(jià)值：n 針對(duì)技術(shù)人員統(tǒng)一管理網(wǎng)絡(luò)中的安全設(shè)備，特別是不同廠商的設(shè)備。制定基于全局的安全策略和安全工作流程；對(duì)各安全設(shè)備產(chǎn)生的日志，尤其是監(jiān)測(cè)類產(chǎn)品（如IDS、審計(jì)、Scanner等）的日志報(bào)警信息進(jìn)行關(guān)聯(lián)分析，提煉出有價(jià)值的信息，

14、并能獲取后續(xù)處理的建議和幫助；對(duì)安全設(shè)備的日志集中存儲(chǔ)，并提交統(tǒng)一的報(bào)表。降低技術(shù)人員的工作煩瑣度。對(duì)企業(yè)中的風(fēng)險(xiǎn)評(píng)估工作進(jìn)行持續(xù)管理。管理評(píng)估是持續(xù)性的過程，做完之后如果只在紙上，可能很難把這個(gè)成果繼續(xù)延續(xù)下去。通過SOC系統(tǒng)對(duì)評(píng)估結(jié)果進(jìn)行管理，將業(yè)務(wù)資產(chǎn)評(píng)估的結(jié)果直接導(dǎo)入SOC中，成為資產(chǎn)管理的數(shù)據(jù)；將脆弱性評(píng)估的結(jié)果也導(dǎo)入SOC中，作為脆弱性管理的數(shù)據(jù)。n 針對(duì)運(yùn)營主管通過建立知識(shí)庫、應(yīng)急預(yù)案等體制，幫助技術(shù)人員提高自身的專業(yè)素質(zhì)，并協(xié)助他們?cè)诔霈F(xiàn)重大安全事件時(shí)做出合理的決策，提高技術(shù)人員的工作效率。通過SOC系統(tǒng)對(duì)技術(shù)人員進(jìn)行量化的績效管理，可以進(jìn)行縱向比較。對(duì)下屬機(jī)構(gòu)進(jìn)行集中管理和監(jiān)控。某個(gè)大中型企業(yè)有多個(gè)分支機(jī)構(gòu)，當(dāng)某一個(gè)點(diǎn)發(fā)生蠕蟲病毒的時(shí)候，總部知道后會(huì)采取措施通知下面的點(diǎn)在網(wǎng)絡(luò)設(shè)備上關(guān)閉一些端口，阻止蠕蟲的泛濫，預(yù)防安全事件