信息安全运营中心在大中型企业中的应用启明星辰信息技术有限公司高级咨询顾问陈萍琼随着经济建设的持续发展和知识经济模式的到来,国内企业以一种前所未有的热情致力于企业内部管理素质与效率的提升中,通过信息化手段实现办公自动化,网络信息系统成为企业办公的基础设施之一。组织机构复杂、用户众多、流程复杂;各类应用软件系统负载大,数据量大是大中型企业普遍的特点。通常,大中型企业有着更高的建设目标,他们希望通过实施办公自动化来提升管理水平,提高协作效率。因此也给承载该服务的网络信息系统提出了较高要求。本文将从目前大中型企业在信息安全工作中存在的问题出发,提出针对性的解决方案,帮助大中型企业构建有效的系统及业务安全保障体系。大中型企业信息安全工作中存在的问题�多种安全设备,不同的报警,如何整合?在大中型企业的网络系统中,为了确保系统的稳健运行,通常会采用多种安全技术手段和安全产品,比如防火墙系统、入侵检测系统、防病毒系统等,都是安全基础设施。在实际的运维过程中,这些不同种类、不同厂家的安全产品会给技术人员带来不小的麻烦——各个安全系统相对孤立,报警信息互不关联,策略和配置难于协调。当一个报警事件产生时,不知道该如何处理。�海量的事件、海量的日志,如何分析存储?网络设备、安全设备、服务器都会产生日志,即使防火墙只做被丢弃数据包的日志,IDS也精简日志,每天产生的日志量仍然达到100-200M左右,相当于每秒钟10条,1个小时36000条。实际上,一个专职的安全工程师一天能处理10多条已经很多了,一小时处理4条是极限。如何跨越36000条事件和4条事件之间的数字鸿沟,避免“关键的安全信息和告警常常被低价值的告警所淹没,让技术人员能及时针对重要安全事件进行处理,成为亟待解决的一个关键问题。除了对事件的分析外,还涉及到一个存储的问题,以便事后快速方便地进行查证。技术人员通常希望可以到统一的库里面去查,而不是搭建多个日志中心,防火墙到防火墙日志服务器去查,IDS到IDS日志服务器去查。�如何将网络安全事件与业务风险关联?在日常的工作中,技术人员关注的是网络安全,而领导关注的是信息安全或业务安全,是全局的状况。这也就提出了一个需求,将网络安全事件跟业务风险进行关联,将业务系统的安全运行情况展现出来,很直观地看到被监控的业务系统是安全级别中的哪一级,每个业务系统各是什么样的状况。业务系统是一个支撑系统,如果业务系统正常,就不需要花过多时间来维护。技术人员的工作也能从全局角度出发,而并非某个局部设备的运维。�如何计算安全投资的回报率?通过安全投入,减少了多少安全损失,这一点通常是很难度量的。比如说去年发生了多少安全事件,今年少发生了多少,如果能把风险量化,就能通过计算风险的降低率来推算投资回报率。�安全技术过于底层,安全管理过于抽象,如何有效整合?信息安全不仅涉及到安全技术,还包括安全管理的内容。在做安全工作时,讲到安全理念、安全标准就会特别虚。讲技术体系,技术实现又会太细节化。27号文里谈到技术和管理并重,在实际的工作中,需要把过于底层的安全技术和过于抽象的安全管理进行有效的整合。泰合信息安全运营中心解决方案泰合是启明星辰提出的SOC(SecurityOperationCenter信息安全运营中心)解决方案,其体系架构如下图所示,由“四个中心、五个功能模块”组成。�“四个中心”是漏洞评估中心、事件流量监控中心、综合分析决策支持与预警中心和响应管理中心;�“五个功能模块”是策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理。图1:泰合信息安全运营中心体系结构示意图其核心功能描述如下:�资产管理对用户所关注的信息资产的各类信息进行统一管理。将其所辖IP设备资产与风险的重要程度关系,依据风险评估的结果、定期的漏洞扫描结果和本模块的信息资产相结合,遵从ISO17799和ISO13335的资产管理规范,允许对信息资产的价值进行有效评估,从而确定信息资产的安全需求(完整性需求、保密性需求和可用性需求),不仅可以协助用户有效管理信息资产的各类属性,同时也便于贯彻即将强制推行的公安部等级保护规范(ISO15408/GB17859)。�安全域管理安全域是用户根据业务特点、网络划分、信息资产重要程度等因素,划分出的信息安全防护基本单元,贯彻安全域管理不仅可以协助用户理清现有信息系统的结构和安全需求,同时也简化了实施安全保障措施的复杂度和难度。�允许用户根据业务系统、网段等不同的属性对信息系统进行安全域划分;�允许用户将重要的信息资产与安全域进行关联;�支持同一资产隶属不同的安全域,支持多层次安全域管理;�用户可以对安全域进行重要性赋值;�用户可以对安全域进行风险监控和脆弱性评估,了解其安全状况。�脆弱性管理通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况,结合当前的安全动态和预警信息,有助于及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制有效督促各分支机构落实安全工作。�综合分析与预警综合分析与预警是安全运营中心的核心模块,它接收来自安全事件监控中心的事件,依据资产管理和脆弱性管理中心进行综合的事件协同关联分析,并基于资产(CIA属性+价值)进行风险评估分析,按照风险优先级针对各个业务区域和具体事件产生预警,参照网络安全运行知识管理平台的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。�响应管理响应管理是根据当前的网络安全状态,工单系统发布工作指令,及时调动相关资源做出响应。实现人机接口,所有的工单经人工审核后,通过人工派单方式发送到相应的工单处理部门。工单的通知方式包括图形显示、SNMPTrap、邮件和短信。�安全策略管理网络安全的整体性要求需要有统一的安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。�安全知识管理安全信息管理是安全信息的WEB发布系统,不仅可以充分共享各种安全信息资源,而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。实现在安全管理中心WEB门户提供统一界面以安全WEB的形式发布最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该信息库的数据以数据库的形式存储及管理,为培养高素质的网络技术人员提供培训资源。�用户管理提供用户集中管理的功能,对用户可以访问的资源权限进行细致的划分,具备安全可靠的分级及分类用户管理功能,要求支持用户的身份认证、授权、用户口令修改等功能;支持不同的操作员具有不同的数据访问权限和功能操作权限。系统管理员应能对各操作员的权限进行配置和管理,要有完整的安全控制手段,对用户和系统管理员的权限进行分级管理,相应的账号和口令加密存放,充分保证用户信息的安全性。对系统操作员的密码有安全保障机制。用户的账号等数据以数据库的形式进行加密存储及管理;对用户数据的管理要保证其完整性和一致性,在系统出错的情况下,对用户数据要有有效的保护措施。�报表处理作为整个系统的公共基础模块,为各个功能提供报表支持。报表输出格式可转换为多种常用的格式。�显示综合显示模块作为整个安全运营中心统一人机界面接口,将各个界面的信息集中显示和发布,采用Web方式,支持各功能模块的信息显示和管理。综合显示模块提供多种的信息显示和发布方式。支持基于列表、基于网络拓扑、基于GIS信息多种的信息显示方式。�运营状态监控创建实时的可视化网络设备状态,包括:CPU使用率、内存占用、硬盘占用和带宽占用等,使设备便于管理和分析。设备状态视图能对设备进行集中配置。能联系特定的链接图、地理位置图和图表视图能够使不同层面的人员通过纠错生命周期来复制威胁鉴别过程。多种显示方式可以根据网络应用环境,进行定制显示。�自身安全保障安全运营中心作为整个网络安全运行的监控者和管理者,其中的每一步关键操作都会对整个网络安全产生重要影响,甚至会改变网络运行方式和运行状态,因此安全运营中心体系自身的安全性非常重要。安全运营中心体系的自身安全包括多方面,如物理安全,数据安全,通讯安全等。在总体设计时必须考虑安全运营中心体系的使用安全和管理流程安全。�在所有组件之间进行可选的加密方式确保安全的通信;�引擎可利用数字证书对所有用户类代理进行身份验证;�增强的用户和管理界面可采用基于SSL的身份验证;�可在所有组件之间实现统一的配置。泰合安全运营中心的价值体现通过泰合解决方案,针对大中型企业中的不同人群,将带来如下价值:�针对技术人员统一管理网络中的安全设备,特别是不同厂商的设备。制定基于全局的安全策略和安全工作流程;对各安全设备产生的日志,尤其是监测类产品(如IDS、审计、Scanner等)的日志报警信息进行关联分析,提炼出有价值的信息,并能获取后续处理的建议和帮助;对安全设备的日志集中存储,并提交统一的报表。降低技术人员的工作烦琐度。对企业中的风险评估工作进行持续管理。管理评估是持续性的过程,做完之后如果只在纸上,可能很难把这个成果继续延续下去。通过SOC系统对评估结果进行管理,将业务资产评估的结果直接导入SOC中,成为资产管理的数据;将脆弱性评估的结果也导入SOC中,作为脆弱性管理的数据。�针对运营主管通过建立知识库、应急预案等体制,帮助技术人员提高自身的专业素质,并协助他们在出现重大安全事件时做出合理的决策,提高技术人员的工作效率。通过SOC系统对技术人员进行量化的绩效管理,可以进行纵向比较。对下属机构进行集中管理和监控。某个大中型企业有多个分支机构,当某一个点发生蠕虫病毒的时候,总部知道后会采取措施通知下面的点在网络设备上关闭一些端口,阻止蠕虫的泛滥,预防安全事件对全局的影响。实现对全网的统一监管,而不是分支机构局域网各自为政。�针对决策领导通过将安全事件跟业务风险关联,采用直观的界面,使决策领导能随时了解业务系统的信息安全状态。将风险量化,协助领导分析每次信息安全项目的投资回报率,为信息安全投资提供依据。本文针对大中型企业目前的安全工作状况进行了分析,提出信息安全运营中心(SOC)在大中型企业中的解决方案,以满足从技术层、运营层到决策层的不同需求,协助企业将安全技术与安全管理有机结合,简化运维工作。