信息安全運營中心如何運用在大中型企業(yè)中

申請免費試用、咨詢電話：400-8352-114

隨著經(jīng)濟建設(shè)的持續(xù)發(fā)展和知識經(jīng)濟模式的到來，國內(nèi)企業(yè)以一種前所未有的熱情致力于企業(yè)內(nèi)部管理素質(zhì)與效率的提升中，通過信息化手段實現(xiàn)辦公自動化，網(wǎng)絡(luò)信息系統(tǒng)成為企業(yè)辦公的基礎(chǔ)設(shè)施之一。組織機構(gòu)復(fù)雜、用戶眾多、流程復(fù)雜；各類應(yīng)用軟件系統(tǒng)負(fù)載大，數(shù)據(jù)量大是大中型企業(yè)普遍的特點。

通常，大中型企業(yè)有著更高的建設(shè)目標(biāo)，他們希望通過實施辦公自動化來提升管理水平，提高協(xié)作效率。因此也給承載該服務(wù)的網(wǎng)絡(luò)信息系統(tǒng)提出了較高要求。本文將從目前大中型企業(yè)在信息安全工作中存在的問題出發(fā)，提出針對性的解決方案，幫助大中型企業(yè)構(gòu)建有效的系統(tǒng)及業(yè)務(wù)安全保障體系。

大中型企業(yè)信息安全工作中存在的問題

多種安全設(shè)備，不同的報警，如何整合？

在大中型企業(yè)的網(wǎng)絡(luò)系統(tǒng)中，為了確保系統(tǒng)的穩(wěn)健運行，通常會采用多種安全技術(shù)手段和安全產(chǎn)品，比如防火墻系統(tǒng)、入侵檢測系統(tǒng)、防病毒系統(tǒng)等，都是安全基礎(chǔ)設(shè)施。在實際的運維過程中，這些不同種類、不同廠家的安全產(chǎn)品會給技術(shù)人員帶來不小的麻煩--各個安全系統(tǒng)相對孤立，報警信息互不關(guān)聯(lián)，策略和配置難于協(xié)調(diào)。當(dāng)一個報警事件產(chǎn)生時，不知道該如何處理。

海量的事件、海量的日志，如何分析存儲？

網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器都會產(chǎn)生日志，即使防火墻只做被丟棄數(shù)據(jù)包的日志，IDS也精簡日志，每天產(chǎn)生的日志量仍然達到100-200M左右，相當(dāng)于每秒鐘10條，1個小時36000條。實際上，一個專職的安全工程師一天能處理10多條已經(jīng)很多了，一小時處理4條是極限。如何跨越36000條事件和4條事件之間的數(shù)字鴻溝，避免"關(guān)鍵的安全信息和告警常常被低價值的告警所淹沒，讓技術(shù)人員能及時針對重要安全事件進行處理，成為亟待解決的一個關(guān)鍵問題。

除了對事件的分析外，還涉及到一個存儲的問題，以便事后快速方便地進行查證。技術(shù)人員通常希望可以到統(tǒng)一的庫里面去查，而不是搭建多個日志中心，防火墻到防火墻日志服務(wù)器去查，IDS到IDS日志服務(wù)器去查。

如何將網(wǎng)絡(luò)安全事件與業(yè)務(wù)風(fēng)險關(guān)聯(lián)？

在日常的工作中，技術(shù)人員關(guān)注的是網(wǎng)絡(luò)安全，而領(lǐng)導(dǎo)關(guān)注的是信息安全或業(yè)務(wù)安全，是全局的狀況。這也就提出了一個需求，將網(wǎng)絡(luò)安全事件跟業(yè)務(wù)風(fēng)險進行關(guān)聯(lián)，將業(yè)務(wù)系統(tǒng)的安全運行情況展現(xiàn)出來，很直觀地看到被監(jiān)控的業(yè)務(wù)系統(tǒng)是安全級別中的哪一級，每個業(yè)務(wù)系統(tǒng)各是什么樣的狀況。業(yè)務(wù)系統(tǒng)是一個支撐系統(tǒng)，如果業(yè)務(wù)系統(tǒng)正常，就不需要花過多時間來維護。技術(shù)人員的工作也能從全局角度出發(fā)，而并非某個局部設(shè)備的運維。

如何計算安全投資的回報率？

通過安全投入，減少了多少安全損失，這一點通常是很難度量的。比如說去年發(fā)生了多少安全事件，今年少發(fā)生了多少，如果能把風(fēng)險量化，就能通過計算風(fēng)險的降低率來推算投資回報率。

安全技術(shù)過于底層，安全管理過于抽象，如何有效整合？

信息安全不僅涉及到安全技術(shù)，還包括安全管理的內(nèi)容。在做安全工作時，講到安全理念、安全標(biāo)準(zhǔn)就會特別虛。講技術(shù)體系，技術(shù)實現(xiàn)又會太細(xì)節(jié)化。27號文里談到技術(shù)和管理并重，在實際的工作中，需要把過于底層的安全技術(shù)和過于抽象的安全管理進行有效的整合。

泰合信息安全運營中心解決方案

泰合是啟明星辰提出的SOC（Security Operation Center信息安全運營中心）解決方案，其體系架構(gòu)如下圖所示，由"四個中心、五個功能模塊"組成。

"四個中心"是漏洞評估中心、事件流量監(jiān)控中心、綜合分析決策支持與預(yù)警中心和響應(yīng)管理中心；
"五個功能模塊"是策略管理、資產(chǎn)管理、用戶管理、安全知識管理和自身系統(tǒng)維護管理。
其核心功能描述如下：

資產(chǎn)管理

對用戶所關(guān)注的信息資產(chǎn)的各類信息進行統(tǒng)一管理。將其所轄IP設(shè)備資產(chǎn)與風(fēng)險的重要程度關(guān)系，依據(jù)風(fēng)險評估的結(jié)果、定期的漏洞掃描結(jié)果和本模塊的信息資產(chǎn)相結(jié)合，遵從ISO17799和ISO13335的資產(chǎn)管理規(guī)范，允許對信息資產(chǎn)的價值進行有效評估，從而確定信息資產(chǎn)的安全需求（完整性需求、保密性需求和可用性需求），不僅可以協(xié)助用戶有效管理信息資產(chǎn)的各類屬性，同時也便于貫徹即將強制推行的公安部等級保護規(guī)范（ISO 15408/GB 17859）。

安全域管理

安全域是用戶根據(jù)業(yè)務(wù)特點、網(wǎng)絡(luò)劃分、信息資產(chǎn)重要程度等因素，劃分出的信息安全防護基本單元，貫徹安全域管理不僅可以協(xié)助用戶理清現(xiàn)有信息系統(tǒng)的結(jié)構(gòu)和安全需求，同時也簡化了實施安全保障措施的復(fù)雜度和難度。

允許用戶根據(jù)業(yè)務(wù)系統(tǒng)、網(wǎng)段等不同的屬性對信息系統(tǒng)進行安全域劃分；
允許用戶將重要的信息資產(chǎn)與安全域進行關(guān)聯(lián)；
支持同一資產(chǎn)隸屬不同的安全域，支持多層次安全域管理；
用戶可以對安全域進行重要性賦值；
用戶可以對安全域進行風(fēng)險監(jiān)控和脆弱性評估，了解其安全狀況。

脆弱性管理

通過脆弱性管理可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況，結(jié)合當(dāng)前的安全動態(tài)和預(yù)警信息，有助于及時調(diào)整安全策略，開展有針對性的安全工作，并且可以借助弱點評估中心的技術(shù)手段和安全考核機制有效督促各分支機構(gòu)落實安全工作。

綜合分析與預(yù)警

綜合分析與預(yù)警是安全運營中心的核心模塊，它接收來自安全事件監(jiān)控中心的事件，依據(jù)資產(chǎn)管理和脆弱性管理中心進行綜合的事件協(xié)同關(guān)聯(lián)分析，并基于資產(chǎn)（CIA屬性+價值）進行風(fēng)險評估分析，按照風(fēng)險優(yōu)先級針對各個業(yè)務(wù)區(qū)域和具體事件產(chǎn)生預(yù)警，參照網(wǎng)絡(luò)安全運行知識管理平臺的信息，并依據(jù)安全策略管理平臺的策略驅(qū)動響應(yīng)管理中心進行響應(yīng)處理。

響應(yīng)管理

響應(yīng)管理是根據(jù)當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)，工單系統(tǒng)發(fā)布工作指令，及時調(diào)動相關(guān)資源做出響應(yīng)。實現(xiàn)人機接口，所有的工單經(jīng)人工審核后，通過人工派單方式發(fā)送到相應(yīng)的工單處理部門。工單的通知方式包括圖形顯示、SNMP Trap、郵件和短信。

安全策略管理

網(wǎng)絡(luò)安全的整體性要求需要有統(tǒng)一的安全策略和基于工作流程的管理。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略，指導(dǎo)各級安全管理機構(gòu)因地制宜做好安全策略的部署工作，有利于在全網(wǎng)形成安全防范的合力，提高全網(wǎng)的整體安全防御能力，同時通過策略和配置管理平臺的建設(shè)可以進一步完善整個IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認(rèn)證、訪問控制等方面策略而帶來到安全風(fēng)險問題。

安全知識管理

安全信息管理是安全信息的WEB發(fā)布系統(tǒng)，不僅可以充分共享各種安全信息資源，而且也會成為各級網(wǎng)絡(luò)安全運行管理機構(gòu)和技術(shù)人員之間進行安全知識和經(jīng)驗交流的平臺，有助于提高人員的安全技術(shù)水平和能力。實現(xiàn)在安全管理中心WEB門戶提供統(tǒng)一界面以安全WEB的形式發(fā)布最新的安全信息，并將處理的安全事件方法和方案收集起來，形成一個安全共享知識庫，該信息庫的數(shù)據(jù)以數(shù)據(jù)庫的形式存儲及管理，為培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)技術(shù)人員提供培訓(xùn)資源。

用戶管理

提供用戶集中管理的功能，對用戶可以訪問的資源權(quán)限進行細(xì)致的劃分，具備安全可靠的分級及分類用戶管理功能，要求支持用戶的身份認(rèn)證、授權(quán)、用戶口令修改等功能；支持不同的操作員具有不同的數(shù)據(jù)訪問權(quán)限和功能操作權(quán)限。系統(tǒng)管理員應(yīng)能對各操作員的權(quán)限進行配置和管理，要有完整的安全控制手段,對用戶和系統(tǒng)管理員的權(quán)限進行分級管理, 相應(yīng)的賬號和口令加密存放，充分保證用戶信息的安全性。對系統(tǒng)操作員的密碼有安全保障機制。用戶的賬號等數(shù)據(jù)以數(shù)據(jù)庫的形式進行加密存儲及管理；對用戶數(shù)據(jù)的管理要保證其完整性和一致性,在系統(tǒng)出錯的情況下,對用戶數(shù)據(jù)要有有效的保護措施。

報表處理

作為整個系統(tǒng)的公共基礎(chǔ)模塊，為各個功能提供報表支持。報表輸出格式可轉(zhuǎn)換為多種常用的格式。

顯示

綜合顯示模塊作為整個安全運營中心統(tǒng)一人機界面接口，將各個界面的信息集中顯示和發(fā)布，采用Web方式，支持各功能模塊的信息顯示和管理。綜合顯示模塊提供多種的信息顯示和發(fā)布方式。支持基于列表、基于網(wǎng)絡(luò)拓?fù)?、基于GIS信息多種的信息顯示方式。

運營狀態(tài)監(jiān)控

創(chuàng)建實時的可視化網(wǎng)絡(luò)設(shè)備狀態(tài)，包括：CPU使用率、內(nèi)存占用、硬盤占用和帶寬占用等，使設(shè)備便于管理和分析。設(shè)備狀態(tài)視圖能對設(shè)備進行集中配置。

能聯(lián)系特定的鏈接圖、地理位置圖和圖表視圖能夠使不同層面的人員通過糾錯生命周期來復(fù)制威脅鑒別過程。多種顯示方式可以根據(jù)網(wǎng)絡(luò)應(yīng)用環(huán)境，進行定制顯示。

自身安全保障

安全運營中心作為整個網(wǎng)絡(luò)安全運行的監(jiān)控者和管理者，其中的每一步關(guān)鍵操作都會對整個網(wǎng)絡(luò)安全產(chǎn)生重要影響，甚至?xí)淖兙W(wǎng)絡(luò)運行方式和運行狀態(tài)，因此安全運營中心體系自身的安全性非常重要。安全運營中心體系的自身安全包括多方面，如物理安全，數(shù)據(jù)安全，通訊安全等。在總體設(shè)計時必須考慮安全運營中心體系的使用安全和管理流程安全。

在所有組件之間進行可選的加密方式確保安全的通信；
引擎可利用數(shù)字證書對所有用戶類代理進行身份驗證；
增強的用戶和管理界面可采用基于SSL的身份驗證；
可在所有組件之間實現(xiàn)統(tǒng)一的配置。

泰合安全運營中心的價值體現(xiàn)

通過泰合解決方案，針對大中型企業(yè)中的不同人群，將帶來如下價值：

針對技術(shù)人員

統(tǒng)一管理網(wǎng)絡(luò)中的安全設(shè)備，特別是不同廠商的設(shè)備。制定基于全局的安全策略和安全工作流程；對各安全設(shè)備產(chǎn)生的日志，尤其是監(jiān)測類產(chǎn)品（如IDS、審計、Scanner等）的日志報警信息進行關(guān)聯(lián)分析，提煉出有價值的信息，并能獲取后續(xù)處理的建議和幫助；對安全設(shè)備的日志集中存儲，并提交統(tǒng)一的報表。降低技術(shù)人員的工作煩瑣度。

對企業(yè)中的風(fēng)險評估工作進行持續(xù)管理。管理評估是持續(xù)性的過程，做完之后如果只在紙上，可能很難把這個成果繼續(xù)延續(xù)下去。通過SOC系統(tǒng)對評估結(jié)果進行管理，將業(yè)務(wù)資產(chǎn)評估的結(jié)果直接導(dǎo)入SOC中，成為資產(chǎn)管理的數(shù)據(jù)；將脆弱性評估的結(jié)果也導(dǎo)入SOC中，作為脆弱性管理的數(shù)據(jù)。

針對運營主管

通過建立知識庫、應(yīng)急預(yù)案等體制，幫助技術(shù)人員提高自身的專業(yè)素質(zhì)，并協(xié)助他們在出現(xiàn)重大安全事件時做出合理的決策，提高技術(shù)人員的工作效率。

通過SOC系統(tǒng)對技術(shù)人員進行量化的績效管理，可以進行縱向比較。

對下屬機構(gòu)進行集中管理和監(jiān)控。某個大中型企業(yè)有多個分支機構(gòu)，當(dāng)某一個點發(fā)生蠕蟲病毒的時候，總部知道后會采取措施通知下面的點在網(wǎng)絡(luò)設(shè)備上關(guān)閉一些端口，阻止蠕蟲的泛濫，預(yù)防安全事件對全局的
影響。實現(xiàn)對全網(wǎng)的統(tǒng)一監(jiān)管，而不是分支機構(gòu)局域網(wǎng)各自為政。

針對決策領(lǐng)導(dǎo)

通過將安全事件跟業(yè)務(wù)風(fēng)險關(guān)聯(lián)，采用直觀的界面，使決策領(lǐng)導(dǎo)能隨時了解業(yè)務(wù)系統(tǒng)的信息安全狀態(tài)。將風(fēng)險量化，協(xié)助領(lǐng)導(dǎo)分析每次信息安全項目的投資回報率，為信息安全投資提供依據(jù)。本文針對大中型企業(yè)目前的安全工作狀況進行了分析，提出信息安全運營中心（SOC）在大中型企業(yè)中的解決方案，以滿足從技術(shù)層、運營層到?jīng)Q策層的不同需求，協(xié)助企業(yè)將安全技術(shù)與安全管理有機結(jié)合，簡化運維工作。