浅析构建信息安全运维体系.doc

浅析构建信息安全运维体系 周晓梅－201071037 2010年12月26日系统安全问题变得更加突出、严重建设系统信息安全运维管理体系对保证信息系统的有效运行具有重要意义 关键词：信息系统 安全运维体系 构建 安全不仅仅是一个技术问题，更是一个管理问题。实际上，在整个IT产品的生命周期中，运营阶段占了整个时间和成本的70% - 80% 左右，剩下的时间和成本才是花费在产品开发(或采购)上面。以往我们听说分技术、七分管理是突出管理的重要性，而这个管理则是大部分的精力花费在运营方面。当前在通行的解决方案上，主要存在着两种安全运维管理的方式: (1)安全运维外包:安全运维外包服务是将自身的安全运维管理工作外包给外部专业的安全管理服务商，依赖外部的力量未完成自身的安全运维管理任务。称之为安全运维外包服务(Outsourcing ManagedSecurity Services)，有时候也直接称之为管理的安全服务(MSS， Managed Security Services) (2)安全运维中心:大部分的单位会选择依靠自身的力量来完成安全运维工作。当信息系统具备一定的规模之后，为了有效地完成安全运维，就必须建设自己的安全管理与运维中心，这个安全管理与运维中心在专业术语上就称之为安全运维中心或安全运营中心(SOC， SecurityOperations Center) 。 安全运维平台是以资产管理为基础，风险管理为核心，事件管理为主线，辅以有效的管理、监视与响应功能，为用户构建动态的可信安全管理体系。具有极强的开放性与可移植性在统一安全管理框架下实现对各种系统、应用、设备、安全产品的集中管理和监控，减轻管理员的操作负担，提高管理效率。系统具有智能处理海量事件，快速判断，应对网络威胁的强大功能。 体系结构 安全管理运维平台是协助实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。安全管理运维平台是一种安全管理的形式，它的职能分成管理层面的职能和技术层面的职能，安全管理运维平台将有效地将的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起，保持一致。 安全管理运维平台在整个安全体系中的地位参见下图所示： 安全管理运维平台是整个安全体系的核心和枢纽，作为技术支撑平台，它向上为安全策略管理、安全组织管理、安全运作管理提供基于安全管理运维平台的自动化支持协助，向下贯彻整个技术层面。安全管理运维平台通过收集来自所有安全设备、网络设备、应用系统等需管理产品的信息，进行统一的自动化风险评估，评价这些系统是否符合安全管理的策略和基线，并报告给决策者，提供及时的响应。安全管理运维平台将安全管理和安全技术链接起来，保证安全产品的部署符合安全管理的要求。对重要信息系统而言，安全管理运维平台将实现所部署安全产品的无缝整合，将安全风险降到最低。 1．安全运维监控功能 （1）集中监控：采用开放的、遵循国际标准的、可扩展的架构，整合各类监控管理工具的监控信息，实现对信息资产的集中监视、查看和管理的智能化、可视化监控系统。监控的主要内容包括：基础环境、网络、通信、安全、主机、中间件、数据库和核心应用系统等。 （2）综合展现：合理规划与布控，整合来自各种不同的监控管理工具和信息源，进行标准化、归一化的处理，并进行过滤和归并，实现集中、综合的展现。 （3）快速定位和预警：经过同构和归并的信息，将依据预先配置的规则、事件知识库、关联关系进行快速的故障定位，并根据预警条件进行预警。 2．安全运维告警功能 （1）事件基础库维护：是事件知识库的基础定义，内置大量的标准事件，按事件类型进行合理划分和维护管理，可基于事件名称和事件描述信息进行归一化处理的配置，定义了多源、异构信息的同构规则和过滤规则。 （2）智能关联分析：借助基于规则的分析算法，对获取的各类信息进行分析，找到信息之间的逻辑关系，结合安全事件产生的网络环境、资产重要程度，对安全事件进行深度分析，消除安全事件的误报和重复报警。 （3）综合查询和展现：实现多种视角的故障告警信息和业务预警信息的查询和集中展现。 （4）告警响应和处理：提供事件生成、过滤、短信告警、邮件告警、自动派发工单、启动预案等多种响应方式，内置监控界面的图形化告警方式；提供与事件响应中心的智能接口，可基于事件关联响应规则自动生成工单并触发相应的预案工作流进行处理。 3．安全运维事件响应功能 （1）图形化的工作流建模工具：实现预案建模的图形化管理，简单易用的预案流程的创建和维护，简洁的工作流仿真和验证。 （2）可配置的预案流程：所有运维管理流程均可由用户自行配置定义，即可实现ITIL/ITSM的主要运维管理流程，又可根据用户的实际管理要求和规范，配置个性化的任务、事件处理流程。 （3）智能化的自动派单：智能的规则匹配和处