浅析构建信息安全运维体系
————————————————————————————————作者:————————————————————————————————日期:
2
浅析构建信息安全运维体系
周晓梅-201071037
2020年4月24日
摘要:交通运输行业经过大规模信息化建设,信息系统数量成倍增加,业务依赖性增强,系统复杂度提高,系统安全问题变得更加突出、严重。建设系统信息安全运维管理体系,对保证交通运输行业信息系统的有效运行具有重要意义。
关键词:信息系统安全运维体系构建
安全不仅仅是一个技术问题,更是一个管理问题。实际上,在整个IT产品的生命周期中,运营阶段占了整个时间和成本的70% - 80% 左右,剩下的时间和成本才是花费在产品开发(或采购)上面。以往我们听说"三分技术、七分管理"是突出管理的重要性,而这个"管理"则是大部分的精力花费在"运营"方面。随着信息安全管理体系和技术体系在政府或企业领域的信息安全建设中不断推进,占信息系统生命周期70% - 80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,政府或企业运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系建设已经被提到了一个空前的高度上。
任何为了信息安全所采取的任何安全措施,不管是技术方面的还是管理方面的,都是为了保障整个信息资产的安全,安全运维体系就是以全面保障信息资产安全为目的,以信息资产的风险管理为核心,建立起全网统一的安全事件监视和响应体系,以及保障这一体系正确运作的管理体系。
一、面临的问题
“十一五”以来,我国交通运输行业和部级信息化建设工作发展迅猛,取得了长足的进步,而部级信息化建设和管理工作中存在的一些问题和矛盾也日益凸显。当前部级信息化项目来源较多、资金筹措渠道复杂、建设和运行维护单位众多,而信息化标准规范体系不完善,由于缺乏有效的技术管理规范,非基本建设项目的建设实施还存在管控盲区,现有标准规范贯彻执行不足,系统建设实施过程中存在安全和质量风险,并对系统运行维护形成障碍,整体运行安全存在隐
患。
目前,交通运输部已经基本建成了包含了电子政务外网、内网、机要网以及交通行业专网的四级网络,围绕着交通重要数据和信息建立了100多个应用系统。部级信息化专职运维人员近40人,分散在6个单位(网管中心、海事局、部公安局、公路院、交科院、中交网)各自运维应用系统。虽然购置了技术类安全设备、制定了部分安全制度规范,但部网站被攻击、邮件帐户被控制等安全事件仍然时有发生。究其原因,是未建设完整的信息安全运维体系。
国务院及相关主管机构公安部近几年先后颁布了27号,43号、61号、1429号等相关文件和意见,高度重视信息安全。交通运输部结合信息系统安全等级保护和分级保护工程,按照信息安全保障体系建设中运维体系建设的要求,遵循ITIL(最佳实践指导)、ISO/IEC 27000系列服务标准、等级保护和分级保护制度等相关标准,着手建立一整套信息安全运维服务管理体系。
二、安全运维模式的选择
当前在通行的解决方案上,主要存在着两种安全运维管理的方式:
(1)安全运维外包:安全运维外包服务是将自身的安全运维管理工作外包给外部专业的安全管理服务商,依赖外部的力量未完成自身的安全运维管理任务。通常称之为安全运维外包服务(Outsourcing ManagedSecurity Services),有时候也直接称之为管理的安全服务(MSS, Managed Security Services)。
(2)安全运维中心:大部分的单位会选择依靠自身的力量来完成安全运维工作。当信息系统具备一定的规模之后,为了有效地完成安全运维,就必须建设自己的安全管理与运维中心,这个安全管理与运维中心在专业术语上就称之为安全运维中心或安全运营中心(SOC, SecurityOperations Center) 。
鉴于交通运输部信息安全的保护需求,建设安全运维中心是适合的选择。
三、安全运维体系构建方案
安全管理运维平台是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,为用户构建动态的可信安全管理体系。具有极强的开放性与可移植性,在统一安全管理框架下实现对各种系统、应用、设备、安全产品的集中管理和监控,减轻管理员的操作负担,提高管理效率。系统具有智能处理海量事件,快速判断,应对网络威胁的强大功能。
(一)体系结构
安全管理运维平台是协助实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。安全管理运维平台是一种安全管理的形式,它的职能分成管理层面的职能和技术层面的职能,安全管理运维平台将有效地将的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起,保持一致。
安全管理运维平台在整个安全体系中的地位参见下图所示:
安全管理运维平台是整个安全体系的核心和枢纽,作为技术支撑平台,它向上为安全策略管理、安全组织管理、安全运作管理提供基于安全管理运维平台的自动化支持协助,向下贯彻整个技术层面。安全管理运维平台通过收集来自所有安全设备、网络设备、应用系统等需管理产品的信息,进行统一的自动化风险评估,评价这些系统是否符合安全管理的策略和基线,并报告给决策者,提供及时的响应。安全管理运维平台将安全管理和安全技术链接起来,保证安全产品的部署符合安全管理的要求。对重要信息系统而言,安全管理运维平台将实现所部署安全产品的无缝整合,将安全风险降到最低。
(二)功能设计
1.安全运维监控功能
(1)集中监控:采用开放的、遵循国际标准的、可扩展的架构,整合各类
监控管理工具的监控信息,实现对信息资产的集中监视、查看和管理的智能化、可视化监控系统。监控的主要内容包括:基础环境、网络、通信、安全、主机、中间件、数据库和核心应用系统等。
(2)综合展现:合理规划与布控,整合来自各种不同的监控管理工具和信息源,进行标准化、归一化的处理,并进行过滤和归并,实现集中、综合的展现。
(3)快速定位和预警:经过同构和归并的信息,将依据预先配置的规则、事件知识库、关联关系进行快速的故障定位,并根据预警条件进行预警。
2.安全运维告警功能
(1)事件基础库维护:是事件知识库的基础定义,内置大量的标准事件,按事件类型进行合理划分和维护管理,可基于事件名称和事件描述信息进行归一化处理的配置,定义了多源、异构信息的同构规则和过滤规则。
(2)智能关联分析:借助基于规则的分析算法,对获取的各类信息进行分析,找到信息之间的逻辑关系,结合安全事件产生的网络环境、资产重要程度,对安全事件进行深度分析,消除安全事件的误报和重复报警。
(3)综合查询和展现:实现多种视角的故障告警信息和业务预警信息的查询和集中展现。
(4)告警响应和处理:提供事件生成、过滤、短信告警、邮件告警、自动派发工单、启动预案等多种响应方式,内置监控界面的图形化告警方式;提供与事件响应中心的智能接口,可基于事件关联响应规则自动生成工单并触发相应的预案工作流进行处理。
3.安全运维事件响应功能
(1)图形化的工作流建模工具:实现预案建模的图形化管理,简单易用的预案流程的创建和维护,简洁的工作流仿真和验证。
(2)可配置的预案流程:所有运维管理流程均可由用户自行配置定义,即可实现ITIL/ITSM的主要运维管理流程,又可根据用户的实际管理要求和规范,配置个性化的任务、事件处理流程。
(3)智能化的自动派单:智能的规则匹配和处理,基于用户管理规范的自动处理,降低事件、任务发起到处理的延时,以及人工派发的误差。
(4)全程的事件处理监控:实现对事件响应处理全过程的跟踪记录和监控,
