楊杰

摘要：近幾年來(lái)，隨著信息化建設(shè)，信息時(shí)代的到來(lái)，越來(lái)越多系統(tǒng)，應(yīng)用層出不窮的降臨到我們身邊，從國(guó)家機(jī)關(guān)，到各大國(guó)企央企，乃至街邊小店，都有自己的主頁(yè)、域名，自己應(yīng)用以及APP等。然而和工程建設(shè)衍生出工程安全，交通便利衍生出交通安全等問(wèn)題一樣，信息化建設(shè)的迅速開(kāi)展同樣也衍生出信息安全這個(gè)問(wèn)題，大到國(guó)家機(jī)密，企業(yè)商業(yè)機(jī)密的泄露，小到個(gè)人信息的盜取、冒用等，一個(gè)個(gè)不同等級(jí)，不同破壞力的信息安全事故讓人不得倒吸一口冷氣。在生產(chǎn)生活中安全已經(jīng)讓人們?cè)絹?lái)越重視，已經(jīng)達(dá)到把其放在辦任何事的前提所在，但加上信息這個(gè)虛無(wú)縹緲的東西，好像人們就無(wú)從下手一般，抓不住他的要點(diǎn)，就好比任你有多大的力氣都無(wú)法真正抓住空氣或水流一般。隨著人們從一件件信息安全事故的總結(jié)和學(xué)習(xí)中，已經(jīng)開(kāi)始有了方向，從被動(dòng)防護(hù)進(jìn)入主動(dòng)扼制的階段。

關(guān)鍵詞：信息安全；網(wǎng)絡(luò)運(yùn)維；安全管理；應(yīng)急響應(yīng)

1引言

近幾年來(lái)，隨著信息化建設(shè)，信息時(shí)代的到來(lái)，越來(lái)越多系統(tǒng)，應(yīng)用層出不窮的降臨到我們身邊，從國(guó)家機(jī)關(guān)，到各大國(guó)企央企，乃至街邊小店，都有自己的主頁(yè)，域名，自己應(yīng)用以及APP等。然而和工程建設(shè)衍生出工程安全，交通便利衍生出交通安全等問(wèn)題一樣，信息化建設(shè)的迅速開(kāi)展同樣也衍生出信息安全這個(gè)問(wèn)題，大到國(guó)家機(jī)密，企業(yè)商業(yè)機(jī)密的泄露，小到個(gè)人信息的盜取、冒用等，一個(gè)個(gè)不同等級(jí)，不同破壞力的信息安全事故讓人不得倒吸一口冷氣。在生產(chǎn)生活中安全已經(jīng)讓人們?cè)絹?lái)越重視，已經(jīng)達(dá)到把其放在辦任何事的前提所在，但加上信息這個(gè)虛無(wú)縹緲的東西，好像人們就無(wú)從下手一般，抓不住他的要點(diǎn)，就好比任你有多大的力氣都無(wú)法真正抓住空氣或水流一般。隨著人們從一件件信息安全事故的總結(jié)和學(xué)習(xí)中，已經(jīng)開(kāi)始有了方向，從被動(dòng)防護(hù)進(jìn)入主動(dòng)扼制的階段。

近2年信息安全事故頻發(fā)，大到國(guó)家級(jí)別的斯諾登事件，以及2015年5月28日的攜程宕機(jī)事件都引人深思，如何能夠降低信息安全事故次數(shù)，減少事故造成的損失。這才是真正信息安全工作者們應(yīng)該研究的真功夫。

隨著信息化建設(shè)的發(fā)展，眾多軟件公司及網(wǎng)絡(luò)集成商的出現(xiàn)，使得信息化建設(shè)已經(jīng)越來(lái)越套裝化，快餐化。建設(shè)部署一套自己企業(yè)所需要的應(yīng)用系統(tǒng)，只需要與負(fù)責(zé)建設(shè)的公司溝通好需求，這些負(fù)責(zé)開(kāi)發(fā)的軟件公司，網(wǎng)絡(luò)集成商們很快就會(huì)讓企業(yè)管理者拿到自己想要的應(yīng)用系統(tǒng)和屬于自己的一套網(wǎng)絡(luò)架構(gòu)，緊接著，這些企業(yè)從事信息化建設(shè)的管理者們會(huì)首先考慮到如何運(yùn)維自己的系統(tǒng)，如何保障這個(gè)系統(tǒng)不會(huì)出現(xiàn)宕機(jī)這樣的問(wèn)題，并不考慮到這系統(tǒng)的安全可靠性，甚至許多運(yùn)維人員也對(duì)信息安全方面的知識(shí)了解的少之又少。而有些有經(jīng)驗(yàn)的企業(yè)管理層在建設(shè)時(shí)會(huì)考慮到安全，但也僅僅是在網(wǎng)絡(luò)部署上購(gòu)置一些網(wǎng)關(guān)及防火墻等簡(jiǎn)單必要的設(shè)備，并僅靠這些設(shè)備就認(rèn)為自己的系統(tǒng)，網(wǎng)絡(luò)絕對(duì)不會(huì)出現(xiàn)任何問(wèn)題，就是所謂的信息安全。在筆者做信息安全安全管理的時(shí)候，發(fā)現(xiàn)很多運(yùn)維人員并不了解自己所運(yùn)維的系統(tǒng)都有什么安全防護(hù)設(shè)備和機(jī)制，而負(fù)責(zé)信息安全運(yùn)維的工作人員甚至不知道自己所運(yùn)維的系統(tǒng)都是如何運(yùn)作的，有什么樣的功能，一旦出現(xiàn)信息安全問(wèn)題，在判斷問(wèn)題上也會(huì)無(wú)從下手，一股腦的把整個(gè)系統(tǒng)全面檢查一遍，或者有時(shí)候更改一條簡(jiǎn)單的防火墻策略就造成整個(gè)系統(tǒng)的通訊障礙，不僅降低了安全運(yùn)維的有效性甚至還會(huì)出現(xiàn)自己給自己挖坑的現(xiàn)象。

2網(wǎng)絡(luò)管理體系化、平臺(tái)化

網(wǎng)絡(luò)安全管理不是管理一臺(tái)防火墻、路由器、交換機(jī)那么簡(jiǎn)單，需要從以體系化的設(shè)計(jì)思路進(jìn)行通盤(pán)考慮，需要統(tǒng)一和規(guī)范網(wǎng)絡(luò)安全管理的內(nèi)容和流程，提升風(fēng)險(xiǎn)運(yùn)行維護(hù)的自動(dòng)化程度，實(shí)現(xiàn)風(fēng)險(xiǎn)可視化、風(fēng)險(xiǎn)可管理、風(fēng)險(xiǎn)可處置、風(fēng)險(xiǎn)可量化。使日常的風(fēng)險(xiǎn)管理由被動(dòng)管理向主動(dòng)的流程化管理轉(zhuǎn)變，最終真正實(shí)現(xiàn)網(wǎng)絡(luò)安全管理理念上質(zhì)的飛躍，初步建立起真正實(shí)用并且合規(guī)的網(wǎng)絡(luò)安全管理運(yùn)維體系。

網(wǎng)絡(luò)安全管理平臺(tái)作為管理的工具其核心理念是管理，網(wǎng)絡(luò)安全管理平臺(tái)圍繞此開(kāi)展設(shè)計(jì)，最終形成安全工作的工作規(guī)范，通過(guò)不斷完善的工作規(guī)范，通過(guò)安全工作能力的不斷提升，通過(guò)對(duì)工作內(nèi)容及結(jié)果的工作考核，形成安全建設(shè)螺旋上升的建設(shè)效果。在網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)上重點(diǎn)考慮如下幾個(gè)方面的內(nèi)容：

2.1安全資源的統(tǒng)一管理

安全策略是企業(yè)安全建設(shè)的指導(dǎo)性綱領(lǐng)。信息安全管理產(chǎn)品應(yīng)能在安全策略的指導(dǎo)下，對(duì)與信息安全密切相關(guān)的各種資產(chǎn)進(jìn)行全面的管理，包括網(wǎng)絡(luò)安全設(shè)備（產(chǎn)品）、重要的網(wǎng)絡(luò)資源設(shè)備（服務(wù)器或網(wǎng)絡(luò)設(shè)備），以及操作系統(tǒng)和應(yīng)用系統(tǒng)等。要實(shí)現(xiàn)關(guān)鍵防護(hù)設(shè)備的健壯性檢查工作。

2.2安全管理可視化

實(shí)現(xiàn)安全運(yùn)維管理服務(wù)流程的可視化、結(jié)果可跟蹤、過(guò)程可管理，支持完善的拓?fù)浔磉_(dá)方式，支持可視化的設(shè)備管理、策略管理和部署，支持安全事件在網(wǎng)絡(luò)邏輯拓?fù)鋱D中顯示。信息安全全景關(guān)聯(lián)可視化展示方法和技術(shù)，從信息展示邏輯和操作方式上提高可視化的視覺(jué)效果，增強(qiáng)系統(tǒng)的易用性和信息的直觀性。采用了眾多圖形化分析算法技術(shù)從大量圖表數(shù)據(jù)中揭示更深層次的關(guān)聯(lián)信息和線索。

2.3信息安全全景關(guān)聯(lián)模型及方法

各種類型、不同廠家的安全設(shè)備得以大規(guī)模使用，產(chǎn)生難以手工處理的海量安全信息，如何統(tǒng)一監(jiān)控、處理這些不同類型的安全信息，如何從這些海量的安全信息中整理、分析出真正對(duì)用戶有價(jià)值的安全事件。通過(guò)設(shè)計(jì)一個(gè)基于關(guān)聯(lián)的信息安全事件管理框架，實(shí)現(xiàn)安全信息的關(guān)聯(lián)及關(guān)聯(lián)后事件表示，實(shí)現(xiàn)安全信息精簡(jiǎn)、降低誤報(bào)率和漏報(bào)率以及改進(jìn)報(bào)警語(yǔ)義描述，達(dá)到增強(qiáng)安全系統(tǒng)間的聯(lián)系、建立安全信息管理標(biāo)準(zhǔn)、提供安全可視化描述和建立安全通用處理流程。支持安全檢測(cè)模式深度挖掘。

2.4信息安全態(tài)勢(shì)評(píng)估模型和態(tài)勢(shì)評(píng)估方法

安全綜合評(píng)價(jià)以及安全態(tài)勢(shì)預(yù)測(cè)的最終目的是建立大型網(wǎng)絡(luò)的宏觀、統(tǒng)一的安全態(tài)勢(shì)評(píng)估體系，提供網(wǎng)絡(luò)安全策略、進(jìn)行宏觀態(tài)勢(shì)評(píng)估及預(yù)測(cè)的技術(shù)手段，達(dá)到全面評(píng)價(jià)系統(tǒng)整體安全性的目的，為實(shí)施網(wǎng)絡(luò)安全管理策略制定提供決策支持的工具。

2.5海量數(shù)據(jù)存儲(chǔ)和高性能處理機(jī)制

建立基于網(wǎng)格技術(shù)的分布式存儲(chǔ)和分布式處理機(jī)制，通過(guò)網(wǎng)格中間件既可以實(shí)現(xiàn)數(shù)據(jù)的分布式存儲(chǔ)，又可以將統(tǒng)一的數(shù)據(jù)庫(kù)查詢請(qǐng)求變成在各網(wǎng)格節(jié)點(diǎn)進(jìn)行的分布式查詢，以提高數(shù)據(jù)庫(kù)操作效率，從而通過(guò)計(jì)算規(guī)模擴(kuò)展實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和處理性能的提升。

3安全技術(shù)向安全運(yùn)維服務(wù)融合和演進(jìn)是大勢(shì)所趨

安全管理體系隨著對(duì)安全認(rèn)知的不同、隨著風(fēng)險(xiǎn)攻防的不同、隨著后續(xù)能力的提升，管理體系的建設(shè)也是一個(gè)動(dòng)態(tài)的過(guò)程，一定要機(jī)人結(jié)合、要與服務(wù)結(jié)合，建立在單一的安全產(chǎn)品建設(shè)的基礎(chǔ)上，通過(guò)更加細(xì)化的運(yùn)維服務(wù)，指導(dǎo)產(chǎn)品真正的發(fā)揮作用，將服務(wù)與產(chǎn)品深度融合是安全技術(shù)發(fā)展的趨勢(shì)。

運(yùn)維服務(wù)的從客戶戰(zhàn)略出發(fā)、以客戶需求為中心，以風(fēng)險(xiǎn)管控為主線、以安全效益為導(dǎo)向、以風(fēng)險(xiǎn)相關(guān)法律、法規(guī)和理論方法為依據(jù)，以安全信息化、自動(dòng)化技術(shù)為手段，通過(guò)安全平臺(tái)完成安全保障日常運(yùn)維工作有序、有效的開(kāi)展。主要任務(wù)如下：

（1）建立完整的運(yùn)維體系。通過(guò)梳理運(yùn)行服務(wù)管理現(xiàn)狀流程，并對(duì)運(yùn)行管理提出癥結(jié)分析與改良建議，依照行業(yè)化建設(shè)標(biāo)準(zhǔn)，建立起完整可實(shí)施的運(yùn)維體系。

（2）建立服務(wù)規(guī)范。針對(duì)現(xiàn)在的運(yùn)行系統(tǒng)管理體系進(jìn)行改良，訂立滿足業(yè)務(wù)需求的完成運(yùn)行服務(wù)管理規(guī)范的修訂、試行、發(fā)布與宣貫。

（3）充分利用安全管理類平臺(tái)，提高辦公區(qū)域內(nèi)的軟、硬件、業(yè)務(wù)應(yīng)用軟件的運(yùn)行維護(hù)效率，確保信息系統(tǒng)正常運(yùn)行。

（4）運(yùn)維服務(wù)實(shí)施和管理。按照編制的服務(wù)管理規(guī)范監(jiān)督各項(xiàng)服務(wù)實(shí)施。負(fù)責(zé)運(yùn)維服務(wù)水平管理，及時(shí)調(diào)整服務(wù)級(jí)別、問(wèn)題管理、發(fā)布管理等流程。

安全建設(shè)從資產(chǎn)評(píng)估、方案設(shè)計(jì)開(kāi)始，項(xiàng)目實(shí)施為一個(gè)段落，繼而進(jìn)入到安全運(yùn)維階段。而安全管理平臺(tái)是整個(gè)安全框架的核心和樞紐，作為一個(gè)技術(shù)系統(tǒng)，它向上為安全策略管理、安全組織管理、安全決策提供自動(dòng)化協(xié)助。同時(shí)，更為重要的是，運(yùn)維服務(wù)可圍繞安全管理中心向下貫徹到整個(gè)技術(shù)層面，利用安全管理平臺(tái)能夠收集來(lái)自所有安全設(shè)備和非安全設(shè)備的信息，進(jìn)行統(tǒng)一的自動(dòng)化風(fēng)險(xiǎn)評(píng)估，評(píng)價(jià)是否符合安全管理的策略和基線，并進(jìn)行有效的整改。運(yùn)維服務(wù)內(nèi)容如下：

（1）健康檢查運(yùn)維服務(wù)。

為了確保用戶安全系統(tǒng)長(zhǎng)期、穩(wěn)定的工作，最大限度和降低系統(tǒng)的運(yùn)行故障及延長(zhǎng)系統(tǒng)設(shè)備的使用壽命，安全運(yùn)維團(tuán)隊(duì)?wèi)?yīng)定期對(duì)安全設(shè)備、業(yè)務(wù)系統(tǒng)進(jìn)行健康檢查服務(wù)，在保證系統(tǒng)安全的前提下采集系統(tǒng)配置、流量信息、系統(tǒng)狀態(tài)等安全信息，依照標(biāo)準(zhǔn)化流程，定期對(duì)用戶的系統(tǒng)進(jìn)行檢查，了解系統(tǒng)的整體工作狀態(tài)。由被動(dòng)服務(wù)變主動(dòng)服務(wù)，通過(guò)健康檢查服務(wù)排除故障隱患，降低故障率。

（2）安全事件審計(jì)運(yùn)維服務(wù)。

隨著網(wǎng)絡(luò)規(guī)模的增長(zhǎng)，用戶網(wǎng)絡(luò)中防火墻、防病毒軟件、IDS、VPN等網(wǎng)絡(luò)安全設(shè)備不斷增加，龐大的日志數(shù)據(jù)令用戶無(wú)從下手。隨著網(wǎng)絡(luò)設(shè)備越來(lái)越多，網(wǎng)絡(luò)攻擊的手段越來(lái)越多樣，攻擊方法越來(lái)越隱蔽，單純的依靠某一種安全設(shè)備的事件來(lái)對(duì)網(wǎng)絡(luò)安全情況進(jìn)行評(píng)估和反應(yīng)是遠(yuǎn)遠(yuǎn)不夠的。安全運(yùn)維服務(wù)團(tuán)隊(duì)?wèi)?yīng)定期對(duì)各類系統(tǒng)產(chǎn)生的安全日志實(shí)現(xiàn)全面、有效的集中收集、管理、審計(jì)服務(wù)。

（3）網(wǎng)絡(luò)行為審計(jì)運(yùn)維服務(wù)。

網(wǎng)絡(luò)行為審計(jì)服務(wù)深入了解網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用的歷史和實(shí)時(shí)行為，基于用戶使用網(wǎng)絡(luò)的實(shí)際行為來(lái)優(yōu)化和調(diào)整網(wǎng)絡(luò)，實(shí)現(xiàn)了真正以用戶為中心行為分析，能夠?qū)Φ湫偷木W(wǎng)絡(luò)行為和用戶行為進(jìn)行實(shí)時(shí)的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)管理。網(wǎng)絡(luò)行為審計(jì)服務(wù)通過(guò)收集并分析用戶網(wǎng)絡(luò)行為數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。即當(dāng)發(fā)生安全事故或者發(fā)生違反安全策略的行為之后，通過(guò)檢查、分析、比較用戶網(wǎng)絡(luò)行為數(shù)據(jù)，從中發(fā)現(xiàn)違反安全策略行為的記錄。以利于事后追蹤，為調(diào)查取證提供第一手的資料。

（4）監(jiān)控與分析運(yùn)維服務(wù)。

運(yùn)維監(jiān)控與分析服務(wù)以資產(chǎn)管理為基礎(chǔ)，以風(fēng)險(xiǎn)管理為核心，以事件管理為主線，通過(guò)深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等技術(shù)，輔以有效的安全管理與監(jiān)控、實(shí)現(xiàn)對(duì)安全問(wèn)題的統(tǒng)一監(jiān)控與管理，對(duì)各類安全事件的集中管理和智能分析，最終實(shí)現(xiàn)對(duì)用戶安全風(fēng)險(xiǎn)態(tài)勢(shì)的統(tǒng)一監(jiān)控分析和預(yù)警處理。

通過(guò)安全運(yùn)維工程師定期的分析，從海量的安全事件中提取出支持全局決策的信息。通過(guò)整理、分析網(wǎng)絡(luò)中各類安全事件，量化安全問(wèn)題，梳理運(yùn)維流程。

（5）終端安全監(jiān)控與策略優(yōu)化運(yùn)維服務(wù)。

隨著用戶網(wǎng)絡(luò)逐漸復(fù)雜，網(wǎng)絡(luò)管理的難度將不斷加大，多數(shù)企業(yè)、機(jī)構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡(luò)，如終端用戶不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁、升級(jí)病毒庫(kù)的現(xiàn)象普遍存在；隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器、私自訪問(wèn)保密資源、非法盜用他人地址帳號(hào)、利用非法軟件獲取利益等行為在企業(yè)中也比比皆是，綜合管理效率和效果受到了很大影響。

針對(duì)用戶問(wèn)題，安全運(yùn)維服務(wù)團(tuán)隊(duì)?wèi)?yīng)定期監(jiān)控全網(wǎng)終端惡意行為，并定期優(yōu)化終端安全策略。例如定期檢查用戶的IP、MAC地址是否合法及終端安全狀態(tài)，并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果制定接入控制策略，對(duì)不符合安全標(biāo)準(zhǔn)的用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁升級(jí)等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以動(dòng)態(tài)合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防御能力、大大提升了用戶網(wǎng)絡(luò)的使用效率及管理效率。

（6）應(yīng)急響應(yīng)。

應(yīng)急響應(yīng)服務(wù)指當(dāng)安全事件發(fā)生后，安全運(yùn)維服務(wù)團(tuán)隊(duì)根據(jù)預(yù)案快速響應(yīng)。應(yīng)急響應(yīng)預(yù)案應(yīng)按照準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)、跟蹤等一系列標(biāo)準(zhǔn)措施制定，保證網(wǎng)絡(luò)安全無(wú)憂，預(yù)防危險(xiǎn)發(fā)生。

（7）漏洞分析運(yùn)維服務(wù)。

對(duì)于網(wǎng)絡(luò)管理人員，特別是復(fù)雜網(wǎng)絡(luò)的管理人員，由于時(shí)間和工作關(guān)系，通常會(huì)遇到無(wú)法收集并分類相關(guān)的安全報(bào)告，使得網(wǎng)絡(luò)中或多或少的存在被忽視的安全漏洞。而安全問(wèn)題目前正以每周新增幾十甚至幾百例的速度在全世界得到反饋，并同時(shí)涉及信息技術(shù)的眾多領(lǐng)域。企業(yè)所掌握的安全知識(shí)的更新速度所受到的壓力非常大。應(yīng)借助安全廠商的力量獲取最新的安全動(dòng)態(tài)、技術(shù)和安全信息，包括實(shí)時(shí)安全漏洞通知、病毒、補(bǔ)丁升級(jí)、定期安全通告匯總和安全知識(shí)庫(kù)更新等，并通過(guò)定期對(duì)自有資產(chǎn)進(jìn)行漏洞的定期分析/整改。

（8）建立運(yùn)維知識(shí)庫(kù)。

建立自有的安全運(yùn)維知識(shí)庫(kù)并定期升級(jí)，儲(chǔ)備更多的安全運(yùn)維經(jīng)驗(yàn)、安全知識(shí)，保障用戶的運(yùn)維效果，提高安全運(yùn)維效率。

4結(jié)語(yǔ)

安全管理平臺(tái)與運(yùn)維服務(wù)相輔相成，實(shí)現(xiàn)網(wǎng)絡(luò)安全管理全局一盤(pán)棋。平臺(tái)可以對(duì)各類風(fēng)險(xiǎn)予以完整、全面的識(shí)別、管控和分析，結(jié)合風(fēng)險(xiǎn)展示。分析管理效果和不足，發(fā)現(xiàn)網(wǎng)絡(luò)安全管控中的隱患，更有效地揭示網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生規(guī)律：對(duì)各類風(fēng)險(xiǎn)和事件進(jìn)行關(guān)聯(lián)分析，實(shí)現(xiàn)風(fēng)險(xiǎn)和事件分類統(tǒng)計(jì)、風(fēng)險(xiǎn)趨勢(shì)分析，產(chǎn)生各類報(bào)表，提供預(yù)警信息，指導(dǎo)運(yùn)維服務(wù)人員如何有效的開(kāi)展保障工作。在此，網(wǎng)絡(luò)管理從安全角度來(lái)考量，只有將工具化的管理平臺(tái)與人員服務(wù)進(jìn)行有效的整合，才能形成安全建設(shè)螺旋上升的建設(shè)效果。