1 引言

隨著企事業(yè)單位信息化工作的深入開展，各行各業(yè)對信息依賴的程度越來越高，如何保障信息系統(tǒng)的安全已成為其信息系統(tǒng)建設(shè)過程中最重要的任務(wù)。企事業(yè)單位信息系統(tǒng)經(jīng)過多年的建設(shè)已經(jīng)具備相當?shù)囊?guī)模，但通常情況下會著重于基礎(chǔ)設(shè)施建設(shè)和應(yīng)用系統(tǒng)系統(tǒng)功能的實現(xiàn)，并沒有實現(xiàn)信息系統(tǒng)的安全建設(shè)的同步規(guī)劃、同步建設(shè)與同步運維，更多是采用傳統(tǒng)的安全設(shè)備（如防火墻、入侵檢測、防病毒等）完成網(wǎng)絡(luò)層的安全防護工作。這種情況就導(dǎo)致了信息系統(tǒng)缺乏安全的系統(tǒng)化設(shè)計，信息安全系統(tǒng)會由不同廠家、不同時期的產(chǎn)品拼湊起來，僅僅能抵御來自某些方面的安全威脅，而各個子系統(tǒng)“各自為戰(zhàn)”彼此成防御孤島，無法實現(xiàn)協(xié)同防御也無法保持安全策略的一致性。

安全運維時，安全服務(wù)提供商往往是按產(chǎn)品提供監(jiān)測與事件分析服務(wù)，安全事件發(fā)生時無法及時準確驗證安全事件的可信度與評估安全風險影響范圍和威脅等級。比較突出的情況是每日大量的入侵檢測高等級安全事件，誤報率可能達到70%以上，這是因為大量的自動化的掃描軟件會觸發(fā)高等級安全事件告警，信息安全管理人員沒有自動化的處理分析系統(tǒng)將安全事件的觸發(fā)條件與信息系統(tǒng)真實的運行環(huán)境進行比對，排除誤報。

長久以往，管理員就被淹沒在大量無用的告警數(shù)據(jù)中了，真正的成功入侵行為就被忽略了。因此，以安全事件驅(qū)動的，以解決實際安全問題為目標的安全管理中心建設(shè)就顯得尤為重要了，同時我們要充分意識到安全管理中心建設(shè)是一個持續(xù)改進的建設(shè)過程，不可能一蹴而就，因此需要企業(yè)運維管理人員不斷的參與實踐，提升運維保障能力。

2 安全管理中心建設(shè)的最終目標是建立安全運營中心

很多企事業(yè)單位都采購了SOC（Security Operations Center）這樣的產(chǎn)品，卻沒有取得應(yīng)有的效果。大家共同的感覺是SOC是以一種產(chǎn)品形式引入的，受制于國內(nèi)政策、日志標準、傳統(tǒng)認識的制約，缺少了MSS管理安全服務(wù)或稱之為外部的專業(yè)安全服務(wù)供應(yīng)商（Managed Security Service）輔助支撐，自身運維人員在安全運維技術(shù)能力、經(jīng)驗方面的不足，導(dǎo)致了安全管理中心產(chǎn)品不能很好發(fā)揮作用。

因此，我們要充分意識到安全管理中心建設(shè)必經(jīng)的幾個階段：首先是安全信息和事件管理（SIEM），能夠?qū)θ罩具M行收集、安全存儲、分析、警報、審核以及合規(guī)報告；其次是安全運營中心（SOC）以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實時的資產(chǎn)風險模型，協(xié)助管理員進行事件及風險分析、預(yù)警處理、應(yīng)急響應(yīng)的集中安全管理系統(tǒng)；下一個階段就是SOC和大數(shù)據(jù)分析平臺結(jié)合，提升數(shù)據(jù)分析處理的能力。

安全管理中心建設(shè)是一項安全管理建設(shè)的系統(tǒng)工程，要充分考慮企業(yè)現(xiàn)有的IT建設(shè)水平，遵循PDCA持續(xù)改進的管理模式，設(shè)計出符合企業(yè)業(yè)務(wù)實現(xiàn)的安全管理體系架構(gòu)，應(yīng)至少包括資源平臺、基礎(chǔ)管理中心、監(jiān)控運維中心、應(yīng)用展現(xiàn)平臺、支撐系統(tǒng)五個層面的內(nèi)容。如圖1所示。

3 安全管理中心建設(shè)以事件驅(qū)動，以解決實際安全問題為導(dǎo)向

我們面臨的挑戰(zhàn)有幾個方面：

（1）企業(yè)安全架構(gòu)的短板；

（2）信息系統(tǒng)管理人員、安全管理人員的錯誤配置；

（3）信息系統(tǒng)逐步向互聯(lián)網(wǎng)化，使信息系統(tǒng)安全防護邊界模糊，被攻擊面加大；

（4）攻擊的手段發(fā)生了重大變化，流量型攻擊嚴重影響了信息系統(tǒng)的業(yè)務(wù)連續(xù)性；

（5）每天出現(xiàn)巨大數(shù)量的安全報警，管理員很難對這些報警做出響應(yīng)，誤報嚴重，管理員無法準確判斷故障，大量重復(fù)、零散而沒有規(guī)律的報警。

企業(yè)安全架構(gòu)的設(shè)計，就是在明確企業(yè)業(yè)務(wù)戰(zhàn)略的基礎(chǔ)上，梳理信息系統(tǒng)的面向的用戶群體（如最終用戶、生產(chǎn)用戶、管理用戶），梳理信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)流程，以風險評估為手段，明確企業(yè)信息安全需求。遵循國家法律、法規(guī)要求，結(jié)合企業(yè)文化、運維現(xiàn)狀，形成適應(yīng)企業(yè)信息化建設(shè)的安全防護框架?！皟蓚€體系、三重防護、一個中心”就是很多企事業(yè)單位認可的安全架構(gòu)設(shè)計的核心思想。兩個體系就是安全管理體系和安全技術(shù)體系；三重防護針對的就是計算環(huán)境、邊界防護、網(wǎng)絡(luò)通信；一個中心即安全管理中心。這里可以看出安全管理中心建設(shè)的重要地位，也是PDCA循環(huán)中檢查和處理的環(huán)節(jié)，是持續(xù)改進的重要保障手段。

目前，市場上銷售的安全管理中心產(chǎn)品功能不斷豐富，但視角局限在了安全設(shè)備上，偏離了安全基礎(chǔ)設(shè)施是為了落實企業(yè)業(yè)務(wù)戰(zhàn)略的重要手段這一初衷，應(yīng)面向業(yè)務(wù)信息系統(tǒng)服務(wù)全流程涉及的網(wǎng)絡(luò)交換設(shè)備、安全設(shè)備、服務(wù)器、應(yīng)用軟件、數(shù)據(jù)庫等，因此應(yīng)該以業(yè)務(wù)主線進行監(jiān)控、收集事件、歸并分析、告警與展示。面對新的攻擊手段、安全威脅，引入新的功能模塊或共享日志信息。面對大規(guī)模拒絕服務(wù)攻擊，我們需要數(shù)據(jù)流量分析系統(tǒng)，快速定位被攻擊主機，識別攻擊方法；面對系統(tǒng)應(yīng)用的配置錯誤，需要引入安全基線核查、配置變更管理；面對注入和跨站這樣的應(yīng)用層攻擊，要引入網(wǎng)絡(luò)安全審計作為應(yīng)用層防火墻的有力補充；面對不斷攀升的安全事件日志量，嘗試使用分布式搜索引擎，解決安全大數(shù)據(jù)的處理能力。

4 安全管理中心建設(shè)實踐中落實的幾個要素

4.1 安全事件核心是SIEM建設(shè)，實現(xiàn)事件的集中收集與關(guān)聯(lián)分

這里的事件不應(yīng)僅限于傳統(tǒng)意義上的安全事件，應(yīng)以信息系統(tǒng)全流程過程中涉及的各個環(huán)節(jié)的事件。主要是基于目前影響信息系統(tǒng)業(yè)務(wù)連續(xù)性與數(shù)據(jù)安全的安全事件，因此信息系統(tǒng)涉及的網(wǎng)絡(luò)數(shù)據(jù)流量、交換設(shè)備、安全設(shè)備的運行狀態(tài)、應(yīng)用服務(wù)器的訪問日志、應(yīng)用服務(wù)器的系統(tǒng)日志都應(yīng)納入收集的范圍。網(wǎng)絡(luò)流量可視化與異常流量的發(fā)現(xiàn)也應(yīng)納入安全管理中心的建設(shè)視野，如果沒有專用的流量分析系統(tǒng)，我們也可以實時監(jiān)控各安全域出口的交換設(shè)備或防火墻設(shè)備，繪制流量曲線，在較短時間內(nèi)監(jiān)測和定位到發(fā)生流量攻擊的安全域。

4.2 安全管理中心的成敗的一個關(guān)鍵要素是IT資產(chǎn)的高效管理

我們在安全建設(shè)時是通過風險評估的方法，識別信息系統(tǒng)的關(guān)鍵資產(chǎn)，通過風險賦值的方法進行綜合評價，來確認我們的安全建設(shè)需求，明確安全建設(shè)實施方案。根據(jù)安全的木桶原理，安全事件往往發(fā)生在信息系統(tǒng)最薄弱的地方。在安全事件應(yīng)急響應(yīng)時消耗最多的時間的是定位物理地址、確認使用責任人、確認系統(tǒng)環(huán)境、應(yīng)用環(huán)境。因此，理清IT資產(chǎn)，主動發(fā)現(xiàn)（主動發(fā)現(xiàn)IP資源的變化、發(fā)現(xiàn)業(yè)務(wù)服務(wù)的變化），人工確認修改輔助。在具體實現(xiàn)上以IP地址為資源索引，對應(yīng)服務(wù)主機。將IP地址資源按照業(yè)務(wù)生產(chǎn)大區(qū)（互聯(lián)網(wǎng)接入?yún)^(qū)、企業(yè)業(yè)務(wù)生產(chǎn)區(qū)）、安全域（信息發(fā)布域、業(yè)務(wù)生產(chǎn)域、數(shù)據(jù)域）、信息系統(tǒng)（三級信息系統(tǒng)、二級信息系統(tǒng)）進行管理和責任落實到管理責任人。通過漏洞掃描系統(tǒng)定期檢測確認IP地址資源使用的操作系統(tǒng)、應(yīng)用服務(wù)軟件、開放的服務(wù)端口，并形成基于時間線的資源使用情況的對比分析。

4.3 安全管理中心建設(shè)的難點是如何實現(xiàn)安全事件的分級分類管理

安全事件分級分類管理的難點在于國內(nèi)安全產(chǎn)品供應(yīng)商沒有統(tǒng)一的安全事件日志生成規(guī)范，沒有統(tǒng)一的安全事件處理的規(guī)范接口。各廠商生成日志隨意性強，日志內(nèi)容數(shù)據(jù)詳盡程度不一，這就導(dǎo)致了異構(gòu)安全產(chǎn)品構(gòu)成的安全防護系統(tǒng)，無法將安全事件統(tǒng)一歸類和分析處理。為了保護企業(yè)安全投資發(fā)揮最大的效益和安全運維體系的延續(xù)性，我們通過建立企業(yè)規(guī)范的日志數(shù)據(jù)收集處理接口，形成企業(yè)內(nèi)部標準，從而保證了數(shù)據(jù)的可用性。首先，我們通過收集各安全產(chǎn)品供貨方日志格式、分類方法，通過整理歸并，形成了自有的分類方法。從業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全兩個角度，形成了信息系統(tǒng)類安全事件和信息數(shù)據(jù)類安全事件。信息系統(tǒng)類安全事件又從信息系統(tǒng)支撐環(huán)境（機房、電力環(huán)境、設(shè)備服務(wù)）和網(wǎng)絡(luò)系統(tǒng)攻擊（信息刺探、惡意代碼攻擊、攻擊入侵）兩個角度進行了二級分類；信息數(shù)據(jù)類安全事件進一步細分為信息危害類與信息泄露類，形成了企業(yè)信息安全事件的分類標準，我們就要將工作的重點放在安全管理中心對于收集的事件日志的范式化上，確保過程簡單、可操作性強、分類準確，為下一步過濾、歸并、關(guān)聯(lián)分析、審計、實時告警提供基礎(chǔ)保障。網(wǎng)絡(luò)安全事件分類如圖2所示。

4.4 信息系統(tǒng)合規(guī)性檢查，安全基線核查與信息系統(tǒng)關(guān)鍵設(shè)備的配置變更管理，是業(yè)務(wù)系統(tǒng)正式上線運行必要保障

近年來，安全事件多來自于應(yīng)用系統(tǒng)的安全問題，如系統(tǒng)弱口令、系統(tǒng)部署結(jié)構(gòu)不合理，業(yè)務(wù)流程涉及風險，業(yè)務(wù)代碼層面出現(xiàn)的注入與跨站漏洞問題，系統(tǒng)配置不當、測試業(yè)務(wù)與生產(chǎn)業(yè)務(wù)不區(qū)分、系統(tǒng)和應(yīng)用的漏洞未得到及時修復(fù)等。在各單位業(yè)務(wù)正式上線前都會進行系統(tǒng)測試，但更多情況下是系統(tǒng)功能測試和壓力測試。應(yīng)用安全方面更多的是提出源代碼審計、安全滲透測試和應(yīng)用服務(wù)器的安全加固，但因為經(jīng)費和測試周期的限制，很難通過一次的代碼審計和滲透測試解決持續(xù)改進的問題。因此，還是通過系統(tǒng)的安全管理員安全意識、安全技能的提升，輔助以合適的工具和方法動態(tài)的掌握系統(tǒng)的安全狀態(tài)。

在實踐過程中，我們不斷收集、修訂、發(fā)布本單位經(jīng)常使用的操作系統(tǒng)、中間件、應(yīng)用服務(wù)軟件和數(shù)據(jù)庫軟件基線要求，通過工具軟件提取系統(tǒng)運行狀態(tài)與安全基線進行比對，給出系統(tǒng)安全加固的指導(dǎo)參考。定期提取關(guān)鍵的網(wǎng)絡(luò)交換設(shè)備和邊界防護設(shè)備的運行狀態(tài)文件，審計安全策略配置合理性，發(fā)現(xiàn)安全策略的變更是否與業(yè)務(wù)服務(wù)變更相一致。如圖3所示。

4.5 信息系統(tǒng)的安全審計是安全防護措施有效性最好的檢驗手段

安全審計是檢驗安全防護體系是否有效的重要手段，也是安全防護持續(xù)改進的重要手段。我們在安全建設(shè)中，會選用網(wǎng)絡(luò)審計和數(shù)據(jù)庫審計設(shè)備這樣專用的審計設(shè)備，通過專用設(shè)備我們可以審計HTTP、FTP等協(xié)議，發(fā)現(xiàn)注入與跨站攻擊，發(fā)現(xiàn)高等級操作行為。同時，在實踐中通過入侵檢測系統(tǒng)的協(xié)議分析，我們可以審計出郵件系統(tǒng)的弱口令、FTP弱口令；通過協(xié)議分析，發(fā)現(xiàn)RDP、Telnet、1433等高危服務(wù)端口，判斷驗證邊界安全設(shè)施安全防護策略是否有效部署。

5 安全管理中心建設(shè)發(fā)展方向

有效結(jié)合外部安全情報分析，利用大數(shù)據(jù)分析手段，實現(xiàn)安全問題快速定位與分析。大數(shù)據(jù)安全分析是安全信息和事件管理及相關(guān)技術(shù)的延伸。雖然只是在分析的數(shù)據(jù)量和數(shù)據(jù)類型方面存在量的差異，但對從安全設(shè)備和應(yīng)用程序提取到的信息類型來說，卻導(dǎo)致了質(zhì)的差異。因此基于數(shù)據(jù)分析和威脅情報來發(fā)現(xiàn)潛在的未能被阻止的攻擊和威脅將對于傳統(tǒng)的安全防護體系提供有效的補充。

6 結(jié)束語

總之，安全管理中心建設(shè)是一個持續(xù)改進的過程，要根據(jù)企業(yè)所處的IT運維階段，找到亟待解決的問題，尋找建設(shè)的突破口與核心要素，加大安全服務(wù)能力建設(shè)，提升安全事件發(fā)現(xiàn)和處理水平。

參考文獻

[1] GB.Z20986-2007 信息安全技術(shù)信息事件分類分級指南。

作者簡介：

肖國煜（1973-），男，漢族，北京人，本科，新華通訊社技術(shù)局，副處長，高級工程師；主要研究方向和關(guān)注領(lǐng)域：企業(yè)信息安全架構(gòu)設(shè)計、安全建設(shè)與安全運維。