新形勢下的網(wǎng)絡(luò)信息安全運(yùn)維

◆劉 學(xué)

新形勢下的網(wǎng)絡(luò)信息安全運(yùn)維

◆劉 學(xué)

（交通運(yùn)輸部職業(yè)資格中心 北京 100029）

為提高信息系統(tǒng)安全（Information System Security Operation即ISSO）運(yùn)維水平，前提是打造有效的安全運(yùn)維管理平臺。對IT基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的監(jiān)控，有效的處理安全事件、變更、配置等事項，從而在更大程度上確保信息安全，實現(xiàn)更高的安全管理能力，確定了安全運(yùn)維的標(biāo)準(zhǔn)及內(nèi)容，建立了一套完善可行的服務(wù)管理方案，快速掌握安全運(yùn)維，以及管理過程中的事前預(yù)警、事發(fā)時快速定位，為運(yùn)維工作提供有力支持。

安全運(yùn)維；技術(shù)支撐；信息安全

1 引言

為規(guī)范信息安全管理，提高信息安全管理水平，建設(shè) “監(jiān)、管、控”功能為一體的安全運(yùn)維管理平臺，通過對IT設(shè)施與應(yīng)用的集中監(jiān)控，實時反映IT資源的運(yùn)行狀況為提高信息安全管理的規(guī)范化水平，實現(xiàn)更有效的安全管理，搭建具備“監(jiān)、管、控”能力的安全運(yùn)維平臺，對IT設(shè)備和應(yīng)用予以統(tǒng)一、實時的監(jiān)控，了解其當(dāng)前的運(yùn)行狀況[1]，統(tǒng)一處理安全事件、變更、配置等事務(wù)，達(dá)到信息資產(chǎn)狀態(tài)可視、流程可管、操作可控的效果，有效改善安全能力，為業(yè)務(wù)穩(wěn)定運(yùn)行提供更有力的支持，保障運(yùn)維工作的成效[2]。

2 IT運(yùn)維中存在的問題

在IT業(yè)務(wù)不斷推陳出新的過程中，信息管理工作變得更加復(fù)雜，具體來說表現(xiàn)為[3]：

其一，在網(wǎng)絡(luò)環(huán)境不斷變得更加復(fù)雜的過程中，以往的“來電響應(yīng)式”IT運(yùn)維管理方式逐漸暴露出更多的缺陷，比如不能及時地反映出安全隱患等，人們迫切需要新的運(yùn)維管理方式[4]。

其二，業(yè)務(wù)系統(tǒng)日益增多，通常是業(yè)務(wù)部門主動上報故障后，運(yùn)維人員才意識到問題的存在，存在一定的延遲性[5]。除此之外，無法動態(tài)的跟蹤系統(tǒng)健康狀況，出現(xiàn)故障后需要較長的時間才能找到故障點(diǎn)。

其三，技術(shù)手段的落后性，導(dǎo)致無法實現(xiàn)網(wǎng)絡(luò)的完整性管理，出現(xiàn)私自內(nèi)聯(lián)等高風(fēng)險事件時，無法迅速發(fā)現(xiàn)，對業(yè)務(wù)、后臺操作的審計被忽視[6]。

3 建設(shè)內(nèi)容

信息系統(tǒng)安全運(yùn)維指在周期內(nèi)，通過技術(shù)設(shè)施安全評估、技術(shù)安全加固、漏洞補(bǔ)丁、安全應(yīng)急響應(yīng)以及運(yùn)維咨詢，協(xié)助管理人員進(jìn)行信息系統(tǒng)的日常工作，以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)的安全隱患，降低非法利用的可能性，并在隱患被利用后加以響應(yīng)[7]。ISSO運(yùn)維管理平臺由如下幾個部分構(gòu)成：

3.1 綜合監(jiān)控管理子系統(tǒng)

這一子系統(tǒng)的主要作用，是對IT基礎(chǔ)層予以全方位的監(jiān)管，比如安全設(shè)備、數(shù)據(jù)庫、應(yīng)用進(jìn)程等，其將各種IT資源的運(yùn)行狀態(tài)實時的反映出來[8]，為后續(xù)的關(guān)聯(lián)分析和管理創(chuàng)造良好的條件，具體的處理流程可以通過自動或手工的方式來設(shè)定。

3.2 安全運(yùn)維服務(wù)管理子系統(tǒng)

該子系統(tǒng)主要負(fù)責(zé)日常工作和服務(wù)的管理，它以ITIL（運(yùn)維管理最佳實踐）以及管理需求為依據(jù)，對服務(wù)、資源、安全進(jìn)行管理，確保管理規(guī)范化能夠執(zhí)行到位，實現(xiàn)更高的管理效能[9]。

3.2.1安全信息采集分析

將廠商、日志信息安全要素信息全部匯總起來，在此基礎(chǔ)上進(jìn)行安全和可行性分析，以及宏觀態(tài)勢分析[10]。這里面，風(fēng)險分析旨在了解資產(chǎn)、弱點(diǎn)、威脅等方面的情況；宏態(tài)勢分析涉及關(guān)鍵安全指標(biāo)、業(yè)務(wù)健康度分析、地址熵?zé)狳c(diǎn)分析等，能夠和其他的安全軟件連接。

（1）安全事件采集。從網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用等中采集安全資源、安全事件、安全漏洞、資產(chǎn)等方面的信息，然后予范式化處理，消除各種日志在表達(dá)方式上的差異。

（2）安全事件分析?；谥悄芑氖录P(guān)聯(lián)分析，采用以情境和行為為依據(jù)的關(guān)聯(lián)分析技術(shù)。管理對象的告警事件量在系統(tǒng)拓展圖中呈現(xiàn)出來；用戶對拓?fù)涔?jié)點(diǎn)進(jìn)行操作，就能夠瀏覽事件的詳細(xì)信息；對一定時間范圍內(nèi)的安全事件予以行為分析，直觀的呈現(xiàn)出大量安全事件彼此間的關(guān)聯(lián)，在宏觀層面上協(xié)助安全[11]。通過可視化的圖形反映安全事件，比如拓?fù)鋱D、IP定位圖、動態(tài)移動圖、事件分析圖、資產(chǎn)圖等。

3.2.2安全隱患預(yù)警與處置

應(yīng)用主動管理方式，在安全事件出現(xiàn)之前采取防范手段，實現(xiàn)安全威脅、漏洞掃描等管理功能，從而更好完成核查工作。安全威脅管理，用戶能夠在系統(tǒng)中發(fā)布預(yù)警信息，和資產(chǎn)關(guān)聯(lián)在一起，通過分析找到可能被影響的資產(chǎn)，將系統(tǒng)的安全隱患呈現(xiàn)在用戶眼前[12]。主動漏洞掃描管理，按照一定的周期執(zhí)行這一功能，建立掃描結(jié)果和資產(chǎn)之間的關(guān)聯(lián)。配合安全管理，主要起到協(xié)助作用，從而使工作人員更好的搭建基線管理體系，建立資產(chǎn)安全的標(biāo)準(zhǔn)，融入全網(wǎng)脆弱性和管控體系中去。

3.2.3告警管理

系統(tǒng)應(yīng)該具備告警管理功能，從而確保能夠收集到所有的告警事件。

（1）告警內(nèi)容。告警信息主要有事件的節(jié)點(diǎn)、類型等，從而使運(yùn)維人員能夠在第一時間掌握關(guān)于故障的資源、人員等方面的信息，盡快采取行動。

（2）告警處理。系統(tǒng)能夠為故障的處理提供技術(shù)上的支持，從主機(jī)以及其他的環(huán)節(jié)采集信息，經(jīng)過過濾后，傳送給工作人員，確保故障能夠在第一時間被知悉并得到處理?；趹?yīng)用類型、故障級別予以針對性的處理。

（3）告警發(fā)布。告警級別可以由用戶設(shè)定，告警通知方式有兩種，即短信和郵件。

3.2.4風(fēng)險管理

風(fēng)險管理指的是利用安全分析和處理功能，識別、評估風(fēng)險并予以針對性的處理。信息安全風(fēng)險評估，以安全信息的分析結(jié)果為依據(jù)對風(fēng)險進(jìn)行評估，通過圖形的方式展示評估的結(jié)果。信息安全整改，匯總所有的評估信息，傳送給相應(yīng)的部門，由后者處理風(fēng)險并完成整改分析工作。

4 結(jié)論

圍繞資產(chǎn)管理、項目管理、信息系統(tǒng)三大核心，對IT業(yè)務(wù)予以周期性的管理，搭建包含監(jiān)控、審計、風(fēng)險、管理四個維度的安全運(yùn)維管理平臺，為系統(tǒng)的關(guān)聯(lián)性、可用性、連續(xù)性分析提供精準(zhǔn)、可量化的工具，提高對安全事件的防范識別能力，為系統(tǒng)的可靠運(yùn)行提供有力的保障。

[1]李長征.電子政務(wù)運(yùn)維管理的關(guān)注因素田[J].信息化建設(shè)，2009（02）：1-2.

[2]李榮華.基于ITIL的IT運(yùn)維管理系統(tǒng)的設(shè)計與實現(xiàn)[D].北京：郵電大學(xué)，2010：13-15.

[3]曹漢平.現(xiàn)代IT服務(wù)管理[M].清華大學(xué)出版社，2005.

[4]張先哲.信息系統(tǒng)安全運(yùn)維管理平臺建設(shè)研究[J].軟件工程師，2015（05）.

[5]徐文君，沈建剛，季乙瑋.上海水務(wù)應(yīng)用系統(tǒng)規(guī)范化運(yùn)維管理的探討[J].上海水務(wù)，2010（04）.

[6]張宇航.電子政務(wù)項目建設(shè)與運(yùn)行管理研究[D].北京交通大學(xué)，2012.

[7]張瑞冉.IT服務(wù)管理在運(yùn)維管理中的研究與應(yīng)用[D].首都經(jīng)濟(jì)貿(mào)易大學(xué)，2012.

[8]彭珺，高珺.計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計算機(jī)與數(shù)字工程，2011（01）.

[9]肖茜.網(wǎng)絡(luò)信息安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（04）.

[10]衷奇.計算機(jī)網(wǎng)絡(luò)信息安全及應(yīng)對策略研究[D].南昌大學(xué)，2010.

[11]楊旭.計算機(jī)網(wǎng)絡(luò)信息安全技術(shù)研究[D].南京理工大學(xué)，2008.

[12]GB 17859-1999.計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則[S].1999.