信息系統安全運維管理平臺建設研究

摘 要：為提高信息化運維水平，建設一套安全運維管理平臺勢在必行。通過對IT基礎設施與應用系統的集中監控，對安全事件、問題、變更、配置等運維服務進行集中處理，全面提升信息安全保障能力，提高信息安全管理水平，為運維工作提供有效技術支撐。

關鍵詞：安全運維；技術支撐；信息安全

中圖分類號：TP3 文獻標識碼：A

1 引言（Introduction）

為進一步規范信息安全管理，提高信息安全管理水平，建設一套集“監、管、控”功能為一體的安全運維管理平臺勢在必行[1，2]，通過對IT基礎設施與應用系統的集中監控，實時反映IT資源的運行狀況，對事件、問題、變更、配置等運維服務進行集中處理，最終實現信息資產可知、運行狀態可視、服務流程可管、運維操作可控，全面提升信息安全保障能力，有效支撐業務系統的穩定運行，為運維工作提供有效技術支撐。

2 IT運維中存在的問題（Problems in the operation

management）

隨著IT業務和規模不斷在擴展，給信息中心人員的管理帶來了一定程度上的難度，主要體現在以下幾個方面：

一是隨著網絡環境的日趨復雜，傳統的“來電響應式”的IT運維管理模式無法及時發現潛在的網絡異常及隱患，如何實現網絡的事前管理和透明化監控是保障應用系統穩定運行、核心業務正常運轉的關鍵。

二是業務系統的數量不斷增多，往往是業務部門向信息中心反映系統出現問題后，運維人員才發現系統出現了故障，具有滯后性。同時無法從業務角度來審視系統的健康度，導致故障無法快速定位業務故障點，也無法通過資源的故障判斷它所影響到的業務系統等。

三是缺少有效技術手段，對網絡邊界完整性進行監控與管理，不能及時發現私自內聯與非法外聯等高風險行為。對業務訪問、后臺運維等操作行為缺少必要的監控與審計管理技術手段。

3 建設內容（The content of the construction）

信息系統安全運維管理平臺應該包括以下內容：

3.1 綜合監控管理子系統

綜合監控管理子系統實現對IT基礎層的路由交換設備、安全設備、服務器、數據庫、中間件、服務等以及資源關聯的應用進程、端口、日志等的全面監管，幫助管理人員及時了解IT架構（各類IT資源）的運行情況，形成安全事件關聯分析，支持策略管理，能自動或手工設定啟動相關事件處理流程。

3.2 安全運維服務管理子系統

運維服務管理子系統是安全管理、日常工作和服務管理的有機結合。運維服務管理子系統應基于ITIL（運維管理最佳實踐等）和實際管理需求，提供服務流程管理、業務資源管理、安全管理為主的綜合性管理，以保障運維管理的規范化和標準化，提升日常運維管理效能。

3.2.1 安全信息采集與分析

采集各種廠商、各種類型的日志信息，針對采集的各類安全要素信息，實現性能與可用性分析、配置符合性分析、安全事件分析、脆弱性分析、風險分析和宏觀態勢分析。其中，風險分析包括了資產價值分析、影響性分析、弱點分析、威脅分析等；宏觀態勢分析包括了地址熵分析、熱點分析、關鍵安全指標分析、業務健康度分析、關鍵管理指標分析?？杉傻谌桨踩芾碇行能浖?。

（1）安全事件采集

根據前期從各種網絡設備、服務器、存儲、應用等對象收集的各種安全資源、對象的安全事件、安全配置、安全漏洞、資產信息等數據，進行范式化處理，把各種不同表達方式的日志轉換成的統一的描述形式。

（2）安全事件分析

透過智能化的安全事件關聯分析，提供基于規則的關聯分析、基于情境的關聯分析和基于行為的關聯分析技術。

管理對象的日志量和告警事件量應在應用系統拓撲圖顯示；用戶點擊拓撲節點可以查詢事件和告警信息詳情；可以對一段時間內的安全事件進行行為分析，形象化地展示海量安全事件之間的關聯關系，從宏觀的角度來協助定位安全問題。

安全事件以可視化視圖展示，具備多種展現手段，至少包括事件拓撲圖、IP全球定位圖、動態事件移動圖、事件多維分析圖、資產拓撲圖等。

3.2.2 安全隱患預警與處置

采用主動管理方式，能夠在威脅發生之前進行事前安全管理。主要提供安全威脅預警管理、主動漏洞掃描管理、主動攻擊測試等方式配合進行安全核查。

安全威脅預警管理，用戶可以通過預警管理功能發布內部及外部的早期預警信息，并與資產進行關聯，分析出可能受影響的資產，提前讓用戶了解業務系統可能遭受的攻擊和潛在的安全隱患。

主動漏洞掃描管理，能夠主動地、定期自動化地發起漏洞掃描、攻擊測試等，并將掃描結果與資產進行匹配，進行資產和業務的脆弱性管理。

配合安全檢查管理，夠協助運維管理人員建立安全配置基線管理體系，實現資產安全配置檢查工作的標準化、自動化，并將其納入全網業務脆弱性和風險管控體系。

3.2.3 告警管理

為了全面的收集各類事件告警，系統應提供所有事件告警的統一管理。

（1）告警內容

告警內容包含事件的節點、類型、級別、位置、相關業務等，幫助運維人員在收到故障報警時能夠迅速了解故障相關的資源、人員、業務等信息，快速作出反應。

（2）告警處理

系統需要針對各業務系統涉及IT資源環境進行實時故障處理。它能從主機和業務系統的各個環節收集事件信息，通過對這些信息的過濾、處理、關聯，分遞給相關人員，使得最重要的故障能夠優先地被關注及處理。

告警消息能按照應用類別、消息種類、消息級別和處理崗位進行分類處理。消息種類可分為：操作系統、數據庫、中間件、存儲、硬件、應用、安全和網絡等。

（3）告警發布

能對告警級別進行自定義，根據級別確定電話告警，短信告警，郵件告警的方式進行報警。

3.2.4 風險管理

信息安全風險管理工作是在安全信息分析與處理功能的基礎上進行信息安全風險評估、信息安全整改任務等工作。

信息安全風險評估，根據安全信息分析結果開展風險評估流程，將風險評估結果形成豐富而詳細的圖形及報表。

信息安全整改，將信息安全風險評估信息匯總，歸并各個部門需處置的信息安全風險，進行集中處置工作并進行整改落實情況分析。

4 結論（Conclusion）

建立以資產管理為基礎，項目管理為紐帶，以信息系統為核心，建立對IT業務的全生命周期的完整管理，從狀態監控、行為審計、風險評估、服務管理四個維度建立起來的一套適合安全運維工作需求的統一業務支撐平臺，使得各類用戶能夠對系統的關聯性、健康性、可用性、風險性、連續性、安全性等多維度進行精確度量、分析評估，實現事后運維向事中運維以至向事前防范的轉變，最終實現信息系統的持續安全運營。

參考文獻（References）

[1] 景義瓊.基于ITIL的網絡運維管理系統的設計與實現[D].復

旦大學，2010：15-18.

[2] 李榮華.基于ITIL的IT運維管理系統的設計與實現[D].北京

郵電大學，2010：13-15.

[3] 李長征.電子政務運維管理的關注因素[J].信息化建設，2009

（02）：1-2.

作者簡介：

張先哲（1982-），女，碩士，講師.研究領域：計算機網絡安全.