企業(yè)信息系統(tǒng)安全管理中心建設(shè)實(shí)踐

1 引言

隨著企事業(yè)單位信息化工作的深入開(kāi)展，各行各業(yè)對(duì)信息依賴(lài)的程度越來(lái)越高，如何保障信息系統(tǒng)的安全已成為其信息系統(tǒng)建設(shè)過(guò)程中最重要的任務(wù)。企事業(yè)單位信息系統(tǒng)經(jīng)過(guò)多年的建設(shè)已經(jīng)具備相當(dāng)?shù)囊?guī)模，但通常情況下會(huì)著重于基礎(chǔ)設(shè)施建設(shè)和應(yīng)用系統(tǒng)系統(tǒng)功能的實(shí)現(xiàn)，并沒(méi)有實(shí)現(xiàn)信息系統(tǒng)的安全建設(shè)的同步規(guī)劃、同步建設(shè)與同步運(yùn)維，更多是采用傳統(tǒng)的安全設(shè)備（如防火墻、入侵檢測(cè)、防病毒等）完成網(wǎng)絡(luò)層的安全防護(hù)工作。這種情況就導(dǎo)致了信息系統(tǒng)缺乏安全的系統(tǒng)化設(shè)計(jì)，信息安全系統(tǒng)會(huì)由不同廠家、不同時(shí)期的產(chǎn)品拼湊起來(lái)，僅僅能抵御來(lái)自某些方面的安全威脅，而各個(gè)子系統(tǒng)“各自為戰(zhàn)”彼此成防御孤島，無(wú)法實(shí)現(xiàn)協(xié)同防御也無(wú)法保持安全策略的一致性。

安全運(yùn)維時(shí)，安全服務(wù)提供商往往是按產(chǎn)品提供監(jiān)測(cè)與事件分析服務(wù)，安全事件發(fā)生時(shí)無(wú)法及時(shí)準(zhǔn)確驗(yàn)證安全事件的可信度與評(píng)估安全風(fēng)險(xiǎn)影響范圍和威脅等級(jí)。比較突出的情況是每日大量的入侵檢測(cè)高等級(jí)安全事件，誤報(bào)率可能達(dá)到70%以上，這是因?yàn)榇罅康淖詣?dòng)化的掃描軟件會(huì)觸發(fā)高等級(jí)安全事件告警，信息安全管理人員沒(méi)有自動(dòng)化的處理分析系統(tǒng)將安全事件的觸發(fā)條件與信息系統(tǒng)真實(shí)的運(yùn)行環(huán)境進(jìn)行比對(duì)，排除誤報(bào)。

長(zhǎng)久以往，管理員就被淹沒(méi)在大量無(wú)用的告警數(shù)據(jù)中了，真正的成功入侵行為就被忽略了。因此，以安全事件驅(qū)動(dòng)的，以解決實(shí)際安全問(wèn)題為目標(biāo)的安全管理中心建設(shè)就顯得尤為重要了，同時(shí)我們要充分意識(shí)到安全管理中心建設(shè)是一個(gè)持續(xù)改進(jìn)的建設(shè)過(guò)程，不可能一蹴而就，因此需要企業(yè)運(yùn)維管理人員不斷的參與實(shí)踐，提升運(yùn)維保障能力。

2 安全管理中心建設(shè)的最終目標(biāo)是建立安全運(yùn)營(yíng)中心

很多企事業(yè)單位都采購(gòu)了SOC（Security Operations Center）這樣的產(chǎn)品，卻沒(méi)有取得應(yīng)有的效果。大家共同的感覺(jué)是SOC是以一種產(chǎn)品形式引入的，受制于國(guó)內(nèi)政策、日志標(biāo)準(zhǔn)、傳統(tǒng)認(rèn)識(shí)的制約，缺少了MSS管理安全服務(wù)或稱(chēng)之為外部的專(zhuān)業(yè)安全服務(wù)供應(yīng)商（Managed Security Service）輔助支撐，自身運(yùn)維人員在安全運(yùn)維技術(shù)能力、經(jīng)驗(yàn)方面的不足，導(dǎo)致了安全管理中心產(chǎn)品不能很好發(fā)揮作用。

因此，我們要充分意識(shí)到安全管理中心建設(shè)必經(jīng)的幾個(gè)階段：首先是安全信息和事件管理（SIEM），能夠?qū)θ罩具M(jìn)行收集、安全存儲(chǔ)、分析、警報(bào)、審核以及合規(guī)報(bào)告；其次是安全運(yùn)營(yíng)中心（SOC）以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件及風(fēng)險(xiǎn)分析、預(yù)警處理、應(yīng)急響應(yīng)的集中安全管理系統(tǒng)；下一個(gè)階段就是SOC和大數(shù)據(jù)分析平臺(tái)結(jié)合，提升數(shù)據(jù)分析處理的能力。

安全管理中心建設(shè)是一項(xiàng)安全管理建設(shè)的系統(tǒng)工程，要充分考慮企業(yè)現(xiàn)有的IT建設(shè)水平，遵循PDCA持續(xù)改進(jìn)的管理模式，設(shè)計(jì)出符合企業(yè)業(yè)務(wù)實(shí)現(xiàn)的安全管理體系架構(gòu)，應(yīng)至少包括資源平臺(tái)、基礎(chǔ)管理中心、監(jiān)控運(yùn)維中心、應(yīng)用展現(xiàn)平臺(tái)、支撐系統(tǒng)五個(gè)層面的內(nèi)容。如圖1所示。

3 安全管理中心建設(shè)以事件驅(qū)動(dòng)，以解決實(shí)際安全問(wèn)題為導(dǎo)向

我們面臨的挑戰(zhàn)有幾個(gè)方面：

（1）企業(yè)安全架構(gòu)的短板；

（2）信息系統(tǒng)管理人員、安全管理人員的錯(cuò)誤配置；

（3）信息系統(tǒng)逐步向互聯(lián)網(wǎng)化，使信息系統(tǒng)安全防護(hù)邊界模糊，被攻擊面加大；

（4）攻擊的手段發(fā)生了重大變化，流量型攻擊嚴(yán)重影響了信息系統(tǒng)的業(yè)務(wù)連續(xù)性；

（5）每天出現(xiàn)巨大數(shù)量的安全報(bào)警，管理員很難對(duì)這些報(bào)警做出響應(yīng)，誤報(bào)嚴(yán)重，管理員無(wú)法準(zhǔn)確判斷故障，大量重復(fù)、零散而沒(méi)有規(guī)律的報(bào)警。

企業(yè)安全架構(gòu)的設(shè)計(jì)，就是在明確企業(yè)業(yè)務(wù)戰(zhàn)略的基礎(chǔ)上，梳理信息系統(tǒng)的面向的用戶(hù)群體（如最終用戶(hù)、生產(chǎn)用戶(hù)、管理用戶(hù)），梳理信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)流程，以風(fēng)險(xiǎn)評(píng)估為手段，明確企業(yè)信息安全需求。遵循國(guó)家法律、法規(guī)要求，結(jié)合企業(yè)文化、運(yùn)維現(xiàn)狀，形成適應(yīng)企業(yè)信息化建設(shè)的安全防護(hù)框架。“兩個(gè)體系、三重防護(hù)、一個(gè)中心”就是很多企事業(yè)單位認(rèn)可的安全架構(gòu)設(shè)計(jì)的核心思想。兩個(gè)體系就是安全管理體系和安全技術(shù)體系；三重防護(hù)針對(duì)的就是計(jì)算環(huán)境、邊界防護(hù)、網(wǎng)絡(luò)通信；一個(gè)中心即安全管理中心。這里可以看出安全管理中心建設(shè)的重要地位，也是PDCA循環(huán)中檢查和處理的環(huán)節(jié)，是持續(xù)改進(jìn)的重要保障手段。

目前，市場(chǎng)上銷(xiāo)售的安全管理中心產(chǎn)品功能不斷豐富，但視角局限在了安全設(shè)備上，偏離了安全基礎(chǔ)設(shè)施是為了落實(shí)企業(yè)業(yè)務(wù)戰(zhàn)略的重要手段這一初衷，應(yīng)面向業(yè)務(wù)信息系統(tǒng)服務(wù)全流程涉及的網(wǎng)絡(luò)交換設(shè)備、安全設(shè)備、服務(wù)器、應(yīng)用軟件、數(shù)據(jù)庫(kù)等，因此應(yīng)該以業(yè)務(wù)主線進(jìn)行監(jiān)控、收集事件、歸并分析、告警與展示。面對(duì)新的攻擊手段、安全威脅，引入新的功能模塊或共享日志信息。面對(duì)大規(guī)模拒絕服務(wù)攻擊，我們需要數(shù)據(jù)流量分析系統(tǒng)，快速定位被攻擊主機(jī)，識(shí)別攻擊方法；面對(duì)系統(tǒng)應(yīng)用的配置錯(cuò)誤，需要引入安全基線核查、配置變更管理；面對(duì)注入和跨站這樣的應(yīng)用層攻擊，要引入網(wǎng)絡(luò)安全審計(jì)作為應(yīng)用層防火墻的有力補(bǔ)充；面對(duì)不斷攀升的安全事件日志量，嘗試使用分布式搜索引擎，解決安全大數(shù)據(jù)的處理能力。

4 安全管理中心建設(shè)實(shí)踐中落實(shí)的幾個(gè)要素

4.1 安全事件核心是SIEM建設(shè)，實(shí)現(xiàn)事件的集中收集與關(guān)聯(lián)分

這里的事件不應(yīng)僅限于傳統(tǒng)意義上的安全事件，應(yīng)以信息系統(tǒng)全流程過(guò)程中涉及的各個(gè)環(huán)節(jié)的事件。主要是基于目前影響信息系統(tǒng)業(yè)務(wù)連續(xù)性與數(shù)據(jù)安全的安全事件，因此信息系統(tǒng)涉及的網(wǎng)絡(luò)數(shù)據(jù)流量、交換設(shè)備、安全設(shè)備的運(yùn)行狀態(tài)、應(yīng)用服務(wù)器的訪問(wèn)日志、應(yīng)用服務(wù)器的系統(tǒng)日志都應(yīng)納入收集的范圍。網(wǎng)絡(luò)流量可視化與異常流量的發(fā)現(xiàn)也應(yīng)納入安全管理中心的建設(shè)視野，如果沒(méi)有專(zhuān)用的流量分析系統(tǒng)，我們也可以實(shí)時(shí)監(jiān)控各安全域出口的交換設(shè)備或防火墻設(shè)備，繪制流量曲線，在較短時(shí)間內(nèi)監(jiān)測(cè)和定位到發(fā)生流量攻擊的安全域。

4.2 安全管理中心的成敗的一個(gè)關(guān)鍵要素是IT資產(chǎn)的高效管理

我們?cè)诎踩ㄔO(shè)時(shí)是通過(guò)風(fēng)險(xiǎn)評(píng)估的方法，識(shí)別信息系統(tǒng)的關(guān)鍵資產(chǎn)，通過(guò)風(fēng)險(xiǎn)賦值的方法進(jìn)行綜合評(píng)價(jià)，來(lái)確認(rèn)我們的安全建設(shè)需求，明確安全建設(shè)實(shí)施方案。根據(jù)安全的木桶原理，安全事件往往發(fā)生在信息系統(tǒng)最薄弱的地方。在安全事件應(yīng)急響應(yīng)時(shí)消耗最多的時(shí)間的是定位物理地址、確認(rèn)使用責(zé)任人、確認(rèn)系統(tǒng)環(huán)境、應(yīng)用環(huán)境。因此，理清IT資產(chǎn)，主動(dòng)發(fā)現(xiàn)（主動(dòng)發(fā)現(xiàn)IP資源的變化、發(fā)現(xiàn)業(yè)務(wù)服務(wù)的變化），人工確認(rèn)修改輔助。在具體實(shí)現(xiàn)上以IP地址為資源索引，對(duì)應(yīng)服務(wù)主機(jī)。將IP地址資源按照業(yè)務(wù)生產(chǎn)大區(qū)（互聯(lián)網(wǎng)接入?yún)^(qū)、企業(yè)業(yè)務(wù)生產(chǎn)區(qū)）、安全域（信息發(fā)布域、業(yè)務(wù)生產(chǎn)域、數(shù)據(jù)域）、信息系統(tǒng)（三級(jí)信息系統(tǒng)、二級(jí)信息系統(tǒng)）進(jìn)行管理和責(zé)任落實(shí)到管理責(zé)任人。通過(guò)漏洞掃描系統(tǒng)定期檢測(cè)確認(rèn)IP地址資源使用的操作系統(tǒng)、應(yīng)用服務(wù)軟件、開(kāi)放的服務(wù)端口，并形成基于時(shí)間線的資源使用情況的對(duì)比分析。

4.3 安全管理中心建設(shè)的難點(diǎn)是如何實(shí)現(xiàn)安全事件的分級(jí)分類(lèi)管理

安全事件分級(jí)分類(lèi)管理的難點(diǎn)在于國(guó)內(nèi)安全產(chǎn)品供應(yīng)商沒(méi)有統(tǒng)一的安全事件日志生成規(guī)范，沒(méi)有統(tǒng)一的安全事件處理的規(guī)范接口。各廠商生成日志隨意性強(qiáng)，日志內(nèi)容數(shù)據(jù)詳盡程度不一，這就導(dǎo)致了異構(gòu)安全產(chǎn)品構(gòu)成的安全防護(hù)系統(tǒng)，無(wú)法將安全事件統(tǒng)一歸類(lèi)和分析處理。為了保護(hù)企業(yè)安全投資發(fā)揮最大的效益和安全運(yùn)維體系的延續(xù)性，我們通過(guò)建立企業(yè)規(guī)范的日志數(shù)據(jù)收集處理接口，形成企業(yè)內(nèi)部標(biāo)準(zhǔn)，從而保證了數(shù)據(jù)的可用性。首先，我們通過(guò)收集各安全產(chǎn)品供貨方日志格式、分類(lèi)方法，通過(guò)整理歸并，形成了自有的分類(lèi)方法。從業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全兩個(gè)角度，形成了信息系統(tǒng)類(lèi)安全事件和信息數(shù)據(jù)類(lèi)安全事件。信息系統(tǒng)類(lèi)安全事件又從信息系統(tǒng)支撐環(huán)境（機(jī)房、電力環(huán)境、設(shè)備服務(wù)）和網(wǎng)絡(luò)系統(tǒng)攻擊（信息刺探、惡意代碼攻擊、攻擊入侵）兩個(gè)角度進(jìn)行了二級(jí)分類(lèi)；信息數(shù)據(jù)類(lèi)安全事件進(jìn)一步細(xì)分為信息危害類(lèi)與信息泄露類(lèi)，形成了企業(yè)信息安全事件的分類(lèi)標(biāo)準(zhǔn)，我們就要將工作的重點(diǎn)放在安全管理中心對(duì)于收集的事件日志的范式化上，確保過(guò)程簡(jiǎn)單、可操作性強(qiáng)、分類(lèi)準(zhǔn)確，為下一步過(guò)濾、歸并、關(guān)聯(lián)分析、審計(jì)、實(shí)時(shí)告警提供基礎(chǔ)保障。網(wǎng)絡(luò)安全事件分類(lèi)如圖2所示。

4.4 信息系統(tǒng)合規(guī)性檢查，安全基線核查與信息系統(tǒng)關(guān)鍵設(shè)備的配置變更管理，是業(yè)務(wù)系統(tǒng)正式上線運(yùn)行必要保障

近年來(lái)，安全事件多來(lái)自于應(yīng)用系統(tǒng)的安全問(wèn)題，如系統(tǒng)弱口令、系統(tǒng)部署結(jié)構(gòu)不合理，業(yè)務(wù)流程涉及風(fēng)險(xiǎn)，業(yè)務(wù)代碼層面出現(xiàn)的注入與跨站漏洞問(wèn)題，系統(tǒng)配置不當(dāng)、測(cè)試業(yè)務(wù)與生產(chǎn)業(yè)務(wù)不區(qū)分、系統(tǒng)和應(yīng)用的漏洞未得到及時(shí)修復(fù)等。在各單位業(yè)務(wù)正式上線前都會(huì)進(jìn)行系統(tǒng)測(cè)試，但更多情況下是系統(tǒng)功能測(cè)試和壓力測(cè)試。應(yīng)用安全方面更多的是提出源代碼審計(jì)、安全滲透測(cè)試和應(yīng)用服務(wù)器的安全加固，但因?yàn)榻?jīng)費(fèi)和測(cè)試周期的限制，很難通過(guò)一次的代碼審計(jì)和滲透測(cè)試解決持續(xù)改進(jìn)的問(wèn)題。因此，還是通過(guò)系統(tǒng)的安全管理員安全意識(shí)、安全技能的提升，輔助以合適的工具和方法動(dòng)態(tài)的掌握系統(tǒng)的安全狀態(tài)。

在實(shí)踐過(guò)程中，我們不斷收集、修訂、發(fā)布本單位經(jīng)常使用的操作系統(tǒng)、中間件、應(yīng)用服務(wù)軟件和數(shù)據(jù)庫(kù)軟件基線要求，通過(guò)工具軟件提取系統(tǒng)運(yùn)行狀態(tài)與安全基線進(jìn)行比對(duì)，給出系統(tǒng)安全加固的指導(dǎo)參考。定期提取關(guān)鍵的網(wǎng)絡(luò)交換設(shè)備和邊界防護(hù)設(shè)備的運(yùn)行狀態(tài)文件，審計(jì)安全策略配置合理性，發(fā)現(xiàn)安全策略的變更是否與業(yè)務(wù)服務(wù)變更相一致。如圖3所示。

4.5 信息系統(tǒng)的安全審計(jì)是安全防護(hù)措施有效性最好的檢驗(yàn)手段

安全審計(jì)是檢驗(yàn)安全防護(hù)體系是否有效的重要手段，也是安全防護(hù)持續(xù)改進(jìn)的重要手段。我們?cè)诎踩ㄔO(shè)中，會(huì)選用網(wǎng)絡(luò)審計(jì)和數(shù)據(jù)庫(kù)審計(jì)設(shè)備這樣專(zhuān)用的審計(jì)設(shè)備，通過(guò)專(zhuān)用設(shè)備我們可以審計(jì)HTTP、FTP等協(xié)議，發(fā)現(xiàn)注入與跨站攻擊，發(fā)現(xiàn)高等級(jí)操作行為。同時(shí)，在實(shí)踐中通過(guò)入侵檢測(cè)系統(tǒng)的協(xié)議分析，我們可以審計(jì)出郵件系統(tǒng)的弱口令、FTP弱口令；通過(guò)協(xié)議分析，發(fā)現(xiàn)RDP、Telnet、1433等高危服務(wù)端口，判斷驗(yàn)證邊界安全設(shè)施安全防護(hù)策略是否有效部署。

5 安全管理中心建設(shè)發(fā)展方向

有效結(jié)合外部安全情報(bào)分析，利用大數(shù)據(jù)分析手段，實(shí)現(xiàn)安全問(wèn)題快速定位與分析。大數(shù)據(jù)安全分析是安全信息和事件管理及相關(guān)技術(shù)的延伸。雖然只是在分析的數(shù)據(jù)量和數(shù)據(jù)類(lèi)型方面存在量的差異，但對(duì)從安全設(shè)備和應(yīng)用程序提取到的信息類(lèi)型來(lái)說(shuō)，卻導(dǎo)致了質(zhì)的差異。因此基于數(shù)據(jù)分析和威脅情報(bào)來(lái)發(fā)現(xiàn)潛在的未能被阻止的攻擊和威脅將對(duì)于傳統(tǒng)的安全防護(hù)體系提供有效的補(bǔ)充。

6 結(jié)束語(yǔ)

總之，安全管理中心建設(shè)是一個(gè)持續(xù)改進(jìn)的過(guò)程，要根據(jù)企業(yè)所處的IT運(yùn)維階段，找到亟待解決的問(wèn)題，尋找建設(shè)的突破口與核心要素，加大安全服務(wù)能力建設(shè)，提升安全事件發(fā)現(xiàn)和處理水平。

參考文獻(xiàn)

[1] GB.Z20986-2007 信息安全技術(shù)信息事件分類(lèi)分級(jí)指南。

作者簡(jiǎn)介：

肖國(guó)煜（1973-），男，漢族，北京人，本科，新華通訊社技術(shù)局，副處長(zhǎng)，高級(jí)工程師；主要研究方向和關(guān)注領(lǐng)域：企業(yè)信息安全架構(gòu)設(shè)計(jì)、安全建設(shè)與安全運(yùn)維。