“動態化”打造新時代下的綜合安全管理

王 新，黃紫翎，楊 露

（長江三峽通航管理局，湖北 宜昌 443000）

引言

隨著信息化的快速發展，網絡建設不斷推進，IT資源數量與種類也不斷增加，由終端、服務器、交換機搭建的小型網絡逐漸擴展，增加了無線、安全產品、云平臺和工控產品等，網絡主機、網絡設備及安全設備的數量與日俱增，分布地域也越來越廣。網管運維人員面對數量眾多的IT資源與設備，耗費了巨大的精力，但成效有限。在運維與運營過程中主要存在以下問題：

1）缺乏必要的基礎設施支撐，沒有專門針對安全的運維體系，很多涉及安全的運維被分散到不同的部門實現，協同效率低下。

2）未形成全局性網絡安全事件處理能力，無跟蹤機制，直至時間閉環。

3）缺乏有效的技術手段對各類資源運行情況、告警情況和安全事件情況等進行綜合全面的統計分析。

4）沒有自動化操作能力，目前安全運維工作還處于人工維護階段，工作效率相對較低，人工負擔重。

1 綜合安全管理平臺概況

傳統的安全管理平臺更多集中在設備側的運維與管理上，通過傳統安全管理平臺可以實現對添加入平臺的資源（主機、服務器、安全設備和網絡設備等）進行集中管理，實現集中巡檢、策略下發以及版本升級等維護工作，實現相關日志（系統日志、安全日志和業務日志等）的采集與存儲，實現網絡拓撲的維護與管理，實現部分資產的臺賬管理工作。然而，隨著業務與網絡安全的深度耦合，網絡安全的運營不再是單純的設備維護工作，需要海量的專業分析支撐、業務部門的深度參與、業務流程緊密配合，才能實現事件的高效閉環處理，這些要求已遠遠超出傳統安全管理平臺的能力范疇。綜合安全管理應運而生，通過平臺支撐，可降低運維成本，提升運維效率。

綜合安全管理平臺以“管理”為核心理念，經過多年不斷的技術沉淀與經驗積累，在傳統安全管理平臺的基礎上，再一次從業務的角度詮釋了“動態化”綜合安全管理平臺的形成，將綜合安全管理平臺打造為管理者應用的工具，技術協作的平臺，最終形成“體系化的管理框架，引擎化的管理中心，智能化的關聯分析，自動化的運營處理，多部門的閉環管理”。如圖1所示。

圖1 綜合安全管理平臺

2 體系化的管理框架

體系化管理框架的建設主要體現在以下幾個角度。

1）技術角度。綜合安全管理平臺已成為一體化安全管理運行的技術集成平臺，完美地容納了眾多安全管理引擎，實現了動態化監控。

2）管理角度。綜合安全管理平臺采用統一安全策略的集中編輯與分發，對各類風險進行整體管理，尤其是對眾多設備的統一配置管理，實現了對各類安全設備的安全規則進行統一配置分發，極大地降低了維護人員的工作量，為使用人員提供了全方位的安全防護。

3）業務角度。綜合安全管理平臺不僅針對設備層進行安全管理，還覆蓋了不同行業業務層的安全。通過整合業務，對用戶整體業務系統進行建模，仿真業務運作流程，在綜合安全管理過程中，保證用戶業務的可用性與可靠性，保障用戶操作應用的簡便性以及可視化界面的友好型。

4）運維角度。引入了自動巡檢的功能，通過配置巡檢任務，周期性進行設備巡檢，記錄巡檢結果，并生成巡檢報告。當業務出現異常時，系統將提示告警并通過郵件、短信的方式通知管理員。管理員只需登錄管理中心，便可按需查看目前安全現狀，輕松獲取安全檢查報告。

3 引擎化的管理中心

綜合安全管理平臺提供更融合接口，將終端安全、云端安全、應用安全和數據安全等各安全管理維度中的管理技術做為綜合安全管理平臺的一部分，如流量分析引擎、身份管理引擎、終端管理引擎、業務審計引擎以及其他安全管理引擎。如圖2所示。

圖2 安全管理引擎

1）引擎可按需即用。引擎管理中心在綜合安全管理平臺之上可進行靈活應用拆卸，既可以獨立運行，也可以完整使用。

2）引擎自有性。各安全對象通常是不同廠家的異構型設備系統，但是綜合安全管理平臺中的安全引擎往往在被管理安全對象層中，由該企業自己提供。因此，引擎自有性是最重要的一個應用，綜合安全管理平臺擁有自有引擎才能讓安全管理引擎信息數據更易接入、功能更易整合。

3）引擎差異性。引擎管理中心各引擎發揮著不同的作用。流量分析引擎發揮著對網絡流量檢測、過濾、控制和分析的作用。身份管理引擎發揮著對身份識別、認證授權、實名信息管理的作用。安全引擎的差異性能讓大安管平臺信息數據更豐富、安全管理技術手段更全面。

4 智能化的關聯分析

綜合安全管理平臺通過各引擎中心，采集全網的安全事件、網絡流量等數據，集中進行關聯分析，配置安全基線，統計風險狀況。有效地預測網絡的安全態勢，從全局角度了解網絡的運行態勢，預測未來的安全趨勢，迅速發現網絡的異常行為。提高對高危風險精準識別的能力，加強對高危事件的分析能力，通過各種安全引擎，帶來豐富信息數據的同時，引入了NoSQL、并行計算等大數據分析技術，分析的信息數據容量更易擴展且速度更快。如圖3所示。

圖3 智能化關聯分析

5 自動化的運營處理

自動化運營處理技術，是將分散的工具、人員和流程有機地整合到一起，整合安全運營所需的各種資源，實現人與工具、工具與工具的連接與協作。借助劇本、應用、動作等編排元素，系統能夠將終端、主機、網絡設備、安全設備、安全系統、協作軟件以及云端應用等各類資源整合到一起，能夠協助運營人員實現基于編排的自動化和半自動化的告警分診與調查、案例追蹤與調查、安全事件響應與威脅阻斷以及其它日常安全運營工作。借助系統的編排與自動化功能，可以將安全操作流程或其片段轉變成編排化的安全劇本，并盡可能自動化地執行，從而大幅降低安全運營人員尤其是一線安全運營人員的工作負擔，減輕他們的工作壓力，提升工作效率，在現有人員條件下執行更多的任務。

安全運營人員可以將針對不同威脅的響應行動方案以預案的形式寫成安全劇本，納入劇本庫統一管理。在威脅觸發后，在有人參與或者無人參與的情況下，自動地執行相關預案，譬如執行防火墻阻斷操作、執行賬號禁用操作以及終止某個進程等，大大縮短手動執行預案所耗費的時間。事后還能對處置過程進行復盤，對預案進行改進，積累相關經驗。

自動化運營處理模塊具備很強的可塑性和可擴展性，安全運營人員能夠根據實戰情況動態調整和組合流程、劇本。系統能夠自動記錄所有對抗過程的操作記錄，用于事后總結歸納，持續優化。

借助自動化運營處理技術，可以幫助安全運營從繁重的低端重復性勞動中解脫出來，通過編排與自動化技術手段，提升人工運營水平和績效，將安全運營人員的工作中心轉移到高端創造性工作中去，提升安全運營人員的技能水平。同時，還能將有經驗的安全運營人員的知識進行固化、沉淀、分享，并不斷優化。借助該技術，最終可以實現安全運營效果的自動化、數字化度量，讓管理員更客觀、快速地掌握安全運營團隊的績效以及安全運營的實際效果。

6 多部門的閉環管理

事件的處置與響應是一個復雜的流程，需要跨部門、多人協同配合。多部門協同閉環管理模塊支持安全運營人員通過工單功能，將單個或多個告警、漏洞、弱口令及配置弱點通過一個工單任務統一跟蹤，并將涉及多人的判斷或結論統一記錄到工單任務中，從而使威脅處置過程有據可循。通過工單模塊，可以對每一個威脅處置過程及時有效地跟蹤和記錄，增強內部人員處置聯動的協作能力，提升處置效率。

7 結語

某企業的信息安全業務不斷擴展，是國內信息安全產業的先行者，有能力創造更好地信息安全防護，通過綜合安全管理平臺支撐，為自身都提供全方位、動態化、立體式的安全防護，為信息化安全建設保駕護航。