行業信息系統安全運營管理中心建設研究

摘要:隨著行業信息化程度的日益發展與提高，越來越多的企業已經認識到信息安全建設的重要性。同時，隨著企業信息安全建設的不斷加強，如何做好整個信息系統的安全管理工作便日益顯得重要。文章從安全管理運營中心的建設入手，詳細闡述了安全管理運營中心與安全管理制度、安全運維，及全局安全事件的關聯關系。

關鍵詞:安全管理運營中心;安全運維;安全事件;關聯分析

中圖分類號:TN915文獻標識碼:A文章編號:1009-3044(2009)32-8913-02

The Research of Industry Information System Security Manager Operation Center

WANG Qin， MA Hong-en

(Luoee Vocational College of Food， Luohe 462300， China)

Abstract: With the increasing development and improvement of information technology industry， more and more enterprises have recognized the importance of the construction of information security. Meanwhile， with the construction of enterprise information security strengthened， how to make the entire information system security management is becoming increasingly more important. Starting with the construction of the security management operation center， this article described with detail the relationships among the security management operations center， the security management system， the security operation maintenance and the overall association of security events..

Key words: security manager operation center;security operation; security events; relation analysis

隨著各行業信息化建設的全面推進，傳統的管理機制在改革與創新中逐漸消亡，人們在處理信息和日常辦公中越來越依賴計算機和網絡，機密與財富越來越集中在計算機系統和網絡中。因此，行業各應用系統和計算機網絡的安全可靠運行，面臨著十分嚴峻的挑戰，網絡與信息安全已成為各行業信息化建設非常重要的問題。

而要加強安全管理建設，就必須要切實做好信息系統的安全規劃設計，強化安全管理策略，采用成熟的信息系統安全技術和控制方法，逐步實現網絡管理的可視、可控、可管，通過建立安全管理運營中心使得所有網絡上運行的應用系統與網絡設備、安全設備、服務器實現統一、智能化的實時監控，實現應用系統與網絡設備、安全設備、服務器系統故障的預警和自動報警，實現網絡資源的合理分配，及運行維護的制度化、流程化、自動化。

1 論述

對于行業信息系統而言，雖然大都已經購買并部署了防火墻、防病毒、入侵檢測等安全技術產品，并制定了相應的管理和運行制度、流程，但這與行業業務系統的建設速度顯然是不對稱的，且越來越不能滿足行業業務系統的安全、穩定發展需求。因此，必須加快行業信息系統的安全建設的步伐，特別對于安全管理運營中心的建設，更是如此。

對于行業安全管理運營中心而言，它是安全事件集中顯現和安全措施正確實施的保證，也是解決全網統一安全監控管理的主要技術手段。它通過對網絡中各種設備(包括路由設備、安全設備、服務器等)、安全機制、安全信息的綜合管理和分析，對現有安全資源進行有效管理和整合，從全局角度對網絡安全狀況進行分析、評估與管理，獲得全局網絡安全視圖;并通過制定安全策略指導或自動完成安全設施的重新部署或響應，從而實現可信安全管理的目的。

眾所周知，基于綜合安全管理運營中心的設計思想，通過在行業網絡信息中心部署安全管理平臺，并結合組織業務流的特點，可以識別和管理IT基礎架構的關鍵信息資產，幫助制訂信息安全策略，通過有效整合網絡中部署的各種安全資源，依據智能的輔助決策系統和安全知識庫，實施以風險管理為核心的安全事件管理、事件處理流程管理、安全風險管理、網絡運行管理等一系列安全管理活動，從而保證業務系統正常運行和持續性發展。具體實現如下:

1.1 通過安全管理運營中心實現與安全管理制度的結合

對于行業信息系統安全管理建設，在制定安全管理制度時，往往由于缺乏足夠的知識積累，造成制定的安全管理制度雖然符合企業的安全需求，卻對管理制度的人性化、易用性考慮欠佳。而安全管理運營中心恰恰可以利用其安全基礎知識庫、安全專家知識庫為行業用戶提供具體管理需求的輔助決策建議，并可以通過安全管理運營中心的分析輔助決功能，分析普通員工的安全操作習慣，然后有選擇的對制度文件進行改進和調整。通過系統內置的專家知識庫為制定和改進安全管理制度提供了有力的技術支持。

1.2 通過安全管理運營中心實現與日常安全運維的結合

分布式、智能化、可視化的安全監控，可以讓管理員實時掌握自身的安全態勢，使我們在日常安全運維過程中夠實現入侵攻擊的追蹤或入侵攻擊的特征分析，從而將有效提高安全管理人員對于入侵攻擊的監控理解、安全事件的正確處理，使整個信息系統的管理更為有效。

通過安全管理運營中心的場景定義、智能分析和安全定位功能確認安全事件或安全故障時，安全管理運營中心可以提供多種方式報警，如:報警燈報警、窗口報警、郵件報警、手機短信報警;管理員收到報警信息后，由安全管理運營中心的工單管理系統直接調派其安全服務人員小組(網絡管理人員或者提供安全服務的供應商)進行相應的安全事件處理、安全加固防護。實現事件實時分析、實時預警、實時響應的安全事件全生命周期管理。

1.3 通過安全管理運營中心實現全局安全事件的分析與預警

安全管理運營中心通過在行業信息系統中各主要網絡中心布署日志代理，收集并分析全網網絡設備、安全設備、主要應用系統的日志，實現全網安全事件統一審計、統一預警。安全管理運營中心通過對全網事件的統一分析，發現安全事件后，在控制臺進行報警，管理根據安全管理運營中心的報警信息，通過在各網絡設備、安全設備上配置策略，實現攔截，基本實現全網安全的自動化分析和處理。具體可以通過下述三個方面來實現:

1)基于安全產品日志事件的關聯分析:通過將防火墻、防病毒、入侵檢測、安全審計等安全產品輸出的日志事件送到安全管理運營中心，其內置的攻擊狀態機模型來抽象和描述攻擊行為(同時支持用戶手工建立攻擊關聯分析)，可以有效地從大量安全事件中準確識別出真實的安全威脅幫助用戶快速響應安全問題，不斷優化網絡的安全狀況，并將分析處理結果傳遞給網絡管理人員或者提供安全服務的安全廠商，及時采取有效控制措施。

2)基于業務系統產生日志事件的關聯分析:通過在安全管理運營中心中設置定制的場景分析，并按照某個業務系統的數據流程，或者業務訪問流程來定制策略，安全管理運營中心可以協助分析業務系統的故障分析，快速進行故障節點的定位，從而幫助管理員及時處理問題。如果某個訪問路徑出現故障(如服務停止、機器故障、線路中斷等)，則安全管理運營中心會依據事先定制的分析場景，及時判斷故障節點所在，為業務系統處理提供協助。

3)基于全局日志事件整合的關聯分析:通過以上兩個方面關聯后，安全管理運營中心可以對收到的所有安全事件進行事件的二級過濾，并丟棄大量的噪音數據后，再規一化處理各種設備的事件，規一化為統一的事件格式，規一化為統一的事件的字段，在操作界面按照定制的字段集顯示。最終做到事件與資產的關聯，實現各類安全事件的集中管理和智能分析，做到真實場景回放，多視角、實時動態的風險現狀展示。

2 總結

通過在行業信息系統網絡中心建立安全管理運營中心，輔以各類安全技術措施，建立以其核心的技術運維平臺，從逐步限制普通員工的網絡訪問行為、日常操作習慣，到逐步規范、提高工作人員的安全行為意識，從而為制定、完善符合自身企業特點的安全管理運維體系創造良好的基礎與前提。

3 結束語

當前，各行業信息化發展已經進入到一個新的歷史階段，通過對信息化的改革與持續發展將最終改變傳統生產經營模式;同時，國家對行業信息系統的安全建設也已有明確的要求，如等級保護要求。

通過在行業信息系統安全建設中實施一體化綜合安全管理，實現以市場為導向、優化資源配置、提高效率、降低成本、提升效益的目標，并運用信息化開展產品創新、技術創新、管理創新和制度創新，提升生產經營管理水平，提高應對國際競爭環境的能力。

通過安全管理運營中心的建設與應用，及時處理來自系統運行維護中的各種安全問題和事件，并結合現有的安全管理體系和運維制度，最終建設起一支符合行業信息化發展，且專業的信息安全技術運維隊伍，為行業信息系統的安全、穩定運行保駕護航。

參考文獻:

[1] 昆月.問診2007全球信息安全病況[J].計算機世界報，2007(42):C5-C6.

[2] GB/T 20984-2007，信息安全技術 信息安全風險評估規范[S].2007

[3] 袁德明，喬月圓.計算機網絡安全[M].電子工業出版社，2007.

[4] 李俊婷等.計算機網絡信息安全及其防護措施[J].計算機與網絡，2007(15):45-46.