企業信息系統安全管理中心建設實踐

1 引言

隨著企事業單位信息化工作的深入開展，各行各業對信息依賴的程度越來越高，如何保障信息系統的安全已成為其信息系統建設過程中最重要的任務。企事業單位信息系統經過多年的建設已經具備相當的規模，但通常情況下會著重于基礎設施建設和應用系統系統功能的實現，并沒有實現信息系統的安全建設的同步規劃、同步建設與同步運維，更多是采用傳統的安全設備（如防火墻、入侵檢測、防病毒等）完成網絡層的安全防護工作。這種情況就導致了信息系統缺乏安全的系統化設計，信息安全系統會由不同廠家、不同時期的產品拼湊起來，僅僅能抵御來自某些方面的安全威脅，而各個子系統“各自為戰”彼此成防御孤島，無法實現協同防御也無法保持安全策略的一致性。

安全運維時，安全服務提供商往往是按產品提供監測與事件分析服務，安全事件發生時無法及時準確驗證安全事件的可信度與評估安全風險影響范圍和威脅等級。比較突出的情況是每日大量的入侵檢測高等級安全事件，誤報率可能達到70%以上，這是因為大量的自動化的掃描軟件會觸發高等級安全事件告警，信息安全管理人員沒有自動化的處理分析系統將安全事件的觸發條件與信息系統真實的運行環境進行比對，排除誤報。

長久以往，管理員就被淹沒在大量無用的告警數據中了，真正的成功入侵行為就被忽略了。因此，以安全事件驅動的，以解決實際安全問題為目標的安全管理中心建設就顯得尤為重要了，同時我們要充分意識到安全管理中心建設是一個持續改進的建設過程，不可能一蹴而就，因此需要企業運維管理人員不斷的參與實踐，提升運維保障能力。

2 安全管理中心建設的最終目標是建立安全運營中心

很多企事業單位都采購了SOC（Security Operations Center）這樣的產品，卻沒有取得應有的效果。大家共同的感覺是SOC是以一種產品形式引入的，受制于國內政策、日志標準、傳統認識的制約，缺少了MSS管理安全服務或稱之為外部的專業安全服務供應商（Managed Security Service）輔助支撐，自身運維人員在安全運維技術能力、經驗方面的不足，導致了安全管理中心產品不能很好發揮作用。

因此，我們要充分意識到安全管理中心建設必經的幾個階段：首先是安全信息和事件管理（SIEM），能夠對日志進行收集、安全存儲、分析、警報、審核以及合規報告；其次是安全運營中心（SOC）以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件及風險分析、預警處理、應急響應的集中安全管理系統；下一個階段就是SOC和大數據分析平臺結合，提升數據分析處理的能力。

安全管理中心建設是一項安全管理建設的系統工程，要充分考慮企業現有的IT建設水平，遵循PDCA持續改進的管理模式，設計出符合企業業務實現的安全管理體系架構，應至少包括資源平臺、基礎管理中心、監控運維中心、應用展現平臺、支撐系統五個層面的內容。如圖1所示。

3 安全管理中心建設以事件驅動，以解決實際安全問題為導向

我們面臨的挑戰有幾個方面：

（1）企業安全架構的短板；

（2）信息系統管理人員、安全管理人員的錯誤配置；

（3）信息系統逐步向互聯網化，使信息系統安全防護邊界模糊，被攻擊面加大；

（4）攻擊的手段發生了重大變化，流量型攻擊嚴重影響了信息系統的業務連續性；

（5）每天出現巨大數量的安全報警，管理員很難對這些報警做出響應，誤報嚴重，管理員無法準確判斷故障，大量重復、零散而沒有規律的報警。

企業安全架構的設計，就是在明確企業業務戰略的基礎上，梳理信息系統的面向的用戶群體（如最終用戶、生產用戶、管理用戶），梳理信息系統業務數據流程，以風險評估為手段，明確企業信息安全需求。遵循國家法律、法規要求，結合企業文化、運維現狀，形成適應企業信息化建設的安全防護框架。“兩個體系、三重防護、一個中心”就是很多企事業單位認可的安全架構設計的核心思想。兩個體系就是安全管理體系和安全技術體系；三重防護針對的就是計算環境、邊界防護、網絡通信；一個中心即安全管理中心。這里可以看出安全管理中心建設的重要地位，也是PDCA循環中檢查和處理的環節，是持續改進的重要保障手段。

目前，市場上銷售的安全管理中心產品功能不斷豐富，但視角局限在了安全設備上，偏離了安全基礎設施是為了落實企業業務戰略的重要手段這一初衷，應面向業務信息系統服務全流程涉及的網絡交換設備、安全設備、服務器、應用軟件、數據庫等，因此應該以業務主線進行監控、收集事件、歸并分析、告警與展示。面對新的攻擊手段、安全威脅，引入新的功能模塊或共享日志信息。面對大規模拒絕服務攻擊，我們需要數據流量分析系統，快速定位被攻擊主機，識別攻擊方法；面對系統應用的配置錯誤，需要引入安全基線核查、配置變更管理；面對注入和跨站這樣的應用層攻擊，要引入網絡安全審計作為應用層防火墻的有力補充；面對不斷攀升的安全事件日志量，嘗試使用分布式搜索引擎，解決安全大數據的處理能力。

4 安全管理中心建設實踐中落實的幾個要素

4.1 安全事件核心是SIEM建設，實現事件的集中收集與關聯分

這里的事件不應僅限于傳統意義上的安全事件，應以信息系統全流程過程中涉及的各個環節的事件。主要是基于目前影響信息系統業務連續性與數據安全的安全事件，因此信息系統涉及的網絡數據流量、交換設備、安全設備的運行狀態、應用服務器的訪問日志、應用服務器的系統日志都應納入收集的范圍。網絡流量可視化與異常流量的發現也應納入安全管理中心的建設視野，如果沒有專用的流量分析系統，我們也可以實時監控各安全域出口的交換設備或防火墻設備，繪制流量曲線，在較短時間內監測和定位到發生流量攻擊的安全域。

4.2 安全管理中心的成敗的一個關鍵要素是IT資產的高效管理

我們在安全建設時是通過風險評估的方法，識別信息系統的關鍵資產，通過風險賦值的方法進行綜合評價，來確認我們的安全建設需求，明確安全建設實施方案。根據安全的木桶原理，安全事件往往發生在信息系統最薄弱的地方。在安全事件應急響應時消耗最多的時間的是定位物理地址、確認使用責任人、確認系統環境、應用環境。因此，理清IT資產，主動發現（主動發現IP資源的變化、發現業務服務的變化），人工確認修改輔助。在具體實現上以IP地址為資源索引，對應服務主機。將IP地址資源按照業務生產大區（互聯網接入區、企業業務生產區）、安全域（信息發布域、業務生產域、數據域）、信息系統（三級信息系統、二級信息系統）進行管理和責任落實到管理責任人。通過漏洞掃描系統定期檢測確認IP地址資源使用的操作系統、應用服務軟件、開放的服務端口，并形成基于時間線的資源使用情況的對比分析。

4.3 安全管理中心建設的難點是如何實現安全事件的分級分類管理

安全事件分級分類管理的難點在于國內安全產品供應商沒有統一的安全事件日志生成規范，沒有統一的安全事件處理的規范接口。各廠商生成日志隨意性強，日志內容數據詳盡程度不一，這就導致了異構安全產品構成的安全防護系統，無法將安全事件統一歸類和分析處理。為了保護企業安全投資發揮最大的效益和安全運維體系的延續性，我們通過建立企業規范的日志數據收集處理接口，形成企業內部標準，從而保證了數據的可用性。首先，我們通過收集各安全產品供貨方日志格式、分類方法，通過整理歸并，形成了自有的分類方法。從業務連續性和數據安全兩個角度，形成了信息系統類安全事件和信息數據類安全事件。信息系統類安全事件又從信息系統支撐環境（機房、電力環境、設備服務）和網絡系統攻擊（信息刺探、惡意代碼攻擊、攻擊入侵）兩個角度進行了二級分類；信息數據類安全事件進一步細分為信息危害類與信息泄露類，形成了企業信息安全事件的分類標準，我們就要將工作的重點放在安全管理中心對于收集的事件日志的范式化上，確保過程簡單、可操作性強、分類準確，為下一步過濾、歸并、關聯分析、審計、實時告警提供基礎保障。網絡安全事件分類如圖2所示。

4.4 信息系統合規性檢查，安全基線核查與信息系統關鍵設備的配置變更管理，是業務系統正式上線運行必要保障

近年來，安全事件多來自于應用系統的安全問題，如系統弱口令、系統部署結構不合理，業務流程涉及風險，業務代碼層面出現的注入與跨站漏洞問題，系統配置不當、測試業務與生產業務不區分、系統和應用的漏洞未得到及時修復等。在各單位業務正式上線前都會進行系統測試，但更多情況下是系統功能測試和壓力測試。應用安全方面更多的是提出源代碼審計、安全滲透測試和應用服務器的安全加固，但因為經費和測試周期的限制，很難通過一次的代碼審計和滲透測試解決持續改進的問題。因此，還是通過系統的安全管理員安全意識、安全技能的提升，輔助以合適的工具和方法動態的掌握系統的安全狀態。

在實踐過程中，我們不斷收集、修訂、發布本單位經常使用的操作系統、中間件、應用服務軟件和數據庫軟件基線要求，通過工具軟件提取系統運行狀態與安全基線進行比對，給出系統安全加固的指導參考。定期提取關鍵的網絡交換設備和邊界防護設備的運行狀態文件，審計安全策略配置合理性，發現安全策略的變更是否與業務服務變更相一致。如圖3所示。

4.5 信息系統的安全審計是安全防護措施有效性最好的檢驗手段

安全審計是檢驗安全防護體系是否有效的重要手段，也是安全防護持續改進的重要手段。我們在安全建設中，會選用網絡審計和數據庫審計設備這樣專用的審計設備，通過專用設備我們可以審計HTTP、FTP等協議，發現注入與跨站攻擊，發現高等級操作行為。同時，在實踐中通過入侵檢測系統的協議分析，我們可以審計出郵件系統的弱口令、FTP弱口令；通過協議分析，發現RDP、Telnet、1433等高危服務端口，判斷驗證邊界安全設施安全防護策略是否有效部署。

5 安全管理中心建設發展方向

有效結合外部安全情報分析，利用大數據分析手段，實現安全問題快速定位與分析。大數據安全分析是安全信息和事件管理及相關技術的延伸。雖然只是在分析的數據量和數據類型方面存在量的差異，但對從安全設備和應用程序提取到的信息類型來說，卻導致了質的差異。因此基于數據分析和威脅情報來發現潛在的未能被阻止的攻擊和威脅將對于傳統的安全防護體系提供有效的補充。

6 結束語

總之，安全管理中心建設是一個持續改進的過程，要根據企業所處的IT運維階段，找到亟待解決的問題，尋找建設的突破口與核心要素，加大安全服務能力建設，提升安全事件發現和處理水平。

參考文獻

[1] GB.Z20986-2007 信息安全技術信息事件分類分級指南。

作者簡介：

肖國煜（1973-），男，漢族，北京人，本科，新華通訊社技術局，副處長，高級工程師；主要研究方向和關注領域：企業信息安全架構設計、安全建設與安全運維。