淺析安全運(yùn)維管理平臺(tái)的設(shè)計(jì)和研究

天訊瑞達(dá)通信技術(shù)有限公司 寧迪斯

1 引言

隨著社會(huì)的進(jìn)步和發(fā)展，過(guò)去傳統(tǒng)被動(dòng)防御的局面正在逐步改變，各大安全廠商也提出自己的解決方案，既有強(qiáng)化事前預(yù)測(cè)的，也有升級(jí)響應(yīng)恢復(fù)速度的設(shè)計(jì)，尤其是隨著大數(shù)據(jù)、云計(jì)算、人工智能時(shí)代的到來(lái)，采用一體化的安全運(yùn)維管理平臺(tái)提供服務(wù)變的更為實(shí)際。

近些年來(lái)，傳統(tǒng)的基于靜態(tài)樣本、單點(diǎn)布控、城墻防御的“老三樣”已經(jīng)暴露出諸多破綻，安全防御的速度、能力、效果遠(yuǎn)遠(yuǎn)滯后于網(wǎng)絡(luò)攻擊，攻擊方式逐漸向隱蔽化、智能化、專業(yè)化方式演變。為了適應(yīng)以上變化，想要開(kāi)發(fā)出更加貼近實(shí)際、更加好用的安全運(yùn)維管理平臺(tái)，需要我們對(duì)實(shí)際的需求進(jìn)行仔細(xì)分析，對(duì)開(kāi)發(fā)的系統(tǒng)進(jìn)行不斷完善。

基于此，本文對(duì)相關(guān)的內(nèi)容進(jìn)行探討。

2 傳統(tǒng)模式的不足

傳統(tǒng)的安全運(yùn)維解決方案比較被動(dòng)，安全運(yùn)維人員通過(guò)日常掃描獲取靜態(tài)樣本，算法單一不精確，沒(méi)有數(shù)據(jù)分析和建立安全態(tài)勢(shì)模型，依賴單點(diǎn)布控和防火墻防御，這樣會(huì)無(wú)法及時(shí)獲取動(dòng)態(tài)的安全態(tài)勢(shì)和做到快速響應(yīng)恢復(fù)，無(wú)法統(tǒng)一化管控、全面動(dòng)態(tài)感知以及針對(duì)性實(shí)施塔式防御，而一但安全事件發(fā)生，其影響范圍、影響程度、最終結(jié)果無(wú)法即時(shí)準(zhǔn)確預(yù)計(jì)，一般延時(shí)才能獲取，這樣就會(huì)影響事件的動(dòng)態(tài)跟蹤、抑制和恢復(fù)；同時(shí)隨著新技術(shù)的推進(jìn)，各類廠家也紛紛提出自己的安全運(yùn)維管理平臺(tái)，如何將各廠家的掃描任務(wù)結(jié)果數(shù)據(jù)進(jìn)行接口對(duì)接也是一個(gè)問(wèn)題；而數(shù)據(jù)分析和風(fēng)險(xiǎn)評(píng)估建模統(tǒng)一采用人為判斷的方式，分析和建模模式相對(duì)單一，這些與當(dāng)前信息安全的發(fā)展目標(biāo)相背離。因此，結(jié)合傳統(tǒng)模式所暴露出來(lái)的不足，亟待開(kāi)發(fā)出一種能夠適應(yīng)當(dāng)前信息發(fā)展，又能更好服務(wù)于用戶，方便管理的安全運(yùn)維管理平臺(tái)顯得尤為必要。下文將結(jié)合筆者的實(shí)際工作經(jīng)驗(yàn)，對(duì)該平臺(tái)開(kāi)發(fā)過(guò)程進(jìn)行一一介紹。

3 現(xiàn)代化電信安全運(yùn)維管理平臺(tái)的設(shè)計(jì)過(guò)程

3.1 整體框架及算法設(shè)計(jì)

整體設(shè)計(jì)框架要全面考慮電信現(xiàn)有的信息系統(tǒng)建設(shè)與電信安全運(yùn)維管理平臺(tái)的規(guī)劃和部署，實(shí)現(xiàn)電信安全運(yùn)維管理平臺(tái)系統(tǒng)與電信信息系統(tǒng)間的松耦合，也使得電信安全運(yùn)維管理平臺(tái)更容易擴(kuò)充，更具有整合能力、可重用性。電信安全運(yùn)維管理平臺(tái)系統(tǒng)架構(gòu)采用三層設(shè)計(jì)：應(yīng)用接口層，業(yè)務(wù)邏輯層和采集數(shù)據(jù)池層。應(yīng)用接口層：電信安全運(yùn)維管理平臺(tái)的最頂層，平臺(tái)通過(guò)webservice、http在線接口以及文件類型離線接口實(shí)現(xiàn)與各外部不同信息系統(tǒng)間的信息整合，如與各類廠家的接口模塊整合，如安全廠商接口、ITSM工單接口整合等等。業(yè)務(wù)邏輯層:為該電信安全運(yùn)維管理平臺(tái)的核心層。通過(guò)對(duì)資產(chǎn)、掃描結(jié)果、安全標(biāo)準(zhǔn)等的分析，設(shè)計(jì)各類規(guī)則及算法，實(shí)現(xiàn)數(shù)據(jù)共享、信息整合及交換的系統(tǒng)功能。采集數(shù)據(jù)池：由基礎(chǔ)信息和掃描結(jié)果信息組成。

基礎(chǔ)信息主要是機(jī)構(gòu)、機(jī)構(gòu)轄下業(yè)務(wù)系統(tǒng)、各業(yè)務(wù)系統(tǒng)的資產(chǎn)等。掃描結(jié)果信息包括資產(chǎn)的主機(jī)漏洞、基線、WEB漏洞、日志審計(jì)等采集回來(lái)的數(shù)據(jù)信息。

在算法設(shè)計(jì)上，為保證可靠的掃描結(jié)果，減少掃描工具出錯(cuò)機(jī)率，現(xiàn)存漏洞狀態(tài)采用了三次掃描結(jié)果取并集的算法，具體為將第1、2、3次掃描結(jié)果取并集，例如第1次為有漏洞，第2次為無(wú)漏洞，第3次為無(wú)漏洞，則最終漏洞現(xiàn)存情況為有漏洞。

3.2 功能模塊的設(shè)計(jì)

根據(jù)該系統(tǒng)應(yīng)用實(shí)際情況，本文將該系統(tǒng)的功能模塊按功能類別不同分以下幾個(gè)方面進(jìn)行設(shè)計(jì)，分別是系統(tǒng)管理、基礎(chǔ)資料管理、任務(wù)管理、數(shù)據(jù)采集、輔助庫(kù)、安全態(tài)勢(shì)分析模塊。

圖1 功能模塊示意圖

它們主要實(shí)現(xiàn)的功能是：

1)系統(tǒng)管理

系統(tǒng)管理模塊主要提供機(jī)構(gòu)管理、工號(hào)管理、角色管理、菜單管理、字典管理、權(quán)限管理、業(yè)務(wù)系統(tǒng)管理、數(shù)據(jù)機(jī)構(gòu)管理、接口管理等信息系統(tǒng)通用的權(quán)限和接口功能，用于支撐平臺(tái)通用基本功能。該功能的實(shí)現(xiàn)方便了安全管理員進(jìn)行權(quán)限和接口配置。

2)基礎(chǔ)資料管理

基礎(chǔ)資料管理模塊主要提供資產(chǎn)管理、安全標(biāo)準(zhǔn)管理、任務(wù)規(guī)則管理、報(bào)表報(bào)告模板管理等業(yè)務(wù)基礎(chǔ)資料的管理，用于支撐報(bào)表引擎、安全分析引擎的底層規(guī)則策略設(shè)置。該功能的實(shí)現(xiàn)統(tǒng)一了安全資料的管理，方便各業(yè)務(wù)系統(tǒng)負(fù)責(zé)人配置。

3)任務(wù)管理

任務(wù)管理模塊主要提供各項(xiàng)安全任務(wù)（如主機(jī)漏洞掃描、基線掃描、WEB漏洞掃描等）的增刪改查等業(yè)務(wù)邏輯功能，還有任務(wù)的工作流程配置管控等功能。該功能的實(shí)現(xiàn)方便安全運(yùn)維項(xiàng)目經(jīng)理、安全運(yùn)維組長(zhǎng)、安全運(yùn)維人員進(jìn)行管控和任務(wù)處理跟進(jìn)，任務(wù)環(huán)節(jié)也支持通過(guò)接口下發(fā)外系統(tǒng)工單。

4)數(shù)據(jù)采集

數(shù)據(jù)采集模塊主要提供將各項(xiàng)安全任務(wù)的采集結(jié)果（如主機(jī)漏洞掃描、基線掃描、WEB漏洞掃描等）通過(guò)各個(gè)廠家接口（如綠盟、啟明等不同廠家工具接口）獲取入庫(kù)以及加入現(xiàn)存漏洞狀態(tài)算法的業(yè)務(wù)邏輯功能，該功能的實(shí)現(xiàn)保證了數(shù)據(jù)采集的準(zhǔn)確性和現(xiàn)存漏洞狀態(tài)精確性，方便了系統(tǒng)責(zé)任人和廠商及時(shí)了解現(xiàn)存漏洞情況，并及時(shí)進(jìn)行整改。

5)安全態(tài)勢(shì)分析

安全態(tài)勢(shì)分析模塊主要是在采集數(shù)據(jù)池基礎(chǔ)上通過(guò)風(fēng)險(xiǎn)評(píng)估模型和安全態(tài)勢(shì)模型的配置進(jìn)行安全趨勢(shì)圖形化展示及安全數(shù)據(jù)報(bào)表的綜合查詢，該功能實(shí)現(xiàn)了以人為本，很好地通過(guò)數(shù)據(jù)分析建模展現(xiàn)現(xiàn)時(shí)情況，并在現(xiàn)時(shí)數(shù)據(jù)基礎(chǔ)上預(yù)測(cè)趨勢(shì)情況。該功能的實(shí)現(xiàn)方便安全管理員及時(shí)了解安全態(tài)勢(shì)。

6)輔助庫(kù)

輔助庫(kù)主要提供工具庫(kù)、腳本庫(kù)、資料庫(kù)、報(bào)表庫(kù)等輔助用途的功能，工具庫(kù)主要存放第三方安全檢測(cè)專項(xiàng)小工具（如查殺勒索病毒的工具），腳本庫(kù)存放專用檢查驗(yàn)證等腳本，資料庫(kù)存放參考文檔，報(bào)表庫(kù)存放第三方的安全報(bào)告報(bào)表等。

3.3 系統(tǒng)實(shí)現(xiàn)

在設(shè)計(jì)完功能模塊后，就可以在開(kāi)發(fā)平臺(tái)上按照需求和功能設(shè)計(jì)要求進(jìn)行開(kāi)發(fā)，這部分的工作量將是整個(gè)系統(tǒng)開(kāi)發(fā)的主要部分。在完成系統(tǒng)設(shè)計(jì)后，可進(jìn)行系統(tǒng)測(cè)試，圖2展示了平臺(tái)工作的流程：

圖2 平臺(tái)工作的流程圖

3.4 平臺(tái)的宣傳和使用

平臺(tái)開(kāi)發(fā)完成后，為了鼓勵(lì)用戶合理有效使用平臺(tái)，以減少人力資源配置，降低成本，我們還需要進(jìn)行一系列的工作。首先，通過(guò)下發(fā)操作指引和針對(duì)特定用戶群進(jìn)行平臺(tái)的宣傳和開(kāi)放權(quán)限試用，必要的時(shí)候，可以采取現(xiàn)場(chǎng)培訓(xùn)的形式；其次，要多注重多種數(shù)據(jù)采集方式的開(kāi)發(fā)，目前雖然已經(jīng)集成了多個(gè)廠商的掃描結(jié)果采集方式，但是，我們還要善于發(fā)現(xiàn)別的掃描結(jié)果采集方式（如端口掃描結(jié)果、電信集團(tuán)下發(fā)的滲透掃描結(jié)果），在不斷方便安全掃描員操作的同時(shí)，也對(duì)平臺(tái)進(jìn)行不斷的完善；第三，要做到新版本功能的公開(kāi)透明，及時(shí)在系統(tǒng)上公布；第四，在系統(tǒng)使用過(guò)程中，要盡量保證先滿足業(yè)務(wù)系統(tǒng)負(fù)責(zé)人和廠商的使用需要，將他們和各科室安全管理員和室經(jīng)理等進(jìn)行區(qū)分，做到系統(tǒng)的效用性，同時(shí)優(yōu)化業(yè)務(wù)邏輯。

4 結(jié)語(yǔ)

現(xiàn)代化電信安全運(yùn)維管理平臺(tái)的設(shè)計(jì)，一實(shí)現(xiàn)工作流規(guī)范化和靈活定制，二支持各種數(shù)據(jù)采集導(dǎo)入，三能對(duì)漏洞數(shù)據(jù)信息整理分析，四通過(guò)建模分析引擎建立多種安全模型，五提供多維度可視化報(bào)表，較好地實(shí)現(xiàn)全天候全方位的安全工作，是當(dāng)前信息化時(shí)代發(fā)展的需要。

本文結(jié)合當(dāng)前現(xiàn)代化電信安全運(yùn)維管理的實(shí)際情況，開(kāi)發(fā)出了一套貼近實(shí)際情況的安全運(yùn)維管理平臺(tái)，但是在平臺(tái)應(yīng)用過(guò)程中，仍然需要我們仔細(xì)觀察和評(píng)測(cè)，以期進(jìn)一步使平臺(tái)得到完善。

[1]中國(guó)電信〔2012〕760號(hào)《中國(guó)電信IT安全保障體系建設(shè)規(guī)范v2.0》.

[2]YDT1728-2008電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南.

[3]GB/T20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架：簡(jiǎn)介和一股模型.