企業級安全資源云服務管理實踐

在網絡安全攻防技術對抗領域里，企業需要面對眾多新漏洞、新病毒、新攻擊手段、新黑客行為等各類威脅，即便是建設了多種主動安全檢測工具和系統，但若缺少統一服務與相互協同的宏觀安全技術，及面向安全資源與企業業務的全環節服務管控，也往往只是被動防御，最終是事倍功半。“三分技術、七分管理”是企業信息安全領域瑯瑯上口的至理名言，但要如何真正做到、做好卻是極具挑戰的。

隨著網絡安全攻防對抗的不斷升級，企業安全管理工作不論從宏觀的安全管控視角，到各環節安全管理工作落實都面臨著巨大的挑戰。例如，企業各類安全檢測工具、安全系統煙筒式建設，難以做到統一調度、相互協調；關鍵業務環節銜接不緊密，未實現安全全流程閉環管控能力；安全工作分散，未形成高效的安全管控體系等等。

圖1 安全資源云服務平臺與云安全服務管控體系關系框架

基于云技術，筆者單位針對企業級安全資源管控需求，在搭建安全資源云服務平臺的基礎上，構建云安全服務管控體系，并制定安全資源全流程各環節閉環管理規范，建立各類安全管控機制及安全檢測工具風險量化考核評分模型等。面向安全資源全生命周期、安全管控全流程，從而實現企業級安全資源云管理，輸出一系列高效的企業級安全管控服務能力。

云安全服務管控體系概述

基于云化安全模式框架下安全資源云服務平臺建設基礎，廣東移動多年實踐總結構建了一整套安全服務規范管控體系。面向企業安全管理工作，明確安全技術路標、建立安全合規實施框架，并確定安全資源閉環管理流程，規范各類網絡管控機制與場景，探索風險量化考核評分標準。

筆者單位安全資源云服務平臺是基于云化安全模式框架，針對企業IT資產安全，搭建的企業級SaaS安全服務私有云，提供統一的安全檢測手段，一致更新的安全管控能力，豐富的企業安全運維場景支撐，統一的任務、策略發布管理等。圖1為安全資源云服務平臺與云安全服務管控體系關系框架。安全服務管控體系是建立在云服務平臺基礎上的安全運維管理框架規則與實施管控手段，面向企業核心業務體系，實現高效的云化安全管理能力。

云安全服務管控體系作為單位安全資源云服務平臺的核心管控框架與實施思想，在云服務全流程各個環節指導企業安全管控工作。

圖2 安全檢測全流程閉環跟蹤

安全檢測閉環管理

針對企業安全管理工作關鍵業務各環節“危而不查，查而不報，報而不改”等問題，建立安全檢測全流程閉環管理規范，面向安全運維全流程各個環節，根據企業資源安全管理模式任務發布、適配策略，策略管理、下發、跟蹤、過程評估為基礎，落實安全檢測閉環化管理工作，下面介紹閉環管理關鍵點。

1.策略管理

基于明確的策略目標，制定具體安全策略，并對各安全策略進行策略管理，實現策略的新增、發布、下線等流程，以及添加、編輯、查詢等策略管理功能。

2.策略下發

根據企業資源安全管理模式適配具體策略，并面向相關安全檢測任務流程下發策略。

3.策略跟蹤

跟蹤具體策略執行情況，完成全流程各環節策略執行情況監控，確保策略高效執行。

4.過程評估

針對安全業務策略執行流程情況，輸出過程評估結果，并根據具體結果指導下一步安全服務工作。

根據具體安全服務策略，實現安全云服務閉環管理能力。圖2為面向具體安全業務的安全檢測全流程閉環跟蹤。

安全云服務管控機制

在安全服務管控體系中，核心是建立規范化、集中化的云安全服務管控機制，面向各類安全資源管控業務，輸出幾大類云安全管控能力。云平臺則在管控機制基礎上對各類云安全服務場景實現管理、安全場景自動化檢測、資產發現等功能。下面詳細介紹各大管控規范機制。

1.入網安全機制

同步支持企業IAM（Identity and Access Management）、Agent、遠 程ActiveX控件、離線腳本等多種方式實現賬號、資產數據在線、離線配置獲取能力。并制定針對新獲取企業IT資產的全面綜合入網安全機制，實現全部新入網資源安全服務全流程安全檢查以及入網安全輔導，確保資源入網安全。

2.日常安全巡檢機制

針對各類日常安全運維工作，規范各類日常安全巡檢機制，其中包括：安全巡檢時間、頻率、資產范圍以及安全服務范圍等，基于云服務平臺建設自動化日常安全巡檢及巡檢結果輸出功能，掌控后續管理閉環全流程各環節。

3.新威脅快速預警機制

基于實時網絡爬蟲技術及關鍵內容分析技術，建立面向最新漏洞、最新攻擊等應急威脅快速發現、快速響應機制，實現威脅快速響應、資產全面搜索、問題精準定位、威脅即時補救等能力。

4.專項問題核查機制

面對企業各類信息安全專項問題，輸出：基礎配置合規專項檢查、弱口令專項核查、防火墻策略專項核查、安全域專項核查、全量漏洞專項核查、補丁安裝專項核查、日志服務配置專項核查等云化專項問題核查機制，針對各類安全防護、監控、分析、響應特點制定專項問題核查管理規范。

風險量化考核評分模型

面向企業IT資產維度，基于系統漏洞、弱密碼、資產合規配置、以及Web漏洞等單一安全檢測結果進行綜合分析，構建IT資產安全狀況宏觀量化評分模型，輸出風險量化考核評價方法。

該方法基于安全資源云服務能力，綜合IT資產各類安全檢測結果、歷史趨勢、專家級建議等各類數據，滿足企業管理層、業務層、具體執行層等各層次不同角色需求，可靈活設定并調整評價標準，實現公司級、系統安全級、到掃描類型級，從宏觀到微觀企業IT資產脆弱性的分析、整合和展現，為企業用戶提供安全管理宏觀數據及決策依據。下面詳細闡述具體安全檢測工具量化考核評分模型。

1. 公司安全評分

公司安全評分是對系統安全評分按重要級別加權平均。系統按重要級別分為一級、二級、三級和四級，四個級別的加權因子分別為10、6、3、1, 權重則是 10/W、6/W、3/W、1/W。

2. 系統安全評分

系統安全評分是基于不同掃描安全類型的安全評分進行加權平均。系統的總體評分可由系統漏洞掃描評分、合規配置檢查評分、弱密碼掃描評分、以及Web漏洞掃描評分等加權平均而得。

3. 掃描類型安全評分

掃描類型安全評分是對該系統下所有主機或網站的安全工具掃描結果進行加權平均。

4. 安全工具掃描結果評分

安全工具掃描結果評分是最基本的安全檢測工具針對某主機或者網站進行掃描之后取得的評分，是量化考核模型的最小元素。

針對掃描結果進行評分計算，以系統漏洞安全掃描為例。首先以三個月漏洞掃描結果為一個周期，對大量數據進行統計，統計分析漏洞數量概率分布。發現漏洞呈右偏分布，基于泊松分布和對數正態分布對實際數據進行擬合。并基于木桶理論，主機或者網站的安全程度與最嚴重的漏洞相關，只要有一個高危漏洞，系統的安全程度就會顯著下降的原則，實現漏洞評分矩陣計算。

結語

“三分技術、七分管理”是企業安全管控工作的核心指導，隨著云安全服務技術的持續發展，以及云安全服務平臺建設，企業針對云安全服務管理的理解正不斷深入，各類安全管理手段、指導機制及分析模型更日趨成熟。企業面向網絡安全管理工作，將獲得更扎實的管控力與更精準的決策力。