引言
信息系统安全监控管理中心是协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。是一种安全管理的形式,其职能分成管理层面的职能和技术层面的职能,有效地将企业的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起,保持一致性。
中电国华北京热电分公司,针对企业信息系统安全管理中出现的问题,对目前国内、外信息网络安全管理系统进行调研,分析本企业信息系统安全管理中遇到的问题,向信息系统安全管理先进完善的企业学习经验,与开发营运商共同探讨,借鉴使用信息系统安全管理企业的经验,提出适合本公司信息系统安全监控管理中心解 决方案。
一、企业信息系统安全监控、管理状况分析
随着企业信息化建设的快速发展,信息系统运维人员既要不断学习新增设备的技术,掌握其配置、使用、管理的方法,又要维护日渐庞大的网络系统,因此,信息系统运维人员的工作量越来越繁重,人工管理的范围和技术方法手段有限,使企业信息系统的安全显现薄弱,为保障企业信息系统的安全运行,在对网络中的设备进行 安全管理外,还配置了一系列的安全设备,如边界防火墙、防病毒系统等,在网络设备及服务器的安全管理及使用网络安全产品时,发现了许多问题函待解决。突出的问题有:如何从每天海量的日志中查出恶意的攻击或病毒发作痕迹如何在处理跨区域协调的安全事件时,建立协调处理机制和流程,尤其是处理分布式拒绝服务攻击事件时,需要在全网范围内追踪定位攻击源,并且在全网统一部署安全策略,快速定位、抵御和防范各种类型的攻击。目前在技术层面上不仅缺乏技术手段管理现 有的安全设备,而且缺乏全网统一的网络安全监控和管理平台,难以从全局的层面掌握全网的安全情况,及时调整安全策略以适应网络安全动态性和整体性要求。另外,在网络安全管理体制中,沟通渠道的畅通性和管理信息上传下达的有效性和及时性也是保证各种网络安全工作得以顺利开展的重要前提。
可以看到,目前安全管理的主要问题突出表现为:(1)各种安全设备间缺少信息层互通能力,各自为政。降低了系统整体的运作效率,延长了安全事件的发现时间和响应时间;(2)事件分析能力不足,事件的检测和报告停留在较为"原始"的数据上,无法提供更为"信息化"、"知识化"的报告。使许多安全事件得不到挖掘,同时对安全管理员的技能要求居高不下,增加了企业的成本。而造成整体系统产生的数据"条块分割",不能反映整体大网的安全运行状况和威胁情况;(3) 由于安全管理能力不足,产生的数据无法为企业提供准确的决策依据,从而安全体系的建设发展具有相对的盲目性。
总结企业信息系统管理现状有:对企业的计算机环境缺乏统一全面的了解,对企业的计算机资源分布和性能分布缺乏监控和管理,缺乏统一的管理策略和管理方法,对系统故障和效率下降缺乏预警、 分析工具,管理成本无法估计,难以控制,运行管理工作自动化程度低,手工劳动强度大,运行维护流程较落后。
随着企业信息化程度的推进,对信息系统管理的需求逐渐提升,对信息系统监控管理的需求: (1)能够无缝集成管理各种网络、系统环境;(2)具有高度可扩充性,能随信息系统和企业业务的增长而增长;(3)在复杂的信息异构环境中实现统一管理; (4)简单易用、友好的中文图形界面,进行直观的操作和管理;(5)能够提供标准的和开放的应用接口及开发工具,符合信息技术未来的发展方向; (6)能够将信息资源的管理与企业的业务相结合; (7)提供运行维护管理平台和工具。
综上所述,建立信息系统安全监控管理中心是在现有的信息系统安全基础上,协助企业实现信息系统资产管理、安全策略管理、安全运作管理、信息系统运萝维护流程管理,实现以资产和风险为核心的全面安全监控管理的管理系统。
二、安全监控管理 系统功能应用分析
信息系统安全监控管理中心为信息资产管理、安全策略管理、安全运作管理提供自动化协助,收集来自所有安全产品和网络设备、服务器的信息,进行统一的自动化风险评估,评价是否符合资产和安全管理的策略和基线,并报告给决策者,提供必要的响应。信息系统安全监控管理中心将资产管理和安全技术链接起来,保证网络 设备和安全产品部署符合安全管理的要求。该系统的主要功能有:
资产管理:对网络设备的资料进行分类私有效设置,并且可自行修改及增减。能够集中调用风险评估设备进行整体或局部网络风险评估,集中对网络中的服务器、路由设备等进行扫描。统一对得到的安全信息、漏洞信息进行安全分析和关联分析,得到全面的资产安全评估结果。
安全风险控制管理:全面收集信息资产的漏洞和相关事件,通过关联分析去除各种误报,发现有用信息,给出级别度量。系统能够自动完成以往专家完成的风险计算工作,并自动触发工单和响应来降低风险,达到管理和控制风险的效果。
安全维护:提供日常维护工作中需要的各种自动化工具:如工单系统用于追踪风险和事故的处理情况;预警服务的主动预警,通过信息系统安全监控管理中心和各个安全服务供应商共同合作,形成一条完整的预警处理链,保证在漏洞出现还未被利用前送达各个管理员并保证被采取了应对的措施;还可通过对日常工作进行评价来促使我们找到如何提高安全水平的方法。
安全知识:安全管理需要大量知识的传播和宣讲,安全知识功能提供各种知识服务于系统和企业,包括系统使用的定损关联知识、事件关联知识,专业人员使用的各种安全漏洞库和病毒库,普通IT人员需要的安全基础知识和安全园地。
安全运行维护流程与管理:对安全运营维护和管理的操作流程进行全面的定义和说明,按照标准的要求建立运维和管理流程以及运维和管理的规定和实施规范。
紧急事件集中管理与流程:对事件信息和日志进行统一关联分析及事件确认,一旦证实发生安全事件,就会启动防御对策及紧急响应处理。防御对策维持一个时期,直到网络解除来自攻击源的威胁为止。
网络管理:全面管理局域网范围内的网络设备,对全网的拓扑结构和关键链路的进行监控和管理。实现和体现分级网络管理的管理思想。
三、信息系统安全监控、管理中心解决方案
信息系统安全监控管理中心提供的整体解决方案是建立在现有网络环境的基础上,能够实现以资产和风险为核心的全面信息系统监控管理,具有以下特性:
(1)以资产和风险为核心的全面安全管理。整体安全管理架构以资产为核心。将所有与信息相关能够体现价值的资产郡称为信息资产,资产包含了硬件、操作系统、应用软件和数据库、数据库中的数据。信息系统安全监控管理中心的所有信息都以资产为中心,例如漏洞和威胁都会被归结到资产,并在资产的层面进行关联和 分析。
(2)面向部门和用户的安全管理。信息系统安全监控管理中心针对企业的管理结构特点,允许用户在系统内部设立企业结构逻辑视图,允许通过定义角色来分配权限。可以快速地为每个资产定位其负责人以及相关部门、领导、管理员、备份管理员等信息。安全监控管理中心是供所有的安全管理员、系统管理员、网络管理员使 用的系统,通过角色定义,每个用户可以登陆到系统,看到自己管理的资产和系统的健康状况和告警。通过对角色的操作权限以及管辖资产范围的定义,可以精确地对权限进行限制,保障最小授权原则。
(3)强大完善的资产管理。支持基于Oracle、LDAP的资产管理,可以和不同系统的资产数据库进行同步。支持资产价值(可用性需求、完整性需求、保密性需求)的评估。完整记录资产及其上的应用,均支持自动发现和手动调整。
(4)以资产为核心的漏洞管理。以资产为核心,驱动漏洞的定期扫描、评估。针对资产定制定期扫描或者发起一次单独的扫描,驱动扫描系统,扫描的结果会返回到系统中,所有信息经过标准化后存放在统一的数据库中,漏洞信息和资产信息可以方便地提供关联使用,扫描结果可以自动触发安全响应流程,保证一发现漏洞就 进行解决。通过以资产为核心的漏洞管理,系统可以提供比传统的漏洞扫描器更加详尽的信息、更快的响应以及更强的信息 ;交互和关联,实现统一的控制管理。
(5)以资产为核心的威胁管理。威胁管理主要通过事件管理体现出来,与以往以事件管理为核心的系统相比较,安全监控管理中心将收集到的所有事件信息都归结到资产,很好地实现了基于资产视角的视图,可方便地根据资产的价值和关键性来进行事件的分级。安全监控管理中心支持已有安全产品的事件收集,做到即插即 用。所有事件收集机制都是详细可定制的。
(6)强大的智能处理。智能化处理是安全监控管理中心解决海量事件、事件分散化、误报的重要机制,智能处理方式主要包括:1)底层智能处埋:通过数据过 滤、标准化、数据合并、实时数据关联来实现底层的智能事件处理,实时数据关联实现了基于规则的关联,发现实时数据之间的潜在联系,可以改变和调整级别;2)基于资产的关联:当数据被归结到资产之后,不同来源的事件数据以及漏洞<
