企業(yè)信息系統(tǒng)安全管理中心建設實踐

1、企業(yè)信息系統(tǒng)安全管理中心建設實踐1引言隨著企事業(yè)單位信息化工作的深入開展，各行各業(yè)對信息依 賴的程度越來越高，如何保障信息系統(tǒng)的安全已成為其信息系統(tǒng) 建設過程中最重要的任務。企事業(yè)單位信息系統(tǒng)經(jīng)過多年的建設 已經(jīng)具備相當?shù)囊?guī)模，但通常情況下會著重于基礎設施建設和應 用系統(tǒng)系統(tǒng)功能的實現(xiàn)，并沒有實現(xiàn)信息系統(tǒng)的安全建設的同步 規(guī)劃、同步建設與同步運維，更多是采用傳統(tǒng)的安全設備（如防 火墻、入侵檢測、防病毒等）完成網(wǎng)絡層的安全防護工作。這種 情況就導致了信息系統(tǒng)缺乏安全的系統(tǒng)化設計，信息安全系統(tǒng)會 由不同廠家、不同時期的產(chǎn)品拼湊起來，僅僅能抵御來自某些方 面的安全威脅，而各個子系統(tǒng)“各自為戰(zhàn)”彼此成

2、防御孤島，無 法實現(xiàn)協(xié)同防御也無法保持安全策略的一致性。安全運維時，安全服務提供商往往是按產(chǎn)品提供監(jiān)測與事件 分析服務，安全事件發(fā)生時無法及時準確驗證安全事件的可信度 與評估安全風險影響范圍和威脅等級。比較突出的情況是每日大 量的入侵檢測高等級安全事件，誤報率可能達到70%以上，這是 因為大量的自動化的掃描軟件會觸發(fā)高等級安全事件告警，信息 安全管理人員沒有自動化的處理分析系統(tǒng)將安全事件的觸發(fā)條 件與信息系統(tǒng)真實的運行環(huán)境進行比對，排除誤報。長久以往，管理員就被淹沒在大量無用的告警數(shù)據(jù)中了，真 正的成功入侵行為就被忽略了。因此，以安全事件驅(qū)動的，以解 決實際安全問題為目標的安全管理中心建設就顯

3、得尤為重要了， 同時我們要充分意識到安全管理中心建設是一個持續(xù)改進的建 設過程，不可能一蹴而就，因此需要企業(yè)運維管理人員不斷的參 與實踐，提升運維保障能力。2安全管理中心建設的最終目標是建立安全運營中心很多企事業(yè)單位都采購了 SOC(Security Operations Center) 這樣的產(chǎn)品，卻沒有取得應有的效果。大家共同的感覺是SOC 是以一種產(chǎn)品形式引入的，受制于國內(nèi)政策、日志標準、傳統(tǒng)認 識的制約，缺少了 MSS管理安全服務或稱之為外部的專業(yè)安全 服務供應商(Managed Security Service)輔助支撐，自身運維人 員在安全運維技術(shù)能力、經(jīng)驗方面的不足，導致了安全管

4、理中心 產(chǎn)品不能很好發(fā)揮作用。因此，我們要充分意識到安全管理中心建設必經(jīng)的幾個階 段：首先是安全信息和事件管理(SIEM)，能夠?qū)θ罩具M行收集、 安全存儲、分析、警報、審核以及合規(guī)報告；其次是安全運營中 心(SOC)以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安 全域劃分的思想，建立一套實時的資產(chǎn)風險模型，協(xié)助管理員進 行事件及風險分析、預警處理、應急響應的集中安全管理系統(tǒng)； 下一個階段就是SOC和大數(shù)據(jù)分析平臺結(jié)合，提升數(shù)據(jù)分析處 理的能力。安全管理中心建設是一項安全管理建設的系統(tǒng)工程，要充分 考慮企業(yè)現(xiàn)有的IT建設水平，遵循PDCA持續(xù)改進的管理模式， 設計出符合企業(yè)業(yè)務實現(xiàn)的安全管理體系

5、架構(gòu)，應至少包括資源 平臺、基礎管理中心、監(jiān)控運維中心、應用展現(xiàn)平臺、支撐系統(tǒng) 五個層面的內(nèi)容。如圖1所示。3安全管理中心建設以事件驅(qū)動，以解決實際安全問題為導 向我們面臨的挑戰(zhàn)有幾個方面：（1）企業(yè)安全架構(gòu)的短板；（2）信息系統(tǒng)管理人員、安全管理人員的錯誤配置；（3）信息系統(tǒng)逐步向互聯(lián)網(wǎng)化，使信息系統(tǒng)安全防護邊界 模糊，被攻擊面加大；（4）攻擊的手段發(fā)生了重大變化，流量型攻擊嚴重影響了 信息系統(tǒng)的業(yè)務連續(xù)性；（5）每天出現(xiàn)巨大數(shù)量的安全報警，管理員很難對這些報 警做出響應，誤報嚴重，管理員無法準確判斷故障，大量重復、 零散而沒有規(guī)律的報警。企業(yè)安全架構(gòu)的設計，就是在明確企業(yè)業(yè)務戰(zhàn)略的基礎上，

6、 梳理信息系統(tǒng)的面向的用戶群體（如最終用戶、生產(chǎn)用戶、管理 用戶），梳理信息系統(tǒng)業(yè)務數(shù)據(jù)流程，以風險評估為手段，明確 企業(yè)信息安全需求。遵循國家法律、法規(guī)要求，結(jié)合企業(yè)文化、 運維現(xiàn)狀，形成適應企業(yè)信息化建設的安全防護框架?！皟蓚€體 系、三重防護、一個中心”就是很多企事業(yè)單位認可的安全架構(gòu) 設計的核心思想。兩個體系就是安全管理體系和安全技術(shù)體系； 三重防護針對的就是計算環(huán)境、邊界防護、網(wǎng)絡通信；一個中心 即安全管理中心。這里可以看出安全管理中心建設的重要地位， 也是PDCA循環(huán)中檢查和處理的環(huán)節(jié)，是持續(xù)改進的重要保障手 段。目前，市場上銷售的安全管理中心產(chǎn)品功能不斷豐富，但視 角局限在了安全設

7、備上，偏離了安全基礎設施是為了落實企業(yè)業(yè) 務戰(zhàn)略的重要手段這一初衷，應面向業(yè)務信息系統(tǒng)服務全流程涉 及的網(wǎng)絡交換設備、安全設備、服務器、應用軟件、數(shù)據(jù)庫等， 因此應該以業(yè)務主線進行監(jiān)控、收集事件、歸并分析、告警與展 示。面對新的攻擊手段、安全威脅，引入新的功能模塊或共享日 志信息。面對大規(guī)模拒絕服務攻擊，我們需要數(shù)據(jù)流量分析系統(tǒng)， 快速定位被攻擊主機，識別攻擊方法;面對系統(tǒng)應用的配置錯誤， 需要引入安全基線核查、配置變更管理；面對注入和跨站這樣的 應用層攻擊，要引入網(wǎng)絡安全審計作為應用層防火墻的有力補 充；面對不斷攀升的安全事件日志量，嘗試使用分布式搜索引擎， 解決安全大數(shù)據(jù)的處理能力。4安全

8、管理中心建設實踐中落實的幾個要素4.1安全事件核心是SIEM建設，實現(xiàn)事件的集中收集與關(guān) 聯(lián)分這里的事件不應僅限于傳統(tǒng)意義上的安全事件，應以信息系 統(tǒng)全流程過程中涉及的各個環(huán)節(jié)的事件。主要是基于目前影響信 息系統(tǒng)業(yè)務連續(xù)性與數(shù)據(jù)安全的安全事件，因此信息系統(tǒng)涉及的 網(wǎng)絡數(shù)據(jù)流量、交換設備、安全設備的運行狀態(tài)、應用服務器的 訪問日志、應用服務器的系統(tǒng)日志都應納入收集的范圍。網(wǎng)絡流 量可視化與異常流量的發(fā)現(xiàn)也應納入安全管理中心的建設視野， 如果沒有專用的流量分析系統(tǒng)，我們也可以實時監(jiān)控各安全域出 口的交換設備或防火墻設備，繪制流量曲線，在較短時間內(nèi)監(jiān)測 和定位到發(fā)生流量攻擊的安全域。4.2安全管理中

9、心的成敗的一個關(guān)鍵要素是IT資產(chǎn)的高效 管理我們在安全建設時是通過風險評估的方法，識別信息系統(tǒng)的關(guān)鍵資產(chǎn)，通過風險賦值的方法進行綜合評價，來確認 我們的安全建設需求，明確安全建設實施方案。根據(jù)安全的木桶 原理，安全事件往往發(fā)生在信息系統(tǒng)最薄弱的地方。在安全事件 應急響應時消耗最多的時間的是定位物理地址、確認使用責任 人、確認系統(tǒng)環(huán)境、應用環(huán)境。因此，理清IT資產(chǎn)，主動發(fā)現(xiàn)（主動發(fā)現(xiàn)IP資源的變化、發(fā)現(xiàn)業(yè)務服務的變化），人工確認修 改輔助。在具體實現(xiàn)上以IP地址為資源索引，對應服務主機。將IP地址資源按照業(yè)務生產(chǎn)大區(qū)（互聯(lián)網(wǎng)接入?yún)^(qū)、企業(yè)業(yè)務生 產(chǎn)區(qū)）、安全域（信息發(fā)布域、業(yè)務生產(chǎn)域、數(shù)據(jù)域）信息

10、系統(tǒng) （三級信息系統(tǒng)、二級信息系統(tǒng)）進行管理和責任落實到管理責 任人。通過漏洞掃描系統(tǒng)定期檢測確認IP地址資源使用的操作 系統(tǒng)、應用服務軟件、開放的服務端口，并形成基于時間線的資 源使用情況的對比分析。4.3安全管理中心建設的難點是如何實現(xiàn)安全事件的分級 分類管理安全事件分級分類管理的難點在于國內(nèi)安全產(chǎn)品供應商沒 有統(tǒng)一的安全事件日志生成規(guī)范，沒有統(tǒng)一的安全事件處理的規(guī) 范接口。各廠商生成日志隨意性強，日志內(nèi)容數(shù)據(jù)詳盡程度不一， 這就導致了異構(gòu)安全產(chǎn)品構(gòu)成的安全防護系統(tǒng)，無法將安全事件 統(tǒng)一歸類和分析處理。為了保護企業(yè)安全投資發(fā)揮最大的效益和 安全運維體系的延續(xù)性，我們通過建立企業(yè)規(guī)范的日志數(shù)

11、據(jù)收集 處理接口，形成企業(yè)內(nèi)部標準，從而保證了數(shù)據(jù)的可用性。首先， 我們通過收集各安全產(chǎn)品供貨方日志格式、分類方法，通過整理 歸并，形成了自有的分類方法。從業(yè)務連續(xù)性和數(shù)據(jù)安全兩個角 度，形成了信息系統(tǒng)類安全事件和信息數(shù)據(jù)類安全事件。信息系 統(tǒng)類安全事件又從信息系統(tǒng)支撐環(huán)境（機房、電力環(huán)境、設備服 務）和網(wǎng)絡系統(tǒng)攻擊（信息刺探、惡意代碼攻擊、攻擊入侵）兩 個角度進行了二級分類；信息數(shù)據(jù)類安全事件進一步細分為信息 危害類與信息泄露類，形成了企業(yè)信息安全事件的分類標準，我 們就要將工作的重點放在安全管理中心對于收集的事件日志的 范式化上，確保過程簡單、可操作性強、分類準確，為下一步過 濾、歸并、關(guān)

12、聯(lián)分析、審計、實時告警提供基礎保障。網(wǎng)絡安全 事件分類如圖2所示。4.4信息系統(tǒng)合規(guī)性檢查，安全基線核查與信息系統(tǒng)關(guān)鍵設 備的配置變更管理，是業(yè)務系統(tǒng)正式上線運行必要保障近年來，安全事件多來自于應用系統(tǒng)的安全問題，如系統(tǒng)弱 口令、系統(tǒng)部署結(jié)構(gòu)不合理，業(yè)務流程涉及風險，業(yè)務代碼層面 出現(xiàn)的注入與跨站漏洞問題，系統(tǒng)配置不當、測試業(yè)務與生產(chǎn)業(yè) 務不區(qū)分、系統(tǒng)和應用的漏洞未得到及時修復等。在各單位業(yè)務 正式上線前都會進行系統(tǒng)測試，但更多情況下是系統(tǒng)功能測試和 壓力測試。應用安全方面更多的是提出源代碼審計、安全滲透測 試和應用服務器的安全加固，但因為經(jīng)費和測試周期的限制，很 難通過一次的代碼審計和滲透測

13、試解決持續(xù)改進的問題。因此， 還是通過系統(tǒng)的安全管理員安全意識、安全技能的提升，輔助以 合適的工具和方法動態(tài)的掌握系統(tǒng)的安全狀態(tài)。在實踐過程中，我們不斷收集、修訂、發(fā)布本單位經(jīng)常使用 的操作系統(tǒng)、中間件、應用服務軟件和數(shù)據(jù)庫軟件基線要求，通 過工具軟件提取系統(tǒng)運行狀態(tài)與安全基線進行比對，給出系統(tǒng)安 全加固的指導參考。定期提取關(guān)鍵的網(wǎng)絡交換設備和邊界防護設 備的運行狀態(tài)文件，審計安全策略配置合理性，發(fā)現(xiàn)安全策略的 變更是否與業(yè)務服務變更相一致。如圖3所示。4.5信息系統(tǒng)的安全審計是安全防護措施有效性最好的檢 驗手段安全審計是檢驗安全防護體系是否有效的重要手段，也是安 全防護持續(xù)改進的重要手段。我

14、們在安全建設中，會選用網(wǎng)絡審 計和數(shù)據(jù)庫審計設備這樣專用的審計設備，通過專用設備我們可 以審計HTTP、FTP等協(xié)議，發(fā)現(xiàn)注入與跨站攻擊，發(fā)現(xiàn)高等級 操作行為。同時，在實踐中通過入侵檢測系統(tǒng)的協(xié)議分析，我們 可以審計出郵件系統(tǒng)的弱口令、FTP弱口令；通過協(xié)議分析，發(fā) 現(xiàn)RDP、Telnet、1433等高危服務端口，判斷驗證邊界安全設施 安全防護策略是否有效部署。5安全管理中心建設發(fā)展方向有效結(jié)合外部安全情報分析，利用大數(shù)據(jù)分析手段，實現(xiàn)安 全問題快速定位與分析。大數(shù)據(jù)安全分析是安全信息和事件管理 及相關(guān)技術(shù)的延伸。雖然只是在分析的數(shù)據(jù)量和數(shù)據(jù)類型方面存 在量的差異，但對從安全設備和應用程序提取到的信息類型來 說，卻導致了質(zhì)的差異。因此基于數(shù)據(jù)分析和威脅情報來發(fā)現(xiàn)潛 在的未能被阻止的攻擊和威脅將對于傳統(tǒng)的安全防