許律賓

（中國移動通信集團云南有限公司，云南 昆明 650228）

1 存在問題

（1）本地建設(shè)復(fù)雜：安全管理中心基于要求，相關(guān)操作審計記錄及原始事件、告警要留存180天，需要本地有大量存儲計算資源來支撐。

（2）信息分散：每一個安全管理中心事件、告警均在近業(yè)務(wù)系統(tǒng)側(cè)，無法在一定宏觀上形成事件共享、告警監(jiān)控機制。

隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GBT22239-2019）的公布，宣告信息安全技術(shù)網(wǎng)絡(luò)安全等級保護2.0時代正式開啟，并于2019年12月1日正式實施，國家網(wǎng)絡(luò)安全工作規(guī)劃著重表明了“一個中心，三重防護”。對應(yīng)到信息安全技術(shù)網(wǎng)絡(luò)安全等級保護2.0中即安全管理中心、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境；其中，安全管理中心主要實現(xiàn)系統(tǒng)管理、審計管理、安全管理和集中管控四個方面；通過運營商云網(wǎng)資源建設(shè)支持多租戶的安全管理中心，從建設(shè)上可實現(xiàn)統(tǒng)一標準，高度復(fù)用，從技術(shù)上可實現(xiàn)安全事件、安全漏洞高度集中化處理，具有一定的經(jīng)濟效益及技術(shù)意義。

如何對已采集到的網(wǎng)絡(luò)安全事件進行綜合分析、匯總統(tǒng)計、全盤管理是運維管理人員面臨的棘手問題。在對各安全網(wǎng)元的配置使用過程中，利用多租戶的安全管理中心對安全網(wǎng)元設(shè)備運維行為的精細化管理、安全網(wǎng)元設(shè)備防護反饋匯總統(tǒng)計將切實規(guī)范一線運維人員的操作行為規(guī)范，將解決一線運維人員面臨大量異構(gòu)數(shù)據(jù)中的統(tǒng)計困擾。

2 解決措施及優(yōu)勢

（1）本地部署簡單：本地僅需建設(shè)安全設(shè)備，可通過專線或SD-WAN實現(xiàn)安全設(shè)備納管，安全管理中心按照信息安全技術(shù)網(wǎng)絡(luò)安全等級保護2.0安全管理中心要求的標準建設(shè)，同時可復(fù)用云端存儲計算資源，優(yōu)化IT建設(shè)成本。

（2）信息集中處置：可在宏觀上了解全網(wǎng)安全狀況，并實現(xiàn)不同業(yè)務(wù)系統(tǒng)之間的事件、告警等威脅情報共享，實現(xiàn)安全數(shù)據(jù)共享化。

（3）運維集中審計、管理：本系統(tǒng)的建設(shè)需要兼顧網(wǎng)元設(shè)備遠程托管的運維需要，有效隔離運維管理員與實際操控資產(chǎn)之間的鑒權(quán)信息，做到多權(quán)分立以及多種管理員身份相互制約的健康運維關(guān)系。

3 功能需求

（1）需要以威脅情報為審計目標，致力建設(shè)安全情報中臺。傳統(tǒng)的安全威脅審計系統(tǒng)僅僅對安全能力的采集存儲，對安全事件的整合、補全、統(tǒng)計能力不足，通過多租戶安全管理中心的建設(shè)為建立安全威脅情報中心提供安全數(shù)據(jù)能力提供支持，從數(shù)據(jù)采集對某一類或某幾類安全設(shè)備進行規(guī)整分析，對缺失的主客體或行為信息進行補齊并規(guī)范存儲；并對整合的事件進行標記處處，同時提供標準化外部接口，供內(nèi)部模塊外部系統(tǒng)進行情報調(diào)用，提供一定的聯(lián)動參考價值。

（2）基于可視化審計呈現(xiàn)，直觀展示各項網(wǎng)絡(luò)指標

需要通過精準的用戶需求采集與廣泛的市場調(diào)研，綜合多方面運維專家意見，針對采集的內(nèi)容、頻率、周期等信息進行合適的圖形化呈現(xiàn)；并根據(jù)用戶感興趣的信息在特定環(huán)境進行大屏呈現(xiàn)，呈現(xiàn)內(nèi)容至少需要支持系統(tǒng)運行情況、安全威脅數(shù)據(jù)存儲類型等運維所重點關(guān)注的內(nèi)容，可以使得網(wǎng)絡(luò)中安全狀態(tài)情況一目了然。可省去常規(guī)運維過程中大量數(shù)據(jù)整合、手工統(tǒng)計的工作量進行直觀概括呈現(xiàn)。并支持參數(shù)設(shè)置可對異常情況進行管理員聯(lián)動，在基礎(chǔ)的性能監(jiān)聽需求上如CPU、內(nèi)存等系統(tǒng)資源占用異常需要支持進行郵件、短信的或即時通信上的預(yù)設(shè)告警。

多租戶安全管理中心基于響應(yīng)速度快、信息傳遞準確直觀、檢索能力強大的用戶思路對多租戶安全管理中心的綜合管理能力進行設(shè)計，對安全防御的能力進行迅速反饋并協(xié)助決策管理。

（3）精確縱深的檢索條件與事件關(guān)聯(lián)算法。多租戶安全管理中心將采用高性能的數(shù)據(jù)檢索引擎，對檢索性能需要達到即時檢索即時輸出的建設(shè)要求。同時支持利用IP、關(guān)鍵詞、時間、用戶進行廣泛、模糊檢索，同時支持多條件檢索篩選，并對檢索到的數(shù)據(jù)事件進行下鉆關(guān)聯(lián)，進一步識別威脅事件的影響范圍。

（4）專業(yè)的報表輸出系統(tǒng)?？筛鶕?jù)客戶需求輸出特定的網(wǎng)絡(luò)安全年報、季報、月報、周報、日報或者根據(jù)設(shè)定范圍進行通用格式的文檔輸出?？珊w安全威脅事件審計，資產(chǎn)脆弱審計，運行狀態(tài)審計等數(shù)據(jù)存儲的信息呈現(xiàn)。并且需要支持針對特定客戶允許客戶自定義輸出報告的能力來解決特有單位需要定制報告的運維需求。

（5）滿足合規(guī)性要求的操作人員角色設(shè)立。系統(tǒng)的角色需要依照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》至少分為系統(tǒng)管理員、運維管理員、審計管理員三種角色；各管理員的功能要求如下：

①系統(tǒng)管理員。由系統(tǒng)管理員對本系統(tǒng)進行管理，將鑒權(quán)信息集中保存，可添加需要管理的網(wǎng)元資產(chǎn)，針對添加的系統(tǒng)進行鑒權(quán)信息的錄入，并將錄入成功的資產(chǎn)分配給需要進行管理的安全運維人員及安全審計人員。

②操作管理員。操作管理員由系統(tǒng)管理員進行賬戶生成，授予相關(guān)操作權(quán)限后可針對網(wǎng)元資產(chǎn)進行單點登錄運維管理，其運維過程由中心進行錄制審計，并對操作管理員的操作行為進行管理，超出許可范圍的操作將被攔截，以保護代管的運維資產(chǎn)；操作管理員從登錄、運維、登出的全操作周期范圍內(nèi)，無法獲取到對資產(chǎn)的原始鑒權(quán)令牌（用戶名口令）等信息，在操作管理員身份發(fā)生變化時，保護資產(chǎn)的準入權(quán)限不被剩余信息處置不當導(dǎo)致的越權(quán)行為。

③審計管理員。系統(tǒng)的操作行為、操作管理員的操作行為以及系統(tǒng)運行情況信息將統(tǒng)一采集，將采集情況進行匯總、清洗、補全、分類、分配、呈現(xiàn)。審計管理員對系統(tǒng)運維狀態(tài)在可視化頁面中一目了然，真正在信息系統(tǒng)運維過程中做到縱觀大局。

（6）多租戶安全管理中心建設(shè)應(yīng)考慮高可用性、安全性、合規(guī)性。在實際建設(shè)過程中，現(xiàn)有網(wǎng)絡(luò)中的安全設(shè)備供應(yīng)廠商通常存在多種，多租戶的安全管理中心的建設(shè)需要考慮在異構(gòu)廠商中對接入廠商安全技術(shù)輸出結(jié)果的范式化，各安全廠商日志系統(tǒng)及告警輸出根據(jù)不同品牌的產(chǎn)品習(xí)慣千變?nèi)f化，為了統(tǒng)一審計安全系統(tǒng)告警、系統(tǒng)操作，集中采集系統(tǒng)安全事件、系統(tǒng)登錄記錄、系統(tǒng)運行情況、系統(tǒng)操作日志等各類日志信息等功能亦是運維過程中的阻礙，多IDC安全管理中心需要將采集到的業(yè)務(wù)信息進行識別、提取、過濾、格式化后并根據(jù)適合環(huán)境的算法進行補全、規(guī)整，并集中存儲；并對原始日志的內(nèi)容進行解析，并提取主體、客體、事件內(nèi)容、時間等等信息后以統(tǒng)一的格式進行補全、關(guān)聯(lián)并標記不同的日志來源，以供追溯調(diào)取。同時，針對采集的原始日志，需要按照相關(guān)合規(guī)要求進行存儲備案，在需要相關(guān)部門調(diào)查時可迅速輸出所需材料內(nèi)容。

多租戶安全管理中心設(shè)計功能完善的同時，系統(tǒng)的可用性亦是實際關(guān)注的重點，在部署與設(shè)計的初期在容災(zāi)、備份方面，需要考慮數(shù)據(jù)丟失的風(fēng)險，在遇到故障或災(zāi)害時可自我恢復(fù)需要滿足《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中“在自身遭到損害后，能夠較快恢復(fù)絕大部分功能”的要求。

網(wǎng)絡(luò)安全行業(yè)現(xiàn)今在國內(nèi)處于高速發(fā)展期，在國家的政策要求下，各法規(guī)、條例相繼落地，對于安全、運維系統(tǒng)的整體要求在不斷提高，本系統(tǒng)需滿足各項合規(guī)性要求，并適應(yīng)行業(yè)發(fā)展需要，從資源占用、功能擴充、硬件的兼容上保持標準化接口設(shè)計，為多租戶安全管理中心管理的客戶網(wǎng)絡(luò)資源可提供長久有效的運維服務(wù)保障。

針對多租戶安全管理中心自身安全也成為考慮的重點，系統(tǒng)的整體設(shè)計需要參照EAL相關(guān)標準要求，在人機交互上，系統(tǒng)中心需要滿足相關(guān)合規(guī)性要求中提到多因子校驗的策略，如口令+郵箱、口令+短信等方式，且并在數(shù)據(jù)的采集、存儲、流轉(zhuǎn)過程中進行加密、脫敏處理，滿足數(shù)據(jù)安全成熟度模型的具體要求。

4 結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，在網(wǎng)絡(luò)上，不法行為者攻擊手段層出不窮，因此網(wǎng)絡(luò)安全事件防護不應(yīng)局限與某一行為或某一事件進行分析應(yīng)對，多租戶安全管理中心的設(shè)計依照已頒布的網(wǎng)絡(luò)建設(shè)合規(guī)性要求標準，并考慮整合國內(nèi)外優(yōu)秀廠商的設(shè)計思路，旨在降低運維人員操作難度，提升運維人員工作效率。

在系統(tǒng)分發(fā)、安裝方面：應(yīng)具有易部署、高融合的特點，將傳統(tǒng)的托管運維、代管系統(tǒng)、匯總信息的各等網(wǎng)絡(luò)管理系統(tǒng)融合歸納，形成匯總獨立的安全運維管理中心。在功能權(quán)限規(guī)劃方面，需要符合從安全管理員、運維管理員視角的信息側(cè)重點考量，根據(jù)數(shù)據(jù)源、信息價值、信息歸屬以及信息表達的主體、客體等信息維度，在不同場景下將收集到的網(wǎng)絡(luò)指標進行統(tǒng)計比對；用直觀的數(shù)據(jù)反饋方法、以可視化報表的形式展現(xiàn)給用戶，需要兼容在多個傳統(tǒng)安全管理中心的網(wǎng)絡(luò)環(huán)境中著力解決數(shù)據(jù)量雜、多、需要處理的時效性高等實際問題。