摘 要：為提高信息化運(yùn)維水平，建設(shè)一套安全運(yùn)維管理平臺(tái)勢在必行。通過對IT基礎(chǔ)設(shè)施與應(yīng)用系統(tǒng)的集中監(jiān)控，對安全事件、問題、變更、配置等運(yùn)維服務(wù)進(jìn)行集中處理，全面提升信息安全保障能力，提高信息安全管理水平，為運(yùn)維工作提供有效技術(shù)支撐。

關(guān)鍵詞：安全運(yùn)維；技術(shù)支撐；信息安全

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A

1 引言（Introduction）

為進(jìn)一步規(guī)范信息安全管理，提高信息安全管理水平，建設(shè)一套集“監(jiān)、管、控”功能為一體的安全運(yùn)維管理平臺(tái)勢在必行[1，2]，通過對IT基礎(chǔ)設(shè)施與應(yīng)用系統(tǒng)的集中監(jiān)控，實(shí)時(shí)反映IT資源的運(yùn)行狀況，對事件、問題、變更、配置等運(yùn)維服務(wù)進(jìn)行集中處理，最終實(shí)現(xiàn)信息資產(chǎn)可知、運(yùn)行狀態(tài)可視、服務(wù)流程可管、運(yùn)維操作可控，全面提升信息安全保障能力，有效支撐業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行，為運(yùn)維工作提供有效技術(shù)支撐。

2 IT運(yùn)維中存在的問題（Problems in the operation

management）

隨著IT業(yè)務(wù)和規(guī)模不斷在擴(kuò)展，給信息中心人員的管理帶來了一定程度上的難度，主要體現(xiàn)在以下幾個(gè)方面：

一是隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，傳統(tǒng)的“來電響應(yīng)式”的IT運(yùn)維管理模式無法及時(shí)發(fā)現(xiàn)潛在的網(wǎng)絡(luò)異常及隱患，如何實(shí)現(xiàn)網(wǎng)絡(luò)的事前管理和透明化監(jiān)控是保障應(yīng)用系統(tǒng)穩(wěn)定運(yùn)行、核心業(yè)務(wù)正常運(yùn)轉(zhuǎn)的關(guān)鍵。

二是業(yè)務(wù)系統(tǒng)的數(shù)量不斷增多，往往是業(yè)務(wù)部門向信息中心反映系統(tǒng)出現(xiàn)問題后，運(yùn)維人員才發(fā)現(xiàn)系統(tǒng)出現(xiàn)了故障，具有滯后性。同時(shí)無法從業(yè)務(wù)角度來審視系統(tǒng)的健康度，導(dǎo)致故障無法快速定位業(yè)務(wù)故障點(diǎn)，也無法通過資源的故障判斷它所影響到的業(yè)務(wù)系統(tǒng)等。

三是缺少有效技術(shù)手段，對網(wǎng)絡(luò)邊界完整性進(jìn)行監(jiān)控與管理，不能及時(shí)發(fā)現(xiàn)私自內(nèi)聯(lián)與非法外聯(lián)等高風(fēng)險(xiǎn)行為。對業(yè)務(wù)訪問、后臺(tái)運(yùn)維等操作行為缺少必要的監(jiān)控與審計(jì)管理技術(shù)手段。

3 建設(shè)內(nèi)容（The content of the construction）

信息系統(tǒng)安全運(yùn)維管理平臺(tái)應(yīng)該包括以下內(nèi)容：

3.1 綜合監(jiān)控管理子系統(tǒng)

綜合監(jiān)控管理子系統(tǒng)實(shí)現(xiàn)對IT基礎(chǔ)層的路由交換設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、服務(wù)等以及資源關(guān)聯(lián)的應(yīng)用進(jìn)程、端口、日志等的全面監(jiān)管，幫助管理人員及時(shí)了解IT架構(gòu)（各類IT資源）的運(yùn)行情況，形成安全事件關(guān)聯(lián)分析，支持策略管理，能自動(dòng)或手工設(shè)定啟動(dòng)相關(guān)事件處理流程。

3.2 安全運(yùn)維服務(wù)管理子系統(tǒng)

運(yùn)維服務(wù)管理子系統(tǒng)是安全管理、日常工作和服務(wù)管理的有機(jī)結(jié)合。運(yùn)維服務(wù)管理子系統(tǒng)應(yīng)基于ITIL（運(yùn)維管理最佳實(shí)踐等）和實(shí)際管理需求，提供服務(wù)流程管理、業(yè)務(wù)資源管理、安全管理為主的綜合性管理，以保障運(yùn)維管理的規(guī)范化和標(biāo)準(zhǔn)化，提升日常運(yùn)維管理效能。

3.2.1 安全信息采集與分析

采集各種廠商、各種類型的日志信息，針對采集的各類安全要素信息，實(shí)現(xiàn)性能與可用性分析、配置符合性分析、安全事件分析、脆弱性分析、風(fēng)險(xiǎn)分析和宏觀態(tài)勢分析。其中，風(fēng)險(xiǎn)分析包括了資產(chǎn)價(jià)值分析、影響性分析、弱點(diǎn)分析、威脅分析等；宏觀態(tài)勢分析包括了地址熵分析、熱點(diǎn)分析、關(guān)鍵安全指標(biāo)分析、業(yè)務(wù)健康度分析、關(guān)鍵管理指標(biāo)分析?？杉傻谌桨踩芾碇行能浖?/p>

（1）安全事件采集

根據(jù)前期從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)、應(yīng)用等對象收集的各種安全資源、對象的安全事件、安全配置、安全漏洞、資產(chǎn)信息等數(shù)據(jù)，進(jìn)行范式化處理，把各種不同表達(dá)方式的日志轉(zhuǎn)換成的統(tǒng)一的描述形式。

（2）安全事件分析

透過智能化的安全事件關(guān)聯(lián)分析，提供基于規(guī)則的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析技術(shù)。

管理對象的日志量和告警事件量應(yīng)在應(yīng)用系統(tǒng)拓?fù)鋱D顯示；用戶點(diǎn)擊拓?fù)涔?jié)點(diǎn)可以查詢事件和告警信息詳情；可以對一段時(shí)間內(nèi)的安全事件進(jìn)行行為分析，形象化地展示海量安全事件之間的關(guān)聯(lián)關(guān)系，從宏觀的角度來協(xié)助定位安全問題。

安全事件以可視化視圖展示，具備多種展現(xiàn)手段，至少包括事件拓?fù)鋱D、IP全球定位圖、動(dòng)態(tài)事件移動(dòng)圖、事件多維分析圖、資產(chǎn)拓?fù)鋱D等。

3.2.2 安全隱患預(yù)警與處置

采用主動(dòng)管理方式，能夠在威脅發(fā)生之前進(jìn)行事前安全管理。主要提供安全威脅預(yù)警管理、主動(dòng)漏洞掃描管理、主動(dòng)攻擊測試等方式配合進(jìn)行安全核查。

安全威脅預(yù)警管理，用戶可以通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與資產(chǎn)進(jìn)行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。

主動(dòng)漏洞掃描管理，能夠主動(dòng)地、定期自動(dòng)化地發(fā)起漏洞掃描、攻擊測試等，并將掃描結(jié)果與資產(chǎn)進(jìn)行匹配，進(jìn)行資產(chǎn)和業(yè)務(wù)的脆弱性管理。

配合安全檢查管理，夠協(xié)助運(yùn)維管理人員建立安全配置基線管理體系，實(shí)現(xiàn)資產(chǎn)安全配置檢查工作的標(biāo)準(zhǔn)化、自動(dòng)化，并將其納入全網(wǎng)業(yè)務(wù)脆弱性和風(fēng)險(xiǎn)管控體系。

3.2.3 告警管理

為了全面的收集各類事件告警，系統(tǒng)應(yīng)提供所有事件告警的統(tǒng)一管理。

（1）告警內(nèi)容

告警內(nèi)容包含事件的節(jié)點(diǎn)、類型、級別、位置、相關(guān)業(yè)務(wù)等，幫助運(yùn)維人員在收到故障報(bào)警時(shí)能夠迅速了解故障相關(guān)的資源、人員、業(yè)務(wù)等信息，快速作出反應(yīng)。

（2）告警處理

系統(tǒng)需要針對各業(yè)務(wù)系統(tǒng)涉及IT資源環(huán)境進(jìn)行實(shí)時(shí)故障處理。它能從主機(jī)和業(yè)務(wù)系統(tǒng)的各個(gè)環(huán)節(jié)收集事件信息，通過對這些信息的過濾、處理、關(guān)聯(lián)，分遞給相關(guān)人員，使得最重要的故障能夠優(yōu)先地被關(guān)注及處理。

告警消息能按照應(yīng)用類別、消息種類、消息級別和處理崗位進(jìn)行分類處理。消息種類可分為：操作系統(tǒng)、數(shù)據(jù)庫、中間件、存儲(chǔ)、硬件、應(yīng)用、安全和網(wǎng)絡(luò)等。

（3）告警發(fā)布

能對告警級別進(jìn)行自定義，根據(jù)級別確定電話告警，短信告警，郵件告警的方式進(jìn)行報(bào)警。

3.2.4 風(fēng)險(xiǎn)管理

信息安全風(fēng)險(xiǎn)管理工作是在安全信息分析與處理功能的基礎(chǔ)上進(jìn)行信息安全風(fēng)險(xiǎn)評估、信息安全整改任務(wù)等工作。

信息安全風(fēng)險(xiǎn)評估，根據(jù)安全信息分析結(jié)果開展風(fēng)險(xiǎn)評估流程，將風(fēng)險(xiǎn)評估結(jié)果形成豐富而詳細(xì)的圖形及報(bào)表。

信息安全整改，將信息安全風(fēng)險(xiǎn)評估信息匯總，歸并各個(gè)部門需處置的信息安全風(fēng)險(xiǎn)，進(jìn)行集中處置工作并進(jìn)行整改落實(shí)情況分析。

4 結(jié)論（Conclusion）

建立以資產(chǎn)管理為基礎(chǔ)，項(xiàng)目管理為紐帶，以信息系統(tǒng)為核心，建立對IT業(yè)務(wù)的全生命周期的完整管理，從狀態(tài)監(jiān)控、行為審計(jì)、風(fēng)險(xiǎn)評估、服務(wù)管理四個(gè)維度建立起來的一套適合安全運(yùn)維工作需求的統(tǒng)一業(yè)務(wù)支撐平臺(tái)，使得各類用戶能夠?qū)ο到y(tǒng)的關(guān)聯(lián)性、健康性、可用性、風(fēng)險(xiǎn)性、連續(xù)性、安全性等多維度進(jìn)行精確度量、分析評估，實(shí)現(xiàn)事后運(yùn)維向事中運(yùn)維以至向事前防范的轉(zhuǎn)變，最終實(shí)現(xiàn)信息系統(tǒng)的持續(xù)安全運(yùn)營。

參考文獻(xiàn)（References）

[1] 景義瓊.基于ITIL的網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].復(fù)

旦大學(xué)，2010：15-18.

[2] 李榮華.基于ITIL的IT運(yùn)維管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京

郵電大學(xué)，2010：13-15.

[3] 李長征.電子政務(wù)運(yùn)維管理的關(guān)注因素[J].信息化建設(shè)，2009

（02）：1-2.

作者簡介：

張先哲（1982-），女，碩士，講師.研究領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)安全.