包森成，李杰毅，霍旺，計晨曉

（中國移動通信集團浙江有限公司，杭州 310000）

基于“管理、技術(shù)、人才”三引擎的信息安全管理平臺

包森成，李杰毅，霍旺，計晨曉

（中國移動通信集團浙江有限公司，杭州 310000）

為應(yīng)對新技術(shù)、新業(yè)務(wù)給原有安全保障體系帶來的諸多新風(fēng)險，解決當前信息安全工作在職能管理、態(tài)勢感知、人才培養(yǎng)方面的問題，本文創(chuàng)新性地將“管理、技術(shù)、人才”組合為安全保障體系三引擎。管理引擎實現(xiàn)了日常安全工作的高效閉環(huán)管理和常態(tài)化開展；技術(shù)引擎實現(xiàn)對公司內(nèi)部合規(guī)、外部威脅安全指標數(shù)據(jù)的統(tǒng)一采集、統(tǒng)一分析、統(tǒng)一展現(xiàn)；人才引擎優(yōu)化了安全技能培訓(xùn)，構(gòu)建安全人才培養(yǎng)機制。

信息安全；三引擎；態(tài)勢感知

網(wǎng)絡(luò)與信息安全已成為當前國家戰(zhàn)略焦點，圍繞網(wǎng)絡(luò)空間，隱蔽、突發(fā)和復(fù)雜的非傳統(tǒng)網(wǎng)絡(luò)安全威脅則與日俱增，成為國家安全保障的重點和難點。電信運營商是國家基礎(chǔ)網(wǎng)絡(luò)的建設(shè)和維護者，承擔著網(wǎng)絡(luò)安全保障重要職責(zé)；隨著移動互聯(lián)網(wǎng)發(fā)展，電信運營商自身也有著網(wǎng)絡(luò)與系統(tǒng)建設(shè)“集中化”、“開放化”的變革需求，而國家和上級單位對電信運營商網(wǎng)絡(luò)與信息安全各項要求不斷提高。

本文提出打造一個基于“管理、技術(shù)、人才”三引擎的信息安全管理平臺，作為企業(yè)網(wǎng)絡(luò)與信息安全管理“神經(jīng)中樞”，可全面統(tǒng)一展現(xiàn)網(wǎng)絡(luò)與信息安全態(tài)勢和健康度，推進管理流程統(tǒng)一化、態(tài)勢管控集中化、人才培養(yǎng)專業(yè)化，有力提升電信運營商網(wǎng)絡(luò)與信息安全整體水平。

1 項目背景

為滿足國家管理要求，以及企業(yè)自身業(yè)務(wù)發(fā)展的安全保障需求，電信運營商需要持續(xù)提升網(wǎng)絡(luò)與信息安全水平，但電信運營商普遍存在以下問題，嚴重制約企業(yè)網(wǎng)絡(luò)與信息安全發(fā)展。

（1）安全要求缺乏統(tǒng)一標準化流程：由于電信運營商安全管理要求缺乏統(tǒng)一的標準化流程支撐，安全要求難以落地，無法實現(xiàn)“管理有閉環(huán)、流程有跟蹤、執(zhí)行有落實、評價有量化”的安全運營管理要求。

（2）安全態(tài)勢缺乏統(tǒng)一集中化管控：經(jīng)過多年努力，電信運營商打造了安全防護、合規(guī)管理等一系列安全基礎(chǔ)平臺，初步實現(xiàn)了“監(jiān)控、防護、溯源”等安全能力。但是，各技術(shù)平臺存在相對獨立、邏輯結(jié)構(gòu)分散的“孤島”現(xiàn)象，難以實現(xiàn)數(shù)據(jù)統(tǒng)一采集分析、態(tài)勢統(tǒng)一管控展現(xiàn)。

（3）安全人才缺乏統(tǒng)一專業(yè)化培訓(xùn)：從安全形勢和安全任務(wù)角度講，電信運營商的安全隊伍規(guī)模偏小，同時由于培訓(xùn)機制不夠完善、培訓(xùn)平臺不夠?qū)I(yè)，安全隊伍的綜合素質(zhì)技能與崗位不能配比。

因此，電信運營商亟需建設(shè)一個綜合性的信息安全管理平臺，有力支撐安全管理要求落地、安全技術(shù)態(tài)勢管控、安全人才隊伍建設(shè)，從而全面提升網(wǎng)絡(luò)與信息安全管理水平。

2 建設(shè)思路

2.1 平臺總體框架（如圖1所示）

信息安全管理平臺三引擎分為管理引擎、技術(shù)引擎和人員引擎。

（1）管理引擎：信息安全管理平臺實現(xiàn)職能管理和生產(chǎn)管理兩級支撐，建設(shè)安全管理九大流程，實現(xiàn)信息安全流程固化和電子流化，有效提高效率和運營水平。

（2）技術(shù)引擎：對接16個網(wǎng)絡(luò)信息安全平臺，對內(nèi)部合規(guī)、外部威脅等安全指標數(shù)據(jù)進行統(tǒng)一采集、統(tǒng)一分析、統(tǒng)一展現(xiàn)；并設(shè)計一套安全量化指標體系，實現(xiàn)安全態(tài)勢動態(tài)感知和量化評價。

（3）人才引擎：打造完善的安全教學(xué)平臺，實現(xiàn)網(wǎng)絡(luò)安全攻防實戰(zhàn)和理論學(xué)習(xí)兩大功能，并提供網(wǎng)絡(luò)信息安全考評鑒定，構(gòu)建內(nèi)部員工持證上崗機制。

2.2 管理引擎建設(shè)

根據(jù)上級主管單位對網(wǎng)絡(luò)信息安全工作要求，結(jié)合企業(yè)實際工作需要，設(shè)計了兩部委考核、等保符合性評測、網(wǎng)絡(luò)安全巡檢、資產(chǎn)安全稽核、新業(yè)務(wù)新技術(shù)評估、安全事件處置、日常安全管理、安全作業(yè)計劃、安全三同步等9個流程（如圖2所示），實現(xiàn)“有計劃、有分工、可操作、有標準、有記錄、有稽核、有考核”的高效閉環(huán)管理，保證所有安全工作統(tǒng)一規(guī)劃、統(tǒng)一分工、統(tǒng)一考核。

（1）兩部委考核流程：按照兩部委考核要求，實現(xiàn)任務(wù)發(fā)布、考核打分、匯總考核、統(tǒng)計展現(xiàn)等功能。

（2）等保符合性評測流程：對等級保護對象系統(tǒng)符合性評測工作提供電子化流程支撐。

（3）網(wǎng)絡(luò)安全巡檢流程：對網(wǎng)絡(luò)安全風(fēng)險評估工作提供電子化流程支撐。

（4）資產(chǎn)安全稽核流程：可自動發(fā)現(xiàn)網(wǎng)絡(luò)空間中服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等資產(chǎn)，實現(xiàn)與標準庫稽核比對，發(fā)現(xiàn)庫外資產(chǎn)，自動生成工單落實資產(chǎn)更新。

圖1 信息安全管理平臺功能架構(gòu)圖

圖2 網(wǎng)絡(luò)信息安全合規(guī)流程示例圖

（5）新業(yè)務(wù)新技術(shù)評估流程：對存量、新增互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)開展安全評估，確保在線系統(tǒng)滿足安全要求。

（6）安全事件處置流程：對于各渠道獲悉的安全事件提供流程化支撐，對評估、處理等過程進行流程化監(jiān)督，確保安全事件合理合法、及時有效處理。

（7）安全管理流程：對日常安全管理（如督辦單、整改單）提供電子化流程支撐。

（8）作業(yè)計劃流程：對定時周期性安全作業(yè)提供電子化流程支撐。

（9）安全三同步流程：項目管理分為5個階段（規(guī)劃、開發(fā)、建設(shè)、運營、退出），將安全三同步嵌入到項目管理主流程中，實現(xiàn)網(wǎng)絡(luò)信息安全同步規(guī)劃、同步建設(shè)、同步運營。

圖3 技術(shù)引擎模塊架構(gòu)圖

圖4 統(tǒng)一采集技術(shù)架構(gòu)圖

2.3 技術(shù)引擎建設(shè)

2．3．1 數(shù)據(jù)采集分析

技術(shù)引擎基于Flume、Kafka、Spark、Hadoop等大數(shù)據(jù)技術(shù)進行搭建。該引擎的建設(shè)實現(xiàn)了對公司內(nèi)部合規(guī)、外部威脅相關(guān)安全指標數(shù)據(jù)的統(tǒng)一采集、統(tǒng)一分析、統(tǒng)一展現(xiàn)。引擎技術(shù)架構(gòu)如圖3所示。

統(tǒng)一采集是由Flume框架和Kafka實現(xiàn)的。Flume是一個分布式、高可用和可靠的海量日志聚合系統(tǒng)，支持在系統(tǒng)中定制各類數(shù)據(jù)發(fā)送方，用于收集數(shù)據(jù)；同時，F(xiàn)lume提供對數(shù)據(jù)進行簡單處理，并寫到各種數(shù)據(jù)接受方（可定制）的能力，F(xiàn)lume的工作原理如圖4所示。

Kafka為集中采集提供了多組件并行讀取數(shù)據(jù)緩存的能力，消除了在數(shù)據(jù)串行處理模式下因數(shù)據(jù)量巨大導(dǎo)致采集效率低下的瓶頸。目前集中采集支持TCP、 UDP、SYSLOG，WebService、SSH、JDBC、WMI、FTP、目錄、文件等采集協(xié)議，并且還支持插件式擴展采集協(xié)議。在目前的協(xié)議基礎(chǔ)上可以定制多種插件來進行特殊協(xié)議的解析，如企業(yè)內(nèi)部可能會有自行開發(fā)的非公開協(xié)議信息，從而達到數(shù)據(jù)更加精確化存儲與索引。

數(shù)據(jù)分析處理模塊從Kafka隊列中獲取數(shù)據(jù)，進行標準化、信息補全等操作，然后把這些數(shù)據(jù)分別寫入Solr索引平臺、Hadoop中的HDFS、Kafka。由于數(shù)據(jù)分析處理模塊是采用的ClassLoad方法把Plugin目錄中所有jar包讀入System空間，所以據(jù)分析處理模塊項目的所有插件只要放在該目錄即可自動完成加載。數(shù)據(jù)處理流程如圖5所示。

2．3．2 量化指標體系

本項目將安全指標進行量化衡量，以便對發(fā)現(xiàn)的問題開展根源分析，持續(xù)改進。量化指標基于合規(guī)保障、風(fēng)險規(guī)避、創(chuàng)造價值、穩(wěn)定運行等4個方面進行綜合評價，涵蓋內(nèi)容安全、數(shù)據(jù)安全、用戶安全、終端安全、網(wǎng)絡(luò)安全等領(lǐng)域，根據(jù)每個安全領(lǐng)域的不同特點，采取不同的計算方式。

（1）合規(guī)類指標：從法規(guī)遵從視角衡量已有安全措施與法律法規(guī)，技術(shù)標準、行業(yè)要求的符合度。

（2）風(fēng)險類指標：監(jiān)控系統(tǒng)安全風(fēng)險動態(tài)變化，評估系統(tǒng)當前已經(jīng)規(guī)避的安全威脅和殘余風(fēng)險。

（3）價值類指標：衡量安全事件響應(yīng)及時性，評估安全措施對生產(chǎn)和運營管理帶來效率方面影響，服務(wù)能力外化帶來的價值收益。

（4）生產(chǎn)類指標：從系統(tǒng)穩(wěn)定性、可靠性、可用性視角評價安全系統(tǒng)的品質(zhì)。

安全量化指標示例如表1所示。

圖5 數(shù)據(jù)分析流程圖

2．3．3 安全健康度模型

安全健康度計算通過對構(gòu)成安全領(lǐng)域賦予權(quán)重，按照百分制計算各評估領(lǐng)域的得分情況加權(quán)評分。安全健康度計算公式如表2所示。

（1）按照評分規(guī)則對各個指標項進行評分（百分制）。

（2）對構(gòu)成安全領(lǐng)域的指標項賦予權(quán)重（各領(lǐng)域的指標項的權(quán)重之和為1）。

（3）按照百分制計算各領(lǐng)域的得分情況。

（4）對各安全領(lǐng)域賦予權(quán)重（各領(lǐng)域的指標項的權(quán)重之和為1）。

（5）按照百分制計算安全健康指數(shù)。

例如內(nèi)容安全的健康度=行業(yè)端口百萬短彩信舉報率得分×W1+……垃圾短彩信舉報量得分×Wn；其中的W1等權(quán)值均小于1且可以靈活設(shè)置。

其中行業(yè)端口百萬短彩信舉報率得分的計算公式為：

表1 安全量化指標示例

其中p為從對應(yīng)系統(tǒng)獲取到的“行業(yè)端口百萬短彩信舉報率”值。

垃圾短彩信舉報量得分的計算公式為：

其中V為從對應(yīng)系統(tǒng)獲取到的“垃圾短彩信舉報量”A為不同單位基準值。

2.4 人才引擎建設(shè)

網(wǎng)絡(luò)信息安全人才培養(yǎng)需要從構(gòu)建安全人才培養(yǎng)機制和打造安全教學(xué)基礎(chǔ)設(shè)施兩方面著手，該平臺建設(shè)了攻防實戰(zhàn)和知識學(xué)習(xí)兩大模塊，著力打造完善的網(wǎng)絡(luò)信息安全教學(xué)平臺，有力支撐網(wǎng)絡(luò)信息安全人才綜合素質(zhì)培養(yǎng)。

平臺遵循“以理論學(xué)習(xí)為基礎(chǔ)，結(jié)合專業(yè)實訓(xùn)”這個原則，針對信息安全專業(yè)不同類型崗位的素質(zhì)模型、崗位與員工能力的匹配程度，開發(fā)安全培訓(xùn)課程體系，培訓(xùn)課程包括咨詢調(diào)研報告、安全經(jīng)驗分享、國際標準、安全制度規(guī)范、專業(yè)認證課程等五大類。并采用虛擬化與SDN等技術(shù)建設(shè)了網(wǎng)絡(luò)安全攻防實戰(zhàn)模塊，能夠提供一個系統(tǒng)、全面、完善的網(wǎng)絡(luò)安全實驗與實戰(zhàn)的真實環(huán)境，有助于提升人員的安全防護能力和安全意識，提高在網(wǎng)絡(luò)安全領(lǐng)域的實際操作能力，提高人員在實際環(huán)境中發(fā)現(xiàn)問題與解決問題的能力，培養(yǎng)信息安全專業(yè)領(lǐng)域的實用型和創(chuàng)新型人才。

此外，平臺提供安全考評鑒定能力，考試題庫包括諸如安全意識、標準規(guī)范、安全技能等多種題型，考試試卷可按試題分類、難度、題型隨機生成，支持不同類型員工的線上考試，支撐內(nèi)部員工持證上崗機制。

3 結(jié)束語

本文立足電信運營商的安全現(xiàn)狀，分析了當前職能管理、安全態(tài)勢和人員培養(yǎng)中存在的問題，參考國家網(wǎng)絡(luò)安全戰(zhàn)略、行業(yè)安全監(jiān)管要求，創(chuàng)新性的將“管理、技術(shù)、人才”組合為安全保障體系，并打造公司級信息安全管理平臺對其提供有力支撐，提供如下能力。

表2 安全健康度計算公式

（1）安全工作電子流程化：本項目設(shè)計了9個安全管理流程，解決了各種流程管理脫節(jié)的問題，形成一個統(tǒng)一的標準化的閉環(huán)管理流程，實現(xiàn)了信息安全流程固化和電子流化，有效提高效率和運營水平。

（2）全網(wǎng)安全態(tài)勢可視化：基于大數(shù)據(jù)技術(shù)的全網(wǎng)內(nèi)容安全、數(shù)據(jù)安全、用戶安全、終端安全、網(wǎng)絡(luò)安全、資產(chǎn)安全等領(lǐng)域安全指標進行統(tǒng)一采集、實時分析、統(tǒng)一呈現(xiàn)，有助于各級安全人員了解全網(wǎng)整體安全情況，使得安全管理、維護工作有的放矢。

（3）安全人才培養(yǎng)專業(yè)化：依托以人才管理制度、資源共享、配套考核鑒定為切入點的攻防平臺，和為信息安全專業(yè)不同類型崗位的素質(zhì)模型、崗位與員工能力的匹配程度提供專業(yè)化的安全培訓(xùn)課程體系，有效提升安全人才隊伍建設(shè)組織化、專業(yè)化程度。

Based on three engine of management, technology, talent to build a more perfect information security system

BAO Sen-cheng, LI Jie-yi, HUO Wang, JI Chen-xiao
(China Mobile Group Zhejiang Co., Ltd., Hangzhou 310000, China)

In order to cope with the new technology and new business to bring the original security system many new risks, solve the current information security in the management, situational awareness and talentproblems. In this paper, the innovation of the technology, management, personnel combination for the security system of the three engine . The construction and management of engine to achieve effi cient closed-loop management daily work safety and carry out normalization; construction technology engine to achieve internal compliance and external threats to the security of data acquisition, analysis, unifi ed show, talent engine construction optimization skills training, broaden the occupation development, so as to construct safety personnel training mechanism, to build an information security professionals.

information security; three engine; situational awareness

TN918

A

1008-5599（2016）12-0016-06

2016-11-27