天訊瑞達通信技術(shù)有限公司 寧迪斯

1 引言

隨著社會的進步和發(fā)展，過去傳統(tǒng)被動防御的局面正在逐步改變，各大安全廠商也提出自己的解決方案，既有強化事前預測的，也有升級響應恢復速度的設(shè)計，尤其是隨著大數(shù)據(jù)、云計算、人工智能時代的到來，采用一體化的安全運維管理平臺提供服務變的更為實際。

近些年來，傳統(tǒng)的基于靜態(tài)樣本、單點布控、城墻防御的“老三樣”已經(jīng)暴露出諸多破綻，安全防御的速度、能力、效果遠遠滯后于網(wǎng)絡(luò)攻擊，攻擊方式逐漸向隱蔽化、智能化、專業(yè)化方式演變。為了適應以上變化，想要開發(fā)出更加貼近實際、更加好用的安全運維管理平臺，需要我們對實際的需求進行仔細分析，對開發(fā)的系統(tǒng)進行不斷完善。

基于此，本文對相關(guān)的內(nèi)容進行探討。

2 傳統(tǒng)模式的不足

傳統(tǒng)的安全運維解決方案比較被動，安全運維人員通過日常掃描獲取靜態(tài)樣本，算法單一不精確，沒有數(shù)據(jù)分析和建立安全態(tài)勢模型，依賴單點布控和防火墻防御，這樣會無法及時獲取動態(tài)的安全態(tài)勢和做到快速響應恢復，無法統(tǒng)一化管控、全面動態(tài)感知以及針對性實施塔式防御，而一但安全事件發(fā)生，其影響范圍、影響程度、最終結(jié)果無法即時準確預計，一般延時才能獲取，這樣就會影響事件的動態(tài)跟蹤、抑制和恢復；同時隨著新技術(shù)的推進，各類廠家也紛紛提出自己的安全運維管理平臺，如何將各廠家的掃描任務結(jié)果數(shù)據(jù)進行接口對接也是一個問題；而數(shù)據(jù)分析和風險評估建模統(tǒng)一采用人為判斷的方式，分析和建模模式相對單一，這些與當前信息安全的發(fā)展目標相背離。因此，結(jié)合傳統(tǒng)模式所暴露出來的不足，亟待開發(fā)出一種能夠適應當前信息發(fā)展，又能更好服務于用戶，方便管理的安全運維管理平臺顯得尤為必要。下文將結(jié)合筆者的實際工作經(jīng)驗，對該平臺開發(fā)過程進行一一介紹。

3 現(xiàn)代化電信安全運維管理平臺的設(shè)計過程

3.1 整體框架及算法設(shè)計

整體設(shè)計框架要全面考慮電信現(xiàn)有的信息系統(tǒng)建設(shè)與電信安全運維管理平臺的規(guī)劃和部署，實現(xiàn)電信安全運維管理平臺系統(tǒng)與電信信息系統(tǒng)間的松耦合，也使得電信安全運維管理平臺更容易擴充，更具有整合能力、可重用性。電信安全運維管理平臺系統(tǒng)架構(gòu)采用三層設(shè)計：應用接口層，業(yè)務邏輯層和采集數(shù)據(jù)池層。應用接口層：電信安全運維管理平臺的最頂層，平臺通過webservice、http在線接口以及文件類型離線接口實現(xiàn)與各外部不同信息系統(tǒng)間的信息整合，如與各類廠家的接口模塊整合，如安全廠商接口、ITSM工單接口整合等等。業(yè)務邏輯層:為該電信安全運維管理平臺的核心層。通過對資產(chǎn)、掃描結(jié)果、安全標準等的分析，設(shè)計各類規(guī)則及算法，實現(xiàn)數(shù)據(jù)共享、信息整合及交換的系統(tǒng)功能。采集數(shù)據(jù)池：由基礎(chǔ)信息和掃描結(jié)果信息組成。

基礎(chǔ)信息主要是機構(gòu)、機構(gòu)轄下業(yè)務系統(tǒng)、各業(yè)務系統(tǒng)的資產(chǎn)等。掃描結(jié)果信息包括資產(chǎn)的主機漏洞、基線、WEB漏洞、日志審計等采集回來的數(shù)據(jù)信息。

在算法設(shè)計上，為保證可靠的掃描結(jié)果，減少掃描工具出錯機率，現(xiàn)存漏洞狀態(tài)采用了三次掃描結(jié)果取并集的算法，具體為將第1、2、3次掃描結(jié)果取并集，例如第1次為有漏洞，第2次為無漏洞，第3次為無漏洞，則最終漏洞現(xiàn)存情況為有漏洞。

3.2 功能模塊的設(shè)計

根據(jù)該系統(tǒng)應用實際情況，本文將該系統(tǒng)的功能模塊按功能類別不同分以下幾個方面進行設(shè)計，分別是系統(tǒng)管理、基礎(chǔ)資料管理、任務管理、數(shù)據(jù)采集、輔助庫、安全態(tài)勢分析模塊。

圖1 功能模塊示意圖

它們主要實現(xiàn)的功能是：

1)系統(tǒng)管理

系統(tǒng)管理模塊主要提供機構(gòu)管理、工號管理、角色管理、菜單管理、字典管理、權(quán)限管理、業(yè)務系統(tǒng)管理、數(shù)據(jù)機構(gòu)管理、接口管理等信息系統(tǒng)通用的權(quán)限和接口功能，用于支撐平臺通用基本功能。該功能的實現(xiàn)方便了安全管理員進行權(quán)限和接口配置。

2)基礎(chǔ)資料管理

基礎(chǔ)資料管理模塊主要提供資產(chǎn)管理、安全標準管理、任務規(guī)則管理、報表報告模板管理等業(yè)務基礎(chǔ)資料的管理，用于支撐報表引擎、安全分析引擎的底層規(guī)則策略設(shè)置。該功能的實現(xiàn)統(tǒng)一了安全資料的管理，方便各業(yè)務系統(tǒng)負責人配置。

3)任務管理

任務管理模塊主要提供各項安全任務（如主機漏洞掃描、基線掃描、WEB漏洞掃描等）的增刪改查等業(yè)務邏輯功能，還有任務的工作流程配置管控等功能。該功能的實現(xiàn)方便安全運維項目經(jīng)理、安全運維組長、安全運維人員進行管控和任務處理跟進，任務環(huán)節(jié)也支持通過接口下發(fā)外系統(tǒng)工單。

4)數(shù)據(jù)采集

數(shù)據(jù)采集模塊主要提供將各項安全任務的采集結(jié)果（如主機漏洞掃描、基線掃描、WEB漏洞掃描等）通過各個廠家接口（如綠盟、啟明等不同廠家工具接口）獲取入庫以及加入現(xiàn)存漏洞狀態(tài)算法的業(yè)務邏輯功能，該功能的實現(xiàn)保證了數(shù)據(jù)采集的準確性和現(xiàn)存漏洞狀態(tài)精確性，方便了系統(tǒng)責任人和廠商及時了解現(xiàn)存漏洞情況，并及時進行整改。

5)安全態(tài)勢分析

安全態(tài)勢分析模塊主要是在采集數(shù)據(jù)池基礎(chǔ)上通過風險評估模型和安全態(tài)勢模型的配置進行安全趨勢圖形化展示及安全數(shù)據(jù)報表的綜合查詢，該功能實現(xiàn)了以人為本，很好地通過數(shù)據(jù)分析建模展現(xiàn)現(xiàn)時情況，并在現(xiàn)時數(shù)據(jù)基礎(chǔ)上預測趨勢情況。該功能的實現(xiàn)方便安全管理員及時了解安全態(tài)勢。

6)輔助庫

輔助庫主要提供工具庫、腳本庫、資料庫、報表庫等輔助用途的功能，工具庫主要存放第三方安全檢測專項小工具（如查殺勒索病毒的工具），腳本庫存放專用檢查驗證等腳本，資料庫存放參考文檔，報表庫存放第三方的安全報告報表等。

3.3 系統(tǒng)實現(xiàn)

在設(shè)計完功能模塊后，就可以在開發(fā)平臺上按照需求和功能設(shè)計要求進行開發(fā)，這部分的工作量將是整個系統(tǒng)開發(fā)的主要部分。在完成系統(tǒng)設(shè)計后，可進行系統(tǒng)測試，圖2展示了平臺工作的流程：

圖2 平臺工作的流程圖

3.4 平臺的宣傳和使用

平臺開發(fā)完成后，為了鼓勵用戶合理有效使用平臺，以減少人力資源配置，降低成本，我們還需要進行一系列的工作。首先，通過下發(fā)操作指引和針對特定用戶群進行平臺的宣傳和開放權(quán)限試用，必要的時候，可以采取現(xiàn)場培訓的形式；其次，要多注重多種數(shù)據(jù)采集方式的開發(fā)，目前雖然已經(jīng)集成了多個廠商的掃描結(jié)果采集方式，但是，我們還要善于發(fā)現(xiàn)別的掃描結(jié)果采集方式（如端口掃描結(jié)果、電信集團下發(fā)的滲透掃描結(jié)果），在不斷方便安全掃描員操作的同時，也對平臺進行不斷的完善；第三，要做到新版本功能的公開透明，及時在系統(tǒng)上公布；第四，在系統(tǒng)使用過程中，要盡量保證先滿足業(yè)務系統(tǒng)負責人和廠商的使用需要，將他們和各科室安全管理員和室經(jīng)理等進行區(qū)分，做到系統(tǒng)的效用性，同時優(yōu)化業(yè)務邏輯。

4 結(jié)語

現(xiàn)代化電信安全運維管理平臺的設(shè)計，一實現(xiàn)工作流規(guī)范化和靈活定制，二支持各種數(shù)據(jù)采集導入，三能對漏洞數(shù)據(jù)信息整理分析，四通過建模分析引擎建立多種安全模型，五提供多維度可視化報表，較好地實現(xiàn)全天候全方位的安全工作，是當前信息化時代發(fā)展的需要。

本文結(jié)合當前現(xiàn)代化電信安全運維管理的實際情況，開發(fā)出了一套貼近實際情況的安全運維管理平臺，但是在平臺應用過程中，仍然需要我們仔細觀察和評測，以期進一步使平臺得到完善。

[1]中國電信〔2012〕760號《中國電信IT安全保障體系建設(shè)規(guī)范v2.0》.

[2]YDT1728-2008電信網(wǎng)和互聯(lián)網(wǎng)安全防護管理指南.

[3]GB/T20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架：簡介和一股模型.