在網(wǎng)絡安全攻防技術對抗領域里，企業(yè)需要面對眾多新漏洞、新病毒、新攻擊手段、新黑客行為等各類威脅，即便是建設了多種主動安全檢測工具和系統(tǒng)，但若缺少統(tǒng)一服務與相互協(xié)同的宏觀安全技術，及面向安全資源與企業(yè)業(yè)務的全環(huán)節(jié)服務管控，也往往只是被動防御，最終是事倍功半?！叭旨夹g、七分管理”是企業(yè)信息安全領域瑯瑯上口的至理名言，但要如何真正做到、做好卻是極具挑戰(zhàn)的。

隨著網(wǎng)絡安全攻防對抗的不斷升級，企業(yè)安全管理工作不論從宏觀的安全管控視角，到各環(huán)節(jié)安全管理工作落實都面臨著巨大的挑戰(zhàn)。例如，企業(yè)各類安全檢測工具、安全系統(tǒng)煙筒式建設，難以做到統(tǒng)一調(diào)度、相互協(xié)調(diào)；關鍵業(yè)務環(huán)節(jié)銜接不緊密，未實現(xiàn)安全全流程閉環(huán)管控能力；安全工作分散，未形成高效的安全管控體系等等。

圖1 安全資源云服務平臺與云安全服務管控體系關系框架

基于云技術，筆者單位針對企業(yè)級安全資源管控需求，在搭建安全資源云服務平臺的基礎上，構(gòu)建云安全服務管控體系，并制定安全資源全流程各環(huán)節(jié)閉環(huán)管理規(guī)范，建立各類安全管控機制及安全檢測工具風險量化考核評分模型等。面向安全資源全生命周期、安全管控全流程，從而實現(xiàn)企業(yè)級安全資源云管理，輸出一系列高效的企業(yè)級安全管控服務能力。

云安全服務管控體系概述

基于云化安全模式框架下安全資源云服務平臺建設基礎，廣東移動多年實踐總結(jié)構(gòu)建了一整套安全服務規(guī)范管控體系。面向企業(yè)安全管理工作，明確安全技術路標、建立安全合規(guī)實施框架，并確定安全資源閉環(huán)管理流程，規(guī)范各類網(wǎng)絡管控機制與場景，探索風險量化考核評分標準。

筆者單位安全資源云服務平臺是基于云化安全模式框架，針對企業(yè)IT資產(chǎn)安全，搭建的企業(yè)級SaaS安全服務私有云，提供統(tǒng)一的安全檢測手段，一致更新的安全管控能力，豐富的企業(yè)安全運維場景支撐，統(tǒng)一的任務、策略發(fā)布管理等。圖1為安全資源云服務平臺與云安全服務管控體系關系框架。安全服務管控體系是建立在云服務平臺基礎上的安全運維管理框架規(guī)則與實施管控手段，面向企業(yè)核心業(yè)務體系，實現(xiàn)高效的云化安全管理能力。

云安全服務管控體系作為單位安全資源云服務平臺的核心管控框架與實施思想，在云服務全流程各個環(huán)節(jié)指導企業(yè)安全管控工作。

圖2 安全檢測全流程閉環(huán)跟蹤

安全檢測閉環(huán)管理

針對企業(yè)安全管理工作關鍵業(yè)務各環(huán)節(jié)“危而不查，查而不報，報而不改”等問題，建立安全檢測全流程閉環(huán)管理規(guī)范，面向安全運維全流程各個環(huán)節(jié)，根據(jù)企業(yè)資源安全管理模式任務發(fā)布、適配策略，策略管理、下發(fā)、跟蹤、過程評估為基礎，落實安全檢測閉環(huán)化管理工作，下面介紹閉環(huán)管理關鍵點。

1.策略管理

基于明確的策略目標，制定具體安全策略，并對各安全策略進行策略管理，實現(xiàn)策略的新增、發(fā)布、下線等流程，以及添加、編輯、查詢等策略管理功能。

2.策略下發(fā)

根據(jù)企業(yè)資源安全管理模式適配具體策略，并面向相關安全檢測任務流程下發(fā)策略。

3.策略跟蹤

跟蹤具體策略執(zhí)行情況，完成全流程各環(huán)節(jié)策略執(zhí)行情況監(jiān)控，確保策略高效執(zhí)行。

4.過程評估

針對安全業(yè)務策略執(zhí)行流程情況，輸出過程評估結(jié)果，并根據(jù)具體結(jié)果指導下一步安全服務工作。

根據(jù)具體安全服務策略，實現(xiàn)安全云服務閉環(huán)管理能力。圖2為面向具體安全業(yè)務的安全檢測全流程閉環(huán)跟蹤。

安全云服務管控機制

在安全服務管控體系中，核心是建立規(guī)范化、集中化的云安全服務管控機制，面向各類安全資源管控業(yè)務，輸出幾大類云安全管控能力。云平臺則在管控機制基礎上對各類云安全服務場景實現(xiàn)管理、安全場景自動化檢測、資產(chǎn)發(fā)現(xiàn)等功能。下面詳細介紹各大管控規(guī)范機制。

1.入網(wǎng)安全機制

同步支持企業(yè)IAM（Identity and Access Management）、Agent、遠 程ActiveX控件、離線腳本等多種方式實現(xiàn)賬號、資產(chǎn)數(shù)據(jù)在線、離線配置獲取能力。并制定針對新獲取企業(yè)IT資產(chǎn)的全面綜合入網(wǎng)安全機制，實現(xiàn)全部新入網(wǎng)資源安全服務全流程安全檢查以及入網(wǎng)安全輔導，確保資源入網(wǎng)安全。

2.日常安全巡檢機制

針對各類日常安全運維工作，規(guī)范各類日常安全巡檢機制，其中包括：安全巡檢時間、頻率、資產(chǎn)范圍以及安全服務范圍等，基于云服務平臺建設自動化日常安全巡檢及巡檢結(jié)果輸出功能，掌控后續(xù)管理閉環(huán)全流程各環(huán)節(jié)。

3.新威脅快速預警機制

基于實時網(wǎng)絡爬蟲技術及關鍵內(nèi)容分析技術，建立面向最新漏洞、最新攻擊等應急威脅快速發(fā)現(xiàn)、快速響應機制，實現(xiàn)威脅快速響應、資產(chǎn)全面搜索、問題精準定位、威脅即時補救等能力。

4.專項問題核查機制

面對企業(yè)各類信息安全專項問題，輸出：基礎配置合規(guī)專項檢查、弱口令專項核查、防火墻策略專項核查、安全域?qū)ｍ椇瞬?、全量漏洞專項核查、補丁安裝專項核查、日志服務配置專項核查等云化專項問題核查機制，針對各類安全防護、監(jiān)控、分析、響應特點制定專項問題核查管理規(guī)范。

風險量化考核評分模型

面向企業(yè)IT資產(chǎn)維度，基于系統(tǒng)漏洞、弱密碼、資產(chǎn)合規(guī)配置、以及Web漏洞等單一安全檢測結(jié)果進行綜合分析，構(gòu)建IT資產(chǎn)安全狀況宏觀量化評分模型，輸出風險量化考核評價方法。

該方法基于安全資源云服務能力，綜合IT資產(chǎn)各類安全檢測結(jié)果、歷史趨勢、專家級建議等各類數(shù)據(jù)，滿足企業(yè)管理層、業(yè)務層、具體執(zhí)行層等各層次不同角色需求，可靈活設定并調(diào)整評價標準，實現(xiàn)公司級、系統(tǒng)安全級、到掃描類型級，從宏觀到微觀企業(yè)IT資產(chǎn)脆弱性的分析、整合和展現(xiàn)，為企業(yè)用戶提供安全管理宏觀數(shù)據(jù)及決策依據(jù)。下面詳細闡述具體安全檢測工具量化考核評分模型。

1. 公司安全評分

公司安全評分是對系統(tǒng)安全評分按重要級別加權平均。系統(tǒng)按重要級別分為一級、二級、三級和四級，四個級別的加權因子分別為10、6、3、1, 權重則是 10/W、6/W、3/W、1/W。

2. 系統(tǒng)安全評分

系統(tǒng)安全評分是基于不同掃描安全類型的安全評分進行加權平均。系統(tǒng)的總體評分可由系統(tǒng)漏洞掃描評分、合規(guī)配置檢查評分、弱密碼掃描評分、以及Web漏洞掃描評分等加權平均而得。

3. 掃描類型安全評分

掃描類型安全評分是對該系統(tǒng)下所有主機或網(wǎng)站的安全工具掃描結(jié)果進行加權平均。

4. 安全工具掃描結(jié)果評分

安全工具掃描結(jié)果評分是最基本的安全檢測工具針對某主機或者網(wǎng)站進行掃描之后取得的評分，是量化考核模型的最小元素。

針對掃描結(jié)果進行評分計算，以系統(tǒng)漏洞安全掃描為例。首先以三個月漏洞掃描結(jié)果為一個周期，對大量數(shù)據(jù)進行統(tǒng)計，統(tǒng)計分析漏洞數(shù)量概率分布。發(fā)現(xiàn)漏洞呈右偏分布，基于泊松分布和對數(shù)正態(tài)分布對實際數(shù)據(jù)進行擬合。并基于木桶理論，主機或者網(wǎng)站的安全程度與最嚴重的漏洞相關，只要有一個高危漏洞，系統(tǒng)的安全程度就會顯著下降的原則，實現(xiàn)漏洞評分矩陣計算。

結(jié)語

“三分技術、七分管理”是企業(yè)安全管控工作的核心指導，隨著云安全服務技術的持續(xù)發(fā)展，以及云安全服務平臺建設，企業(yè)針對云安全服務管理的理解正不斷深入，各類安全管理手段、指導機制及分析模型更日趨成熟。企業(yè)面向網(wǎng)絡安全管理工作，將獲得更扎實的管控力與更精準的決策力。