王 新，黃紫翎，楊 露

（長(zhǎng)江三峽通航管理局，湖北 宜昌 443000）

引言

隨著信息化的快速發(fā)展，網(wǎng)絡(luò)建設(shè)不斷推進(jìn)，IT資源數(shù)量與種類也不斷增加，由終端、服務(wù)器、交換機(jī)搭建的小型網(wǎng)絡(luò)逐漸擴(kuò)展，增加了無(wú)線、安全產(chǎn)品、云平臺(tái)和工控產(chǎn)品等，網(wǎng)絡(luò)主機(jī)、網(wǎng)絡(luò)設(shè)備及安全設(shè)備的數(shù)量與日俱增，分布地域也越來(lái)越廣。網(wǎng)管運(yùn)維人員面對(duì)數(shù)量眾多的IT資源與設(shè)備，耗費(fèi)了巨大的精力，但成效有限。在運(yùn)維與運(yùn)營(yíng)過(guò)程中主要存在以下問(wèn)題：

1）缺乏必要的基礎(chǔ)設(shè)施支撐，沒(méi)有專門針對(duì)安全的運(yùn)維體系，很多涉及安全的運(yùn)維被分散到不同的部門實(shí)現(xiàn)，協(xié)同效率低下。

2）未形成全局性網(wǎng)絡(luò)安全事件處理能力，無(wú)跟蹤機(jī)制，直至?xí)r間閉環(huán)。

3）缺乏有效的技術(shù)手段對(duì)各類資源運(yùn)行情況、告警情況和安全事件情況等進(jìn)行綜合全面的統(tǒng)計(jì)分析。

4）沒(méi)有自動(dòng)化操作能力，目前安全運(yùn)維工作還處于人工維護(hù)階段，工作效率相對(duì)較低，人工負(fù)擔(dān)重。

1 綜合安全管理平臺(tái)概況

傳統(tǒng)的安全管理平臺(tái)更多集中在設(shè)備側(cè)的運(yùn)維與管理上，通過(guò)傳統(tǒng)安全管理平臺(tái)可以實(shí)現(xiàn)對(duì)添加入平臺(tái)的資源（主機(jī)、服務(wù)器、安全設(shè)備和網(wǎng)絡(luò)設(shè)備等）進(jìn)行集中管理，實(shí)現(xiàn)集中巡檢、策略下發(fā)以及版本升級(jí)等維護(hù)工作，實(shí)現(xiàn)相關(guān)日志（系統(tǒng)日志、安全日志和業(yè)務(wù)日志等）的采集與存儲(chǔ)，實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)涞木S護(hù)與管理，實(shí)現(xiàn)部分資產(chǎn)的臺(tái)賬管理工作。然而，隨著業(yè)務(wù)與網(wǎng)絡(luò)安全的深度耦合，網(wǎng)絡(luò)安全的運(yùn)營(yíng)不再是單純的設(shè)備維護(hù)工作，需要海量的專業(yè)分析支撐、業(yè)務(wù)部門的深度參與、業(yè)務(wù)流程緊密配合，才能實(shí)現(xiàn)事件的高效閉環(huán)處理，這些要求已遠(yuǎn)遠(yuǎn)超出傳統(tǒng)安全管理平臺(tái)的能力范疇。綜合安全管理應(yīng)運(yùn)而生，通過(guò)平臺(tái)支撐，可降低運(yùn)維成本，提升運(yùn)維效率。

綜合安全管理平臺(tái)以“管理”為核心理念，經(jīng)過(guò)多年不斷的技術(shù)沉淀與經(jīng)驗(yàn)積累，在傳統(tǒng)安全管理平臺(tái)的基礎(chǔ)上，再一次從業(yè)務(wù)的角度詮釋了“動(dòng)態(tài)化”綜合安全管理平臺(tái)的形成，將綜合安全管理平臺(tái)打造為管理者應(yīng)用的工具，技術(shù)協(xié)作的平臺(tái)，最終形成“體系化的管理框架，引擎化的管理中心，智能化的關(guān)聯(lián)分析，自動(dòng)化的運(yùn)營(yíng)處理，多部門的閉環(huán)管理”。如圖1所示。

圖1 綜合安全管理平臺(tái)

2 體系化的管理框架

體系化管理框架的建設(shè)主要體現(xiàn)在以下幾個(gè)角度。

1）技術(shù)角度。綜合安全管理平臺(tái)已成為一體化安全管理運(yùn)行的技術(shù)集成平臺(tái)，完美地容納了眾多安全管理引擎，實(shí)現(xiàn)了動(dòng)態(tài)化監(jiān)控。

2）管理角度。綜合安全管理平臺(tái)采用統(tǒng)一安全策略的集中編輯與分發(fā)，對(duì)各類風(fēng)險(xiǎn)進(jìn)行整體管理，尤其是對(duì)眾多設(shè)備的統(tǒng)一配置管理，實(shí)現(xiàn)了對(duì)各類安全設(shè)備的安全規(guī)則進(jìn)行統(tǒng)一配置分發(fā)，極大地降低了維護(hù)人員的工作量，為使用人員提供了全方位的安全防護(hù)。

3）業(yè)務(wù)角度。綜合安全管理平臺(tái)不僅針對(duì)設(shè)備層進(jìn)行安全管理，還覆蓋了不同行業(yè)業(yè)務(wù)層的安全。通過(guò)整合業(yè)務(wù)，對(duì)用戶整體業(yè)務(wù)系統(tǒng)進(jìn)行建模，仿真業(yè)務(wù)運(yùn)作流程，在綜合安全管理過(guò)程中，保證用戶業(yè)務(wù)的可用性與可靠性，保障用戶操作應(yīng)用的簡(jiǎn)便性以及可視化界面的友好型。

4）運(yùn)維角度。引入了自動(dòng)巡檢的功能，通過(guò)配置巡檢任務(wù)，周期性進(jìn)行設(shè)備巡檢，記錄巡檢結(jié)果，并生成巡檢報(bào)告。當(dāng)業(yè)務(wù)出現(xiàn)異常時(shí)，系統(tǒng)將提示告警并通過(guò)郵件、短信的方式通知管理員。管理員只需登錄管理中心，便可按需查看目前安全現(xiàn)狀，輕松獲取安全檢查報(bào)告。

3 引擎化的管理中心

綜合安全管理平臺(tái)提供更融合接口，將終端安全、云端安全、應(yīng)用安全和數(shù)據(jù)安全等各安全管理維度中的管理技術(shù)做為綜合安全管理平臺(tái)的一部分，如流量分析引擎、身份管理引擎、終端管理引擎、業(yè)務(wù)審計(jì)引擎以及其他安全管理引擎。如圖2所示。

圖2 安全管理引擎

1）引擎可按需即用。引擎管理中心在綜合安全管理平臺(tái)之上可進(jìn)行靈活應(yīng)用拆卸，既可以獨(dú)立運(yùn)行，也可以完整使用。

2）引擎自有性。各安全對(duì)象通常是不同廠家的異構(gòu)型設(shè)備系統(tǒng)，但是綜合安全管理平臺(tái)中的安全引擎往往在被管理安全對(duì)象層中，由該企業(yè)自己提供。因此，引擎自有性是最重要的一個(gè)應(yīng)用，綜合安全管理平臺(tái)擁有自有引擎才能讓安全管理引擎信息數(shù)據(jù)更易接入、功能更易整合。

3）引擎差異性。引擎管理中心各引擎發(fā)揮著不同的作用。流量分析引擎發(fā)揮著對(duì)網(wǎng)絡(luò)流量檢測(cè)、過(guò)濾、控制和分析的作用。身份管理引擎發(fā)揮著對(duì)身份識(shí)別、認(rèn)證授權(quán)、實(shí)名信息管理的作用。安全引擎的差異性能讓大安管平臺(tái)信息數(shù)據(jù)更豐富、安全管理技術(shù)手段更全面。

4 智能化的關(guān)聯(lián)分析

綜合安全管理平臺(tái)通過(guò)各引擎中心，采集全網(wǎng)的安全事件、網(wǎng)絡(luò)流量等數(shù)據(jù)，集中進(jìn)行關(guān)聯(lián)分析，配置安全基線，統(tǒng)計(jì)風(fēng)險(xiǎn)狀況。有效地預(yù)測(cè)網(wǎng)絡(luò)的安全態(tài)勢(shì)，從全局角度了解網(wǎng)絡(luò)的運(yùn)行態(tài)勢(shì)，預(yù)測(cè)未來(lái)的安全趨勢(shì)，迅速發(fā)現(xiàn)網(wǎng)絡(luò)的異常行為。提高對(duì)高危風(fēng)險(xiǎn)精準(zhǔn)識(shí)別的能力，加強(qiáng)對(duì)高危事件的分析能力，通過(guò)各種安全引擎，帶來(lái)豐富信息數(shù)據(jù)的同時(shí)，引入了NoSQL、并行計(jì)算等大數(shù)據(jù)分析技術(shù)，分析的信息數(shù)據(jù)容量更易擴(kuò)展且速度更快。如圖3所示。

圖3 智能化關(guān)聯(lián)分析

5 自動(dòng)化的運(yùn)營(yíng)處理

自動(dòng)化運(yùn)營(yíng)處理技術(shù)，是將分散的工具、人員和流程有機(jī)地整合到一起，整合安全運(yùn)營(yíng)所需的各種資源，實(shí)現(xiàn)人與工具、工具與工具的連接與協(xié)作。借助劇本、應(yīng)用、動(dòng)作等編排元素，系統(tǒng)能夠?qū)⒔K端、主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全系統(tǒng)、協(xié)作軟件以及云端應(yīng)用等各類資源整合到一起，能夠協(xié)助運(yùn)營(yíng)人員實(shí)現(xiàn)基于編排的自動(dòng)化和半自動(dòng)化的告警分診與調(diào)查、案例追蹤與調(diào)查、安全事件響應(yīng)與威脅阻斷以及其它日常安全運(yùn)營(yíng)工作。借助系統(tǒng)的編排與自動(dòng)化功能，可以將安全操作流程或其片段轉(zhuǎn)變成編排化的安全劇本，并盡可能自動(dòng)化地執(zhí)行，從而大幅降低安全運(yùn)營(yíng)人員尤其是一線安全運(yùn)營(yíng)人員的工作負(fù)擔(dān)，減輕他們的工作壓力，提升工作效率，在現(xiàn)有人員條件下執(zhí)行更多的任務(wù)。

安全運(yùn)營(yíng)人員可以將針對(duì)不同威脅的響應(yīng)行動(dòng)方案以預(yù)案的形式寫(xiě)成安全劇本，納入劇本庫(kù)統(tǒng)一管理。在威脅觸發(fā)后，在有人參與或者無(wú)人參與的情況下，自動(dòng)地執(zhí)行相關(guān)預(yù)案，譬如執(zhí)行防火墻阻斷操作、執(zhí)行賬號(hào)禁用操作以及終止某個(gè)進(jìn)程等，大大縮短手動(dòng)執(zhí)行預(yù)案所耗費(fèi)的時(shí)間。事后還能對(duì)處置過(guò)程進(jìn)行復(fù)盤，對(duì)預(yù)案進(jìn)行改進(jìn)，積累相關(guān)經(jīng)驗(yàn)。

自動(dòng)化運(yùn)營(yíng)處理模塊具備很強(qiáng)的可塑性和可擴(kuò)展性，安全運(yùn)營(yíng)人員能夠根據(jù)實(shí)戰(zhàn)情況動(dòng)態(tài)調(diào)整和組合流程、劇本。系統(tǒng)能夠自動(dòng)記錄所有對(duì)抗過(guò)程的操作記錄，用于事后總結(jié)歸納，持續(xù)優(yōu)化。

借助自動(dòng)化運(yùn)營(yíng)處理技術(shù)，可以幫助安全運(yùn)營(yíng)從繁重的低端重復(fù)性勞動(dòng)中解脫出來(lái)，通過(guò)編排與自動(dòng)化技術(shù)手段，提升人工運(yùn)營(yíng)水平和績(jī)效，將安全運(yùn)營(yíng)人員的工作中心轉(zhuǎn)移到高端創(chuàng)造性工作中去，提升安全運(yùn)營(yíng)人員的技能水平。同時(shí)，還能將有經(jīng)驗(yàn)的安全運(yùn)營(yíng)人員的知識(shí)進(jìn)行固化、沉淀、分享，并不斷優(yōu)化。借助該技術(shù)，最終可以實(shí)現(xiàn)安全運(yùn)營(yíng)效果的自動(dòng)化、數(shù)字化度量，讓管理員更客觀、快速地掌握安全運(yùn)營(yíng)團(tuán)隊(duì)的績(jī)效以及安全運(yùn)營(yíng)的實(shí)際效果。

6 多部門的閉環(huán)管理

事件的處置與響應(yīng)是一個(gè)復(fù)雜的流程，需要跨部門、多人協(xié)同配合。多部門協(xié)同閉環(huán)管理模塊支持安全運(yùn)營(yíng)人員通過(guò)工單功能，將單個(gè)或多個(gè)告警、漏洞、弱口令及配置弱點(diǎn)通過(guò)一個(gè)工單任務(wù)統(tǒng)一跟蹤，并將涉及多人的判斷或結(jié)論統(tǒng)一記錄到工單任務(wù)中，從而使威脅處置過(guò)程有據(jù)可循。通過(guò)工單模塊，可以對(duì)每一個(gè)威脅處置過(guò)程及時(shí)有效地跟蹤和記錄，增強(qiáng)內(nèi)部人員處置聯(lián)動(dòng)的協(xié)作能力，提升處置效率。

7 結(jié)語(yǔ)

某企業(yè)的信息安全業(yè)務(wù)不斷擴(kuò)展，是國(guó)內(nèi)信息安全產(chǎn)業(yè)的先行者，有能力創(chuàng)造更好地信息安全防護(hù)，通過(guò)綜合安全管理平臺(tái)支撐，為自身都提供全方位、動(dòng)態(tài)化、立體式的安全防護(hù)，為信息化安全建設(shè)保駕護(hù)航。