网络安全管理的逆袭研究
杨杰
摘要:近几年来,随着信息化建设,信息时代的到来,越来越多系统,应用层出不穷的降临到我们身边,从国家机关,到各大国企央企,乃至街边小店,都有自己的主页、域名,自己应用以及APP等。然而和工程建设衍生出工程安全,交通便利衍生出交通安全等问题一样,信息化建设的迅速开展同样也衍生出信息安全这个问题,大到国家机密,企业商业机密的泄露,小到个人信息的盗取、冒用等,一个个不同等级,不同破坏力的信息安全事故让人不得倒吸一口冷气。在生产生活中安全已经让人们越来越重视,已经达到把其放在办任何事的前提所在,但加上信息这个虚无缥缈的东西,好像人们就无从下手一般,抓不住他的要点,就好比任你有多大的力气都无法真正抓住空气或水流一般。随着人们从一件件信息安全事故的总结和学习中,已经开始有了方向,从被动防护进入主动扼制的阶段。
关键词:信息安全;网络运维;安全管理;应急响应
1引言
近几年来,随着信息化建设,信息时代的到来,越来越多系统,应用层出不穷的降临到我们身边,从国家机关,到各大国企央企,乃至街边小店,都有自己的主页,域名,自己应用以及APP等。然而和工程建设衍生出工程安全,交通便利衍生出交通安全等问题一样,信息化建设的迅速开展同样也衍生出信息安全这个问题,大到国家机密,企业商业机密的泄露,小到个人信息的盗取、冒用等,一个个不同等级,不同破坏力的信息安全事故让人不得倒吸一口冷气。在生产生活中安全已经让人们越来越重视,已经达到把其放在办任何事的前提所在,但加上信息这个虚无缥缈的东西,好像人们就无从下手一般,抓不住他的要点,就好比任你有多大的力气都无法真正抓住空气或水流一般。随着人们从一件件信息安全事故的总结和学习中,已经开始有了方向,从被动防护进入主动扼制的阶段。
近2年信息安全事故频发,大到国家级别的斯诺登事件,以及2015年5月28日的携程宕机事件都引人深思,如何能够降低信息安全事故次数,减少事故造成的损失。这才是真正信息安全工作者们应该研究的真功夫。
随着信息化建设的发展,众多软件公司及网络集成商的出现,使得信息化建设已经越来越套装化,快餐化。建设部署一套自己企业所需要的应用系统,只需要与负责建设的公司沟通好需求,这些负责开发的软件公司,网络集成商们很快就会让企业管理者拿到自己想要的应用系统和属于自己的一套网络架构,紧接着,这些企业从事信息化建设的管理者们会首先考虑到如何运维自己的系统,如何保障这个系统不会出现宕机这样的问题,并不考虑到这系统的安全可靠性,甚至许多运维人员也对信息安全方面的知识了解的少之又少。而有些有经验的企业管理层在建设时会考虑到安全,但也仅仅是在网络部署上购置一些网关及防火墙等简单必要的设备,并仅靠这些设备就认为自己的系统,网络绝对不会出现任何问题,就是所谓的信息安全。在笔者做信息安全安全管理的时候,发现很多运维人员并不了解自己所运维的系统都有什么安全防护设备和机制,而负责信息安全运维的工作人员甚至不知道自己所运维的系统都是如何运作的,有什么样的功能,一旦出现信息安全问题,在判断问题上也会无从下手,一股脑的把整个系统全面检查一遍,或者有时候更改一条简单的防火墙策略就造成整个系统的通讯障碍,不仅降低了安全运维的有效性甚至还会出现自己给自己挖坑的现象。
2网络管理体系化、平台化
网络安全管理不是管理一台防火墙、路由器、交换机那么简单,需要从以体系化的设计思路进行通盘考虑,需要统一和规范网络安全管理的内容和流程,提升风险运行维护的自动化程度,实现风险可视化、风险可管理、风险可处置、风险可量化。使日常的风险管理由被动管理向主动的流程化管理转变,最终真正实现网络安全管理理念上质的飞跃,初步建立起真正实用并且合规的网络安全管理运维体系。
网络安全管理平台作为管理的工具其核心理念是管理,网络安全管理平台围绕此开展设计,最终形成安全工作的工作规范,通过不断完善的工作规范,通过安全工作能力的不断提升,通过对工作内容及结果的工作考核,形成安全建设螺旋上升的建设效果。在网络安全管理平台建设上重点考虑如下几个方面的内容:
2.1安全资源的统一管理
安全策略是企业安全建设的指导性纲领。信息安全管理产品应能在安全策略的指导下,对与信息安全密切相关的各种资产进行全面的管理,包括网络安全设备(产品)、重要的网络资源设备(服务器或网络设备),以及操作系统和应用系统等。要实现关键防护设备的健壮性检查工作。
2.2安全管理可视化
实现安全运维管理服务流程的可视化、结果可跟踪、过程可管理,支持完善的拓扑表达方式,支持可视化的设备管理、策略管理和部署,支持安全事件在网络逻辑拓扑图中显示。信息安全全景关联可视化展示方法和技术,从信息展示逻辑和操作方式上提高可视化的视觉效果,增强系统的易用性和信息的直观性。采用了众多图形化分析算法技术从大量图表数据中揭示更深层次的关联信息和线索。
2.3信息安全全景关联模型及方法
各种类型、不同厂家的安全设备得以大规模使用,产生难以手工处理的海量安全信息,如何统一监控、处理这些不同类型的安全信息,如何从这些海量的安全信息中整理、分析出真正对用户有价值的安全事件。通过设计一个基于关联的信息安全事件管理框架,实现安全信息的关联及关联后事件表示,实现安全信息精简、降低误报率和漏报率以及改进报警语义描述,达到增强安全系统间的联系、建立安全信息管理标准、提供安全可视化描述和建立安全通用处理流程。支持安全检测模式深度挖掘。
2.4信息安全态势评估模型和态势评估方法
安全综合评价以及安全态势预测的最终目的是建立大型网络的宏观、统一的安全态势评估体系,提供网络安全策略、进行宏观态势评估及预测的技术手段,达到全面评价系统整体安全性的目的,为实施网络安全管理策略制定提供决策支持的工具。
2.5海量数据存储和高性能处理机制
建立基于网格技术的分布式存储和分布式处理机制,通过网格中间件既可以实现数据的分布式存储,又可以将统一的数据库查询请求变成在各网格节点进行的分布式查询,以提高数据库操作效率,从而通过计算规模扩展实现数据存储和处理性能的提升。
3安全技术向安全运维服务融合和演进是大势所趋
安全管理体系随着对安全认知的不同、随着风险攻防的不同、随着后续能力的提升,管理体系的建设也是一个动态的过程,一定要机人结合、要与服务结合,建立在单一的安全产品建设的基础上,通过更加细化的运维服务,指导产品真正的发挥作用,将服务与产品深度融合是安全技术发展的趋势。
运维服务的从客户战略出发、以客户需求为中心,以风险管控为主线、以安全效益为导向、以风险相关法律、法规和理论方法为依据,以安全信息化、自动化技术为手段,通过安全平台完成安全保障日常运维工作有序、有效的开展。主要任务如下:
(1)建立完整的运维体系。通过梳理运行服务管理现状流程,并对运行管理提出症结分析与改良建议,依照行业化建设标准,建立起完整可实施的运维体系。
(2)建立服务规范。针对现在的运行系统管理体系进行改良,订立满足业务需求的完成运行服务管理规范的修订、试行、发布与宣贯。
(3)充分利用安全管理类平台,提高办公区域内的软、硬件、业务应用软件的运行维护效率,确保信息系统正常运行。
(4)运维服务实施和管理。按照编制的服务管理规范监督各项服务实施。负责运维服务水平管理,及时调整服务级别、问题管理、发布管理等流程。
安全建设从资产评估、方案设计开始,项目实施为一个段落,继而进入到安全运维阶段。而安全管理平台是整个安全框架的核心和枢纽,作为一个技术系统,它向上为安全策略管理、安全组织管理、安全决策提供自动化协助。同时,更为重要的是,运维服务可围绕安全管理中心向下贯彻到整个技术层面,利用安全管理平台能够收集来自所有安全设备和非安全设备的信息,进行统一的自动化风险评估,评价是否符合安全管理的策略和基线,并进行有效的整改。运维服务内容如下:
(1)健康检查运维服务。
为了确保用户安全系统长期、稳定的工作,最大限度和降低系统的运行故障及延长系统设备的使用寿命,安全运维团队应定期对安全设备、业务系统进行健康检查服务,在保证系统安全的前提下采集系统配置、流量信息、系统状态等安全信息,依照标准化流程,定期对用户的系统进行检查,了解系统的整体工作状态。由被动服务变主动服务,通过健康检查服务排除故障隐患,降低故障率。
(2)安全事件审计运维服务。
随着网络规模的增长,用户网络中防火墙、防病毒软件、IDS、VPN等网络安全设备不断增加,庞大的日志数据令用户无从下手。随着网络设备越来越多,网络攻击的手段越来越多样,攻击方法越来越隐蔽,单纯的依靠某一种安全设备的事件来对网络安全情况进行评估和反应是远远不够的。安全运维服务团队应定期对各类系统产生的安全日志实现全面、有效的集中收集、管理、审计服务。
(3)网络行为审计运维服务。
网络行为审计服务深入了解网络用户、网络设备和网络应用的历史和实时行为,基于用户使用网络的实际行为来优化和调整网络,实现了真正以用户为中心行为分析,能够对典型的网络行为和用户行为进行实时的网络服务和网络管理。网络行为审计服务通过收集并分析用户网络行为数据,从而发现违反安全策略的行为。即当发生安全事故或者发生违反安全策略的行为之后,通过检查、分析、比较用户网络行为数据,从中发现违反安全策略行为的记录。以利于事后追踪,为调查取证提供第一手的资料。
(4)监控与分析运维服务。
运维监控与分析服务以资产管理为基础,以风险管理为核心,以事件管理为主线,通过深度数据挖掘、事件关联等技术,辅以有效的安全管理与监控、实现对安全问题的统一监控与管理,对各类安全事件的集中管理和智能分析,最终实现对用户安全风险态势的统一监控分析和预警处理。
通过安全运维工程师定期的分析,从海量的安全事件中提取出支持全局决策的信息。通过整理、分析网络中各类安全事件,量化安全问题,梳理运维流程。
(5)终端安全监控与策略优化运维服务。
随着用户网络逐渐复杂,网络管理的难度将不断加大,多数企业、机构都缺乏有效的制度和手段管理网络,如终端用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法盗用他人地址帐号、利用非法软件获取利益等行为在企业中也比比皆是,综合管理效率和效果受到了很大影响。
针对用户问题,安全运维服务团队应定期监控全网终端恶意行为,并定期优化终端安全策略。例如定期检查用户的IP、MAC地址是否合法及终端安全状态,并根据对用户终端安全状态的检查结果制定接入控制策略,对不符合安全标准的用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以动态合理控制用户的网络权限,从而提升网络的整体安全防御能力、大大提升了用户网络的使用效率及管理效率。
(6)应急响应。
应急响应服务指当安全事件发生后,安全运维服务团队根据预案快速响应。应急响应预案应按照准备、检测、抑制、根除、恢复、跟踪等一系列标准措施制定,保证网络安全无忧,预防危险发生。
(7)漏洞分析运维服务。
对于网络管理人员,特别是复杂网络的管理人员,由于时间和工作关系,通常会遇到无法收集并分类相关的安全报告,使得网络中或多或少的存在被忽视的安全漏洞。而安全问题目前正以每周新增几十甚至几百例的速度在全世界得到反馈,并同时涉及信息技术的众多领域。企业所掌握的安全知识的更新速度所受到的压力非常大。应借助安全厂商的力量获取最新的安全动态、技术和安全信息,包括实时安全漏洞通知、病毒、补丁升级、定期安全通告汇总和安全知识库更新等,并通过定期对自有资产进行漏洞的定期分析/整改。
(8)建立运维知识库。
建立自有的安全运维知识库并定期升级,储备更多的安全运维经验、安全知识,保障用户的运维效果,提高安全运维效率。
4结语
安全管理平台与运维服务相辅相成,实现网络安全管理全局一盘棋。平台可以对各类风险予以完整、全面的识别、管控和分析,结合风险展示。分析管理效果和不足,发现网络安全管控中的隐患,更有效地揭示网络安全风险的发生规律:对各类风险和事件进行关联分析,实现风险和事件分类统计、风险趋势分析,产生各类报表,提供预警信息,指导运维服务人员如何有效的开展保障工作。在此,网络管理从安全角度来考量,只有将工具化的管理平台与人员服务进行有效的整合,才能形成安全建设螺旋上升的建设效果。