下一代運(yùn)維安全審計(jì)系統(tǒng)研究與設(shè)計(jì)

滕飛

（北京航天時(shí)代光電科技有限公司 北京市 100094）

1 引言

目前隨著整個(gè)的互聯(lián)網(wǎng)及大數(shù)據(jù)等高新技術(shù)的快速發(fā)展，IT 技術(shù)及其整個(gè)的互聯(lián)網(wǎng)安全態(tài)勢(shì)得到了快速的發(fā)展，在面對(duì)運(yùn)維安全審計(jì)系統(tǒng)這個(gè)領(lǐng)域當(dāng)中來說在技術(shù)進(jìn)步的情況下也需要不斷的進(jìn)行更新迭代，從而滿足用戶不斷增長的業(yè)務(wù)方面所存在的需求，以期適應(yīng)互聯(lián)網(wǎng)上的安全形勢(shì)。

通過對(duì)互聯(lián)網(wǎng)上的企業(yè)信息系統(tǒng)進(jìn)行有效的分析，能夠明顯的看出運(yùn)維安全審計(jì)系統(tǒng)目前已經(jīng)完成演變成為企業(yè)信息化系統(tǒng)進(jìn)行標(biāo)準(zhǔn)管理過程當(dāng)中具體的一種技術(shù)方法與手段，當(dāng)然其中最為明顯的就是這類系統(tǒng)能夠快速的擴(kuò)展企業(yè)的CRC（Governance，Risk Management，and Compliance）這個(gè)領(lǐng)域當(dāng)中。因此，從中可以看出未來的運(yùn)維安全審計(jì)系統(tǒng)當(dāng)中的發(fā)展方向主要是在基礎(chǔ)性的安全治理方面、遵從性及其基本的風(fēng)險(xiǎn)管理等三個(gè)方向不斷的挖掘與擴(kuò)展。

針對(duì)GRC 來說，對(duì)于企業(yè)信息化戰(zhàn)略有著非常重要的地位。安全的治理代表的是企業(yè)實(shí)施的一系列相關(guān)的程序及其具體的業(yè)務(wù)流程，其在整個(gè)的企業(yè)結(jié)構(gòu)及其具體的管理模式當(dāng)中有著重要的體現(xiàn)。針對(duì)風(fēng)險(xiǎn)管理來說，代表的就是預(yù)測(cè)企業(yè)在運(yùn)行的過程當(dāng)中可能會(huì)存在的風(fēng)險(xiǎn)，并對(duì)這些風(fēng)險(xiǎn)進(jìn)行防控及管理。針對(duì)遵從性來說，代表的就是遵從整個(gè)的企業(yè)在管理過程當(dāng)中的一些策略及基本的程序，還包括一些重要的法律及其法規(guī)等。

目前在運(yùn)維安全設(shè)計(jì)系統(tǒng)當(dāng)中隨著IT 技術(shù)的快速發(fā)展已經(jīng)在基礎(chǔ)性的資源管理及其審計(jì)操作方便獲取了一定的進(jìn)展，后期在進(jìn)行發(fā)展的過程當(dāng)中對(duì)這兩個(gè)方面還會(huì)進(jìn)一步的完善。但是從整體的發(fā)展趨勢(shì)上來說，運(yùn)維安全設(shè)計(jì)系統(tǒng)未來的發(fā)展方向應(yīng)該是應(yīng)用更加先進(jìn)的技術(shù)及其先進(jìn)的理論方法在GRC 各個(gè)層面上進(jìn)行深入性的挖掘。因此，直接在面對(duì)下一代的運(yùn)維安全審計(jì)方面的核心業(yè)務(wù)系統(tǒng)來說，其中的核心內(nèi)容當(dāng)然就是包括在安全治理方面能夠有效的與企業(yè)當(dāng)中的核心業(yè)務(wù)流程及其安全方面的策略進(jìn)行有效的結(jié)合操作；在面對(duì)系統(tǒng)自身的情況來說，提供了一系列在遵守企業(yè)的法律法規(guī)的情況下，能夠有針對(duì)性的在功能的實(shí)現(xiàn)方面符合一些業(yè)務(wù)流程及其原則；在整個(gè)的業(yè)務(wù)系統(tǒng)進(jìn)行完善的方面，還需要建立運(yùn)維風(fēng)險(xiǎn)方面的管理體制，通過這個(gè)體制能夠面對(duì)不同的各類運(yùn)維風(fēng)險(xiǎn)進(jìn)行有針對(duì)性的評(píng)估、有針對(duì)性的識(shí)別、有針對(duì)性的告警操作及其預(yù)測(cè)操作。

針對(duì)上述三個(gè)方面的發(fā)展趨勢(shì)，本文中對(duì)其進(jìn)行詳細(xì)的闡述，并對(duì)下一代的運(yùn)維安全設(shè)計(jì)風(fēng)險(xiǎn)的具體功能進(jìn)行進(jìn)一步的分析。

2 下一代安全審計(jì)系統(tǒng)發(fā)展趨勢(shì)

（1）針對(duì)安全治理這個(gè)領(lǐng)域來說，下一代安全審計(jì)系統(tǒng)在這個(gè)領(lǐng)域當(dāng)中的一個(gè)非常重要的趨勢(shì)就是應(yīng)用安全治理中的相關(guān)理論和方法與企業(yè)的業(yè)務(wù)流程進(jìn)行結(jié)合，通過自身具備的方便的機(jī)制來為企業(yè)的領(lǐng)導(dǎo)層提供有效的決策方法及建議，為進(jìn)一步的實(shí)現(xiàn)各類的職責(zé)及責(zé)任的分離，更好的保障企業(yè)核心的財(cái)產(chǎn)的安全。

在面對(duì)任何的運(yùn)維方面的操作處理來說，其中的信息基本上都不是一種孤立的，這個(gè)對(duì)于企業(yè)來說進(jìn)行IT 運(yùn)維方面的操作代表的也是企業(yè)基礎(chǔ)性的業(yè)務(wù)當(dāng)中非常重要的一種組成部分。這一類的組成部分還需要能夠有效的接受基礎(chǔ)性的安全治理方面的控制管理。在面對(duì)下一代的安全審計(jì)管理系統(tǒng)來說，非常重要的一類方向就是有效的與企業(yè)的業(yè)務(wù)流程進(jìn)行基礎(chǔ)性的融合處理，同時(shí)與相關(guān)的ITIL、ITSM 等基礎(chǔ)性的業(yè)務(wù)系統(tǒng)進(jìn)行一些有效的整合與鏈接操作處理。在面對(duì)運(yùn)維的時(shí)候需要有針對(duì)性的結(jié)合現(xiàn)有業(yè)務(wù)流程及其一些操作方面的流程，整個(gè)的未來運(yùn)維操作還需要在多個(gè)不同的管理及其協(xié)同的基礎(chǔ)上進(jìn)行進(jìn)一步的發(fā)展及其操作，當(dāng)然還能夠自行定義一些基本的工作流程和一些工單管理系統(tǒng)，通過這些自定義的業(yè)務(wù)流程來組成運(yùn)維操作當(dāng)中非常重要的組件部分。

（2）針對(duì)遵從性這個(gè)領(lǐng)域的來說，下一代安全審計(jì)系統(tǒng)的發(fā)展趨勢(shì)就是將其能夠無縫的與企業(yè)自身的管理行為及業(yè)務(wù)流程進(jìn)行有效的結(jié)合起來?？梢哉f，法律法規(guī)方面的遵從性代表著整個(gè)的下一代安全審計(jì)系統(tǒng)最突出的表現(xiàn)形式，也是最為直接的體現(xiàn)未來的發(fā)展方向。其中的一個(gè)方向就是能夠依據(jù)相關(guān)的規(guī)定及其具體的要求來對(duì)企業(yè)的原始數(shù)據(jù)進(jìn)行操作處理，方便企業(yè)對(duì)核心數(shù)據(jù)進(jìn)行管理。另外一個(gè)方向就是隨著整個(gè)的IT 技術(shù)的不斷發(fā)展更新，運(yùn)維安全審計(jì)系統(tǒng)能夠形成更加全面的企業(yè)工作報(bào)告。

在面對(duì)下一代的基礎(chǔ)性的運(yùn)維安全審計(jì)操作來說，整個(gè)的法律法規(guī)在進(jìn)行遵從性操作的時(shí)候都會(huì)有非常形象及其直觀的展示。在進(jìn)行系統(tǒng)操作處理的時(shí)候，需要有針對(duì)性的按照系統(tǒng)當(dāng)中的一些規(guī)定按照一些要求生成比較準(zhǔn)確性的輸出操作，其中還包括一些基礎(chǔ)性的賬號(hào)信息、口令基礎(chǔ)信息、認(rèn)證方面的基礎(chǔ)性過程及其一些訪問方面的基本行為等多個(gè)方面比較豐富的審計(jì)方面的數(shù)據(jù)。當(dāng)然非常重要的一個(gè)方面，在未來的過程當(dāng)中還需要對(duì)其中的安全審計(jì)系統(tǒng)需要根據(jù)企業(yè)當(dāng)中的核心內(nèi)容進(jìn)行規(guī)定操作處理，最終能夠直接生成一站式的合規(guī)方面的報(bào)告信息。比如，能夠在一定的規(guī)定的時(shí)期之內(nèi)能夠有效的生成信息安全方面等級(jí)報(bào)告信息，整個(gè)的報(bào)告信息還能夠包含一些等級(jí)方面的標(biāo)準(zhǔn)信息，在標(biāo)準(zhǔn)信息中需要處理各個(gè)層面上，在整個(gè)層面上能夠非常詳細(xì)的展示技術(shù)及其管理上所存在的各個(gè)控制項(xiàng)目及其控制條目中的情況。因此，在面對(duì)下一代的安全審計(jì)運(yùn)維系統(tǒng)來說，還需要有針對(duì)性的根據(jù)其中比較真實(shí)的理解遵從所需要的法律法規(guī)，還要按照不同的等級(jí)保護(hù)操作處理，當(dāng)然還需要理解各個(gè)保護(hù)等級(jí)上所形成的差距信息，從而能夠形成真正的防護(hù)方面的邊界信息。

（3）針對(duì)風(fēng)險(xiǎn)管理這個(gè)領(lǐng)域來說，下一代運(yùn)維安全審計(jì)系統(tǒng)非常重要的內(nèi)容就是對(duì)風(fēng)險(xiǎn)管理進(jìn)行管理，目前在風(fēng)險(xiǎn)管理這個(gè)領(lǐng)域當(dāng)中已經(jīng)取得了一定的成果及收獲。但是受限于目前的運(yùn)維安全審計(jì)管理在基礎(chǔ)性的理論及其技術(shù)方面的限制，還無法真正有效的發(fā)揮重要的作用。目前的運(yùn)維安全審計(jì)領(lǐng)域當(dāng)中雖然能夠形成大數(shù)據(jù)，但是針對(duì)這類大數(shù)據(jù)的融合及其大數(shù)據(jù)的挖掘還未形成有效的系統(tǒng)或者算法，在與具體的用戶之間的聯(lián)系還比較少，無法滿足實(shí)際的需求。

因此，在直接面對(duì)下一代的基礎(chǔ)性的運(yùn)維安全審計(jì)系統(tǒng)非常重要的一種技術(shù)手段就是通過利用一些大數(shù)據(jù)相關(guān)技術(shù)，通過對(duì)這些大數(shù)據(jù)進(jìn)行有效的挖掘操作，當(dāng)然有針對(duì)性的對(duì)其中的基礎(chǔ)數(shù)據(jù)信息進(jìn)行融合操作，對(duì)基礎(chǔ)信息歸并操作處理，有針對(duì)性的對(duì)其中的信息進(jìn)行關(guān)聯(lián)分析，然后采用一種科學(xué)化的方法對(duì)其中的風(fēng)險(xiǎn)評(píng)估方法進(jìn)行操作處理，最終能夠形成一種針對(duì)基礎(chǔ)性的運(yùn)維方面的風(fēng)險(xiǎn)管理操作體制，通過這種方法與其他的用戶之間進(jìn)行業(yè)務(wù)邏輯方面的整合操作處理，這樣能夠形成一種統(tǒng)一化的IT 風(fēng)險(xiǎn)操作管理業(yè)務(wù)系統(tǒng)，這樣就能夠有效的形成一種安全風(fēng)險(xiǎn)基礎(chǔ)信息的評(píng)估及其基礎(chǔ)信息的運(yùn)維態(tài)勢(shì)感知方面的體制操作。

3 風(fēng)險(xiǎn)分類

面對(duì)下一代的運(yùn)維安全設(shè)計(jì)系統(tǒng)來說，在風(fēng)險(xiǎn)方面的分類分為如下的幾種：

3.1 信息方面的風(fēng)險(xiǎn)。

針對(duì)信息方面的風(fēng)險(xiǎn)來說，代表的就是其中非常重要的機(jī)密信息容易被外界的各種惡意攻擊進(jìn)行侵入，其信息方面的安全性及其穩(wěn)定性得到有效的保障，在外界的因素當(dāng)中會(huì)存在大量強(qiáng)行的攻擊及其比較復(fù)雜的無效的干擾會(huì)對(duì)這些數(shù)據(jù)進(jìn)行破壞，從而會(huì)直接對(duì)企業(yè)或者公司的基本管理制度造成非常大的破壞，其造成的破壞會(huì)給企業(yè)帶來無法估計(jì)的損失。因此，針對(duì)運(yùn)維安全設(shè)計(jì)系統(tǒng)來說，其中的一個(gè)內(nèi)容就是需要盡可能盡量早的將各類風(fēng)險(xiǎn)問題盡快的查找及識(shí)別出來，將這個(gè)的信息對(duì)企業(yè)造成的風(fēng)險(xiǎn)的可能性降到最低。因此，非常有必要構(gòu)建與實(shí)現(xiàn)一套規(guī)范化的信息安全方面的檢測(cè)體系，這個(gè)對(duì)于保障整個(gè)企業(yè)信息安全性方面有著非常重要的意義。

3.2 操作方面存在的風(fēng)險(xiǎn)

針對(duì)操作風(fēng)險(xiǎn)來說，這一類的風(fēng)險(xiǎn)主要是人為的因素方面所造成的風(fēng)險(xiǎn)，主要是由于企業(yè)相關(guān)的管理工作人員在進(jìn)行安全運(yùn)維審計(jì)的過程當(dāng)中存在一些的數(shù)據(jù)操作處理，或者在進(jìn)行具體的信息化系統(tǒng)升級(jí)的過程當(dāng)中所造成的風(fēng)險(xiǎn)。當(dāng)然這些因素所造成的安全隱患問題帶來的損失是非常巨大的，應(yīng)該要引起足夠的重視，采取合理的措施或手段對(duì)其進(jìn)行管控。

3.3 在資源利用方面的風(fēng)險(xiǎn)

在整個(gè)的信息安全方面來說，信息資源的可利用性是最為核心的一類組成元素，其代表的就是在整個(gè)的信息資源需要利用的時(shí)候或者需要對(duì)整個(gè)的信息資源進(jìn)行調(diào)用時(shí)才提供基本的訪問服務(wù)。當(dāng)然，在面對(duì)不同的應(yīng)用領(lǐng)域來說，對(duì)于信息資源的可利用性方面的需求及要求也是各自不同的。例如，在軍事、航天或者國家信息安全層面上，針對(duì)信息資源的可利用性肯定是需要非常的嚴(yán)謹(jǐn)、嚴(yán)格及完善的，當(dāng)然還可能具有其他多個(gè)方面的相關(guān)規(guī)定及其具體的要求。

3.4 在系統(tǒng)性能方面的風(fēng)險(xiǎn)

性能方面的風(fēng)險(xiǎn)代表的就是整個(gè)的運(yùn)維安全設(shè)計(jì)系統(tǒng)當(dāng)中常常在進(jìn)行運(yùn)維的時(shí)候所具備的唯一的一種通道入口，這類入口需要涉及到整個(gè)的信息化系統(tǒng)當(dāng)中的各個(gè)層面。當(dāng)然在未來的發(fā)展進(jìn)程當(dāng)中，還需要針對(duì)可能存在的更大的風(fēng)險(xiǎn)點(diǎn)，采取更加科學(xué)化及其有效的風(fēng)險(xiǎn)評(píng)估模式對(duì)其進(jìn)行操作處理。

3.5 在面對(duì)遵從性方面的基礎(chǔ)性的風(fēng)險(xiǎn)

在面對(duì)遵從性方面的基礎(chǔ)性的風(fēng)險(xiǎn)來說，代表的就是有針對(duì)性的面對(duì)運(yùn)維操作及其基礎(chǔ)性的運(yùn)維過程當(dāng)中與企業(yè)基礎(chǔ)性的規(guī)則制度不太符合的地方，在面對(duì)運(yùn)維管理的時(shí)候可能會(huì)不太符合國內(nèi)外相關(guān)的一些法律及法規(guī)方面的一些要求，從而導(dǎo)致的一些風(fēng)險(xiǎn)。比如，在針對(duì)業(yè)務(wù)系統(tǒng)的時(shí)候，如果口令方面所設(shè)置的強(qiáng)度不太高的情況下，這樣就容易導(dǎo)致與大部分的標(biāo)準(zhǔn)或者要求之間不太符合。在這種背景下，需要有針對(duì)性的識(shí)別遵從性方面的一些風(fēng)險(xiǎn)，在遵守的過程當(dāng)中還需要能夠有效的生成一站式的報(bào)告信息，這個(gè)與前面闡述的安全審計(jì)系統(tǒng)思路相對(duì)來說是比較契合的。

當(dāng)然在直接面對(duì)風(fēng)險(xiǎn)的時(shí)候還需要對(duì)其進(jìn)行一定的處置操作，風(fēng)險(xiǎn)處置方面的操作核心的內(nèi)容就是針對(duì)風(fēng)險(xiǎn)進(jìn)行一定的識(shí)別及其一定的處置操作的一類過程，在風(fēng)險(xiǎn)一旦被發(fā)現(xiàn)的時(shí)候，如果風(fēng)險(xiǎn)無法得到有效的接受，那么就需要有一定適當(dāng)?shù)姆椒▽?duì)這些風(fēng)險(xiǎn)進(jìn)行處置操作。當(dāng)然這種處置處理也能夠比較方便的降低風(fēng)險(xiǎn)方面的可行性或者直接針對(duì)風(fēng)險(xiǎn)方面的一些影響，當(dāng)然還需要充分性的考慮風(fēng)險(xiǎn)監(jiān)控的成本。通過采取一系列的各項(xiàng)不同的處置措施，能夠采用運(yùn)維安全審計(jì)方面的系統(tǒng)來進(jìn)行自動(dòng)化方面的操作，同時(shí)還能夠通過一系列的告警方式，通過這類方式采用人工干預(yù)的方式來進(jìn)行。

4 總結(jié)

本文主要是針對(duì)運(yùn)維安全審計(jì)系統(tǒng)在未來IT 技術(shù)發(fā)展過程當(dāng)中其具體的發(fā)展趨勢(shì)及其面對(duì)的主要的風(fēng)險(xiǎn)分類進(jìn)行了詳細(xì)的討論，并且對(duì)未來面對(duì)的各類風(fēng)險(xiǎn)提供了一些基本的建議及其具體的應(yīng)對(duì)方法，以期能夠針對(duì)下一代的運(yùn)維安全審計(jì)系統(tǒng)提供行之有效的發(fā)展方向及道路。