“動態(tài)化”打造新時代下的綜合安全管理

王 新，黃紫翎，楊 露

（長江三峽通航管理局，湖北 宜昌 443000）

引言

隨著信息化的快速發(fā)展，網(wǎng)絡建設不斷推進，IT資源數(shù)量與種類也不斷增加，由終端、服務器、交換機搭建的小型網(wǎng)絡逐漸擴展，增加了無線、安全產(chǎn)品、云平臺和工控產(chǎn)品等，網(wǎng)絡主機、網(wǎng)絡設備及安全設備的數(shù)量與日俱增，分布地域也越來越廣。網(wǎng)管運維人員面對數(shù)量眾多的IT資源與設備，耗費了巨大的精力，但成效有限。在運維與運營過程中主要存在以下問題：

1）缺乏必要的基礎設施支撐，沒有專門針對安全的運維體系，很多涉及安全的運維被分散到不同的部門實現(xiàn)，協(xié)同效率低下。

2）未形成全局性網(wǎng)絡安全事件處理能力，無跟蹤機制，直至時間閉環(huán)。

3）缺乏有效的技術手段對各類資源運行情況、告警情況和安全事件情況等進行綜合全面的統(tǒng)計分析。

4）沒有自動化操作能力，目前安全運維工作還處于人工維護階段，工作效率相對較低，人工負擔重。

1 綜合安全管理平臺概況

傳統(tǒng)的安全管理平臺更多集中在設備側的運維與管理上，通過傳統(tǒng)安全管理平臺可以實現(xiàn)對添加入平臺的資源（主機、服務器、安全設備和網(wǎng)絡設備等）進行集中管理，實現(xiàn)集中巡檢、策略下發(fā)以及版本升級等維護工作，實現(xiàn)相關日志（系統(tǒng)日志、安全日志和業(yè)務日志等）的采集與存儲，實現(xiàn)網(wǎng)絡拓撲的維護與管理，實現(xiàn)部分資產(chǎn)的臺賬管理工作。然而，隨著業(yè)務與網(wǎng)絡安全的深度耦合，網(wǎng)絡安全的運營不再是單純的設備維護工作，需要海量的專業(yè)分析支撐、業(yè)務部門的深度參與、業(yè)務流程緊密配合，才能實現(xiàn)事件的高效閉環(huán)處理，這些要求已遠遠超出傳統(tǒng)安全管理平臺的能力范疇。綜合安全管理應運而生，通過平臺支撐，可降低運維成本，提升運維效率。

綜合安全管理平臺以“管理”為核心理念，經(jīng)過多年不斷的技術沉淀與經(jīng)驗積累，在傳統(tǒng)安全管理平臺的基礎上，再一次從業(yè)務的角度詮釋了“動態(tài)化”綜合安全管理平臺的形成，將綜合安全管理平臺打造為管理者應用的工具，技術協(xié)作的平臺，最終形成“體系化的管理框架，引擎化的管理中心，智能化的關聯(lián)分析，自動化的運營處理，多部門的閉環(huán)管理”。如圖1所示。

圖1 綜合安全管理平臺

2 體系化的管理框架

體系化管理框架的建設主要體現(xiàn)在以下幾個角度。

1）技術角度。綜合安全管理平臺已成為一體化安全管理運行的技術集成平臺，完美地容納了眾多安全管理引擎，實現(xiàn)了動態(tài)化監(jiān)控。

2）管理角度。綜合安全管理平臺采用統(tǒng)一安全策略的集中編輯與分發(fā)，對各類風險進行整體管理，尤其是對眾多設備的統(tǒng)一配置管理，實現(xiàn)了對各類安全設備的安全規(guī)則進行統(tǒng)一配置分發(fā)，極大地降低了維護人員的工作量，為使用人員提供了全方位的安全防護。

3）業(yè)務角度。綜合安全管理平臺不僅針對設備層進行安全管理，還覆蓋了不同行業(yè)業(yè)務層的安全。通過整合業(yè)務，對用戶整體業(yè)務系統(tǒng)進行建模，仿真業(yè)務運作流程，在綜合安全管理過程中，保證用戶業(yè)務的可用性與可靠性，保障用戶操作應用的簡便性以及可視化界面的友好型。

4）運維角度。引入了自動巡檢的功能，通過配置巡檢任務，周期性進行設備巡檢，記錄巡檢結果，并生成巡檢報告。當業(yè)務出現(xiàn)異常時，系統(tǒng)將提示告警并通過郵件、短信的方式通知管理員。管理員只需登錄管理中心，便可按需查看目前安全現(xiàn)狀，輕松獲取安全檢查報告。

3 引擎化的管理中心

綜合安全管理平臺提供更融合接口，將終端安全、云端安全、應用安全和數(shù)據(jù)安全等各安全管理維度中的管理技術做為綜合安全管理平臺的一部分，如流量分析引擎、身份管理引擎、終端管理引擎、業(yè)務審計引擎以及其他安全管理引擎。如圖2所示。

圖2 安全管理引擎

1）引擎可按需即用。引擎管理中心在綜合安全管理平臺之上可進行靈活應用拆卸，既可以獨立運行，也可以完整使用。

2）引擎自有性。各安全對象通常是不同廠家的異構型設備系統(tǒng)，但是綜合安全管理平臺中的安全引擎往往在被管理安全對象層中，由該企業(yè)自己提供。因此，引擎自有性是最重要的一個應用，綜合安全管理平臺擁有自有引擎才能讓安全管理引擎信息數(shù)據(jù)更易接入、功能更易整合。

3）引擎差異性。引擎管理中心各引擎發(fā)揮著不同的作用。流量分析引擎發(fā)揮著對網(wǎng)絡流量檢測、過濾、控制和分析的作用。身份管理引擎發(fā)揮著對身份識別、認證授權、實名信息管理的作用。安全引擎的差異性能讓大安管平臺信息數(shù)據(jù)更豐富、安全管理技術手段更全面。

4 智能化的關聯(lián)分析

綜合安全管理平臺通過各引擎中心，采集全網(wǎng)的安全事件、網(wǎng)絡流量等數(shù)據(jù)，集中進行關聯(lián)分析，配置安全基線，統(tǒng)計風險狀況。有效地預測網(wǎng)絡的安全態(tài)勢，從全局角度了解網(wǎng)絡的運行態(tài)勢，預測未來的安全趨勢，迅速發(fā)現(xiàn)網(wǎng)絡的異常行為。提高對高危風險精準識別的能力，加強對高危事件的分析能力，通過各種安全引擎，帶來豐富信息數(shù)據(jù)的同時，引入了NoSQL、并行計算等大數(shù)據(jù)分析技術，分析的信息數(shù)據(jù)容量更易擴展且速度更快。如圖3所示。

圖3 智能化關聯(lián)分析

5 自動化的運營處理

自動化運營處理技術，是將分散的工具、人員和流程有機地整合到一起，整合安全運營所需的各種資源，實現(xiàn)人與工具、工具與工具的連接與協(xié)作。借助劇本、應用、動作等編排元素，系統(tǒng)能夠?qū)⒔K端、主機、網(wǎng)絡設備、安全設備、安全系統(tǒng)、協(xié)作軟件以及云端應用等各類資源整合到一起，能夠協(xié)助運營人員實現(xiàn)基于編排的自動化和半自動化的告警分診與調(diào)查、案例追蹤與調(diào)查、安全事件響應與威脅阻斷以及其它日常安全運營工作。借助系統(tǒng)的編排與自動化功能，可以將安全操作流程或其片段轉變成編排化的安全劇本，并盡可能自動化地執(zhí)行，從而大幅降低安全運營人員尤其是一線安全運營人員的工作負擔，減輕他們的工作壓力，提升工作效率，在現(xiàn)有人員條件下執(zhí)行更多的任務。

安全運營人員可以將針對不同威脅的響應行動方案以預案的形式寫成安全劇本，納入劇本庫統(tǒng)一管理。在威脅觸發(fā)后，在有人參與或者無人參與的情況下，自動地執(zhí)行相關預案，譬如執(zhí)行防火墻阻斷操作、執(zhí)行賬號禁用操作以及終止某個進程等，大大縮短手動執(zhí)行預案所耗費的時間。事后還能對處置過程進行復盤，對預案進行改進，積累相關經(jīng)驗。

自動化運營處理模塊具備很強的可塑性和可擴展性，安全運營人員能夠根據(jù)實戰(zhàn)情況動態(tài)調(diào)整和組合流程、劇本。系統(tǒng)能夠自動記錄所有對抗過程的操作記錄，用于事后總結歸納，持續(xù)優(yōu)化。

借助自動化運營處理技術，可以幫助安全運營從繁重的低端重復性勞動中解脫出來，通過編排與自動化技術手段，提升人工運營水平和績效，將安全運營人員的工作中心轉移到高端創(chuàng)造性工作中去，提升安全運營人員的技能水平。同時，還能將有經(jīng)驗的安全運營人員的知識進行固化、沉淀、分享，并不斷優(yōu)化。借助該技術，最終可以實現(xiàn)安全運營效果的自動化、數(shù)字化度量，讓管理員更客觀、快速地掌握安全運營團隊的績效以及安全運營的實際效果。

6 多部門的閉環(huán)管理

事件的處置與響應是一個復雜的流程，需要跨部門、多人協(xié)同配合。多部門協(xié)同閉環(huán)管理模塊支持安全運營人員通過工單功能，將單個或多個告警、漏洞、弱口令及配置弱點通過一個工單任務統(tǒng)一跟蹤，并將涉及多人的判斷或結論統(tǒng)一記錄到工單任務中，從而使威脅處置過程有據(jù)可循。通過工單模塊，可以對每一個威脅處置過程及時有效地跟蹤和記錄，增強內(nèi)部人員處置聯(lián)動的協(xié)作能力，提升處置效率。

7 結語

某企業(yè)的信息安全業(yè)務不斷擴展，是國內(nèi)信息安全產(chǎn)業(yè)的先行者，有能力創(chuàng)造更好地信息安全防護，通過綜合安全管理平臺支撐，為自身都提供全方位、動態(tài)化、立體式的安全防護，為信息化安全建設保駕護航。