行业信息系统安全运营管理中心建设研究

摘要:随着行业信息化程度的日益发展与提高,越来越多的企业已经认识到信息安全建设的重要性。同时,随着企业信息安全建设的不断加强,如何做好整个信息系统的安全管理工作便日益显得重要。文章从安全管理运营中心的建设入手,详细阐述了安全管理运营中心与安全管理制度、安全运维,及全局安全事件的关联关系。

关键词:安全管理运营中心;安全运维;安全事件;关联分析

中图分类号:TN915文献标识码:A文章编号:1009-3044(2009)32-8913-02

The Research of Industry Information System Security Manager Operation Center

WANG Qin, MA Hong-en

(Luoee Vocational College of Food, Luohe 462300, China)

Abstract: With the increasing development and improvement of information technology industry, more and more enterprises have recognized the importance of the construction of information security. Meanwhile, with the construction of enterprise information security strengthened, how to make the entire information system security management is becoming increasingly more important. Starting with the construction of the security management operation center, this article described with detail the relationships among the security management operations center, the security management system, the security operation maintenance and the overall association of security events..

Key words: security manager operation center;security operation; security events; relation analysis

随着各行业信息化建设的全面推进,传统的管理机制在改革与创新中逐渐消亡,人们在处理信息和日常办公中越来越依赖计算机和网络,机密与财富越来越集中在计算机系统和网络中。因此,行业各应用系统和计算机网络的安全可靠运行,面临着十分严峻的挑战,网络与信息安全已成为各行业信息化建设非常重要的问题。

而要加强安全管理建设,就必须要切实做好信息系统的安全规划设计,强化安全管理策略,采用成熟的信息系统安全技术和控制方法,逐步实现网络管理的可视、可控、可管,通过建立安全管理运营中心使得所有网络上运行的应用系统与网络设备、安全设备、服务器实现统一、智能化的实时监控,实现应用系统与网络设备、安全设备、服务器系统故障的预警和自动报警,实现网络资源的合理分配,及运行维护的制度化、流程化、自动化。

1 论述

对于行业信息系统而言,虽然大都已经购买并部署了防火墙、防病毒、入侵检测等安全技术产品,并制定了相应的管理和运行制度、流程,但这与行业业务系统的建设速度显然是不对称的,且越来越不能满足行业业务系统的安全、稳定发展需求。因此,必须加快行业信息系统的安全建设的步伐,特别对于安全管理运营中心的建设,更是如此。

对于行业安全管理运营中心而言,它是安全事件集中显现和安全措施正确实施的保证,也是解决全网统一安全监控管理的主要技术手段。它通过对网络中各种设备(包括路由设备、安全设备、服务器等)、安全机制、安全信息的综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;并通过制定安全策略指导或自动完成安全设施的重新部署或响应,从而实现可信安全管理的目的。

众所周知,基于综合安全管理运营中心的设计思想,通过在行业网络信息中心部署安全管理平台,并结合组织业务流的特点,可以识别和管理IT基础架构的关键信息资产,帮助制订信息安全策略,通过有效整合网络中部署的各种安全资源,依据智能的辅助决策系统和安全知识库,实施以风险管理为核心的安全事件管理、事件处理流程管理、安全风险管理、网络运行管理等一系列安全管理活动,从而保证业务系统正常运行和持续性发展。具体实现如下:

1.1 通过安全管理运营中心实现与安全管理制度的结合

对于行业信息系统安全管理建设,在制定安全管理制度时,往往由于缺乏足够的知识积累,造成制定的安全管理制度虽然符合企业的安全需求,却对管理制度的人性化、易用性考虑欠佳。而安全管理运营中心恰恰可以利用其安全基础知识库、安全专家知识库为行业用户提供具体管理需求的辅助决策建议,并可以通过安全管理运营中心的分析辅助决功能,分析普通员工的安全操作习惯,然后有选择的对制度文件进行改进和调整。通过系统内置的专家知识库为制定和改进安全管理制度提供了有力的技术支持。

1.2 通过安全管理运营中心实现与日常安全运维的结合

分布式、智能化、可视化的安全监控,可以让管理员实时掌握自身的安全态势,使我们在日常安全运维过程中够实现入侵攻击的追踪或入侵攻击的特征分析,从而将有效提高安全管理人员对于入侵攻击的监控理解、安全事件的正确处理,使整个信息系统的管理更为有效。

通过安全管理运营中心的场景定义、智能分析和安全定位功能确认安全事件或安全故障时,安全管理运营中心可以提供多种方式报警,如:报警灯报警、窗口报警、邮件报警、手机短信报警;管理员收到报警信息后,由安全管理运营中心的工单管理系统直接调派其安全服务人员小组(网络管理人员或者提供安全服务的供应商)进行相应的安全事件处理、安全加固防护。实现事件实时分析、实时预警、实时响应的安全事件全生命周期管理。

1.3 通过安全管理运营中心实现全局安全事件的分析与预警

安全管理运营中心通过在行业信息系统中各主要网络中心布署日志,收集并分析全网网络设备、安全设备、主要应用系统的日志,实现全网安全事件统一审计、统一预警。安全管理运营中心通过对全网事件的统一分析,发现安全事件后,在控制台进行报警,管理根据安全管理运营中心的报警信息,通过在各网络设备、安全设备上配置策略,实现拦截,基本实现全网安全的自动化分析和处理。具体可以通过下述三个方面来实现:

1)基于安全产品日志事件的关联分析:通过将防火墙、防病毒、入侵检测、安全审计等安全产品输出的日志事件送到安全管理运营中心,其内置的攻击状态机模型来抽象和描述攻击行为(同时支持用户手工建立攻击关联分析),可以有效地从大量安全事件中准确识别出真实的安全威胁帮助用户快速响应安全问题,不断优化网络的安全状况,并将分析处理结果传递给网络管理人员或者提供安全服务的安全厂商,及时采取有效控制措施。