信息安全运营中心在大中型企业中的应用.doc

信息安全运营中心在大中型企业中的应用 启明星辰信息技术有限公司 高级咨询顾问 陈萍琼 随着经济建设的持续发展和知识经济模式的到来，国内企业以一种前所未有的热情致力于企业内部管理素质与效率的提升中，通过信息化手段实现办公自动化，网络信息系统成为企业办公的基础设施之一。组织机构复杂、用户众多、流程复杂；各类应用软件系统负载大，数据量大是大中型企业普遍的特点。通常，大中型企业有着更高的建设目标，他们希望通过实施办公自动化来提升管理水平，提高协作效率。因此也给承载该服务的网络信息系统提出了较高要求。本文将从目前大中型企业在信息安全工作中存在的问题出发，提出针对性的解决方案，帮助大中型企业构建有效的系统及业务安全保障体系。 大中型企业信息安全工作中存在的问题 多种安全设备，不同的报警，如何整合？ 在大中型企业的网络系统中，为了确保系统的稳健运行，通常会采用多种安全技术手段和安全产品，比如防火墙系统、入侵检测系统、防病毒系统等，都是安全基础设施。在实际的运维过程中，这些不同种类、不同厂家的安全产品会给技术人员带来不小的麻烦——各个安全系统相对孤立，报警信息互不关联，策略和配置难于协调。当一个报警事件产生时，不知道该如何处理。 海量的事件、海量的日志，如何分析存储？ 网络设备、安全设备、服务器都会产生日志，即使防火墙只做被丢弃数据包的日志，IDS也精简日志，每天产生的日志量仍然达到100-200M左右，相当于每秒钟10条，1个小时36000条。实际上，一个专职的安全工程师一天能处理10多条已经很多了，一小时处理4条是极限。如何跨越36000条事件和4条事件之间的数字鸿沟，避免“关键的安全信息和告警常常被低价值的告警所淹没，让技术人员能及时针对重要安全事件进行处理，成为亟待解决的一个关键问题。 除了对事件的分析外，还涉及到一个存储的问题，以便事后快速方便地进行查证。技术人员通常希望可以到统一的库里面去查，而不是搭建多个日志中心，防火墙到防火墙日志服务器去查，IDS到IDS日志服务器去查。 如何将网络安全事件与业务风险关联？ 在日常的工作中，技术人员关注的是网络安全，而领导关注的是信息安全或业务安全，是全局的状况。 这也就提出了一个需求，将网络安全事件跟业务风险进行关联，将业务系统的安全运行情况展现出来，很直观地看到被监控的业务系统是安全级别中的哪一级，每个业务系统各是什么样的状况。业务系统是一个支撑系统，如果业务系统正常，就不需要花过多时间来维护。技术人员的工作也能从全局角度出发，而并非某个局部设备的运维。 如何计算安全投资的回报率？ 通过安全投入，减少了多少安全损失，这一点通常是很难度量的。比如说去年发生了多少安全事件，今年少发生了多少，如果能把风险量化，就能通过计算风险的降低率来推算投资回报率。 安全技术过于底层，安全管理过于抽象，如何有效整合？ 信息安全不仅涉及到安全技术，还包括安全管理的内容。在做安全工作时，讲到安全理念、安全标准就会特别虚。讲技术体系，技术实现又会太细节化。27号文里谈到技术和管理并重，在实际的工作中，需要把过于底层的安全技术和过于抽象的安全管理进行有效的整合。 泰合信息安全运营中心解决方案 泰合是启明星辰提出的SOC（Security Operation Center信息安全运营中心）解决方案，其体系架构如下图所示，由“四个中心、五个功能模块”组成。 “四个中心”是漏洞评估中心、事件流量监控中心、综合分析决策支持与预警中心和响应管理中心； “五个功能模块”是策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理。 图1：泰合信息安全运营中心体系结构示意图 其核心功能描述如下： 资产管理 对用户所关注的信息资产的各类信息进行统一管理。将其所辖IP设备资产与风险的重要程度关系，依据风险评估的结果、定期的漏洞扫描结果和本模块的信息资产相结合，遵从ISO17799和ISO13335的资产管理规范，允许对信息资产的价值进行有效评估，从而确定信息资产的安全需求（完整性需求、必威体育官网网址性需求和可用性需求），不仅可以协助用户有效管理信息资产的各类属性，同时也便于贯彻即将强制推行的公安部等级保护规范（ISO 15408/GB 17859）。 安全域管理 安全域是用户根据业务特点、网络划分、信息资产重要程度等因素，划分出的信息安全防护基本单元，贯彻安全域管理不仅可以协助用户理清现有信息系统的结构和安全需求，同时也简化了实施安全保障措施的复杂度和难度。 允许用户根据业务系统、网段等不同的属性对信息系统进行安全域划分； 允许用户将重要的信息资产与安全域进行关联； 支持同一资产隶属不同的安全域，支持多层次安全域管理； 用户可以对安全域进行重要性赋值； 用户可以对安全域进行风险监控和脆弱性评估，了解其安全状况。 脆弱性管理 通过脆弱