近年來，隨著我國信息化建設(shè)的不斷推進及信息技術(shù)的廣泛應(yīng)用，在促進經(jīng)濟發(fā)展、社會進步、科技創(chuàng)新的同時，也帶來了十分突出的安全問題。根據(jù)中國國家信息安全漏洞庫(CNNVD)、國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)的實時抽樣監(jiān)測數(shù)據(jù)，2013年3月份，新增信息安全漏洞數(shù)量比上個月增加了33.9%;境內(nèi)被掛馬網(wǎng)站數(shù)量比上月增加17.9%;境內(nèi)被黑網(wǎng)站數(shù)量為7909個，境內(nèi)被篡改網(wǎng)站數(shù)量為9215個，境內(nèi)被木馬或僵尸程序控制主機數(shù)量為129萬臺。面對我國網(wǎng)絡(luò)信息安全問題日益嚴重的現(xiàn)狀，國家層面在陸續(xù)出臺相關(guān)專門網(wǎng)絡(luò)信息安全保護法律法規(guī)。在各行各業(yè)根據(jù)不同時代威脅對象及方法的不同，在不斷完善自己的安全建設(shè)。隨著網(wǎng)絡(luò)系統(tǒng)規(guī)模的擴大，各種應(yīng)用系統(tǒng)不斷完善，對各類業(yè)務(wù)數(shù)據(jù)的安全提出了新的要求——如何加強網(wǎng)絡(luò)安全管理?如何使運維服務(wù)行之有效?

一、網(wǎng)絡(luò)安全管理體系化、平臺化

網(wǎng)絡(luò)安全管理不是管理一臺防火墻、路由器、交換機那么簡單，需要從以體系化的設(shè)計思路進行通盤考慮，需要統(tǒng)一和規(guī)范網(wǎng)絡(luò)安全管理的內(nèi)容和流程，提升風(fēng)險運行維護的自動化程度，實現(xiàn)風(fēng)險可視化、風(fēng)險可管理、風(fēng)險可處置、風(fēng)險可量化。使日常的風(fēng)險管理由被動管理向主動的流程化管理轉(zhuǎn)變，最終真正實現(xiàn)網(wǎng)絡(luò)安全管理理念上質(zhì)的飛躍，初步建立起真正實用并且合規(guī)的網(wǎng)絡(luò)安全管理運維體系。

網(wǎng)絡(luò)安全管理平臺作為管理的工具其核心理念是管理，網(wǎng)絡(luò)安全管理平臺圍繞此開展設(shè)計，最終形成安全工作的工作規(guī)范，通過不斷完善的工作規(guī)范，通過安全工作能力的不斷提升，通過對工作內(nèi)容及結(jié)果的工作考核，形成安全建設(shè)螺旋上升的建設(shè)效果。在網(wǎng)絡(luò)安全管理平臺建設(shè)上重點考慮如下幾個方面的內(nèi)容：

1)安全資源的統(tǒng)一管理

安全策略是企業(yè)安全建設(shè)的指導(dǎo)性綱領(lǐng)。信息安全管理產(chǎn)品應(yīng)能在安全策略的指導(dǎo)下，對與信息安全密切相關(guān)的各種資產(chǎn)進行全面的管理，包括網(wǎng)絡(luò)安全設(shè)備(產(chǎn)品)、重要的網(wǎng)絡(luò)資源設(shè)備(服務(wù)器或網(wǎng)絡(luò)設(shè)備)，以及操作系統(tǒng)和應(yīng)用系統(tǒng)等。要實現(xiàn)關(guān)鍵防護設(shè)備的健壯性檢查工作。

2)安全管理可視化

實現(xiàn)安全運維管理服務(wù)流程的可視化、結(jié)果可跟蹤、過程可管理，支持完善的拓撲表達方式，支持可視化的設(shè)備管理、策略管理和部署，支持安全事件在網(wǎng)絡(luò)邏輯拓撲圖中顯示。信息安全全景關(guān)聯(lián)可視化展示方法和技術(shù)，從信息展示邏輯和操作方式上提高可視化的視覺效果，增強系統(tǒng)的易用性和信息的直觀性。采用了眾多圖形化分析算法技術(shù)從大量圖表數(shù)據(jù)中揭示更深層次的關(guān)聯(lián)信息和線索。

3)信息安全全景關(guān)聯(lián)模型及方法

各種類型、不同廠家的安全設(shè)備得以大規(guī)模使用，產(chǎn)生難以手工處理的海量安全信息，如何統(tǒng)一監(jiān)控、處理這些不同類型的安全信息，如何從這些海量的安全信息中整理、分析出真正對用戶有價值的安全事件。通過設(shè)計一個基于關(guān)聯(lián)的信息安全事件管理框架，實現(xiàn)安全信息的關(guān)聯(lián)及關(guān)聯(lián)后事件表示,實現(xiàn)安全信息精簡、降低誤報率和漏報率以及改進報警語義描述，達到增強安全系統(tǒng)間的聯(lián)系、建立安全信息管理標(biāo)準(zhǔn)、提供安全可視化描述和建立安全通用處理流程。支持安全檢測模式深度挖掘。

4)信息安全態(tài)勢評估模型和態(tài)勢評估方法

安全綜合評價以及安全態(tài)勢預(yù)測的最終目的是建立大型網(wǎng)絡(luò)的宏觀、統(tǒng)一的安全態(tài)勢評估體系，提供網(wǎng)絡(luò)安全策略、進行宏觀態(tài)勢評估及預(yù)測的技術(shù)手段，達到全面評價系統(tǒng)整體安全性的目的，為實施網(wǎng)絡(luò)安全管理策略制定提供決策支持的工具。

5)海量數(shù)據(jù)存儲和高性能處理機制

建立基于網(wǎng)格技術(shù)的分布式存儲和分布式處理機制，通過網(wǎng)格中間件既可以實現(xiàn)數(shù)據(jù)的分布式存儲，又可以將統(tǒng)一的數(shù)據(jù)庫查詢請求變成在各網(wǎng)格節(jié)點進行的分布式查詢，以提高數(shù)據(jù)庫操作效率，從而通過計算規(guī)模擴展實現(xiàn)數(shù)據(jù)存儲和處理性能的提升。

6)支持多種行業(yè)網(wǎng)絡(luò)應(yīng)用模式

電信、政府、金融、電力、廣電等行業(yè)網(wǎng)絡(luò)環(huán)境多種多樣，電信網(wǎng)、IP網(wǎng)、廣電網(wǎng)等，應(yīng)用業(yè)務(wù)與模式形態(tài)各異，行業(yè)監(jiān)管要求差異化，如何滿足安全運維管理的行業(yè)化需求是信息安全運維管理平臺的重要方向。#p#

二、安全技術(shù)向安全運維服務(wù)融合和演進是大勢所趨

安全管理體系隨著對安全認知的不同、隨著風(fēng)險攻防的不同、隨著后續(xù)能力的提升，管理體系的建設(shè)也是一個動態(tài)的過程，一定要機人結(jié)合、要與服務(wù)結(jié)合。建立在單一的安全產(chǎn)品建設(shè)的基礎(chǔ)上，通過更加細化的運維服務(wù)，指導(dǎo)產(chǎn)品真正的發(fā)揮作用，將服務(wù)與產(chǎn)品深度融合是安全技術(shù)發(fā)展的趨勢。

運維服務(wù)的從客戶戰(zhàn)略出發(fā)、以客戶需求為中心，以風(fēng)險管控為主線、以安全效益為導(dǎo)向、以風(fēng)險相關(guān)法律、法規(guī)和理論方法為依據(jù)，以安全信息化、自動化技術(shù)為手段，通過安全平臺完成安全保障日常運維工作有序、有效的開展。主要任務(wù)如下：

1) 建立完整的運維體系。通過梳理運行服務(wù)管理現(xiàn)狀流程，并對運行管理提出癥結(jié)分析與改良建議，依照行業(yè)化建設(shè)標(biāo)準(zhǔn)，建立起完整可實施的運維體系;

2) 建立服務(wù)規(guī)范。針對現(xiàn)在的運行系統(tǒng)管理體系進行改良，訂立滿足業(yè)務(wù)需求的完成運行服務(wù)管理規(guī)范的修訂、試行、發(fā)布與宣貫;

3) 充分利用安全管理類平臺，提高辦公區(qū)域內(nèi)的軟、硬件、業(yè)務(wù)應(yīng)用軟件的運行維護效率，確保信息系統(tǒng)正常運行;

4) 運維服務(wù)實施和管理。按照編制的服務(wù)管理規(guī)范監(jiān)督各項服務(wù)實施。負責(zé)運維服務(wù)水平管理，及時調(diào)整服務(wù)級別、問題管理、發(fā)布管理等流程;

安全建設(shè)從資產(chǎn)評估、方案設(shè)計開始，項目實施為一個段落，繼而進入到安全運維階段。而安全管理平臺是整個安全框架的核心和樞紐，作為一個技術(shù)系統(tǒng)，它向上為安全策略管理、安全組織管理、安全決策提供自動化協(xié)助。同時，更為重要的是，運維服務(wù)可圍繞安全管理中心向下貫徹到整個技術(shù)層面，利用安全管理平臺能夠收集來自所有安全設(shè)備和非安全設(shè)備的信息，進行統(tǒng)一的自動化風(fēng)險評估，評價是否符合安全管理的策略和基線，并進行有效的整改。運維服務(wù)內(nèi)容如下：

(1)健康檢查運維服務(wù)

為了確保用戶安全系統(tǒng)長期、穩(wěn)定的工作，最大限度和降低系統(tǒng)的運行故障及延長系統(tǒng)設(shè)備的使用壽命，安全運維團隊?wèi)?yīng)定期對安全設(shè)備、業(yè)務(wù)系統(tǒng)進行健康檢查服務(wù)，在保證系統(tǒng)安全的前提下采集系統(tǒng)配置、流量信息、系統(tǒng)狀態(tài)等安全信息，依照標(biāo)準(zhǔn)化流程，定期對用戶的系統(tǒng)進行檢查，了解系統(tǒng)的整體工作狀態(tài)。由被動服務(wù)變主動服務(wù)，通過健康檢查服務(wù)排除故障隱患，降低故障率。

(2)安全事件審計運維服務(wù)

隨著網(wǎng)絡(luò)規(guī)模的增長，用戶網(wǎng)絡(luò)中防火墻、防病毒軟件、IDS、VPN等網(wǎng)絡(luò)安全設(shè)備不斷增加，龐大的日志數(shù)據(jù)令用戶無從下手。隨著網(wǎng)絡(luò)設(shè)備越來越多，網(wǎng)絡(luò)攻擊的手段越來越多樣，攻擊方法越來越隱蔽，單純的依靠某一種安全設(shè)備的事件來對網(wǎng)絡(luò)安全情況進行評估和反應(yīng)是遠遠不夠的。安全運維服務(wù)團隊?wèi)?yīng)定期對各類系統(tǒng)產(chǎn)生的安全日志實現(xiàn)全面、有效的集中收集、管理、審計服務(wù)。

(3)網(wǎng)絡(luò)行為審計運維服務(wù)

網(wǎng)絡(luò)行為審計服務(wù)深入了解網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用的歷史和實時行為，基于用戶使用網(wǎng)絡(luò)的實際行為來優(yōu)化和調(diào)整網(wǎng)絡(luò)，實現(xiàn)了真正以用戶為中心行為分析，能夠?qū)Φ湫偷木W(wǎng)絡(luò)行為和用戶行為進行實時的的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)管理。網(wǎng)絡(luò)行為審計服務(wù)通過收集并分析用戶網(wǎng)絡(luò)行為數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。即當(dāng)發(fā)生安全事故或者發(fā)生違反安全策略的行為之后，通過檢查、分析、比較用戶網(wǎng)絡(luò)行為數(shù)據(jù)，從中發(fā)現(xiàn)違反安全策略行為的記錄。以利于事后追蹤，為調(diào)查取證提供第一手的資料。

(4)監(jiān)控與分析運維服務(wù)

運維監(jiān)控與分析服務(wù)以資產(chǎn)管理為基礎(chǔ)，以風(fēng)險管理為核心，以事件管理為主線，通過深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等技術(shù)，輔以有效的安全管理與監(jiān)控、實現(xiàn)對安全問題的統(tǒng)一監(jiān)控與管理，對各類安全事件的集中管理和智能分析，最終實現(xiàn)對用戶安全風(fēng)險態(tài)勢的統(tǒng)一監(jiān)控分析和預(yù)警處理。

通過安全運維工程師定期的分析，從海量的安全事件中提取出支持全局決策的信息。通過整理、分析網(wǎng)絡(luò)中各類安全事件，量化安全問題，梳理運維流程。

(5)終端安全監(jiān)控與策略優(yōu)化運維服務(wù)

隨著用戶網(wǎng)絡(luò)逐漸復(fù)雜，網(wǎng)絡(luò)管理的難度將不斷加大，多數(shù)企業(yè)、機構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡(luò)，如終端用戶不及時升級系統(tǒng)補丁、升級病毒庫的現(xiàn)象普遍存在;隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器、私自訪問保密資源、非法盜用他人地址帳號、利用非法軟件獲取利益等行為在企業(yè)中也比比皆是，綜合管理效率和效果受到了很大影響。

針對用戶問題，安全運維服務(wù)團隊?wèi)?yīng)定期監(jiān)控全網(wǎng)終端惡意行為，并定期優(yōu)化終端安全策略。例如定期檢查用戶的IP、MAC地址是否合法及終端安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果制定接入控制策略，對不符合安全標(biāo)準(zhǔn)的用戶進行病毒庫升級、系統(tǒng)補丁升級等操作;在保證用戶終端具備自防御能力并安全接入的前提下，可以動態(tài)合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防御能力、大大提升了用戶網(wǎng)絡(luò)的使用效率及管理效率。

(6)應(yīng)急響應(yīng)運維服務(wù)

應(yīng)急響應(yīng)服務(wù)指當(dāng)安全事件發(fā)生后，安全運維服務(wù)團隊根據(jù)預(yù)案快速響應(yīng)。應(yīng)急響應(yīng)預(yù)案應(yīng)按照準(zhǔn)備、檢測、抑制、根除、恢復(fù)、跟蹤等一系列標(biāo)準(zhǔn)措施制定，保證網(wǎng)絡(luò)安全無憂，預(yù)防危險發(fā)生。

(7)漏洞分析運維服務(wù)

對于網(wǎng)絡(luò)管理人員，特別是復(fù)雜網(wǎng)絡(luò)的管理人員，由于時間和工作關(guān)系，通常會遇到無法收集并分類相關(guān)的安全報告，使得網(wǎng)絡(luò)中或多或少的存在被忽視的安全漏洞。而安全問題目前正以每周新增幾十甚至幾百例的速度在全世界得到反饋，并同時涉及信息技術(shù)的眾多領(lǐng)域。企業(yè)所掌握的安全知識的更新速度所受到的壓力非常大。應(yīng)借助安全廠商的力量獲取最新的安全動態(tài)、技術(shù)和安全信息，包括實時安全漏洞通知、病毒、補丁升級、定期安全通告匯總和安全知識庫更新等，并通過定期對自有資產(chǎn)進行漏洞的定期分析/整改。

(8)建立運維知識庫

建立自有的安全運維知識庫并定期升級，儲備更多的安全運維經(jīng)驗、安全知識，保障用戶的運維效果，提高安全運維效率。

三、總結(jié)

安全管理平臺與運維服務(wù)相輔相成，實現(xiàn)網(wǎng)絡(luò)安全管理全局一盤棋。平臺可以對各類風(fēng)險予以完整、全面的識別、管控和分析，結(jié)合風(fēng)險展示。分析管理效果和不足，發(fā)現(xiàn)網(wǎng)絡(luò)安全管控中的隱患，更有效地揭示網(wǎng)絡(luò)安全風(fēng)險的發(fā)生規(guī)律;對各類風(fēng)險和事件進行關(guān)聯(lián)分析，實現(xiàn)風(fēng)險和事件分類統(tǒng)計、風(fēng)險趨勢分析，產(chǎn)生各類報表，提供預(yù)警信息，指導(dǎo)運維服務(wù)人員如何有效的開展保障工作。在此，網(wǎng)絡(luò)管理從安全角度來考量，只有將工具化的管理平臺與人員服務(wù)進行有效的整合，才能形成安全建設(shè)螺旋上升的建設(shè)效果。