新形势下的网络信息安全运维

◆刘 学

新形势下的网络信息安全运维

◆刘 学

（交通运输部职业资格中心 北京 100029）

为提高信息系统安全（Information System Security Operation即ISSO）运维水平，前提是打造有效的安全运维管理平台。对IT基础设施和应用系统进行统一的监控，有效的处理安全事件、变更、配置等事项，从而在更大程度上确保信息安全，实现更高的安全管理能力，确定了安全运维的标准及内容，建立了一套完善可行的服务管理方案，快速掌握安全运维，以及管理过程中的事前预警、事发时快速定位，为运维工作提供有力支持。

安全运维；技术支撑；信息安全

1 引言

为规范信息安全管理，提高信息安全管理水平，建设 “监、管、控”功能为一体的安全运维管理平台，通过对IT设施与应用的集中监控，实时反映IT资源的运行状况为提高信息安全管理的规范化水平，实现更有效的安全管理，搭建具备“监、管、控”能力的安全运维平台，对IT设备和应用予以统一、实时的监控，了解其当前的运行状况[1]，统一处理安全事件、变更、配置等事务，达到信息资产状态可视、流程可管、操作可控的效果，有效改善安全能力，为业务稳定运行提供更有力的支持，保障运维工作的成效[2]。

2 IT运维中存在的问题

在IT业务不断推陈出新的过程中，信息管理工作变得更加复杂，具体来说表现为[3]：

其一，在网络环境不断变得更加复杂的过程中，以往的“来电响应式”IT运维管理方式逐渐暴露出更多的缺陷，比如不能及时地反映出安全隐患等，人们迫切需要新的运维管理方式[4]。

其二，业务系统日益增多，通常是业务部门主动上报故障后，运维人员才意识到问题的存在，存在一定的延迟性[5]。除此之外，无法动态的跟踪系统健康状况，出现故障后需要较长的时间才能找到故障点。

其三，技术手段的落后性，导致无法实现网络的完整性管理，出现私自内联等高风险事件时，无法迅速发现，对业务、后台操作的审计被忽视[6]。

3 建设内容

信息系统安全运维指在周期内，通过技术设施安全评估、技术安全加固、漏洞补丁、安全应急响应以及运维咨询，协助管理人员进行信息系统的日常工作，以发现并修复信息系统的安全隐患，降低非法利用的可能性，并在隐患被利用后加以响应[7]。ISSO运维管理平台由如下几个部分构成：

3.1 综合监控管理子系统

这一子系统的主要作用，是对IT基础层予以全方位的监管，比如安全设备、数据库、应用进程等，其将各种IT资源的运行状态实时的反映出来[8]，为后续的关联分析和管理创造良好的条件，具体的处理流程可以通过自动或手工的方式来设定。

3.2 安全运维服务管理子系统

该子系统主要负责日常工作和服务的管理，它以ITIL（运维管理最佳实践）以及管理需求为依据，对服务、资源、安全进行管理，确保管理规范化能够执行到位，实现更高的管理效能[9]。

3.2.1安全信息采集分析

将厂商、日志信息安全要素信息全部汇总起来，在此基础上进行安全和可行性分析，以及宏观态势分析[10]。这里面，风险分析旨在了解资产、弱点、威胁等方面的情况；宏态势分析涉及关键安全指标、业务健康度分析、地址熵热点分析等，能够和其他的安全软件连接。

（1）安全事件采集。从网络设备、服务器、应用等中采集安全资源、安全事件、安全漏洞、资产等方面的信息，然后予范式化处理，消除各种日志在表达方式上的差异。

（2）安全事件分析。基于智能化的事件关联分析，采用以情境和行为为依据的关联分析技术。管理对象的告警事件量在系统拓展图中呈现出来；用户对拓扑节点进行操作，就能够浏览事件的详细信息；对一定时间范围内的安全事件予以行为分析，直观的呈现出大量安全事件彼此间的关联，在宏观层面上协助安全[11]。通过可视化的图形反映安全事件，比如拓扑图、IP定位图、动态移动图、事件分析图、资产图等。

3.2.2安全隐患预警与处置

应用主动管理方式，在安全事件出现之前采取防范手段，实现安全威胁、漏洞扫描等管理功能，从而更好完成核查工作。安全威胁管理，用户能够在系统中发布预警信息，和资产关联在一起，通过分析找到可能被影响的资产，将系统的安全隐患呈现在用户眼前[12]。主动漏洞扫描管理，按照一定的周期执行这一功能，建立扫描结果和资产之间的关联。配合安全管理，主要起到协助作用，从而使工作人员更好的搭建基线管理体系，建立资产安全的标准，融入全网脆弱性和管控体系中去。

3.2.3告警管理

系统应该具备告警管理功能，从而确保能够收集到所有的告警事件。

（1）告警内容。告警信息主要有事件的节点、类型等，从而使运维人员能够在第一时间掌握关于故障的资源、人员等方面的信息，尽快采取行动。

（2）告警处理。系统能够为故障的处理提供技术上的支持，从主机以及其他的环节采集信息，经过过滤后，传送给工作人员，确保故障能够在第一时间被知悉并得到处理。基于应用类型、故障级别予以针对性的处理。

（3）告警发布。告警级别可以由用户设定，告警通知方式有两种，即短信和邮件。

3.2.4风险管理

风险管理指的是利用安全分析和处理功能，识别、评估风险并予以针对性的处理。信息安全风险评估，以安全信息的分析结果为依据对风险进行评估，通过图形的方式展示评估的结果。信息安全整改，汇总所有的评估信息，传送给相应的部门，由后者处理风险并完成整改分析工作。

4 结论

围绕资产管理、项目管理、信息系统三大核心，对IT业务予以周期性的管理，搭建包含监控、审计、风险、管理四个维度的安全运维管理平台，为系统的关联性、可用性、连续性分析提供精准、可量化的工具，提高对安全事件的防范识别能力，为系统的可靠运行提供有力的保障。

[1]李长征.电子政务运维管理的关注因素田[J].信息化建设，2009（02）：1-2.

[2]李荣华.基于ITIL的IT运维管理系统的设计与实现[D].北京：邮电大学，2010：13-15.

[3]曹汉平.现代IT服务管理[M].清华大学出版社，2005.

[4]张先哲.信息系统安全运维管理平台建设研究[J].软件工程师，2015（05）.

[5]徐文君，沈建刚，季乙玮.上海水务应用系统规范化运维管理的探讨[J].上海水务，2010（04）.

[6]张宇航.电子政务项目建设与运行管理研究[D].北京交通大学，2012.

[7]张瑞冉.IT服务管理在运维管理中的研究与应用[D].首都经济贸易大学，2012.

[8]彭珺，高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程，2011（01）.

[9]肖茜.网络信息安全研究[J].网络安全技术与应用，2009（04）.

[10]衷奇.计算机网络信息安全及应对策略研究[D].南昌大学，2010.

[11]杨旭.计算机网络信息安全技术研究[D].南京理工大学，2008.

[12]GB 17859-1999.计算机信息系统安全保护等级划分准则[S].1999.