“动态化”打造新时代下的综合安全管理

王 新，黄紫翎，杨 露

（长江三峡通航管理局，湖北 宜昌 443000）

引言

随着信息化的快速发展，网络建设不断推进，IT资源数量与种类也不断增加，由终端、服务器、交换机搭建的小型网络逐渐扩展，增加了无线、安全产品、云平台和工控产品等，网络主机、网络设备及安全设备的数量与日俱增，分布地域也越来越广。网管运维人员面对数量众多的IT资源与设备，耗费了巨大的精力，但成效有限。在运维与运营过程中主要存在以下问题：

1）缺乏必要的基础设施支撑，没有专门针对安全的运维体系，很多涉及安全的运维被分散到不同的部门实现，协同效率低下。

2）未形成全局性网络安全事件处理能力，无跟踪机制，直至时间闭环。

3）缺乏有效的技术手段对各类资源运行情况、告警情况和安全事件情况等进行综合全面的统计分析。

4）没有自动化操作能力，目前安全运维工作还处于人工维护阶段，工作效率相对较低，人工负担重。

1 综合安全管理平台概况

传统的安全管理平台更多集中在设备侧的运维与管理上，通过传统安全管理平台可以实现对添加入平台的资源（主机、服务器、安全设备和网络设备等）进行集中管理，实现集中巡检、策略下发以及版本升级等维护工作，实现相关日志（系统日志、安全日志和业务日志等）的采集与存储，实现网络拓扑的维护与管理，实现部分资产的台账管理工作。然而，随着业务与网络安全的深度耦合，网络安全的运营不再是单纯的设备维护工作，需要海量的专业分析支撑、业务部门的深度参与、业务流程紧密配合，才能实现事件的高效闭环处理，这些要求已远远超出传统安全管理平台的能力范畴。综合安全管理应运而生，通过平台支撑，可降低运维成本，提升运维效率。

综合安全管理平台以“管理”为核心理念，经过多年不断的技术沉淀与经验积累，在传统安全管理平台的基础上，再一次从业务的角度诠释了“动态化”综合安全管理平台的形成，将综合安全管理平台打造为管理者应用的工具，技术协作的平台，最终形成“体系化的管理框架，引擎化的管理中心，智能化的关联分析，自动化的运营处理，多部门的闭环管理”。如图1所示。

图1 综合安全管理平台

2 体系化的管理框架

体系化管理框架的建设主要体现在以下几个角度。

1）技术角度。综合安全管理平台已成为一体化安全管理运行的技术集成平台，完美地容纳了众多安全管理引擎，实现了动态化监控。

2）管理角度。综合安全管理平台采用统一安全策略的集中编辑与分发，对各类风险进行整体管理，尤其是对众多设备的统一配置管理，实现了对各类安全设备的安全规则进行统一配置分发，极大地降低了维护人员的工作量，为使用人员提供了全方位的安全防护。

3）业务角度。综合安全管理平台不仅针对设备层进行安全管理，还覆盖了不同行业业务层的安全。通过整合业务，对用户整体业务系统进行建模，仿真业务运作流程，在综合安全管理过程中，保证用户业务的可用性与可靠性，保障用户操作应用的简便性以及可视化界面的友好型。

4）运维角度。引入了自动巡检的功能，通过配置巡检任务，周期性进行设备巡检，记录巡检结果，并生成巡检报告。当业务出现异常时，系统将提示告警并通过邮件、短信的方式通知管理员。管理员只需登录管理中心，便可按需查看目前安全现状，轻松获取安全检查报告。

3 引擎化的管理中心

综合安全管理平台提供更融合接口，将终端安全、云端安全、应用安全和数据安全等各安全管理维度中的管理技术做为综合安全管理平台的一部分，如流量分析引擎、身份管理引擎、终端管理引擎、业务审计引擎以及其他安全管理引擎。如图2所示。

图2 安全管理引擎

1）引擎可按需即用。引擎管理中心在综合安全管理平台之上可进行灵活应用拆卸，既可以独立运行，也可以完整使用。

2）引擎自有性。各安全对象通常是不同厂家的异构型设备系统，但是综合安全管理平台中的安全引擎往往在被管理安全对象层中，由该企业自己提供。因此，引擎自有性是最重要的一个应用，综合安全管理平台拥有自有引擎才能让安全管理引擎信息数据更易接入、功能更易整合。

3）引擎差异性。引擎管理中心各引擎发挥着不同的作用。流量分析引擎发挥着对网络流量检测、过滤、控制和分析的作用。身份管理引擎发挥着对身份识别、认证授权、实名信息管理的作用。安全引擎的差异性能让大安管平台信息数据更丰富、安全管理技术手段更全面。

4 智能化的关联分析

综合安全管理平台通过各引擎中心，采集全网的安全事件、网络流量等数据，集中进行关联分析，配置安全基线，统计风险状况。有效地预测网络的安全态势，从全局角度了解网络的运行态势，预测未来的安全趋势，迅速发现网络的异常行为。提高对高危风险精准识别的能力，加强对高危事件的分析能力，通过各种安全引擎，带来丰富信息数据的同时，引入了NoSQL、并行计算等大数据分析技术，分析的信息数据容量更易扩展且速度更快。如图3所示。

图3 智能化关联分析

5 自动化的运营处理

自动化运营处理技术，是将分散的工具、人员和流程有机地整合到一起，整合安全运营所需的各种资源，实现人与工具、工具与工具的连接与协作。借助剧本、应用、动作等编排元素，系统能够将终端、主机、网络设备、安全设备、安全系统、协作软件以及云端应用等各类资源整合到一起，能够协助运营人员实现基于编排的自动化和半自动化的告警分诊与调查、案例追踪与调查、安全事件响应与威胁阻断以及其它日常安全运营工作。借助系统的编排与自动化功能，可以将安全操作流程或其片段转变成编排化的安全剧本，并尽可能自动化地执行，从而大幅降低安全运营人员尤其是一线安全运营人员的工作负担，减轻他们的工作压力，提升工作效率，在现有人员条件下执行更多的任务。

安全运营人员可以将针对不同威胁的响应行动方案以预案的形式写成安全剧本，纳入剧本库统一管理。在威胁触发后，在有人参与或者无人参与的情况下，自动地执行相关预案，譬如执行防火墙阻断操作、执行账号禁用操作以及终止某个进程等，大大缩短手动执行预案所耗费的时间。事后还能对处置过程进行复盘，对预案进行改进，积累相关经验。

自动化运营处理模块具备很强的可塑性和可扩展性，安全运营人员能够根据实战情况动态调整和组合流程、剧本。系统能够自动记录所有对抗过程的操作记录，用于事后总结归纳，持续优化。

借助自动化运营处理技术，可以帮助安全运营从繁重的低端重复性劳动中解脱出来，通过编排与自动化技术手段，提升人工运营水平和绩效，将安全运营人员的工作中心转移到高端创造性工作中去，提升安全运营人员的技能水平。同时，还能将有经验的安全运营人员的知识进行固化、沉淀、分享，并不断优化。借助该技术，最终可以实现安全运营效果的自动化、数字化度量，让管理员更客观、快速地掌握安全运营团队的绩效以及安全运营的实际效果。

6 多部门的闭环管理

事件的处置与响应是一个复杂的流程，需要跨部门、多人协同配合。多部门协同闭环管理模块支持安全运营人员通过工单功能，将单个或多个告警、漏洞、弱口令及配置弱点通过一个工单任务统一跟踪，并将涉及多人的判断或结论统一记录到工单任务中，从而使威胁处置过程有据可循。通过工单模块，可以对每一个威胁处置过程及时有效地跟踪和记录，增强内部人员处置联动的协作能力，提升处置效率。

7 结语

某企业的信息安全业务不断扩展，是国内信息安全产业的先行者，有能力创造更好地信息安全防护，通过综合安全管理平台支撑，为自身都提供全方位、动态化、立体式的安全防护，为信息化安全建设保驾护航。