1、引言
IP网络是电信运营的基础网络之一,网络安全是保证网络品质的基础。随着宽带业务的迅猛发展,运营商提供的数据业务越来越多,因此网络与信息的安全性也日渐重要。与此同时,互联网的开放性给网络运营带来了越来越多的安全隐患,互联网网络安全管理工作目前急需加强。对于运营商来说,相应的安全管理系统及检测手段的建设也势在必行。信产部对互联网的安全问题十分重视,要求各运营商制定“互联网网络安全应急预案”。根据信息产业部的要求,各运营商已在建设互联网网络安全应急处理组织体系,从人员和组织架构上提供保障,但相对缺乏相应的安全管理系统和技术手段。为适应互联网业务发展的需要及加强互联网网络安全管理工作,各运营商都在积极着手建设安全管理系统。
2、IP网络安全管理的主要问题
IP网络规模庞大、系统复杂,其中包含各种网络设备、服务器、工作站、业务系统等。安全领域也逐步发展成复杂和多样的子领域,例如,访问控制、入侵检测、身份认证等。这些安全子领域通常在各个业务系统中独立建立,随着大规模安全设施的部署,安全管理成本不断飞速上升,同时对这些安全基础设施产品及其产生的信息管理成为日益突出的问题。IP网络安全管理的问题主要有以下几个方面:
(1)海量事件。
企业中存在的各种IT设备提供大量的安全信息,特别是安全系统,例如,安全事件管理系统和漏洞扫描系统等。这些数量庞大的信息致使管理员疲于应付,容易忽略一些重要但是数量较少的告警。海量事件是现代企业安全管理和审计面临的主要挑战之一。
(2)孤立的安全信息。
相对独立的IT设备产生相对孤立的安全信息。企业缺乏智能的关联分析方法来分析多个安全信息之间的联系,从而揭示安全信息的本质。例如,什么样的安全事件是真正的安全事件、它是否真正影响到业务系统的运行等。
(3)响应缺乏保障。
安全问题和隐患被发掘出来,但是缺少一个良好的机制去保证相应的安全措施得到良好执行。至今困扰许多企业的安全问题之一——弱口令就是响应缺乏保障的结果。
(4)知识“孤岛”。
许多前沿的安全技术往往只有企业内部少数人员了解,他们缺少将这些知识共享以提高企业整体的安全水平的途径。目前安全领域越来越庞大,分支也越来越细微,各方面的专家缺少一个沟通的平台来保证这些知识的不断积累和发布。
(5)安全策略缺乏管理。
随着安全知识水平的提高,企业在自身发展过程中往往制定了大量的安全制度和规定,但是数量的庞大并不能代表安全策略的完善,反而安全策略版本混乱、内容重复和片面、关键制度缺失等问题依然在企业中不同程度的存在。
(6)习惯冲突。
以往的运维工作都是基于资产+网络的运维,但是安全却是基于安全事件的运维。企业每出现一个安全问题就需要进行一次大范围的维护,比如出现病毒问题就会使安全运维工作不同于以往的运维工作习惯。
随着IP技术的飞速发展,网络安全逐渐成为影响网络进一步发展的关键问题。为提升用户业务平台系统的安全性及网络安全管理水平,增强竞争力,IP网络安全管理从单一的安全产品管理发展到安全事件管理,最后发展到安全管理系统,即作为一个系统工程需要进行周密的规划设计。
3、安全管理系统建设管理需求
安全管理系统的建设需求主要表现在以下几个方面:
(1)各运营商通过安全管理系统的建设,可以完善IP网的安全管理组织机构、安全管理规章制度,指导安全建设和安全维护工作,建立一套有效的IP的安全预警和响应机制。
(2)能够提供有效的安全管理手段,能充分提高以前安全系统功能组件(如入侵检测、反病毒等)投资的效率,减小相应的管理人工成本,提高安全体系的效果。
(3)通过对网络上不同安全基础设施产品的统一管理,解决安全产品的“孤岛”问题,建立统一的安全策略,集中管理,有效地降低复杂性,提高工作效率,进一步降低系统建设维护成本,节省经济成本和人工成本。
(4)优化工作流程促进规程的执行,减轻管理人员的工作负担,增强管理人员的控制力度。
(5)实时动态监控网络能有效地保障业务系统安全、稳定运行,及时发现隐患,缩短响应时间和处理时间,有效地降低安全灾害所带来的损失,保障骨干网络的可用性及可控性,同时也可提高客户服务水平,间接地提高客户满意度。
(6)通过对安全信息的深度挖掘和信息关联,提取出真正有价值的信息,一方面便于快速分析原因,及时采取措施;另一方面为管理人员提供分析决策的数据支持,提高管理水平。
(7)通过信息化手段对资源进行有效的信息管理,有助于提高企业的资产管理水平,从而提高企业的经济效益和企业的市场竞争力等。
4、安全管理系统建设目标
安全管理系统的建设是一项长期的工作,综合考虑实际工作的需求、当前的技术条件以及相关产品的成熟度,安全管理系统的建设工作应该按照分阶段、有重点的建设的方式来规划。根据各阶段具体的安全需求,确定各阶段工作的重点,集中力量攻克重点建设目标,以保证阶段性目标的实现。建设的同时需要注意完善相关的管理制度和流程,保证安全管理系统与企业业务的有机融合和有效使用。对于IP网安全管理系统的建设,建议分近期目标、中期目标和长期目标3个阶段来实现:
*近期目标。以较为成熟的相关技术为基础,根据当前最迫切的安全管理工作需求制定,包括安全风险管理、安全策略管理、安全响应管理的基本需求。
*中期目标。在近期目标基础上提高内部各系统之间的集成度和可用度,扩大管理范围,增强各功能模块,初步实现与其他信息系统的交互和安全管理的自动化流程。
*长期目标。实现安全管理系统的集成化、自动化、智能化,保证信息、知识充分的挖掘和共享,为高水平管理工作和高效率的安全响应工作提供良好的技术平台。
5、安全管理体系与功能模型
5.1 管理体系
明确了建设目标后就要结合运营商安全需求、网络环境及整体规划方向确定安全体系模型。IP网安全包括物理安全、设备与网管系统安全、网络层安全、网络信息安全。IP网安全体系分为技术体系层面(安全基础设施)、安全管理系统、管理体系层面。
(1)管理体系层面。它包括安全策略管理、安全组织管理、安全运作管理等几个方面。安全策略是IP网安全管理工作的依据,包括安全策略、标准、过程等方面的内容。安全策略管理是整个安全体系的基础,通过对策略进行有效的发布和贯彻执行,可以规范项目建设、运行维护相关的安全内容,指导各种安全工作的开展和流程,确保IP网的安全。安全组织是安全的管理组织架构,包括运营商安全相关的管理组织和人员。安全运作管理是策略、组织、技术的结合,是通过安全组织规定的人员,按照相应的流程,采取安全措施,对安全事件进行处理,从而整体提升IP网的安全水平。
(2)技术体系层面。它包括安全基础设施,安全基础设施包括访问控制系统、身份和认证管理系统等。
(3)安全管理系统层面。它是安全体系的中心枢纽,向上作为一种安全管理的形式和技术平台,协助用户实现安全策略管理、安全组织管理、安全运作管理,提供支撑手段。安全管理系统构建于安全基础设施之上,向下将管理贯彻到整个技术层面,通过收集来自所有安全产品和非安全产品的信息,进行统一的自动化风险评估,评价是否符合安全管理的策略,并报告给决策者,提供必要的响应。安全管理系统将安全管理和安全技术层面联系起来,能够保证安全产品部署符合安全管理的要求,提升安全基础设施的效率,减少相应的管理人工成本。
5.2 安全管理系统功能模型运营商在建设安全管理系统时,可通过安全服务的建设初步建立安全策略管理、安全运作管理体系,通过IP网安全管理系统的建设,实现基本的安全策略管理、安全运作管理功能。
(1)资产信息管理模块。
它实现对网络安全管理系统所管辖的设备和系统对象的管理。它将所辖IP设备资产信息按其重要程度分类登记入库,并为其他安全管理模块提供信息接口。
(2)脆弱性管理模块。
它实现对IP网络中主机系统和网络设备安全脆弱性信息的收集和管理,并配备远程脆弱性评估工具和本地脆弱性信息收集工具,及时掌握网络中各个系统的最新安全风险动态。该模块收集和管理的脆弱性信息主要包括两类:通过远程安全扫描可以获得的安全脆弱性信息(下称远程脆弱性信息)和通过在主机上运行脚本收集的脆弱性信息(下称本地脆弱性信息)。在定期收集到这些脆弱性信息后可以利用脆弱性管理系统进行导入和处理,以利于安全管理员对脆弱性信息的查询、呈现并采取相应的措施进行处理。
(3)安全事件监控管理模块。
安全事件监控系统是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息以及安全产品的安全事件报警信息等,及时发现正在和已经发生的安全事件,通过响应模块采取措施,以保证网络和业务系统安全、可靠运行。
(4)安全响应管理模块。
安全响应是安全工作中重要的一环。运营商应考虑目前的网络运行状况与管理机制的特点,将安全管理系统安全响应的建设重点放在通过工单系统进行工作指令的传达和网络安全评价机制的建设上。
网络安全响应是根据当前的网络安全状态,及时调动有关资源作出响应,降低风险对网络的负面影响。网络安全响应模块负责利用安全管理系统平台提供的采集和统计功能,科学合理地评价网络安全的状态指标,并根据安全的状态指标,结合安全风险控制的需要,及时通过工单系统发布工作指令,调动有关资源作出相应的响应,将剩余风险控制在可以接受的范围。
(5)安全预警模块。
结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时作好安全防范工作,防患于未然;同时通过安全威胁管理模块所掌握的全网安全动态,有针对性地指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
(6)安全知识库模块。
安全知识库信息的发布,不仅可以充分共享各种安全信息资源,而且也会成为运营商各级网络安全管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。安全管理系统要求实现网络安全信息的共享和利用,在安全管理系统平台提供统一界面以安全Web的形式发布最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该知识库的数据以数据库的形式存储及管理,为培养高素质网络安全技术人员提供培训资源。信息模块可以包括安全技术园地、安全技术交流、安全案例库、补丁库、论坛以及其他管理信息系统等子信息系统。
6、安全管理系统评估
安全管理系统建设后,应能达到以下各项目的评估:
(1)结合落实信产部对通信安全的要求,提供应急响应的技术手段,为运营商互联网网络安全应急处理小组提供安全事件应急响应的技术手段和管理平台,实现《互联网网络安全应急处理预案》所要求的安全目标。
(2)运营商IP网络安全应急信息的发布。能够以E-mail、网页、任务单等多种方式将最新的安全公告,预警信息、安全事件信息等及时发布给相关人员。
(3)实现安全事件预警、快速响应的闭环管理功能。安全预警和快速响应能够有效降低安全灾害所带来的损失,单纯的安全产品不足以呈现全网的安全状况、提供足够的预警信息,必须实现安全的集中管理,才能实现以地域、业务系统等方式统一呈现安全风险、缩短响应时间。
(4)定期进行安全审计实现风险评估,确保安全管理系统持续的适宜性和有效性。定期进行安全审计,并结合现有的安全措施及界定的各类风险处置策略对管理的资产(包括安全事件、安全事件处置策略及安全工单执行情况等)进行评估,不断充实安全知识库的内容以提高运维及网络安全技术人员的技术水平。
(5)从安全建设的角度来讲,建立完善的安全管理组织体系是非常重要的。企业应该设置专职人员对企业的安全负责、统一协调、统一管理,应定期对专职人员的安全工作进行考核,要及时发现问题、解决问题,逐步完善运营商的安全管理。
7、结束语
随着运营商业务、网络及运维的发展,国内各运营商在持续对网络和系统进行安全评估和加固的同时启动了安全管理系统的建设,并逐渐将专用的或定制开发的安全系统集成到安全管理系统中统一管理。可以看出,运营商日益重视安全管理,安全管理已逐渐成为一种趋势,IP网络安全管理的理论研究水平、实践能力有待于进一步发展和提高。