IP網絡安全管理系統探討
加入技術交流群
摘要 分析了IP網絡自身安全管理的需求,總結了安全管理的演進趨勢,提出了安全管理的建設目標、系統功能要求以及評估方法。
1、引言
IP網絡是電信運營的基礎網絡之一,網絡安全是保證網絡品質的基礎。隨著寬帶業務的迅猛發展,運營商提供的數據業務越來越多,因此網絡與信息的安全性也日漸重要。與此同時,互聯網的開放性給網絡運營帶來了越來越多的安全隱患,互聯網網絡安全管理工作目前急需加強。對于運營商來說,相應的安全管理系統及檢測手段的建設也勢在必行。信產部對互聯網的安全問題十分重視,要求各運營商制定“互聯網網絡安全應急預案”。根據信息產業部的要求,各運營商已在建設互聯網網絡安全應急處理組織體系,從人員和組織架構上提供保障,但相對缺乏相應的安全管理系統和技術手段。為適應互聯網業務發展的需要及加強互聯網網絡安全管理工作,各運營商都在積極著手建設安全管理系統。
2、IP網絡安全管理的主要問題
IP網絡規模龐大、系統復雜,其中包含各種網絡設備、服務器、工作站、業務系統等。安全領域也逐步發展成復雜和多樣的子領域,例如,訪問控制、入侵檢測、身份認證等。這些安全子領域通常在各個業務系統中獨立建立,隨著大規模安全設施的部署,安全管理成本不斷飛速上升,同時對這些安全基礎設施產品及其產生的信息管理成為日益突出的問題。IP網絡安全管理的問題主要有以下幾個方面:
(1)海量事件。企業中存在的各種IT設備提供大量的安全信息,特別是安全系統,例如,安全事件管理系統和漏洞掃描系統等。這些數量龐大的信息致使管理員疲于應付,容易忽略一些重要但是數量較少的告警。海量事件是現代企業安全管理和審計面臨的主要挑戰之一。
(2)孤立的安全信息。相對獨立的IT設備產生相對孤立的安全信息。企業缺乏智能的關聯分析方法來分析多個安全信息之間的聯系,從而揭示安全信息的本質。例如,什么樣的安全事件是真正的安全事件、它是否真正影響到業務系統的運行等。
(3)響應缺乏保障。安全問題和隱患被發掘出來,但是缺少一個良好的機制去保證相應的安全措施得到良好執行。至今困擾許多企業的安全問題之一——弱口令就是響應缺乏保障的結果。
(4)知識“孤島”。許多前沿的安全技術往往只有企業內部少數人員了解,他們缺少將這些知識共享以提高企業整體的安全水平的途徑。目前安全領域越來越龐大,分支也越來越細微,各方面的專家缺少一個溝通的平臺來保證這些知識的不斷積累和發布。
(5)安全策略缺乏管理。隨著安全知識水平的提高,企業在自身發展過程中往往制定了大量的安全制度和規定,但是數量的龐大并不能代表安全策略的完善,反而安全策略版本混亂、內容重復和片面、關鍵制度缺失等問題依然在企業中不同程度的存在。
(6)習慣沖突。以往的運維工作都是基于資產+網絡的運維,但是安全卻是基于安全事件的運維。企業每出現一個安全問題就需要進行一次大范圍的維護,比如出現病毒問題就會使安全運維工作不同于以往的運維工作習慣。 {{分頁}}
隨著IP技術的飛速發展,網絡安全逐漸成為影響網絡進一步發展的關鍵問題。為提升用戶業務平臺系統的安全性及網絡安全管理水平,增強競爭力,IP網絡安全管理從單一的安全產品管理發展到安全事件管理,最后發展到安全管理系統,即作為一個系統工程需要進行周密的規劃設計。
3、安全管理系統建設管理需求
安全管理系統的建設需求主要表現在以下幾個方面:
(1)各運營商通過安全管理系統的建設,可以完善IP網的安全管理組織機構、安全管理規章制度,指導安全建設和安全維護工作,建立一套有效的IP的安全預警和響應機制。
(2)能夠提供有效的安全管理手段,能充分提高以前安全系統功能組件(如入侵檢測、反病毒等)投資的效率,減小相應的管理人工成本,提高安全體系的效果。
(3)通過對網絡上不同安全基礎設施產品的統一管理,解決安全產品的“孤島”問題,建立統一的安全策略,集中管理,有效地降低復雜性,提高工作效率,進一步降低系統建設維護成本,節省經濟成本和人工成本。
(4)優化工作流程促進規程的執行,減輕管理人員的工作負擔,增強管理人員的控制力度。
(5)實時動態監控網絡能有效地保障業務系統安全、穩定運行,及時發現隱患,縮短響應時間和處理時間,有效地降低安全災害所帶來的損失,保障骨干網絡的可用性及可控性,同時也可提高客戶服務水平,間接地提高客戶滿意度。
(6)通過對安全信息的深度挖掘和信息關聯,提取出真正有價值的信息,一方面便于快速分析原因,及時采取措施;另一方面為管理人員提供分析決策的數據支持,提高管理水平。
(7)通過信息化手段對資源進行有效的信息管理,有助于提高企業的資產管理水平,從而提高企業的經濟效益和企業的市場競爭力等。
4、安全管理系統建設目標
安全管理系統的建設是一項長期的工作,綜合考慮實際工作的需求、當前的技術條件以及相關產品的成熟度,安全管理系統的建設工作應該按照分階段、有重點的建設的方式來規劃。根據各階段具體的安全需求,確定各階段工作的重點,集中力量攻克重點建設目標,以保證階段性目標的實現。建設的同時需要注意完善相關的管理制度和流程,保證安全管理系統與企業業務的有機融合和有效使用。對于IP網安全管理系統的建設,建議分近期目標、中期目標和長期目標3個階段來實現:
*近期目標。以較為成熟的相關技術為基礎,根據當前最迫切的安全管理工作需求制定,包括安全風險管理、安全策略管理、安全響應管理的基本需求。
*中期目標。在近期目標基礎上提高內部各系統之間的集成度和可用度,擴大管理范圍,增強各功能模塊,初步實現與其他信息系統的交互和安全管理的自動化流程。
*長期目標。實現安全管理系統的集成化、自動化、智能化,保證信息、知識充分的挖掘和共享,為高水平管理工作和高效率的安全響應工作提供良好的技術平臺。 {{分頁}}
5、安全管理體系與功能模型
5.1 管理體系
明確了建設目標后就要結合運營商安全需求、網絡環境及整體規劃方向確定安全體系模型。IP網安全包括物理安全、設備與網管系統安全、網絡層安全、網絡信息安全。IP網安全體系分為技術體系層面(安全基礎設施)、安全管理系統、管理體系層面。
(1)管理體系層面。它包括安全策略管理、安全組織管理、安全運作管理等幾個方面。安全策略是IP網安全管理工作的依據,包括安全策略、標準、過程等方面的內容。安全策略管理是整個安全體系的基礎,通過對策略進行有效的發布和貫徹執行,可以規范項目建設、運行維護相關的安全內容,指導各種安全工作的開展和流程,確保IP網的安全。安全組織是安全的管理組織架構,包括運營商安全相關的管理組織和人員。安全運作管理是策略、組織、技術的結合,是通過安全組織規定的人員,按照相應的流程,采取安全措施,對安全事件進行處理,從而整體提升IP網的安全水平。
(2)技術體系層面。它包括安全基礎設施,安全基礎設施包括訪問控制系統、身份和認證管理系統等。
(3)安全管理系統層面。它是安全體系的中心樞紐,向上作為一種安全管理的形式和技術平臺,協助用戶實現安全策略管理、安全組織管理、安全運作管理,提供支撐手段。安全管理系統構建于安全基礎設施之上,向下將管理貫徹到整個技術層面,通過收集來自所有安全產品和非安全產品的信息,進行統一的自動化風險評估,評價是否符合安全管理的策略,并報告給決策者,提供必要的響應。安全管理系統將安全管理和安全技術層面聯系起來,能夠保證安全產品部署符合安全管理的要求,提升安全基礎設施的效率,減少相應的管理人工成本。
IP網絡安全管理體系如圖1所示。
圖1 IP網安全管理體系模型
5.2 安全管理系統功能模型運營商在建設安全管理系統時,可通過安全服務的建設初步建立安全策略管理、安全運作管理體系,通過IP網安全管理系統的建設,實現基本的安全策略管理、安全運作管理功能。安全管理系統的功能及核心模塊如圖2所示。{{分頁}}
圖2 安全管理系統功能及核心模塊
(1)資產信息管理模塊。它實現對網絡安全管理系統所管轄的設備和系統對象的管理。它將所轄IP設備資產信息按其重要程度分類登記入庫,并為其他安全管理模塊提供信息接口。
(2)脆弱性管理模塊。它實現對IP網絡中主機系統和網絡設備安全脆弱性信息的收集和管理,并配備遠程脆弱性評估工具和本地脆弱性信息收集工具,及時掌握網絡中各個系統的最新安全風險動態。該模塊收集和管理的脆弱性信息主要包括兩類:通過遠程安全掃描可以獲得的安全脆弱性信息(下稱遠程脆弱性信息)和通過在主機上運行腳本收集的脆弱性信息(下稱本地脆弱性信息)。在定期收集到這些脆弱性信息后可以利用脆弱性管理系統進行導入和處理,以利于安全管理員對脆弱性信息的查詢、呈現并采取相應的措施進行處理。
(3)安全事件監控管理模塊。安全事件監控系統是實時掌握全網的安全威脅狀況的重要手段之一。通過事件監控模塊監控各個網絡設備、主機系統等日志信息以及安全產品的安全事件報警信息等,及時發現正在和已經發生的安全事件,通過響應模塊采取措施,以保證網絡和業務系統安全、可靠運行。
(4)安全響應管理模塊。安全響應是安全工作中重要的一環。運營商應考慮目前的網絡運行狀況與管理機制的特點,將安全管理系統安全響應的建設重點放在通過工單系統進行工作指令的傳達和網絡安全評價機制的建設上。
網絡安全響應是根據當前的網絡安全狀態,及時調動有關資源作出響應,降低風險對網絡的負面影響。網絡安全響應模塊負責利用安全管理系統平臺提供的采集和統計功能,科學合理地評價網絡安全的狀態指標,并根據安全的狀態指標,結合安全風險控制的需要,及時通過工單系統發布工作指令,調動有關資源作出相應的響應,將剩余風險控制在可以接受的范圍。
(5)安全預警模塊。結合安全漏洞的跟蹤和研究,及時發布有關的安全漏洞信息和解決方案,督促和指導各級安全管理部門及時作好安全防范工作,防患于未然;同時通過安全威脅管理模塊所掌握的全網安全動態,有針對性地指導各級安全管理機構做好安全防范工作,特別是針對當前發生頻率較高的攻擊做好預警和防范工作。 {{分頁}}
(6)安全知識庫模塊。安全知識庫信息的發布,不僅可以充分共享各種安全信息資源,而且也會成為運營商各級網絡安全管理機構和技術人員之間進行安全知識和經驗交流的平臺,有助于提高人員的安全技術水平和能力。安全管理系統要求實現網絡安全信息的共享和利用,在安全管理系統平臺提供統一界面以安全Web的形式發布最新的安全信息,并將處理的安全事件方法和方案收集起來,形成一個安全共享知識庫,該知識庫的數據以數據庫的形式存儲及管理,為培養高素質網絡安全技術人員提供培訓資源。信息模塊可以包括安全技術園地、安全技術交流、安全案例庫、補丁庫、論壇以及其他管理信息系統等子信息系統。
6、安全管理系統評估
安全管理系統建設后,應能達到以下各項目的評估:
(1)結合落實信產部對通信安全的要求,提供應急響應的技術手段,為運營商互聯網網絡安全應急處理小組提供安全事件應急響應的技術手段和管理平臺,實現《互聯網網絡安全應急處理預案》所要求的安全目標。
(2)運營商IP網絡安全應急信息的發布。能夠以E-mail、網頁、任務單等多種方式將最新的安全公告,預警信息、安全事件信息等及時發布給相關人員。
(3)實現安全事件預警、快速響應的閉環管理功能。安全預警和快速響應能夠有效降低安全災害所帶來的損失,單純的安全產品不足以呈現全網的安全狀況、提供足夠的預警信息,必須實現安全的集中管理,才能實現以地域、業務系統等方式統一呈現安全風險、縮短響應時間。
(4)定期進行安全審計實現風險評估,確保安全管理系統持續的適宜性和有效性。定期進行安全審計,并結合現有的安全措施及界定的各類風險處置策略對管理的資產(包括安全事件、安全事件處置策略及安全工單執行情況等)進行評估,不斷充實安全知識庫的內容以提高運維及網絡安全技術人員的技術水平。
(5)從安全建設的角度來講,建立完善的安全管理組織體系是非常重要的。企業應該設置專職人員對企業的安全負責、統一協調、統一管理,應定期對專職人員的安全工作進行考核,要及時發現問題、解決問題,逐步完善運營商的安全管理。
7、結束語
隨著運營商業務、網絡及運維的發展,國內各運營商在持續對網絡和系統進行安全評估和加固的同時啟動了安全管理系統的建設,并逐漸將專用的或定制開發的安全系統集成到安全管理系統中統一管理。可以看出,運營商日益重視安全管理,安全管理已逐漸成為一種趨勢,IP網絡安全管理的理論研究水平、實踐能力有待于進一步發展和提高。
評論