简体中文  |   English
等保专题
构建可靠的信息安全管理体系

   发布时间:2013-11-27 10:22:51 

近年来,随着“棱镜门”等信息安全事件的不断被披露,构建可靠的信息安全管理体系又一次成为政府与诸多企业管理者热议的话题。然而,罗马不是一日建成的,无论是基于国际信息安全标准ISO27001,还是基于我国的信息安全等级保护要求,IT管理者都需要深刻理解“三分安全,七分管理”的含义,这不仅是因为现阶段我国信息系统还有存在诸多安全问题亟待完善,也因为风险规避的本质需要更合理的管理手段来及时发现潜在的风险。因此,今天构建信息安全管理体系的核心归根结底需要建立健全组织机构的安全管理平台,夯实信息系统、安全保障、风险控制的综合能力建设。

2011年,我国的十二五规划纲要明确提出,各组织机构要加强网络与信息安全建设,实施信息安全等级保护、风险评估等制度,加强信息网络监测、管控能力。由此可见,建立满足我国国情需要的安全管理中心,首先需要满足我国等级保护、分级保护的政策要求,其次需要能够实时采集来自各种设备和应用的事件,为用户提供自动、全面、深入的事件分析能力,对潜在风险做到直观、高效的展现。因此,唯有更好的兼容组织机构网络中种类繁多的应用与设备,才能真正做到对各种风险事件的监测与管控。

通常,在建立信息安全管理体系(ISMS)过程中,组织机构会投入很多资源进行资产收集、风险评估、采取种种控制措施降低风险,且制定相关的管理制度规范以降低企业风险,提升员工信息安全意识,从而达到提升企业整体信息安全管理水平。整个过程通常会耗费各职能部门的巨大精力,而IT管理者又不得不疲于应付一年一次或两次的风险评估,突击实施一套看似完备的信息安全管理制度,实际效果参差不齐不说,风险短板也很难被弥补。可见,今天的安全管理体系不仅无法真正提升信息管理的水平,更无法有效避免实际应用中由于信息管理不善而产生各种问题,一旦被攻击者利用将导致非常巨大的经济损失。

如何建立更有效的信息安全管理体系,如何实现全方位、多层次的集安全防护、识别、监测、分析、响应、改进于一体的综合安全管理系统,实现整体安全保障体系的支撑和实现?以等级保护政策要求的第三级系统为例,我们重新认识安全管理平台需要具备哪些关键能力。

首先,安全管理平台需要实时采集组织机构中已部署的各种设备与应用,包括:
        >主机,包括Windows、Linux、Unix等多种操作系统;
        >网络设备,包括路由器、交换机、无线设备、其它网络设备等;
        >安全设备,包括防火墙、VPN、IDS/IPS、认证系统、反病毒系统、反垃圾邮件系统、隔离设备、反恶意代码设备、漏洞扫描系统、数据库审计系统、上网行为审计系统、网络行为审计系统、桌面管理系统、网络接入管理系统、域控制系统、补丁管理系统、网页防篡改系统等;
       >数据库,包括Oracle、MS SQLServer、Mysql、DB2等数据库;
       >中间件,包括WebSphere、WebLogic等多种中间件;
       >应用,包括OA、MIS、Mail、Web等组织机构中各种重要的应用系统。

其次,安全管理平台需要遵循等级保护以及ISO27000的策略要求,实现安全设备、安全技术、安全策略、安全人员管理为一体的管理体系。具体目标包括:
       >安管平台作为各级安全管理人员的日常工作平台。实现了日常通报、查处、报警等业务处理和各级人员的工作协同;实现了监测、报警、处置、反馈和考核相结合的安全管理工作方式;支撑安全管理日常化、常态化的工作机制。
       >安管平台作为集中安全监控与综合展示平台。实现了日常安全工作集中的通报展示、安全事件展示和安全专项系统工作状态展示与监控;实现了各类问题的进一步响应和应急处理;实现了安全法规、案例与应急预案等的展示与教育辅助。
       >安管平台作为决策辅助与综合分析评估平台。实现了各类安全数据的加工、存储、分析、挖掘;实现了安全态势的综合分析与评估;辅助安全决策,为安全整改提供依据。

最后,安全管理理念体系还需要围绕等级保护所涉及的物理、网络、主机、应用、数据的五个方面实现涵盖识别、防护、监测、分析、响应、改进完整立体的管理能力建设。

安全防护:依据安全管理目标能够制订详细的安全策略,实现安全策略的管理和变更控制,能够针对安全设备自动下发安全策略,并监控安全策略、安全配置的变更,实现安全防护的统一管理;
  安全识别:能够对客户计算环境中包括网络设备、安全设备、主机、应用、帐号在内的节点信息的自动识别和统一监控,能够实时获取计算环境中的各类可用性、病毒、攻击、访问、认证、操作、帐号等信息,实现计算环境的安全态势感知;
  安全监测:能够监测IT节点可用性状况,能够依据安全策略要求设定安全分析规则,实现对安全策略执行情况、安全事件告警的监测,依据安全指标的变化评估物理、网络、设备、业务、身份、数据安全防护的状况;
  安全分析:依据安全策略,定义安全事件的级别,依据级别,提取需要安全响应的安全事件和问题,自动发送工单和告警短信,依据流程规范化处理。再者,能够依据安全评估和考核指标,分组织或类别进行评估考核;
  安全响应:通过安全规则,实现安事件与安全策略的联动,自动提升安全防护能力,实现快速的安全自动响应。依据安全策略设定安全保障组织体系,分角色、分流程自动流转安全事件、通告和工作,将人员和技术有效融合,规范自动的实现安全工作的流转和执行。
  安全改进:汇总和分析各级安全管理评估考核指标,由管理者评估安全状况,设定改进目标,制订安全改进计划,通过安全策略管理、项目管理、预算管理、评测管理完成对安全保障体系的迭代式改进;
  

基于以上例举的安全管理关键因素如何在实际应用中落地?下面我们将从实际案例中来找到答案。一套可靠的安全管理平台,需要满足ISO27001以及等级保护的合规性要求,同时兼顾网络和业务安全防护方针、策略的整体管理,保障业务系统的安全的综合需求,因此构建安全管理平台的总体结构从逻辑上可划分为三个层次:集中展示层、核心处理层、接入交换层。以我国公安通信网络的管理需求为例,构建安全管理平台的整体结构图如下所示:

安管平台总体结构图
  集中展示层是安全预警和事件监控、安全运行监控、协同工作处理、安全知识培训、综合分析的统一展示界面,是安管平台与各类用户交互的窗口。
  核心处理层是实现安全管理业务处置与办理的核心功能层,分为运行监控、业务处理、业务分析、业务配置和平台管理五个子系统。子系统既相对独立,又相互关联,实现全网安全状态、事件等信息的监控、处理和关联分析;实现日常工作、管理工作和响应处理的安全工作流;实现监控与报警、信息预处理、流程和模板的配置和管理;提供包括用户管理、数据管理、策略管理、系统配置等平台管理。
  接入交换层包括平台级联接口、安全专项系统接口、其他系统接口等,实现各级安管平台的接入认证、级联数据同步和安全传输;实现安全专项系统的统一接入管理和策略管理;提供安管平台反馈处理的信息通道;提供安管平台外部系统服务接口,规范安管平台提供服务的形式和内容。
  在实际应用中,该套系统可通过多种方式全面采集网络中各种设备、应用和系统的日志信息,为保障被审计节点的完整性,系统还充分利用被采集节点自身具备的日志外发协议,尽量不在被采集节点上安装任何代理,真正实现了对全网IT资源的日志事件的收集、分析和审计。
  由此可见,行之有效的安全管理体系的建设,离不开一套完整可靠的安全管理平台,同时由于业务的管理需求,安全管理平台还需要尽可能多的兼容各业务应用与硬件设备,真正具备实施的发现、分析、评估、预警响应潜在威胁的能力。纵观目前国内信息安全产品与服务市场,真正掌握了安全管理体系关键技术要求,且执行有效的安全管理系统产品方案,仍然被被以网神为代表的国内信息安全领导企业所主导。自2007年以来,网神始终占据着我国SOC市场的头把交椅,其率先于国内提出的监控、审计、运维三维一体安全管理概念业已伴随着网神以业务为核心的安全管理SOC2.0理念得到越来越多国内客户的认可。未来,我们有理由相信,伴随我国自主品牌创新能力以及产品的不断完善,构建可靠的信息安全管理体系的终极目标终究会实现。

关于我们 | 法律声明 | 隐私条款 | 联系我们 | 网站地图
奇安信网神信息技术(北京)股份有限公司 版权所有 Copyright Legendsec Technology Co.Ltd all rights reserved
京公网安备 11010202010077号