1 引言

随着企事业单位信息化工作的深入开展，各行各业对信息依赖的程度越来越高，如何保障信息系统的安全已成为其信息系统建设过程中最重要的任务。企事业单位信息系统经过多年的建设已经具备相当的规模，但通常情况下会着重于基础设施建设和应用系统系统功能的实现，并没有实现信息系统的安全建设的同步规划、同步建设与同步运维，更多是采用传统的安全设备（如防火墙、入侵检测、防病毒等）完成网络层的安全防护工作。这种情况就导致了信息系统缺乏安全的系统化设计，信息安全系统会由不同厂家、不同时期的产品拼凑起来，仅仅能抵御来自某些方面的安全威胁，而各个子系统“各自为战”彼此成防御孤岛，无法实现协同防御也无法保持安全策略的一致性。

安全运维时，安全服务提供商往往是按产品提供监测与事件分析服务，安全事件发生时无法及时准确验证安全事件的可信度与评估安全风险影响范围和威胁等级。比较突出的情况是每日大量的入侵检测高等级安全事件，误报率可能达到70%以上，这是因为大量的自动化的扫描软件会触发高等级安全事件告警，信息安全管理人员没有自动化的处理分析系统将安全事件的触发条件与信息系统真实的运行环境进行比对，排除误报。

长久以往，管理员就被淹没在大量无用的告警数据中了，真正的成功入侵行为就被忽略了。因此，以安全事件驱动的，以解决实际安全问题为目标的安全管理中心建设就显得尤为重要了，同时我们要充分意识到安全管理中心建设是一个持续改进的建设过程，不可能一蹴而就，因此需要企业运维管理人员不断的参与实践，提升运维保障能力。

2 安全管理中心建设的最终目标是建立安全运营中心

很多企事业单位都采购了SOC（Security Operations Center）这样的产品，却没有取得应有的效果。大家共同的感觉是SOC是以一种产品形式引入的，受制于国内政策、日志标准、传统认识的制约，缺少了MSS管理安全服务或称之为外部的专业安全服务供应商（Managed Security Service）辅助支撑，自身运维人员在安全运维技术能力、经验方面的不足，导致了安全管理中心产品不能很好发挥作用。

因此，我们要充分意识到安全管理中心建设必经的几个阶段：首先是安全信息和事件管理（SIEM），能够对日志进行收集、安全存储、分析、警报、审核以及合规报告；其次是安全运营中心（SOC）以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件及风险分析、预警处理、应急响应的集中安全管理系统；下一个阶段就是SOC和大数据分析平台结合，提升数据分析处理的能力。

安全管理中心建设是一项安全管理建设的系统工程，要充分考虑企业现有的IT建设水平，遵循PDCA持续改进的管理模式，设计出符合企业业务实现的安全管理体系架构，应至少包括资源平台、基础管理中心、监控运维中心、应用展现平台、支撑系统五个层面的内容。如图1所示。

3 安全管理中心建设以事件驱动，以解决实际安全问题为导向

我们面临的挑战有几个方面：

（1）企业安全架构的短板；

（2）信息系统管理人员、安全管理人员的错误配置；

（3）信息系统逐步向互联网化，使信息系统安全防护边界模糊，被攻击面加大；

（4）攻击的手段发生了重大变化，流量型攻击严重影响了信息系统的业务连续性；

（5）每天出现巨大数量的安全报警，管理员很难对这些报警做出响应，误报严重，管理员无法准确判断故障，大量重复、零散而没有规律的报警。

企业安全架构的设计，就是在明确企业业务战略的基础上，梳理信息系统的面向的用户群体（如最终用户、生产用户、管理用户），梳理信息系统业务数据流程，以风险评估为手段，明确企业信息安全需求。遵循国家法律、法规要求，结合企业文化、运维现状，形成适应企业信息化建设的安全防护框架。“两个体系、三重防护、一个中心”就是很多企事业单位认可的安全架构设计的核心思想。两个体系就是安全管理体系和安全技术体系；三重防护针对的就是计算环境、边界防护、网络通信；一个中心即安全管理中心。这里可以看出安全管理中心建设的重要地位，也是PDCA循环中检查和处理的环节，是持续改进的重要保障手段。

目前，市场上销售的安全管理中心产品功能不断丰富，但视角局限在了安全设备上，偏离了安全基础设施是为了落实企业业务战略的重要手段这一初衷，应面向业务信息系统服务全流程涉及的网络交换设备、安全设备、服务器、应用软件、数据库等，因此应该以业务主线进行监控、收集事件、归并分析、告警与展示。面对新的攻击手段、安全威胁，引入新的功能模块或共享日志信息。面对大规模拒绝服务攻击，我们需要数据流量分析系统，快速定位被攻击主机，识别攻击方法；面对系统应用的配置错误，需要引入安全基线核查、配置变更管理；面对注入和跨站这样的应用层攻击，要引入网络安全审计作为应用层防火墙的有力补充；面对不断攀升的安全事件日志量，尝试使用分布式搜索引擎，解决安全大数据的处理能力。

4 安全管理中心建设实践中落实的几个要素

4.1 安全事件核心是SIEM建设，实现事件的集中收集与关联分

这里的事件不应仅限于传统意义上的安全事件，应以信息系统全流程过程中涉及的各个环节的事件。主要是基于目前影响信息系统业务连续性与数据安全的安全事件，因此信息系统涉及的网络数据流量、交换设备、安全设备的运行状态、应用服务器的访问日志、应用服务器的系统日志都应纳入收集的范围。网络流量可视化与异常流量的发现也应纳入安全管理中心的建设视野，如果没有专用的流量分析系统，我们也可以实时监控各安全域出口的交换设备或防火墙设备，绘制流量曲线，在较短时间内监测和定位到发生流量攻击的安全域。

4.2 安全管理中心的成败的一个关键要素是IT资产的高效管理

我们在安全建设时是通过风险评估的方法，识别信息系统的关键资产，通过风险赋值的方法进行综合评价，来确认我们的安全建设需求，明确安全建设实施方案。根据安全的木桶原理，安全事件往往发生在信息系统最薄弱的地方。在安全事件应急响应时消耗最多的时间的是定位物理地址、确认使用责任人、确认系统环境、应用环境。因此，理清IT资产，主动发现（主动发现IP资源的变化、发现业务服务的变化），人工确认修改辅助。在具体实现上以IP地址为资源索引，对应服务主机。将IP地址资源按照业务生产大区（互联网接入区、企业业务生产区）、安全域（信息发布域、业务生产域、数据域）、信息系统（三级信息系统、二级信息系统）进行管理和责任落实到管理责任人。通过漏洞扫描系统定期检测确认IP地址资源使用的操作系统、应用服务软件、开放的服务端口，并形成基于时间线的资源使用情况的对比分析。

4.3 安全管理中心建设的难点是如何实现安全事件的分级分类管理

安全事件分级分类管理的难点在于国内安全产品供应商没有统一的安全事件日志生成规范，没有统一的安全事件处理的规范接口。各厂商生成日志随意性强，日志内容数据详尽程度不一，这就导致了异构安全产品构成的安全防护系统，无法将安全事件统一归类和分析处理。为了保护企业安全投资发挥最大的效益和安全运维体系的延续性，我们通过建立企业规范的日志数据收集处理接口，形成企业内部标准，从而保证了数据的可用性。首先，我们通过收集各安全产品供货方日志格式、分类方法，通过整理归并，形成了自有的分类方法。从业务连续性和数据安全两个角度，形成了信息系统类安全事件和信息数据类安全事件。信息系统类安全事件又从信息系统支撑环境（机房、电力环境、设备服务）和网络系统攻击（信息刺探、恶意代码攻击、攻击入侵）两个角度进行了二级分类；信息数据类安全事件进一步细分为信息危害类与信息泄露类，形成了企业信息安全事件的分类标准，我们就要将工作的重点放在安全管理中心对于收集的事件日志的范式化上，确保过程简单、可操作性强、分类准确，为下一步过滤、归并、关联分析、审计、实时告警提供基础保障。网络安全事件分类如图2所示。

4.4 信息系统合规性检查，安全基线核查与信息系统关键设备的配置变更管理，是业务系统正式上线运行必要保障

近年来，安全事件多来自于应用系统的安全问题，如系统弱口令、系统部署结构不合理，业务流程涉及风险，业务代码层面出现的注入与跨站漏洞问题，系统配置不当、测试业务与生产业务不区分、系统和应用的漏洞未得到及时修复等。在各单位业务正式上线前都会进行系统测试，但更多情况下是系统功能测试和压力测试。应用安全方面更多的是提出源代码审计、安全渗透测试和应用服务器的安全加固，但因为经费和测试周期的限制，很难通过一次的代码审计和渗透测试解决持续改进的问题。因此，还是通过系统的安全管理员安全意识、安全技能的提升，辅助以合适的工具和方法动态的掌握系统的安全状态。

在实践过程中，我们不断收集、修订、发布本单位经常使用的操作系统、中间件、应用服务软件和数据库软件基线要求，通过工具软件提取系统运行状态与安全基线进行比对，给出系统安全加固的指导参考。定期提取关键的网络交换设备和边界防护设备的运行状态文件，审计安全策略配置合理性，发现安全策略的变更是否与业务服务变更相一致。如图3所示。

4.5 信息系统的安全审计是安全防护措施有效性最好的检验手段

安全审计是检验安全防护体系是否有效的重要手段，也是安全防护持续改进的重要手段。我们在安全建设中，会选用网络审计和数据库审计设备这样专用的审计设备，通过专用设备我们可以审计HTTP、FTP等协议，发现注入与跨站攻击，发现高等级操作行为。同时，在实践中通过入侵检测系统的协议分析，我们可以审计出邮件系统的弱口令、FTP弱口令；通过协议分析，发现RDP、Telnet、1433等高危服务端口，判断验证边界安全设施安全防护策略是否有效部署。

5 安全管理中心建设发展方向

有效结合外部安全情报分析，利用大数据分析手段，实现安全问题快速定位与分析。大数据安全分析是安全信息和事件管理及相关技术的延伸。虽然只是在分析的数据量和数据类型方面存在量的差异，但对从安全设备和应用程序提取到的信息类型来说，却导致了质的差异。因此基于数据分析和威胁情报来发现潜在的未能被阻止的攻击和威胁将对于传统的安全防护体系提供有效的补充。

6 结束语

总之，安全管理中心建设是一个持续改进的过程，要根据企业所处的IT运维阶段，找到亟待解决的问题，寻找建设的突破口与核心要素，加大安全服务能力建设，提升安全事件发现和处理水平。

参考文献

[1] GB.Z20986-2007 信息安全技术信息事件分类分级指南。

作者简介：

肖国煜（1973-），男，汉族，北京人，本科，新华通讯社技术局，副处长，高级工程师；主要研究方向和关注领域：企业信息安全架构设计、安全建设与安全运维。