隨著經濟建設的持續發展和知識經濟模式的到來，國內企業以一種前所未有的熱情致力于企業內部管理素質與效率的提升中，通過信息化手段實現辦公自動化，網絡信息系統成為企業辦公的基礎設施之一。組織機構復雜、用戶眾多、流程復雜；各類應用軟件系統負載大，數據量大是大中型企業普遍的特點。

通常，大中型企業有著更高的建設目標，他們希望通過實施辦公自動化來提升管理水平，提高協作效率。因此也給承載該服務的網絡信息系統提出了較高要求。本文將從目前大中型企業在信息安全工作中存在的問題出發，提出針對性的解決方案，幫助大中型企業構建有效的系統及業務安全保障體系。

大中型企業信息安全工作中存在的問題

?多種安全設備，不同的報警，如何整合？

在大中型企業的網絡系統中，為了確保系統的穩健運行，通常會采用多種安全技術手段和安全產品，比如防火墻系統、入侵檢測系統、防病毒系統等，都是安全基礎設施。在實際的運維過程中，這些不同種類、不同廠家的安全產品會給技術人員帶來不小的麻煩--各個安全系統相對孤立，報警信息互不關聯，策略和配置難于協調。當一個報警事件產生時，不知道該如何處理。

?海量的事件、海量的日志，如何分析存儲？

網絡設備、安全設備、服務器都會產生日志，即使防火墻只做被丟棄數據包的日志，IDS也精簡日志，每天產生的日志量仍然達到100-200M左右，相當于每秒鐘10條，1個小時36000條。實際上，一個專職的安全工程師一天能處理10多條已經很多了，一小時處理4條是極限。

如何跨越36000條事件和4條事件之間的數字鴻溝，避免"關鍵的安全信息和告警常常被低價值的告警所淹沒，讓技術人員能及時針對重要安全事件進行處理，成為亟待解決的一個關鍵問題。

除了對事件的分析外，還涉及到一個存儲的問題，以便事后快速方便地進行查證。技術人員通常希望可以到統一的庫里面去查，而不是搭建多個日志中心，防火墻到防火墻日志服務器去查，IDS到IDS日志服務器去查。

?如何將網絡安全事件與業務風險關聯？

在日常的工作中，技術人員關注的是網絡安全，而領導關注的是信息安全或業務安全，是全局的狀況。

這也就提出了一個需求，將網絡安全事件跟業務風險進行關聯，將業務系統的安全運行情況展現出來，很直觀地看到被監控的業務系統是安全級別中的哪一級，每個業務系統各是什么樣的狀況。業務系統是一個支撐系統，如果業務系統正常，就不需要花過多時間來維護。技術人員的工作也能從全局角度出發，而并非某個局部設備的運維。

?如何計算安全投資的回報率？

通過安全投入，減少了多少安全損失，這一點通常是很難度量的。比如說去年發生了多少安全事件，今年少發生了多少，如果能把風險量化，就能通過計算風險的降低率來推算投資回報率。

?安全技術過于底層，安全管理過于抽象，如何有效整合？

信息安全不僅涉及到安全技術，還包括安全管理的內容。在做安全工作時，講到安全理念、安全標準就會特別虛。講技術體系，技術實現又會太細節化。27號文里談到技術和管理并重，在實際的工作中，需要把過于底層的安全技術和過于抽象的安全管理進行有效的整合。

泰合信息安全運營中心解決方案

泰合是啟明星辰提出的SOC（Security Operation Center信息安全運營中心）解決方案，其體系架構如下圖所示，由"四個中心、五個功能模塊"組成。

? "四個中心"是漏洞評估中心、事件流量監控中心、綜合分析決策支持與預警中心和響應管理中心；

? "五個功能模塊"是策略管理、資產管理、用戶管理、安全知識管理和自身系統維護管理。

其核心功能描述如下：

資產管理

對用戶所關注的信息資產的各類信息進行統一管理。將其所轄IP設備資產與風險的重要程度關系，依據風險評估的結果、定期的漏洞掃描結果和本模塊的信息資產相結合，遵從ISO17799和ISO13335的資產管理規范，允許對信息資產的價值進行有效評估，從而確定信息資產的安全需求（完整性需求、保密性需求和可用性需求），不僅可以協助用戶有效管理信息資產的各類屬性，同時也便于貫徹即將強制推行的公安部等級保護規范（ISO 15408/GB 17859）。

安全域管理

安全域是用戶根據業務特點、網絡劃分、信息資產重要程度等因素，劃分出的信息安全防護基本單元，貫徹安全域管理不僅可以協助用戶理清現有信息系統的結構和安全需求，同時也簡化了實施安全保障措施的復雜度和難度。

?允許用戶根據業務系統、網段等不同的屬性對信息系統進行安全域劃分；

?允許用戶將重要的信息資產與安全域進行關聯；

?支持同一資產隸屬不同的安全域，支持多層次安全域管理；

?用戶可以對安全域進行重要性賦值；

?用戶可以對安全域進行風險監控和脆弱性評估，了解其安全狀況。

脆弱性管理

通過脆弱性管理可以掌握全網各個系統中存在的安全漏洞情況，結合當前的安全動態和預警信息，有助于及時調整安全策略，開展有針對性的安全工作，并且可以借助弱點評估中心的技術手段和安全考核機制有效督促各分支機構落實安全工作。

綜合分析與預警

綜合分析與預警是安全運營中心的核心模塊，它接收來自安全事件監控中心的事件，依據資產管理和脆弱性管理中心進行綜合的事件協同關聯分析，并基于資產（CIA屬性+價值）進行風險評估分析，按照風險優先級針對各個業務區域和具體事件產生預警，參照網絡安全運行知識管理平臺的信息，并依據安全策略管理平臺的策略驅動響應管理中心進行響應處理。

響應管理

響應管理是根據當前的網絡安全狀態，工單系統發布工作指令，及時調動相關資源做出響應。實現人機接口，所有的工單經人工審核后，通過人工派單方式發送到相應的工單處理部門。工單的通知方式包括圖形顯示、SNMP Trap、郵件和短信。

安全策略管理

網絡安全的整體性要求需要有統一的安全策略和基于工作流程的管理。通過為全網安全管理人員提供統一的安全策略，指導各級安全管理機構因地制宜做好安全策略的部署工作，有利于在全網形成安全防范的合力，提高全網的整體安全防御能力，同時通過策略和配置管理平臺的建設可以進一步完善整個IP網絡的安全策略體系建設，為各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認證、訪問控制等方面策略而帶來到安全風險問題。

安全知識管理

安全信息管理是安全信息的WEB發布系統，不僅可以充分共享各種安全信息資源，而且也會成為各級網絡安全運行管理機構和技術人員之間進行安全知識和經驗交流的平臺，有助于提高人員的安全技術水平和能力。實現在安全管理中心WEB門戶提供統一界面以安全WEB的形式發布最新的安全信息，并將處理的安全事件方法和方案收集起來，形成一個安全共享知識庫，該信息庫的數據以數據庫的形式存儲及管理，為培養高素質的網絡技術人員提供培訓資源。

用戶管理

提供用戶集中管理的功能，對用戶可以訪問的資源權限進行細致的劃分，具備安全可靠的分級及分類用戶管理功能，要求支持用戶的身份認證、授權、用戶口令修改等功能；支持不同的操作員具有不同的數據訪問權限和功能操作權限。系統管理員應能對各操作員的權限進行配置和管理，要有完整的安全控制手段,對用戶和系統管理員的權限進行分級管理, 相應的賬號和口令加密存放，充分保證用戶信息的安全性。對系統操作員的密碼有安全保障機制。用戶的賬號等數據以數據庫的形式進行加密存儲及管理；對用戶數據的管理要保證其完整性和一致性,在系統出錯的情況下,對用戶數據要有有效的保護措施。

報表處理

作為整個系統的公共基礎模塊，為各個功能提供報表支持。報表輸出格式可轉換為多種常用的格式。

顯示

綜合顯示模塊作為整個安全運營中心統一人機界面接口，將各個界面的信息集中顯示和發布，采用Web方式，支持各功能模塊的信息顯示和管理。綜合顯示模塊提供多種的信息顯示和發布方式。支持基于列表、基于網絡拓撲、基于GIS信息多種的信息顯示方式。

運營狀態監控

創建實時的可視化網絡設備狀態，包括：CPU使用率、內存占用、硬盤占用和帶寬占用等，使設備便于管理和分析。設備狀態視圖能對設備進行集中配置。

能聯系特定的鏈接圖、地理位置圖和圖表視圖能夠使不同層面的人員通過糾錯生命周期來復制威脅鑒別過程。多種顯示方式可以根據網絡應用環境，進行定制顯示。

自身安全保障

安全運營中心作為整個網絡安全運行的監控者和管理者，其中的每一步關鍵操作都會對整個網絡安全產生重要影響，甚至會改變網絡運行方式和運行狀態，因此安全運營中心體系自身的安全性非常重要。安全運營中心體系的自身安全包括多方面，如物理安全，數據安全，通訊安全等。在總體設計時必須考慮安全運營中心體系的使用安全和管理流程安全。

?在所有組件之間進行可選的加密方式確保安全的通信；

?引擎可利用數字證書對所有用戶類代理進行身份驗證；

?增強的用戶和管理界面可采用基于SSL的身份驗證；

?可在所有組件之間實現統一的配置。

泰合安全運營中心的價值體現

通過泰合解決方案，針對大中型企業中的不同人群，將帶來如下價值：

針對技術人員

統一管理網絡中的安全設備，特別是不同廠商的設備。制定基于全局的安全策略和安全工作流程；對各安全設備產生的日志，尤其是監測類產品（如IDS、審計、Scanner等）的日志報警信息進行關聯分析，提煉出有價值的信息，并能獲取后續處理的建議和幫助；對安全設備的日志集中存儲，并提交統一的報表。降低技術人員的工作煩瑣度。

對企業中的風險評估工作進行持續管理。管理評估是持續性的過程，做完之后如果只在紙上，可能很難把這個成果繼續延續下去。通過SOC系統對評估結果進行管理，將業務資產評估的結果直接導入SOC中，成為資產管理的數據；將脆弱性評估的結果也導入SOC中，作為脆弱性管理的數據。

針對運營主管

通過建立知識庫、應急預案等體制，幫助技術人員提高自身的專業素質，并協助他們在出現重大安全事件時做出合理的決策，提高技術人員的工作效率。

通過SOC系統對技術人員進行量化的績效管理，可以進行縱向比較。

對下屬機構進行集中管理和監控。某個大中型企業有多個分支機構，當某一個點發生蠕蟲病毒的時候，總部知道后會采取措施通知下面的點在網絡設備上關閉一些端口，阻止蠕蟲的泛濫，預防安全事件對全局的影響。實現對全網的統一監管，而不是分支機構局域網各自為政。

針對決策領導

通過將安全事件跟業務風險關聯，采用直觀的界面，使決策領導能隨時了解業務系統的信息安全狀態。

將風險量化，協助領導分析每次信息安全項目的投資回報率，為信息安全投資提供依據。

本文針對大中型企業目前的安全工作狀況進行了分析，提出信息安全運營中心（SOC）在大中型企業中的解決方案，以滿足從技術層、運營層到決策層的不同需求，協助企業將安全技術與安全管理有機結合，簡化運維工作。（本文作者系啟明星辰信息技術有限公司 高級咨詢顧問 ）