随着信息技术的发展和人们的工作生活对信息与网络系统的依赖性的增强,安全威胁的增加、安全事件的频繁出现,社会各界对安全问题日渐重视起来,信息与网络系统的建设重点已经转移到安全系统的建设上来。中软的集中安全管理平台,是国内目前唯一的集中安全管理系统,将全面解决企业信息与网络系统的集中安全管理问题。
一、安全是技术、策略和管理的综合
在过去的几年中,人们把安全系统的建设目光集中到防火墙系统、防病毒系统、入侵检测系统和漏洞扫描系统等几个系统上面,随着这些系统的建设成功,政府、金融、电信和其他企业的网络系统的安全性得到了一定的提升和增强。但是,应该注意的是,国内不少企业虽然花了大量的金钱买了很多安全产品,配置了复杂的安全设备,在一定程度上提升了网络安全的性能,但是同时又出现了不少新的问题,主要表现在:
1、网络安全系统和设备技术难度。网络安全系统和设备技术难度较大,企业在对安全设备进行正确配置时存在一定的技术难题,配置不当的话,可能会出现与安装者期望相反的结果,出现更多的安全漏洞和弱点,不仅不能提升系统的安全性能,相反给黑客提供了更多的可趁之机。
2、网络系统和设备的配置管理。用户配置的网络系统和设备越复杂,在对之进行行之有效的管理层面上的难度就越大。如何有效地对这些系统和设备配置变动、变动权限进行适当地管理,在最大程度上发挥系统和设备的效用,保障用户的安全,将是用户面临的一个严峻的问题。
3、安全事件的收集与分析。大量的安全设备与系统的部署,势必产生大量的安全事件、日志,这些日志和事件如何进行集中的、统一的收集、分析和报告?如何从这些大量的事件中,寻找真正的安全事故?
4、安全事故的处理。一旦出现了安全事故,用户如何寻求一种快捷的解决办法?如何得到一种对事故处理流程方面的支持?如何对处理的办法进行留档保存,以便作为一种知识的积累,做为日后出现类似事故的处理办法参考?
5、安全管理的复杂性。就理论而言,多种安全技术与方法手段是能够全面实现企业所要求的统一的安全策略的,但由于管理的复杂性,在实践操作中的纰漏很可能导致更多的漏洞和弱点,不能真正实现集中的统一的安全策略。
安全问题不是纯粹的技术问题,安全是安全技术、安全策略和安全管理的综合。正是这一安全理念,引导业界对安全管理系统的关注,引导企业对真正的安全—可管理的安全—的渴求。
二、安全管理的四个核心要素
安全管理与网络管理不同,网络管理侧重于网络设备的运行状况、网络拓扑、信元等要素的管理,安全管理主要侧重于网络安全要素的管理。
随着人们对安全的认识逐渐深入,在安全管理的诸多要素中,安全策略、安全配置、安全事件和安全事故这四个要素,最为关键、最为重要。
1、安全策略(Policy)
安全策略是信息安全的灵魂。安全策略是企业建立信息系统安全的指导原则。它明确了如何建立企业安全的信息系统,保护什么资源,得到什么样的保护。安全策略是企业控制信息系统安全的安全规则,即根据安全需求、安全威胁来源和企业组织机构状况,定义安全对象、安全状态及应对方法。安全策略是企业检查信息系统安全的唯一依据。企业信息系统是否安全,安全状况如何,如何检查、修正,唯一的依据就是安全策略。
安全策略作为企业的标准规范,需要让企业每个员工知晓,员工需要通过一定的途径、方式和方法了解安全策略、参与安全策略制定过程、接受安全策略的系统培训。
安全策略的一致性管理和生命周期管理也是很重要的一个方面。策略之间不能相互冲突,否则就会出现矛盾,就会失效。安全策略不能一成不变,随着技术的变化,时间的推移,安全策略需要得到不断的更新和调整,确保安全策略的时效性。
安全策略必须通过技术的方法、管理的手段和企业员工的主观能动性来实现。
2、安全配置(Rule, Option and Configuration)
安全配置是对安全策略的微观实现。安全配置是企业构建安全系统的各种安全设备、系统的安全规则、选项、策略配置。
安全配置不仅包括防火墙系统、入侵检测系统、VPN系统等安全系统的安全规则、选项和配置,同时也包括各种操作系统、数据库系统、群件系统等系统配置的安全设置、加固和优化措施。
安全配置的配置好坏直接关系到安全系统能够发挥作用的关键。配置得好,能够充分发挥安全系统和设备的安全作用,实现安全策略的具体要求;配置得不好,不仅不能发挥安全系统和设备的安全作用,相反可能会起副作用,如:网络不通畅,网络运行效率下降等。
安全配置必须得到严格的管理和控制,不能被任意人随意更改。同时,安全配置必须备案,必须做到定期更新和复查,确保其能够反映安全策略的需要。
3、安全事件(Event)
所谓“事件”,是指那些影响计算机系统和网络安全的不当行为。而计算机系统和网络的安全从小的方面说是计算机系统和网络上数据与信息的保密性(Confidential)、完整性(Integrity)以及信息、应用、服务和网络等的可用性(Availability)。从大的方面来说,越来越多的安全事件随着网络的发展而出现,比如电子商务中抵赖、网络扫描和骚扰性行为,所有不在预料的对系统和网络的使用和访问均有可能导致违反既定安全策略的安全事件。安全事件是违背安全策略要求的行为。
安全事件有各种安全系统和设备的日志和事件,网络设备的日志和事件,操作系统的日志和事件,数据库系统的日志和事件,应用系统的日志和事件组成,它直接反映网络、系统、应用的安全现状和发展趋势,是信息与网络安全状况的晴雨表。安全事件是安全管理的重点和关键的要素。
安全事件数量多、分布比较分散,技术分析比较复杂,因此,安全事件也是比较难以管理的要素。在实际工作中,不同的系统有不同的安全管理员管理,面对大量的日志和安全事件,很多管理员往往敷衍了事,很多管理员根本就没有时间和精力对大量的日志和安全事件进行逐一分析和察看,安全系统和设备的安装形同虚设,没有发挥其应有的作用。
安全事件可能不造成任何影响,它只是一种征兆、一种过程。但大量的日志和安全事件是能够在一定程度上反映网络安全现状和发展趋势的。
安全事件必须通过一定的方法手段收集起来,用技术的方法和手段,集中进行冗余处理、综合分析、趋势分析,从大量的安全事件中寻找真正影响网络、系统和应用运行的安全事件—安全事故。
4、安全事故(Accident)
安全事故是造成一定影响和损失的安全事件,是真正的安全事件。一旦出现安全事故,企业就必须采取相应的处理措施和行动,来阻止和减小事故带来的影响和损失。
安全事故必须得到准确地、迅速地处理,必须找到事故的原因、源头、始作俑者和动机。
要迅速准确处理安全事故必须能够准确了解事故现场系统或设备的状况,这就需要有信息资产库的支持;必须迅速了解处理事故所需的技术、方法和手段,这就需要强大的知识库的支持。
三、集中安全管理技术与方法
集中安全管理不是简单的管理区域、管理权限、管理人员的集中,而是必须基于先进的、可控的管理技术的安全管理。在集中安全管理中,必须解决下列技术和方法:
1、集中安全管理协议技术:实现安全组件的集中管理与监控的前提条件就是通信协议,我们将它称为“安全组件交互通信协议”,这一协议和基于这一安全协议的管理代理程序的研究与开发是实现集中安全管理的关键。这一协议的实现,确保安全管理的可能,否则,集中安全管理不是通用的,而是定制的,管理具有很大的局限性。
2、安全策略规范定义与表述技术:安全策略的规范描述定义和表示是集中策略管理的核心。
3、集中日志的分析技术:集中的日志收集和审计、分析与报告是日志管理的关键。
传统的日志分析方法是对单一日志进行简单统计与汇总分析,集中安全管理的日志来源广泛,他们来源于不同的主机与设备、不同的网段。对这些日志的相关性分析是准确把握安全事件的关键,也是准确分析安全事件的基础。
4、安全组件互动控制与管理技术:安全设备与系统之间的协同工作方式、流程与安全,是安全设备与系统之间的协同工作的关键。
5、集中的事件/事故处理流程与响应技术。
四、集中安全管理平台
中软的集中安全管理平台,是国内目前唯一的集中安全管理系统,将全面解决企业信息与网络系统的集中安全管理问题,帮助企业实现企业信息与网络系统的主要安全要素的管理、企业信息与网络系统统一安全策略的管理、企业信息与网络系统安全组件的统一配置管理、企业信息与网络系统安全事件的集中审计和安全事故的集中处理管理,有助于推进政府机关与企业信息与网络系统的安全运行中心的建设。
集中安全管理平台是企业信息与网络系统安全策略统一管理、安全设备与安全系统的集中管理、安全设备与安全系统配置的集中管理、安全设备与系统之间的协同工作管理、安全设备与系统的日志的集中审计、分析与报告、以及实现企业安全事件应急响应管理的综合平台,是企业实现信息与网络系统真正意义上的安全的管理平台。
安全管理同网络管理一样,必须统一,不能各自为政,要全局考虑,一盘棋。不同的安全要素的安全实现方法,要分布式地层次化的布控,同时要集中管理。集中的管理必须突出重点,关注要害,关注重点,这就是:集中的管理企业统一的安全策略;集中的管理安全系统和设备的安全配置;集中的管理信息与网络系统的安全事件;集中的管理安全事故的应急响应过程。
1、中软集中安全管理平台的主要功能:
(1)、集中管理企业统一的安全策略。即通过统一的平台,对系统内的安全设备与系统的安全策略进行管理,实现全系统的安全策略的统一配置、分发与管理。
(2)、集中管理安全设备与系统。即管理企业网络系统所有的安全设备与系统,实现安全设备与系统的集中管理,起到安全网管的作用。在统一的管理平台上,配置、管理全网安全设备与系统的配置和参数。
(3)、集中管理安全事件和日志。通过统一的技术方法,将全系统中的安全日志,安全事件集中收集管理,实现日志的集中、审计、分析与报告。同时,通过集中的分析审计,发现潜在的攻击征兆和安全发展趋势。
(4)、集中管理安全组件协同工作。安全设备与系统之间的协同工作,共同发挥强大的安全防范作用。
(5)、集中管理安全事件的应急响应流程。安全事件/事故处理流程管理,处理过程的监督管理。确保任何安全事件/事故得到及时的响应和处理。
2、中软集中安全管理平台的四大核心模块
(1)、集中管理企业统一的安全策略——安全策略管理平台GSPDirector™
集中安全策略管理平台(GSPD)是一套基于Web的安全工具,它综合了信息安全策略的技术方面和人性方面的因素。GSPD对于策略管理采用一种生命周期方法,使策略管理过程中的每一步自动化实现。它也通过一个中心数据库提供事件报告和跟踪功能,是一套根据安全性标准诸如ISO 17799,跟踪一致性的理想工具。
*主要功能:安全策略模块;安全策略发布;安全策略修正;安全策略文档;安全策略版本控制;BS7799兼容;基于web发布;基于策略规则化。
*主要特点:基于知识库的安全策略定制平台;科学的、形式多样的策略模版支持;定制策略标准、规范,易于维护;符合ISO17799标准;B/S模式,易学易用。
(2)、集中管理安全系统的安全配置——安全配置管理平台GSCManger™
安全配置管理平台是企业集中管理安全系统/设备中配置的统一平台。安全系统和设备的配置的修改、调整必须通过本平台实施、登记、存档,否则,不允许进行配置的修改和调整。
*主要功能:建立可配置管理信任关系;安全域配置;统一安全策略规则化、通用化、具体化;兼容安全组件的集中配置和管理;配置管理实施的有效性监测。
*主要特点:将多种安全系统的配置系统集于一体,便于维护、便于管理;分权分级管理模式,安全可靠;集成度高,方便实用;和安全策略管理平台的集成,易于实现企业总体的安全策略。
(3)、集中管理信息系统的安全事件——安全事件管理平台GSEAuditor™
*主要功能:集中收集安全事件;安全事件的冗余处理;集中综合(关联)分析安全事件;集中安全事件报告;安全事件趋势分析;集中安全事件预警。
*主要特点:事件源头支持丰富,收集事件程序兼容性好;事件冗余处理能力强,大大减少了事件的存储量;事件的关联分析、二次综合分析能力强,不会遗漏真正的安全事件—事故;系统界面友善,数据、报表和图示,准确地显示了各安全系统工作状况、整个系统的安全状况;报表形式多样,安全状况、安全趋势报告准确;分权分级管理体系,安全可靠。
(4)、集中管理安全事故的应急响应过程——安全事故应急响应中心GSAResponsor™
*主要功能:灵活的事故分发管理;事故处理流程管理;事故处理过程交互管理;事故处理状态控制与有效性管理;知识库查询(解决方案、技术信息);资产信息库查询;事故处理报告;自我服务(基于web的帮助系统)。
*主要特点:基于传统Call Center的事故分派系统,能够准确将安全事故及时、准确地分派到响应工程师;工作流定义灵活,通知方式多样化,提高了准确率;以事故为纽带,准确的将事故源、响应工程师、安全主管、安全厂商连接在一起,构成准确的、高效的安全事故响应体系;安全知识库内容丰富,安全知识组织途径多样,便于响应工程师及时得到处理事故的方法、技术和技巧;信息资产数据库将客户的信息资产的质量、数量、布控位置、配置状况、安全状况、历史运行状况悉数管理起来,是客户信息资产的好管家,便于应急响应工程师及时得到事故发生目标设备的状况,提高事故处理效率。
安全管理必须独立于网络管理。网络管理部门通常称为网络管理中(NOC),安全管理业界通常将它称为安全运行中心(SOC)。根据企业网络、系统、应用和安全设备的部署情况,建议在技术条件成熟的情况下,部署系列安全管理组件,构建企业的安全运行中心(SOC),针对安全管理关键要素:安全策略、安全配置、安全事件和安全事故进行集中管理,实现企业信息与网络系统真正意义上的安全--可管理的安全。