許律賓

（中國(guó)移動(dòng)通信集團(tuán)云南有限公司，云南 昆明 650228）

1 存在問(wèn)題

（1）本地建設(shè)復(fù)雜：安全管理中心基于要求，相關(guān)操作審計(jì)記錄及原始事件、告警要留存180天，需要本地有大量存儲(chǔ)計(jì)算資源來(lái)支撐。

（2）信息分散：每一個(gè)安全管理中心事件、告警均在近業(yè)務(wù)系統(tǒng)側(cè)，無(wú)法在一定宏觀上形成事件共享、告警監(jiān)控機(jī)制。

隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GBT22239-2019）的公布，宣告信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代正式開(kāi)啟，并于2019年12月1日正式實(shí)施，國(guó)家網(wǎng)絡(luò)安全工作規(guī)劃著重表明了“一個(gè)中心，三重防護(hù)”。對(duì)應(yīng)到信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中即安全管理中心、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境；其中，安全管理中心主要實(shí)現(xiàn)系統(tǒng)管理、審計(jì)管理、安全管理和集中管控四個(gè)方面；通過(guò)運(yùn)營(yíng)商云網(wǎng)資源建設(shè)支持多租戶的安全管理中心，從建設(shè)上可實(shí)現(xiàn)統(tǒng)一標(biāo)準(zhǔn)，高度復(fù)用，從技術(shù)上可實(shí)現(xiàn)安全事件、安全漏洞高度集中化處理，具有一定的經(jīng)濟(jì)效益及技術(shù)意義。

如何對(duì)已采集到的網(wǎng)絡(luò)安全事件進(jìn)行綜合分析、匯總統(tǒng)計(jì)、全盤管理是運(yùn)維管理人員面臨的棘手問(wèn)題。在對(duì)各安全網(wǎng)元的配置使用過(guò)程中，利用多租戶的安全管理中心對(duì)安全網(wǎng)元設(shè)備運(yùn)維行為的精細(xì)化管理、安全網(wǎng)元設(shè)備防護(hù)反饋匯總統(tǒng)計(jì)將切實(shí)規(guī)范一線運(yùn)維人員的操作行為規(guī)范，將解決一線運(yùn)維人員面臨大量異構(gòu)數(shù)據(jù)中的統(tǒng)計(jì)困擾。

2 解決措施及優(yōu)勢(shì)

（1）本地部署簡(jiǎn)單：本地僅需建設(shè)安全設(shè)備，可通過(guò)專線或SD-WAN實(shí)現(xiàn)安全設(shè)備納管，安全管理中心按照信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0安全管理中心要求的標(biāo)準(zhǔn)建設(shè)，同時(shí)可復(fù)用云端存儲(chǔ)計(jì)算資源，優(yōu)化IT建設(shè)成本。

（2）信息集中處置：可在宏觀上了解全網(wǎng)安全狀況，并實(shí)現(xiàn)不同業(yè)務(wù)系統(tǒng)之間的事件、告警等威脅情報(bào)共享，實(shí)現(xiàn)安全數(shù)據(jù)共享化。

（3）運(yùn)維集中審計(jì)、管理：本系統(tǒng)的建設(shè)需要兼顧網(wǎng)元設(shè)備遠(yuǎn)程托管的運(yùn)維需要，有效隔離運(yùn)維管理員與實(shí)際操控資產(chǎn)之間的鑒權(quán)信息，做到多權(quán)分立以及多種管理員身份相互制約的健康運(yùn)維關(guān)系。

3 功能需求

（1）需要以威脅情報(bào)為審計(jì)目標(biāo)，致力建設(shè)安全情報(bào)中臺(tái)。傳統(tǒng)的安全威脅審計(jì)系統(tǒng)僅僅對(duì)安全能力的采集存儲(chǔ)，對(duì)安全事件的整合、補(bǔ)全、統(tǒng)計(jì)能力不足，通過(guò)多租戶安全管理中心的建設(shè)為建立安全威脅情報(bào)中心提供安全數(shù)據(jù)能力提供支持，從數(shù)據(jù)采集對(duì)某一類或某幾類安全設(shè)備進(jìn)行規(guī)整分析，對(duì)缺失的主客體或行為信息進(jìn)行補(bǔ)齊并規(guī)范存儲(chǔ)；并對(duì)整合的事件進(jìn)行標(biāo)記處處，同時(shí)提供標(biāo)準(zhǔn)化外部接口，供內(nèi)部模塊外部系統(tǒng)進(jìn)行情報(bào)調(diào)用，提供一定的聯(lián)動(dòng)參考價(jià)值。

（2）基于可視化審計(jì)呈現(xiàn)，直觀展示各項(xiàng)網(wǎng)絡(luò)指標(biāo)

需要通過(guò)精準(zhǔn)的用戶需求采集與廣泛的市場(chǎng)調(diào)研，綜合多方面運(yùn)維專家意見(jiàn)，針對(duì)采集的內(nèi)容、頻率、周期等信息進(jìn)行合適的圖形化呈現(xiàn)；并根據(jù)用戶感興趣的信息在特定環(huán)境進(jìn)行大屏呈現(xiàn)，呈現(xiàn)內(nèi)容至少需要支持系統(tǒng)運(yùn)行情況、安全威脅數(shù)據(jù)存儲(chǔ)類型等運(yùn)維所重點(diǎn)關(guān)注的內(nèi)容，可以使得網(wǎng)絡(luò)中安全狀態(tài)情況一目了然?？墒∪コＲ?guī)運(yùn)維過(guò)程中大量數(shù)據(jù)整合、手工統(tǒng)計(jì)的工作量進(jìn)行直觀概括呈現(xiàn)。并支持參數(shù)設(shè)置可對(duì)異常情況進(jìn)行管理員聯(lián)動(dòng)，在基礎(chǔ)的性能監(jiān)聽(tīng)需求上如CPU、內(nèi)存等系統(tǒng)資源占用異常需要支持進(jìn)行郵件、短信的或即時(shí)通信上的預(yù)設(shè)告警。

多租戶安全管理中心基于響應(yīng)速度快、信息傳遞準(zhǔn)確直觀、檢索能力強(qiáng)大的用戶思路對(duì)多租戶安全管理中心的綜合管理能力進(jìn)行設(shè)計(jì)，對(duì)安全防御的能力進(jìn)行迅速反饋并協(xié)助決策管理。

（3）精確縱深的檢索條件與事件關(guān)聯(lián)算法。多租戶安全管理中心將采用高性能的數(shù)據(jù)檢索引擎，對(duì)檢索性能需要達(dá)到即時(shí)檢索即時(shí)輸出的建設(shè)要求。同時(shí)支持利用IP、關(guān)鍵詞、時(shí)間、用戶進(jìn)行廣泛、模糊檢索，同時(shí)支持多條件檢索篩選，并對(duì)檢索到的數(shù)據(jù)事件進(jìn)行下鉆關(guān)聯(lián)，進(jìn)一步識(shí)別威脅事件的影響范圍。

（4）專業(yè)的報(bào)表輸出系統(tǒng)。可根據(jù)客戶需求輸出特定的網(wǎng)絡(luò)安全年報(bào)、季報(bào)、月報(bào)、周報(bào)、日?qǐng)?bào)或者根據(jù)設(shè)定范圍進(jìn)行通用格式的文檔輸出?？珊w安全威脅事件審計(jì)，資產(chǎn)脆弱審計(jì)，運(yùn)行狀態(tài)審計(jì)等數(shù)據(jù)存儲(chǔ)的信息呈現(xiàn)。并且需要支持針對(duì)特定客戶允許客戶自定義輸出報(bào)告的能力來(lái)解決特有單位需要定制報(bào)告的運(yùn)維需求。

（5）滿足合規(guī)性要求的操作人員角色設(shè)立。系統(tǒng)的角色需要依照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》至少分為系統(tǒng)管理員、運(yùn)維管理員、審計(jì)管理員三種角色；各管理員的功能要求如下：

①系統(tǒng)管理員。由系統(tǒng)管理員對(duì)本系統(tǒng)進(jìn)行管理，將鑒權(quán)信息集中保存，可添加需要管理的網(wǎng)元資產(chǎn)，針對(duì)添加的系統(tǒng)進(jìn)行鑒權(quán)信息的錄入，并將錄入成功的資產(chǎn)分配給需要進(jìn)行管理的安全運(yùn)維人員及安全審計(jì)人員。

②操作管理員。操作管理員由系統(tǒng)管理員進(jìn)行賬戶生成，授予相關(guān)操作權(quán)限后可針對(duì)網(wǎng)元資產(chǎn)進(jìn)行單點(diǎn)登錄運(yùn)維管理，其運(yùn)維過(guò)程由中心進(jìn)行錄制審計(jì)，并對(duì)操作管理員的操作行為進(jìn)行管理，超出許可范圍的操作將被攔截，以保護(hù)代管的運(yùn)維資產(chǎn)；操作管理員從登錄、運(yùn)維、登出的全操作周期范圍內(nèi)，無(wú)法獲取到對(duì)資產(chǎn)的原始鑒權(quán)令牌（用戶名口令）等信息，在操作管理員身份發(fā)生變化時(shí)，保護(hù)資產(chǎn)的準(zhǔn)入權(quán)限不被剩余信息處置不當(dāng)導(dǎo)致的越權(quán)行為。

③審計(jì)管理員。系統(tǒng)的操作行為、操作管理員的操作行為以及系統(tǒng)運(yùn)行情況信息將統(tǒng)一采集，將采集情況進(jìn)行匯總、清洗、補(bǔ)全、分類、分配、呈現(xiàn)。審計(jì)管理員對(duì)系統(tǒng)運(yùn)維狀態(tài)在可視化頁(yè)面中一目了然，真正在信息系統(tǒng)運(yùn)維過(guò)程中做到縱觀大局。

（6）多租戶安全管理中心建設(shè)應(yīng)考慮高可用性、安全性、合規(guī)性。在實(shí)際建設(shè)過(guò)程中，現(xiàn)有網(wǎng)絡(luò)中的安全設(shè)備供應(yīng)廠商通常存在多種，多租戶的安全管理中心的建設(shè)需要考慮在異構(gòu)廠商中對(duì)接入廠商安全技術(shù)輸出結(jié)果的范式化，各安全廠商日志系統(tǒng)及告警輸出根據(jù)不同品牌的產(chǎn)品習(xí)慣千變?nèi)f化，為了統(tǒng)一審計(jì)安全系統(tǒng)告警、系統(tǒng)操作，集中采集系統(tǒng)安全事件、系統(tǒng)登錄記錄、系統(tǒng)運(yùn)行情況、系統(tǒng)操作日志等各類日志信息等功能亦是運(yùn)維過(guò)程中的阻礙，多IDC安全管理中心需要將采集到的業(yè)務(wù)信息進(jìn)行識(shí)別、提取、過(guò)濾、格式化后并根據(jù)適合環(huán)境的算法進(jìn)行補(bǔ)全、規(guī)整，并集中存儲(chǔ)；并對(duì)原始日志的內(nèi)容進(jìn)行解析，并提取主體、客體、事件內(nèi)容、時(shí)間等等信息后以統(tǒng)一的格式進(jìn)行補(bǔ)全、關(guān)聯(lián)并標(biāo)記不同的日志來(lái)源，以供追溯調(diào)取。同時(shí)，針對(duì)采集的原始日志，需要按照相關(guān)合規(guī)要求進(jìn)行存儲(chǔ)備案，在需要相關(guān)部門調(diào)查時(shí)可迅速輸出所需材料內(nèi)容。

多租戶安全管理中心設(shè)計(jì)功能完善的同時(shí)，系統(tǒng)的可用性亦是實(shí)際關(guān)注的重點(diǎn)，在部署與設(shè)計(jì)的初期在容災(zāi)、備份方面，需要考慮數(shù)據(jù)丟失的風(fēng)險(xiǎn)，在遇到故障或?yàn)?zāi)害時(shí)可自我恢復(fù)需要滿足《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中“在自身遭到損害后，能夠較快恢復(fù)絕大部分功能”的要求。

網(wǎng)絡(luò)安全行業(yè)現(xiàn)今在國(guó)內(nèi)處于高速發(fā)展期，在國(guó)家的政策要求下，各法規(guī)、條例相繼落地，對(duì)于安全、運(yùn)維系統(tǒng)的整體要求在不斷提高，本系統(tǒng)需滿足各項(xiàng)合規(guī)性要求，并適應(yīng)行業(yè)發(fā)展需要，從資源占用、功能擴(kuò)充、硬件的兼容上保持標(biāo)準(zhǔn)化接口設(shè)計(jì)，為多租戶安全管理中心管理的客戶網(wǎng)絡(luò)資源可提供長(zhǎng)久有效的運(yùn)維服務(wù)保障。

針對(duì)多租戶安全管理中心自身安全也成為考慮的重點(diǎn)，系統(tǒng)的整體設(shè)計(jì)需要參照EAL相關(guān)標(biāo)準(zhǔn)要求，在人機(jī)交互上，系統(tǒng)中心需要滿足相關(guān)合規(guī)性要求中提到多因子校驗(yàn)的策略，如口令+郵箱、口令+短信等方式，且并在數(shù)據(jù)的采集、存儲(chǔ)、流轉(zhuǎn)過(guò)程中進(jìn)行加密、脫敏處理，滿足數(shù)據(jù)安全成熟度模型的具體要求。

4 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，在網(wǎng)絡(luò)上，不法行為者攻擊手段層出不窮，因此網(wǎng)絡(luò)安全事件防護(hù)不應(yīng)局限與某一行為或某一事件進(jìn)行分析應(yīng)對(duì)，多租戶安全管理中心的設(shè)計(jì)依照已頒布的網(wǎng)絡(luò)建設(shè)合規(guī)性要求標(biāo)準(zhǔn)，并考慮整合國(guó)內(nèi)外優(yōu)秀廠商的設(shè)計(jì)思路，旨在降低運(yùn)維人員操作難度，提升運(yùn)維人員工作效率。

在系統(tǒng)分發(fā)、安裝方面：應(yīng)具有易部署、高融合的特點(diǎn)，將傳統(tǒng)的托管運(yùn)維、代管系統(tǒng)、匯總信息的各等網(wǎng)絡(luò)管理系統(tǒng)融合歸納，形成匯總獨(dú)立的安全運(yùn)維管理中心。在功能權(quán)限規(guī)劃方面，需要符合從安全管理員、運(yùn)維管理員視角的信息側(cè)重點(diǎn)考量，根據(jù)數(shù)據(jù)源、信息價(jià)值、信息歸屬以及信息表達(dá)的主體、客體等信息維度，在不同場(chǎng)景下將收集到的網(wǎng)絡(luò)指標(biāo)進(jìn)行統(tǒng)計(jì)比對(duì)；用直觀的數(shù)據(jù)反饋方法、以可視化報(bào)表的形式展現(xiàn)給用戶，需要兼容在多個(gè)傳統(tǒng)安全管理中心的網(wǎng)絡(luò)環(huán)境中著力解決數(shù)據(jù)量雜、多、需要處理的時(shí)效性高等實(shí)際問(wèn)題。