北京奥运近在眼前,各项安保措施已箭在弦上。在事关奥运重要信息及数据保密性、真实性以及完整性的信息安全方面,有关部门建立了一道道严密的安全防线,无论是边界安全,还是内部终端的安全,都有相应的设备和系统进行实时防护。但是我们注意到,这些安全系统大都从某一方面去保障信息安全,由于互相之间缺乏协同、无法做到对安全态势的总体把控,因此不排除会出现防御的“真空”地带,极有可能让不法分子趁虚而入。在奥运安全压倒一切的前提下,我们是不是可以考虑像奥运地面/空中交通指挥中心、天气预报中心等涉奥服务机构那样,建立一个信息安全总控中心,一旦出现信息安全威胁,控制中心立即预警显示,便于相关人员进行及时“出警”排险。
我们知道奥运信息安全保障是一项复杂工程,涉及的管理对象相当广泛,从基建设施,例如网络设备、主机、服务器、安全设备;到数据库系统、操作系统、中间件;再到上层的业务系统、应用软件、数据等等不一而足。如何对大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了奥运信息安全管理工作中的一大难点。
按照以往思路,我们通常会这样做:为了保护内网安全,首先在边界部署防火墙;接着,为了防止外部入侵,我们又引入了入侵检测/防护系统;而当划分了安全域之后,有在网络内部不同安全域之间部署了很多防火墙,这些防火墙、入侵检测/防护系统就像一条条的壕沟,纵横交错但是缺乏联系,防御的时候各自为政,没有信息沟通和汇总,结果很容易被黑客或者内部违规者突破,让苦心打造的信息安全体系形同虚设。
而依据经典的IATF纵深防御理论,我们除了要挖壕沟,还需要建立起壕沟之间的联络线,即构建起一个管理平台,汇集所有的安全信息,进行统一的监控、分析和决策。这就是前文所提到的信息安全总控中心。通过该总控中心,首先对IT计算环境的所有节点进行统一监控,保障计算环境的整体运行安全,及时发现网络和系统主机的故障和性能瓶颈;其次,通过实时获取计算环境中的各类安全信息,进行关联分析,实现计算环境的安全态势感知,发现内部违规和外部入侵;最后,将计算环境的所有资产和威胁信息汇集到一起,通过决策分析获得可测量的安全风险,并通过对计算环境的控制来实施安全策略,从而采取更为恰当的应急处理措施。
和传统的单点防御相比,信息安全总控中心需要具备以下三方面的功能。
(1)安全监控:对整个计算环境的运行状态进行监控,确保计算环境的可靠性与可用性,以及业务的连续性。
(2)安全分析:针对计算环境中所有的IT运行信息,尤其是安全信息,进行采集、过滤、归一化、关联分析、合规审计,进行可视化展示,出具安全报告,并进行应急响应处理,实现计算环境的安全态势感知,有效防范外部攻击和内部违规,确保全面的业务安全。
(3)安全决策:将IT资产信息、威胁信息、弱点信息与客户的业务相结合,进行风险评估和测量,实现风险管理,构建安全指标体系,并实现安全运维管理。
要实现安全监控,可以借助传统的网络管理平台,但是需要针对安全运行监控进行扩展,最主要的就是要将包括网络、支撑系统和业务系统在内的所有IT资源进行统一的监控。并且,在监控IT资源可用性指标的同时,要关注于安全运行指标的监控。
要实现安全分析,就需要建立一个面向全网各种IT资源的安全事件管理平台,自动收集来自IT资源不同方面的日志、告警,甚至网络数据包,通过事件关联技术进行实时和历史数据分析,发现安全隐患、定位安全故障点。
要实现安全决策,关键就是进行IT资源的风险分析。通过对全网IT资源、实时威胁和弱点的风险计算,真正描绘出一幅全网的安全风险态势图。
而要建立一个信息安全总控中心,需要在技术上实现以下三大突破:一是开放,指技术架构要开放,能集成各种异构的信息;二是高效,可实时处理海量信息;三是智能,指自动地、准确地发现安全风险、定位安全问题点。
在这方面,网御神州提出了集IT资源管理、安全信息管理和运维管理于一体的全面运营安全保障平台(Platform for Operation Security Assurance,简称POSA)的理念,并且将其融入了网神SecFox安全管理系列产品之中,为客户提供一个真正可控的信息安全总控中心。如下图所示:
POSA平台以客户IT计算环境中为保护对象,不仅提供了一套以安全监控、安全分析和安全决策循环为流程的安全管理支撑系统,同时紧扣人、技术和流程三个安全管理的核心要素,并且基于网御神州对等级保护制度、ISO27000等标准的深刻理解,使得POSA同时成为一个全面基于安全标准的安全合规管理平台。最后,在安全服务的支持下,真正将以SecFox安全管理系统为核心的POSA平台运作起来。
总之,安全管控中心的目标是要让用户网络安全由被动响应变为主动响应,由单点防御变为全面防御,由分散的管理变为集中管理。
对于奥运信息安全保障而言,通过建立这样一个安全总控中心,能够将所有IT资源统一的监控起来,并且通过实时收集各种安全运行信息进行整体安全态势监控。在运维人员的7×24的监控保障下,及时定位问题源,高效排除故障。我们相信,在有关部门的群策群力下,奥运信息安全保障工作一定会不辱使命,确保“平安奥运”任务的圆满落实。
本文来源:塞迪网 作者:佚名