五步構(gòu)建建信息安全保障體系之運(yùn)維服務(wù)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著信息安全管理體系和技術(shù)體系在政府或企業(yè)領(lǐng)域的信息安全建設(shè)中不斷推進(jìn)，占信息系統(tǒng)生命周期70% - 80%的信息安全運(yùn)維體系的建設(shè)已經(jīng)越來越被廣大用戶重視。尤其是隨著信息系統(tǒng)建設(shè)工作從大規(guī)模建設(shè)階段逐步轉(zhuǎn)型到“建設(shè)和運(yùn)維”并舉的發(fā)展階段，政府或企業(yè)運(yùn)維人員需要管理越來越龐大的IT系統(tǒng)這樣的情況下，信息安全運(yùn)維體系建設(shè)已經(jīng)被提到了一個(gè)空前的高度上。

運(yùn)維服務(wù)的發(fā)展趨勢(shì)對(duì)于政府或企業(yè)的安全運(yùn)維服務(wù)管理的發(fā)展，通常可以將其分為五個(gè)階段：混亂、被動(dòng)、主動(dòng)、服務(wù)和價(jià)值階段。在混亂階段：沒有建立綜合網(wǎng)管中心，沒有用戶通知機(jī)制；在被動(dòng)階段：是開始關(guān)注事件的發(fā)生和解決，關(guān)注信息資產(chǎn)，擁有了統(tǒng)一的運(yùn)維控制臺(tái)和故障記錄和備份機(jī)制；在主動(dòng)階段：建立了安全運(yùn)行的定義，并將系統(tǒng)性能，問題管理、可用性管理、自動(dòng)化與工作調(diào)度作為重點(diǎn)；在服務(wù)階段，已經(jīng)可以支持任務(wù)計(jì)劃和服務(wù)級(jí)別管理；在價(jià)值階段，實(shí)現(xiàn)性能、安全和核心應(yīng)用的緊密結(jié)合，體現(xiàn)價(jià)值之所在。

當(dāng)前存在的問題目前，大多數(shù)的政府或企業(yè)的信息安全運(yùn)維體系的服務(wù)水平處在一個(gè)被動(dòng)的階段。這主要表現(xiàn)在信息技術(shù)和設(shè)備的應(yīng)用越來越多，但運(yùn)維人員在信息系統(tǒng)出現(xiàn)安全事件的時(shí)候卻茫然不知所措。究其原因，是該組織未建設(shè)成完整的信息安全運(yùn)維體系。通常安全運(yùn)維包含兩層含義：

● 是指在運(yùn)維過程中對(duì)網(wǎng)絡(luò)或系統(tǒng)發(fā)生病毒或黑客攻擊等安全事件進(jìn)行定位、防護(hù)、排除等運(yùn)維動(dòng)作，保障系統(tǒng)不受內(nèi)、外界侵害。

● 對(duì)運(yùn)維過程中發(fā)生的基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、安全、主機(jī)、中間件、數(shù)據(jù)庫乃至核心應(yīng)用系統(tǒng)發(fā)生的影響其正常運(yùn)行的事件（包含關(guān)聯(lián)事件）通稱為安全事件，而圍繞安全事件、運(yùn)維人員和信息資產(chǎn)，依據(jù)具體流程而展開監(jiān)控、告警、響應(yīng)、評(píng)估等運(yùn)行維護(hù)活動(dòng)，稱為安全運(yùn)維服務(wù)。

目前，大多數(shù)政府或企業(yè)還停留在被動(dòng)的、傳統(tǒng)意義上的安全運(yùn)維服務(wù)，這樣安全運(yùn)維服務(wù)存在以下弊端：

● 出現(xiàn)故障縱有眾多單一的廠商管理工具，但無法迅速定位安全事件，忙于“救火”，卻又不知火因何而“著”。時(shí)時(shí)處于被動(dòng)服務(wù)之中，無法提供量化的服務(wù)質(zhì)量標(biāo)準(zhǔn)。

● 政府或企業(yè)的信息系統(tǒng)管理仍在依靠各自的“業(yè)務(wù)骨干”支撐，缺少相應(yīng)的流程和知識(shí)積累，過多依賴于人。

● 對(duì)安全事件缺少關(guān)聯(lián)性分析和評(píng)估分析，并且沒有對(duì)安全事件定義明確的處理流程，更多的是依靠人的經(jīng)驗(yàn)和責(zé)任心，缺少必要的審核和工具的支撐。

正是因?yàn)槟壳斑\(yùn)維服務(wù)中存在的弊端，太極公司依靠長期從事信息系統(tǒng)運(yùn)維服務(wù)的經(jīng)驗(yàn)，同時(shí)結(jié)合信息安全保障體系建設(shè)中運(yùn)維體系建設(shè)的要求，遵循ITIL（最佳實(shí)踐指導(dǎo)）、ISO/IEC 27000系列服務(wù)標(biāo)準(zhǔn)、等級(jí)保護(hù)和分級(jí)保護(hù)制度以及《北京市電子政務(wù)運(yùn)維服務(wù)支撐系統(tǒng)規(guī)范》等相關(guān)標(biāo)準(zhǔn)，建立了一整套信息安全運(yùn)維服務(wù)管理的建設(shè)方案。

安全運(yùn)維體系的構(gòu)建構(gòu)建第一步：建立安全運(yùn)維監(jiān)控中心

基于關(guān)鍵業(yè)務(wù)點(diǎn)面向業(yè)務(wù)系統(tǒng)可用性和業(yè)務(wù)連續(xù)性進(jìn)行合理布控和監(jiān)測(cè)，以關(guān)鍵績效指標(biāo)指導(dǎo)和考核信息系統(tǒng)運(yùn)行質(zhì)量和運(yùn)維管理工作的實(shí)施和執(zhí)行，幫助用戶建立全面覆蓋信息系統(tǒng)的監(jiān)測(cè)中心，并對(duì)各類事件做出快速、準(zhǔn)確的定位和展現(xiàn)。實(shí)現(xiàn)對(duì)信息系統(tǒng)運(yùn)行動(dòng)態(tài)的快速掌握，以及運(yùn)行維護(hù)管理過程中的事前預(yù)警、事發(fā)時(shí)快速定位。其主要包括：

● 集中監(jiān)控：采用開放的、遵循國際標(biāo)準(zhǔn)的、可擴(kuò)展的架構(gòu)，整合各類監(jiān)控管理工具的監(jiān)控信息，實(shí)現(xiàn)對(duì)信息資產(chǎn)的集中監(jiān)視、查看和管理的智能化、可視化監(jiān)控系統(tǒng)。監(jiān)控的主要內(nèi)容包括：基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、通信、安全、主機(jī)、中間件、數(shù)據(jù)庫和核心應(yīng)用系統(tǒng)等。

● 綜合展現(xiàn)：合理規(guī)劃與布控，整合來自各種不同的監(jiān)控管理工具和信息源，進(jìn)行標(biāo)準(zhǔn)化、歸一化的處理，并進(jìn)行過濾和歸并，實(shí)現(xiàn)集中、綜合的展現(xiàn)。

● 快速定位和預(yù)警：經(jīng)過同構(gòu)和歸并的信息，將依據(jù)預(yù)先配置的規(guī)則、事件知識(shí)庫、關(guān)聯(lián)關(guān)系進(jìn)行快速的故障定位，并根據(jù)預(yù)警條件進(jìn)行預(yù)警。

構(gòu)建第二步：建立安全運(yùn)維告警中心

基于規(guī)則配置和自動(dòng)關(guān)聯(lián)，實(shí)現(xiàn)對(duì)監(jiān)控采集、同構(gòu)、歸并的信息的智能關(guān)聯(lián)判別，并綜合的展現(xiàn)信息系統(tǒng)中發(fā)生的預(yù)警和告警事件，幫助運(yùn)維管理人員快速定位、排查問題所在。

同時(shí)，告警中心提供多種告警響應(yīng)方式，內(nèi)置與事件響應(yīng)中心的工單和預(yù)案處理接口，可依據(jù)事件關(guān)聯(lián)和響應(yīng)規(guī)則的定義，觸發(fā)相應(yīng)的預(yù)案處理，實(shí)現(xiàn)運(yùn)維管理過程中突發(fā)事件和問題處理的自動(dòng)化和智能化。其中只要包括：

事件基礎(chǔ)庫維護(hù)：是事件知識(shí)庫的基礎(chǔ)定義，內(nèi)置大量的標(biāo)準(zhǔn)事件，按事件類型進(jìn)行合理劃分和維護(hù)管理，可基于事件名稱和事件描述信息進(jìn)行歸一化處理的配置，定義了多源、異構(gòu)信息的同構(gòu)規(guī)則和過濾規(guī)則。

智能關(guān)聯(lián)分析：借助基于規(guī)則的分析算法，對(duì)獲取的各類信息進(jìn)行分析，找到信息之間的邏輯關(guān)系，結(jié)合安全事件產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度，對(duì)安全事件進(jìn)行深度分析，消除安全事件的誤報(bào)和重復(fù)報(bào)警。

綜合查詢和展現(xiàn)：實(shí)現(xiàn)了多種視角的故障告警信息和業(yè)務(wù)預(yù)警信息的查詢和集中展現(xiàn)。

告警響應(yīng)和處理：提供了事件生成、過濾、短信告警、郵件告警、自動(dòng)派發(fā)工單、啟動(dòng)預(yù)案等多種響應(yīng)方式，內(nèi)置監(jiān)控界面的圖形化告警方式；提供了與事件響應(yīng)中心的智能接口，可基于事件關(guān)聯(lián)響應(yīng)規(guī)則自動(dòng)生成工單并觸發(fā)相應(yīng)的預(yù)案工作流進(jìn)行處理。

構(gòu)建第三步：建立安全運(yùn)維事件響應(yīng)中心

借鑒并融合了ITIL（信息系統(tǒng)基礎(chǔ)設(shè)施庫）/ITSM（IT服務(wù)管理）的先進(jìn)管理規(guī)范和最佳實(shí)踐指南，借助工作流模型參考等標(biāo)準(zhǔn)，開發(fā)圖形化、可配置的工作流程管理系統(tǒng)，將運(yùn)維管理工作以任務(wù)和工作單傳遞的方式，通過科學(xué)的、符合用戶運(yùn)維管理規(guī)范的工作流程進(jìn)行處置，在處理過程中實(shí)現(xiàn)電子化的自動(dòng)流轉(zhuǎn)，無需人工干預(yù)，縮短了流程周期，減少人工錯(cuò)誤，并實(shí)現(xiàn)對(duì)事件、問題處理過程中的各個(gè)環(huán)節(jié)的追蹤、監(jiān)督和審計(jì)。其中包括：

圖形化的工作流建模工具：實(shí)現(xiàn)預(yù)案建模的圖形化管理，簡單易用的預(yù)案流程的創(chuàng)建和維護(hù)，簡潔的工作流仿真和驗(yàn)證。

可配置的預(yù)案流程：所有運(yùn)維管理流程均可由用戶自行配置定義，即可實(shí)現(xiàn)ITIL/ITSM的主要運(yùn)維管理流程，又可根據(jù)用戶的實(shí)際管理要求和規(guī)范，配置個(gè)性化的任務(wù)、事件處理流程。

智能化的自動(dòng)派單：智能的規(guī)則匹配和處理，基于用戶管理規(guī)范的自動(dòng)處理，降低事件、任務(wù)發(fā)起到處理的延時(shí)，以及人工派發(fā)的誤差。

全程的事件處理監(jiān)控：實(shí)現(xiàn)對(duì)事件響應(yīng)處理全過程的跟蹤記錄和監(jiān)控，根據(jù)ITIL管理建議和用戶運(yùn)維要求，對(duì)事件處理的響應(yīng)時(shí)限和處理時(shí)限的監(jiān)督和催辦。

事件處理經(jīng)驗(yàn)的積累：實(shí)現(xiàn)對(duì)事件處理過程的備案和綜合查詢，幫助用戶在處理事件時(shí)查找歷史處理記錄和流程，為運(yùn)維管理工作積累經(jīng)驗(yàn)。

構(gòu)建第四步：建立安全運(yùn)維審核評(píng)估中心

該中心提供對(duì)信息系統(tǒng)運(yùn)行質(zhì)量、服務(wù)水平、運(yùn)維管理工作績效的綜合評(píng)估、考核、審計(jì)管理功能。其中包括：

評(píng)估：遵循國際和工業(yè)標(biāo)準(zhǔn)及指南建立平臺(tái)的運(yùn)行質(zhì)量評(píng)估框架，通過評(píng)估模型使用戶了解運(yùn)維需求、認(rèn)知運(yùn)行風(fēng)險(xiǎn)、采取相應(yīng)的保護(hù)和控制，有效的保證信息系統(tǒng)的建設(shè)投入與運(yùn)行風(fēng)險(xiǎn)的平衡，系統(tǒng)地保證信息化建設(shè)的投資效益，提高關(guān)鍵業(yè)務(wù)應(yīng)用的連續(xù)性。

考核：是為了在評(píng)價(jià)過程中避免主觀臆斷和片面隨意性，應(yīng)實(shí)現(xiàn)工作量、工作效率、處理考核、狀態(tài)考核等功能。

審計(jì)：是以跨平臺(tái)多數(shù)據(jù)源信息安全審計(jì)為框架，以電子數(shù)據(jù)處理審計(jì)為基礎(chǔ)的信息審計(jì)系統(tǒng)。主要包括：系統(tǒng)流程和輸入輸出數(shù)據(jù)以及數(shù)據(jù)接口的完整性、合規(guī)性、有效性、真實(shí)性審計(jì)。

構(gòu)建第五步：以信息資產(chǎn)管理為核心

IT資產(chǎn)管理是全面實(shí)現(xiàn)信息系統(tǒng)運(yùn)行維護(hù)管理的基礎(chǔ)，提供的豐富的IT資產(chǎn)信息屬性維護(hù)和備案管理，以及對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的備案和配置管理。

基于關(guān)鍵業(yè)務(wù)點(diǎn)配置關(guān)鍵業(yè)務(wù)的基礎(chǔ)設(shè)施關(guān)聯(lián)，通過資產(chǎn)對(duì)象信息配置豐富業(yè)務(wù)應(yīng)用系統(tǒng)的運(yùn)行維護(hù)內(nèi)容，實(shí)現(xiàn)各類IT基礎(chǔ)設(shè)施與用戶關(guān)鍵業(yè)務(wù)的有機(jī)結(jié)合，以及全面的綜合監(jiān)控。這其中包括：

綜合運(yùn)行態(tài)勢(shì)：是全面整合現(xiàn)有各類設(shè)備和系統(tǒng)的各類異構(gòu)信息，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)和終端管理中各種事件，經(jīng)過分析后的綜合展現(xiàn)界面，注重對(duì)信息系統(tǒng)的運(yùn)行狀態(tài)、綜合態(tài)勢(shì)的宏觀展示。

系統(tǒng)采集管理：以信息系統(tǒng)內(nèi)各種IT資源及各個(gè)核心業(yè)務(wù)系統(tǒng)的監(jiān)控管理為主線，采集相關(guān)異構(gòu)監(jiān)控系統(tǒng)的信息，通過對(duì)不同來源的信息數(shù)據(jù)的整合、同構(gòu)、規(guī)格化處理、規(guī)則匹配，生成面向運(yùn)行維護(hù)管理的事件數(shù)據(jù)，實(shí)現(xiàn)信息的共享和標(biāo)準(zhǔn)化。

系統(tǒng)配置管理：從系統(tǒng)容錯(cuò)、數(shù)據(jù)備份與恢復(fù)和運(yùn)行監(jiān)控三個(gè)方面著手建立自身的運(yùn)行維護(hù)體系，采用平臺(tái)監(jiān)測(cè)器實(shí)時(shí)監(jiān)測(cè)、運(yùn)行檢測(cè)工具主動(dòng)檢查相結(jié)合的方式，構(gòu)建一個(gè)安全穩(wěn)定的系統(tǒng)。