五步構(gòu)建建信息安全保障體系之運維服務

申請免費試用、咨詢電話：400-8352-114

隨著信息安全管理體系和技術(shù)體系在政府或企業(yè)領(lǐng)域的信息安全建設(shè)中不斷推進，占信息系統(tǒng)生命周期70% - 80%的信息安全運維體系的建設(shè)已經(jīng)越來越被廣大用戶重視。尤其是隨著信息系統(tǒng)建設(shè)工作從大規(guī)模建設(shè)階段逐步轉(zhuǎn)型到“建設(shè)和運維”并舉的發(fā)展階段，政府或企業(yè)運維人員需要管理越來越龐大的IT系統(tǒng)這樣的情況下，信息安全運維體系建設(shè)已經(jīng)被提到了一個空前的高度上。

運維服務的發(fā)展趨勢對于政府或企業(yè)的安全運維服務管理的發(fā)展，通?？梢詫⑵浞譃槲鍌€階段：混亂、被動、主動、服務和價值階段。在混亂階段：沒有建立綜合網(wǎng)管中心，沒有用戶通知機制；在被動階段：是開始關(guān)注事件的發(fā)生和解決，關(guān)注信息資產(chǎn)，擁有了統(tǒng)一的運維控制臺和故障記錄和備份機制；在主動階段：建立了安全運行的定義，并將系統(tǒng)性能，問題管理、可用性管理、自動化與工作調(diào)度作為重點；在服務階段，已經(jīng)可以支持任務計劃和服務級別管理；在價值階段，實現(xiàn)性能、安全和核心應用的緊密結(jié)合，體現(xiàn)價值之所在。

當前存在的問題目前，大多數(shù)的政府或企業(yè)的信息安全運維體系的服務水平處在一個被動的階段。這主要表現(xiàn)在信息技術(shù)和設(shè)備的應用越來越多，但運維人員在信息系統(tǒng)出現(xiàn)安全事件的時候卻茫然不知所措。究其原因，是該組織未建設(shè)成完整的信息安全運維體系。通常安全運維包含兩層含義：

● 是指在運維過程中對網(wǎng)絡(luò)或系統(tǒng)發(fā)生病毒或黑客攻擊等安全事件進行定位、防護、排除等運維動作，保障系統(tǒng)不受內(nèi)、外界侵害。

● 對運維過程中發(fā)生的基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、安全、主機、中間件、數(shù)據(jù)庫乃至核心應用系統(tǒng)發(fā)生的影響其正常運行的事件（包含關(guān)聯(lián)事件）通稱為安全事件，而圍繞安全事件、運維人員和信息資產(chǎn)，依據(jù)具體流程而展開監(jiān)控、告警、響應、評估等運行維護活動，稱為安全運維服務。

目前，大多數(shù)政府或企業(yè)還停留在被動的、傳統(tǒng)意義上的安全運維服務，這樣安全運維服務存在以下弊端：

● 出現(xiàn)故障縱有眾多單一的廠商管理工具，但無法迅速定位安全事件，忙于“救火”，卻又不知火因何而“著”。時時處于被動服務之中，無法提供量化的服務質(zhì)量標準。

● 政府或企業(yè)的信息系統(tǒng)管理仍在依靠各自的“業(yè)務骨干”支撐，缺少相應的流程和知識積累，過多依賴于人。

● 對安全事件缺少關(guān)聯(lián)性分析和評估分析，并且沒有對安全事件定義明確的處理流程，更多的是依靠人的經(jīng)驗和責任心，缺少必要的審核和工具的支撐。

正是因為目前運維服務中存在的弊端，太極公司依靠長期從事信息系統(tǒng)運維服務的經(jīng)驗，同時結(jié)合信息安全保障體系建設(shè)中運維體系建設(shè)的要求，遵循ITIL（最佳實踐指導）、ISO/IEC 27000系列服務標準、等級保護和分級保護制度以及《北京市電子政務運維服務支撐系統(tǒng)規(guī)范》等相關(guān)標準，建立了一整套信息安全運維服務管理的建設(shè)方案。

安全運維體系的構(gòu)建構(gòu)建第一步：建立安全運維監(jiān)控中心

基于關(guān)鍵業(yè)務點面向業(yè)務系統(tǒng)可用性和業(yè)務連續(xù)性進行合理布控和監(jiān)測，以關(guān)鍵績效指標指導和考核信息系統(tǒng)運行質(zhì)量和運維管理工作的實施和執(zhí)行，幫助用戶建立全面覆蓋信息系統(tǒng)的監(jiān)測中心，并對各類事件做出快速、準確的定位和展現(xiàn)。實現(xiàn)對信息系統(tǒng)運行動態(tài)的快速掌握，以及運行維護管理過程中的事前預警、事發(fā)時快速定位。其主要包括：

● 集中監(jiān)控：采用開放的、遵循國際標準的、可擴展的架構(gòu)，整合各類監(jiān)控管理工具的監(jiān)控信息，實現(xiàn)對信息資產(chǎn)的集中監(jiān)視、查看和管理的智能化、可視化監(jiān)控系統(tǒng)。監(jiān)控的主要內(nèi)容包括：基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、通信、安全、主機、中間件、數(shù)據(jù)庫和核心應用系統(tǒng)等。

● 綜合展現(xiàn)：合理規(guī)劃與布控，整合來自各種不同的監(jiān)控管理工具和信息源，進行標準化、歸一化的處理，并進行過濾和歸并，實現(xiàn)集中、綜合的展現(xiàn)。

● 快速定位和預警：經(jīng)過同構(gòu)和歸并的信息，將依據(jù)預先配置的規(guī)則、事件知識庫、關(guān)聯(lián)關(guān)系進行快速的故障定位，并根據(jù)預警條件進行預警。

構(gòu)建第二步：建立安全運維告警中心

基于規(guī)則配置和自動關(guān)聯(lián)，實現(xiàn)對監(jiān)控采集、同構(gòu)、歸并的信息的智能關(guān)聯(lián)判別，并綜合的展現(xiàn)信息系統(tǒng)中發(fā)生的預警和告警事件，幫助運維管理人員快速定位、排查問題所在。

同時，告警中心提供多種告警響應方式，內(nèi)置與事件響應中心的工單和預案處理接口，可依據(jù)事件關(guān)聯(lián)和響應規(guī)則的定義，觸發(fā)相應的預案處理，實現(xiàn)運維管理過程中突發(fā)事件和問題處理的自動化和智能化。其中只要包括：

事件基礎(chǔ)庫維護：是事件知識庫的基礎(chǔ)定義，內(nèi)置大量的標準事件，按事件類型進行合理劃分和維護管理，可基于事件名稱和事件描述信息進行歸一化處理的配置，定義了多源、異構(gòu)信息的同構(gòu)規(guī)則和過濾規(guī)則。

智能關(guān)聯(lián)分析：借助基于規(guī)則的分析算法，對獲取的各類信息進行分析，找到信息之間的邏輯關(guān)系，結(jié)合安全事件產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度，對安全事件進行深度分析，消除安全事件的誤報和重復報警。

綜合查詢和展現(xiàn)：實現(xiàn)了多種視角的故障告警信息和業(yè)務預警信息的查詢和集中展現(xiàn)。

告警響應和處理：提供了事件生成、過濾、短信告警、郵件告警、自動派發(fā)工單、啟動預案等多種響應方式，內(nèi)置監(jiān)控界面的圖形化告警方式；提供了與事件響應中心的智能接口，可基于事件關(guān)聯(lián)響應規(guī)則自動生成工單并觸發(fā)相應的預案工作流進行處理。

構(gòu)建第三步：建立安全運維事件響應中心

借鑒并融合了ITIL（信息系統(tǒng)基礎(chǔ)設(shè)施庫）/ITSM（IT服務管理）的先進管理規(guī)范和最佳實踐指南，借助工作流模型參考等標準，開發(fā)圖形化、可配置的工作流程管理系統(tǒng)，將運維管理工作以任務和工作單傳遞的方式，通過科學的、符合用戶運維管理規(guī)范的工作流程進行處置，在處理過程中實現(xiàn)電子化的自動流轉(zhuǎn)，無需人工干預，縮短了流程周期，減少人工錯誤，并實現(xiàn)對事件、問題處理過程中的各個環(huán)節(jié)的追蹤、監(jiān)督和審計。其中包括：

圖形化的工作流建模工具：實現(xiàn)預案建模的圖形化管理，簡單易用的預案流程的創(chuàng)建和維護，簡潔的工作流仿真和驗證。

可配置的預案流程：所有運維管理流程均可由用戶自行配置定義，即可實現(xiàn)ITIL/ITSM的主要運維管理流程，又可根據(jù)用戶的實際管理要求和規(guī)范，配置個性化的任務、事件處理流程。

智能化的自動派單：智能的規(guī)則匹配和處理，基于用戶管理規(guī)范的自動處理，降低事件、任務發(fā)起到處理的延時，以及人工派發(fā)的誤差。

全程的事件處理監(jiān)控：實現(xiàn)對事件響應處理全過程的跟蹤記錄和監(jiān)控，根據(jù)ITIL管理建議和用戶運維要求，對事件處理的響應時限和處理時限的監(jiān)督和催辦。

事件處理經(jīng)驗的積累：實現(xiàn)對事件處理過程的備案和綜合查詢，幫助用戶在處理事件時查找歷史處理記錄和流程，為運維管理工作積累經(jīng)驗。

構(gòu)建第四步：建立安全運維審核評估中心

該中心提供對信息系統(tǒng)運行質(zhì)量、服務水平、運維管理工作績效的綜合評估、考核、審計管理功能。其中包括：

評估：遵循國際和工業(yè)標準及指南建立平臺的運行質(zhì)量評估框架，通過評估模型使用戶了解運維需求、認知運行風險、采取相應的保護和控制，有效的保證信息系統(tǒng)的建設(shè)投入與運行風險的平衡，系統(tǒng)地保證信息化建設(shè)的投資效益，提高關(guān)鍵業(yè)務應用的連續(xù)性。

考核：是為了在評價過程中避免主觀臆斷和片面隨意性，應實現(xiàn)工作量、工作效率、處理考核、狀態(tài)考核等功能。

審計：是以跨平臺多數(shù)據(jù)源信息安全審計為框架，以電子數(shù)據(jù)處理審計為基礎(chǔ)的信息審計系統(tǒng)。主要包括：系統(tǒng)流程和輸入輸出數(shù)據(jù)以及數(shù)據(jù)接口的完整性、合規(guī)性、有效性、真實性審計。

構(gòu)建第五步：以信息資產(chǎn)管理為核心

IT資產(chǎn)管理是全面實現(xiàn)信息系統(tǒng)運行維護管理的基礎(chǔ)，提供的豐富的IT資產(chǎn)信息屬性維護和備案管理，以及對業(yè)務應用系統(tǒng)的備案和配置管理。

基于關(guān)鍵業(yè)務點配置關(guān)鍵業(yè)務的基礎(chǔ)設(shè)施關(guān)聯(lián)，通過資產(chǎn)對象信息配置豐富業(yè)務應用系統(tǒng)的運行維護內(nèi)容，實現(xiàn)各類IT基礎(chǔ)設(shè)施與用戶關(guān)鍵業(yè)務的有機結(jié)合，以及全面的綜合監(jiān)控。這其中包括：

綜合運行態(tài)勢：是全面整合現(xiàn)有各類設(shè)備和系統(tǒng)的各類異構(gòu)信息，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應用系統(tǒng)和終端管理中各種事件，經(jīng)過分析后的綜合展現(xiàn)界面，注重對信息系統(tǒng)的運行狀態(tài)、綜合態(tài)勢的宏觀展示。

系統(tǒng)采集管理：以信息系統(tǒng)內(nèi)各種IT資源及各個核心業(yè)務系統(tǒng)的監(jiān)控管理為主線，采集相關(guān)異構(gòu)監(jiān)控系統(tǒng)的信息，通過對不同來源的信息數(shù)據(jù)的整合、同構(gòu)、規(guī)格化處理、規(guī)則匹配，生成面向運行維護管理的事件數(shù)據(jù)，實現(xiàn)信息的共享和標準化。

系統(tǒng)配置管理：從系統(tǒng)容錯、數(shù)據(jù)備份與恢復和運行監(jiān)控三個方面著手建立自身的運行維護體系，采用平臺監(jiān)測器實時監(jiān)測、運行檢測工具主動檢查相結(jié)合的方式，構(gòu)建一個安全穩(wěn)定的系統(tǒng)。