此页面上的内容需要较新版本的 Adobe Flash Player。

                获取 Adobe Flash Player

                信息安全

                构建安全运维体系,保障企业信息安全
                作者:   来源:木链科技   日期:2020-06-18

                   背景

                   随着各行业信息化应用的深入,IT系统规模不断扩大,企业面对的安全威胁也越来多,安全运维必不可少。

                   《GB/T 36626-2018 信息安全技术 信息系统安全运维管理指南》中将安全运维定义为信息系统经过授权投入运行之后,确保信息系统免受各种安全威胁所采取的一些列预先定义的活动。

                   企业安全运维的初级阶段是通过安全设备的部署,获得被动防御能力,这时候安全运维人员(以下简称工程师)就是救火队员,负责解决出现的各种安全事故。如想进一步提升安全能力,将被动防御转为主动防御,将响应式的安全运维转为主动干预式的安全运维,则企业除了需要拥有掌握技能的工程师,支持业务发展的运维流程,还需要一个能高效协作的安全运维平台。

                   01、安全运维难点

                   安全设备的集中管理

                   随着企业信息系统越来越多,安全设备的规模从最早的只有防火墙,发展到现在的防火墙 + IPS + IDS + WAF + 上网行为管理等等。工程师需要管理众多不同品牌、不同功能的安全产品。如果每一台安全设备都逐一登录配置,效率非常低,而且缺乏对已设置策略的宏观统筹,也缺乏设备间的联动机制。

                   安全数据的有效分析

                   企业在购买了安全设备,并将其部署在自己的生产环境以后,就需要工程师对其进行持续的监控和响应,随着现在业务的快速发展和技术栈复杂度的提升,工程师每天面对海量的数据。如检测类安全设备的告警事件每天可能有成千上万条,再加上防火墙,杀毒软件等,网络环境越复杂,安全设备越多,越让工程师难以仅靠人工识别威胁,得到有效信息。

                   安全事件的处置效率

                   由于缺乏统一的安全事件监测和处置平台,工程师无法对安全事件进行统一查看,关联分析,数据挖掘及攻击溯源,使得一些恶意用户的长期渗透,蓄意攻击行为难以及时发现,并且在发生安全事件以后,传报处置流程长,影响对安全威胁的处置效率。

                   02、安全运维体系

                   众多信息安全标准都给出了详细的安全运维管理体系的指导和建议,帮助企业规划制定自身的安全运维流程,如《GB/T 36626-2018 信息安全技术 信息系统安全运维管理指南》将安全运维活动分为了安全运维策略,安全运维组织,安全运维规程,安全运维支撑系统四项。

                   《GB/T 36323-2018 信息安全技术 工业控制系统安全管理基本要求》中将ICS安全管理活动分为顶层承诺,规划评估,资源支持,策略实施,绩效评价,持续改进六个方面。

                   《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》即等保2.0,新增加了企业要建设安全管理中心的内容,《GB/T 38561-2020 信息安全技术 网络安全管理支撑系统技术要求》,《GB/T 36958-2018 信息安全技术 网络安全等级保护 安全管理中心技术要求》则对支撑系统/管理中心的目标管理,应急预案,运行监测,备份恢复,功能和接口要求等做了详细说明。

                   不难看出,企业建立安全运维/运营/管理中心,是安全运维发展的一个必然趋势。

                   03、安全运维方案

                   Garnter近几年一直有个公式:

                   SOC平台 = SIEM + UEBA + EDR + NTA + SOAR。

                   虽然国内外厂商纷纷推出带有自身特色的SOC产品,但对安全运维平台的解决方案大体上是相似的,即将多个工具,系统和流程整合在一个综合框架下,通过对安全数据的采集,存储,关联分析,告警归并,深度挖掘。帮助工程师对安全设备进行持续的管理和维护,对安全数据进行高效的分析与挖掘,对安全风险和潜在的威胁进行快速识别与应对,从而保障业务高效稳定运行,达到对信息系统安全主动防御的目的。

                   参照IT运维工程师的工作内容演变,安全运维工程师的大部分安全防御工作也都应该通过自动化响应完成,最终目标将是参与到业务当中,进行持续的安全运维,这也应是安全运维平台产品发展的一个趋势。

                   04、总 结

                   安全运维平台可以帮助企业持续对抗安全威胁,看懂安全现状,简化安全运维。但平台的建设需要企业方兼顾成本和安全,很难一劳永逸,最好的方案是基于自身的实际业务情况,不断的分析,实施,检查和优化改进,以达到与业务的深度融合。

                   木链科技凭借国内领先的安全团队,能够对国内外安全事件进行及时跟进和分析,高效率、高质量的完成安全运维工作,服务覆盖范围包括物理通讯网络、信息系统、应用平台等多个方面。可根据客户安全需求,将安全运维服务模块化,根据用户的信息系统环境及用户的维护能力提供定制化服务内容,协助企业建设自己的安全运维平台。


                

                              福彩字谜