信息系统安全运维管理平台建设研究

摘 要：为提高信息化运维水平，建设一套安全运维管理平台势在必行。通过对IT基础设施与应用系统的集中监控，对安全事件、问题、变更、配置等运维服务进行集中处理，全面提升信息安全保障能力，提高信息安全管理水平，为运维工作提供有效技术支撑。

关键词：安全运维；技术支撑；信息安全

中图分类号：TP3 文献标识码：A

1 引言（Introduction）

2 IT运维中存在的问题（Problems in the operation

management）

随着IT业务和规模不断在扩展，给信息中心人员的管理带来了一定程度上的难度，主要体现在以下几个方面：

一是随着网络环境的日趋复杂，传统的“来电响应式”的IT运维管理模式无法及时发现潜在的网络异常及隐患，如何实现网络的事前管理和透明化监控是保障应用系统稳定运行、核心业务正常运转的关键。

二是业务系统的数量不断增多，往往是业务部门向信息中心反映系统出现问题后，运维人员才发现系统出现了故障，具有滞后性。同时无法从业务角度来审视系统的健康度，导致故障无法快速定位业务故障点，也无法通过资源的故障判断它所影响到的业务系统等。

三是缺少有效技术手段，对网络边界完整性进行监控与管理，不能及时发现私自内联与非法外联等高风险行为。对业务访问、后台运维等操作行为缺少必要的监控与审计管理技术手段。

3 建设内容（The content of the construction）

信息系统安全运维管理平台应该包括以下内容：

3.1 综合监控管理子系统

综合监控管理子系统实现对IT基础层的路由交换设备、安全设备、服务器、数据库、中间件、服务等以及资源关联的应用进程、端口、日志等的全面监管，帮助管理人员及时了解IT架构（各类IT资源）的运行情况，形成安全事件关联分析，支持策略管理，能自动或手工设定启动相关事件处理流程。

3.2 安全运维服务管理子系统

运维服务管理子系统是安全管理、日常工作和服务管理的有机结合。运维服务管理子系统应基于ITIL（运维管理最佳实践等）和实际管理需求，提供服务流程管理、业务资源管理、安全管理为主的综合性管理，以保障运维管理的规范化和标准化，提升日常运维管理效能。

3.2.1 安全信息采集与分析

采集各种厂商、各种类型的日志信息，针对采集的各类安全要素信息，实现性能与可用性分析、配置符合性分析、安全事件分析、脆弱性分析、风险分析和宏观态势分析。其中，风险分析包括了资产价值分析、影响性分析、弱点分析、威胁分析等；宏观态势分析包括了地址熵分析、热点分析、关键安全指标分析、业务健康度分析、关键管理指标分析。可集成第三方安全管理中心软件。

（1）安全事件采集

根据前期从各种网络设备、服务器、存储、应用等对象收集的各种安全资源、对象的安全事件、安全配置、安全漏洞、资产信息等数据，进行范式化处理，把各种不同表达方式的日志转换成的统一的描述形式。

（2）安全事件分析

透过智能化的安全事件关联分析，提供基于规则的关联分析、基于情境的关联分析和基于行为的关联分析技术。

管理对象的日志量和告警事件量应在应用系统拓扑图显示；用户点击拓扑节点可以查询事件和告警信息详情；可以对一段时间内的安全事件进行行为分析，形象化地展示海量安全事件之间的关联关系，从宏观的角度来协助定位安全问题。

安全事件以可视化视图展示，具备多种展现手段，至少包括事件拓扑图、IP全球定位图、动态事件移动图、事件多维分析图、资产拓扑图等。

3.2.2 安全隐患预警与处置

采用主动管理方式，能够在威胁发生之前进行事前安全管理。主要提供安全威胁预警管理、主动漏洞扫描管理、主动攻击测试等方式配合进行安全核查。

安全威胁预警管理，用户可以通过预警管理功能发布内部及外部的早期预警信息，并与资产进行关联，分析出可能受影响的资产，提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。

主动漏洞扫描管理，能够主动地、定期自动化地发起漏洞扫描、攻击测试等，并将扫描结果与资产进行匹配，进行资产和业务的脆弱性管理。

配合安全检查管理，够协助运维管理人员建立安全配置基线管理体系，实现资产安全配置检查工作的标准化、自动化，并将其纳入全网业务脆弱性和风险管控体系。

3.2.3 告警管理

为了全面的收集各类事件告警，系统应提供所有事件告警的统一管理。

（1）告警内容

告警内容包含事件的节点、类型、级别、位置、相关业务等，帮助运维人员在收到故障报警时能够迅速了解故障相关的资源、人员、业务等信息，快速作出反应。

（2）告警处理

系统需要针对各业务系统涉及IT资源环境进行实时故障处理。它能从主机和业务系统的各个环节收集事件信息，通过对这些信息的过滤、处理、关联，分递给相关人员，使得最重要的故障能够优先地被关注及处理。

告警消息能按照应用类别、消息种类、消息级别和处理岗位进行分类处理。消息种类可分为：操作系统、数据库、中间件、存储、硬件、应用、安全和网络等。

（3）告警发布

能对告警级别进行自定义，根据级别确定电话告警，短信告警，邮件告警的方式进行报警。

3.2.4 风险管理

信息安全风险管理工作是在安全信息分析与处理功能的基础上进行信息安全风险评估、信息安全整改任务等工作。

信息安全风险评估，根据安全信息分析结果开展风险评估流程，将风险评估结果形成丰富而详细的图形及报表。

信息安全整改，将信息安全风险评估信息汇总，归并各个部门需处置的信息安全风险，进行集中处置工作并进行整改落实情况分析。

4 结论（Conclusion）

建立以资产管理为基础，项目管理为纽带，以信息系统为核心，建立对IT业务的全生命周期的完整管理，从状态监控、行为审计、风险评估、服务管理四个维度建立起来的一套适合安全运维工作需求的统一业务支撑平台，使得各类用户能够对系统的关联性、健康性、可用性、风险性、连续性、安全性等多维度进行精确度量、分析评估，实现事后运维向事中运维以至向事前防范的转变，最终实现信息系统的持续安全运营。

参考文献（References）

[1] 景义琼.基于ITIL的网络运维管理系统的设计与实现[D].复

旦大学，2010：15-18.

[2] 李荣华.基于ITIL的IT运维管理系统的设计与实现[D].北京

邮电大学，2010：13-15.

[3] 李长征.电子政务运维管理的关注因素[J].信息化建设，2009