Cloud & Telecom Security

Global and local regulations are evolving across all industries and sectors. Here is a selection of the ever-increasing number of regulatory frameworks:

• All sectors and industries –

Enterprise Risk Management (ERM), Electronic discovery (e-discovery), Financial Statements (IFRS,GAAP), Sarbanes Oxley (SOX), EuroSox, Customer Data Privacy and Protection (EU e-privacy), Business Continuity Management, Data Protection Act (EU, UK, Germany), IT Security, IT Controls and Compliance (ITIL, CobiT, ISO), Payment Card Industry Data Security Standard (PCI DSS). Read more…

In general, security market has a wide range of products and services. It consists of products (FW,IDS/IPS,VPN,UTM,SOC,4A,etc.) and services, e.g. Risk Assessment, Managed Security Services(including monitoring,etc.) , consulting services for Cobit/ITIL/ISO/IATF, solutions, system hardening, penetration testing, management , training etc.

We have a hard time selling our services. Because Chinese customers have a low recognition of the services unlike the westerners do. In their mind, services should be free if I have bought your product and you should do the rest of that. On the other hand, services aren’t unified and standardized. Customers won’t pay much money for it . That’s the problem.

Howerver security services are a promising market. No one is willing to lose this market, you’d better keep an eye on this always. Some day in the near future some kinds of services will come up. Security services will end up in the form of products in China market. Actually lots of company have done this in advance.

It’s a common practice to deploy honeypot and snort to protect intranet by detecting the potential threats. Both of honeypot and snort are open source tools. During the global financial crisis, it’s becoming more attactive to build the information security management system (ISMS) with them when we are lack of enough budget to protect the intranet or LAN. Read more…

美国国家标准局（ANSI）和互联网安全联盟（ISA）日前联合发布了一片白皮书 – 网络风险产生的财务影响 -每个CFO都应该问的50个问题。白皮书强调了网络空间的安全对于美国国家和社会经济组织的重大意义。文中认为如何评估认识安全空间的安全风险在组织的财务上面的影响是一个又挑战性的工作。这本白皮书用以帮助CFO来了解和沟通网络空间安全的财务影响。

下面是白皮书中的50个问题，分别针对首席律师(Chief Legal Counsel), 合规性官员(compliance officer), 业务运营和技术团队，外部沟通和危机管理团队，以及公司保险的风险经理。如果对全文感兴趣，请留邮件。 Read more…

赵 粮（冠群电脑有限公司）
裘晓峰（北京邮电大学）
2004-4-29

1 从风险评估到风险管理
网络安全体系的目的是保障关键信息设施的资产和服务，提供适度的安全保护，即根据每种（个）信息资产(Asset)的价值、面临的威胁(Threat)和安全风险（Risk）来确定相应的安全防护措施和力度，做到“重点防护”、“适度安全”。要做到这一点，风险评估是一个重要环节。

风险评估作为成型的技术已经有数年的历史了，同时，风险评估也是安全专业服务中最为成熟的一个内容之一。近年来，国内的知名企业、机构几乎都开展、购买了专业的安全风险评估服务。风险评估的目的是帮助识别信息设施中的资产，分析判断其价值、存在的脆弱性和面临的安全威胁，从而获得该资产或资产组的安全风险情况，继而可以采取针对性的安全防护措施，提高安全体系的投资效率。

我们知道，风险评估本身不是目的，最终的目的是消除风险、控制风险，在保证投入回报的前提下管理安全风险。一般来说，风险评估是风险管理活动的基础，帮助建立起风险管理的基线。定期的评估活动可以用来审计和考核安全风险管理的效果和效率。本文尝试着讨论建设实时的风险管理体系的可行性，提出一种实用模型。

2安全风险

安全风险具有非常广泛的含义，本文中使用较为通用的风险模型：安全风险由资产价值、脆弱性和威胁来决定：
Risk（t） = R(A,T,V,t)
其中，t代表某个时刻，A代表该资产的价值，T代表该资产面临的威胁，V代表该资产存在的脆弱性（安全漏洞）, ?表示对风险管理范围下的资产求和，R代表某种函数关系。通常，在常见的半定量评估过程中，该函数有时采用简单的乘积来计算。

资产价值
信息资产以多种形式存在，无形的、有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的脆弱性、面临的威胁、需要进行的安全保护和安全控制都各不相同。若干具有很强的内在业务关联和依赖关系的资产可以构成一个资产组。

信息资产具有不同的安全属性，包括机密性、完整性、可用性、可控性和不可否认性，分别反映了信息资产在5个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察5种不同的安全属性，可以得出一个能够基本定性地反映资产价值的数值。确定信息资产以及数值的过程称为信息资产的识别和赋值。

实时的风险管理体系需要建立起能够实时发现并监视资产变化和状态的机制，并且能够反映该资产的价值变化。

安全威胁和漏洞
安全威胁是对信息资产引起不期望事件而造成损害的潜在可能性。威胁可能源于对信息资产直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性、可用性、可控性或不可否认性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。通常，收集分析安全事件是获取并计算威胁的主要方式之一。

弱点和资产紧密相连，它可能被威胁（威胁的定义参见威胁一章）利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁方利用而造成资产损失。通常，网络脆弱性扫描、主机和应用的安全审计是获取计算弱点的主要方式。

实时的风险管理体系需要具备实时收集威胁信息和脆弱性信息的能力，并且能够与信息资产相关关联，进行有效性分析。

安全风险
在实时的获取资产、威胁和漏洞的信息基础上，可以计算风险的实时变化：

资产的变化可能来源于新资产的出现，也可能是承载的业务发生的变化。威胁的变化可能是新的安全事件的出现和解决。脆弱性的增加则主要体现在新的脆弱性，而脆弱性的降低主要通过相关的补丁，或者配置策略等的改变或优化。

可以看到，在信息资产保持相对稳定的情况下，降低安全风险的手段主要有两种：其一是通过强化安全策略，减小出现安全事件的机会，并且在出现安全事件的时候，能够及时的发现、定位和分析，消除事件，震慑威胁方；其二是通过及时有效的补丁和安全配置，减少甚至消除资产存在的脆弱性。

3 基于安全总控中心的实时安全风险管理体系

安全总控中心（或称为安全管理中心）是近期非常引人关注的话题。其特点是高度的集成性和自动化，大大减小从发现新的安全风险到完成弥补（风险消除）之间的时间窗口，帮助在与威胁方的时间赛跑中获胜。

安全总控中心的典型结构如下图所示，其关键组件和技术包括：
? 信息资产库及实时资产发现能力
? 实时更新的安全漏洞库和补丁库，预警能力
? 各种安全事件的收集和相关处理，解决安全信息过载问题
? 安全事件与信息资产、安全漏洞的相互关联
? 基于安全知识库的工单和流程管理系统
? 安全补丁的收集、测试和发布等

下图用三个实际场景来介绍基于安全总控中心而构成的实时安全风险管理体系：

通过前面的分析，在安全风险管理活动中，有三种重要的风险“异动”：其一是发生新的安全事件，预示着潜在的安全威胁的变动；其二是新的安全脆弱性（安全漏洞）的出现；其三是新的信息资产上线。下面分别来考察安全总控中心如何来实时处理这三种场景。

新的安全事件
大量的安全事件涌现标志着某种威胁方的活跃。在当前普通的安全体系中，安全管理员很容易被多种安全产品产生的海量安全事件所淹没，没有办法从安全事件中获取背后隐含的安全威胁。而安全总控中心的事件处理模块正是具备了收集、过滤、合并、相关处理海量的、跨产品、跨系统的安全事件的能力。

经过安全总控中心的事件处理，具有高优先级的事件会通过声光、控制台、短信邮件等方式进行集中告警。按照可以配置的既定安全策略，在需要时，安全总控中心会查询内置的资产库以及相应的漏洞库和补丁库，获得事件相关的资产信息，以及相关的漏洞、补丁信息。在获得了相应的资产信息和补丁信息后，总控中心会按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于不能简洁立即处理的告警，将发出工单，呼唤专家介入，进入服务台系统和问题管理流程。

新的安全漏洞
通过实时升级的安全漏洞知识库，获得了最新的安全漏洞信息后，与最新的安全资产库进行相关匹配，如果适用，存在受影响的资产，则查询相关的最新补丁，并且按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于尚没有补丁、却具有高优先级的安全漏洞，发出工单，呼唤专家介入，寻找临时解决方案（Workaround）来处理。

新的资产
某新信息设备上线投入运行，这时，资产自动发现模块发现了这一新的资产，立刻匹配安全漏洞知识库，查看是否具有尚未处理的安全漏洞。如果存在则激活补丁管理模块，进行补丁分发。或者发出工单，呼唤专家介入，对该新资产进行安全加固。

上述三个过程基于策略和规则来自动完成，将发现风险“异动”、产生告警到响应弥补之间的时间窗口减小到最小，将整个过程的人工干预减到最小，大幅节省管理员和主管的精力，使他们可以有时间进行体系规划、策略优化、问题攻关等。

4 综述

层出不穷的安全漏洞和海量的安全事件是当前安全风险管理活动中最具有挑战性的两个领域。如何提高安全风险管理的实时性，减小关键资产面临的脆弱时间窗口是两个重要的课题。安全总控中心提供了大范围的各种主流的第三方安全产品的覆盖，不但包括事件级的集成，还包括多数国际主流安全产品的策略和配置级集成。同时，具备内置的资产发现模块、实时升级的漏洞库和补丁库、安全工单和流程管理系统，能够提供强大的风险控制和管理能力。

本文提出了一种实现实时的安全风险管理的模型和架构，针对典型的安全风险“异动”，从资产、威胁、脆弱性三个方面计算相应的安全风险变化，基于策略的进行实时响应，最大限度地提高安全防御体系的效果和效率。

发表于通信世界，总结了安全管理中心建设过程中的一些心得。
URL= http://www.cww.net.cn/Industry/Article.asp?id=10723
赵 粮
博士，冠群电脑（中国）有限公司
2004-2-18

网络安全正在受到越来越高的关注，其中一个最为热烈的话题就是安全管理中心的建设。安全管理中心（SOC），或者叫作安全总控中心（SCC），通过一个中央管理平台，收集整合来自各种各样安全产品的大量数据，并且从海量数据中提取用户关心的数据,呈现给用户，帮助用户对这些数据进行关联性分析和优先级分析。除此之外，安全管理中心还能够提供相当程度的集中“控制”和“管理”能力，可以帮助提供实时、准实时的安全风险管理能力。

目前，国内外的多家安全公司都提出了安全管理中心的产品或解决方案，移动、电信、联通等多家运营商都正在酝酿该方向的建设项目，几家省公司已经成为先行者。笔者有幸从开始酝酿、设计、建设等整个环节负责、参与了若干个安全管理中心项目，希望将自己的一些体会和经验教训与大家分享。前面已有一篇讨论基于安全管理中心的实时安全体系的讨论，本文从容易出现的九个错误的角度来讨论安全管理中心的建设。

1 错误或者失衡的资源分配和投资比例。

[separator]
我们知道，在绝大多数情况下，安全建设本身不是目的，而是为了保护企业的核心业务和资产。这样从投资的角度讲，投资回报率是必须考虑的。对于一个典型的网络管理中心（NOC）或者计费中心来讲，大约有数十台设备，主要包括各种层面的服务器和工作站，以及存储系统。而经过历次的安全建设和采购后，我们经常可以发现，中心连同分布在各地的防火墙、入侵检测、反病毒，它们的管理器和数据库等，在数量上也达到了数十个，与业务系统的规模相差不大，甚至数量上还可能会超出。虽然单个安全设备的维护工作量比高端服务器要低一些，但是总体上的保护体系和被保护的资产在维护资源上的投入失去了适当的比例。该现象的另外一个表现是大部分省公司、甚至总部还没有专门的安全管理员，IT系统的管理员兼职来维护管理安全设备，再没有足够精力的情况下，安全管理维护方面会被简化、忽略调，不能充分发挥安全投资的效率，间接地降低了安全体系的效果。
另外，可以认为，安全体系由两大类组件组成，其一是功能组件，例如访问控制、身份和认证管理、入侵检测、反病毒等，其二是管理性组件，事件收集和展现、知识管理、工单管理等。管理性组件的目的是提升功能组件的效率，减小相应的管理员人工成本。这个比例在典型安全体系设计中，国际上的比例大概是在10- 30%左右，换句话说，应该注意管理与功能投入上面的平衡。
通过上面的分析，我们知道，过多的功能性组件会导致管理成本过高，管理不利，效果不好；而过多的管理组件投入，又容易功能覆盖不到位，管理组件成为空中楼阁，无源之水。

2 错误的架构、不匹配的组织。
准确地讲，安全管理中心并不只仅仅是某个产品，或者某些产品的集成，它还是一种安全管理形式，需要相应的企业管理组织来负责运营，技术架构和组织架构再设计伊始必须互相匹配，运行的效率才有可能达到令人满意的程度。所以，在总部或者某个省电信公司考虑设计安全管理中心时必须考虑到自己当前的IT管理结构、预期的改变、安全管理的模式。首先在组织结构方面达成共识，再来考虑技术架构，考虑产品的可扩展性，未来是否可以平滑过渡，适应未来的组织结构改变。如下图所示，对于当前的几个主要电信公司来说，都是两级管理体制，省一级实现了集中管理。值得注意的是，安全管理中心并不必然地导向一个对立运作的实体，它可以和网络管理中心合署办公，也可以与企业信息化部或者IT部门合为一体，这依赖于建设需求方管理层参与设计，在建设和运营路线最终达成一致的思路。关键的一点是在开始规划选型时，考虑好以后的接口和平滑过渡，才可以更好地保护投资。

图：安全管理中心架构示意图

3 认为SOC的建设主要是产品安装，对建设中项目风险认识不足。
安全管理中心需要对以前存在的、现在建设中的、甚至规划中可能出现的安全产品进行管理，对多种多样的应用和设备进行事件审计和策略配置，另外，每个建设方对安全管理中心的功能定义也会进行增减，所以，建设过程中往往会涉及到多个厂家的许多产品（包括安全设备和其它）。另外，各个建设方情况千差万别，通常纯粹的安全管理产品很难很好地满足要求，必然会涉及到大量地定制和开发服务，这些对于项目管理来讲，背后都蕴涵着大量风险。需要很好地评估项目风险，并且通过仔细考察集成商和供货商的资质、质量体系和成功经验，慎重选择。

4 设计建设SOC时设施的特点没有考虑IT基础。
各个总部和省公司的IT系统各不相同，不同拓扑结构、不同的网络业务架构、不同的网管系统、不同的集成商、不同的安全防护水平。从IT服务管理（ITSM）的角度来看，它们具有不同的成熟度。从BS7799角度来看，10个安全领域的重视程度又不同。有些省公司已经建设有成熟的帮助台（Service Desk）和流程管理系统，IT系统网管实现了集中监控和集中的事件管理。SOC和NOC在许多方面有共同的特点，可以分享许多建设运营经验，以及IT组件。并且，在许多情况下，在事件管理、流量监视等方面，SOC和NOC共享的程度越高，安全保护的效果就会越好。

5 定义了不适当的项目目标。
一般来说，参照下图所示，安全管理分为四个层次，或者能力成熟度，越高的层次表示安全管理的成熟度越高，残余的安全风险就越低，但是通常来说，要求的安全投入也会较高。第一层是集中审计，能够对全网范围内的关键安全事件做到集中的、统一的收集和审计；第二层是集中监视，除了事件审计之外，还需要对安全防御体系自身的健康状况进行监视，对威胁情况进行监视；第三层是集中管理，在前面两层的基础上，能够对整体安全体系制定安全策略，集中分发配置，与IT基础设施的管理可以无缝集成，实现良好的实时风险管理；第四层是战略防御，除了自身安全体系的审计、监视和管理之外，强调了网络对抗和取证分析能力，针对性的实时优化安全策略。每个层次有不同的特性和实现手段，对于特定的建设环境来讲，并不一定意味着越高的层次就越好，而是应该量体裁衣，具体问题具体分析。可以在四个层次中选择适合自己的特性来分期建设，分步实现目标，达到最高的投资回报。

图：安全管理成熟度示意图

6 集成商和原厂家的技术支持力度不够。
这个问题应该属于项目风险控制范围之内，单独拿出来的目的是想强调一下：一定要慎重考察注意集成商和所选择产品的原厂家的技术支持力度，特别是本地技术支持力度。因为SOC建设中有大量的定制开发和服务，不可避免地需要频繁、有效地技术支持。很大程度上会影响整个项目的质量效果。

7 对选择SOC产品的可扩展性、健壮性、性能没有透彻的了解。
SOC与NOC建设相似，产品更换替代的成本很高，一般会采取升级、扩容、融合等进行发展，全天候7×24运行，越是遭到攻击、产生大量事件和网络负载的情况下越需要SOC的服务，所以在一开始的产品选择阶段要特别注意可扩展性、健壮性和性能的指标。这里的扩展性指能否层次化布署、能否顺利融合部门级的 SOC、是否可以通过硬件升级来实现更高的系统容量等。健壮性和性能是指在遭到大规模攻击、大量事件冲击的情况下，系统能否正常工作，表现如何？系统是否支持高可用性布署等

8 没有设计好相应的管理和应急流程。
我们已经知道，SOC建设远远不只是产品采购，还有许多定制服务。此外，SOC与NOC一样，需要相应的管理和应急处理流程，这些流程制度是整体安全策略的组成部分，应该纳入严格的配置和变更管理之下，并且做好相应的宣传和培训，定期进行演练，使得每个角色和相关人员都明白自己的责任和相关流程。管理和应急流程应该尽可能多地依靠自动化手段实现，并带有质量保证措施和考核措施。在流程设计和建设上面，可以参考ITSM中成熟的服务台技术和产品，充分结合 NOC的流程制度。

9 认为SOC建设完、验收结束就大功告成。
SOC是一种统一集中管理形式，是安全风险管理的最高级形式－实时风险管理。它的建设验收只是实现了第一步。接下来还需要及时地维持并更新、升级知识库（资产库、漏洞库、补丁库等），经常性的优化安全策略，演练应急流程的有效性，审计安全制度的执行落实情况。

安全管理中心是继网络管理中心（NOC）后的又一类引人注目的管理系统，它综合了许多国际标准、安全模型、IT管理技术，属于安全领域的新生事物，无疑需要众多从业者的关注和研究实践，分享SOC发展过程中的经验和教训，更好地指导后面的建设。本文希望能够抛砖引玉，以期获得更多的宝贵讨论。