At the security information management area, the concept of SNR is often used to describe the performance of a SIM tool. But, what’s SNR? what impact the security SNR output? I hope this diagram help.
这篇稿子写于2004年底,探讨将管理重组的概念引入安全运营的方式,当时浙江移动的试点已经得到各方面很高的认可。本文提出了一个框架,探讨IT流程重组和安全运营的结合。本文发表于 通信产业报。
1 电信业面临的机遇和挑战
中国电信业的竞争日趋激烈,上市后股东和公众对于中国电信企业管理层的压力也与日俱增。管理层的关注点与几年前相比出现了明显的变化,从用户数为中心的粗放式经营转向关心每用户营收、每用户成本、营运利润、产品服务利润等精细化的经营,也更加关注业务发展的成本。
新技术和新政策给电信市场的发展带来了更多的不确定性,也促使领导企业和潜力企业的管理层来研究这些新技术、新政策背后为企业带来的机遇和挑战。例如一号通(700号业务)和当前的“携号转网(NP)”、“双模”手机等,对中国移动、中国联通和中国电信、中国网通四家主要运营商的决策者带来了很多的思考。依靠传统的号码、地域、资费等都不能稳定地保持住客户资源时,“保障”这个词背后的含义也就更加丰富了。
收入保障、客户保障、IT保障等越来越成为电信企业控制企业风险、保证长期稳定的股东回报的重要手段。收入保障的宗旨是防止话费流失与欺诈,保证计费数据准确;客户保障的宗旨是防止客户流失,保持客户满意度。它们无疑是企业保持市场竞争的关键要素。
根据Gartner Group的最新调查显示,当前信息主管们最为关心的技术点已经从两年前的应用集成转变为设计、管理灵活高效的基础设施、安全增强、以及桌面标准和IT绩效等。参见附图一。反映在电信运营商企业上面,就是通过上述几个方面的治理提升,来有效的降低运营成本(OPEX)、同时提高业务交付的质量和保障。在这方面的努力成为去年到今年电信IT建设的主旋律。
一方面,电信企业通过建立业务数据模型、流程模型和重组、建立统一客户资料库、建设数据仓库和主题分析等来深层发掘分析企业的业务发展、运营过程中的多种发展的动力因素;另一方面,通过规划企业自身的IT战略发展路线和规划(ITSP)、不断通过整合和集成来优化信息基础设施的效率,同时提升其保障水平,控制企业的安全风险。这些都是建设IT保障体系的重要步骤。
IT综合保障体系由IT服务保障、安全保障和生命周期保障三个层面构成的,参见附图二,是电信企业整体“保障”体系中至关重要的环节,是企业竞争的重要因素,不仅仅是保护企业核心业务高质量的交付、信息资产不受外部攻击的威胁,更重要地是良好有效地保障体系可以帮助建立起股东和公众的信心,保障企业的市场核心竞争力。 本文后面部分将讨论电信企业的IT综合保障体系的意义和建设路线。
2 建设IT综合保障体系
如下图所示,电信企业越来越多需要依靠IT系统,不仅仅是向客户交付业务所需的网络管理维护系统,并且还有大规模的客户服务、帐务、市场分析、ERP等企业支撑系统。对这些关键应用的“保障”需要首先保障这些应用的底层,也就是承载这些关键应用的各种IT系统,保障这些大量的软件、硬件、中间件、安全设备、网络设备等构成的基础设施。
电信级网络是超复杂系统,是因为电信网络往往规模庞大、系统复杂,其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。即使是其中的安全防护子系统也是由多种、来源于多个供货商的设备构成。它们通常在架构、协议、通信、操作等许多方面都存在相当大的差异性。这种差异性又进一步加大了系统的复杂度。
经过多年的建设,目前,电信网络中已经部署过大量的网管和网络安全产品。应该说,这些产品都不同程度地提高了网络的运行和交付能力,以及安全防护能力。但是,这些还不是“保障”体系。如何为这样一个超复杂的系统建设保障体系?这里,我们借用一个管理学上的假设:“高质量”的过程带来“高质量”的结果。针对超复杂的电信IT系统,加强其中某个网元或者模块,对整体系统的服务质量和安全水平,提高是有限的。
更有效的做法是以核心业务交付的服务质量为行动目标,实施下面三个步骤:
* 一. 服务管理:清理核心流程(过程),优化设计,监视端到端的流程质量
* 二. 安全管理:分析面临的威胁,分析评估,从过程、人员和技术手段三个方面来管理风险
* 三. 生命周期管理:建立核心系统的生命周期档案,评审系统需求和设计,管理系统开发和项目建设过程中的风险
建设由服务管理、安全管理和生命周期管理三层构成的IT综合保障体系,可以充分实现不断优化、提升信息基础设施的效率,不断提升核心业务交付质量的保障水平的宏观目标。在此基础上,不管是建设企业总控中心(ECC),或者安全管理中心(SCC/SOC),还是综合网管体系等等就都有了明确的行动目标和坚实的基础。
3 IT服务保障
传统上,国内的电信企业通常有三个相对独立的IT系统:网络部(或运行维护部)、计费中心(或业务支撑中心)、信息中心,其中网络部负责生产网(例如传输、交换、互联网等)的管理维护,计费中心负责计费数据的采集、结算、客服、经营分析等系统的管理维护,而企业信息中心则负责维护办公自动化(OA)、ERP、人力资源等企业应用。当然,每个运营商的实际架构可能会有所不同。
虽然之间存在若干个通信接口,但是三个IT系统的运行维护通常相对独立。在每一个IT系统内,传统上的管理体系如附图三所示,运行维护人员根据业务分成若干个小组,每个维护小组负责管理某项或某几项业务的应用、系统、网络等各个层面IT系统。由于缺乏数据模型和应用集成的支持,这些来源于多个供货商、厂家的软硬件设备在架构、协议、通信、操作等许多方面都存在相当大的差异性。历史积累的结果是在部门内部形成了若干个“信息孤岛”。一方面管理层很难从宏观上看到各个业务和相应IT系统的运行状况,难以快速统一的部署新的策略和制度,对业务需求部门的响应速度很慢;另一方面,当业务或应用增加时,管理者面临的挑战是或者增加人手,或者与原来的某项业务合并管理,线性增加维护人员的工作量。
这种管理结构的问题是明显的,即缺乏共享和流转机制,响应速度慢,难以保持策略一致,可扩展性不好,运行维护人员不容易“专注”。这些不足很大程度上阻碍了运营商信息系统建设和运行的效率,难以支撑快速的市场变化和需求。
另外的一种选择是,设立IT支撑小组负责网络和系统管理,设立安全小组,负责安全管理,共同为业务小组提供支撑。当增加新业务或应用时,IT支撑小组和安全小组都可以较容易的扩展覆盖,业务小组因为摆脱了底层支持的重复性内容,可以更加专注,所以也可以管理更多的业务。应该说,后者在前者上面有了提高,更加灵活,具有更好的可扩展性。
但是,层次化分工也会带来新的问题,IT系统的客户关心的是最终的交付质量,并不关心内部的层次化分工。当出现服务故障或问题时,从应用层到系统、网络层、再到安全管理层,解决故障后再逐次返回到应用层,消除客户问题。设计高效IT服务管理体系的关键是如何控制这个“时间延迟”在服务水平之内,快速实现不同层面的通信和共享,加速响应过程。在“流程整合”的背景下进行适当的重组,将IT管理、安全管理和业务管理的流程对接起来,对端到端的流程质量进行跟踪,并且从组织上、绩效考核上得以体现。
4 安全保障
网络安全威胁和防范一直是电信运营商十分关注的话题。包括ITU-T,TMForum等在内的许多国际电信组织都开始重新评估以前设计的许多标准、规范、架构等,在所有重要的标准体系中都加入了审慎的安全考虑,以避免出现类似像802.11b出现的WEP漏洞。
参见附图四,ITU-T在其安全手册中明确提出,电信网络中存在的面临的安全威胁可以分为下面四类:
* ? 预测未来威胁的困难
* ? 设计和规范型弱点
* ? 实现型弱点
* ? 运行和配置型弱点
其中第一类和第二类可以通过国际标准组织的努力逐步减小;第三类弱点需要依赖电信设备(硬件、软件)供应商和集成商提高系统开发和项目实施过程中的安全风险管理;第四类弱点则需要运营商自身的运行维护部门加强安全风险管理水平,从策略、组织、技术和运营等四个方面建设并逐步完善安全管理体系。
5 系统开发生命周期保障
电信企业的关键应用越来越复杂,业界提出了很多这方面的框架、最佳实践和规范来指导关键应用的开发,例如eTOM是电信业务过程方面的权威指导,提出了在产品生命周期和交付、保障和计费等不同阶段的关键过程。eTOM模型已经在大量国际运营商获得了成功的实践,在国内也被大量应用于IT规划、 BSS/OSS应用和其它支撑系统的设计和开发。
这里的关键应用包含两层含义,其一是应用本身;其二是包含了整体的软件、硬件等的应用系统。前者需要重点参考软件工程实践,相对成熟,对于电信企业来说,需要加强的是关于数据模型管理、接口管理、变更和配置管理等方面;后者则需要参照系统开发生命周期SDLC或LCM,对供应商、对需求、对体系架构等都进行较为完善的风险控制,并且与ITIL指导的IT服务管理和应用管理形成闭环,逐步提高运行质量和服务水平。
这一部分内容也成为NGOSS/eTOM和ITIL两大框架中变得日益重要的组成部分。
作为后者的一个例子,相对不够成熟的安全保障系统的建设,就应该充分借鉴电信企业在BOSS/ITSM等大型应用系统建设方面的经验教训,从开始就考虑开放性、集成性和可管理性,并且注重生命周期的管理,与IT保障体系在架构上互相兼容,在数据模型、界面、事件等各种层面可以互相通信、融合。这些都是从 SDLC角度,来提高电信企业IT保障水平的重要内容。
6 综述
综上所述,IT服务管理、安全管理、生命周期管理是电信IT综合保障体系的三个方面,它们从不同的角度、不同的层面来保障电信企业的核心业务的最终交付质量和效率。关键业务的服务质量是电信企业的生命线,如何保障超复杂的电信网络的服务质量也是超复杂的挑战性问题。本文试图从三个不同的角度来探讨建立电信企业的IT综合保障体系的方法和途径,其中欠缺不足之处,希望得到业界专家的指教。
附图一. CIO关心的前十个技术领域(数据来源:Gartner Group 2004)
附图二. IT综合保障体系示意图
附图三. 传统网管中心的管理模式
附图四. 电信网络中存在的脆弱性类型
***如果您对这些图片感兴趣,请留言。
本文完成于2004年底,介绍了国际电联推荐标准X.805,探讨了X.805在电信网网络安全建设过程中的应用。发表于通信产业报,发表后,中国电信和联通网站等多家网站转载,引起广泛的兴趣。:)
1.电信网
全球电信业在经过了前面几年的沉闷、甚至衰退后,3G等各种宽带数据业务开始日趋活跃、需求明显升温,越来越多的运营商开始从几年前的巨额债务中解脱出来,投入到新一轮的电信基础设施投资建设活动中。
电信网从原来“电路交换为王”的话音业务正在全面转向话音、数据、多媒体、视频、电子商务等综合业务的通用平台。新一代电信网络平台呈现出承载网的宽带化、业务网的综合化与个性化,支撑网的面向服务架构和业务流程重构等显著特点。其中,IP技术成为电信网络中的关键技术,IP业务成为典型网络中的关键、基础业务。
电信网的分组化(IP化)将会给电信业带来深刻的影响。电信网的IP化并不意味着现在的互联网将取代电信网,因为现有IP网从设计理念到实际交付的服务水平等都证明它不适合与全面承载电信业务。现有IP技术必须在安全、服务质量、业务模型、可管理和可运营方面迅速提高,才可以满足电信业务的需要,其中安全又是最为运营商、社会和用户最为关心的方面之一。
电信网络是国家关键基础设施的重要组成部分,承担大范围内的公众电信业务的网络,规模大,结构复杂,可靠性和安全性要求极高。ITU-T、IETF等国际标准组织在专注于电信网络技术标准的发展过程中越来越重视其中的安全保障能力,提出了一系列的框架、推荐标准和技术规范等,努力从技术角度提高电信网的安全性。
电信网络往往是最先进的I T技术和产品的集大成者,传输、交换、应用、服务、存储、数据处理等方面都在各个行业处于领先地位。除了普通企业面临的计算机网络环境内的威胁外,电信企业还必须考虑光纤传输、交换等电信基础设施的安全性以及VoIP、IPTV、多媒体等电信业务相关的安全威胁。
本文尝试阐述下一代电信网中特有的安全威胁、安全脆弱性以及相应的对策,并总结介绍最近一段时期内相应国际组织在电信网安全方面的努力和成果。
2.电信网威胁综述
传统上对于电信网络的安全考虑往往是面向其中的计算机和其它IT设备,以及路由器和交换机等设备自身的安全问题。诚然,针对这些承担“辅助”和“支撑”任务的IT组件的安全保护依然非常重要,但是,对于NGN和下一代基于IP技术的电信网来说,安全威胁和相应的控制都有了更新的含义。
通常,普通TCP/IP网络面临的安全威胁包括内部误用和滥用、拒绝服务攻击、外部入侵、病毒和蠕虫、以及其它各种灾难和事故。这些方面的分析在笔者以前的文章或者其它途径中都可以找到相当仔细的分析,本文不再赘述。
以下以下一代网络NGN为例来具体说明上述威胁和带来的消极效果。
NGN安全威胁举例
NGN已经成为下一代电信网的基础框架,它包括了软交换协议、IPv6、ENUM、等多种协议标准体系。在此框架内,IP技术将得到广泛应用,负责承载包括话音之内的各种业务,其中的信令和管理信息也将与业务数据一起共用底层媒体。这时,不但IP网中存在的各种安全威胁和脆弱性都将被继承进NGN网络中,并且增加了其它以前不曾面对的新的威胁。
附图1. NGN环境下的安全威胁
* ? 由于语音收入依然占据运营商收入的主要地位,当媒体服务器遭受拒绝服务攻击而失去响应时的损失,将会远远大于当前互联网时代遭受的拒绝服务攻击;
* ? 随着IP语音业务的开展,电信运营商必须关注来自IP网络的来源追查和内容分析;
* ? 用户对于语音保密方面的担忧和体验,成为是否最终选择使用业务的重要考量;
* ? 随着语音邮件业务的迅速发展,运营商必须投入大量精力和资源用以管理控制骚扰、恶意、反动、诈骗等网络活动;
* ? 由于基础设施层面的PKI/KMI建设不足,可能会造成运营商侧的网元设备被渗透入侵,导致用户的通话被跟踪、劫持、记录等;
* ? …
考虑到这些附加的安全威胁,单纯从操作系统角度进行安全防护是不够的,必须重新看待并研究下一代电信网的安全威胁,加强业务网络自身的安全防护,充分利用并发展基础设施和业务网络中设计的安全机制。这样,基于分组的下一代电信网才能更为健壮的顺利发展。
3. 电信网脆弱性
网络安全威胁和防范一直是电信运营商十分关注的话题。包括ITU-T、IETF、TMForum等在内的许多国际电信组织都开始重新评估以前设计的许多标准、规范、架构等,在所有重要的标准体系中都加入了审慎的安全考虑,以避免出现类似像802.11b出现的WEP漏洞。
附图2. 电信网络中存在的脆弱性类型
参见附图2,ITU-T在其安全手册中明确提出,电信网络中存在的安全脆弱性可以分为下面四类:
* ? 预测未来威胁的困难。技术环境的变化难以预测,例如七号信令系统设计上的运行环境是有专业维护的隔离网络,没有设计认证、加密、反重发、抗抵赖等安全手段。现在复杂的网络连接可能会使七号信令系统通过多层潜在通道与外网相联。从而使威胁源得以攻击、甚至控制信令系统。
* ? 设计和规范型弱点。协议设计中的错误或疏忽使其天生脆弱。例如IEEE802.11b中出现的WEP漏洞直接动摇了运营商对于该标准服务的信心。
* ? 实现型弱点。大部分的安全脆弱性来源于此。电信设备厂商、集成商和运营商的软件中心在开发和实现过程中不可避免地会出现各种缺陷和漏洞,这些脆弱性有可能会被各种威胁源利用。
* ? 运行和配置型弱点。由于配置不当,导致网元或网元之间的通信不符合安全策略的要求。例如SIP服务器和软终端之间没有建立认证和加密机制,导致呼叫被假冒和窃听等。
其中第一类和第二类可以通过国际标准组织的努力逐步减小;第三类弱点需要依赖电信设备(硬件、软件)供应商和集成商提高系统开发和项目实施过程中的安全风险管理;第四类弱点则需要运营商自身的运行维护部门加强安全风险管理水平,从策略、组织、技术和运营等四个方面建设并逐步完善安全管理体系。
4. ITU-T安全框架
针对前面提出的电信网威胁和安全脆弱性,加强其设计、建设和运行过程中的安全保护,ITU-T在其建议书X.805中定义了分布式应用实现端到端安全的体系和尺度的框架,如附图所示。这是一个通用的框架,其基本的原则及定义适用于所用电信网络和应用。
附图3. ITU-T电信网络安全框架
ITU-T定义的安全框架由平面轴、层次轴、维度轴组成。其中的平面轴主要阐述网络中实施的活动的安全,它包括管理、控制和最终用户等三个平面;层次轴主要阐述对构成端到端网络的网络元素和系统的要求,它包括基础设施、业务和应用三个层次;维度轴包括访问控制、认证、不可否认、数据保密性、通信安全、数据完整性、可用性和隐私等八个安全维度,主要定义由平面和层次构成的3×3矩阵中的每个单元中适合的安全防治措施。
管理平面关注运行、管理、维护和提供服务(OAM&P)活动, 如向某个用户或网络提供服务。控制层面与独立于网络所用的媒介和技术的端到端通信的建立(和修改)方面的信令有关。最终用户平面讨论用户访问和使用网络的安全,也包括保护用户数据流。
基础设施层包括网络传输设施和单独的网络元素。属于基础设施层的组件的例子有路由器、交换机和服务器以及其间的通信链路。服务层讨论提供给用户的网络服务的安全。这些服务从基础连接性服务(例如租用线服务)延伸到增值服务(例如即时消息)。应用层讨论用户使用的基于网络的应用的要求。这些应用可能很简单(例如电子邮件),也有可能很复杂,如用于海关运行的电子海关系统、大型物流系统、运营级的远程视频业务等。定义这些层的好处之一是在不同应用提供端到端安全时允许重复使用。每一层的弱点不同,因此针对性措施也根据每层需求来定义。
5. 综述
本文简要分析了下一代电信网在分组化过程中,不得不面临的新的安全威胁,这些威胁给用户与运营商带来的新问题。分析了电信网存在的典型安全脆弱性,并介绍了ITU-T在其安全手册中提出的多轴安全框架。
安全性是业界对基于分组的下一代电信网技术的最为担忧的问题之一。只有很好地解决面临的安全威胁,IP技术才能顺利地担负起电信网的核心业务。这需要学术界、设备厂商、运营商、集成商、咨询服务商等共同的努力。限于作者学识,文中不足之处,欢迎批评指正。
这篇文章写于2004-8-29,发表于中国计算机用户,尝试将ITIL/ITSM与安全结合在一起,与系统生命周期建立安全综合保障体系。网络链接: http://media.ccidnet.com/media/ccu/626/03301.htm
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1.电信业面临的机遇和挑战
中国电信业的竞争日趋激烈,上市后股东和公众对于中国电信企业管理层的压力也与日俱增。管理层的关注点与几年前相比出现了明显的变化,从用户数为中心的粗放式经营转向关心每用户营收、每用户成本、营运利润、产品服务利润等精细化的经营,也更加关注业务发展的成本。
新技术和新政策给电信市场的发展带来了更多的不确定性,也促使领导企业和潜力企业的管理层来研究这些新技术、新政策背后为企业带来的机遇和挑战。例如一号通(700号业务)和当前的“携号转网(NP)”、“双模”手机等,对中国移动、中国联通和中国电信、中国网通四家主要运营商的决策者带来了很多的思考。依靠传统的号码、地域、资费等都不能稳定地保持住客户资源时,“保障”这个词背后的含义也就更加丰富了。
收入保障、客户保障、IT服务保障、安全保障等越来越成为电信企业控制企业风险、保证长期稳定的股东回报的重要手段。收入保障的宗旨是防止话费流失与欺诈,保证计费数据准确;客户保障的宗旨是防止客户流失,保持客户满意度。它们无疑是企业保持市场竞争的关键要素。
近几年来,一方面,电信企业通过建立业务数据模型、流程模型和重组、建立统一客户资料库、建设数据仓库和主题分析等来深层发掘分析企业的业务发展、运营过程中的多种发展的动力因素;另一方面,通过规划企业自身的IT战略发展路线和战略(ITSP)、建设信息基础设施的保障体系来提基础设施的效率,控制企业的安全风险。这些都是建设IT保障体系的重要步骤。
IT保障体系由IT服务保障和安全保障两个层面构成的,参见附图一,是电信企业整体“保障”体系中至关重要的环节,是企业竞争的重要因素,不仅仅是保护企业核心业务高质量的交付、信息资产不受外部攻击的威胁,更重要地是良好有效地保障体系可以帮助建立起股东和公众的信心,保障企业的市场核心竞争力。
本文后面部分将讨论电信企业的IT综合保障体系的意义和建设路线。
2.建设IT保障体系
如下图所示,电信企业越来越多需要依靠IT系统,不仅仅是向客户交付业务所需的网络管理维护系统,并且还有大规模的客户服务、帐务、市场分析、ERP等企业支撑系统。对这些关键应用的“保障”需要首先保障这些应用的底层,也就是承载这些关键应用的各种IT系统,保障这些大量的软件、硬件、中间件、安全设备、网络设备等构成的基础设施。
经过多年的建设,目前,电信网络中已经部署过大量的网管和网络安全产品。应该说,这些产品都不同程度地提高了网络的运行和交付能力,以及安全防护能力。但是,这些还不是“保障”体系。
我们说,电信级网络是超复杂系统,是因为电信网络往往规模庞大、系统复杂,其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。即使是其中的安全防护子系统也是由多种、来源于多个供货商的设备构成。它们通常在架构、协议、通信、操作等许多方面都存在相当大的差异性。这种差异性又进一步加大了系统的复杂度。
如何为这样一个超复杂的系统建设保障体系?这里,我们借用一个管理学上的假设:“高质量”的过程带来“高质量”的结果。针对超复杂的电信IT系统,加强其中某个网元或者模块,对整体系统的服务质量和安全水平,提高是有限的。更有效的做法是,以最终交付的服务为龙头,清理出核心的流程(过程),将关注点和资源、精力放到流程优化,以及端到端的流程服务质量(QoS)上。例如:
? 故障的集中管理和根源分析
? 配置和变更管理
? 新业务系统的开发和上线
? 访问关系的建立和变更
? 预警信息的批准和发布
? 系统补丁的收集、测试、批准、发布和分发
? 等等
基于上述关键流程,来整合IT服务和安全管理、建设企业总控中心(ECC)和安全管理中心(SCC/SOC)等就有了明确的目标和坚实的基础。
3.系统开发生命周期保障
IT保障体系为电信企业的关键应用提供了安全、高效的基础平台,但是如何保障关键应用自身的安全稳定运行呢?在这一点上业界是走过许多弯路的,也付出了许多很惨重的代价。如图1所示,电信企业的关键应用越来越复杂,业界提出了很多这方面的框架、最佳实践和规范来指导关键应用的开发,例如eTOM是电信业务过程方面的权威指导,提出了在产品生命周期和交付、保障和计费等不同阶段的关键过程。而对于这些关键应用和系统本身的开发,则需要参照系统开发生命周期(SDLC)方面的最佳实践,请参见图2。该图取自TMF的eTOM文档,ITIL和eTOM的结合将是电信企业建设关键应用系统的生命周期保障的最佳参照框架。
这里的关键应用包含两层含义,其一是应用本身;其二是包含了整体的软件、硬件等的应用系统。前者需要重点参考软件工程实践,相对成熟,对于电信企业来说,需要加强的是关于数据模型管理、接口管理、变更和配置管理等方面;后者则需要参照SDLC,对于供应商、对于需求、对于体系架构等都有较好的风险控制,并且与ITIL指导的IT服务管理形成闭环,逐步提高运行质量和服务水平。
作为后者的一个例子,相对不够成熟的安全保障系统的建设,就应该充分借鉴电信企业在BOSS/ITSM等大型应用系统建设方面的经验教训,从开始就考虑开放性、集成性和可管理性,并且注重生命周期的管理,与IT保障体系在架构上互相兼容,在数据模型、界面、事件等各种层面可以互相通信、融合。这些都是从 SDLC角度,来提高电信企业IT保障水平的重要内容。
4.运行维护保障体系
前面分别从IT服务管理、安全管理以及生命周期管理等三个方面讨论了电信企业IT保障体系的建设。当前国内的电信企业通常有三个相对独立的IT系统:网络部、计费中心、企业信息化,它们的运行维护也相对独立。在每一个IT系统内都需要“集成”在一起,来考虑三个方面的保障措施和机制。“集成”过程中运行维护保障机制将会成为挑战。
通常情况下,运行维护人员是按照业务进行分工的,参见图3,每个维护人员或小组,负责管理某项或某几项业务的应用、系统、网络等各个层面。当业务或应用增加时,管理者面临的挑战是或者增加人手,或者与原来的某项业务合并管理。这种管理机制的问题是明显的,即可扩展性不好,运行维护人员不容易“专注”。
另外的一种选择是,设立IT支撑小组负责网络和系统管理,设立安全小组,负责安全管理,共同为业务小组提供支撑。当增加新业务或应用时,IT支撑小组和安全小组都可以较容易的扩展覆盖,业务小组因为摆脱了底层支持的重复性内容,可以更加专注,所以也可以管理更多的业务。应该说,后者在前者上面有了提高,更加灵活,具有更好的可扩展性。
但是,层次化分工也会带来新的问题,IT系统的客户关心的是最终的交付质量,并不关心内部的层次化分工。当出现服务故障或问题时,从应用层到系统、网络层、再到安全管理层,解决故障后再逐次返回到应用层,消除客户问题。如何控制这个“时间延迟”?前面讨论到的SDLC可以帮助实现不同层面的通信和共享,从而加速响应过程。但是更根本的保障措施是“流程整合”背景下的重组,即在SDLC提供的通信和共享机制下,将IT管理、安全管理和业务管理的流程对接起来,对端到端的流程质量进行跟踪,并且从组织上、绩效考核上得以体现。
5. 电信IT综合保障体系
综上所述,IT服务管理、安全管理、生命周期管理、运行维护管理是电信IT综合保障体系的四个方面,它们从不同的角度、不同的层面来保障电信企业的核心业务的最终交付质量和效率。
关键业务的服务质量是电信企业的生命线,如何保障超复杂的电信网络的服务质量也是超复杂的挑战性问题。本文试图从四个不同的角度来探讨建立电信企业的综合保障体系的方法和途径,其中欠缺不足之处,希望得到业界专家的指教。
赵 粮(冠群电脑有限公司)
裘晓峰(北京邮电大学)
2004-4-29
1 从风险评估到风险管理
网络安全体系的目的是保障关键信息设施的资产和服务,提供适度的安全保护,即根据每种(个)信息资产(Asset)的价值、面临的威胁(Threat)和安全风险(Risk)来确定相应的安全防护措施和力度,做到“重点防护”、“适度安全”。要做到这一点,风险评估是一个重要环节。
风险评估作为成型的技术已经有数年的历史了,同时,风险评估也是安全专业服务中最为成熟的一个内容之一。近年来,国内的知名企业、机构几乎都开展、购买了专业的安全风险评估服务。风险评估的目的是帮助识别信息设施中的资产,分析判断其价值、存在的脆弱性和面临的安全威胁,从而获得该资产或资产组的安全风险情况,继而可以采取针对性的安全防护措施,提高安全体系的投资效率。
我们知道,风险评估本身不是目的,最终的目的是消除风险、控制风险,在保证投入回报的前提下管理安全风险。一般来说,风险评估是风险管理活动的基础,帮助建立起风险管理的基线。定期的评估活动可以用来审计和考核安全风险管理的效果和效率。本文尝试着讨论建设实时的风险管理体系的可行性,提出一种实用模型。
2安全风险
安全风险具有非常广泛的含义,本文中使用较为通用的风险模型:安全风险由资产价值、脆弱性和威胁来决定:
Risk(t) = R(A,T,V,t)
其中,t代表某个时刻,A代表该资产的价值,T代表该资产面临的威胁,V代表该资产存在的脆弱性(安全漏洞), ?表示对风险管理范围下的资产求和,R代表某种函数关系。通常,在常见的半定量评估过程中,该函数有时采用简单的乘积来计算。
资产价值
信息资产以多种形式存在,无形的、有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。它们分别具有不同的价值属性和存在特点,存在的脆弱性、面临的威胁、需要进行的安全保护和安全控制都各不相同。若干具有很强的内在业务关联和依赖关系的资产可以构成一个资产组。
信息资产具有不同的安全属性,包括机密性、完整性、可用性、可控性和不可否认性,分别反映了信息资产在5个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察5种不同的安全属性,可以得出一个能够基本定性地反映资产价值的数值。确定信息资产以及数值的过程称为信息资产的识别和赋值。
实时的风险管理体系需要建立起能够实时发现并监视资产变化和状态的机制,并且能够反映该资产的价值变化。
安全威胁和漏洞
安全威胁是对信息资产引起不期望事件而造成损害的潜在可能性。威胁可能源于对信息资产直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性、可用性、可控性或不可否认性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。通常,收集分析安全事件是获取并计算威胁的主要方式之一。
弱点和资产紧密相连,它可能被威胁(威胁的定义参见威胁一章)利用、引起资产损失或伤害。值得注意的是,弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁方利用而造成资产损失。通常,网络脆弱性扫描、主机和应用的安全审计是获取计算弱点的主要方式。
实时的风险管理体系需要具备实时收集威胁信息和脆弱性信息的能力,并且能够与信息资产相关关联,进行有效性分析。
安全风险
在实时的获取资产、威胁和漏洞的信息基础上,可以计算风险的实时变化:
资产的变化可能来源于新资产的出现,也可能是承载的业务发生的变化。威胁的变化可能是新的安全事件的出现和解决。脆弱性的增加则主要体现在新的脆弱性,而脆弱性的降低主要通过相关的补丁,或者配置策略等的改变或优化。
可以看到,在信息资产保持相对稳定的情况下,降低安全风险的手段主要有两种:其一是通过强化安全策略,减小出现安全事件的机会,并且在出现安全事件的时候,能够及时的发现、定位和分析,消除事件,震慑威胁方;其二是通过及时有效的补丁和安全配置,减少甚至消除资产存在的脆弱性。
3 基于安全总控中心的实时安全风险管理体系
安全总控中心(或称为安全管理中心)是近期非常引人关注的话题。其特点是高度的集成性和自动化,大大减小从发现新的安全风险到完成弥补(风险消除)之间的时间窗口,帮助在与威胁方的时间赛跑中获胜。
安全总控中心的典型结构如下图所示,其关键组件和技术包括:
? 信息资产库及实时资产发现能力
? 实时更新的安全漏洞库和补丁库,预警能力
? 各种安全事件的收集和相关处理,解决安全信息过载问题
? 安全事件与信息资产、安全漏洞的相互关联
? 基于安全知识库的工单和流程管理系统
? 安全补丁的收集、测试和发布等
下图用三个实际场景来介绍基于安全总控中心而构成的实时安全风险管理体系:
通过前面的分析,在安全风险管理活动中,有三种重要的风险“异动”:其一是发生新的安全事件,预示着潜在的安全威胁的变动;其二是新的安全脆弱性(安全漏洞)的出现;其三是新的信息资产上线。下面分别来考察安全总控中心如何来实时处理这三种场景。
新的安全事件
大量的安全事件涌现标志着某种威胁方的活跃。在当前普通的安全体系中,安全管理员很容易被多种安全产品产生的海量安全事件所淹没,没有办法从安全事件中获取背后隐含的安全威胁。而安全总控中心的事件处理模块正是具备了收集、过滤、合并、相关处理海量的、跨产品、跨系统的安全事件的能力。
经过安全总控中心的事件处理,具有高优先级的事件会通过声光、控制台、短信邮件等方式进行集中告警。按照可以配置的既定安全策略,在需要时,安全总控中心会查询内置的资产库以及相应的漏洞库和补丁库,获得事件相关的资产信息,以及相关的漏洞、补丁信息。在获得了相应的资产信息和补丁信息后,总控中心会按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于不能简洁立即处理的告警,将发出工单,呼唤专家介入,进入服务台系统和问题管理流程。
新的安全漏洞
通过实时升级的安全漏洞知识库,获得了最新的安全漏洞信息后,与最新的安全资产库进行相关匹配,如果适用,存在受影响的资产,则查询相关的最新补丁,并且按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于尚没有补丁、却具有高优先级的安全漏洞,发出工单,呼唤专家介入,寻找临时解决方案(Workaround)来处理。
新的资产
某新信息设备上线投入运行,这时,资产自动发现模块发现了这一新的资产,立刻匹配安全漏洞知识库,查看是否具有尚未处理的安全漏洞。如果存在则激活补丁管理模块,进行补丁分发。或者发出工单,呼唤专家介入,对该新资产进行安全加固。
上述三个过程基于策略和规则来自动完成,将发现风险“异动”、产生告警到响应弥补之间的时间窗口减小到最小,将整个过程的人工干预减到最小,大幅节省管理员和主管的精力,使他们可以有时间进行体系规划、策略优化、问题攻关等。
4 综述
层出不穷的安全漏洞和海量的安全事件是当前安全风险管理活动中最具有挑战性的两个领域。如何提高安全风险管理的实时性,减小关键资产面临的脆弱时间窗口是两个重要的课题。安全总控中心提供了大范围的各种主流的第三方安全产品的覆盖,不但包括事件级的集成,还包括多数国际主流安全产品的策略和配置级集成。同时,具备内置的资产发现模块、实时升级的漏洞库和补丁库、安全工单和流程管理系统,能够提供强大的风险控制和管理能力。
本文提出了一种实现实时的安全风险管理的模型和架构,针对典型的安全风险“异动”,从资产、威胁、脆弱性三个方面计算相应的安全风险变化,基于策略的进行实时响应,最大限度地提高安全防御体系的效果和效率。
这篇文章写于2004-2-23发表在中国计算机报。讨论了安全补丁的管理成本、打补丁的时机以及建立补丁管理系统的建议。
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
进入到当前的互联网年代,几乎每天都有新的软件缺陷、漏洞被发现,同时伴随着相应的补丁或者临时解决办法。软件的缺陷或漏洞随时都可能会造成系统崩溃或者入侵。但是大量的漏洞和补丁安装需要占用大量的资源,或许还需要系统重起,降低运行服务方面的数字,另外仓促推出的补丁也未必就是安全的,或许还会引入稳定性、性能方面的隐患。两者相权,如何取舍?不管怎样,补丁和漏洞管理不仅仅是安全管理员的事情,而已经成为整个IT部门运行的关注焦点。本文希望和大家讨论并共享在补丁以及漏洞管理方面的若干思路和经验教训。
数字与难题
先来看一组数字。根据Meta Group的报道,2002年总共发表了4192个漏洞,同时按照一个实际的统计,系统管理员总工花费了1920个工时,来将4个补丁全部打到120台服务器上,即在一个服务器上面打一个补丁的时间大概为4小时,包括备份安装测试等环节。假设系统管理员有很好的技能训练,可以在20分钟内阅读研究完一个漏洞及其补丁(解决方案),那么4192个漏洞总工需要172个人天,再假设其中只有10%的漏洞适用于自己的网络环境,这样413个漏洞,每个相应的补丁布署在10台服务器上,这样共需要2065个人天(即同样配置的服务器数量为10个左右)。我们可以看到,这两个人天数字加在一起,差不多是10个全职的安全管理员,这里还没有考虑对厂家发表的补丁进行的测试和验证过程,也没有考虑打补丁失败造成的二次资源消耗。可以看到,补丁和漏洞的管理已经成为一个很大的资源漏斗,占用大量的系统管理员资源。
管理者对这些系统和安全隐患不能视而不见,但是,这样巨大的资源消耗也承受不起,必须找到更加有效的解决途径,这些解决途径包括以下措施:
? 引入知识共享或者外部知识库(专业服务),减少漏洞和补丁学习过程消耗
? 建立有效的补丁管理流程和备份回卷计划
? 引入自动化的补丁和漏洞管理工具,加速布署过程
打还是不打?
考虑到上面的数字,我们看到,“补丁”绝对不是免费的,而是很昂贵的。这个成本中包括收集、了解、测试、布署、备份恢复,以及风险成本。但是,“不打”的成本是数据失密、丢失、窜改、拒绝服务、系统恢复,以及其它无形损失等。简而化之,下面的成本不等式成立的时候,就是可以“打补丁”的时机:
布署成本+补丁失败概率×失败成本 <= 攻击入侵概率 × 攻击入侵成本
通常使用三个数字来描述一个漏洞的安全风险特性:I(影响度,即攻击入侵成本)、P(流行度,即多大范围内传播了该漏洞)、S(简易度,即利用该漏洞的难易)。后两者的乘积(P×S)大约可以反映该漏洞导致攻击入侵的概率。这样,不等式的右边I×P×S代表的是该漏洞对应的“不打补丁”成本,本质上反映的是补丁管理决定的防御强度(是否可以承受),参照下面的示意图。
图:从风险管理角度看补丁管理
在曲线的最高点,按照100%安全的要求,即使是IPS乘积为0的补丁(即风险极小)也必须完全布署。这时的代价极高,通常不符合安全风险管理的投资回报原则。
从上面的不等式,我们可以看出,左面的布署成本和补丁失败成本决定了“合算”的IPS强度。如果我们将布署成本降下来,通过测试将补丁失败的几率降下来,则可以在保证投资回报的前提下,将补丁引起的损失和成本降到最低,就可以提高IPS决定的防御强度。
早打还是晚打?
通常认为,对于发现的漏洞和补丁应该尽快安装布署。但是,按照美国USENIX组织发表的一个针对CVE漏洞和补丁的研究数字,大概有18%左右的补丁后来进行了重新发布,即出现了补丁的补丁,也即意味着在第一时间安装上的补丁,有18%的可能会带来新的缺陷或安全漏洞。随着时间的推移,补丁本身的安全性和稳定性会上升,由此造成的损失风险相应降低。
参加下图,我们必须在早打带来的补丁失败风险与晚打带来的入侵攻击风险之间进行平衡,选择较好的时机。从对实际CVE漏洞和补丁的研究来看,新发表的“补丁”大概需要2周到4周左右的时间稳定下来,换句话说,在“补丁”发表后两周,考虑尽快布署可能是较为稳妥的时间。如果不满足这样的时间延迟,则需要自己建立更强大快速的安全实验室,专门来研究测试“补丁”。将大规模布署“补丁”的时间延迟提高到1周以内。
图:打补丁的时机
自动化
从前面的不等式我们看出,降低布署成本、减小补丁失败成本,可以提高“补丁管理”决定的安全防御强度。
降低布署成本的有效办法就是“自动化”,建立覆盖全网的自动化补丁知识库和管理系统,集中收集、建立、分发“补丁”包。这样的自动化系统可以带来下面所列的明显收益:
* 将整个补丁分发过程的时间窗口减小到极低
* 将每服务器/每补丁数小时的“工时”成本降到很低 -分发安装费用降到接近0,只剩下制作软件分发包、检查测试补丁安装结果的“工时”成本
* 保证全网在补丁配置管理方面的一致性
另外,减小补丁失败成本的办法是对补丁进行有效测试,具体做法可以是购买专业厂家的服务,也可以建立自己的安全实验室。这样的投资对于分布式的大企业来说,具有非常高的投资回报率。
流程
补丁本身的特点注定补丁管理不可能有很好的预见性,但是作为管理者,在流程和手段上,却不能不预见到补丁管理的特性和意义,及其实施中的具体问题。所有的补丁分发与管理工具只是帮助加速或者自动化相应的策略和过程,提高效率和质量而已,但是不可能改变逻辑。如果补丁管理流程本身是混乱的,那么自动化的后果也肯定是混乱。
补丁管理相关策略和流程的设计需要充分考虑以下相关的重要流程环节:
? 企业的安全策略:漏洞或者缺陷是对安全的威胁,安全策略应该覆盖针对漏洞和补丁的相应策略;补丁和漏洞管理流程则应该与上述策略相适应。
? 变更和发布管理:补丁的制作、测试、批准和布署应该纳入标准的变更和发布流程。如果当前尚没有完整的变更和发布流程,则在补丁管理流程中应该明确定义补丁的优先级或者分类、制作、测试、批准和布署以及验证等相关职位、职责和时间。
? 配置管理:按照ITIL的最佳实践,完整一致的中心配置管理数据库(CMDB)是保持高水平IT服务管理的保障。定义补丁和漏洞相关的配置管理条目,并通过流程保证及时正确的更新。
? 资产管理:如果已经具备了资产管理体系和流程,补丁和漏洞应该与具体的资产和相关业务优先级对应起来,正确设计不同关键性资产的特定流程。
? 备份恢复和业务连续性管理:补丁布署的前后都会与企业的备份恢复以及业务连续性管理有关,需要充分参考、在必要时修改更新备份恢复和业务连续性计划。
? 紧急响应:所有的补丁管理流程必须设计相应的紧急响应流程。从前面的数字,我们知道,即使是官方正式发表的补丁,也有相当的概率会出现自身新的缺陷或漏洞。并且与企业系统的应用关联在一起,补丁的漏洞是绝对不可忽略的。流程中必须保证这样的恢复和紧急响应环节。
管理层应该综合考虑相关的各个方面,充分借鉴在IT服务管理或者ITIL方面的实践经验,或者借助于外部的专业服务,设计与整体IT基础设施管理系统相匹配的补丁管理策略和操作流程。
在应用前面的自动化补丁管理系统之前,应该充分调查研究具体的IT环境和整个补丁生命周期的各种问题,设计较为周密的补丁管理策略和流程,至少应该明确定义补丁管理的使用范围、补丁优先级、补丁分发包的制作和测试、批准与分发安装、安装后测试、备份恢复计划等。
综述
补丁管理是当前IT系统管理中越来越繁杂的内容。补丁全部不打,安全风险太大;什么样的补丁都打,一方面成本很高,另外补丁本身带来的风险也不可忽略。本文建议通过漏洞的影响度、流行度、简易度乘积(IPS)与资产联系起来判断该漏洞的安全风险,设定阈值。一般情况下,留出2周左右的测试时间,尤其是对于电信、银行等关键性应用场合。布署自动化的补丁管理工具可以大幅减小漏洞收集和补丁布署成本,从而在相同投入情况下,提高补丁管理带来的安全强度。补丁管理必须建立相应的流程,该流程应充分参考借鉴ITIL的最佳实践,融入到整体的IT基础设施管理体系中去。
发表于通信世界,总结了安全管理中心建设过程中的一些心得。
URL= http://www.cww.net.cn/Industry/Article.asp?id=10723
赵 粮
博士,冠群电脑(中国)有限公司
2004-2-18
网络安全正在受到越来越高的关注,其中一个最为热烈的话题就是安全管理中心的建设。安全管理中心(SOC),或者叫作安全总控中心(SCC),通过一个中央管理平台,收集整合来自各种各样安全产品的大量数据,并且从海量数据中提取用户关心的数据,呈现给用户,帮助用户对这些数据进行关联性分析和优先级分析。除此之外,安全管理中心还能够提供相当程度的集中“控制”和“管理”能力,可以帮助提供实时、准实时的安全风险管理能力。
目前,国内外的多家安全公司都提出了安全管理中心的产品或解决方案,移动、电信、联通等多家运营商都正在酝酿该方向的建设项目,几家省公司已经成为先行者。笔者有幸从开始酝酿、设计、建设等整个环节负责、参与了若干个安全管理中心项目,希望将自己的一些体会和经验教训与大家分享。前面已有一篇讨论基于安全管理中心的实时安全体系的讨论,本文从容易出现的九个错误的角度来讨论安全管理中心的建设。
1 错误或者失衡的资源分配和投资比例。
[separator]
我们知道,在绝大多数情况下,安全建设本身不是目的,而是为了保护企业的核心业务和资产。这样从投资的角度讲,投资回报率是必须考虑的。对于一个典型的网络管理中心(NOC)或者计费中心来讲,大约有数十台设备,主要包括各种层面的服务器和工作站,以及存储系统。而经过历次的安全建设和采购后,我们经常可以发现,中心连同分布在各地的防火墙、入侵检测、反病毒,它们的管理器和数据库等,在数量上也达到了数十个,与业务系统的规模相差不大,甚至数量上还可能会超出。虽然单个安全设备的维护工作量比高端服务器要低一些,但是总体上的保护体系和被保护的资产在维护资源上的投入失去了适当的比例。该现象的另外一个表现是大部分省公司、甚至总部还没有专门的安全管理员,IT系统的管理员兼职来维护管理安全设备,再没有足够精力的情况下,安全管理维护方面会被简化、忽略调,不能充分发挥安全投资的效率,间接地降低了安全体系的效果。
另外,可以认为,安全体系由两大类组件组成,其一是功能组件,例如访问控制、身份和认证管理、入侵检测、反病毒等,其二是管理性组件,事件收集和展现、知识管理、工单管理等。管理性组件的目的是提升功能组件的效率,减小相应的管理员人工成本。这个比例在典型安全体系设计中,国际上的比例大概是在10- 30%左右,换句话说,应该注意管理与功能投入上面的平衡。
通过上面的分析,我们知道,过多的功能性组件会导致管理成本过高,管理不利,效果不好;而过多的管理组件投入,又容易功能覆盖不到位,管理组件成为空中楼阁,无源之水。
2 错误的架构、不匹配的组织。
准确地讲,安全管理中心并不只仅仅是某个产品,或者某些产品的集成,它还是一种安全管理形式,需要相应的企业管理组织来负责运营,技术架构和组织架构再设计伊始必须互相匹配,运行的效率才有可能达到令人满意的程度。所以,在总部或者某个省电信公司考虑设计安全管理中心时必须考虑到自己当前的IT管理结构、预期的改变、安全管理的模式。首先在组织结构方面达成共识,再来考虑技术架构,考虑产品的可扩展性,未来是否可以平滑过渡,适应未来的组织结构改变。如下图所示,对于当前的几个主要电信公司来说,都是两级管理体制,省一级实现了集中管理。值得注意的是,安全管理中心并不必然地导向一个对立运作的实体,它可以和网络管理中心合署办公,也可以与企业信息化部或者IT部门合为一体,这依赖于建设需求方管理层参与设计,在建设和运营路线最终达成一致的思路。关键的一点是在开始规划选型时,考虑好以后的接口和平滑过渡,才可以更好地保护投资。
图:安全管理中心架构示意图
3 认为SOC的建设主要是产品安装,对建设中项目风险认识不足。
安全管理中心需要对以前存在的、现在建设中的、甚至规划中可能出现的安全产品进行管理,对多种多样的应用和设备进行事件审计和策略配置,另外,每个建设方对安全管理中心的功能定义也会进行增减,所以,建设过程中往往会涉及到多个厂家的许多产品(包括安全设备和其它)。另外,各个建设方情况千差万别,通常纯粹的安全管理产品很难很好地满足要求,必然会涉及到大量地定制和开发服务,这些对于项目管理来讲,背后都蕴涵着大量风险。需要很好地评估项目风险,并且通过仔细考察集成商和供货商的资质、质量体系和成功经验,慎重选择。
4 设计建设SOC时设施的特点没有考虑IT基础。
各个总部和省公司的IT系统各不相同,不同拓扑结构、不同的网络业务架构、不同的网管系统、不同的集成商、不同的安全防护水平。从IT服务管理(ITSM)的角度来看,它们具有不同的成熟度。从BS7799角度来看,10个安全领域的重视程度又不同。有些省公司已经建设有成熟的帮助台(Service Desk)和流程管理系统,IT系统网管实现了集中监控和集中的事件管理。SOC和NOC在许多方面有共同的特点,可以分享许多建设运营经验,以及IT组件。并且,在许多情况下,在事件管理、流量监视等方面,SOC和NOC共享的程度越高,安全保护的效果就会越好。
5 定义了不适当的项目目标。
一般来说,参照下图所示,安全管理分为四个层次,或者能力成熟度,越高的层次表示安全管理的成熟度越高,残余的安全风险就越低,但是通常来说,要求的安全投入也会较高。第一层是集中审计,能够对全网范围内的关键安全事件做到集中的、统一的收集和审计;第二层是集中监视,除了事件审计之外,还需要对安全防御体系自身的健康状况进行监视,对威胁情况进行监视;第三层是集中管理,在前面两层的基础上,能够对整体安全体系制定安全策略,集中分发配置,与IT基础设施的管理可以无缝集成,实现良好的实时风险管理;第四层是战略防御,除了自身安全体系的审计、监视和管理之外,强调了网络对抗和取证分析能力,针对性的实时优化安全策略。每个层次有不同的特性和实现手段,对于特定的建设环境来讲,并不一定意味着越高的层次就越好,而是应该量体裁衣,具体问题具体分析。可以在四个层次中选择适合自己的特性来分期建设,分步实现目标,达到最高的投资回报。
图:安全管理成熟度示意图
6 集成商和原厂家的技术支持力度不够。
这个问题应该属于项目风险控制范围之内,单独拿出来的目的是想强调一下:一定要慎重考察注意集成商和所选择产品的原厂家的技术支持力度,特别是本地技术支持力度。因为SOC建设中有大量的定制开发和服务,不可避免地需要频繁、有效地技术支持。很大程度上会影响整个项目的质量效果。
7 对选择SOC产品的可扩展性、健壮性、性能没有透彻的了解。
SOC与NOC建设相似,产品更换替代的成本很高,一般会采取升级、扩容、融合等进行发展,全天候7×24运行,越是遭到攻击、产生大量事件和网络负载的情况下越需要SOC的服务,所以在一开始的产品选择阶段要特别注意可扩展性、健壮性和性能的指标。这里的扩展性指能否层次化布署、能否顺利融合部门级的 SOC、是否可以通过硬件升级来实现更高的系统容量等。健壮性和性能是指在遭到大规模攻击、大量事件冲击的情况下,系统能否正常工作,表现如何?系统是否支持高可用性布署等
8 没有设计好相应的管理和应急流程。
我们已经知道,SOC建设远远不只是产品采购,还有许多定制服务。此外,SOC与NOC一样,需要相应的管理和应急处理流程,这些流程制度是整体安全策略的组成部分,应该纳入严格的配置和变更管理之下,并且做好相应的宣传和培训,定期进行演练,使得每个角色和相关人员都明白自己的责任和相关流程。管理和应急流程应该尽可能多地依靠自动化手段实现,并带有质量保证措施和考核措施。在流程设计和建设上面,可以参考ITSM中成熟的服务台技术和产品,充分结合 NOC的流程制度。
9 认为SOC建设完、验收结束就大功告成。
SOC是一种统一集中管理形式,是安全风险管理的最高级形式-实时风险管理。它的建设验收只是实现了第一步。接下来还需要及时地维持并更新、升级知识库(资产库、漏洞库、补丁库等),经常性的优化安全策略,演练应急流程的有效性,审计安全制度的执行落实情况。
安全管理中心是继网络管理中心(NOC)后的又一类引人注目的管理系统,它综合了许多国际标准、安全模型、IT管理技术,属于安全领域的新生事物,无疑需要众多从业者的关注和研究实践,分享SOC发展过程中的经验和教训,更好地指导后面的建设。本文希望能够抛砖引玉,以期获得更多的宝贵讨论。
发表于通信世界,讨论安全管理中心运行过程中流程设计,引入了ITIL
URL= http://www.cww.net.cn/Technique/Article.asp?id=10474
赵 粮
2003-12-26
1 安全事件升级流程
我们已经知道,安全管理中心(SOC),或者说安全总控中心(SCC),是一种安全集中管理的形式,它包含远端安全设备(事件发生)、安全事件收集、事件分析、状态监视、展现报表等重要组件。除技术之外,SOC还有一个重要组成部分就是运行人员、应急小组和专家队伍。所以,SOC与网络管理中心(NOC)一样,需要相应的管理制度和应急处理流程,在应急处理流程中还应该包括明确的事件升级(Escalation)制度。应急处理的每个环节应该定义明确的最大延迟时间,在最大延迟时间内采取有效处理措施。在超过最大延迟时间还没有采取相应措施的情况下,应该立即进行事件升级,进入到更高级别处理。
[separator]
这些制度和流程是整体安全策略的组成部分,应该纳入严格的配置和变更管理之下,并且做好相应的宣传和培训,定期进行演练,使得每个角色和相关人员都明白自己的责任和相关流程。管理和应急流程应该尽可能多地依靠自动化手段实现,并带有质量保证措施和考核措施。
安全事件处理流程的设计是SOC建设的一个重要环节。本文尝试着讨论适用于电信企业的安全事件升级流程的一般内容和形式。
2 安全流程与ITIL
虽然典型类企业在IT系统的结构组织、设备类型、安全风险等方面有许多共同特点,但是各个总部和省公司的IT系统依然有许多不同之处,不同拓扑结构、不同的网络业务架构、不同的网管系统、不同的集成商、不同的安全防护水平。另外,除了上面这些“硬”环境,从IT管理的国际最佳实践库 - IT基础设施库(ITIL)的角度来看,它们还具有不同的能力成熟度。有些省公司已经建设有成熟的帮助台(Service Desk)和流程管理系统,有些系统网管还建立了较为先进的NOC,实现了集中监控和集中的事件管理,而有些电信公司的流程系统和集中监控系统还正在建设或者规划中。
根本上说,SOC的应急处理流程和NOC的原理是共同的,在最高效率处理紧急事件的同时,尽可能少的使用资源,最大限度地发挥各种资源的优势。所以,我们可以分享NOC的许多建设运营经验,以及IT组件。甚至可以说,在事件管理、流量监视等方面,SOC和NOC信息共享的程度越高,安全保护的效果就会越好。
ITIL是当前最为流行、最有权威性的IT管理“标准”。作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化。这种转化具体体现为,ITIL非常强调各服务管理流程与组织业务的整合,以组织业务和客户的需求为出发点来进行IT服务的管理。
下面我们参考IT基础架构库(ITIL)中较为成熟的服务台、事件处理和问题处理最佳实践,并结合NOC运行中的流程制度,设计的一个较为典型的安全应急处理流程框架。
3 安全管理中心的流程设计
从处理方法上来看,安全事件可以分为两种,一是曾经发生过,并且明确知道原因、后果和处理办法的;一种是没有明确的书面记载(问题管理的知识库),没有立即解决办法的。前者可以在网络运行值班层面予以解决,后者则需要按照事件优先级引入临时解决方案,同时进入问题处理流程;在问题处理过程中,安全专家发现了问题的根源,找到了解决方案,则将其进入知识库,同时在适当时机进行发布,更新或者修改安全策略或者配置。
同时,我们知道,事件升级由两种形式,一种是技能性的,平行的,例如普通运行值班人员,到后台技术支持,再到专家队伍,最后到研发实验室等;另一种是管理性的,垂直的,例如运行值班人员,到值班主任,再到负责运维的副总经理,甚至到公司的老总。在事件处理的升级制度中,应该明确定义上述两种事件升级的条件、角色责任、处理方式等,并与工单流程的定义保持一致,保持及时更新。
考察电信企业的实际情况,除SOC所隶属的行政汇报线(垂直升级路线)外,在技能性方面,建议设置三级安全事件响应体系,第一级是安全运行值班人员,可以是网运中心值班人员兼任,负责7×24小时的安全事件监视,按照安全事件的处理手册和知识库处理已知的安全告警事件;第二级是安全应急技术小组,由企业内部安全专家和网络专家组成,负责对第一级发现提交的不明事件(或问题)进行分析判断,完成绝大多数安全事件的处理,对不能及时找到彻底解决方案,需要在将该问题提交第三级以外,还必须及时提出临时解决方案。负责撰写安全问题处理指南,用以指导第一线值班人员的工作;第三级是集团一级的安全实验室和专家小组,负责针对重大安全隐患和网络攻击进行会诊和复现,具备相当的网络对抗能力。同时负责撰写安全问题分析报告,提交安全策略和配置的变更建议。流程框架示意图如下图:
在必要时在第三级可以引入专业安全服务公司的资源。考虑到电信企业信息资产和业务的关键性,笔者不建议在第一级和第二级引入外部资源,而应该自足自我,从集团到省公司一级都能够培养至少2名安全专家。保证可以做到依靠自己的力量可以提出安全建设的需求和规划、总结安全事件和安全问题的处理经验,优化安全策略,能够处理大多数的安全事件。
工单产生后,进入第二级安全技术专家处理的同时,工单系统会通知SOC的运行主任。第二级经过深入分析,根据对业务的影响成都,判定优先级。在规定时间内,没有发现有效解决方案,必须提出临时解决办法,并通知请示运行主任,批准后,与第一级值班人员一起,实施处理办法。实施完毕后,记录工单处理结果。并在规定时间内,撰写报告,呈送公司负责生产运行的副总经理。
在这种情况下,第二级的安全技术专家应该提交安全问题请求,要求第三级安全实验室和其它支持人员、包括服务提供商和国家、地区的计算机事件紧急响应组织等的支持。第三级的安全实验室应该根据问题的严重程度,对安全问题进行模拟和复现,寻求有效问题根源和解决方案。在完成后,更新安全知识库,并负责对第二级和第一级进行知识转移。第二级在接到工单后,经过研究,及时发现了事件根源和解决方案的情况下,也应该及时更新知识库,并对第一级和第三级进行知识转移。
第二级和第三级的安全专家基于安全事件和问题的分析和处理结果,在必要的情况下,需要按照变更管理的制度和流程,提出对受影响的其它类似系统、甚至整体安全体系的安全配置改变,例如策略修改、打补丁等。并保持安全资产库或者配置管理数据库(CMDB)的更新和一致性。
值得注意的是,在第一级值班人员将安全事件向上一级提交后,并不是转移了该事件的所有者(Owner),这里应该遵守“首问负责制”的原则,全程跟踪该事件的处理状态,知道事件和问题解决。事件和问题的移交是交接班的最为重要的内容之一。
知识库是安全管理中心的重要组成部分,它由典型安全事件处理经验、安全问题分析报告、安全脆弱性数据库和补丁库、以及各种技术和管理专题资料等组成。原则上它可以物理上分布在帮助台系统中、也可以是独立的数据库应用。
4 结束语
安全管理中心是当前电信企业安全体系建设过程中的一个热点话题,本文尝试着通过引入国际上成熟的IT服务管理标准和模型,来设计可以用于安全管理中心运行的一种事件升级制度,提高安全事件响应的效率和质量。
摘要:这篇文章写于2000年,就在那年我离开了工作了三年的中国电信数据局。当时提出安全自动化、与“整体安全”的概念,目的是探讨互联网日益险恶的攻击入侵,尤其是拒绝服务攻击。
1 前言
网络安全技术是当前最为活跃的研究领域之一,充满智慧和挑战,成千上万的INTERNET专家、学生都沉浸其中。当前的INTERNET已经从原来的学院研究、“美国人的高级玩具”彻底地转变为全球性的、有着亿万普通用户(包括家庭主妇、幼童、三教九流各种从业人员)的无所不包的“网上社会”。
今年年初分布式拒绝服务攻击(DDOS)肆虐,给网络界、甚至全球经济带来一场大地震。这场地震给业界的一个重要启示就是:绝对不可以将网络安全限制为某些关键网络、关键主机的特殊照顾,彻底消除DDOS攻击的根本还在于每个连入因特网的计算机的安全水平都大幅度提高,以防止其被攻击者利用来攻击第三方受害网络或主机。因特网需要“整体安全”。
网络安全可以划分为许多技术领域:系统主机安全、防火墙、风险评估、入侵探测、反病毒、加密等。它们往往都要求很高的专业技术以及资金、人力投入。网络安全和反病毒技术中的关键:攻击特征码、病毒特征库都需要及时的更新,才能有效。这些都妨碍了“整体安全”水平的提高。
为降低网络安全的成本、解决越来越快的安全技术更新带来的实施过程中的难题,当前的网络安全技术将表现出越来越多的自动化趋势,逐步减少对因特网用户的安全方面的专业要求和在产品更新方面花费的代价。本文下面尝试着从系统自动加固(hardening)技术和在线技术两个方面来阐述因特网安全技术发展的这种趋势。
2 系统自动加固技术
一个称职的系统管理员一定应该同时是一位安全专家。安装一个操作系统,在将它连入网络之前,要安装最新的补丁,还要对它进行安全加固,包括不需要服务的关闭、不必需帐号的删除、内核的网络参数设置、访问控制设置(tcpwrapper等)、X系统安全、系统日志的安全设置、文件签名(完整性检测 tripwire等)等等,这中间可能会碰到不少错误和失败,排除错误的过程是体现管理员水平的时候。
这样的过程对于全世界的系统管理员来说,日复一日,年复一年,不知道每天在世界各地会重复多少遍,高级的系统管理员也是在这样的一遍一遍的实践中成长起来的。但是,应该看到,这其中有许许多多重复的步骤。一方面,这些重复劳动浪费了许多优秀系统管理员的宝贵时间;另一方面,这些烦琐、复杂的配置过程也使一些系统管理员望而却步,阻碍了安全水平的普遍提高。
为此,许多网络安全专家开始开发自动加固软件,将上面提到的系统加固过程自动化,以此来解放管理员的劳动,推广系统安全技术。当前较为成熟的软件主要包括下面几种,它们是工作于SOLARIS之上的TITAN、YASSP,以及工作于LINUX之上的BASTILLE项目。注意,这里提到的系统加固并不是指一些操作系统的安全版本(例如Trusted Solaris),或者将C级操作系统加固以提升安全等级的商业软件(例如CA公司的SeOS),昂贵的价格以及美国政府的出口限制注定这些软件不可能对因特网的整体安全水平产生帮助。下面分别简要介绍一下这几种自动加固软件。
* YASSP:http://yassp.parc.xerox.com,当前的版本是5.0beta#5,支持Solaris2.6、2.7平台,对Solaris8的支持正在开发中。其主要工作包括:关闭服务、改变所有者、访问权限等属性、打开日志、调节网络堆栈参数、改变系统参数等。在“主题”或“内容”中添入“subscribe”向下面地址发送电子邮件可以申请加入其邮件列表,以获得其最新的开发动态: secure-sol-request@parc.xerox.com.
* BASTILLE:工作于LINUX平台之上。可以从 http://sourceforge.net/download.php/bastille-linux/Bastille-1.0.4.tar.gz。并且,在安全焦点网页 http://focus.silversand.net/可以找到其简单的中文说明。
* TITAN:其主页位于http://www.fish.com/security/titan.html。当前的最新版本号为3.7。
3 在线技术
由于当前各种安全漏洞层出不穷,而反病毒软件、入侵探测、风险评估软件的根本是对病毒特征码、入侵攻击特征、漏洞的表现特征库等。所以,传统的更新手段,例如到专卖店更新软盘、邮寄更新库、甚至INTERNET下载更新的方式都已经不能很好的为客户服务。因为,从管理的角度讲,没有办法能够确保企业网用户都有足够的警觉来自觉地、及时地去相应的网址去下载。这种需求环境促使安全厂家纷纷推出了更为易于使用、更加快捷的在线更新方式,简单列举一下:
* X-Press(业界领先的入侵探测和风险评估厂商ISS)
* LiveUpdate(安全反病毒厂家Symentec)
* BackWeb(加密和反病毒厂家F-Secure安防讯基)
* 等
另外,越来越多的网站开始推出在线杀毒、在线安全扫描等服务。例如ATT为用户提供免费的垃圾邮件和病毒防火墙服务、国内天网安全公司推出在线安全评估服务、263首都在线推出在线邮件杀毒服务等等。
4 结束语
有关自动和在线的安全技术不能一一列出,应该看到,这些技术代表了INTERNET软件的一种发展趋势,一种能够改变因特网“整体安全”水平的趋势。未来的安全软件将走向在线销售、更新、甚至租赁,尤其是桌面级安全产品,因为面对的大部分用户属于对网络安全技术知之甚少的网络服务使用者,这样,只有简单易用的软硬件和服务才有可能真正地提高因特网的“整体安全”水平。
当然,这种在线技术向计算机安全提出了新的挑战,也同时引入了新的安全风险。例如,网络在线扫描存在的合法性、以及技术的可靠性都有值得怀疑之处,而在线更新技术也在用户参与交互的程度方面难于取舍,自动加固技术在操作系统平台和生产运行环境适应性及智能性方面还有很长的路要走。
总之,网络安全技术在整个互联网的发展中已经成为越来越重要的影响因素,脆弱的网络安全水平是整个互联网走向商业化、社会化的制约瓶颈。互联网中不存在“安全孤岛”,只有聚集整个社会的智慧和力量,在法律、教育、社会意识、安全技术等领域进行大量的艰苦的努力后,才有可能看到一个安全的、值得信赖的互联网。
Recent Comments