Cloud & Telecom Security

Following the analysis on the comparison of IM/P2P security management between telecom nework and enterprise network, this post further investigates the security threats to telecom networks coming from IM/P2P applications and recommends some countermeasures to those telecom operators. This post was published in Chinese at Comm-weekly named Finding IM/P2P Security Policy.

In fact, this is the second part of a whole review of IM/P2P security management. See the first part.

《电信网IM/P2P的安全管理》本文发表于通信产业报，发表时的名称是：《寻找IM/P2P安全策略》

1 即时消息和P2P带来的安全威胁
我们已经知道，即时消息和P2P应用在带来方便性、实时性、新业务商机的同时，也给最终用户、企业网络和电信网络带来多方位的安全威胁。通常来说，这些安全威胁包括：

• 防火墙等边界安全措施被短路
• 管理员难以控制文件数据的共享和流动
• 带来病毒、木马、蠕虫等
• 导致知识产权损失、泄密等
• 大量使用非标准、不公开协议，使用动态、随即、非固定的端口
• 难以检测、过滤和管理
• 隐藏于HTTP管道中的各种潜在的隐秘通道

尤其是高强度加密技术、P2P技术和IM技术的结合，进一步提高了安全管理的技术难度和成本。

IM和P2P应用给电信运营商网络带来的安全威胁不止于普通企业网的安全威胁，更为重要是基本电信业务收入、带宽利用、信息安全管理等多方位、深层次的威胁。下面从三个方面展开分析。

• 基本电信业务收入锐减

互 联网经济的快速发展强力带动了电信增值业务的增长，但是增值业务相对于基本电信业务－话音业务来说，比例还相对较低。几大运营商刚刚发布的半年财务报表也 印证了这一点。这样，由于基于IM/P2P的VoIP应用大量分流了基本的话音业务，导致整体业务收入下降。其中，PC到PC引起的分流只是其中一部分， 另外相当一部分是由于不符合行业法规、违法经营的PC到电话、电话到电话的VoIP业务引起的。运营商一方面必须意识到传统话音业务的萎缩是大势所趋，迅 速加强自身市场和技术革新，寻找新的业务增长点；另外一方面，也需要提高技术管控能力，对网络中的违规VoIP业务及时有效识别和管理。

• 网络被低价值流量充满

按 照普遍接受的流量统计数据，目前P2P应用占宽带流量50－60％（白天）到90％（晚上），企业用户的40%。P2P已经成为宽带的杀手级应用，尤其是 IP音频和视频文件的共享。现在固网运营商流行的宽带大包月的情况下，这些洪水般的流量充斥着当前不断扩容中的宽带城域网，却没有带来投资预期的营收增 长，造成当前运营商扩容投资与营收增长不成比例的窘境。可以考虑通过先进的技术手段改良计费模型和资费策略，利用资费杠杆和质量控制手段优化网络的利用效 率。

• 信息安全管理

当前互联网缺少有效的身份识别和信息管理手段，造成大量的垃圾性的、骚扰性的、甚至反动的、不健康的邮件、短信、即时消息、视频文件等在网络中传播。随之而来的家庭、社会、政府对于宽带网络发展的担忧，对运营商业务发展带来了消极不利的影响。

因此，IM/P2P的安全威胁和对策需要引起电信运营商管理层和安全主管的高度重视，研究部署有效的安全管理措施，兴利除弊，减轻带宽压力，降低安全风险。

2 电信网IM/P2P的安全管理

在IM/P2P的安全管理方面，电信网络与普通企业网络想必具有明显的差异性。

对于电信运营商来说，除了作为一个企业网需要按照企业网络的特点来保护自己的支撑网以外，还需要参照附图所示，分步骤实现以下安全管理目标：

※ 治理话音和其它大带宽应用
※ 提高电信网络利用效率
※ 改进计费模型，提高ARPU
※ 提高信息控制能力

相对于企业网络，电信网络的IM/P2P安全管理又具有以下两个重要特点：

※ 粗粒度安全策略。在宽带网络中能够快速识别并重组应用和会话，实施针对不同应用和会话类型的安全和资费策略。这种识别通常实现到分类，达到资费策略所需要 的粒度即可，例如文件共享类、VoIP类、视频类，以及各种子类。由于电信网络不具备对用户的行政管理和桌面（终端）管理手段，所以，技术上很难、也不需 要通过企业网络管理中具备的多种手段综合来实现细粒度的治理目标。这种粗粒度还体现在检测准确率的要求上，电信网络允许部分漏报，在80％以上的准确过滤 和封堵，即可明显达到业务目标。而这样的准确率在企业网络通常是不能接受的。
※ 高性能和健壮性。电信网络IM/P2P的管理工具需要支持千兆以太网环境下高速对应用进行分类，重组应用和会话，实施安全策略，产生计费数据。另外，还需要支持高可用性部署。

3 综述

解决IM/P2P引发的新的安全问题需要运用各种措施进行探索，例如在网络架构组织、协议体系、资费模式、终端设备管理等多方面的安全措施和机制的融合，并且在重要的网络项目立项、新业务开发和引入等生命周期的开始阶段就集成考虑IM/P2P应用的影响。

电 信运营商总是不断地寻求新的技术手段以最大限度地挖掘网络潜力、提高每用户营收、提高单位带宽的营收、寻找新的利润增长点、开发新的业务组合、降低客户流 失。这些新的措施中就包括了对IM/P2P业务流的控制与开发利用、对家庭和SOHO用户提供等级化（差异化）服务以替代当前施行中的大包月资费、对商业 客户提供服务质量保障（SLA）、提升自身在未来话音、视频和数据三重业务（Triple Play）市场的竞争力。

所以，对网络中的IP分组数据除了保证其可达性、延时、安全性等之外，对其有效的监视、分类和控制是运营商能够立足于3G/NGN年代的基础能力，也是更具宏观意义的电信网络安全管理。

The management software giant announced “New Service Provider Vertical Team and Specialized Technology Solutions To Address Evolving Industry Requirements”

ISLANDIA, N.Y., October 4, 2005 – Computer Associates International, Inc. (NYSE: CA) today unveiled the next steps in its strategy to provide a new generation of infrastructure management solutions to help cable, wireline, and wireless service providers ensure the security, performance, and availability of their revenue generating infrastructures.

In remarks prepared for delivery at INSIGHT2005, a user conference for eHealth and SPECTRUM customers in Boston, CA President and CEO John Swainson announced the formation of a new organization within CA designed to serve the needs of the telecommunications and service provider market — and outlined how the company is leveraging its recent acquisition of Concord Communications and its Aprisma subsidiary to extend its traditional telecommunications business.

eHealth and SPECTRUM are actively managing systems in 23 of the top 24 telcos in the world as measured by Fortune Magazine in their Global 500 list (July 2005), and in all of the top 10 cable companies in the world.

…… 

The recent acquisition of Netegrity and Concord greatly enhanced the product portfolio to meet the demands from those telco and service provider companies, so as to compete against HP and IBM more effectively.

In recent days I went to visit and talk with some friends at Venustech, Nsfocus, Topsec, iS-One, BOCO, Lenovo Security, Huawei, which are big-fish players at china domestic security market. I found they are by far more mature than the exciting “gold rush” age – 2000, not only the products and services, but also the management idea and marketing strategy.

After a few years of dramastic competing against to each other, while some pioneers has expired their security business, the above survivors, though with missteps and high people turn over, are dornimating the security market and trend. Some of them are branches of public listing company, while some of them are around the corner of IPO. Each of them has its own niche customer base and competitive advantages. No company can monopoly or control a whole industry or territory.

Venustech: Strong relationship with government and product selling at e-Gov market. Recently it increased its products line by launching of a series of firewalls developed together with Horbournetworks. Venustech is on its way to IPO.

Nsfocus: Famous for its security technical experts and vulnerablity discovery.

Topsec: The first security company at China with firewall products. After a few years of “bourgeois” performance at the arena, Topsec began to introduce venturing capital from SoftBank and OEM an IDS products from Korea in order to build one more complete “total solution”. TNA (Trusted Network Arch) has been its marketing security model. Topsec is on its way to IPO.

iS-One: The leader of security market before 2003, where I worked as Chief Strategy Officer during 2000-2003, founded the R&D department and lead the team to develop a series of firewall/IDS products, named as LinkTrust series. In fact, at around the late 2000, a research project targeted at security management platform was kicked off, while a three-in-one (firewall, IDS, and anti-virus) roadmap was defined with a high expectation. Regardless what happened thereafter, I am proud of the vision to security technology trend.

BOCO: A strong system integrator at telecom industry. Its security division is penetrating into more and more existing customers of its network management solutions.

Lenovo Security: Security division was splitted from Lenovo group at the first half of this year.

Huawei: A telecom giant and will-be dorminator of security market.

MPLS VPN services are one of the most important services of nowadays telecom broadband access and core networks. Generally speaking, it’s not difficult to provide a border to border service management for a MAN, or a core. but what the customers want to have is the end to end service management, that’s what they really experience.

The below diagram is from Concord, which was acquired by Computer Associates Int’l a few months ago. Their products, named eHealth and Spectrum, can help management heterogenous MPLS VPNs to provide a holistic view to the end user and the operators themselves.

刚才分别使用google.com 和baidu.com 的搜索引擎搜索我自己的名字， 从结果上看，google搜索结果在数量上相当于baidu结果的两倍。但是从内容上看，google的搜索智能性在此处就不如baidu的中文智能高 了， 其中有很多页面是不相关的，即明显不是姓名的组合，而baidu则似乎进行了预判，首先展现的都是符合姓名的网页，这一点上看应该是baidu在中文上 胜过了google。

另外，baidu.com还推出了一个有趣的新服务，即“贴吧”，你搜索一个姓名“张三”，即可以开一个新吧“张三吧”，或者已有内容，你可以过去留贴，很有趣。你试过自己的姓名了吗？

本文完成于2004年底，介绍了国际电联推荐标准X.805，探讨了X.805在电信网网络安全建设过程中的应用。发表于通信产业报，发表后，中国电信和联通网站等多家网站转载，引起广泛的兴趣。:)

1.电信网

全球电信业在经过了前面几年的沉闷、甚至衰退后，3G等各种宽带数据业务开始日趋活跃、需求明显升温，越来越多的运营商开始从几年前的巨额债务中解脱出来，投入到新一轮的电信基础设施投资建设活动中。

电信网从原来“电路交换为王”的话音业务正在全面转向话音、数据、多媒体、视频、电子商务等综合业务的通用平台。新一代电信网络平台呈现出承载网的宽带化、业务网的综合化与个性化，支撑网的面向服务架构和业务流程重构等显著特点。其中，IP技术成为电信网络中的关键技术，IP业务成为典型网络中的关键、基础业务。

电信网的分组化（IP化）将会给电信业带来深刻的影响。电信网的IP化并不意味着现在的互联网将取代电信网，因为现有IP网从设计理念到实际交付的服务水平等都证明它不适合与全面承载电信业务。现有IP技术必须在安全、服务质量、业务模型、可管理和可运营方面迅速提高，才可以满足电信业务的需要，其中安全又是最为运营商、社会和用户最为关心的方面之一。

电信网络是国家关键基础设施的重要组成部分，承担大范围内的公众电信业务的网络，规模大，结构复杂，可靠性和安全性要求极高。ITU-T、IETF等国际标准组织在专注于电信网络技术标准的发展过程中越来越重视其中的安全保障能力，提出了一系列的框架、推荐标准和技术规范等，努力从技术角度提高电信网的安全性。

电信网络往往是最先进的I T技术和产品的集大成者，传输、交换、应用、服务、存储、数据处理等方面都在各个行业处于领先地位。除了普通企业面临的计算机网络环境内的威胁外，电信企业还必须考虑光纤传输、交换等电信基础设施的安全性以及VoIP、IPTV、多媒体等电信业务相关的安全威胁。

本文尝试阐述下一代电信网中特有的安全威胁、安全脆弱性以及相应的对策，并总结介绍最近一段时期内相应国际组织在电信网安全方面的努力和成果。

2.电信网威胁综述

传统上对于电信网络的安全考虑往往是面向其中的计算机和其它IT设备，以及路由器和交换机等设备自身的安全问题。诚然，针对这些承担“辅助”和“支撑”任务的IT组件的安全保护依然非常重要，但是，对于NGN和下一代基于IP技术的电信网来说，安全威胁和相应的控制都有了更新的含义。

通常，普通TCP/IP网络面临的安全威胁包括内部误用和滥用、拒绝服务攻击、外部入侵、病毒和蠕虫、以及其它各种灾难和事故。这些方面的分析在笔者以前的文章或者其它途径中都可以找到相当仔细的分析，本文不再赘述。

以下以下一代网络NGN为例来具体说明上述威胁和带来的消极效果。

NGN安全威胁举例

NGN已经成为下一代电信网的基础框架，它包括了软交换协议、IPv6、ENUM、等多种协议标准体系。在此框架内，IP技术将得到广泛应用，负责承载包括话音之内的各种业务，其中的信令和管理信息也将与业务数据一起共用底层媒体。这时，不但IP网中存在的各种安全威胁和脆弱性都将被继承进NGN网络中，并且增加了其它以前不曾面对的新的威胁。

附图1. NGN环境下的安全威胁

* ? 由于语音收入依然占据运营商收入的主要地位，当媒体服务器遭受拒绝服务攻击而失去响应时的损失，将会远远大于当前互联网时代遭受的拒绝服务攻击；
* ? 随着IP语音业务的开展，电信运营商必须关注来自IP网络的来源追查和内容分析；
* ? 用户对于语音保密方面的担忧和体验，成为是否最终选择使用业务的重要考量；
* ? 随着语音邮件业务的迅速发展，运营商必须投入大量精力和资源用以管理控制骚扰、恶意、反动、诈骗等网络活动；
* ? 由于基础设施层面的PKI/KMI建设不足，可能会造成运营商侧的网元设备被渗透入侵，导致用户的通话被跟踪、劫持、记录等；
* ? …

考虑到这些附加的安全威胁，单纯从操作系统角度进行安全防护是不够的，必须重新看待并研究下一代电信网的安全威胁，加强业务网络自身的安全防护，充分利用并发展基础设施和业务网络中设计的安全机制。这样，基于分组的下一代电信网才能更为健壮的顺利发展。

3. 电信网脆弱性
网络安全威胁和防范一直是电信运营商十分关注的话题。包括ITU-T、IETF、TMForum等在内的许多国际电信组织都开始重新评估以前设计的许多标准、规范、架构等，在所有重要的标准体系中都加入了审慎的安全考虑，以避免出现类似像802.11b出现的WEP漏洞。

附图2. 电信网络中存在的脆弱性类型
参见附图2，ITU-T在其安全手册中明确提出，电信网络中存在的安全脆弱性可以分为下面四类：

* ? 预测未来威胁的困难。技术环境的变化难以预测，例如七号信令系统设计上的运行环境是有专业维护的隔离网络，没有设计认证、加密、反重发、抗抵赖等安全手段。现在复杂的网络连接可能会使七号信令系统通过多层潜在通道与外网相联。从而使威胁源得以攻击、甚至控制信令系统。
* ? 设计和规范型弱点。协议设计中的错误或疏忽使其天生脆弱。例如IEEE802.11b中出现的WEP漏洞直接动摇了运营商对于该标准服务的信心。
* ? 实现型弱点。大部分的安全脆弱性来源于此。电信设备厂商、集成商和运营商的软件中心在开发和实现过程中不可避免地会出现各种缺陷和漏洞，这些脆弱性有可能会被各种威胁源利用。
* ? 运行和配置型弱点。由于配置不当，导致网元或网元之间的通信不符合安全策略的要求。例如SIP服务器和软终端之间没有建立认证和加密机制，导致呼叫被假冒和窃听等。

其中第一类和第二类可以通过国际标准组织的努力逐步减小；第三类弱点需要依赖电信设备（硬件、软件）供应商和集成商提高系统开发和项目实施过程中的安全风险管理；第四类弱点则需要运营商自身的运行维护部门加强安全风险管理水平，从策略、组织、技术和运营等四个方面建设并逐步完善安全管理体系。

4. ITU-T安全框架
针对前面提出的电信网威胁和安全脆弱性，加强其设计、建设和运行过程中的安全保护，ITU-T在其建议书X.805中定义了分布式应用实现端到端安全的体系和尺度的框架，如附图所示。这是一个通用的框架，其基本的原则及定义适用于所用电信网络和应用。

附图3. ITU-T电信网络安全框架

ITU-T定义的安全框架由平面轴、层次轴、维度轴组成。其中的平面轴主要阐述网络中实施的活动的安全，它包括管理、控制和最终用户等三个平面；层次轴主要阐述对构成端到端网络的网络元素和系统的要求，它包括基础设施、业务和应用三个层次；维度轴包括访问控制、认证、不可否认、数据保密性、通信安全、数据完整性、可用性和隐私等八个安全维度，主要定义由平面和层次构成的3×3矩阵中的每个单元中适合的安全防治措施。

管理平面关注运行、管理、维护和提供服务(OAM&P)活动, 如向某个用户或网络提供服务。控制层面与独立于网络所用的媒介和技术的端到端通信的建立（和修改）方面的信令有关。最终用户平面讨论用户访问和使用网络的安全，也包括保护用户数据流。

基础设施层包括网络传输设施和单独的网络元素。属于基础设施层的组件的例子有路由器、交换机和服务器以及其间的通信链路。服务层讨论提供给用户的网络服务的安全。这些服务从基础连接性服务（例如租用线服务）延伸到增值服务（例如即时消息）。应用层讨论用户使用的基于网络的应用的要求。这些应用可能很简单（例如电子邮件），也有可能很复杂，如用于海关运行的电子海关系统、大型物流系统、运营级的远程视频业务等。定义这些层的好处之一是在不同应用提供端到端安全时允许重复使用。每一层的弱点不同，因此针对性措施也根据每层需求来定义。

5. 综述
本文简要分析了下一代电信网在分组化过程中，不得不面临的新的安全威胁，这些威胁给用户与运营商带来的新问题。分析了电信网存在的典型安全脆弱性，并介绍了ITU-T在其安全手册中提出的多轴安全框架。

安全性是业界对基于分组的下一代电信网技术的最为担忧的问题之一。只有很好地解决面临的安全威胁，IP技术才能顺利地担负起电信网的核心业务。这需要学术界、设备厂商、运营商、集成商、咨询服务商等共同的努力。限于作者学识，文中不足之处，欢迎批评指正。

发表于通信世界，总结了安全管理中心建设过程中的一些心得。
URL= http://www.cww.net.cn/Industry/Article.asp?id=10723
赵 粮
博士，冠群电脑（中国）有限公司
2004-2-18

网络安全正在受到越来越高的关注，其中一个最为热烈的话题就是安全管理中心的建设。安全管理中心（SOC），或者叫作安全总控中心（SCC），通过一个中央管理平台，收集整合来自各种各样安全产品的大量数据，并且从海量数据中提取用户关心的数据,呈现给用户，帮助用户对这些数据进行关联性分析和优先级分析。除此之外，安全管理中心还能够提供相当程度的集中“控制”和“管理”能力，可以帮助提供实时、准实时的安全风险管理能力。

目前，国内外的多家安全公司都提出了安全管理中心的产品或解决方案，移动、电信、联通等多家运营商都正在酝酿该方向的建设项目，几家省公司已经成为先行者。笔者有幸从开始酝酿、设计、建设等整个环节负责、参与了若干个安全管理中心项目，希望将自己的一些体会和经验教训与大家分享。前面已有一篇讨论基于安全管理中心的实时安全体系的讨论，本文从容易出现的九个错误的角度来讨论安全管理中心的建设。

1 错误或者失衡的资源分配和投资比例。

[separator]
我们知道，在绝大多数情况下，安全建设本身不是目的，而是为了保护企业的核心业务和资产。这样从投资的角度讲，投资回报率是必须考虑的。对于一个典型的网络管理中心（NOC）或者计费中心来讲，大约有数十台设备，主要包括各种层面的服务器和工作站，以及存储系统。而经过历次的安全建设和采购后，我们经常可以发现，中心连同分布在各地的防火墙、入侵检测、反病毒，它们的管理器和数据库等，在数量上也达到了数十个，与业务系统的规模相差不大，甚至数量上还可能会超出。虽然单个安全设备的维护工作量比高端服务器要低一些，但是总体上的保护体系和被保护的资产在维护资源上的投入失去了适当的比例。该现象的另外一个表现是大部分省公司、甚至总部还没有专门的安全管理员，IT系统的管理员兼职来维护管理安全设备，再没有足够精力的情况下，安全管理维护方面会被简化、忽略调，不能充分发挥安全投资的效率，间接地降低了安全体系的效果。
另外，可以认为，安全体系由两大类组件组成，其一是功能组件，例如访问控制、身份和认证管理、入侵检测、反病毒等，其二是管理性组件，事件收集和展现、知识管理、工单管理等。管理性组件的目的是提升功能组件的效率，减小相应的管理员人工成本。这个比例在典型安全体系设计中，国际上的比例大概是在10- 30%左右，换句话说，应该注意管理与功能投入上面的平衡。
通过上面的分析，我们知道，过多的功能性组件会导致管理成本过高，管理不利，效果不好；而过多的管理组件投入，又容易功能覆盖不到位，管理组件成为空中楼阁，无源之水。

2 错误的架构、不匹配的组织。
准确地讲，安全管理中心并不只仅仅是某个产品，或者某些产品的集成，它还是一种安全管理形式，需要相应的企业管理组织来负责运营，技术架构和组织架构再设计伊始必须互相匹配，运行的效率才有可能达到令人满意的程度。所以，在总部或者某个省电信公司考虑设计安全管理中心时必须考虑到自己当前的IT管理结构、预期的改变、安全管理的模式。首先在组织结构方面达成共识，再来考虑技术架构，考虑产品的可扩展性，未来是否可以平滑过渡，适应未来的组织结构改变。如下图所示，对于当前的几个主要电信公司来说，都是两级管理体制，省一级实现了集中管理。值得注意的是，安全管理中心并不必然地导向一个对立运作的实体，它可以和网络管理中心合署办公，也可以与企业信息化部或者IT部门合为一体，这依赖于建设需求方管理层参与设计，在建设和运营路线最终达成一致的思路。关键的一点是在开始规划选型时，考虑好以后的接口和平滑过渡，才可以更好地保护投资。

图：安全管理中心架构示意图

3 认为SOC的建设主要是产品安装，对建设中项目风险认识不足。
安全管理中心需要对以前存在的、现在建设中的、甚至规划中可能出现的安全产品进行管理，对多种多样的应用和设备进行事件审计和策略配置，另外，每个建设方对安全管理中心的功能定义也会进行增减，所以，建设过程中往往会涉及到多个厂家的许多产品（包括安全设备和其它）。另外，各个建设方情况千差万别，通常纯粹的安全管理产品很难很好地满足要求，必然会涉及到大量地定制和开发服务，这些对于项目管理来讲，背后都蕴涵着大量风险。需要很好地评估项目风险，并且通过仔细考察集成商和供货商的资质、质量体系和成功经验，慎重选择。

4 设计建设SOC时设施的特点没有考虑IT基础。
各个总部和省公司的IT系统各不相同，不同拓扑结构、不同的网络业务架构、不同的网管系统、不同的集成商、不同的安全防护水平。从IT服务管理（ITSM）的角度来看，它们具有不同的成熟度。从BS7799角度来看，10个安全领域的重视程度又不同。有些省公司已经建设有成熟的帮助台（Service Desk）和流程管理系统，IT系统网管实现了集中监控和集中的事件管理。SOC和NOC在许多方面有共同的特点，可以分享许多建设运营经验，以及IT组件。并且，在许多情况下，在事件管理、流量监视等方面，SOC和NOC共享的程度越高，安全保护的效果就会越好。

5 定义了不适当的项目目标。
一般来说，参照下图所示，安全管理分为四个层次，或者能力成熟度，越高的层次表示安全管理的成熟度越高，残余的安全风险就越低，但是通常来说，要求的安全投入也会较高。第一层是集中审计，能够对全网范围内的关键安全事件做到集中的、统一的收集和审计；第二层是集中监视，除了事件审计之外，还需要对安全防御体系自身的健康状况进行监视，对威胁情况进行监视；第三层是集中管理，在前面两层的基础上，能够对整体安全体系制定安全策略，集中分发配置，与IT基础设施的管理可以无缝集成，实现良好的实时风险管理；第四层是战略防御，除了自身安全体系的审计、监视和管理之外，强调了网络对抗和取证分析能力，针对性的实时优化安全策略。每个层次有不同的特性和实现手段，对于特定的建设环境来讲，并不一定意味着越高的层次就越好，而是应该量体裁衣，具体问题具体分析。可以在四个层次中选择适合自己的特性来分期建设，分步实现目标，达到最高的投资回报。

图：安全管理成熟度示意图

6 集成商和原厂家的技术支持力度不够。
这个问题应该属于项目风险控制范围之内，单独拿出来的目的是想强调一下：一定要慎重考察注意集成商和所选择产品的原厂家的技术支持力度，特别是本地技术支持力度。因为SOC建设中有大量的定制开发和服务，不可避免地需要频繁、有效地技术支持。很大程度上会影响整个项目的质量效果。

7 对选择SOC产品的可扩展性、健壮性、性能没有透彻的了解。
SOC与NOC建设相似，产品更换替代的成本很高，一般会采取升级、扩容、融合等进行发展，全天候7×24运行，越是遭到攻击、产生大量事件和网络负载的情况下越需要SOC的服务，所以在一开始的产品选择阶段要特别注意可扩展性、健壮性和性能的指标。这里的扩展性指能否层次化布署、能否顺利融合部门级的 SOC、是否可以通过硬件升级来实现更高的系统容量等。健壮性和性能是指在遭到大规模攻击、大量事件冲击的情况下，系统能否正常工作，表现如何？系统是否支持高可用性布署等

8 没有设计好相应的管理和应急流程。
我们已经知道，SOC建设远远不只是产品采购，还有许多定制服务。此外，SOC与NOC一样，需要相应的管理和应急处理流程，这些流程制度是整体安全策略的组成部分，应该纳入严格的配置和变更管理之下，并且做好相应的宣传和培训，定期进行演练，使得每个角色和相关人员都明白自己的责任和相关流程。管理和应急流程应该尽可能多地依靠自动化手段实现，并带有质量保证措施和考核措施。在流程设计和建设上面，可以参考ITSM中成熟的服务台技术和产品，充分结合 NOC的流程制度。

9 认为SOC建设完、验收结束就大功告成。
SOC是一种统一集中管理形式，是安全风险管理的最高级形式－实时风险管理。它的建设验收只是实现了第一步。接下来还需要及时地维持并更新、升级知识库（资产库、漏洞库、补丁库等），经常性的优化安全策略，演练应急流程的有效性，审计安全制度的执行落实情况。

安全管理中心是继网络管理中心（NOC）后的又一类引人注目的管理系统，它综合了许多国际标准、安全模型、IT管理技术，属于安全领域的新生事物，无疑需要众多从业者的关注和研究实践，分享SOC发展过程中的经验和教训，更好地指导后面的建设。本文希望能够抛砖引玉，以期获得更多的宝贵讨论。

发表于通信世界，讨论安全管理中心运行过程中流程设计，引入了ITIL
URL= http://www.cww.net.cn/Technique/Article.asp?id=10474

赵 粮
2003-12-26

1 安全事件升级流程
我们已经知道，安全管理中心（SOC），或者说安全总控中心（SCC），是一种安全集中管理的形式，它包含远端安全设备（事件发生）、安全事件收集、事件分析、状态监视、展现报表等重要组件。除技术之外，SOC还有一个重要组成部分就是运行人员、应急小组和专家队伍。所以，SOC与网络管理中心（NOC）一样，需要相应的管理制度和应急处理流程，在应急处理流程中还应该包括明确的事件升级（Escalation）制度。应急处理的每个环节应该定义明确的最大延迟时间，在最大延迟时间内采取有效处理措施。在超过最大延迟时间还没有采取相应措施的情况下，应该立即进行事件升级，进入到更高级别处理。

[separator]
这些制度和流程是整体安全策略的组成部分，应该纳入严格的配置和变更管理之下，并且做好相应的宣传和培训，定期进行演练，使得每个角色和相关人员都明白自己的责任和相关流程。管理和应急流程应该尽可能多地依靠自动化手段实现，并带有质量保证措施和考核措施。

安全事件处理流程的设计是SOC建设的一个重要环节。本文尝试着讨论适用于电信企业的安全事件升级流程的一般内容和形式。

2 安全流程与ITIL
虽然典型类企业在IT系统的结构组织、设备类型、安全风险等方面有许多共同特点，但是各个总部和省公司的IT系统依然有许多不同之处，不同拓扑结构、不同的网络业务架构、不同的网管系统、不同的集成商、不同的安全防护水平。另外，除了上面这些“硬”环境，从IT管理的国际最佳实践库 － IT基础设施库（ITIL）的角度来看，它们还具有不同的能力成熟度。有些省公司已经建设有成熟的帮助台（Service Desk）和流程管理系统，有些系统网管还建立了较为先进的NOC，实现了集中监控和集中的事件管理，而有些电信公司的流程系统和集中监控系统还正在建设或者规划中。

根本上说，SOC的应急处理流程和NOC的原理是共同的，在最高效率处理紧急事件的同时，尽可能少的使用资源，最大限度地发挥各种资源的优势。所以，我们可以分享NOC的许多建设运营经验，以及IT组件。甚至可以说，在事件管理、流量监视等方面，SOC和NOC信息共享的程度越高，安全保护的效果就会越好。

ITIL是当前最为流行、最有权威性的IT管理“标准”。作为一种以流程为基础、以客户为导向的IT服务管理指导框架，它摆脱了传统IT管理以技术管理为焦点的弊端，实现了从技术管理到流程管理，再到服务管理的转化。这种转化具体体现为，ITIL非常强调各服务管理流程与组织业务的整合，以组织业务和客户的需求为出发点来进行IT服务的管理。

下面我们参考IT基础架构库（ITIL）中较为成熟的服务台、事件处理和问题处理最佳实践，并结合NOC运行中的流程制度，设计的一个较为典型的安全应急处理流程框架。

3 安全管理中心的流程设计
从处理方法上来看，安全事件可以分为两种，一是曾经发生过，并且明确知道原因、后果和处理办法的；一种是没有明确的书面记载（问题管理的知识库），没有立即解决办法的。前者可以在网络运行值班层面予以解决，后者则需要按照事件优先级引入临时解决方案，同时进入问题处理流程；在问题处理过程中，安全专家发现了问题的根源，找到了解决方案，则将其进入知识库，同时在适当时机进行发布，更新或者修改安全策略或者配置。

同时，我们知道，事件升级由两种形式，一种是技能性的，平行的，例如普通运行值班人员，到后台技术支持，再到专家队伍，最后到研发实验室等；另一种是管理性的，垂直的，例如运行值班人员，到值班主任，再到负责运维的副总经理，甚至到公司的老总。在事件处理的升级制度中，应该明确定义上述两种事件升级的条件、角色责任、处理方式等，并与工单流程的定义保持一致，保持及时更新。

考察电信企业的实际情况，除SOC所隶属的行政汇报线（垂直升级路线）外，在技能性方面，建议设置三级安全事件响应体系，第一级是安全运行值班人员，可以是网运中心值班人员兼任，负责7×24小时的安全事件监视，按照安全事件的处理手册和知识库处理已知的安全告警事件；第二级是安全应急技术小组，由企业内部安全专家和网络专家组成，负责对第一级发现提交的不明事件（或问题）进行分析判断，完成绝大多数安全事件的处理，对不能及时找到彻底解决方案，需要在将该问题提交第三级以外，还必须及时提出临时解决方案。负责撰写安全问题处理指南，用以指导第一线值班人员的工作；第三级是集团一级的安全实验室和专家小组，负责针对重大安全隐患和网络攻击进行会诊和复现，具备相当的网络对抗能力。同时负责撰写安全问题分析报告，提交安全策略和配置的变更建议。流程框架示意图如下图：

在必要时在第三级可以引入专业安全服务公司的资源。考虑到电信企业信息资产和业务的关键性，笔者不建议在第一级和第二级引入外部资源，而应该自足自我，从集团到省公司一级都能够培养至少2名安全专家。保证可以做到依靠自己的力量可以提出安全建设的需求和规划、总结安全事件和安全问题的处理经验，优化安全策略，能够处理大多数的安全事件。

工单产生后，进入第二级安全技术专家处理的同时，工单系统会通知SOC的运行主任。第二级经过深入分析，根据对业务的影响成都，判定优先级。在规定时间内，没有发现有效解决方案，必须提出临时解决办法，并通知请示运行主任，批准后，与第一级值班人员一起，实施处理办法。实施完毕后，记录工单处理结果。并在规定时间内，撰写报告，呈送公司负责生产运行的副总经理。

在这种情况下，第二级的安全技术专家应该提交安全问题请求，要求第三级安全实验室和其它支持人员、包括服务提供商和国家、地区的计算机事件紧急响应组织等的支持。第三级的安全实验室应该根据问题的严重程度，对安全问题进行模拟和复现，寻求有效问题根源和解决方案。在完成后，更新安全知识库，并负责对第二级和第一级进行知识转移。第二级在接到工单后，经过研究，及时发现了事件根源和解决方案的情况下，也应该及时更新知识库，并对第一级和第三级进行知识转移。

第二级和第三级的安全专家基于安全事件和问题的分析和处理结果，在必要的情况下，需要按照变更管理的制度和流程，提出对受影响的其它类似系统、甚至整体安全体系的安全配置改变，例如策略修改、打补丁等。并保持安全资产库或者配置管理数据库（CMDB）的更新和一致性。

值得注意的是，在第一级值班人员将安全事件向上一级提交后，并不是转移了该事件的所有者（Owner），这里应该遵守“首问负责制”的原则，全程跟踪该事件的处理状态，知道事件和问题解决。事件和问题的移交是交接班的最为重要的内容之一。

知识库是安全管理中心的重要组成部分，它由典型安全事件处理经验、安全问题分析报告、安全脆弱性数据库和补丁库、以及各种技术和管理专题资料等组成。原则上它可以物理上分布在帮助台系统中、也可以是独立的数据库应用。

4 结束语
安全管理中心是当前电信企业安全体系建设过程中的一个热点话题，本文尝试着通过引入国际上成熟的IT服务管理标准和模型，来设计可以用于安全管理中心运行的一种事件升级制度，提高安全事件响应的效率和质量。