综合安全管控平台规范安全管理运营维护
经历十年的发展,可以将信息安全发展划分为三个阶段,目前大部分企业都完成了第一阶段到第二阶段的过渡,但是如何实现第二阶段到第三阶段的过渡成为问题。
目前国内众多从事信息安全业务的企业大多成立于2000年前后,经过10年的发展探索和艰难的市场开拓,一批企业已然成为国内信息安全领域的中流砥柱,伴随企业发展的成功,他们也成功地塑造了国内众多大型企事业单位对于信息安全的正确认识。
信息安全经历三阶段
在这十年的发展过程中,企业信息安全的建设也大致经历了三个大的发展阶段。
第一个阶段可以定义为安全功能与产品的堆砌阶段,这一阶段的周期大致是2000-2005年。在这一个阶段里类似于防火墙、防病毒、入侵检测、漏洞扫描等一类的安全产品概念被广泛接受,并迅速在各大企事业的IT系统中得到了广泛的应用,同时,安全评估、安全加固一类的专业安全服务业逐渐显现价值,与各类产品一道发挥出其应有的安全防护与保障价值。
第二个阶段可以定义为安全管理专题平台建设阶段,这一阶段的周期大致是2005-2009年,当第一阶段完成各类信息安全基础措施建设后,IT系统的管理运维人员逐渐发现他们很难去面对各种类型的专业安全产品,日常的使用、配置维护、管理分析都面临很大的差异和对专业技能近乎苛刻的要求,于是依托于各类基础安全措施,建设上层的安全管理专题平台的需求开始愈发强烈。
第三个阶段可以定义为综合安全管理/管控平台建设阶段,这一阶段大致从2009年刚刚开始。尽管第二阶段的建设取得了积极的效果,但是很快大家认识到,针对与同一企业IT系统建设各类专题安全管理平台的过程中产生了很多的困扰:各类建设专题间的技术需求边界很模糊、不规则、有交叉,这导致了各个专题项目的建设和管理局面愈发混乱;专题间需求的合并、拆分和自由组合成为项目建设过程中普遍存在的问题;日益增多的专题安全管理建设项目交付后的日常使用和运维工作成为难题;不断衍生的安全管理新需求无处落脚,很多新需求难以融入既有专题,而单独建设新需求又难以复用既有的建设基础。
面对这些困扰,大家开始思考第二阶段的众多专题管理平台的建设,在架构上大多很类似的采集/存储/分析/展现的四层架构、在系统实现上强调专题间的专业区分、在数据方面各专题之间几乎没有太多的复用或共享、在管理支撑的各个专题的定位上往往很单一,于是乎,迫于建设、管理与运维的多重压力,综合安全管理/管控平台建设提上了日程,很显然,综合安全管理/管控平台所要解决的问题就是融合各类专题安全平台,其核心思想就是实现架构统一、系统综合、数据共享、全面支撑。
做好二三阶段过渡
由于目前绝大多数企业的信息安全建设正处于第二阶段建设或者二、三阶段的建设过渡期,所以我们有必要对第二、第三阶段进行更深入的分析,并结合现状进一步阐述如何实现二、三阶段的建设过渡。
首先,对第二阶段和第三阶段的建设模式进行分析。
图1 信息安全第二阶段安全管理
第二阶段的建设模式(如图1)所示,可以概括为多个安全专题、多个建设模式,对应的是多套类同的系统架构和分散的运行维护管理,这势必造成建设和运维成本的不断大幅攀升。
第三阶段的理想建设模式(如图2)所示,可以概括为多个安全专题、多个建设项目,对应的是统一的系统架构和统一的运行维护管理,这非常有利于控制和优化建设及运维成本,同时与第二阶段一样并没有阻碍各个安全厂家的技术和管理专长的充分发挥。
接下来,我们应该考虑如何实现第二向第三阶段的建设演变,以及第三阶段的建设内容规划。
如图3所示,在充分了解目前各个专题安全管理平台的建设现状的基础上,可以选取某个最为贴近综合安全管理/管控平台架构的专题A项目扩展或改造为综合安全管理/管控平台架构,进而逐步将其他专题项目逐步改造和迁移至综合安全管理/管控平台架构下。
利用综合安全管控实现过渡
从管理对象和内容的角度来概括,以下建设内容大致能够覆盖目前绝大多数企业对于信息安全管理的需求:
人员安全管控:人员安全管控的核心是身份管理、集中接入、认证管理、授权管理、访问控制与行为审计。
资产安全管控:资产安全管控的核心目标是实现资产状态的完全可见、可控与可管理,主要建设内容是资产自动发现、资产安全状态监控、终端的入网控制与监控管理、软件装载、补丁管理、数据防泄密管理等。
资源安全管控:资源安全管控的核心目标是保障整个企业IT系统能够高效、连续、可靠地给其用户提供的服务资源和服务能力,比如对IP地址的管理、对网络带宽的监控、对业务可用性的拨测等。
配置安全管控:配置安全管控的核心是对IT系统及其资产、资源等元素的配置安全情况进行管控,比如安全域划分及网络边界整合、安全策略管理、安全基线管理、安全巡检管理等建设内容。
事件安全管控:事件安全管控的核心是对企业IT系统中所发生的各类事件进行集中的采集、存储和分析处理,以便有效发现各类安全问题、故障以及潜在的安全隐患,指导运维人员及时进行问题和故障的处置,及时对潜在的安全隐患进行应对。
风险安全管控:风险安全管控的核心是实现对企业IT系统各类风险的认知、定义、及时分析、跟踪和处置能力。
流程安全管控:流程安全管控的核心是实现企业顺畅、可靠的安全管理流程,比如故障响应流程、应急响应流程、安全知识积累流程、安全状态的考核流程、安全运维的考核流程等。
最后,我们需要考虑如何利用综合安全管控平台的建设推进企业的信息安全管理规范化建设进程、运转企业的信息安全合规管理体系。
企业的规范化安全管理进程可以分为五个过程:安全设计规范化、安全选型规范化、安全配置规范化、安全维护规范化、安全使用规范化。
而作为安全管理解决方案提供商,我们更多的是能够为企业用户提供安全配置规范化和安全维护规范化的解决方案。
针对综合管控平台所管理的对象和内容,我们必然要梳理和萃取企业的各类IT安全配置与维护管理的要求和标准,也自然成就了企业信息安全合规目标的建设工作,同时,综合安全管理/管控平台的建设又能持续地监控企业的安全合规建设现状,通过不断的技术手段和管理措施完善,企业的安全合规建设现状将愈发符合企业的安全合规建设目标,进而不断地提高和优化企业合规建设目标,从而实现企业信息安全管理水平的良性提高。
信息安全经过最近十年的发展,国内众多企业用户已经深刻认识到,企业的信息安全管理体系建设不可能是简单的模仿或照搬某个国内或者国际标准,必须在融合国际、国内以及行业的相关标准的基础上,着手建设企业自身的信息安全合规目标和体系,这也就是建设企业的信息安全发展战略年。
