一、需求分析
国家局“十五”期间提出了关于烟草行业信息化建设的要求,即实现“系统集成、资源整合、信息共享”。随着数字烟草的持续建设,各种网络基础设施,应用系统的不断完善和升级,信息系统与核心业务绑定得越来越紧密,信息系统安全问题会直接影响核心业务的安全稳定,所以网络基础设施的安全和业务系统的安全成为现代信息安全的核心问题,网络安全的建设也成为数字烟草建设的重要组成部分。
在数字烟草网络安全建设的过程中,面临着许多困难与挑战,我们分别从微观、中观和宏观这三观的角度来分析:
1.从微观角度看:在技术层面,很多用户采购大量的安全设备,利用部署IDS、防火墙、防病毒、漏洞扫描等网络安全设备,构造安全检测与防御体系,使得技术人员不得不面对不同产品的控制中心,如果采购不同厂家的设备,还面临各厂家事件定义不同的问题,大大增加了技术人员的操作难度和负担。同时,海量的事件也让技术人员疲于处理,难以准确的把握系统中真正的安全隐患,无法确定处理安全事件的优先级别。
2.从中观的角度:在管理层面,部门管理者面对着人员和管理的问题。负责安管的人员大部分是原来的网管人员,缺乏足够的安全管理专业人才,现有管理人员的专业度有待提升,相关人员的工作效率也需要提高。如何有效的衡量工作成果,体现工作价值也是需要考虑的问题。另外,跨地域的分支机构如何实现人员和网络的统一监管,如何准确的定位业务系统与单一资产的风险?这些问题将会突显。
3.从宏观角度:决策层面更加关注如何能让业务系统正常运行,如何能清楚的知道目前的网络是否是一个稳健,能长期正常运行的网络。在网络安全上的投资是否能保证整个系统的正常运行。
在这样的背景和需求下,启明星辰信息技术有限公司作为国内网络安全行业的领导企业,面对现今网络发展趋势以及数字烟草的发展需求,从全局角度出发,为烟草行业用户提供了业界领先的泰合信息安全运营中心(SOC)解决方案,帮助用户建立统一的管理平台,结合基于安全域的资产管理,实现全局的安全形势分析和动态监控,给烟草行业的用户提供了一个能解决技术、管理、决策上若干问题的平台化工具。
二、构建烟草行业的安全运营中心(SOC)
泰合是启明星辰提出的信息安全运营中心(SOC)解决方案。泰合信息安全运营中心由“四个中心、五个功能模块”组成:“四个中心”是漏洞评估中心、事件流量监控中心、运行状态监控中心、综合分析决策支持与预警和响应管理中心;“五个功能模块”是策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理模块。
为稳步推进烟草行业信息化建设,全力打造数字烟草,泰合从安全管理与运营的角度,结合网络层安全、应用层安全、系统层安全、物理层安全几个方面,满足烟草国家局(公司)、省局(公司)、市局(公司)、各卷烟工业企业四个层次的信息需求,努力构造可信、可视、可控的完整化安全防御体系。
 |
| 图1:泰合信息安全运营中心应用示意图 |
1.搭建基于业务安全域的资产管理模块
根据烟草行业业务系统和IT系统要素的不同安全要求,划分安全域(业务子系统),并根据管理域内的每个资产的安全需求赋予不同的CIA属性值。例如,我们可以把网络设备、防火墙等划分到安全接入域,而把Web服务器和人事系统服务器划分到重要业务域。也可以按网络安全重要程度不同,对地面网和广域网的IT要素划分不同的安全域。资产的CIA属性赋值能够结合关联分析,计算当前单一资产以及业务系统的风险系数,从而得知当前的系统安全程度以及处理安全事件的优先级别。通过安全域的划分对业务系统和安全边界进行梳理,有利于进行有效的安全管理。
2.管理域设备的统一监控
泰合信息安全运营中心(SOC)实时收集管理域内设备的事件和日志,将不同种类的安全设备(包括不同生产厂家的设备)、网络设备、主机系统、业务系统等设备的日志、告警和事件按照统一的格式和分类进行范式化,统一安全事件的类型和级别,并按照一定规则进行过滤以及聚并,最后统一到泰合的监控平台,由一个平台实现全网的监控和管理。降低了技术人员的平均操作时间,大大提高了工作效率。
3.有效的关联分析
来自安全事件监控中心的事件,与脆弱性管理中心的漏洞信息,进行基于规则、统计等方式的事件关联分析,并结合资产(CIA属性+价值)属性进行风险评估分析,按照风险优先级针对各个业务区域和具体事件产生预警,参照网络安全运行知识管理平台的信息,通过响应管理中心进行响应处理,能实时了解当前系统的风险情况以及准确的定位安全事件,迅速进行响应处理,避免大量的非操作时间消耗。
4.分布式部署
 |
| 图2:泰合信息安全运营中心分布式部署 |
泰合能够实现国家——省——地市的分级网络部署,实现对管理域设备的统一监控以及完整的系统风险监控,能够及时发现存在于网络中任一点的安全漏洞,保障了整个网络以及重要业务系统的正常运行。
5.基于安全域(业务单元)的风险监控
安全域的划分和赋值是网络安全建设的重要环节。泰合解决方案的另一大特点,也是安全建设非常有价值的功能之一,就是可以部署基于安全域的SOC平台,将资产按业务单元划分不同的业务域和安全域名,从而实现多层次可定制的安全域管理,实现基于域的细粒度风险计算和监控,并且以安全域的思想进行风险管理。安全域作为安全建设的核心,需要长期的管理,SOC是安全域管理监控的有效工具。使用安全域管理功能,可以使安全建设从单纯的信息安全工作向业务保障转换,同时将宏观的信息安全建设向下落实。
通过数字挖掘的分析方式,从发现全局域的风险增高,逐步挖掘到相关子域、子资产、安全事件风险增高,找到风险增高的原因并定位相关安全事件和资产,迅速处理系统中存在的安全事件和隐患,降低整体系统风险,保证系统的正常运行。
6.构造可视化的管理平台
泰合信息安全运营中心提供完整和多样化的图形显示页面以及可定制的报表系统,通过大屏幕能够实时监控系统的风险趋势、资产变化、事件上报信息、脆弱性信息,域风险变化等信息,通过可定制的报表系统提供日、周、月、季、年等报表,降低了技术人员的工作量。
安全源自未雨绸缪,通过泰合平台的建立,能实时呈现出目前系统中存在的安全隐患和风险,并通过安全响应将问题及时处理。系统可提供日、周、月等等可定制的各类报表,通过风险曲线的变化,以及安全响应策略与用户办公系统的融合,能够把安全工作的价值和效率完整的体现出来,而不像传统的安全工作,在发生安全事件的时候被认为工作不力,在不发生安全事件的时候被认为无所事事。
三、综述
数字烟草建设是一项长期、复杂的系统工程,作为中国的重点行业,中国烟草经过十几年的发展,其信息化建设已经从整体上提升到了一个新的水平。
