2010年11月26日,由中国计算机用户协会和金融时代网联合主办的“2010年度中国金融科技发展论坛”在北京新世纪日航饭店隆重举行。来自金融管理机构、部分中央部委,以及几十家银行、证券、保险等领域的信息科技工作者、IT专家二百余人出席了本次论坛。东软NetEye安全运维平台(SOC)荣获“2010年度十大金融科技企业用户信赖产品”。
本届中国金融科技发展论坛主题为时下金融业高度关注的“金融信息安全”。会议中,中国工程院院士、中国计算机学会信息保密专业委员会主任沈昌祥就我国信息安全等级保护建设整改话题发表了精彩的演讲,其他与会专家、行业用户及前沿厂商代表也各自业务中安全建设出现的问题与经验积累展开积极讨论。金融信息系统呈现使用对象多样化、安全风险多方位、与对外应用系统关联性强、信息可靠性、保密性要求高等诸多特点。尤其是国际金融危机爆发后,金融系统的风险防范意识和监管力度被提升到了前所未有的高度。金融行业因其业务的特殊性和重要性,在信息安全建设中一直走在各行业前列,目前也已经部署了较为完整的信息安全防护体系,然而彼此相对独立的安全设备之间如何协调互动,步调统一的实现安全运维管理和信息安全保障是目前金融行业安全建设中函待解决的问题之一。
传统安全管理模式的诸多弊端
传统的安全管理模式是被动的事故驱动模式,遵循报警、调查、防御三个基本步骤进行操作,行动总是过于迟缓。将被动的“事故”驱动调整为主动的“事件”驱动,可以实现安全问题尽早发现和处理,从而最大化地降低信息安全保障成本。
信息安全的起源是对抗,而对抗对信息安全的发展也起到了推波助澜的作用。对抗的结果是极大地丰富了技术层面,但它不能解决所有的问题。传统的安全框架重技术,轻人员团队建设,轻流程执行。当开始强调流程、技术与人的控制环节的相互整合时,许多隐藏的矛盾就浮出了水面。如何让很少的人通过那些无法执行或者很少执行的流程来把技术管好,是摆在运维人员面前的一个挑战。
传统安管产品的最大设计缺陷在于缺少全面的监控理念。国内大部分安全管理厂商的产品设计仅仅关注安全产品的安全事件收集与分析,力图在安全产品告警中找出当前网络风险的真实变化。这样的设计模式忽略了不同事件在不同的网络环境中具有的一定特异性。产品容易面临诸如来自客户的针对安全事件过于频繁等挑战。当安全告警的数据量呈现爆炸增长时,再进行真实的分析,基本上是不可能的,因为这些事件没有结合真正的应用环境,相对孤立、无源。
从“就事论事”到“全面监控”
今天的信息安全管理体系建设应清楚认识到一个事实,即:信息安全必须为应用服务。安全运维管理平台在监控整个系统安全状况的同时,不能够只看安全设备的告警,还应该将触角伸向各个纵深层面,尽可能多地收集与之相关的一切信息,实现从“就事论事”的告警事件分析到“全面监控”的关联风险分析的转变。例如IDS单独的事件分析中,我们通过与资产基本信息关联、与资产补丁信息关联、与资产的运行状态关联,去确认威胁发生的可能性。要实现所有这些信息的灵活应用,需要依赖广泛的数据采集。
安全运维管理过程中的难点
难点一:集中模式。数据大集中的发展模式,导致了人才的相对集中,安全技术人员相对不足且普遍工作压力较大,并且有些分支机构的安全维护工作往往处于空白状态。
难点二:事件采集。防火墙、UTM、入侵检测、漏洞扫描等成熟产品进行细粒度检测时,每天会产生大量的日志信息等待分析和处理。解决某个具体问题时,安全运维人员需要从网络、系统、应用、安全产品以及后台数据库等多个角度才能完整判断故障概率和成因。
难点三:信息复用。网络、系统主机、应用以及安全管理人员工作内容多有交叉。而今天的信息安全问题往往涉及技术、运维、管理等多个层面的诸多环节,安全运维工作也需要统一考虑、全盘设计,方能提升效率,减少内部的反复沟通。
东软NetEye安全运维平台(SOC)设计思路
东软SOC针对系统服务平台的应用特点,将主机、网络、系统、安全、流量与应用系统的健康监控工作统一纳入其工作范畴。采用多种方式定期轮询系统运行的性能数据,收集告警信息,并通过创新的核心关联分析技术,将网管与安管系统合二为一。例如针对一次攻击行为,看它是否带来了网络异常流量,是否带来了系统性能占用异常,是否带来了中间件和数据库进程错误等统一进行分析定位。东软SOC真正做到了将风险分析和系统应用的统一关联,更好的对系统和网络中出现的异常精准定位、做出判断,并通过多种自定义报表形式展示给不同层面的运维人员。所有事件作为工单进行处理后都会成为经验案例长期保存,能够方便分支机构人员在知识库中找到以往类似事件作为参考,也为所有资产建立了信息安全健康状况体检表,伴随其整个生命周期。另外,通过内置分析引擎对历史数据定期检索,能够针对网络设备、系统主机、安全产品、应用软件和数据库的升级以及策略调整提供合理化建议。
简而言之,东软SOC可以帮助用户从海量告警信息中找出哪些是真正需要处理的问题,并能够根据资产关联风险分析定义其重要性,并迅速提供可行的解决方案……这些是东软SOC在操作层面上的优势和特点。在产品设计理念方面,东软SOC遵守典型的“二八法则”,即80%的功能属于通用模块。在后续使用的2-3年中还会产生20%的个性化需求,而往往正是能否满足这些后续的个性化需求最终决定了项目实施成功与否的技术高度。此时考验的是厂商持续的研发投入能力、各种应用系统开发以及专家型人才的技术储备和丰富的行业实施经验。