天融信安全运维管理平台助力烟草业蓬勃的发展,党的十七大提出,全面推动以信息技术为支撑的工业化发展方针,国家烟草总局也提出进一步用信息化带动烟草行业现代化建设的要求。为保障烟草行业的信息化,国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》明确了行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。
随着新的烟草业务信息系统的上线,如商业的网上订货系统、工业的MES生产执行系统等。这些信息系统的建设,改变了传统的烟草生产、营销、管理的模式,自然也影响着用户的信息化建设步伐。为了更好的支持全国烟草信息化的管理和发展,总公司也需要对原有的业务管理系统和基础网络进行升级与改造,以满足和适应全国烟草生产和营销数据的收集和统计分析,加强烟草市场的管理。
一、安全问题
通过我们与烟草用户的交流,了解到用户近些年采取了许多安全手段和措施,包括防火墙边界控制、防病毒查杀、终端行为监管、数字证书认证、主机入侵检测等。虽然这些安全机制在过去保障用户网络的安全运行起到了很大的作用。但是,还是存在以下问题:
基础安全建设完善,但安全事故仍然时有发生
如何统一安全设备的安全策略
如何统一安全运维流程
缺乏全局性的统一安全管理
安全技术与管理制度的脱节
为了有效的保障烟草业务系统的安全、可靠和畅通的运行,通过建立以策略为核心的态势感知与预警系统,重点提升对烟草用户的网络、重要业务系统主要安全威胁的可知、可控、可管理能力。
二、解决方案
针对烟草行业用户的以上问题,天融信提出了基于天融信安全运维管理平台的解决方案,保障用户网络安全设施能最大限度地发挥其功能,解决烟草行业用户的安全管理与运维需求。天融信安全运维管理平台主要从以下两个方面提供解决措施:
依据天融信安全运维管理平台知晓全局,分析业务流程,对业务系统的运行进行有效的安全监控、安全审计、健康性评估等方面的管控;
依据天融信安全运维管理平台,从全局的角度进行安全策略的管理,实时的事件监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告、健康性报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除网络、系统和组织中的问题与安全隐患。
只有这样,烟草用户的信息网络和业务应用系统才能真正地实现安全运行,从而形成确实有效的安全保障体系和管理机制。
部署示意图如下所示:
根据烟草行业用户的网络特点和业务系统的运行要求,天融信安全运维管理平台部署到总部安全管理区域,主要通过以下安全模块实现全局安全的监控与预警:
根据用户对业务系统的重要程度设定安全策略:
1.脆弱性管理:实现对重要信息资产安全脆弱性的收集和管理,并为安全运维管理平台提供安全脆弱性信息的查询、呈现等功能,帮助管理员及时掌握网络中各个系统的最新安全漏洞。
2.风险管理:由风险分析模块与风险控制模块共同构成。其中风险分析模块采用基于ISO27001标准的风险模型,结合安全服务的最佳实践,可以提供面向企业的、实时的风险现状的整体评估。安全管理平台即可以根据多项指标计算出资产所面临风险数值,并根据指标的变化实时计算得出资产当前的风险状况。也可以通过仪表盘的形式显示资产或安全域的风险信息,包含风险走势、风险平均值、以及当前风险值等。另外,还可以显示当前威胁和相关的漏洞信息。还可以自动地对超过既定阀值的风险进行响应,提醒管理员关注此资产的安全风险,以采取必要的安全防护手段。当用户采取了有效的安全防护手段以后,该资产风险分析参数中的安全威胁可能会降低,安全措施参数可能会升高,从而会降低该资产的风险数值到一个较低的级别。
实时动态监控与分析
1.事件监控:监控各个网络设备、主机系统以及安全产品等的日志信息、安全事件报警信息,及时发现正在和已经发生的安全事件,快速发现这些事件中的内在关联,快速定位事件产生的真实原因,并通过响应模块采取措施,保证网络和业务系统的安全、可靠运行。
2.网络管理:提供对构成信息系统的设备、主机、应用、安全等资产的综合管理与监控,系统支持全面的拓扑管理,包括自动的拓扑发现,设备状态监控,设备维护,集成的风险与事件展现等。
3.关联分析:使用攻击状态机模型来抽象和描述攻击行为,建立多种攻击关联场景,能有效地从大量安全事件中准确识别出真实的入侵行为。从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。
快速、精准响应与运维管理
1.预警管理:管理并实时呈现安全管理中心所提供的各类安全威胁、安全风险、安全态势、安全隐患等信息,督促和指导各级安全管理部门及时做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
2.安全响应管理:提供对响应流程和响应方式的管理。在专家系统和知识库的支持基础上,针对各类用户所关心的安全问题进行响应。提供应急响应流程和相关知识信息。
3.工单管理:基于状态的工单可以实现标识当前工单的处理状态,用户对工单的处理操作会使工单能够自动实现工单状态的变迁。对于需要简化流程的用户可以直接跳过一些工单状态,实现工单处理流程的剪裁。
4.工作流管理:用于定义、实现和管理工作流运行,它和工作流执行者(人、应用)交互,推进工作流实例的执行,并监控工作流的运行状态。
策略的验证与调整
1.安全策略管理:通过安全运维管理平台的建设可以进一步完善整个网络的安全策略体系建设,为全网安全管理人员提供统一的安全策略,为各项安全工作的开展提供指导,有效解决因缺乏口令、认证、访问控制等方面策略而带来的安全风险问题。
2.知识管理:将处理的安全事件方法和方案,标准漏洞信息和标准事件信息收集起来,形成安全共享知识库。安全知识库信息的发布,不仅可以充分共享各种安全信息资源,而且也会成为各级网络安全管理机构和技术人员之间进行安全知识和经验交流平台,有助于提高人员的安全技术水平和能力。
3.辅助决策:对于大部分用户在处理威胁发生时,缺乏足够的知识积累,因此可以造成错误的安全响应。而辅助决策系统恰恰利用安全专家知识库为用户提供针对具体威胁的辅助决策建议和安全响应脚本。
三、建设效果
通过安全运维管理平台的统一的安全策略管理,协助烟草用户制定各种级别、针对不同对象(人员、设备、应用)的安全策略,实现烟草用户安全策略的快速导入以及安全策略的集中分级管理。同时支持安全策略的资料导出、安全策略的资料统计、安全策略的定时发布、安全策略评估等功能,实现用户信息系统的所有安全策略的全程、统一的管理 ,最终完善用户以安全策略为核心,管理体系、技术体系和运维体系共同支撑的信息安全保障体系,实现了烟草用户以下的安全建设目标:
1.天融信安全运维管理平台实时的、动态的提高烟草行业用户安全技术保障能力,解决目前面临的主要网络安全问题;
2.天融信安全运维管理平台高效的、系统的完善烟草行业用户技术措施来保障安全管理的有效执行,加强技术与管理的结合;
3.天融信安全运维管理平台循序渐进的促进烟草行业用户统一安全策略,实现对网络、安全等设备集中监管,加强网络监控,全面显示安全情况,提高网络安全综合防护能力。
【编辑推荐】