安全管理是一個仍在繼續(xù)發(fā)展的領域，除了CC中的系統(tǒng)和產品標準、SSE-CMM中涉及到的系統(tǒng)運行安全管理和BS7799中的如風險管理和涉及安全方面的人員管理等外，企業(yè)還應該更加自己的需要制定了相應的安全政策并對此有效的執(zhí)行。

安全管理的前提是制訂保證安全目標的政策。安全政策包括物理方面的政策如關鍵計算設備的安全政策、邏輯方面的政策如數(shù)據(jù)訪問、安全政策和行政制約方面的安全政策如人員安全管理政策。安全管理的一個重要組成部分是對安全政策實施過程與結果的審計并根據(jù)審計結論采取必要的行動，目前雖然對安全管理力度的級別定義在國內的信息系統(tǒng)的等級保護中有了要求，但具體的實施細則還沒有正式執(zhí)行，目前還無法進行參照。不過有一個原則是在高密級要求環(huán)境下應采取比低密級更強的安全管理。

我們可以看看BS7799是如何建立一個企業(yè)（組織）的安全管理體系的，

BS 7799-2：2002 定義了九個實施步驟或階段：

第 1 步:定義信息安全管理體系的范圍

第 2 步:定義安全方針

第 3 步:確定系統(tǒng)化的風險評估方法

第 4 步:確定風險

第 5 步:評估風險

第 6 步:識別和評價供處理風險的可選措施

第 7 步:選擇控制目標和控制措施處理風險

第 8 步:準備適用性聲明

第 9 步:管理層批準殘余風險

另外也可以參考北京市委辦公廳、北京市人民政府辦公廳2001發(fā)布的《北京市黨政機關計算機網絡與信息信息安全管理辦法》中對信息安全管理的要求，該辦法對組織領導和責任制、安全方案審查、安全服務單位、產品資質準入、保密要求和管理制度、監(jiān)控和應急處理、信息內容、人員上崗培訓、宣傳、教育、監(jiān)督檢查、法律責任、實施時間等方面都作了不同的要求，應該說涉及面還是很廣的。

在進行自評估時，除了可以參照BS7799的控制項進行自我檢查外，還可以考慮采用外部的風險評估服務，其目的是通過系統(tǒng)的風險評估識別企業(yè)信息系統(tǒng)中的風險點，并區(qū)分出高低，例如哪些威脅才是需要關注的，定位出特地的安全需求。并且在一定條件下，指導企業(yè)進行最有效的降低總體風險和特定風險，監(jiān)控不斷變化的安全狀況，最終指導進行安全風險管理，為企業(yè)的安全管理體系的建立提供原始信息。

如何針對安全管理的內容進行管理？

首先，需要根據(jù)企業(yè)的現(xiàn)實情況，明確大概的安全方針并制定相應的安全策略。在制定策略時需要注意不能脫離實際，很多安全策略和標準實際上是為

一種理想狀態(tài)下寫的，包括一些信息安全顧問偶然也會犯這種錯誤，并沒有真正了解到當前企業(yè)的安全需求和現(xiàn)狀的情況下制定的安全策略在企業(yè)的實際實施過程中必然會出現(xiàn)問題，管理層或使用者會發(fā)現(xiàn)策略的定制者們并未理解他們真正的需要。如果這些安全策略過于理論化或限制性太強，那么企業(yè)組織就會漠視這這些策略。因此在安全策略定制必須遵循以下原則：越符合現(xiàn)狀越容易推行，越簡單越容易操作，改動越小越容易接受.同時，在制定信息安全管理制度時要注意考慮企業(yè)現(xiàn)有的文化。許多信息安全方面的規(guī)章制度都是參考制度模板或者以其他組織的規(guī)章制度為模板而制定出來的。與企業(yè)文化和業(yè)務活動不相適應的信息安全管理制度往往會導致發(fā)生大范圍的不遵守現(xiàn)象。另外，規(guī)章制度還必須包括適當?shù)谋O(jiān)督機制。

其次，要對現(xiàn)有信息系統(tǒng)進行安全評估。信息系統(tǒng)安全評估是指根據(jù)公認的標準和指導規(guī)范對信息系統(tǒng)及其業(yè)務應用的效能、效率、安全性進行監(jiān)測、評估和控制的過程，以完成企業(yè)的安全目標，同時樹立風險管理意識并遵循這個進行相關的安全體系建立。

再次，要充分認識到信息安全管理是一個過程。信息安全是一個動態(tài)的過程，必須分階段的對安全策略進行調整，同時安全攻擊和防范技術都在高速的發(fā)展，而這一切是一個沒有終點的過程，必須建立在一套好的信息安全管理機制的基礎上。

總的來說，安全管理不是一種即買即用的東西。一購買就能提供足夠安全水平的安全管理體系是不存在的。建立一個有效的信息安全管理首先需要要在信息安全評估的基礎上，制定出相關的管理策略和規(guī)章制度后，才能通過配套選用相應的安全產品搭建起整個信息安全架構?，F(xiàn)在有些企業(yè)通過安裝部分的安全產品或者制定了一些安全制度但沒有得到良好的執(zhí)行，我們也不能認為這個企業(yè)就有了信息安全管理體系，因為安全管理體系的建立是一個管理系統(tǒng)的驗證規(guī)范，

需依循“PDCA”循環(huán)進行，包括持續(xù)改善，訂定政策、管理審查、文件管制、內部稽核等。而且信息安全管理與一般管理的不同在于信息安全管理著重在風險評

估及管理，并選擇適當控制措施，將組織損失降到最低。風險評估的過程不是一段時間的工作，而是需要隨著技術的發(fā)展及企業(yè)自身的變化持續(xù)改善的過程。企業(yè)實施了一套信息安全管理體系并不表示其自身信息安全受到絕對的保護，而是確保其本身的信息安全價值、風險等已確實評估，同時為當前信息系統(tǒng)的安全狀態(tài)提供了一個快照，并在此基礎上進行不斷的控制與管理。

需要說明的是，要遵循以上要求即使對最有安全意識和執(zhí)行能力的企業(yè)來說也不是一件簡單的事，但總體來說提高信息安全管理水平已是一股不可違逆的潮流，所有的機構或企業(yè)已不是“做”與“不做”的問題，而是必須盡早實施的問題。企業(yè)應權衡自身承受安全的風險與成本，訂定出一套符合本身需求的安全政策，改善自身的營運體制，以符合國際安全標準與世界潮流。

如何建設一個安全監(jiān)控中心（SOC）？

雖然信息安全管理問題主要是個從上而下的問題，不能指望通過某一種工具來解決，但良好的安全技術基礎架構能有效的推動和保障信息安全管理。隨著國內行業(yè)IT應用度和信息安全管理水平的不斷提高，企業(yè)對于安全管理的配套設施如安全監(jiān)控中心（SOC）的要求也將有大幅度需求，這將會是一個較明顯的發(fā)展趨勢。

推行SOC的另外一個明顯的好處是考慮到在國內企業(yè)目前的信息化程度下直接實施信息管理變革的困難性，如果嘗試先從技術角度入手建立SOC相對來說阻力更小，然后通過SOC再推動相應的管理流程制定和實施，這也未嘗不是值得推薦的并且符合國情的建設方式，而且目前已經有些IT應用成熟度較高的大型企業(yè)開始進行這方面工作的試點和探索了，因為這些組織已經認識到僅依賴于某些安全產品，不可能有效地保護自己的整體網絡安全，信息安全作為一個整體，需要把安全過程中的有關各方如各層次的安全產品、分支機構、運營網絡、客戶等納入一個緊密的統(tǒng)一安全管理平臺中，才能有效地保障企業(yè)的網絡安全和保護原有投資，信息安全管理水平的高低不是單一的安全產品的比較，也不是應用安全產品的多少和時間的比較，而是組織的整體的安全管理平臺效率間的比較。下面我們就來談談建立一個SOC應該從那些方面考慮。

首先，一個較完善的SOC應該具有以下功能模塊：

l 安全設備的集中管理

n 統(tǒng)一日志管理（集中監(jiān)控）：包括各安全設備的安全日志的統(tǒng)一監(jiān)

控；安全日志的統(tǒng)一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統(tǒng)一告警平臺和統(tǒng)一的自動通知等；

模塊分析：大型網絡中的不同節(jié)點處往往都部署了許多安全產品，起到不同的作用。首先要達到的目標是全面獲取網絡安全實時狀態(tài)信息，解決網絡安全管理中的透明性問題。解決網絡安全的可管理控制性問題。從安全管理員的角度來說，最直接的需求就是在一個統(tǒng)一的界面中可以監(jiān)視到網絡中每個安全產品的運行情況，并對他們產生的日志和報警信息進行統(tǒng)一分析和匯總。

n

統(tǒng)一配置管理（集中管理）：包括各安全設備的安全配置文件的集中管理，提高各管理工具的維護管理水平，提高安全管理工作效率；有條件的情況下實現(xiàn)各安全產品的配置文件（安全策略）的統(tǒng)一分發(fā)，修正和更新；配置文件的統(tǒng)一在（離）線管理，定期進行采集和審核，對安全產品的各種屬性和安全策略進行集中的存儲、查詢。

模塊分析：目前企業(yè)中主要的安全產品如防火墻、入侵檢測和病毒防護等往往是各自為政，有自己獨立的體系和控制端。通常管理員需要同時運行多個控制端，這就直接導致了對安全設備統(tǒng)一管理的要求。不過從目前國內的情況來說，各不同廠商的安全產品統(tǒng)一管理的難度較大，統(tǒng)一監(jiān)控更容易實現(xiàn)，在目前現(xiàn)狀中也更為重要。

目前國內現(xiàn)狀是各個安全公司都從開發(fā)管理自己設備的管理軟件入手，先做到以自己設備為中心，把自己設備先管理起來，同時提出自己的協(xié)議接口，使產品能夠有開放性和兼容性。這些安全設備管理軟件和網絡管理軟件類似，對安全設備的發(fā)現(xiàn)和信息讀取主要建立在SNMP協(xié)議基礎上，對特定的信息輔助其他網絡協(xié)議。獲取得內容大部分也和網絡設備管理相同，如CPU使用情況，內存使用情況，系統(tǒng)狀態(tài)，網絡流量等。

n

各安全產品和系統(tǒng)的統(tǒng)一協(xié)調和處理（協(xié)同處理）：協(xié)調處理是安全技術的目標，同時也符合我國對信息安全保障的要求即實現(xiàn)多層次的防御體系。整體安全技術體系也應該有多層次的控制體系。不僅僅包含各種安全產品，而且涉及到各主機操作系統(tǒng)、應用軟件、路由交換設備等等。

模塊分析：目前國內有部分提法是IDS和防火墻的聯(lián)動就是基于這種思路的，但是實際的使用情況中基本上沒有客戶認同這點，原因當然有很多，但實際上要實現(xiàn)這點還需要較長的技術積累。

n 設備的自動發(fā)現(xiàn)：網絡拓撲變化后能自動發(fā)現(xiàn)設備的調整并進行基本的探測和給出信息。

模塊分析：大部分企業(yè)內部的網絡的拓撲都是在變化的，如果不支持設備的自動發(fā)現(xiàn)，就需要人工方式解決，給管理員造成較大的工作壓力，也不能掌握網絡的實際拓撲，這樣不便于排錯和發(fā)現(xiàn)安全故障?？梢圆捎米詣铀褜ね負涞臋C制。如IBM

Tivoli Netview可以自動發(fā)現(xiàn)大多數(shù)網絡設備的類型，或通過更改MIB庫，來隨時添加系統(tǒng)能識別的新的設備。

l 安全服務的集中管理

n 實現(xiàn)安全相關軟件/補丁安裝情況的管理功能，建立安全相關軟件/補丁信息庫，提供查詢、統(tǒng)計、分析功能，提供初步的分發(fā)功能。

模塊分析：微軟在對自己的操作系統(tǒng)的全網補丁分發(fā)上走的比較前，成功的產品有SUS和SNS等，國際上也有部分的單一產品是作這個工作的，但目前還沒有看到那個SOC集成了這個模塊。

n

安全培訓管理：建立安全情報中心和知識庫（側重安全預警平臺），包括：最新安全知識的收集和共享；最新的漏洞信息和安全技術,；實現(xiàn)安全技術的交流和培訓。持續(xù)更新發(fā)展的知識和信息是維持高水平安全運行的保證。

模塊分析：雖然這個模塊的技術含量較低，但要為安全管理體系提供有效的支持，這個模塊是非常重要的，有效的安全培訓和知識共享是提示企業(yè)的整體安全管理執(zhí)行能力的基礎工作，也有助于形成組織內部統(tǒng)一有效的安全信息傳輸通道，建立安全問題上報、安全公告下發(fā)、處理和解決反饋的溝通平臺。

n

風險分析自動化：自動的搜集系統(tǒng)漏洞信息、對信息系統(tǒng)進行入侵檢測和預警，分析安全風險，并通過系統(tǒng)安全軟件統(tǒng)一完成信息系統(tǒng)的補丁加載，病毒代碼更新等工作，有效的提高安全工作效率，減小網絡安全的"時間窗口"，大大提高系統(tǒng)的防護能力。

模塊分析：安全管理軟件實施的前提是已經部署了較完善的安全產品，如防火墻，防病毒，入侵檢測等。有了安全產品才能夠管理和監(jiān)視，安全管理平臺的作用在于在現(xiàn)有各種產品的基礎上進行一定的數(shù)據(jù)分析和部分事件關聯(lián)工作，例如設置掃描器定期對網絡進行掃描，配合該時間段的入侵檢測系統(tǒng)監(jiān)控日志和補丁更新日志，就可以對整網的技術脆弱性有個初步的了解。

l 業(yè)務流程的安全管理

n 初步的資產管理（資產、人員）：統(tǒng)一管理信息資產，匯總安全評估結果，建立風險管理模型。提供重要資產所面臨的風險值、相應的威脅、脆弱性的查詢、統(tǒng)計、分析功能。

模塊分析：國內外安全廠商中資產管理功能都很簡單，和現(xiàn)有的財務、運營軟件相差非常大，基本上是照般了BS7799中的對資產的分析和管理模塊。

n

安全管理系統(tǒng)與網管系統(tǒng)的聯(lián)動（協(xié)調處理）：安全管理系統(tǒng)和網絡管理平臺已經組織常用的運營支持系統(tǒng)結合起來，更有效的利用系統(tǒng)和人力資源，提高整體的運營和管理水平。

模塊分析：如果可能的話，由于各產品的作用體現(xiàn)在網絡中的不同方面，統(tǒng)一的安全管理平臺必然要求對網絡中部署的安全設備和部分運營設備的安全模塊進行協(xié)同管理，這也是安全管理平臺追求的最高目標。但這并非是一個單純的技術問題，還涉及到行業(yè)內的標準和聯(lián)盟。目前在這方面作的一些工作如

Check Point公司提出的opsec開放平臺標準，即入侵檢測產品發(fā)現(xiàn)攻擊和check

point防火墻之間的協(xié)調，現(xiàn)在流行的IPS概念，自動封鎖攻擊來源等，都在這方面作了較好的嘗試，在和整體的網絡管理平臺的結合方面，目前國內外作的工作都較少，相對來說一些大型的IT廠商如IBM/CISCO/CA由于本身就具備多條產品線（網絡、安全、應用產品），其自身產品的融合工作可能已經作了一些，但總體來說成熟度不高。

n

與其它信息系統(tǒng)的高度融合：實現(xiàn)與OA、ERP等其他信息系統(tǒng)的有機融合，有效的利用維護、管理、財務等各方面信息提高安全管理水平。安全管理的決策分析和知識經驗將成為公司管理的重要組成部分。

l 組織的安全管理

n

組織構成：根據(jù)企業(yè)的不同情況建立專職或兼職的安全隊伍，從事具體的安全工作。由于信息安全工作往往需要多個業(yè)務部門的共同參與，為迅速解決業(yè)務中出現(xiàn)的問題，提高工作效率，公司必須建立跨部門的協(xié)調機制。具體協(xié)調機構應由專門的安全組織負責，并明確牽頭責任部門或人員。有條件的企業(yè)或者組織應成立獨立的安全工作組織。

n 組織責任：

a) 建立健全相關的安全崗位及職責；

b) 制定并發(fā)布相關安全管理體系，定期進行修正；

c) 對信息系統(tǒng)進行安全評估和實施，處理信息安全事故；

f) 部門間的協(xié)調和分派并落實信息安全工作中各部門的職責；

以上是SOC必須具備的一些模塊，現(xiàn)階段國內外也有一些廠商推出了安全管理平臺軟件，從推動整個行業(yè)發(fā)展來看當然是好現(xiàn)象，但蘿卜快了不洗泥，其中也存在一些發(fā)展中的問題，比如作為一個SOC必然要求具備統(tǒng)一的安全日志審計功能，但單一安全設備審計軟件不能等同于安全管理平臺，究其原因為國內現(xiàn)有安全廠商中安全設備廠商占多數(shù)，優(yōu)勢項目是在已有安全設備上添加統(tǒng)一日志管理和分析功能，由于是單個廠商的行為缺乏整體的行業(yè)標準，導致目前的安全審計軟件普遍缺乏聯(lián)動性，不支持異構設備，就算是對java的支持各個廠商的實現(xiàn)力度也不同，普遍只具備信息統(tǒng)計功能和分析報告的功能。。

在目前的安全管理平臺提供商中，能提供完整的產品體系廠商非常少。而號稱專業(yè)的安全產品廠商，因為安全產業(yè)起步很晚，這些廠商只能在某個領域做深，還無法提供整套的安全產品線，這也是一個現(xiàn)實。作為用戶應該認清需求，把各種安全產品在自己網絡中結合起來，深入了解安全管理平臺提供商的實力，才能夠達到安全目的，滿足自己的安全需求。

最后，從投入產出比的角度來說，因為SOC往往只是一個軟件平臺的開發(fā)工作，大多數(shù)情況下不需要或者較少需要新的硬件投入，總投入往往不是很大，如果上了SOC后即使不能完善和推薦安全管理體系，也可以起到減輕管理員的工作負擔，增強管理員的控制力度，并對整個網絡內的安全狀況進行統(tǒng)一監(jiān)控和管理的作用，這樣總體來說安全管理平臺SOC的投入產出就非常值得。

擴展閱讀

版權聲明：