一、背景
作为中国的重点行业,中国烟草经过十几年的发展,其信息化建设已经从整体上提升到了一个新的水平。2005年中国烟草行业继续执行“深化改革、推动重组、走向联合、共同发展”十六字方针,从成长进一步走向成熟。
2005年10月,国家烟草专卖局出台了《数字烟草发展纲要》,以指导行业信息化工作。建设数字烟草是顺应行业发展,全面提升行业信息化建设水平,确保行业信息化建设科学有序推进,促进行业持续、稳定、协调、健康发展的重要举措。2006 年,《数字烟草发展纲要》转化成实施规划,将带动烟草行业 IT 投资稳定增长。2006年3月21日召开的全国烟草行业信息化工作会议要求要以高度的责任感进一步推进行业信息化建设,要充分利用现有资源,进一步加强集成整合,建设统一的数据中心,保证行业信息资源上传下达、左右协同、资源共享。
二、需求分析
国家局“十五”期间提出了关于烟草行业信息化建设的要求,即实现“系统集成、资源整合、信息共享”。随着数字烟草的持续建设,各种网络基础设施,应用系统的不断完善和升级,信息系统与核心业务绑定得越来越紧密,信息系统安全问题会直接影响核心业务的安全稳定,所以网络基础设施的安全和业务系统的安全成为现代信息安全的核心问题,网络安全的建设也成为数字烟草建设的重要组成部分。
在数字烟草网络安全建设的过程中,面临着许多困难与挑战,我们分别从微观、中观和宏观这三观的角度来分析:
1. 从微观角度看:在技术层面,很多用户采购大量的安全设备,利用部署IDS、防火墙、防病毒、漏洞扫描等网络安全设备,构造安全检测与防御体系,使得技术人员不得不面对不同产品的控制中心,如果采购不同厂家的设备,还面临各厂家事件定义不同的问题,大大增加了技术人员的操作难度和负担。同时,海量的事件也让技术人员疲于处理,难以准确的把握系统中真正的安全隐患,无法确定处理安全事件的优先级别。
2. 从中观的角度:在管理层面,部门管理者面对着人员和管理的问题。负责安管的人员大部分是原来的网管人员,缺乏足够的安全管理专业人才,现有管理人员的专业度有待提升,相关人员的工作效率也需要提高。如何有效的衡量工作成果,体现工作价值也是需要考虑的问题。另外,跨地域的分支机构如何实现人员和网络的统一监管,如何准确的定位业务系统与单一资产的风险?这些问题将会突现。
3.从宏观角度:决策层面更加关注如何能让业务系统正常运行,如何能清楚的知道目前的网络是否是一个稳健,能长期正常运行的网络。在网络安全上的投资是否能保证整个系统的正常运行。
在这样的背景和需求下,启明星辰信息技术有限公司作为国内网络安全行业的领导企业,面对现今网络发展趋势以及数字烟草的发展需求,从全局角度出发,为烟草行业用户提供了业界领先的泰合信息安全运营中心(SOC)解决方案,帮助用户建立统一的管理平台,结合基于安全域的资产管理,实现全局的安全形势分析和动态监控,给烟草行业的用户提供了一个能解决技术、管理、决策上若干问题的平台化工具。
三、构建烟草行业的安全运营中心(SOC)
泰合是启明星辰提出的信息安全运营中心(SOC)解决方案。泰合信息安全运营中心由“四个中心、五个功能模块”组成:“四个中心”是漏洞评估中心、事件流量监控中心、运行状态监控中心、综合分析决策支持与预警和响应管理中心;“五个功能模块”是策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理模块。
为稳步推进烟草行业信息化建设,全力打造数字烟草,泰合从安全管理与运营的角度,结合网络层安全、应用层安全、系统层安全、物理层安全几个方面,满足烟草国家局(公司)、省局(公司)、市局(公司)、各卷烟工业企业四个层次的信息需求,努力构造可信、可视、可控的完整化安全防御体系。
1. 搭建基于业务安全域的资产管理模块
根据烟草行业业务系统和IT系统要素的不同安全要求,划分安全域(业务子系统),并根据管理域内的每个资产的安全需求赋予不同的CIA属性值。例如,我们可以把网络设备、防火墙等划分到安全接入域,而把Web服务器和人事系统服务器划分到重要业务域。也可以按网络安全重要程度不同,对地面网和广域网的IT要素划分不同的安全域。资产的CIA属性赋值能够结合关联分析,计算当前单一资产以及业务系统的风险系数,从而得知当前的系统安全程度以及处理安全事件的优先级别。通过安全域的划分对业务系统和安全边界进行梳理,有利于进行有效的安全管理。
2. 管理域设备的统一监控
泰合信息安全运营中心(SOC)实时收集管理域内设备的事件和日志,将不同种类的安全设备(包括不同生产厂家的设备)、网络设备、主机系统、业务系统等设备的日志、告警和事件按照统一的格式和分类进行范式化,统一安全事件的类型和级别,并按照一定规则进行过滤以及聚并,最后统一到泰合的监控平台,由一个平台实现全网的监控和管理。降低了技术人员的平均操作时间,大大提高了工作效率。
3. 有效的关联分析
来自安全事件监控中心的事件,与脆弱性管理中心的漏洞信息,进行基于规则、统计等方式的事件关联分析,并结合资产(CIA属性+价值)属性进行风险评估分析,按照风险优先级针对各个业务区域和具体事件产生预警,参照网络安全运行知识管理平台的信息,通过响应管理中心进行响应处理,能实时了解当前系统的风险情况以及准确的定位安全事件,迅速进行响应处理,避免大量的非操作时间消耗。
1. 分布式部署
泰合能够实现国家——省——地市的分级网络部署,实现对管理域设备的统一监控以及完整的系统风险监控,能够及时发现存在于网络中任一点的安全漏洞,保障了整个网络以及重要业务系统的正常运行。
2. 基于安全域(业务单元)的风险监控
安全域的划分和赋值是网络安全建设的重要环节。泰合解决方案的另一大特点,也是安全建设非常有价值的功能之一,就是可以部署基于安全域的SOC平台,将资产按业务单元划分不同的业务域和安全域名,从而实现多层次可定制的安全域管理,实现基于域的细粒度风险计算和监控,并且以安全域的思想进行风险管理。安全域作为安全建设的核心,需要长期的管理,SOC是安全域管理监控的有效工具。使用安全域管理功能,可以使安全建设从单纯的信息安全工作向业务保障转换,同时将宏观的信息安全建设向下落实。
通过数字挖掘的分析方式,从发现全局域的风险增高,逐步挖掘到相关子域、子资产、安全事件风险增高,找到风险增高的原因并定位相关安全事件和资产,迅速处理系统中存在的安全事件和隐患,降低整体系统风险,保证系统的正常运行。
3. 构造可视化的管理平台
泰合信息安全运营中心提供完整和多样化的图形显示页面以及可定制的报表系统,通过大屏幕能够实时监控系统的风险趋势、资产变化、事件上报信息、脆弱性信息,域风险变化等信息,通过可定制的报表系统提供日、周、月、季、年等报表,降低了技术人员的工作量。
安全源自未雨绸缪,通过泰合平台的建立,能实时呈现出目前系统中存在的安全隐患和风险,并通过安全响应将问题及时处理。系统可提供日、周、月等等可定制的各类报表,通过风险曲线的变化,以及安全响应策略与用户办公系统的融合,能够把安全工作的价值和效率完整的体现出来,而不像传统的安全工作,在发生安全事件的时候被认为工作不力,在不发生安全事件的时候被认为无所事事。
四、综述
数字烟草建设是一项长期、复杂的系统工程,启明星辰信息技术有限公司以业内领先的技术,结合对烟草行业多年的关注与分析,提供业界一流的网络安全管理平台,及一套由网络安全技术转向安全管理的工具和手段,助数字烟草建设一臂之力!
背景资料:
“泰·合”盛境
很难想象在最能体现科技发展之迅猛的信息安全领域,启明星辰专业的信息安全管理平台却有着十分古典而意味悠长的名字——泰合。
这个名字的由来其实很简单:泰是平台的“台”字的谐音,平台就是要将各种模块整“合”起来,这两个字放在一起,代表启明星辰所有平台类安全产品的总和,以及这些产品所支持的智能化安全管理系统。但事实上,“泰合”的含义远不止于此。这两个字承载着这个产品的团队乃至启明星辰公司的理念、愿望、使命和境界。
《子汇》曰:泰,安也。十一卦中有“泰卦”象征通达,这时弱小者离去,强大者到来,吉祥,亨通。国泰民安、否极泰来、泰然自若、泰山北斗……启明星辰用这一个“泰”字,表达信息安全管理平台带给用户的安详和自然,让用户面对纷繁芜杂的威胁时,处之泰然,享之泰然。
《说文》曰:合,合口也。六十四卦中有六个“合卦”,坤上乾下的地天泰卦就是六个合卦之一。“合”表示和合、和顺、合好的意思,谋事易成。天时地利人和、以和为贵、天人合一、阖家团聚、不谋而合、合舟共济……启明星辰用这一个“合”字,寓意信息安全管理平台将不同的产品集合成一个有机整体,实现协同运作,让用户感到和睦、和谐与融洽。而“合”的含义不仅表现在产品的形态上,还体现于产品开发过程中与其他企业和机构的融洽合作中。
由此看来,泰合两个字都已经不是简单的具象文字了,而是具有一定抽象意境和愿望的文字。如果从启明星辰的三观论来说,天阗入侵检测、天镜漏洞扫描、天清安全网关类、天玥安全审计等产品的名字都是具象的,代表了具体实现微观功能的产品,那么“合”所承载的,则是在中观层次的、能够将微观能力整合在一起的能力、原则和方法。
“泰”所表达的是“合”全面能力所期望达成的宏观使命——“泰然、安然”。启明星辰衷心期望,用户在享受泰合信息安全管理平台带来的安全的同时,也能够充分地体会“泰·合”的宏大意境。