信息通信资源安全管控建设研究

作者: 周云     消息来源: 信息安全与通信保密杂志社         消息类型: 行业新闻         发布日期:2020-08-03


信息通信资源安全管控是通信网络、信息系统可靠运行,有效提供服务功能的重要保障。信息通信资源安全管控建设要将国际、国内信息安全管理标准规范有机融入运维管理流程之中, 以云服务架构为基础,构建云化管理、服务配置的信息通信资源安全管控体系框架,基于流程引擎、大数据分析、统一凭证、在线分析等技术,建立安全可控、敏捷定制的信息通信资源运管流 程和统一控制、多维审计的信息通信资源安全监管,真正实现全过程安全可控的信息通信资源 管理。

关键词:
信息通信资源;安全管控体系框架;安全管控月艮务;安全管控流程

内容目录:
0 引 言
1 信息通信资源安全管控建设思路
2 信息通信资源安全管控技术体系设计
2.1 技术体系框架
2.2 统一云服务架构
2.3 统一凭证管理架构
2.4 运维管理流程安全管控嵌入
2.5 运维行为全过程智能审计
3 信息通信资源安全管控平台
3.1 信息通信资源安全管控平台框架
3.2 信息通信资源安全管控功能
3.2.1 行为监测预警
3.2.2 运维综合审计
3.2.3 运维日志管理
3.2.4 操作监测处置
3.2.5 访问控制与授权
3.2.6 运维流程管理
3.3 基于流程的安全管控过程
4 结 语

0   引言
随着国家大力推进信息化建设,通信网络、信 息系统等信息通信资源增长迅速,国家《网络安全 法》的颁布也使信息通信资源安全运维管理的重要 性更加凸显。与《网络安全法》、国际信息安全管 理标准(如 IS0/IEC 27001、IS0/IEC 20000)、国 家信息安全等级保护的相关要求相比,当前信息 通信资源安全管理中仍存在一些突出问题:从资源 事前安全管理上看,缺乏对运维帐户的统一安全管 理,缺少运维操作行为的事前审批,资源、运维人 员、管理流程之间尚未进行有效安全管理关联。从资源事中安全管理上看,运维人员对资源的操 作行为缺乏约束,管理人员无法准确掌握资源运 维操作的实时过程,无法及时对各种违规、可疑 安全事件报警,形成资源监管盲区。从资源事后 安全管理上看,运维人员资源操作行为无全面日 志记录,管理人员无法对资源操作行为的合理性、 过程的合法性、结果的真实性进行客观审核,安 全事故追溯取证手段缺乏。

面对信息通信资源管理中存在的安全风险,需 要在深入分析信息安全管理标准和信息通信资源管 理过程的基础上,建立流程化、规范化、信息化的安全管理方式,综合应用云服务架构设计、管理 流程安全管控嵌入、统一凭证管理、行为在线安全 审计、流程交换引擎、安全数据智能分析等新技术, 构建灵活服务支撑、统一访问控制、可视智能监管 于_体的信息通信资源安全管控体系,真正形成事 前预防、事中管控、事后评估的完整信息通信资源 安全闭环管理。

1   信息通信资源安全管控建设思路
信息通信资源安全管控体系的构建要围绕应用 信息系统资源、核心服务器资源和关键通信网络资 源的运维管理过程,要解决如何规范调整形成安全 可控的资源管理流程,如何以灵活快捷的服务方式 提供安全管理能力,如何基于运维安全大数据实现 全维度安全视角能力,以及如何实现动态管理的身 份认证和智能可视的安全审计等。因此信息通信资 源安全管控体系的主要构建思路:

(1 )建立全程可管可控的资源统一管理流程。以信息安全管理法规和标准为依据,通过规范和调 整信息通信资源运维管理流程,统一流程中安全管 控内容,统一安全管控策略制定,统一身份认证和 权限管理。通过账户和凭证集中管理、安全运维权 限流程审批等,建立配置管理数据库、多维关联关 系、多种管理机制,实现信息通信资源运维操作和 审计分析等管理流程的安全。通过信息通信资源管 理及运维流程的结合,实现运维访问记录与资源管 理、运维人员的紧密关联。

(2) 构建基于云服务的统一安全管控基础设 施。以云服务架构为基础,将分散在各级的信息通 信资源管理工作转移到云端进行,实现信息通信资 源管理的综合安全监控和全方位运维管理保障,按 管理职能需求灵活提供管理流程定制、密码及权限 管理、运维过程审计、数据智能分析等管理能力, 形成集中统一的运维管理服务。


(3) 建立以资源安管数据为基础的全维安全 监管。基于各类信息通信资源管理的过程数据,通 过资源应用在线和模拟分析,准确掌握资源配置数 据合规性,资源使用安全性影响,以及运维数据与 安全策略符合程度等,满足信息通信资源的安全监 管要求。从信息通信资源管理中涉及的管理权限、 操作行为、控制策略、应用范围、人员技能等维度 实现多指标的数据分析。


(4) 增强信息通信资源动态智能安全管控能 力。以统一凭证管理为基础,动态生成用户访问凭 证,并对其生成、分发、使用、吊销等全生命周期 进行管理。运维账户严格按照安全规则设置、保管、变更,运维操作权限实行依职按需集中统一管理。建立资源管理在线审计与资源对象、运维人员的对 应关联关系,对取得合法权限的访问行为进行全面 过程监控审计,对敏感资源访问、操作行为错误、 关键信息泄露、安全事件进行预警、痕迹化记录追踪、及时响应处置。


2   信息通信资源安全管控技术体系设计

2.1 技术体系框架
针对信息通信资源管理地域范围广、资源要素 多样、运管人员复杂等特点,综合采用云服务模式 中的基础设施即服务(Infrastructure as a Service, laaS )和软件即服务(Software as a Service, SaaS ) 的分布式云服务架构E构建安全管控云服务基础 平台,面向各级信息通信资源运维管理部门统一提 供可按需配置的资源安全管控服务,依据信息安全 管理技术标准和规范,对各类信息资源运维操作进 行标准化的事前审批、事中监管、事后评估闭环管理,解决信息通信资源运维管理中存在的服务主体 不可管、服务行为不可控、服务结果不可知等问题, 从而有效增强信息通信资源运维安全管控综合服务 能力。信息通信资源安全管控技术体系框架设计如 图1所示。
 
图1信息通信资源安全管控技术体系框架
2.2 统一云服务架构

云服务架构以安全可控云计算软硬件为核心, 建设计算、存储、网络资源安全分区,为信息通信 资源安全管控体系提供运行风险可控的云计算基础 设施支撑。统一云服务架构以laaS和SaaS两类服 务模式为基础,采用集中管理、分级授权的资源服 务与运维安全管理模式。
laaS服务模式:建立覆盖全网的安全可控云服 务架构,所有云资源统一集中管理。各级用户需要 使用云服务资源(包括硬件资源和系统软件资源) 时,通过向云服务管理中心提交申请,说明需要资 源的详细清单,经审核通过后,按照需求分配资源, 并通过云资源管理调度系统自动完成资源分配。云 服务管理中心统一对云资源的使用过程进行监管。
SaaS服务模式:云服务架构提供的管理服务功 能包括资源管理、人员管理、流程管理、工具管理、 审计管理、动态凭证管理、安全管理、权限管理、 报表管理等主要内容。按照国际、国内信息安全管 理的标准和规范,将信息通信资源安全管控功能通 过服务组件进行分解,服务组件间最大程度的松耦 合,并实现相应的系统管理功能。服务组件之间可 以实现动态合并、重构、协同等,满足跨区域、 跨系统的大规模服务管理要求。各级用户需要在 本级范围进行资源运维安全管控时,通过向云服 务管理中心提交申请,说明需要管理的资源、人员、 流程的基本情况,由管理中心为用户分配服务功 能组件,并通过图形化配置完成用户端管理系统 部署。云服务管理中心为各用户端管理系统统一 提供动态凭证、安全审计、安全分析、安全控制等 安全管理功能。

2.3 统一凭证管理架构
统一凭证管理架构通过采用统一凭证管理服务 器,对被管信息通信资源的访问凭证进行统一管理, 根据管理工作需求,通过动态凭证颁发、撤销等方 式管理资源访问权限,实现资源访问行为可管可控, 以及对维护人员访问活动可管、可控、可查。统一 凭证管理为不同的用户动态生成不同的访问凭证, 并对产生的凭证全生命周期进行管理。统_凭证管 理系统根据网络规模采用集中式管理架构和分级式 管理架构。

集中式管理架构,是在全网部署一套凭证服务 管理系统,所有访问授权审批均由同_服务器完成, 堡垒机根据网络结构按需配置。通常可在顶级网络 部署凭证服务管理系统,堡垒机按局域网为单位进 行配置,每个堡垒机负责本局域网内所有被管资源 的管理,并统一接入至凭证服务管理系统。客户端 可以按需接入凭证服务管理系统和各个堡垒机实施 相应操作。

分级式管理架构,是在全网部署一套凭证服务 管理系统,同时根据网络架构分为多个级别,各级 别之间为树形关系,相互之间可以跨级协同。堡垒 机的部署与集中式部署模式一样,配置于各级局域 网,但凭证服务管理系统不只部署于顶级网络,还 可在多个层级网络中部署,以实现分级管理。每级 凭证服务管理系统拥有不同的管理权限,负责不同 的管理对象。客户端可以按需接入各级凭证服务管 理系统和各个堡垒机实施相应操作。

2.4 运维管理流程安全管控嵌入
资源运维管理流程安全管控嵌入是在信息通信 资源故障管理、配置管理、变更管理、事件管理等 运维管理流程中,实现相应的安全管控机制,从而 实现资源管理过程可控、资源访问操作可预测、运 维操作内容可知。通过账户凭证的集中统一管理和 安全运维流程化权限审批,实现资源访问需申请, 操作行为受控制、运维过程全面审计、资源安全实 时分析的全程完整的闭环安全管控。

资源运维安全管控流程基于工作流引擎,实现 对各类资源运维管理流程的定制、生成、修改、分类及规范,并可控制、监视业务流程执行情况,统 计分析执行结果。通过图形化的安全管理流程定制 工具,运维管理人员可以进行安全流程定制、配置 和调度,设置流程中的组件属性、组件之间输入输 出关系的描述、组件执行顺序的控制、执行组件权 限、执行流程权限设置、执行过程异常处理等,并 通过角色管理实现真实的业务流到计算机可处理的 形式化定义的映射。通过流程监控可查看当前所有 正在活动的流程实例及其执行情况,并可对流程进 行撤回、跳跃、挂起、激活、停止等操作,对流程 当前环节的任务进行增派、转派、回退等操作。

2.5 运维行为全过程智能审计
按照信息通信资源管理的安全性、规范性、真 实性等要求,对系统的设计的合理性、过程行为的 合法性、结果数据的真实性进行客观、适时的监测 与审核。贯穿从网络层到应用层的日志数据,采集 隐藏在各层信息流中的安全威胁信息。通过深度学习方法对各层异质碎片化安全威胁知识/知识簇的 时空特性组合进行聚类,形成相应安全策略。通过 外部多维度安全感知参数与设定的知识寻径模型, 实现基于增量数据的安全策略自演化,建立全面的 审计规则数据库。结合信息通信资源管理对象、内 容和流程,建立资源运维访问记录与资源配置管理、 运维人员的对应关联关系。通过资源配置管理、资 源安全状况全局拓扑图、资源运维关联工单,快速 查看需要的资源访问审计内容。通过可视审查日志 记录及行为活动,有效评估系统控制的恰当性,确 保系统按照既定的安全策略运行。

从事前、事中、事后实现信息通信资源管理的 全面安全审计。事前安全态势监测预警。对网络设 备、WAF、防火墙、主机监控、操作系统、数据访 问、应用中间件和业务系统进行全栈日志管理,建 立日志的统一采集、解构、存储的智能分析模型, 实现基于全栈日志数据的安全态势监测预警,识别 可能存在的非法运维操作意图。事中安全运作风险可控。针对全栈日志数据进行合规性智能审计,运 用大数据分析技术,实现对资源访问行为的自动化 合规审计,识别存在的违规操作;建立用户访问行 为智能分析模型,实现对异常访问行为的及时发现 管控。事后安全日志可信举证。对非法入侵、错误 操作等行为进行举证,基于SaaS化的容灾备份体系, 实现安全可信的综合日志数据传输、存储、备份, 确保符合网络安全标准规范的相关要求。

3  信息通信资源安全管控平台
3.1 信息通信资源安全管控平台框架
基于云服务架构的信息通信资源安全管控平台 以服务资源集中管理为基础,面向用户提供分级授 权的资源安全管控功能,主要由展现层、应用层、 服务层、数据层、基础层构成。信息通信资源安全 管控平台框架如图2所示。
图2信息通信资源安全管控平台框架
展现层提供多维度日志的安全视图,展现安全 监测、安全审计、安全威胁、资源运营、运维操作 等状态信息。

应用层由平台的各功能子系统组成,包括安全监测预警、自动化合规审计、异常访问行为预警、业务应用审计、应用环境监测、应用健康评估等子系统。

服务层向下与数据层连接,为上层应用功能提 供可信数据传输与存储、智能引擎和智能分析等基 础性数据服务功能。

数据层提供大数据池,存储运维操作日志、安全策略、分析算法与规则、资产配置信息等。

基础层为平台运行所需的各类软硬件基础设 施,包括采集器、数据库服务器、应用服务器、网络设备、操作系统、数据库系统等,通过云服务模 式满足平台对各类软硬件资源的使用需求。

管控平台数据源主要来源于各类业务应用系 统、系统组件、软硬件基础设施、堡垒主机、安全 防护系统(设备)等。

3.2 信息通信资源安全管控功能
信息通信资源安全管控平台功能主要包括行为 监测预警、运维综合审计、运维日志管理、操作监 测处置、访问控制与授权、运维流程管理等主要功能。

3.2.1 行为监测预警
基于已定义的现象、行为建立异常行为分析模 型,准确地检测出异常行为,并对规则、任务、对象、 账户、权限,以及业务流程、数据流程的流转和效 能进行全面监测和评价,输出安全状况监测报告。运维行为监测在海量日志数据中分析出异常操作行 为,将操作系统日志、数据库日志、应用系统日志 及网络数据相互关联,将海量日志关联为准确的操 作行为,尤其是关键系统数据的访问、修改和删除 等操作,再现特定安全事件完整操作过程。同时,异 常现象和行为也为综合审计提供相关数据支持。

3.2.2 运维综合审计
主要包括运维日志审计、自动合规审计、高危 操作审计和数据安全审计等。其中,运维日志审计 针对不同日志类型建立相应日志实时监测规则,从 性能、安全等多个维度对海量日志进行实时分析, 对日志事件进行下钻、关联、统计和时序分析,实 现事件追溯、事件定位和趋势判断。自动合规审计 基于已定义合规审计任务、规则、对象生成的审计 计划,通过自动化执行引擎开展定期合规审计,输 出合规审计报告。高危操作审计通过已定义的高危 操作描述,包括系统重要操作或危险操作列表、操 作级别、相应说明、高危操作具体指令或特征值等, 实现对操作系统、数据库、应用系统的高危操作, 以及共性的高危操作的全面审计。数据安全审计基 于数据安全策略和事后合规性分析,及时发现针对 数据安全的攻击行为和安全隐患,对涉及数据库的 数据操作类、结构操作类、事务操作类、用户管理 类以及其它辅助类等数据流进行镜像采集,详细记 录每次操作过程,产生违规操作行为报警事件,保 护核心数据和数据库安全。

3.2.3 运维日志管理
对各类日志数据进行格式化处理和集中存储, 并按备份策略对日志数据进行备份保存。针对实际 情况定制检索规则,根据日志类型、字段内容进行 多重条件精细匹配,实现日志的快速准确分析与审 计。基于搜索引擎保证对海量日志数据检索的高效 性和实时性。

3.2.4 操作监测处置
通过规则设置对各类操作访问行为进行实时监 测,对网络中的异常操作行为及时进行指令提醒、 指令审核、指令阻断、中断会话等响应行动,并实 时显示告警信息并记录存储。根据已设定的访问控 制策略,自动检测运维过程中发生的越权访问、违 规操作等安全事件,根据安全事件的类型、等级等 条件进行自动的告警或阻断处理。

3.2.5 访问控制与授权
通过集中统一的访问控制和细粒度的命令级授 权策略,依据运维需要给予具体访问对象、访问方 式、访问时间、指令内容等方面的授权,确保运维 用户拥有完成工作所需的最合理权限。根据需求对 特殊访问与操作进行二次审批控制,进一步加强对 第三方人员访问或关键设备访问操作的控制力度, 确保所有访问操作都在实时监控过程中进行。

3.2.6 运维流程管理
基于流程引擎对事件流程、问题流程、变更 流程、监督流程、评价流程以及流程模板进行定制 化管理,对各类运维流程进行流程定义,包括绘制 流程图、分配运维人员、设置流程流转条件、设置 SLA (服务级别协议)等,实现访问权限设置、访 问申请审批、访问时长和时间设置、审批后自动访 问链接、多次访问审批、非授权期访问控制等运维 管理流程的安全管控。

3.3 基于流程的安全管控过程
信息通信资源运维管理需结合身份鉴别、访问 控制、安全审计等技术,将运维安全管理技术和运 维过程控制融合到一起, 形成融入于运维管理全过程之中的安全管控体系,实现对资源运维的事前进 行预防、事中进行监控、是否进行审计和追溯。同时,资源运维管理要求过程控制流程能够及时响应业务变化进行动态调整,并能与其他运维业务流程紧密结合以实现工作协同。采用基于流程引擎 和可自定义表单技术,通过可视化的流程编辑引擎,动态调整流程节点、角色、权限,灵活设定多种流 程路由和消息传递机制,实现运维控制流程敏捷适 变与状态监控,满足跨组织、跨地域、跨系统运维 过程控制的流程定制需求。

基于流程的安全管控过程关键在于将安全控制 环节嵌入到运维管理流程中,采用运行时可加载、 可变更的动态过程控制与消息流转机制,通过账户 凭证集中统一管理和规范化权限审批,以及重要信 息通信资源安全访问审计跟踪,从而实现安全运维 管理目标。基于流程的安全管控过程如图3所示。

图3  给予流程的安全管控过程

4  结语
信息通信资源安全管控建设要符合国际、国内 信息安全管理法规和标准,在各种资源运维管理流 程中有机融入安全管控内容和要求。通过采用云服 务模式、大数据分析、流程引擎、统一凭证、在线 分析等新技术,建立安全可控、敏捷定制的资源运 维管理流程,提供云化管理、按需配置的资源运维 管控服务,支持统一凭证、多维审计的资源运维安 全监管,有效解决资源使用审批不规范、资源管理 授权隐患多、资源运维行为无约束、资源应用情况 难审计、资源风险管控缺手段等问题,真正实现全 过程安全可控的信息通信资源管理。
服务热线
025-8660 3700

微信公众号