91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

下一代運維安全審計系統(tǒng)研究與設計(安全)

                                王海濤

               （中國電力建設股份有限公司信息化管理部，北京100048)

摘要：文章通過對信息安全現(xiàn)狀的分析，結合運維審計領域新的安全形勢和業(yè)務需求，主要研究了運維安全審計系統(tǒng)未來的發(fā)展趨勢，提出了下一代運維安全審計系統(tǒng)在安全治理、安全風險管理和法律法規(guī)遵從性三個方向的技術發(fā)展路線。為了解決目前運維安全管理體系中缺乏有效風險管理機制的問題，文章重點研究了下一代運維安全審計系統(tǒng)風險管理，包括風險識別、風險評估、風險感知等課題，提出了在各種場景和模型下基于CORAS框架的風險分析技術方法，以及利用貝葉斯定理初步探討風險感知的實現(xiàn)機制。

關鍵詞：運維安全審計系統(tǒng)；風險管理；風險感知

中圖分類號：TP309  文章編號：1671-1122( 2016) 06-0081-05

1下一代運維安全審計系統(tǒng)的總體發(fā)展趨勢

    隨著IT技術以及安全態(tài)勢的發(fā)展，運維安全審計系統(tǒng)也需要不斷更新?lián)Q代，以滿足用戶日益增長的業(yè)務需求，并不斷適應新的安全形勢。

    通過對具體企業(yè)信息系統(tǒng)的分析，可以看出運維安全審計系統(tǒng)正在變成企業(yè)信息系統(tǒng)標準化管理的一種技術實現(xiàn)手段，最為明顯的就是這個系統(tǒng)正在逐步擴展融入企業(yè)的GRC( Governance, Risk Management, and Compliance，即治理、風險管理和遵從性)領域。因此運維安全審計系統(tǒng)未來的發(fā)展方向，其實就是在安全治理、遵從性和風險管理三個方向進行廣度和深度地挖掘。

    GRC是保障企業(yè)實現(xiàn)其戰(zhàn)略目標的三個支柱。安全治理，指企業(yè)設立或?qū)嵤┑囊幌盗谐绦蚺c流程，它們在企業(yè)的結構和管理模式中都有直接體現(xiàn)；風險管理，指預測并管理可能對于企業(yè)目標造成阻礙的風險；遵從性，指遵從企業(yè)自身的策略和程序，以及法律和法規(guī)，健壯而有效的遵從性被認為是一個組織成功的關鍵。

    當前運維安全審計系統(tǒng)已經(jīng)在資源的管理和操作審計上取得了一定程度的發(fā)展，后續(xù)也會在這幾個方面進行功能的完善，但是從未來發(fā)展的大趨勢看，運維安全審計系統(tǒng)的發(fā)展方向更應該是利用新的技術和新的方法論在GRC的某個層面進行深入的挖掘�？梢灶A期下一代運維安全審計系統(tǒng)必須具備的核心功能包括：在安全治理方面能夠無縫銜接企業(yè)的業(yè)務流程與安全策略；在系統(tǒng)本身提供了有效的法律法規(guī)遵從性依據(jù)的情況下，同時需要在功能實現(xiàn)過程中符合遵從性原則；系統(tǒng)需要具備完善的運維風險管理體系，能夠?qū)Ω黝愡\維風險進行識別、評估、告警與預測。

    對上述三個發(fā)展趨勢，本文將做進一步的分析，特別是針對下一代運維安全審計系統(tǒng)的風險管理功能，將進行詳細的闡述。

1.1在安全治理領域的發(fā)展趨勢

    在安全治理方面，下一代運維安全審計系統(tǒng)將會更多的融入到企業(yè)的業(yè)務流程當中，需要具有輔助決策功能和更靈活的授權管理機制，從而能夠為管理層提供輔助決策支持，同時能夠做到真正的責任落實與職責分離，進而有效地保護企業(yè)的核心資產(chǎn)。

    對任何運維操作而言它都不是孤立的，IT運維本身也是企業(yè)業(yè)務的一部允因此必然要接受安全治理的管控。下一代運維安全審計系統(tǒng)未來發(fā)展的一個重要方向就是與企業(yè)業(yè)務流程的融合，與ITIL、ITSM等系統(tǒng)的整合與銜接。結合用戶現(xiàn)有的業(yè)務流程以及操作規(guī)程，未來的運維操作在多人共管以及協(xié)同審批上將會取得長足發(fā)展，可以自定義工作流的工單管理系統(tǒng)必將成為運維操作不可缺少的組件之一。

1.2在遵從性領域的發(fā)展趨勢

    在法律法規(guī)的遵從性方面，除了企業(yè)自身的要求、行業(yè)的要求以外，通用的國際國內(nèi)標準為企業(yè)運維安全審計提供了扎實的遵從依據(jù)。目前對于企業(yè)比較適用的國際標準包括SOX法案、IS027001等，國內(nèi)則重點遵從信息安全等級保護標準。

    對于下一代運維安全審計系統(tǒng)，法律法規(guī)的遵從性將會得到直觀的體現(xiàn)。首先系統(tǒng)能夠按照相關規(guī)定的要求生成準確全面的輸出，比如關于賬號、口令策略、認證過程和訪問行為等各個方面詳實的原始審計數(shù)據(jù)。更重要的是，未來的運維安全審計系統(tǒng)需要根據(jù)企業(yè)所遵循的核心規(guī)定，一鍵式生成相關的合規(guī)報告。例如，能夠在規(guī)定周期內(nèi)一鍵生成信息安全等級保護的合規(guī)報告，報告能夠包含等級保護標準所要求的各個層面，并且能夠詳細展示技術和管理上適用的各個控制項和控制條目的合規(guī)情況。所以下一代運維安全審計系統(tǒng)，需要真實理解所遵從的法律法規(guī)，就等級保護而言，更需要理解各個保護等級的差距，以及其真正防護的有效邊界。

    遵從性的另一個直接體現(xiàn)是通過運維安全審計系統(tǒng)所做的一切運維操作都應該符合企業(yè)自身的安全策略和相關流程管理的需求，這就需要運維管理策略與企業(yè)整體的運營戰(zhàn)略保持一致。

1.3在風險管理領域的發(fā)展趨勢

    運維安全審計系統(tǒng)未來發(fā)展的一個核心方向是風險管理，現(xiàn)有的運維安全審計系統(tǒng)都缺乏有效的風險管理機制，這種缺乏既體現(xiàn)在技術手段上，又體現(xiàn)在方法論上�，F(xiàn)有的運維安全審計系統(tǒng)雖然對于大規(guī)模的運維操作已經(jīng)形成了“運維大數(shù)據(jù)”，但是幾乎沒有有效的數(shù)據(jù)融合與數(shù)據(jù)挖掘技術支撐，特別是與用戶的業(yè)務模式幾乎沒有什么直接的關聯(lián)。

    下一代運維安全審計系統(tǒng)發(fā)展最重要的一個方面就是

  利用有效的技術手段，通過對“大數(shù)據(jù)”的挖掘，進行數(shù)據(jù)的融合、歸并、關聯(lián)分析，然后利用科學的風險評估方法，從而形成運維風險管理體系，進而與用戶的業(yè)務邏輯整合，形成統(tǒng)一的IT風險管理系統(tǒng)，建立安全的風險評估和運維態(tài)勢感知體系。

    本文根據(jù)當今國內(nèi)外在風險管理理論與實踐方面研究的最新成果，研究在運維安全審計系統(tǒng)中建立一套成型的運維風險管理體系，并從技術上實現(xiàn)運維風險的評估與風險的態(tài)勢感知。

2運維風險的分類

    識別、分析、度量和管理運維風險，是下一代運維安全審計系統(tǒng)的一項重要功能，它是IT風險管理的主要組成部分，這些風險與用戶的業(yè)務模式及管理體系息息相關。

    與通常所說的IT安全風險不同，運維風險所涵蓋的內(nèi)容更廣泛，根據(jù)對企業(yè)所造成影響的不同，運維風險可以分為以下幾類：信息風險、操作風險、資源可用性風險、性能風險、遵從性風險。

    1)信息風險：是指信息系統(tǒng)中的數(shù)據(jù)面臨的機密性、完整性、可用性等關鍵要素被破壞的風險。比如信息的偽造與篡改，信息的泄密與泄露、資源的非授權訪問與濫用。信息風險的威脅源一般包括：外部攻擊、惡意代碼、物理破壞、無效的訪問控制等。對于運維審計來講，需要能夠有效識別上述操作行為并且評估這些行為可能造成的后果，進而判定是否存在安全風險。

    2)操作風險：是指運維人員在運維過程中執(zhí)行的命令與腳本、運行的策略與審計、進行的變更與升級等操作，有可能對業(yè)務系統(tǒng)的正常運行帶來影響的風險。

    3)資源可用性風險：可用性是信息安全非常重要的一個指標，它是指資源或者服務在需要的時候是可以訪問的。不同的行業(yè)對于安全指標的關注度不同。例如，軍工行業(yè)更關注信息的機密性，但是對于絕大多數(shù)用戶而言，關注更多的是資源的可用性，因為業(yè)務系統(tǒng)的連續(xù)穩(wěn)定運行一般都是企業(yè)的首要目標。可用性不僅體現(xiàn)在物理安全上，對于運維操作而言，更主要體現(xiàn)在服務的及時交付、實時準確的授權方式上。

    4)性能風險：運維安全審計系統(tǒng)往往是運維操作的唯一通道和人口，因此它需要關注系統(tǒng)、應用、服務的性能表現(xiàn)，當前的運維安全審計系統(tǒng)尚處于關注自身性能表現(xiàn)這一層面，下一代運維安全審計系統(tǒng)需要聚焦更廣闊的風險，需要能夠評估由于不合理的架構、網(wǎng)絡阻塞、低下的執(zhí)行效率等在信息系統(tǒng)的性能風險。

  5)遵從性風險：是指運維操作與運維過程不符合企業(yè)相關的規(guī)章制度，運維管理不符合國內(nèi)或國外相關的法律法規(guī)要求而導致的風險。例如，業(yè)務系統(tǒng)的口令強度不高，就與大部分的標準要求相違背。有效識別遵從性風險，并且能夠生成一鍵式報告，這個思路與前文的GRC整體思路是一脈相承的。

    下一代運維安全審計系統(tǒng)的一個核心內(nèi)容就是風險管理，因此必須能夠針對上述五類風險進行有效的識別、分類、評估和預警。

3基于CORAS框架的風險評估方法

  關于風險管理和風險評估，目前已經(jīng)有很多成熟的模型（如Cobra，CRAMM等）以及國內(nèi)外相關標準所提出的方法論，但是幾乎所有的風險評估方法都具有一定的局限性。一方面是它們過度依賴知識庫，根據(jù)以往的經(jīng)驗形成定性的評估結果，另一方面它們基本上會針對某一個方向，例如有側(cè)重脆弱性的、有側(cè)重威脅度的、有側(cè)重商業(yè)影響的。在整個風險圖譜的展示上都有不足之處�，F(xiàn)在業(yè)界正在研究的一種新的、高效的風險分析方法也就是CORAS方法。

    CORAS方法把風險分析技術和基于UML的系統(tǒng)建模方法結合起來，包括術語、方法論、知識庫和工具集4個部分。術語定義框架涉及的概念，給出統(tǒng)一命名標準；方法論給出風險分析的技術、遵循的過程以及描述方式，為分析提供理論基礎；知識庫為風險分析提供經(jīng)驗知識，存儲每次風險分析的結果數(shù)據(jù)，提高分析準確率和效率；工具集提供方法論的計算工具，并用于實現(xiàn)知識庫。CORAS方法的框架總體結構如圖1所示。

結合上文提到的在運維操作與管理過程中可能存在的五類風險，并且根據(jù)企業(yè)的實際運維操作業(yè)務流程與管理機制，我們就能夠定義具體運維場景，并且在這些場景中定義出合理的業(yè)務模型，進而通過CORAS方法評估當前的運維安全風險。

    CORAS風險評估方法，可以分成8個步驟，我們可以建立一種模型，使得運維安全審計系統(tǒng)能夠進行有效的風險分析，進而進行風險的感知與展示。

    1)啟動風險分析的起始籌備任務。其主要目標是確認具體的評估目標是什么，實際的分析規(guī)模有多大，據(jù)此可以判定實際的分析任務需要做哪些必要的準備。對于運維安全審計系統(tǒng)而言，在這一步意味著需要有明確的資產(chǎn)定義，以及資產(chǎn)重要性的初始化賦值，定義危險行為與危險操作，要建立初步的資產(chǎn)、脆弱性和威脅的關聯(lián)關系。這些任務通過定制化運維安全審計系統(tǒng)的資源管理、命令策略等方式得以實現(xiàn)。

    2)業(yè)務系統(tǒng)或評估對象的負責人對系統(tǒng)自身的描述。這個過程主要是了解用戶真實的安全需求以及實現(xiàn)業(yè)務目標所需要的安全保障措施。通過這一步可以確認風險分析的總體目標、焦點和范圍，進而確認整個計劃。對于運維安全審計系統(tǒng)而言，安全分析關注的焦點不僅僅在于運維操作本身，更應該關注操作所關聯(lián)的業(yè)務糸統(tǒng)，例如，針對服務器操作系統(tǒng)的操作可能影響到服務器上數(shù)據(jù)庫的正常運行、針對網(wǎng)絡設備的修改操作可能造成業(yè)務的不可訪問等風險。

    3)用資產(chǎn)圖標對描述進行提煉。其主要目的是確保對分析目標有一致性的理解，包括其焦點、范圍和主要資產(chǎn)。對于運維安全審計系統(tǒng)而言，通過一些指標的預設，圍繞核心業(yè)務定義資產(chǎn)之間的關聯(lián)關系，并且真實了解核心業(yè)務系統(tǒng)的運維保障需求。

    4)目標描述的確定。其主要目的是保證風險分析其它部分的內(nèi)容，包括目標、焦點和范圍是正確和完整的，并且提交業(yè)務負責人審查通過。這一步涉及到對于分析目標更為細致的描述，包括一些假設和前提條件需要被確認。一般而言，對于分析目標的描述會采用正式或者半正式的標記。在這一步也會確認對于每一個資產(chǎn)所采用的風險評估標準，并建立對應的評估場景。運維安全審計系統(tǒng)需要根據(jù)其保障的核心業(yè)務或者主要業(yè)務，建立針對業(yè)務系統(tǒng)的保障模型，確認各個資源的安全性需求指標，以及可能影響這些服務的場景。

    5)用威脅圖標識別風險。這一步的主要工作就是風險識別，對常規(guī)的風險評估，可以采用類似頭腦風暴的方法，通過結構化頭腦風暴可以對評估目標進行逐步預排。風險識別涉及到系統(tǒng)化的識別威脅、非預期的意外事件、威脅場景和脆弱性。CORAS方法支持了該行為，通過威脅圖譜的方式可以展示其結果。對于運維安全審計系統(tǒng)，需要建立對于“運維大數(shù)據(jù)”的挖掘機制，并且對所有事件、記錄進行關聯(lián)分析，從而能夠自動化生成威脅展示。

    6)風險預估。其主要目標是通過識別未預期事件或行為所代表的風險來確定風險級別。非預期事件或行為在步驟5）被記錄下來，這些指標是風險分析的基礎。在此需要進行可能性以及影響的評估時，這些指標的組合代表了每一個被識別風險的風險級別。運維安全審計系統(tǒng)應該建立科學的方法來進行風險級別的判定，常用的風險計算公式如(1)所示：

  7)風險評估。其主要目的是確認所識別的風險哪些是可以接受的，哪些是必須進行進一步評估并進行處置。運維安全審計系統(tǒng)應根據(jù)預設的風險管理規(guī)則，以及預設的風險級別定義，根據(jù)所識別風險的等級進行針對性的處理，常見的處理手段有：實時阻斷、告警、日志記錄等方式，當然也可以包括其它的聯(lián)動機制，如路由黑洞、流量限制、限時鎖定等方式。

    8)風險處置。該步驟主要是關于識別以及處置措施分析的過程，風險一旦被發(fā)現(xiàn)且無法接受，則必須有適當?shù)姆绞饺ハ鼈�。處置措施應該能夠降低風險發(fā)生的可能性或減輕風險影響，同時充分考慮成本收益。針對步驟7)的各項處置措施，運維安全審計系統(tǒng)能夠自動執(zhí)行，同時能夠通過告警等方式促使人工干預。

    按照上述分析方法，基本上可以實現(xiàn)在運維安全審計系統(tǒng)當中建立有效的風險評估體系，同時給予風險圖譜的展示。在這個基礎上，我們需要作進一步就安全風險的感知加以分析。

4基于貝葉斯定理的風險態(tài)勢感知

    態(tài)勢感知( Situation Awareness)是安全風險管理的一個熱點，其核心理念就是變被動防御為主動感知，提出了網(wǎng)絡安全領域的情景感知框架NSSA( NetworkSecurity Situation Awareness)，NSSA描述了整個網(wǎng)絡的實時風險信息以及全局安全風險態(tài)勢，它定義了被監(jiān)控網(wǎng)絡的全局安全狀態(tài)、某個時間窗口遭受的攻擊以及攻擊對網(wǎng)絡安全總目標的影響，是當前網(wǎng)絡安全評估領域一個新的研究熱點。

    NSSA框架的概念性模型可分為三個階段：1）情景識別；2）情景評估；3）情景預測。該框架提出了風險感知的方法論，但是沒有提供切實可行的工具和可操作性指南，為了彌補上述不足和提供定量化分析手段，我們采用了基于模型的CORAS風險評估方法。按照CORAS風險分析方法，我們就能夠通過運維安全審計系統(tǒng)實時展示當前IT系統(tǒng)的安全風險，并且進行有效的風險管理和處置。

    1)情景的識別。在IT運維業(yè)務當中，因為事務的識別相對比較明晰，因此根據(jù)企業(yè)的運維作業(yè)或者任務可以定義出不同的場景。例如：變更場景、配置場景、升級場景、部署場景等。

    2)情景評估。針對每一個場景，都可以通過CORAS方法進行風險的評估和分析。

    3)情景預測。利用現(xiàn)有證據(jù)對當前的情景進行安全風險預測。

    對于態(tài)勢感知，無論是CORAS方法還是NSSA框架都提供了相應的場景或者模型，但光有場景和模型是不夠的，關鍵問題還是對于事件不確定性的數(shù)學解釋，為此我們可以使用D-S證據(jù)理論，也可以使用貝葉斯定理來實現(xiàn)。目前在IT領域關于概率事件的預測，貝葉斯定理的應用范圍非常廣'其原因就是貝葉斯定理在技術實現(xiàn)上相對要更容易，因此在實際工作中，下一代運維安全審計系統(tǒng)建議使用貝葉斯定理來處理風險感知的不確定性問題，如公式(2)所示：

  下面我們用最簡單的例子來說明貝葉斯定理是如何應用到風險感知場景的。假設某企業(yè)在過去1年里一共發(fā)生過2次安全事件，根據(jù)運維大數(shù)據(jù)的統(tǒng)計分析可知，在新的威脅或新的脆弱性被披露后一周內(nèi)，系統(tǒng)會平均產(chǎn)生3次安全風險告警，告警的成功率約為0.9，現(xiàn)在需要我們預測當一種新的威脅產(chǎn)生時，系統(tǒng)在一周內(nèi)被成功入侵的概率是多少。

我們假設A為新事件的威脅出現(xiàn)時系統(tǒng)的風險告警，B

    即當一種新的威脅產(chǎn)生時，系統(tǒng)在一周內(nèi)被成功入侵的概率是0.012。

  在實際的風險感知模型當中，運維安全審計系統(tǒng)需要充分結合內(nèi)外部的知識庫以及自身的數(shù)據(jù)進行數(shù)據(jù)的挖掘與分析，同時需要根據(jù)用戶的業(yè)務系統(tǒng)和管理資源，綜合分析資產(chǎn)價值、威脅、脆弱性、可能性和影響等安全風險因素，并且形成動態(tài)的風險評估方式，這樣才能夠更為準確的進行安全風險感知，也才能夠改變被動應對的安全局面，真正做到主動防御、深層防護。

5結束語

    本文根據(jù)現(xiàn)有運維安全審計系統(tǒng)的現(xiàn)狀，結合新的技術和業(yè)務發(fā)展需求，研究并闡述了下一代運維安全審計系統(tǒng)的發(fā)展趨勢，提出了系統(tǒng)在IT治理領域、法律法規(guī)遵從性方面的功能發(fā)展需求以及未來的系統(tǒng)發(fā)展方向，本文特別提出了下一代運維安全審計系統(tǒng)在風險管理和風險感知方面的發(fā)展趨勢，詳細介紹了風險管理和風險感知的實現(xiàn)機制。