信息安全运维方案广东移动.docx

1、安全运维实施方案第1章、 安全运维实施方案1.1 安全运维的重要性随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进，占信息系统生命周期70% - 80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段，运维人员需要管理越来越庞大的IT系统这样的情况下，信息安全运维体系建设已经被提到了一个空前的高度上。运维服务的发展趋势对于企业的安全运维服务管理的发展，通常可以将其分为五个阶段：混乱、被动、主动、服务和价值阶段。1. 在混乱阶段：没有建立综合支持中心，没有用户通知机制；2. 在被动阶段：是开始关注事

2、件的发生和解决，关注信息资产，拥有了统一的运维控制台和故障记录和备份机制；3. 在主动阶段：建立了安全运行的定义，并将系统性能，问题管理、可用性管理、自动化与工作调度作为重点；4. 在服务阶段，已经可以支持任务计划和服务级别管理；5. 在价值阶段，实现性能、安全和核心应用的紧密结合，体现价值之所在。1.2 安全运维的定义通常安全运维包含两层含义：1. 是指在运维过程中对网络或系统发生病毒或黑客攻击等安全事件进行定位、防护、排除等运维动作，保障系统不受内、外界侵害。2. 对运维过程中发生的基础环境、网络、安全、主机、中间件、数据库乃至核心应用系统发生的影响其正常运行的事件（包含关联事件）通称为安

3、全事件，而围绕安全事件、运维人员和信息资产，依据具体流程而展开监控、告警、响应、评估等运行维护活动，称为安全运维服务。目前，大多数企业还停留在被动的、传统意义上的安全运维服务，这样安全运维服务存在以下弊端：1. 出现故障纵有众多单一的厂商管理工具，但无法迅速定位安全事件，忙于“救火”，却又不知火因何而“着”。时时处于被动服务之中，无法提供量化的服务质量标准。2. 企业的信息系统管理仍在依靠各自的“业务骨干”支撑，缺少相应的流程和知识积累，过多依赖于人。3. 对安全事件缺少关联性分析和评估分析，并且没有对安全事件定义明确的处理流程，更多的是依靠人的经验和责任心，缺少必要的审核和工具的支撑。正是因

4、为目前运维服务中存在的弊端，深信通公司依靠长期从事应用平台信息系统运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL（最佳实践指导）、ISO/IEC 27000系列服务标准、以及中国移动广东公司管理支撑系统SOA规范等相关标准，建立了一整套完善和切实可行的信息安全运维服务管理的建设方案。1.3 深信通安全运维五大架构体系1.3.1 建立安全运维监控中心基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测，以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行，深信通帮助用户建立全面覆盖信息系统的监测中心，并对各类事件做出快速、准确的定位和展现。

5、实现对信息系统运行动态的快速掌握，以及运行维护管理过程中的事前预警、事发时快速定位。其主要包括：1. 集中监控：采用开放的、遵循国际标准的、可扩展的架构，整合各类监控管理工具的监控信息，实现对信息资产的集中监视、查看和管理的智能化、可视化监控系统。监控的主要内容包括：基础环境、网络、通信、安全、主机、中间件、数据库和核心应用系统等。2. 综合展现：合理规划与布控，整合来自各种不同的监控管理工具和信息源，进行标准化、归一化的处理，并进行过滤和归并，实现集中、综合的展现。3. 快速定位和预警：经过同构和归并的信息，将依据预先配置的规则、事件知识库、关联关系进行快速的故障定位，并根据预警条件进行预警

6、。1.3.2 建立安全运维告警中心基于规则配置和自动关联，实现对监控采集、同构、归并的信息的智能关联判别，并综合的展现信息系统中发生的预警和告警事件，帮助运维管理人员快速定位、排查问题所在。同时，告警中心提供多种告警响应方式，内置与事件响应中心的工单和预案处理接口，可依据事件关联和响应规则的定义，触发相应的预案处理，实现运维管理过程中突发事件和问题处理的自动化和智能化。其中只要包括：事件基础库维护：是事件知识库的基础定义，内置大量的标准事件，按事件类型进行合理划分和维护管理，可基于事件名称和事件描述信息进行归一化处理的配置，定义了多源、异构信息的同构规则和过滤规则。智能关联分析：借助基于规则的

7、分析算法，对获取的各类信息进行分析，找到信息之间的逻辑关系，结合安全事件产生的网络环境、资产重要程度，对安全事件进行深度分析，消除安全事件的误报和重复报警。综合查询和展现：实现了多种视角的故障告警信息和业务预警信息的查询和集中展现。告警响应和处理：提供了事件生成、过滤、短信告警、邮件告警、自动派发工单、启动预案等多种响应方式，内置监控界面的图形化告警方式；提供了与事件响应中心的智能接口，可基于事件关联响应规则自动生成工单并触发相应的预案工作流进行处理。1.3.3 建立安全运维事件响应中心借鉴并融合了ITIL（信息系统基础设施库）/ITSM（IT服务管理）的先进管理规范和最佳实践指南，借助工作流

8、模型参考等标准，开发图形化、可配置的工作流程管理系统，将运维管理工作以任务和工作单传递的方式，通过科学的、符合用户运维管理规范的工作流程进行处置，在处理过程中实现电子化的自动流转，无需人工干预，缩短了流程周期，减少人工错误，并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。其中包括：图形化的工作流建模工具：实现预案建模的图形化管理，简单易用的预案流程的创建和维护，简洁的工作流仿真和验证。可配置的预案流程：所有运维管理流程均可由用户自行配置定义，即可实现ITIL/ITSM的主要运维管理流程，又可根据用户的实际管理要求和规范，配置个性化的任务、事件处理流程。智能化的自动派单：智能的规则匹配

9、和处理，基于用户管理规范的自动处理，降低事件、任务发起到处理的延时，以及人工派发的误差。全程的事件处理监控：实现对事件响应处理全过程的跟踪记录和监控，根据ITIL管理建议和用户运维要求，对事件处理的响应时限和处理时限的监督和催办。事件处理经验的积累：实现对事件处理过程的备案和综合查询，帮助用户在处理事件时查找历史处理记录和流程，为运维管理工作积累经验。1.3.4 建立安全运维审核评估中心该中心提供对信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计管理功能。其中包括：评估：遵循国际和工业标准及指南建立平台的运行质量评估框架，通过评估模型使用户了解运维需求、认知运行风险、采取相应

10、的保护和控制，有效的保证信息系统的建设投入与运行风险的平衡，系统地保证信息化建设的投资效益，提高关键业务应用的连续性。考核：是为了在评价过程中避免主观臆断和片面随意性，应实现工作量、工作效率、处理考核、状态考核等功能。审计：是以跨平台多数据源信息安全审计为框架，以电子数据处理审计为基础的信息审计系统。主要包括：系统流程和输入输出数据以及数据接口的完整性、合规性、有效性、真实性审计。1.3.5 以信息资产管理为核心 IT资产管理是全面实现信息系统运行维护管理的基础，提供的丰富的IT资产信息属性维护和备案管理，以及对业务应用系统的备案和配置管理。基于关键业务点配置关键业务的基础设施关联，通过资产对

11、象信息配置丰富业务应用系统的运行维护内容，实现各类IT基础设施与用户关键业务的有机结合，以及全面的综合监控。这其中包括：综合运行态势：是全面整合现有各类设备和系统的各类异构信息，包括网络设备、安全设备、应用系统和终端管理中各种事件，经过分析后的综合展现界面，注重对信息系统的运行状态、综合态势的宏观展示。系统采集管理：以信息系统内各种IT资源及各个核心业务系统的监控管理为主线，采集相关异构监控系统的信息，通过对不同来源的信息数据的整合、同构、规格化处理、规则匹配，生成面向运行维护管理的事件数据，实现信息的共享和标准化。系统配置管理：从系统容错、数据备份与恢复和运行监控三个方面着手建立自身的运行维

12、护体系，采用平台监测器实时监测、运行检测工具主动检查相结合的方式，构建一个安全稳定的系统。1.4 安全管理原则1. 深信通负责业务支撑中心的安全、保密管理工作，遵守南方基地已有各项安全规定，以此为基础制定详细的安全管理实施办法，并采取适当措施保证有关措施的有效执行。2. 深信通定期检查安全、保密规定的执行情况；3. 深信通定期组织系统病毒检查，并对此负责；4. 深信通及时向信息技术中心反映存在的安全隐患。1.5 保密原则1. 深信通严格遵守南方基地各项安全保密制度，加强服务工程师的保密意识，制定有效的管2. 深信通整理措施和技术措施，防止重要数据、文件、资料的丢失及泄漏。3. 深信通有关计费清

13、单、用户资料、业务数据、重要文件等均属机密，不得任意抄录、复制及带出机房，也不得转告与工作无关的人员。4. 机房内重要文件、数据的销毁，应全部送入碎纸机，不得任意丢弃。5. 安全保密工作深信通安排专人负责，定期向信息技术中心提交安全工作报告。1.6 硬件层安全运维1.6.1 机房安全运维1.6.2 基础网络安全运维1.7 人员管理安全运维1.8 应用层安全运维1. 对于南方基地管理支撑应用的帐户，必需遵循南方基地管理支撑系统帐号密码管理办法（V2.0），并结合实际情况，补充并完善相关管理办法。2. 系统用户帐号原则上不允许存在共享帐号，所有帐号必须明确至个人；由于系统特殊原因必须使用共享帐号的

14、情况下，系统必须制订对共享帐号的审核授权流程，明确共享帐号的有效期以及使用帐号人员资料。3. 用户帐号原则上采用用户中文名称的汉语拼音，当遇到用户的中文汉语拼音相同时，系统将为重复的帐号后加上顺序号，如此类推，如：liming , liming2 , liming3，liming5顺序号将避开数字4。4. 各系统用户数据属性应包括用户中文姓名和用户中文ID，原则上用户中文ID就是用户姓名，当不同用户具有相同中文名称时，系统除了按2、3的命名规范为其分配用户帐号外，用户中文ID后面加上与帐号一致的后缀。而用户的中文名后面不加顺序号。如： 5. 公司6. 姓名7. 中文ID8. 帐号9. 邮件10

15、. 省公司11. 李明12. 李明13. liming14. liming15. 清远移动16. 黎明17. 黎明18. liming219. liming220. 深圳公司21. 李明22. 李明323. liming324. liming325. 图 1.81 帐号说明26. 测试人员和代维人员帐号：各系统测试人员和代维人员帐号原则上应以该系统的英文缩写作为前缀加上用户名称的汉语拼音生成。27. 各系统用户密码长度不得低于6位；不得采用弱密码（弱密码定义参见南方基地管理支撑系统帐号密码管理办法）；最少每90天必须强制用户更改密码；并不得使用5次以内重复的密码；登录系统时，如重复尝试3次不成功，则系统暂停该帐号登录功能。28. 园区信息化系统安全体系29. 系统平台管理30. 检查点31. 检查要求32. 交付物33. 日常维护34. 核心系统及关键服务器定义35. 需对关键系统和服务器有清晰的定义（如DNS/DHCP、防病毒等影响全网层面的服务器、承载重要业务或包含敏感信息的系统等）36. 核心业务、关键服务器列表37. 应急与演练38. 园区信息化系统和关键服务器需有详尽故障应急预案