园区维保及信息安全等级

1、需求分析

1.1 信息资产管理弱，安全问题定位难

随着园区网络和业务不断完善，基础设备、服务器、网络设备、安全设备不断增多，网络越来越复杂，各类数据信息的获取通常处于被动状态，不具备完善的网络基础信息库，无法自动化智能化的统计出网内设备与应用的数量，无法有效识别网内分别都部署了什么样的设备，存在那些应用。安全管理员也常常搞不清楚网络的具体状况，如：内部网络总共有多少互联网出口？总共有哪些资产？哪些服务器是重点服务器？网络中都有哪些常见行为？安全策略是否都已生效？等等问题。

因此，IT运维管理在园区系统中担负起的角色越来越重要，但是目前作为业务重要支撑元素的IT面临着严峻的问题，在业务运行和使用的过程中，往往会因为各种因素导致业务出现波动，但是具体是什么原因难以第一时间判断。“到底是哪里出了问题？业务系统为什么会越用越慢？”，面对领导、同事的这些疑问，IT运维管理工程师只能逐个检查网络设备、应用、中间件和终端环境等各个环节，这种依靠个人经验的排障方式已经无法满足目前园区信息服务中心的IT于运维需求了，急需一套实施IT监控、运维、排障、安全监管为一体的工具来帮助IT运维工程师应对运维的困境。

1.2 网络流量不可视、业务异常难发现

园区拥有着众多业务系统以及各种各样的硬件系统。但对网络中的流量状况，如重要业务数据的传输路径是怎样的？哪些流量是合规的，哪些是不合规的，各类访问规则是否生效？突发流量的源头在哪？网络和应用系统的性能能否支撑业务的正常运行等等？当发生故障时如何判断原因？

同时，在进行网络运维工作时都处于比较被动的状态，不能在第一时间完全感知网络中存在的业务问题。很多网络异常问题并不是由网络运维管理人员主动发现的，而是使用人员在使用的过程中发现网络不通畅、业务访问不了，再上报到信息中心，最后由网络运维管理人员进行问题排查、问题解决。此时，问题已经产生，并且对网络和业务系统的运行产生了一定的影响。

1.3 安全数据太分散，整体态势难掌握

园区内网网络承载的业务越来越复杂，各种审计信息、安全措施的告警信息各自独立存放，缺少基于安全视角的资产管理和用户管理信息。基于单一视角安全管理员无法快速准确发现安全问题，及时准确掌握园区内网的整体安全态势。在这种情况下，攻击者即便随意出入内网敏感数据区域也无人知晓，投入了大量资金建设的安全防御体系也成了摆设。

随着信息化技术的不断发展，云计算、移动互联等新技术、新产品、新服务在园区云数据中心应用越来越广泛，原来的边界已经变得非常模糊。虽然网络中部署了一些安全设备和系统，但这些设备和系统基本都是各自独立的，形成了一个个安全孤岛。对于一些复杂的攻击行为，依靠单一的安全设备往往不是难以发现问题就是产生过多误报，只有将这些安全孤岛整合起来，打通数据间的隔阂，形成园区云数据中心全面数字安全感知体系，才能真正实现安全威胁的积极防御和有效应对。

1.4 安全运营基础弱，响应处置不及时

随着园区信息化建设不断发展，信息系统规模日益庞大，网络中发生的安全事件也在不断增加，目前安全管理人员数量及专业技能无法跟上安全技术的发展，往往都是一人身兼多职需，在实际工作中日常的安全运营没有专岗，会导致大多数安全告警被漏掉，且具体安全告警无法及时有效的处置。安全专业技术人员数量不足，培训也不充分，专业技能更新无法跟上安全技术发展。安全运营流程建设不完整，缺少安全运营工作流系统的支撑。实际工作中大多安全设备发出事件告警后不关注相关人员是否已经处置，且无法保证相关人员能够快速及时的处置告警事件。增加安全运营人员的投入，提升安全人员的水平成为了网络安全建设工作的重中之重。

2、方案设计

2.1设计思路

单纯基于等级保护制度建立的合规性防御体系，只是初级阶段，为了实现持续提升网络安全防护水平，需要建立能够随着时间不断演进的安全架构和技术支撑体系。这会让企业在面对威胁和挑战时不断完善自身防御体系以及强化防御“姿态”。

SANS研究所的RobertM.Lee提出了一个动态安全模型——网络安全滑动标尺模型。该标尺模型共包含五大类别，分别为架构安全（Architecture）、被动防御（PassiveDefense）、积极防御、情报（Intelligence）和进攻（Offense）。这五大类别之间具有连续性关系，并有效展示了防御逐步提升的理念。

网络安全滑动标尺模型

架构安全：在系统规划、建立和维护的过程中充分考虑安全防护。

被动防御：在无人员介入的情况下，附加在系统架构之上可提供持续的威胁防御或威胁洞察力的系统。

积极防御：分析人员对处于所防御网络内的威胁进行监控、响应、学习（经验）和应用知识（理解）的过程

扫描二维码添加微信，获取详细方案