融合網絡管理與安全管理的下一代IT安全管理平臺

這篇文章是我前段時間寫的深刻SOC2.0系列文章之一。對於SOC2.0的認識和理解，不是我一我的想出來的，而是咱們這個團隊多年工做成果的結晶。再次發表於TT安全以前，先要向個人團隊成員們致敬！SOC和NOC的關係是一個一開始就存在的問題。趙糧博士跟 我交流的時候表示他們最先在電信的時候，SOC就是建在NOC之下的。後來，在國內SOC熱潮澎湃的2004～2006年間，業界有不少關於NOC和 SOC關係的探討。通常地，都是將NOC和SOC平行看待。在當時，這是正確的。在如今，就要看狀況而定了。咱們的實踐告訴咱們，對於那些有了成熟的 NOC的單位（運營商爲主）而言，NOC和SOC的平行關係依然能夠延續下去，可是對於其餘行業（例如政府），就不必定還要NOC和SOC平行建設了。原 因在個人這篇文章中有說起。另外，咱們講SOC和NOC的融合，主要是指技術支撐平臺的融合， 至於管理職責、組織結構和運做流程的融合還須要一個更長的過程。而且，有些安全管理的職責是在網管之上的，二者是有不一樣的，還請你們注意，不要混淆。順便 提一下，SOC和NOC的融合、結合、整合（convergence, alignment, integration, etc）等等話題，國外也討論的很熱烈，總的趨勢也是朝一體化方向發展。例如這個寫於2009年10月24日的博文。

【引言】 在傳統的安全管理平臺SOC1.0眼裏，安全管理平臺（SOC）與網絡管理平臺（NOC）是割裂的，可是卻違背了網絡發展的趨勢。將來網絡與安全必然密不可分，只有將網絡管理與安全管理有機結合，才能知足中國用戶的實際須要。
　　1 網絡管理系統的發展分析
網絡管理系統做爲一類IT管理系統，伴隨着網絡技術的興起而迅速發展起來，其發展路線經歷了一個從網絡設備管理到業務 管理的過程。最先的網絡管理就是對網絡設備的管理。後來，因爲客戶網絡化程序加深，設備網管逐步發展到綜合網管階段，不只管理網絡設備，還管理主機、存 儲、應用系統等等，管理範圍不斷擴大。到了最近，網絡管理領域出現了將IT監控與業務整合的需求和發展趨勢，客戶開始關心IT服務對業務帶來的影響，強調 從業務目標角度出發來優化IT服務，也就是到達了IT與業務融合的階段。
隨着客戶的信息化水平不斷提高，對網絡的依賴日趨加深，而其中的信息問題，尤爲是網絡安全問題日益突出，嚴重威脅了客戶的整個IT系統。對此，網絡管理系統顯得力不從心。
如今的應用性能管理(Application PerformanceManagement)系統或者業務服務管理(Business Service Management)系 統雖然能夠監控客戶的應用和業務，可是卻沒有考慮到安全保障方面的因素。以BSM爲例，該系統的核心的業務的可用性和連續性，保障業務服務的持續性。雖然 有的BSM也可以對防火牆、IDS 等安全設備進行監控，可是基本是監控這些設備的運行狀態，並無從安全的角度去分析這些設備產生的安全事件。還有的BSM也可以收集來自網絡設備、主機甚 至安全設備的日誌，但僅僅將這些日誌存儲起來，供用戶查詢，沒有去對這些日誌進行深刻的關聯分析，挖掘日誌背後隱藏的安全威脅。固然，BSM也就不可能去 評估業務系統的安全風險，從而難以指導運維人員進行安全預警與應急響應。
　　2 傳統安全管理平臺的不足
安全管理平臺的發展也經歷了一個從分散到集中的過程。傳統的安全管理平臺比較多的將焦點放到了對客戶資產的安全風險， 尤爲是隱性的安全風險管理之上，藉助安全事件的分析和處理過程創建起了一套應急響應流程。可是，傳統的安全管理卻存在很多管理上的缺失，嚴重影響了安管平 臺的應用效果。
那麼，傳統的安全管理到底存在什麼問題呢?主要緣由有如下幾點：
1) 傳統的安全管理信息來源單一，安全分析不全面
傳統安全管理的信息來源不充分，基本集中在對日誌和事件的處理分析，缺乏IT資源的性能、故障、運行狀態等信息的輸 入，難於反映用戶業務系統的實際狀況。有些應用系統連日誌採集都是很困難的，根本沒法經過日誌分析知曉這些應用的狀況。有的安全管理系統聲稱可以收集用戶 已有的網管系統發出的告警信息，但實際上，目前國內大量用戶(包括企事業單位和政府部門)連網絡管理、業務管理等基本的IT資源管理技術手段都缺少，也就 更沒法爲安全管理提供必要的信息了。
因爲和網絡管理割裂，安全管理基本處於被動狀態，對系統和設備的可用性和健康狀態沒法作到主動和有效監控，安全管理就 成了無根之木。當用戶的網絡和系統出現故障後，安全管理系統都不可能收到事件，那麼分析和展現又有什麼意義呢?因此目前不少SOC項目基本停留在審計安全 設備的日誌層面，不可能有好的效果。
此外，傳統的安全風險分析基本集中在事件和弱點的簡單關聯計算上，沒法反應實際安全威脅和風險的全貌，因爲弱點自己的滯後性，致使這種分析基本都是過後諸葛亮，沒法給用戶體現實際效果。
2) 傳統的安全管理片面強調解決隱性安全問題，缺少實效性
傳統的安全管理系統實用性存在問題，它沒有解決用戶面臨的更爲首先的問題——IT資源可用性管理和業務連續性管理。所 有安全風險中最基本、也是最多見的一類風險就是可用性風險。若是業務中斷，那麼其餘安全風險分析也就失去了意義，而傳統的安全管理過度強調分析各類隱性的 安全問題，例如外部***和內部違規，這些行爲每每不致使業務和網絡負載出現波動。誠然，這類分析很重要，但倒是片面的，忽略了對顯性的安全風險，也便可用 性風險的識別。
因爲缺少對顯性化安全問題的處理，使得安全管理系統看起來老是捕風捉影，難以快速創建起用戶的信任和正面反饋，從而制約了系統自身的不斷完善。
　　3 用戶需求催生網管安管一體化IT管理系統
對於客戶而言，網絡管理也好，安全管理也罷，最首要的是要解決他們面臨的實際問題。企業和組織的IT運維人員常常面臨這樣的問題：
 

• 　　接到的保障電話只是反映網絡和系統的可用性問題，但實際上多是因爲網絡和系統自身致使的，也多是安全問題引起的;
• 　　老是過後響應，甚至是等到公安部門找上門來，難以提早發現安全問題;
• 　　發現可疑狀況後，缺乏分析、響應的手段和流程;
• 　　沒法瞭解當前整個IT系統的總體運行情況和安全狀態，風險和運維管理全憑感受;

　　要緩解和消除上述問題是一個系統性的問題，須要體系化的IT建設思惟。其中，很關鍵的一環就是IT部門必須對其IT設施和服務進行全面的、總體的網絡運行監控和安全管理。這其中，既涉及到網絡管理，也有安全管理。
但從目前的實際狀況來看，網絡管理和安全管理建設基本是割裂開來的：網絡管理系統主要採用SNMP等協議監控設備和應 用的可用性和健康狀態，而安全管理則經過分析安全設備，主機和應用的事件信息，採用關聯規則進行事件關聯，進行審計和風險管理。兩者各管一塊，看似也正好 和一些IT管理部門的職能劃分一致。雖然存在就有必定的道理，可是未必就真正合理。長期的客戶自身實踐，以及大量的網管和安管的實施案例都代表，要想保障 業務的持續運營，必須統籌考慮業務的可用性與業務的安全性。愈來愈多的客戶已經開始主動要求進行一體化的IT管理系統建設。
將來的網絡發展趨勢必然是網絡與安全密不可分，不少網絡故障都是安全問題引起的，而大部分安全問題都是透過網絡傳播的。所以，只有將網絡管理與安全管理有機結合，才能知足中國用戶的實際須要。
　　4 SOC2.0：網絡管理與安全管理的融合
SOC2.0不只將傳統的安全管理從資產安全的層面提高到了更加貼近客戶的業務安全層面，而且極大地豐富了安全管理對於客戶的實際價值。
下圖展現了當前客戶IT管理的整體架構。

　圖：傳統的IT管理架構　　

能夠看出，針對相同的客戶IT資源，網絡管理平臺和安全管理平臺相互割裂，分別爲用戶提供服務功能，並各自向上層的運維平臺輸出管理信息，給客戶的IT運維人員使用運維管理平臺形成了極大的困難。
最典型地，就是IT資產的一致性問題。對於運維管理而言，一切運維流程都是創建在一套完整的IT資產庫的基礎之上，而當前的網管平臺和安管平臺各自有本身的資產庫，致使輸出到運維平臺的信息缺少一致性，從而使得工單處理、事故管理、配置管理、變動管理無所適從。
又例如，網管和安管各自面向客戶的IT資源進行信息採集，形成了數據重複採集的事實，並可能形成對IT資源和業務系統自身運行的影響，或者致使客戶網絡中的管理流量過大，影響業務數據流。
再例如，網管平臺和安管平臺產品的告警信息之間的關聯性沒有獲得體現。事實上，不少網絡告警事件是因爲安全威脅致使的，而傳統的IT管理架構下卻沒法進行相關性分析，形成了運維平臺之上的報警事故頻繁，下降了運維人員故障處理的效率。
經過對如今的IT管理架構的深刻分析，能夠發現，網絡管理平臺和安全管理平臺均可以劃分爲三個層次：採集層、資產層和業務層。在這三個層次上，網絡管理平臺和安全管理平臺都具備一些技術類似性，於是具備融合的可行性。
下圖展現了下一代IT管理架構，即SOC2.0的管理架構。

 

　圖：下一代IT管理架構　　SOC2.0的理念突破了傳統方式下網絡管理和安全管理割裂的情況，有機地融合網絡管 理和安全管理的相關技術，並統一到IT運維之下。SOC2.0強調集中地管理用戶IT資源環境，統一地採集用戶的主機、網絡設備、安全設備、數據庫、中間 件、服務和機房設備的資產信息、運行信息、安全信息，實現面向IT資產的可用性和風險管理，並創建一個面向業務的統一IT管理平面。
SOC2.0在多個技術層次上實現了網管與安管的整合。
1)整合了 IT運行監控信息採集過程和安全事件信息採集過程，避免對被監控保護對象重複採集數據，最大程度地下降了管理系統對IT資源自身運行的影響。
2)整合了運行監控信息分析過程和安全事件分析過程。經過統一的關聯分析引擎，系統可以將資產可用性和性能事件與安全事件進行關聯，全面的處理各類顯性安全問題和隱性安全問題，更加準確的定位安全故障點。
3)整合了運行監控展示與安全事件監控的展示過程。系統採用面向業務的方式，從業務的角度爲用戶提供了IT資源總體運行情況和安全情況的視圖。
SOC2.0將IT運維的運行管理過程與安全管理過程聚焦到用戶的業務系統上，而非承載這些業務的繁雜的 IT資源自己，從而更加有效地爲用戶提供全面的IT監控、安全運行和維護解決方案。
　　5 統一管理平臺的最佳實踐
SOC2.0提出的統一管理的概念無疑是對現有IT管理架構的革新【或者說是一種價值的迴歸】， 爲客戶的IT管理體系建設提供了一幅藍圖。在現實之中，客戶行業千差萬別、發展階段各有差別、管理水平各有高低、管理須要也各不相同，如何才能逐步實現這 個藍圖?這就須要一個IT管理髮展的路線圖和一套適合客戶自身發展須要的最佳實踐。咱們認爲，至少應該從如下幾方面進行考慮。
5.1 職責分離
統一管理系統的建設，既涉及技術層面，也涉及到管理層面。從管理層面來看，一方面，國內不少客戶的組織結構決定了網管 與安管是兩個不一樣的部門，並可能較長時間內都是如此;另外一方面，從職責和目標上而言，網管人員和安管人員必定是存在區別的。所以，對於當前的用戶而言，首 先是要考慮技術層面的融合。這也意味着SOC2.0統一管理平臺須要在技術架構融合的同時支持管理職責的分離。
能夠認爲，這種分工是基於統一技術支撐平臺的分工，是在更高層次上的分工。
5.2 統一運維
在構建完整的IT管理體系的過程當中，SOC2.0強調將運維管理單獨抽象出來，造成一個統一的運維服務平臺，不只要有 IT運行管理觸發的流程，還要管理IT安全管理觸發的流程。基於這個運維服務平臺，參照ITIL的要求，逐步創建起面向整個IT系統運行維護和安全保障的 流程。
例如，咱們不建議客戶在部署單純的網絡管理或者安全管理平臺的時候同時部署內置的工單或者應急響應處理流程模塊，而應 該將與流程相關的需求獨立出來，造成一套對整個IT管理流程的需求，並由一個運維管理系統(Operation ManagementSystem)系統擔當，而後藉助這個系統從流程的角度去整合客戶已有的管理系統，逐步實現SOC2.0所描繪的統一管理藍圖。
5.3 可裁剪的管理平臺
SOC2.0提到的統一管理是一套完整的管理體系，對於不一樣的客戶、統一客戶的不一樣發展階段，對IT管理的認識和需求 都是不一樣的。所以，在IT管理的實踐過程當中，藍圖要完整，實施要分步，要切合客戶自身的實際，不要盲目追求一步到位。所以，一款符合SOC2.0要求的管 理平臺應該是一個開放的、可裁剪的、可持續發展的平臺。
　　6小結
SOC2.0從關注客戶的安全問題入手，提出了從業務的角度去審視安全的觀點，並進一步設計出了一幅將網絡管理與安全管理融合的藍圖。針對這個藍圖，SOC2.0從方法論和最佳實踐的角度闡明瞭將來管理系統發展的路線路。
能夠說，網絡管理與安全管理的融合是將來發展的必然，這是客戶需求決定的，也是技術發展的必然。