五步构建信息安全运维体系.pdf

五步构建信息安全运维体系--第1页

占信息系统

生命周期70%-80%的信息安全运维体系的建设已经愈来愈被广大用户重视。

尤其是随着信息系统建设工作从大规模建设阶段慢慢转型到“建设和运维”并

举的发展阶段，信息安全负责人员需要管理愈来愈庞大的IT系统的情况下，信

息安全运维体系建设已经被提到了一个空前的高度上。

目前，大多数的信息安全运维体系的服务水平处在一个被动的阶段。这主要

表此刻信息技术和设备的应用愈来愈多，但运维人员在信息系统出现安全事件的

时候却茫然惊惶失措。究其原因，是该组织未建设成完整的信息安全运维体系。

正是因为目前运维服务中存在的短处，山东省软件评测中心依托长期从事信

息系统运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，

遵循ITIL、ISO/IEC27000系列服务标准、品级保护和分级保护制度，成立了一

整套信息安全运维服务管理的建设方案。

基于关键业务点面向业务系统可用性和业务持续性进行合理布控和监测，以

关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行，帮忙

用户成立全面覆盖信息系统的监测中心，并对各类事件做出快速、准确的定位和

展现。实现对信息系统运行动态的快速掌握，和运行保护管理进程中的事前预警、

事发时快速定位。其主要包括：

五步构建信息安全运维体系--第1页

五步构建信息安全运维体系--第2页

集中监控：采用开放的、遵循国际标准的、可扩展的架构，整合各类监

控管理工具的监控信息，实现对信息资产的集中监视、查看和管理的智能化、可

视化监控系统。监控的主要内容包括：基础环境、网络、通信、安全、主机、中

间件、数据库和核心应用系统等。

●综合展现：合理计划与布控，整合来自各类不同的监控管理工具和信息

源，进行标准化、归一化的处置，并进行过滤和归并，实现集中、综合的展现。

●快速定位和预警：通过同构和归并的信息，将依据预先配置的规则、事

件知识库、关联关系进行快速的故障定位，并按照预警条件进行预警。

基于规则配置和自动关联，实现对监控收集、同构、归并的信息的智能关联

判别，并综合的展现信息系统中发生的预警和告警事件，帮忙运维管理人员快速

定位、排查问题所在。

同时，告警中心提供多种告警响应方式，内置与事件响应中心的工单和预案

处置接口，可依据事件关联和响应规则的概念，触发相应的预案处置，实现运维

管理进程中突发事件和问题处置的自动化和智能化。其中只要包括：

事件基础库保护：是事件知识库的基础概念，内置大量的标准事件，按事件

类型进行合理划分和保护管理，可基于事件名称和事件描述信息进行归一化处置

的配置，概念了多源、异构信息的同构规则和过滤规则。

五步构建信息安全运维体系--第2页

五步构建信息安全运维体系--第3页

借助基于规则的分析算法，对获取的各类信息进行分析，找

到信息之间的逻辑关系，结合安全事件产生的网络环境、资产重要程度，对安全

事件进行深度分析，消除安全事件的误报和重复报警。

综合查询和展现：实现了多种视角的故障告警信息和业务预警信息的查询和

集中展现。

告警响应和处置：提供了事件生成、过滤、短信告警、邮件告警、自动派发

工单、启动预案等多种响应方式，内置监控界面的图形化告警方式；提供了与事

件响应中心的智能接口，可基于事件关联响应规则自动生成工单并触发相应的预

案工作流进行处置。

借鉴并融合了ITIL（信息系统基础设施库）/ITSM（IT服务管理）的先进管