信息安全运维过程文档

信息安全运维过程文档（精选4篇）

信息安全运维过程文档 篇1

信息安全运维 服务流程

审

核：XXX 批

准：XXX 版本.修改号：A.0 受 控 状 态：受控

XXX年XX月XX日发布

XXX年XX月XX日实施

XXX公司

1.安全运维服务流程

流程图

根据目前安全运维的整体情况，制定了运维服务流程图，具体流程如下图：

需求调研与分析报价与成本核算合同签订运维方案设计与编制信息安全管理运维服务实施阶段运维服务配置管理终验和总结报告服务报告

1.1 需求调研与分析

依据公司自身的运维服务业务定位，业务部负责对客户需要运维的信息系统现状、安全设备设施等内容进行调研，通过会议或者讨论等方式采集客户服务需求和服务目标，明确客户的系统运维服务时间、服务期限、服务内容以及相关服务方式频次等需求，并将调研信息总结整理形成调研分析报告。1.2 报价与成本核算

由公司项目组成员结合公司市场部门，对运维项目的服务内容进行工作量和工作成本的预估。成本核算主要根据信息系统的运维服务时间、工作量、服务方式、服务内容、以及相关人日费用进行。将个单项服务的设备费用、和人力成本等费用总和考虑核算出单项和整体项目的成本以及相应的项目报价。1.3 合同签订

公司项目部门与客户研讨后制定合同方案，并签订项目合同。合同中应明确运维服务的范围、项目周期、服务内容、运维方式、合同金额、付款方式、保密条款、验收条件等。1.4 运维方案设计与编制 根据系统安全运维的实际需求，公司项目部分负责编制安全运维服务方案。服务方案中应明确制定运维服务时间、服务内容、服务方式、服务期限、项目组成员和项目主要沟通联络负责人、服务汇报材料、项目相关的质量管理程序和措施以及运维服务中的风险管理等。

其中，运维时间与期限应写明项目运维起止时间和交付验收的时间节点；服务内容应列出运维服务设备清单和系统边界，以及运维服务的安全检查项目和运维服务周期。1.5 运维服务实施阶段

根据运维服务的方案进行服务实施。主要根据资产列表对设备和系统进行分类、标识，对系统中的配置信息进行备份和安全检查。

对方案中周期性维护的设备和系统，应做好维护记录：巡检、安全查杀、备份、更新、升级、故障排查等。由项目经理负责汇总并整理，最终形成月报、季报和总结报告。1.6 运维服务配置管理

配置管理的目的是通过将客户组织、信息、关系进行集中、统一管理，为服务过程提供基础的数据支持，以优化服务流程、提高服务效率、确保服务质量。配置管理范围是公司运维合同范围内的客户的生产和运行环境中的硬件、软件、应用系统、信息资源、服务包以及组织人员等。

配置管理应使用有效管理工具，以确保在运维服务过程中，能够掌握客户信息系统及时准确的配置信息，更快、更简化、更彻底地识别各个信息基础设施的属性及关系。

在事件、问题、变更和发布等流程活动中，通过管理工具，可以随时调取配置管理数据库中的对应数据，为上述过程提供基础信息。同时，在上述过程中，可以即时生成配置信息变更请求，通过变更管理和配置管理流程的有效配合保障配置管理数据库的准确性。配置经理在执行过程中对发现的问题进行改进，过程记录予以保持。1.7 服务报告

服务报告管理的目的是为客户提供及时、可靠、准确的服务信息，同时对公司在运维服务过程中的行为有效的管理。

服务报告分为主动服务报告和被动服务报告，公司服务报告应对建立、审批、分发和归档进行控制，确保报告产出及时、条理清晰、信息可靠和准确，报告应得到相关各方的认可。服务报告内容应涵盖以下方面：服务级别目标的绩效达成情况；提供服务过程中产生的不符合项和问题；工作量特征和数量特性；重要事件的绩效报告；定期趋势信息；满意度分析等。在服务报告中，对发现的问题，应明确处理意见、制定纠正措施，并与问题的相关方沟通。1.8 信息安全管理

信息安全管理的目的是确保公司提供给客户的信息安全技术运行维护服务是安全的，实现客户利益。应制订详细的安全自查和隐患分析计划，定期进行安全自查和隐患分析。在人员、物理、网络、系统、数据、应用、管理等方面进行安全检查，查找安全漏洞，采取有效的措施予以解决。

安全自查和隐患分析分为局部自查和全面自查两种方式，局部自查指的是根据信息系统目前的安全状态进行重点自查，全面自查指的是针对整个信息系统进行全面自查。局部自查随时进行，全面自查一年至少要进行一次，相关过程记录予以保持。1.9 终验和总结报告

项目完结后，应当由项目组负责人将项目汇报材料整理后，形成符合客户验收条件的验收性文件或总结性报告。

报告中将体现运维服务的主要内容和运维情况的统计与分析，并提出相应建设性意见和建议。

信息安全运维过程文档 篇2

可以认为, 信息安全框架由三个层次组成:安全管控层、安全运维层和基础架构安全层。安全管控层是后两者的理论依据, 安全运维层是对安全生命周期全过程的管理, 基础架构安全则是企业信息安全建设技术需求和功能的实现者。具体来说就是:

安全管控通过对业务和运营风险的评估, 确定其战略和治理框架、风险管理框架, 定义合规和策略遵从, 确立信息安全文档管理体系。

安全运维利用安全技术达成安全保护目标的过程。包括安全事件监控、安全事件响应、安全事件审计、安全策略管理、安全绩效管理以及安全外包服务。

架构安全定义了信息安全框架中五个核心的基础技术架构和相关服务:物理安全、基础架构安全、身份/访问安全、数据安全和应用安全。

如前所述, 安全运维层是对安全生命周期全过程的管理, 如何借助工具使安全生命周期过程管理有效落地, 是我们必须思考的问题。

可以设想, 将运维监控, 流程管理和运维审计透明化, 实现运维流程、监控管理、运维审计和外包管理、运维分析的全功能覆盖;针对外部设备 (群) 、IT基础平台和业务系统等不同对象, 提供“IT管理标准+IT运维工具+过程方法”的IT服务管理包。这对提高运维服务的整体质量水平, 推广贯彻“优先恢复系统对外服务”的原则, 为金融客户提供更加可靠的服务和信息安全支撑, 有重要意义。

在NT-BSM架构中, 通过服务总线将四大构件模块——IT资源监控 (包括:金融外设监控、IT基础设施监控、业务应用监控) 、运维安全审计、运维服务自动化、运维外包管理, 通过面向服务、松耦合的方式整合到平台中。

IT资源监控包括对IT基础设施的监控、金融外设监控和IT环境监控等, 还有对主机、网络、外设、终端、操作系统及数据库的监控管理。而业务应用监控对运行在IT基础设施上的各类金融业务系统进行交易级别监控, 以此达到对业务交易的运行判断, 保证重要业务系统运营。

运维服务自动化是指实现服务自动化运维管理, 以流程为导向、以客户为中心, 为IT服务及其过程提供科学合理的自动化管理, 提高工作效率和效果。

而运维安全审计是指建立一个统一的运维安全审计平台, 对业务系统的用户和各种资源进行集中管理、集中权限分配以及集中审计, 从技术上保证业务支撑系统安全策略的实施。

业务运营外包管理是指为了优化产业链、提高效率并降低成本, 可把原本由自身完成的、非核心的全部或部分业务剥离出来, 委托给分包方完成, 因此系统本身需提供相应的功能, 对外包的业务进行管理。

信息安全运维过程文档 篇3

关键词：安全运维；技术支撑；信息安全

中图分类号：TP3 文献标识码：A

1 引言（Introduction）

为进一步规范信息安全管理，提高信息安全管理水平，建设一套集“监、管、控”功能为一体的安全运维管理平台势在必行[1，2]，通过对IT基础设施与应用系统的集中监控，实时反映IT资源的运行状况，对事件、问题、变更、配置等运维服务进行集中处理，最终实现信息资产可知、运行状态可视、服务流程可管、运维操作可控，全面提升信息安全保障能力，有效支撑业务系统的稳定运行，为运维工作提供有效技术支撑。

2 IT运维中存在的问题（Problems in the operation

management）

随着IT业务和规模不断在扩展，给信息中心人员的管理带来了一定程度上的难度，主要体现在以下几个方面：

一是随着网络环境的日趋复杂，传统的“来电响应式”的IT运维管理模式无法及时发现潜在的网络异常及隐患，如何实现网络的事前管理和透明化监控是保障应用系统稳定运行、核心业务正常运转的关键。

二是业务系统的数量不断增多，往往是业务部门向信息中心反映系统出现问题后，运维人员才发现系统出现了故障，具有滞后性。同时无法从业务角度来审视系统的健康度，导致故障无法快速定位业务故障点，也无法通过资源的故障判断它所影响到的业务系统等。

三是缺少有效技术手段，对网络边界完整性进行监控与管理，不能及时发现私自内联与非法外联等高风险行为。对业务访问、后台运维等操作行为缺少必要的监控与审计管理技术手段。

3 建设内容（The content of the construction）

信息系统安全运维管理平台应该包括以下内容：

3.1 综合监控管理子系统

综合监控管理子系统实现对IT基础层的路由交换设备、安全设备、服务器、数据库、中间件、服务等以及资源关联的应用进程、端口、日志等的全面监管，帮助管理人员及时了解IT架构（各类IT资源）的运行情况，形成安全事件关联分析，支持策略管理，能自动或手工设定启动相关事件处理流程。

3.2 安全运维服务管理子系统

运维服务管理子系统是安全管理、日常工作和服务管理的有机结合。运维服务管理子系统应基于ITIL（运维管理最佳实践等）和实际管理需求，提供服务流程管理、业务资源管理、安全管理为主的综合性管理，以保障运维管理的规范化和标准化，提升日常运维管理效能。

3.2.1 安全信息采集与分析

采集各种厂商、各种类型的日志信息，针对采集的各类安全要素信息，实现性能与可用性分析、配置符合性分析、安全事件分析、脆弱性分析、风险分析和宏观态势分析。其中，风险分析包括了资产价值分析、影响性分析、弱点分析、威胁分析等；宏观态势分析包括了地址熵分析、热点分析、关键安全指标分析、业务健康度分析、关键管理指标分析。可集成第三方安全管理中心软件。

（1）安全事件采集

根据前期从各种网络设备、服务器、存储、应用等对象收集的各种安全资源、对象的安全事件、安全配置、安全漏洞、资产信息等数据，进行范式化处理，把各种不同表达方式的日志转换成的统一的描述形式。

（2）安全事件分析

透过智能化的安全事件关联分析，提供基于规则的关联分析、基于情境的关联分析和基于行为的关联分析技术。

管理对象的日志量和告警事件量应在应用系统拓扑图显示；用户点击拓扑节点可以查询事件和告警信息详情；可以对一段时间内的安全事件进行行为分析，形象化地展示海量安全事件之间的关联关系，从宏观的角度来协助定位安全问题。

安全事件以可视化视图展示，具备多种展现手段，至少包括事件拓扑图、IP全球定位图、动态事件移动图、事件多维分析图、资产拓扑图等。

3.2.2 安全隐患预警与处置

采用主动管理方式，能够在威胁发生之前进行事前安全管理。主要提供安全威胁预警管理、主动漏洞扫描管理、主动攻击测试等方式配合进行安全核查。

安全威胁预警管理，用户可以通过预警管理功能发布内部及外部的早期预警信息，并与资产进行关联，分析出可能受影响的资产，提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。

主动漏洞扫描管理，能够主动地、定期自动化地发起漏洞扫描、攻击测试等，并将扫描结果与资产进行匹配，进行资产和业务的脆弱性管理。

配合安全检查管理，够协助运维管理人员建立安全配置基线管理体系，实现资产安全配置检查工作的标准化、自动化，并将其纳入全网业务脆弱性和风险管控体系。

3.2.3 告警管理

为了全面的收集各类事件告警，系统应提供所有事件告警的统一管理。

（1）告警内容

告警内容包含事件的节点、类型、级别、位置、相关业务等，帮助运维人员在收到故障报警时能够迅速了解故障相关的资源、人员、业务等信息，快速作出反应。

（2）告警处理

系统需要针对各业务系统涉及IT资源环境进行实时故障处理。它能从主机和业务系统的各个环节收集事件信息，通过对这些信息的过滤、处理、关联，分递给相关人员，使得最重要的故障能够优先地被关注及处理。

告警消息能按照应用类别、消息种类、消息级别和处理岗位进行分类处理。消息种类可分为：操作系统、数据库、中间件、存储、硬件、应用、安全和网络等。

（3）告警发布

能对告警级别进行自定义，根据级别确定电话告警，短信告警，邮件告警的方式进行报警。

3.2.4 风险管理

信息安全风险管理工作是在安全信息分析与处理功能的基础上进行信息安全风险评估、信息安全整改任务等工作。

信息安全风险评估，根据安全信息分析结果开展风险评估流程，将风险评估结果形成丰富而详细的图形及报表。

信息安全整改，将信息安全风险评估信息汇总，归并各个部门需处置的信息安全风险，进行集中处置工作并进行整改落实情况分析。

4 结论（Conclusion）

建立以资产管理为基础，项目管理为纽带，以信息系统为核心，建立对IT业务的全生命周期的完整管理，从状态监控、行为审计、风险评估、服务管理四个维度建立起来的一套适合安全运维工作需求的统一业务支撑平台，使得各类用户能够对系统的关联性、健康性、可用性、风险性、连续性、安全性等多维度进行精确度量、分析评估，实现事后运维向事中运维以至向事前防范的转变，最终实现信息系统的持续安全运营。

参考文献（References）

[1] 景义琼.基于ITIL的网络运维管理系统的设计与实现[D].复

旦大学，2010：15-18.

[2] 李荣华.基于ITIL的IT运维管理系统的设计与实现[D].北京

邮电大学，2010：13-15.

[3] 李长征.电子政务运维管理的关注因素[J].信息化建设，2009

（02）：1-2.

作者简介：

试谈IT安全运维管理的应用 篇4

随着信息化[1]的发展及两化融合的深入, 越来越多的信息技术应用到了工业领域。目前, 超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。在工业控制系统愈发智能、自动的同时, 其网络也变得更加透明、开放、互联, TCP/IP存在威胁同样出现在工业网络中。理论上绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。蠕虫、木马、黑客攻击等网络威胁对工业控制系统[2]的冲击呈现出愈演愈烈的发展态势, 工业控制系统的信息安全被提到了一个新的高度, 面临着严峻的安全威胁。为了保障工业控制系统的信息安全, 2011年9月工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》 (工信部协[2011]451号) , 强调加强工业信息安全的重要性、紧迫性, 并明确了重点领域工业控制系统信息安全的管理要求, 其中特别提到了与国计民生紧密相关领域的控制系统, 如核设施、钢铁、有色、化工、石油石化、电力等。面对日益严峻的安全形势, 有效、全面的安全运维管理[3]成为工业控制系统正常运行的保障。

2 工控系统安全现状

工业控制系统领域与传统的信息安全领域有很大的不同。工业控制系统强调的是工业自动化过程及相关设备的智能控制、监测与管理, 而且更为关注系统的实时性与业务连续性。也就是说, 工业控制系统对系统设备的可用性、实时性、可控性等特性要求很高。

由于工业控制系统设备及通信规约的专有性以及系统的相对封闭性, 使得一般的互联网黑客或黑客组织很难获得相应的工业控制系统攻防研究环境以及相关系统资料支持, 从而通常黑客的攻防研究工作多集中在互联网或普通IT信息系统上, 而很少关注工业控制系统, 自然相关的系统及通信规约的安全缺陷或漏洞也很少被发现。

2010年6月, “网络超级武器”Stuxnet[4]病毒通过针对性的入侵, 导致部分用于铀浓缩的离心机无法运行, 严重威胁到伊朗布什尔核电站核反应堆的安全运营。这是首个针对工业控制系统的蠕虫病毒, 利用西门子公司控制系统 (SIMATIC Win CC/Step7) 存在的漏洞感染数据采集与监控系统 (SCA-DA) , 向可编程逻辑控制器 (PLCs) 写入代码并将代码隐藏。同时利用包括MS10-046、MS10-061、MS08-067等在内的7个最新漏洞进行攻击。这7个漏洞中, 5个针对Windows系统 (其中4个属于0day漏洞) , 2个针对西门子SIMATIC Win CC系统。它最初通过感染USB闪存驱动器传播, 然后攻击被感染网络中的其他Win CC计算机。夺取系统权限后, 它将尝试使用默认密码来控制软件。该病毒可能已感染并破坏了伊朗纳坦兹的核设施, 并最终使伊朗的布什尔核电站推迟启动。

3 IT安全运维管理的应用

3.1 资产管理

利用安全运维管理系统[5], 可自动搜索整个工控系统网络内的所有节点, 自动勾画出网络的拓扑图, 包括设备间的冗余连接、备份连接、均衡负载连接, 运维管理员可以为每条设备间连接加以注释, 为每台设备设置中文设备名称, 监测网络中每台设备的名称、IP地址、类型、厂商等, 并能够自动辨别线路连接类型。其中, 网络拓扑是根据网络层的角度来分析和展现的, 表达了被管网络各个子网之间的连接关系

3.2 业务连续性监测

监测管理工控系统网络及设备的性能, 分析和确定网络及设备的性能瓶颈, 为网络及设备的性能优化提供可行的参考。从各个方面对网络设备进行监测和管理, 包括网络设备的可用性、设备性能、流量管理和业务分析等。网络设备包括各种类型的交换机、路由器、防火墙、Vo IP网关设备和其他启用了SNMP协议的网络设备。实现工业控制系统对系统设备的高可用性、高实时性等要求。

3.3 安全更新

作为更新服务器, 为网络中的服务器提供统一的安全更新。在更新过程中, 遵循补丁跟踪、补丁分析、部署安装、疑难处理、补丁检查5个环节, 5个环节作为一个长期、周而复始的工作, 形成一个环状的流程, 其中既有事件驱动工作, 也有例行工作。该流程考虑了补丁工作的及时性、严密性和持续性, 同时兼顾了补丁对业务的影响, 满足工控系统的高可用性。

3.4 逻辑隔离防护

明确各层、各安全风险层域的边界, 对各层、各区域进行逻辑隔离及通信管控。在发现安全事件或网络故障将损失减少到最低。利用细粒度的访问控制策略, 严格控制访问, 访问控制应细化到端口级。同时, 根据计算确定的风险等级, 注重保护存在较高安全风险的区域。

3.5 知识库管理

知识库是运行维护中好的经验的总结和积累, 是一个动态的过程, 增删内容和审批由各级授权用户完成。

3.6 安全审计

运维管理员可以根据工控网络中网络设备的特性、网络拓扑的特点以及日志分析的目标等因素灵活选择日志采集和分析模式, 实时记录稍纵即逝的设备的状态信息。基于对ICS[6]通信协议与规约的深度解码分析, 实现对ICS系统的安全日志记录及审计功能。此外, 应考虑对控制过程实现基于网络流量的安全审计, 审计过程应力争做到对控制指令的识别和可控, 如Modbus、DNP3等经典工控协议的解析能力分析, 实现工业控制协议会话的过程记录和审计;并提供安全事件之后的事后追查能力。

灵活的报表功能, 方便运维管理对日志的有效掌控。能自动生成各类报表, 对各种组合的相关监测对象能实时的或基于天、星期、月的不同报告和报表。

4 结语

工业控制系统安全[7]的重要性及其普遍安全防护措施不足的现实, 使得加强工业控制系统的安全性来说无疑是一项相对艰巨的任务。当面临攻击者的持续关注时, 任何疏漏都可能导致灾难。在参考信息安全业内的最佳实践的基础上, 结合工业控制系统自身的安全问题, 利用信息安全运维管理系统, 从服务的角度去提高运维质量, 达到服务质量和成本的双赢, 实现日常运维工作的自动化、信息化和标准化, 达到技术、功能、服务3方面的有机整合, 提高故障应急处理能力, 提升运维部门的管理效率和服务水平, 有效降低工业控制系统所面临的攻击威胁。

参考文献

[1]兰红思.浅析传统企业的信息化建设[J].采矿技术, 2005, (S1) .

[2]杜伟奇, 王平, 王浩.工业控制系统中安全威胁分析与策略[J].重庆邮电学院学报 (自然科学版) , 2005, (05) .

[3]运维管理走向四位一体[J].中国电信业, 2008, (06) .

[4]维基百科.震网[EB/OL].http://zh.wikipedia.org/wiki/Stuxnet, 2013.

[5]景义琼.基于ITIL的网络运维管理系统的设计与实现[D].复旦大学, 2010.

[6]Wikipedia.Industrial control system[EB/OL].http://en.wikipedia.org/wiki/Industrial_control_system, 2013.