下一代運維安全審計系統研究與設計(安全)

                                王海濤

               （中國電力建設股份有限公司信息化管理部，北京100048)

摘要：文章通過對信息安全現狀的分析，結合運維審計領域新的安全形勢和業務需求，主要研究了運維安全審計系統未來的發展趨勢，提出了下一代運維安全審計系統在安全治理、安全風險管理和法律法規遵從性三個方向的技術發展路線。為了解決目前運維安全管理體系中缺乏有效風險管理機制的問題，文章重點研究了下一代運維安全審計系統風險管理，包括風險識別、風險評估、風險感知等課題，提出了在各種場景和模型下基于CORAS框架的風險分析技術方法，以及利用貝葉斯定理初步探討風險感知的實現機制。

關鍵詞：運維安全審計系統；風險管理；風險感知

中圖分類號：TP309  文章編號：1671-1122( 2016) 06-0081-05

1下一代運維安全審計系統的總體發展趨勢

    隨著IT技術以及安全態勢的發展，運維安全審計系統也需要不斷更新換代，以滿足用戶日益增長的業務需求，并不斷適應新的安全形勢。

    通過對具體企業信息系統的分析，可以看出運維安全審計系統正在變成企業信息系統標準化管理的一種技術實現手段，最為明顯的就是這個系統正在逐步擴展融入企業的GRC( Governance, Risk Management, and Compliance，即治理、風險管理和遵從性)領域。因此運維安全審計系統未來的發展方向，其實就是在安全治理、遵從性和風險管理三個方向進行廣度和深度地挖掘。

    GRC是保障企業實現其戰略目標的三個支柱。安全治理，指企業設立或實施的一系列程序與流程，它們在企業的結構和管理模式中都有直接體現；風險管理，指預測并管理可能對于企業目標造成阻礙的風險；遵從性，指遵從企業自身的策略和程序，以及法律和法規，健壯而有效的遵從性被認為是一個組織成功的關鍵。

    當前運維安全審計系統已經在資源的管理和操作審計上取得了一定程度的發展，后續也會在這幾個方面進行功能的完善，但是從未來發展的大趨勢看，運維安全審計系統的發展方向更應該是利用新的技術和新的方法論在GRC的某個層面進行深入的挖掘?？梢灶A期下一代運維安全審計系統必須具備的核心功能包括：在安全治理方面能夠無縫銜接企業的業務流程與安全策略；在系統本身提供了有效的法律法規遵從性依據的情況下，同時需要在功能實現過程中符合遵從性原則；系統需要具備完善的運維風險管理體系，能夠對各類運維風險進行識別、評估、告警與預測。

    對上述三個發展趨勢，本文將做進一步的分析，特別是針對下一代運維安全審計系統的風險管理功能，將進行詳細的闡述。

1.1在安全治理領域的發展趨勢

    在安全治理方面，下一代運維安全審計系統將會更多的融入到企業的業務流程當中，需要具有輔助決策功能和更靈活的授權管理機制，從而能夠為管理層提供輔助決策支持，同時能夠做到真正的責任落實與職責分離，進而有效地保護企業的核心資產。

    對任何運維操作而言它都不是孤立的，IT運維本身也是企業業務的一部允因此必然要接受安全治理的管控。下一代運維安全審計系統未來發展的一個重要方向就是與企業業務流程的融合，與ITIL、ITSM等系統的整合與銜接。結合用戶現有的業務流程以及操作規程，未來的運維操作在多人共管以及協同審批上將會取得長足發展，可以自定義工作流的工單管理系統必將成為運維操作不可缺少的組件之一。

1.2在遵從性領域的發展趨勢

    在法律法規的遵從性方面，除了企業自身的要求、行業的要求以外，通用的國際國內標準為企業運維安全審計提供了扎實的遵從依據。目前對于企業比較適用的國際標準包括SOX法案、IS027001等，國內則重點遵從信息安全等級保護標準。

    對于下一代運維安全審計系統，法律法規的遵從性將會得到直觀的體現。首先系統能夠按照相關規定的要求生成準確全面的輸出，比如關于賬號、口令策略、認證過程和訪問行為等各個方面詳實的原始審計數據。更重要的是，未來的運維安全審計系統需要根據企業所遵循的核心規定，一鍵式生成相關的合規報告。例如，能夠在規定周期內一鍵生成信息安全等級保護的合規報告，報告能夠包含等級保護標準所要求的各個層面，并且能夠詳細展示技術和管理上適用的各個控制項和控制條目的合規情況。所以下一代運維安全審計系統，需要真實理解所遵從的法律法規，就等級保護而言，更需要理解各個保護等級的差距，以及其真正防護的有效邊界。

    遵從性的另一個直接體現是通過運維安全審計系統所做的一切運維操作都應該符合企業自身的安全策略和相關流程管理的需求，這就需要運維管理策略與企業整體的運營戰略保持一致。

1.3在風險管理領域的發展趨勢

    運維安全審計系統未來發展的一個核心方向是風險管理，現有的運維安全審計系統都缺乏有效的風險管理機制，這種缺乏既體現在技術手段上，又體現在方法論上?，F有的運維安全審計系統雖然對于大規模的運維操作已經形成了“運維大數據”，但是幾乎沒有有效的數據融合與數據挖掘技術支撐，特別是與用戶的業務模式幾乎沒有什么直接的關聯。

    下一代運維安全審計系統發展最重要的一個方面就是

  利用有效的技術手段，通過對“大數據”的挖掘，進行數據的融合、歸并、關聯分析，然后利用科學的風險評估方法，從而形成運維風險管理體系，進而與用戶的業務邏輯整合，形成統一的IT風險管理系統，建立安全的風險評估和運維態勢感知體系。

    本文根據當今國內外在風險管理理論與實踐方面研究的最新成果，研究在運維安全審計系統中建立一套成型的運維風險管理體系，并從技術上實現運維風險的評估與風險的態勢感知。

2運維風險的分類

    識別、分析、度量和管理運維風險，是下一代運維安全審計系統的一項重要功能，它是IT風險管理的主要組成部分，這些風險與用戶的業務模式及管理體系息息相關。

    與通常所說的IT安全風險不同，運維風險所涵蓋的內容更廣泛，根據對企業所造成影響的不同，運維風險可以分為以下幾類：信息風險、操作風險、資源可用性風險、性能風險、遵從性風險。

    1)信息風險：是指信息系統中的數據面臨的機密性、完整性、可用性等關鍵要素被破壞的風險。比如信息的偽造與篡改，信息的泄密與泄露、資源的非授權訪問與濫用。信息風險的威脅源一般包括：外部攻擊、惡意代碼、物理破壞、無效的訪問控制等。對于運維審計來講，需要能夠有效識別上述操作行為并且評估這些行為可能造成的后果，進而判定是否存在安全風險。

    2)操作風險：是指運維人員在運維過程中執行的命令與腳本、運行的策略與審計、進行的變更與升級等操作，有可能對業務系統的正常運行帶來影響的風險。

    3)資源可用性風險：可用性是信息安全非常重要的一個指標，它是指資源或者服務在需要的時候是可以訪問的。不同的行業對于安全指標的關注度不同。例如，軍工行業更關注信息的機密性，但是對于絕大多數用戶而言，關注更多的是資源的可用性，因為業務系統的連續穩定運行一般都是企業的首要目標?？捎眯圆粌H體現在物理安全上，對于運維操作而言，更主要體現在服務的及時交付、實時準確的授權方式上。

    4)性能風險：運維安全審計系統往往是運維操作的唯一通道和人口，因此它需要關注系統、應用、服務的性能表現，當前的運維安全審計系統尚處于關注自身性能表現這一層面，下一代運維安全審計系統需要聚焦更廣闊的風險，需要能夠評估由于不合理的架構、網絡阻塞、低下的執行效率等在信息系統的性能風險。

  5)遵從性風險：是指運維操作與運維過程不符合企業相關的規章制度，運維管理不符合國內或國外相關的法律法規要求而導致的風險。例如，業務系統的口令強度不高，就與大部分的標準要求相違背。有效識別遵從性風險，并且能夠生成一鍵式報告，這個思路與前文的GRC整體思路是一脈相承的。

    下一代運維安全審計系統的一個核心內容就是風險管理，因此必須能夠針對上述五類風險進行有效的識別、分類、評估和預警。

3基于CORAS框架的風險評估方法

  關于風險管理和風險評估，目前已經有很多成熟的模型（如Cobra，CRAMM等）以及國內外相關標準所提出的方法論，但是幾乎所有的風險評估方法都具有一定的局限性。一方面是它們過度依賴知識庫，根據以往的經驗形成定性的評估結果，另一方面它們基本上會針對某一個方向，例如有側重脆弱性的、有側重威脅度的、有側重商業影響的。在整個風險圖譜的展示上都有不足之處?，F在業界正在研究的一種新的、高效的風險分析方法也就是CORAS方法。

    CORAS方法把風險分析技術和基于UML的系統建模方法結合起來，包括術語、方法論、知識庫和工具集4個部分。術語定義框架涉及的概念，給出統一命名標準；方法論給出風險分析的技術、遵循的過程以及描述方式，為分析提供理論基礎；知識庫為風險分析提供經驗知識，存儲每次風險分析的結果數據，提高分析準確率和效率；工具集提供方法論的計算工具，并用于實現知識庫。CORAS方法的框架總體結構如圖1所示。

結合上文提到的在運維操作與管理過程中可能存在的五類風險，并且根據企業的實際運維操作業務流程與管理機制，我們就能夠定義具體運維場景，并且在這些場景中定義出合理的業務模型，進而通過CORAS方法評估當前的運維安全風險。

    CORAS風險評估方法，可以分成8個步驟，我們可以建立一種模型，使得運維安全審計系統能夠進行有效的風險分析，進而進行風險的感知與展示。

    1)啟動風險分析的起始籌備任務。其主要目標是確認具體的評估目標是什么，實際的分析規模有多大，據此可以判定實際的分析任務需要做哪些必要的準備。對于運維安全審計系統而言，在這一步意味著需要有明確的資產定義，以及資產重要性的初始化賦值，定義危險行為與危險操作，要建立初步的資產、脆弱性和威脅的關聯關系。這些任務通過定制化運維安全審計系統的資源管理、命令策略等方式得以實現。

    2)業務系統或評估對象的負責人對系統自身的描述。這個過程主要是了解用戶真實的安全需求以及實現業務目標所需要的安全保障措施。通過這一步可以確認風險分析的總體目標、焦點和范圍，進而確認整個計劃。對于運維安全審計系統而言，安全分析關注的焦點不僅僅在于運維操作本身，更應該關注操作所關聯的業務糸統，例如，針對服務器操作系統的操作可能影響到服務器上數據庫的正常運行、針對網絡設備的修改操作可能造成業務的不可訪問等風險。

    3)用資產圖標對描述進行提煉。其主要目的是確保對分析目標有一致性的理解，包括其焦點、范圍和主要資產。對于運維安全審計系統而言，通過一些指標的預設，圍繞核心業務定義資產之間的關聯關系，并且真實了解核心業務系統的運維保障需求。

    4)目標描述的確定。其主要目的是保證風險分析其它部分的內容，包括目標、焦點和范圍是正確和完整的，并且提交業務負責人審查通過。這一步涉及到對于分析目標更為細致的描述，包括一些假設和前提條件需要被確認。一般而言，對于分析目標的描述會采用正式或者半正式的標記。在這一步也會確認對于每一個資產所采用的風險評估標準，并建立對應的評估場景。運維安全審計系統需要根據其保障的核心業務或者主要業務，建立針對業務系統的保障模型，確認各個資源的安全性需求指標，以及可能影響這些服務的場景。

    5)用威脅圖標識別風險。這一步的主要工作就是風險識別，對常規的風險評估，可以采用類似頭腦風暴的方法，通過結構化頭腦風暴可以對評估目標進行逐步預排。風險識別涉及到系統化的識別威脅、非預期的意外事件、威脅場景和脆弱性。CORAS方法支持了該行為，通過威脅圖譜的方式可以展示其結果。對于運維安全審計系統，需要建立對于“運維大數據”的挖掘機制，并且對所有事件、記錄進行關聯分析，從而能夠自動化生成威脅展示。

    6)風險預估。其主要目標是通過識別未預期事件或行為所代表的風險來確定風險級別。非預期事件或行為在步驟5）被記錄下來，這些指標是風險分析的基礎。在此需要進行可能性以及影響的評估時，這些指標的組合代表了每一個被識別風險的風險級別。運維安全審計系統應該建立科學的方法來進行風險級別的判定，常用的風險計算公式如(1)所示：

  7)風險評估。其主要目的是確認所識別的風險哪些是可以接受的，哪些是必須進行進一步評估并進行處置。運維安全審計系統應根據預設的風險管理規則，以及預設的風險級別定義，根據所識別風險的等級進行針對性的處理，常見的處理手段有：實時阻斷、告警、日志記錄等方式，當然也可以包括其它的聯動機制，如路由黑洞、流量限制、限時鎖定等方式。

    8)風險處置。該步驟主要是關于識別以及處置措施分析的過程，風險一旦被發現且無法接受，則必須有適當的方式去消除它們。處置措施應該能夠降低風險發生的可能性或減輕風險影響，同時充分考慮成本收益。針對步驟7)的各項處置措施，運維安全審計系統能夠自動執行，同時能夠通過告警等方式促使人工干預。

    按照上述分析方法，基本上可以實現在運維安全審計系統當中建立有效的風險評估體系，同時給予風險圖譜的展示。在這個基礎上，我們需要作進一步就安全風險的感知加以分析。

4基于貝葉斯定理的風險態勢感知

    態勢感知( Situation Awareness)是安全風險管理的一個熱點，其核心理念就是變被動防御為主動感知，提出了網絡安全領域的情景感知框架NSSA( NetworkSecurity Situation Awareness)，NSSA描述了整個網絡的實時風險信息以及全局安全風險態勢，它定義了被監控網絡的全局安全狀態、某個時間窗口遭受的攻擊以及攻擊對網絡安全總目標的影響，是當前網絡安全評估領域一個新的研究熱點。

    NSSA框架的概念性模型可分為三個階段：1）情景識別；2）情景評估；3）情景預測。該框架提出了風險感知的方法論，但是沒有提供切實可行的工具和可操作性指南，為了彌補上述不足和提供定量化分析手段，我們采用了基于模型的CORAS風險評估方法。按照CORAS風險分析方法，我們就能夠通過運維安全審計系統實時展示當前IT系統的安全風險，并且進行有效的風險管理和處置。

    1)情景的識別。在IT運維業務當中，因為事務的識別相對比較明晰，因此根據企業的運維作業或者任務可以定義出不同的場景。例如：變更場景、配置場景、升級場景、部署場景等。

    2)情景評估。針對每一個場景，都可以通過CORAS方法進行風險的評估和分析。

    3)情景預測。利用現有證據對當前的情景進行安全風險預測。

    對于態勢感知，無論是CORAS方法還是NSSA框架都提供了相應的場景或者模型，但光有場景和模型是不夠的，關鍵問題還是對于事件不確定性的數學解釋，為此我們可以使用D-S證據理論，也可以使用貝葉斯定理來實現。目前在IT領域關于概率事件的預測，貝葉斯定理的應用范圍非常廣'其原因就是貝葉斯定理在技術實現上相對要更容易，因此在實際工作中，下一代運維安全審計系統建議使用貝葉斯定理來處理風險感知的不確定性問題，如公式(2)所示：

  下面我們用最簡單的例子來說明貝葉斯定理是如何應用到風險感知場景的。假設某企業在過去1年里一共發生過2次安全事件，根據運維大數據的統計分析可知，在新的威脅或新的脆弱性被披露后一周內，系統會平均產生3次安全風險告警，告警的成功率約為0.9，現在需要我們預測當一種新的威脅產生時，系統在一周內被成功入侵的概率是多少。

我們假設A為新事件的威脅出現時系統的風險告警，B

    即當一種新的威脅產生時，系統在一周內被成功入侵的概率是0.012。

  在實際的風險感知模型當中，運維安全審計系統需要充分結合內外部的知識庫以及自身的數據進行數據的挖掘與分析，同時需要根據用戶的業務系統和管理資源，綜合分析資產價值、威脅、脆弱性、可能性和影響等安全風險因素，并且形成動態的風險評估方式，這樣才能夠更為準確的進行安全風險感知，也才能夠改變被動應對的安全局面，真正做到主動防御、深層防護。

5結束語

    本文根據現有運維安全審計系統的現狀，結合新的技術和業務發展需求，研究并闡述了下一代運維安全審計系統的發展趨勢，提出了系統在IT治理領域、法律法規遵從性方面的功能發展需求以及未來的系統發展方向，本文特別提出了下一代運維安全審計系統在風險管理和風險感知方面的發展趨勢，詳細介紹了風險管理和風險感知的實現機制。