地震的发生是由多个因素相互作用,逐渐积累,最终爆发的过程。最近,“汶川地震”的原因初步探明:印度板块向亚洲板块俯冲,导致青藏高原快速隆升;高原物质东流,遇到四川盆地之下刚性地块顽强阻挡,造成构造应力能量的长期积累,最终在龙门山北川---映秀地区突然释放。 重大信息安全事故的爆发也是一个复杂的过程。对于恶意攻击,无论是破坏型攻击,如拒绝服务攻击,还是入侵类型的攻击,攻击者通常都经历搜集信息、获取合法权限、权限升级等步骤,最后才完成攻击。这会在不同设备上留下痕迹。如果我们能够将相关信息收集后,交由专家队伍进行处理和深入分析,就有可能在事故发生前发现入侵企图,提前做好防护准备;在事件发生时及时报警;在事件发生后调查取证。 地震警报与故障定位 在汶川发生地震后不久,中国地震监测部门根据监测到的信息确定了四川省汶川为震中位置,地震级别为7.8级,将消息报告了中央。尽管后来经过对其他国家提供资料的比对,将震级更正为8.0级,但是毕竟为第一时间确定震中位置,对地震灾难的初步评估和后续的抗震救灾工作起到了重要的指导作用。 面对突发信息安全事件,首先需要定位故障点,评估影响范围,然后迅速确定应对手段遏制故障影响,同时查找故障根源,消除故障根源。 对于信息安全事故而言,由于信息分散,不同角色的维护人员通常只掌握局部知识,往往很难在第一时间定位故障点,也就难以确定故障原因,这就为后面的处理工作带来了很大挑战。我们公司曾经出现过的几次由于蠕虫导致网络发生拥塞甚至中断的事件,就是由于上述原因,导致故障处理延缓,影响范围扩大。这就要求我们集中收集来自不同信息源的各种安全事件。 信息的关联性 就像单凭某些生物的异常反应不能被看做地震发生前的征兆一样,来自单一设备的信息如果孤立地看往往不能说明问题;但是将信息安全事件与我们的业务结合起来,将来自系统的事件、网络的事件、应用的事件和来自安全设备的事件集中到一起进行比对,就可能发现安全隐患。 例如,防火墙拒绝来自某个地址的PING数据包本身并不能说明什么,但是如果将该信息与来自入侵检测系统的信息、来自边界路由器的信息,以及来自DMZ区服务器的信息进行对照,就可能确定这是一种对开放应用的潜在威胁。 据了解,全球各地每天都有上万次不同程度的地震发生,其中99%都是微震,对人类不会构成危害。如何对这1%可能造成灾难的地震进行预测至今还是世界性难题。 我们的信息系统虽然没有天天发生故障,但这并不意味着平安无事。信息安全事件每时每刻都在发生。例如,我们部署在Internet边界的防火墙几乎每秒钟都抵御着来自世界各地的攻击。一台边界防火墙平均一天产生的日志量就高达一百兆,约几十万条,入侵检测系统产生的事件量也大得惊人。来自安全设备、网络设备的事件加上来自系统的和来自应用的事件构成了名副其实的“海量”信息。这些安全事件由于数量巨大,再加上格式不统一,靠人工进行逐条解读和分析十分困难,如何处理海量事件是个难题;同时,从表面上看,绝大多数的安全事件没有对订座、离港、电子客票等核心业务造成实质影响,容易被人忽略。 其实,这些安全事件正是反映了我们网络、系统和应用的日常安全状况。它们有些来自错误的系统配置或者网络配置,有些暴露出不合理的网络设计或者程序开发,另一些可能是来自攻击者的嗅探或者不成功的攻击。一些不以破坏为目的的隐藏式入侵,例如安装木马、后门程序,窃取机密信息,篡改数据等行为如果没有专门的安全专家对大量安全事件深入分析,可能在很长时间内不被我们知晓。这些隐患虽然没有直接影响业务可用性,但是如果不及时发现、逐步解决,日积月累就可能引发重大故障。 从上述的对照分析中我们看出,要从安全事件中发现安全隐患,实现安全预警和调查取证,就必须实现对海量安全事件的集中收集、存储和处理。安全管理中心(SOC,SecurityOperationCenter)为我们提供了这样一个信息处理平台。 安全管理中心(SOC)是继网络管理中心(NOC)后的又一种极为重要的管理系统,它综合了许多国际标准、安全模型、IT管理技术,属于安全领域的新生事物,用于解决企业面临的日益严重的安全威胁问题。 SecFox对SOC做如下定义:SOC是以业务安全需求为导向,通过对网络的安全事件、资产、漏洞、威胁、风险、预警、安全策略、安全知识等安全要素进行收集、存储、分析、管理,提供以资产风险管理为核心的可信安全管理平台。 安全管理中心需要不同角色的人参与其中,需要流程与制度的支持,更需要与业务相结合才能起作用。安全专家可以利用该系统掌握系统和网络的安全状况,设置安全基准,发现安全隐患;根据业务流程设置信息的关联关系;根据以往的故障处理经验配置监控仪表板,设置报警条件。安全操作人员可以利用该系统及时发现并定位故障。 目前,由“航信股份公司”网络部承建的SOC(安全运营中心)项目正在进行中。网络部下一步的工作就是将SOC纳入到日常监控和维护流程,将SOC的监控面板接入机房;扩大信息采集范围,增加监控和预警力度,加强故障定位能力;更清晰地划分安全角色,结合业务流程,通过深入分析发现安全隐患。 SOC使我们处理海量的信息安全事件成为可能。SOC收集的信息越丰富,对信息进行筛选和分析的效果就越准确;与核心业务结合越密切,分析结果就越能体现安全事件对业务的影响,采取的控制措施也就越有效。通过SOC的长效治理,我们一定会避免“信息安全地震”对IT系统带来的重大伤害。同时相信,通过地震工作者的不懈努力,在不久的将来人类一定会战胜地震灾害。
作者系中国民航信息网络股份有限公司工程师
