“新华社全球一体化平台”统一安全管理中心建设的思考与实践

孟志华

（新华社技术局）

摘要 “新华社全球一体化平台”作为新华社新闻信息业务的重要信息系统，担负着新华社新闻信息的采、编、发工作，具有结构复杂、信息安全要求高等特点，因此，建立一个统一安全管理中心十分必要。本文介绍了安全管理中心特别是安全管理平台的功能及作用，通过分析“新华社全球一体化平台”的现状及风险，对安全管理中心在“新华社全球一体化平台”中的设计进行了思考与实践，并对安全管理中心进行了展望。关键词 新华社全球一体化平台 安全管理中心 SOC1“新华社全球一体化平台”简介新华通讯社主要担负着党和国家耳目喉舌和消息总汇的职能。为加快推进新华社国际传播能力建设，更好地履行国家通讯社职能，在《新华社关于增强国际传播能力工作方案》中提出“建立全球一体化的多媒体采编发系统，在欧洲、北美、亚太等地区总分社搭建多媒体数字生产加工平台，为新闻信息多媒体业态建设提供现代化的、高度可靠的基础工作平台”，以下简称“新华社全球一体化平台”。“新华社全球一体化平台”作为新华社新闻信息业务的重要信息系统，具有跨平台、跨系统、跨区域、跨部门、受众广的特点，业务数据的传输、存储、处理、加工方式呈现出多元性、多样化、多方式特征，各子系统涉及面广、分布零散、使用地点复杂，国内和国外、总社和分社安全条件差异大等。国家有关部门对信息安全等级保护有相关具体要求，项目应同步进行等级保护建设。“新华社全球一体化平台”信息安全等级保护定义为三级，其建设的总体目标是构建统一安全管理中心管控下的安全计算环境、安全区域边界、安全通信网络的多级安全防护体系，通过全面识别“新华社全球一体化平台”所包含的各个业务信息系统在技术层面和管理层面存在的不足和差距，合理设计安全管理措施和技术措施，形成一个覆盖全面、重点突出、持续运行的符合信息安全等级保护技术要求的信息安全保障体系，保证“新华社全球一体化平台”能够长期稳定安全运行，以适应新华社不断扩展的业务应用和管理需求。因此，建立一个统一安全管理中心对于“新华社全球一体化平台”项目是十分重要的。2“新华社全球一体化平台”现状及风险分析2.1“新华社全球一体化平台”现状“新华社全球一体化平台”各业务系统网络结构主要为星型网络，在各业务系统边界部署防火墙。内网（园区网）为新华社的内部核心网络，是整个新华社业务系统管理和互联互通的中心枢纽；新华社外网系统连接互联网，外网主干链路出口处部署防火墙、入侵检测系统和抗DDOS系统，内网数据信息通过网闸实现与外网应用系统间的交互功能。

图1.新华社全球一体化平台内、外网系统现状

2.2“新华社全球一体化平台”安全风险分析在“新华社全球一体化平台”运行过程中，不仅要抵制来自外部的黑客入侵攻击及网络病毒传播等威胁，也要防范内部系统运维人员的越权访问对网络节点内网页内容的完整性、机密性及可用性造成的破坏风险，以及系统本身存在的安全漏洞等。随着信息安全问题的日益严峻，安全设备的部署越来越多，形成了一个个安全防御孤岛，在很大程度上制约了对“新华社全球一体化平台”整体安全情况的掌控，因此，有必要建立一个统一的安全管理中心。3“新华社全球一体化平台”安全管理中心建设3.1SOC简介安全管理系统分为三个层面，即信息资产、安全设备和系统、安全管理中心（Security Operations Center，即SOC），狭义上，SOC的重点工作是对安全设备的集中管理，包括集中的运行状态监控、事件分析、安全策略下发等。而广义的SOC则不仅是对安全设备进行管理，还要针对所有的应用系统资源进行集中安全管理，还包括风险管理和运维管理等内容。一般的，SOC定义为，以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。因此，SOC不是一个单独的产品，而是一个包括产品、运维和服务的复杂系统。SOC产品是一个安全产品的集合，并且在这些安全产品之上，从业务的角度构建一个一体化的安全管理运行的技术支撑平台。在国内，SOC产品也称为安全管理平台。本文通过对安全管理平台的介绍及“新华社全球一体化平台”的安全风险的分析与思考，在一个统一的安全管理平台上，对“新华社全球一体化平台”中的编辑加工、数据采集、多媒体数据库、报道指挥等子系统进行统一的管理，最终实现了建设一个统一的安全管理中心的目的。 3.2管理模型根据“新华社全球一体化平台”现状及安全风险分析，将采用“企业层级式管理模型（Enterprise Hierarchical Model）”，模型结构如下

图2企业层级式管理模型

企业层级式管理模型特点如下：（1） 灵活性高，执行力强，对于各应用环境差异大的情况下非常适用，各监控平台的日常问题和事件处理完全可以在本地平台独立完成（2） 最大的问题来自于如何保证各地通过管理流程和监控管理工具达到标准化、规范化的服务能力，如事件上报等。（3） 相对于集中式管理来说，对各运维中心的工作技能要求较高。（4） “大平台”对各监控平台可以只监测，不控制。

3.3设计思考

安全管理中心系统是一个多元化的系统工程，是一个循序渐进、不断完善改进的过程。

3.3.1总体原则：

（1）集中管理：在管理模型上采用紧耦合与松耦合相结合的模式。在管理系统的横向采用松耦合模式，各业务平台在“大平台”的统一监控管理之下相互独立，互不干扰；在管理系统的纵向采用紧耦合模式，采用“大平台”管理总控，统一制定并部署监控管理平台，负责协调和制定平台对接的接口规范和标准。（2）与其他平台灵活对接：将监控平台的告警事件通过工单方式发送到流程管理平台，并支持流程管理平台将工单状态变更时更新到监控平台，通过平台间数据共享，采用统一的配置数据，确保监控平台与流程管理平台间灵活有效的整合。（3）系统的扩展能力：建立一个集中安全监控与运维系统并能扩展到下辖的多个业务平台或分社的集中管理系统，具有横向（管理系统向多个业务平台扩展）和纵向（管理功能的增加）两个方面的可扩展能力。3.3.2.整体设计系统的业务逻辑分三个层次，其中，采集层将各种事件源的事件收集上来；处理层将进行事件的关联、过滤和汇聚；展示层则按管理数据、报表数据和性能数据的不同进行展示，并通过各种接口方式和新华社现有系统进行集成。

图3系统业务逻辑层次

3.4安全管理平台的主要功能利用统一的安全管理平台，对“新华社全球一体化平台”的安全建设用到的各类安全设备或安全系统进行集中管理，实现日志的统一收集、分析、预警、响应、处理跟踪及安全审计，最终实现对新华社全球一体化平台的统一安全管理。（1）事件全生命周期的集中化日志管理安全管理平台需要从日志产生、采集、综合分析与审计、日志存储、备份日志等进行全生命周期管理。通过集中化日志管理，利用安全管理平台的实时审计、统计及事件查询功能，提高安全运行效率。（2）日常安全运维工具对于日常安全运维，核心工作内容是对网络进行持续监测，确保网络、主机、应用、重要信息和人员资产的安全。“新华社全球一体化平台”安全管理员能够统一收集来自网络中的资产日志信息，通过分析日志中的安全事件，识别各类性能故障、非法访问、不当操作、恶意代码、攻击入侵，以及违规与信息泄露等行为，协助安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表，成为日常安全运维的有力工具。（3）构建基于业务单元的风险管理体系建设安全管理平台，改变以往以安全事件和单个资产为视角的传统模式，结合“新华社全球一体化平台”的业务属性，使系统管理员能够直观清晰全面的认识业务单元是否面临风险以及风险严重程度，如何处置风险及风险的发展趋势和方法手段。（4）实现多级系统安全管理模式利用安全管理平台的多级管理功能为“新华社全球一体化平台”提供统一安全窗口，使管理人员及技术人员找到自己关心的信息，明确不同层次人员在安全管理工作中所处的位置和担负的职责，形成一套自上而下、分工明确、责任清晰、协同工作的安全管理模式。3.5安全管理平台接口设计“新华社全球一体化平台”的安全管理平台接口主要包括内部接口、数据采集接口和外部接口。（1） 安全管理平台内部接口内部接口包括安全管理平台内部模块间的接口及上下级安全管理平台间的接口实现。其内部模块之间的接口主要用于实现模块间的数据交换，把系统数据进行综合，为安全管理员处理安全事件提供依据，为安全决策提供数据支持。（2） 安全管理平台数据采集接口安全管理平台数据全部都是来自于内外网系统的设备和应用系统，数据采集接口的数据流向采用单向处理，即从设备和业务系统向安全监控系统发送安全数据，对不同类型的安全数据如安全事件、安全漏洞等作出相应的处理，最后通过事件管理模块完成安全事件关联以及安全事件与安全对象之间的关联。安全数据采集的资产类型包括主机、网络设备、数据库、安全设备、应用系统、数据和信息等资产组成。（3） 安全管理平台外部接口事件采集通过代理实现，采集网络设备的SNMP Trap，syslog等事件，最后汇总在安全管理平台统一管理。3.6安全管理平台功能设计与实现3.6.1安全事件管理安全事件管理是一种实时的、动态的管理机制，需要通过关联分析来自于不同地点、不同层次、不同类型的信息事件，协助新华社系统安全管理人员发现安全风险和安全问题，从而准确的、实时的评估当前的安全态势和风险，并根据预先制定的策略做出快速响应，有效应对各类安全事件。
在事件统一采集与整合的基础上，安全管理平台提供多种形式的事件分析与展示，将事件可视化，包括实时事件列表、统计图表等，还能基于各种条件进行事件的关联分析、查询、备份、维护，并生成报表。

图4“新华社全球一体化平台”安全管理平台

3.6.2系统脆弱性管理各种重要信息资产存在的脆弱性是影响信息系统安全的重要潜在风险，安全管理平台实现了对重要信息资产安全脆弱性的收集和管理。脆弱性信息主要包括两类：通过远程安全扫描可以获得的安全脆弱性信息和通过人工评估方式收集的脆弱性信息。利用脆弱性管理系统进行导入和处理后，安全管理员可进行查询并采取相应措施进行处理。3.6.3信息资产管理资产管理将管理各系统和设备，是风险管理、事件监控、协同工作和分析的基础。依据风险评估结果、定期漏洞扫描结果和信息资产相结合，为其他安全运行管理模块提供信息接口。3.6.4网络拓扑与状态管理安全管理平台具有拓扑生成及网络设备状态监控功能。（1） 拓扑监控功能拓扑监控功能展示当前地域的拓扑图，包括背景图及其中的地域、网络、链路等，并可显示其信息（2） 设备状态监控当设备某个状态（如CPU、内存、磁盘利用率）的值超出阀值，则会红灯显示。利用安全管理平台实现用户监控整个网络环境中所有设备的运行状态和性能分析，并实时获得告警，便于采取应急响应行动。3.6.5设备控制管理安全管理平台具有设备控制管理功能，可对关键网络设备进行控制，设备管理需要提供通用的、可扩展的设备控制框架，在安全管理平台中内置常用控制协议：Telnet和SSH。3.6.6安全响应管理安全管理平台具有响应管理功能，以协助完善安全事件处理，实现工具化、程序化、规范化。依据当前的网络状态，及时调动有关资源做出响应，降低风险。3.6.7多种关联分析方法关联分析能够将原始的设备报警进一步规范化并归纳为典型安全事件类别，协助用户更快速的识别当前威胁的性质。需要具备多种关联分析类型：基于规则的事件关联分析、统计关联分析和漏洞关联分析。3.6.8报表管理安全管理平台提供丰富的报表管理功能，可根据时间、数据类型等生成报表，提供打印、导出及邮件发送等服务，为安全管理员提供决策和分析的数据基础，协助管理员掌握网络及业务系统状况。3.6.9多级管理多级管理包括采集引擎的级联部署和安全管理平台的多级部署，可灵活支持分布式部署多层的级联管理模式。3.6.10安全知识库管理安全管理平台将安全管理信息收集起来形成统一的安全共享知识库，包括平台自身事件库、设备事件库、案例库、安全策略管理、安全公告、处置库、漏洞库等，便于安全管理员进行信息管理和查询浏览。4 小结总之，随着对信息安全的重视程度不断提升，安全产品在新华社得到了广泛应用。 SOC不只是一个安全产品，而是一套安全运维的技术支撑平台，现在的SOC更是面向客户，以业务为核心的一个一体化的安全管理系统。相信在不久的将来，新华社将建立一套以SOC为基础的技术支撑体系，并将在“新华社全球一体化平台”中起着至关重要的作用。 孟志华 63076752 13693266232 mengzhihua@xinhua.org 编辑：中国新闻技术工作者联合会