我的《信息保卫战》读书笔记：安全事件监控

谈到安全事件监控，往往让人首先想到的就是摄像头、监视器等等，对于 企业安全事件监控，不仅仅涉及物理环境与人员的安全监控，更多的是针对企 业网络与业务系统的安全事件监控，企业网络与业务系统信息化建设不断完善， 使得各类信息安全事件成为企业发展必须面对的问题，甚至各类严重的安全事 件直接关系到企业的生死存亡。信息安全事件监控是企业及时响应与解决各类 安全事件的前提。

企业信息安全事件监控的目的是为了预防内部各业务系统由于权限滥用或 者管理不当所导致网络信息安全事件发生，保护并及时处理由此引发的各类信 息安全事件，降低或者避免突发安全事件造成的经济损失与社会影响，保障企 业网络与业务系统正常运行。

一、概述

安全事件监控的重要功能需求主要包括安全事件的收集、安全事件的归并 和过滤、安全事件标准化、安全事件显示和报表。

在企业的信息系统中，存在大量的IT资源，这些资源在实际运行中每时 每刻都在产生各种类型的事件信息，在这些事件信息中，安全事件是需要安全 运维人员重点关注的内容。通过安全事件监控，可以帮助企业积极监控整个组 织内的IT资源，过滤并关联事件，迅速定位安全威胁，并为安全事件响应提供支持。

但是，企业信息系统中的安全事件类型复杂、数量较大，如何快速地识别 和过滤出有效的安全威胁信息，是企业安全运维人员需要重点考虑的问题。在 具体的信息安全系统中，安全事件监控的内容主要包括安全事件的收集、安全 事件的归并和过滤、安全事件标准化、安全事件显示和报表等。安全事件监控 人多通过单一安全控制台，集中地管理安全事故和漏洞，为企业用户提供安全 架构的总体视图，使企业用户能够深入研究网络拓扑，了解受影响的资源的位 置并判断问题的真正根源。

二、面临的挑战与需求分析

随着信息技术的迅猛发展和信息化的不断建设应用，企业在信息安全管理 经营模式上逐步由传统模式向信息化管理模式转变。特别是全国性的大型企业 集团网络，其业务信息系统网络由总部核心区、对外服务E、总部办公区、各 个地市分支办公局域网、分支业务网等共同组成。企业在网络中部署了大量的 不同厂家不同型号的网络设备（如路由器、交换机）、安全设备（如防火墙、入 侵检测系统IDS等）和业务生产系统（如数据库系统、中间件系统）以及各种 自动化办公系统等等。

同时，随着企业信息化建设不断完善，大量应用信息系统相继上线，整个 应用信息系统面临的各种安全风险也日益严重，如何确保信息系统安全运行， 降低运维管理成本，完善安全事件监控，已经成为企业信息系统建设过程中面 临的主要问题。目前企业面对安全事件监控需求主要有以下几点：

1. 解决因网络规模庞大，监控范围难以覆盖的问题

规模庞大企业广域网，部署大量网络设备、安全设备与应用系统，网络与 设备环境情况极其复杂，并且企业网络规模随着业务扩展越来越大，如何进行 高效安全事件监控，加强管理者对企业网络信息系统的整体运行状况了解，是 函待解决的问题。

2. 如何对安全事件进行风险评估、分析

企业网络与设备因各种问题产生的海量安全事件，如何能够及时诊断快速 定位，避免影响企业信息应用系统正常进行。

3. 多样的安全事件如何归一化，实现全网监控

企业信息化安全建设阶段，以及异构安全性考虑，在整个企业网络中存在 大量的异构安全设备，不同安全事件归一化如何实现，如何打破各类安全设备 的采用所形成的安全信息孤岛。企业信息安全事件监控需要具备全局观，需要 实现对全网、各类业务系统的安全运行态势进行整体把控，从全局的角度综合 考虑安全风险。

监控中心实现一个安全可管理、运维的平台。实现类似网管系统的运维人 员对网络设备的管理、运维与故障响应一样，使管理层、业务人员、技术人员 都可以在安全运营中心系统里找到自己关心的安全信息。

三、安全事件监控的主要工作

安全事件监控的一个核心问题是如何对采集到的各类安全监控事件进行风 险评估，划分出事件的安全风险级别，使得安全管理员能够根据事件的风险级 别确定事件处理的优先级，按照轻重缓急的策略来协调资源并处理各类安全事 件，从而实现信息系统整体安全风险管理和风险控制的目的。安全事件监控的 运转流程是由系统运行时产生的事件日志生成、采集、分析的。要做到有效的 安全事件监控，安全事件监控信息源是重要的先决条件，即风险管理中对于安 全事件风险等级的识别和判定。

1. 安全事件监控数据呈现

安全事件监控需要综合建立统一管理平台，企业管理人员和维护人员在曰 常工作中，通过统一管理平台的操作管理界面，实现安全事件监控摘要信息、 安全指标数据、统计分析数据的集中呈现界面，是平台的入口和工作平台页面。 平台通过趋势图、汇总表、地图、网络图等形式，为管理者提供基于地理位置、 网络拓扑、统计表格、监控对象、技术趋势指标等各类形式的呈现方式。

2. 安全事件归一化

安全事件监控的统一管理平台在收集到海量的安全事件后，必然需要进行 安全事件归一化处理。来自不同设备和系统的安全事件千差万别，只有将这些 大量的异构数据转化为平台内部统一的数据格式才能进行后续的安全事件关联 分析，以及风险评估，才能为企业提供一个全局统一的事件监控界面。

3. 安全事件关联分析

安全事件关联分析实现海量安全事件的抽取、降噪，剥离无用信息，为企 业提升后续安全管理工作的效率，降低安全事件监控管理工作的复杂性。安全 事件关联分析是风险评估的基础，关联分析的结果导出的关联事件可以提升为 威胁，从而参与风险评估的计算，并且实现风险计算自动化、定量化。

4. 安全事件管理

安全事件管理是一种实时的、动态的管理模型，通过安全事件监控统一平 台进行安全事件收集、安全事件标准化、安全事件过滤、安全事件归并和安全 事件关联后分析来自于不同地点、不同层次、不同类型的信息事件，帮助我们 发现真正关注的安全风险，且提高安全报警的信噪比，从而可以准确地、实时 地评估当前的安全态势和风险，并根据预先制定的策略作出快速的响应。

5. 安全事件预警

安全事件预警是根据来自内部预警信息、外部预警信息分析获得对可能发 生的威胁的提前通告，提供各类安全威胁、安全风险、安全态势、安全隐患等 信息，该模块提供规则设定功能，以便准确定位用户所关心的安全问题，以便 有针对性地进行响应处理。

6. 安全事件知识库管理

企业通过安全事件监控，可以不断积累各类安全事件，并建立企业自有的 安全事件知识库集合，实现安全事件信息的共享和利用，提供了一个集中存放、 管理、查询安全知识的环境。建立企业处理的安全事件方法和应急方案，将标 准漏洞信息和标准事件信息收集起来，形成安全事件共享知识库。

7. 安全事件数据报表管理

企业需要对安全事件监控获得的各类安全事件信息进行报表统计管理，是 对各类安全运行数据的统计、挖掘、分析的呈现。通过各种形式化、标准化的 报表报告实现对数据结果的展现，满足企业在安全法规遵从建设需求。