下一代运维安全审计系统研究与设计(安全)

                                王海涛

               （中国电力建设股份有限公司信息化管理部，北京100048)

摘要：文章通过对信息安全现状的分析，结合运维审计领域新的安全形势和业务需求，主要研究了运维安全审计系统未来的发展趋势，提出了下一代运维安全审计系统在安全治理、安全风险管理和法律法规遵从性三个方向的技术发展路线。为了解决目前运维安全管理体系中缺乏有效风险管理机制的问题，文章重点研究了下一代运维安全审计系统风险管理，包括风险识别、风险评估、风险感知等课题，提出了在各种场景和模型下基于CORAS框架的风险分析技术方法，以及利用贝叶斯定理初步探讨风险感知的实现机制。

关键词：运维安全审计系统；风险管理；风险感知

中图分类号：TP309  文章编号：1671-1122( 2016) 06-0081-05

1下一代运维安全审计系统的总体发展趋势

    随着IT技术以及安全态势的发展，运维安全审计系统也需要不断更新换代，以满足用户日益增长的业务需求，并不断适应新的安全形势。

    通过对具体企业信息系统的分析，可以看出运维安全审计系统正在变成企业信息系统标准化管理的一种技术实现手段，最为明显的就是这个系统正在逐步扩展融入企业的GRC( Governance, Risk Management, and Compliance，即治理、风险管理和遵从性)领域。因此运维安全审计系统未来的发展方向，其实就是在安全治理、遵从性和风险管理三个方向进行广度和深度地挖掘。

    GRC是保障企业实现其战略目标的三个支柱。安全治理，指企业设立或实施的一系列程序与流程，它们在企业的结构和管理模式中都有直接体现；风险管理，指预测并管理可能对于企业目标造成阻碍的风险；遵从性，指遵从企业自身的策略和程序，以及法律和法规，健壮而有效的遵从性被认为是一个组织成功的关键。

    当前运维安全审计系统已经在资源的管理和操作审计上取得了一定程度的发展，后续也会在这几个方面进行功能的完善，但是从未来发展的大趋势看，运维安全审计系统的发展方向更应该是利用新的技术和新的方法论在GRC的某个层面进行深入的挖掘。可以预期下一代运维安全审计系统必须具备的核心功能包括：在安全治理方面能够无缝衔接企业的业务流程与安全策略；在系统本身提供了有效的法律法规遵从性依据的情况下，同时需要在功能实现过程中符合遵从性原则；系统需要具备完善的运维风险管理体系，能够对各类运维风险进行识别、评估、告警与预测。

    对上述三个发展趋势，本文将做进一步的分析，特别是针对下一代运维安全审计系统的风险管理功能，将进行详细的阐述。

1.1在安全治理领域的发展趋势

    在安全治理方面，下一代运维安全审计系统将会更多的融入到企业的业务流程当中，需要具有辅助决策功能和更灵活的授权管理机制，从而能够为管理层提供辅助决策支持，同时能够做到真正的责任落实与职责分离，进而有效地保护企业的核心资产。

    对任何运维操作而言它都不是孤立的，IT运维本身也是企业业务的一部允因此必然要接受安全治理的管控。下一代运维安全审计系统未来发展的一个重要方向就是与企业业务流程的融合，与ITIL、ITSM等系统的整合与衔接。结合用户现有的业务流程以及操作规程，未来的运维操作在多人共管以及协同审批上将会取得长足发展，可以自定义工作流的工单管理系统必将成为运维操作不可缺少的组件之一。

1.2在遵从性领域的发展趋势

    在法律法规的遵从性方面，除了企业自身的要求、行业的要求以外，通用的国际国内标准为企业运维安全审计提供了扎实的遵从依据。目前对于企业比较适用的国际标准包括SOX法案、IS027001等，国内则重点遵从信息安全等级保护标准。

    对于下一代运维安全审计系统，法律法规的遵从性将会得到直观的体现。首先系统能够按照相关规定的要求生成准确全面的输出，比如关于账号、口令策略、认证过程和访问行为等各个方面详实的原始审计数据。更重要的是，未来的运维安全审计系统需要根据企业所遵循的核心规定，一键式生成相关的合规报告。例如，能够在规定周期内一键生成信息安全等级保护的合规报告，报告能够包含等级保护标准所要求的各个层面，并且能够详细展示技术和管理上适用的各个控制项和控制条目的合规情况。所以下一代运维安全审计系统，需要真实理解所遵从的法律法规，就等级保护而言，更需要理解各个保护等级的差距，以及其真正防护的有效边界。

    遵从性的另一个直接体现是通过运维安全审计系统所做的一切运维操作都应该符合企业自身的安全策略和相关流程管理的需求，这就需要运维管理策略与企业整体的运营战略保持一致。

1.3在风险管理领域的发展趋势

    运维安全审计系统未来发展的一个核心方向是风险管理，现有的运维安全审计系统都缺乏有效的风险管理机制，这种缺乏既体现在技术手段上，又体现在方法论上。现有的运维安全审计系统虽然对于大规模的运维操作已经形成了“运维大数据”，但是几乎没有有效的数据融合与数据挖掘技术支撑，特别是与用户的业务模式几乎没有什么直接的关联。

    下一代运维安全审计系统发展最重要的一个方面就是

  利用有效的技术手段，通过对“大数据”的挖掘，进行数据的融合、归并、关联分析，然后利用科学的风险评估方法，从而形成运维风险管理体系，进而与用户的业务逻辑整合，形成统一的IT风险管理系统，建立安全的风险评估和运维态势感知体系。

    本文根据当今国内外在风险管理理论与实践方面研究的最新成果，研究在运维安全审计系统中建立一套成型的运维风险管理体系，并从技术上实现运维风险的评估与风险的态势感知。

2运维风险的分类

    识别、分析、度量和管理运维风险，是下一代运维安全审计系统的一项重要功能，它是IT风险管理的主要组成部分，这些风险与用户的业务模式及管理体系息息相关。

    与通常所说的IT安全风险不同，运维风险所涵盖的内容更广泛，根据对企业所造成影响的不同，运维风险可以分为以下几类：信息风险、操作风险、资源可用性风险、性能风险、遵从性风险。

    1)信息风险：是指信息系统中的数据面临的机密性、完整性、可用性等关键要素被破坏的风险。比如信息的伪造与篡改，信息的泄密与泄露、资源的非授权访问与滥用。信息风险的威胁源一般包括：外部攻击、恶意代码、物理破坏、无效的访问控制等。对于运维审计来讲，需要能够有效识别上述操作行为并且评估这些行为可能造成的后果，进而判定是否存在安全风险。

    2)操作风险：是指运维人员在运维过程中执行的命令与脚本、运行的策略与审计、进行的变更与升级等操作，有可能对业务系统的正常运行带来影响的风险。

    3)资源可用性风险：可用性是信息安全非常重要的一个指标，它是指资源或者服务在需要的时候是可以访问的。不同的行业对于安全指标的关注度不同。例如，军工行业更关注信息的机密性，但是对于绝大多数用户而言，关注更多的是资源的可用性，因为业务系统的连续稳定运行一般都是企业的首要目标。可用性不仅体现在物理安全上，对于运维操作而言，更主要体现在服务的及时交付、实时准确的授权方式上。

    4)性能风险：运维安全审计系统往往是运维操作的唯一通道和人口，因此它需要关注系统、应用、服务的性能表现，当前的运维安全审计系统尚处于关注自身性能表现这一层面，下一代运维安全审计系统需要聚焦更广阔的风险，需要能够评估由于不合理的架构、网络阻塞、低下的执行效率等在信息系统的性能风险。

  5)遵从性风险：是指运维操作与运维过程不符合企业相关的规章制度，运维管理不符合国内或国外相关的法律法规要求而导致的风险。例如，业务系统的口令强度不高，就与大部分的标准要求相违背。有效识别遵从性风险，并且能够生成一键式报告，这个思路与前文的GRC整体思路是一脉相承的。

    下一代运维安全审计系统的一个核心内容就是风险管理，因此必须能够针对上述五类风险进行有效的识别、分类、评估和预警。

3基于CORAS框架的风险评估方法

  关于风险管理和风险评估，目前已经有很多成熟的模型（如Cobra，CRAMM等）以及国内外相关标准所提出的方法论，但是几乎所有的风险评估方法都具有一定的局限性。一方面是它们过度依赖知识库，根据以往的经验形成定性的评估结果，另一方面它们基本上会针对某一个方向，例如有侧重脆弱性的、有侧重威胁度的、有侧重商业影响的。在整个风险图谱的展示上都有不足之处。现在业界正在研究的一种新的、高效的风险分析方法也就是CORAS方法。

    CORAS方法把风险分析技术和基于UML的系统建模方法结合起来，包括术语、方法论、知识库和工具集4个部分。术语定义框架涉及的概念，给出统一命名标准；方法论给出风险分析的技术、遵循的过程以及描述方式，为分析提供理论基础；知识库为风险分析提供经验知识，存储每次风险分析的结果数据，提高分析准确率和效率；工具集提供方法论的计算工具，并用于实现知识库。CORAS方法的框架总体结构如图1所示。

结合上文提到的在运维操作与管理过程中可能存在的五类风险，并且根据企业的实际运维操作业务流程与管理机制，我们就能够定义具体运维场景，并且在这些场景中定义出合理的业务模型，进而通过CORAS方法评估当前的运维安全风险。

    CORAS风险评估方法，可以分成8个步骤，我们可以建立一种模型，使得运维安全审计系统能够进行有效的风险分析，进而进行风险的感知与展示。

    1)启动风险分析的起始筹备任务。其主要目标是确认具体的评估目标是什么，实际的分析规模有多大，据此可以判定实际的分析任务需要做哪些必要的准备。对于运维安全审计系统而言，在这一步意味着需要有明确的资产定义，以及资产重要性的初始化赋值，定义危险行为与危险操作，要建立初步的资产、脆弱性和威胁的关联关系。这些任务通过定制化运维安全审计系统的资源管理、命令策略等方式得以实现。

    2)业务系统或评估对象的负责人对系统自身的描述。这个过程主要是了解用户真实的安全需求以及实现业务目标所需要的安全保障措施。通过这一步可以确认风险分析的总体目标、焦点和范围，进而确认整个计划。对于运维安全审计系统而言，安全分析关注的焦点不仅仅在于运维操作本身，更应该关注操作所关联的业务糸统，例如，针对服务器操作系统的操作可能影响到服务器上数据库的正常运行、针对网络设备的修改操作可能造成业务的不可访问等风险。

    3)用资产图标对描述进行提炼。其主要目的是确保对分析目标有一致性的理解，包括其焦点、范围和主要资产。对于运维安全审计系统而言，通过一些指标的预设，围绕核心业务定义资产之间的关联关系，并且真实了解核心业务系统的运维保障需求。

    4)目标描述的确定。其主要目的是保证风险分析其它部分的内容，包括目标、焦点和范围是正确和完整的，并且提交业务负责人审查通过。这一步涉及到对于分析目标更为细致的描述，包括一些假设和前提条件需要被确认。一般而言，对于分析目标的描述会采用正式或者半正式的标记。在这一步也会确认对于每一个资产所采用的风险评估标准，并建立对应的评估场景。运维安全审计系统需要根据其保障的核心业务或者主要业务，建立针对业务系统的保障模型，确认各个资源的安全性需求指标，以及可能影响这些服务的场景。

    5)用威胁图标识别风险。这一步的主要工作就是风险识别，对常规的风险评估，可以采用类似头脑风暴的方法，通过结构化头脑风暴可以对评估目标进行逐步预排。风险识别涉及到系统化的识别威胁、非预期的意外事件、威胁场景和脆弱性。CORAS方法支持了该行为，通过威胁图谱的方式可以展示其结果。对于运维安全审计系统，需要建立对于“运维大数据”的挖掘机制，并且对所有事件、记录进行关联分析，从而能够自动化生成威胁展示。

    6)风险预估。其主要目标是通过识别未预期事件或行为所代表的风险来确定风险级别。非预期事件或行为在步骤5）被记录下来，这些指标是风险分析的基础。在此需要进行可能性以及影响的评估时，这些指标的组合代表了每一个被识别风险的风险级别。运维安全审计系统应该建立科学的方法来进行风险级别的判定，常用的风险计算公式如(1)所示：

  7)风险评估。其主要目的是确认所识别的风险哪些是可以接受的，哪些是必须进行进一步评估并进行处置。运维安全审计系统应根据预设的风险管理规则，以及预设的风险级别定义，根据所识别风险的等级进行针对性的处理，常见的处理手段有：实时阻断、告警、日志记录等方式，当然也可以包括其它的联动机制，如路由黑洞、流量限制、限时锁定等方式。

    8)风险处置。该步骤主要是关于识别以及处置措施分析的过程，风险一旦被发现且无法接受，则必须有适当的方式去消除它们。处置措施应该能够降低风险发生的可能性或减轻风险影响，同时充分考虑成本收益。针对步骤7)的各项处置措施，运维安全审计系统能够自动执行，同时能够通过告警等方式促使人工干预。

    按照上述分析方法，基本上可以实现在运维安全审计系统当中建立有效的风险评估体系，同时给予风险图谱的展示。在这个基础上，我们需要作进一步就安全风险的感知加以分析。

4基于贝叶斯定理的风险态势感知

    态势感知( Situation Awareness)是安全风险管理的一个热点，其核心理念就是变被动防御为主动感知，提出了网络安全领域的情景感知框架NSSA( NetworkSecurity Situation Awareness)，NSSA描述了整个网络的实时风险信息以及全局安全风险态势，它定义了被监控网络的全局安全状态、某个时间窗口遭受的攻击以及攻击对网络安全总目标的影响，是当前网络安全评估领域一个新的研究热点。

    NSSA框架的概念性模型可分为三个阶段：1）情景识别；2）情景评估；3）情景预测。该框架提出了风险感知的方法论，但是没有提供切实可行的工具和可操作性指南，为了弥补上述不足和提供定量化分析手段，我们采用了基于模型的CORAS风险评估方法。按照CORAS风险分析方法，我们就能够通过运维安全审计系统实时展示当前IT系统的安全风险，并且进行有效的风险管理和处置。

    1)情景的识别。在IT运维业务当中，因为事务的识别相对比较明晰，因此根据企业的运维作业或者任务可以定义出不同的场景。例如：变更场景、配置场景、升级场景、部署场景等。

    2)情景评估。针对每一个场景，都可以通过CORAS方法进行风险的评估和分析。

    3)情景预测。利用现有证据对当前的情景进行安全风险预测。

    对于态势感知，无论是CORAS方法还是NSSA框架都提供了相应的场景或者模型，但光有场景和模型是不够的，关键问题还是对于事件不确定性的数学解释，为此我们可以使用D-S证据理论，也可以使用贝叶斯定理来实现。目前在IT领域关于概率事件的预测，贝叶斯定理的应用范围非常广'其原因就是贝叶斯定理在技术实现上相对要更容易，因此在实际工作中，下一代运维安全审计系统建议使用贝叶斯定理来处理风险感知的不确定性问题，如公式(2)所示：

  下面我们用最简单的例子来说明贝叶斯定理是如何应用到风险感知场景的。假设某企业在过去1年里一共发生过2次安全事件，根据运维大数据的统计分析可知，在新的威胁或新的脆弱性被披露后一周内，系统会平均产生3次安全风险告警，告警的成功率约为0.9，现在需要我们预测当一种新的威胁产生时，系统在一周内被成功入侵的概率是多少。

我们假设A为新事件的威胁出现时系统的风险告警，B

    即当一种新的威胁产生时，系统在一周内被成功入侵的概率是0.012。

  在实际的风险感知模型当中，运维安全审计系统需要充分结合内外部的知识库以及自身的数据进行数据的挖掘与分析，同时需要根据用户的业务系统和管理资源，综合分析资产价值、威胁、脆弱性、可能性和影响等安全风险因素，并且形成动态的风险评估方式，这样才能够更为准确的进行安全风险感知，也才能够改变被动应对的安全局面，真正做到主动防御、深层防护。

5结束语

    本文根据现有运维安全审计系统的现状，结合新的技术和业务发展需求，研究并阐述了下一代运维安全审计系统的发展趋势，提出了系统在IT治理领域、法律法规遵从性方面的功能发展需求以及未来的系统发展方向，本文特别提出了下一代运维安全审计系统在风险管理和风险感知方面的发展趋势，详细介绍了风险管理和风险感知的实现机制。