下一代运维安全审计系统研究与设计

2020-11-27滕飞

电子技术与软件工程 2020年6期

滕飞

（北京航天时代光电科技有限公司北京市 100094）

1 引言

目前随着整个的互联网及大数据等高新技术的快速发展，IT 技术及其整个的互联网安全态势得到了快速的发展，在面对运维安全审计系统这个领域当中来说在技术进步的情况下也需要不断的进行更新迭代，从而满足用户不断增长的业务方面所存在的需求，以期适应互联网上的安全形势。

通过对互联网上的企业信息系统进行有效的分析，能够明显的看出运维安全审计系统目前已经完成演变成为企业信息化系统进行标准管理过程当中具体的一种技术方法与手段，当然其中最为明显的就是这类系统能够快速的扩展企业的CRC（Governance，Risk Management，and Compliance）这个领域当中。因此，从中可以看出未来的运维安全审计系统当中的发展方向主要是在基础性的安全治理方面、遵从性及其基本的风险管理等三个方向不断的挖掘与扩展。

针对GRC 来说，对于企业信息化战略有着非常重要的地位。安全的治理代表的是企业实施的一系列相关的程序及其具体的业务流程，其在整个的企业结构及其具体的管理模式当中有着重要的体现。针对风险管理来说，代表的就是预测企业在运行的过程当中可能会存在的风险，并对这些风险进行防控及管理。针对遵从性来说，代表的就是遵从整个的企业在管理过程当中的一些策略及基本的程序，还包括一些重要的法律及其法规等。

目前在运维安全设计系统当中随着IT 技术的快速发展已经在基础性的资源管理及其审计操作方便获取了一定的进展，后期在进行发展的过程当中对这两个方面还会进一步的完善。但是从整体的发展趋势上来说，运维安全设计系统未来的发展方向应该是应用更加先进的技术及其先进的理论方法在GRC 各个层面上进行深入性的挖掘。因此，直接在面对下一代的运维安全审计方面的核心业务系统来说，其中的核心内容当然就是包括在安全治理方面能够有效的与企业当中的核心业务流程及其安全方面的策略进行有效的结合操作；在面对系统自身的情况来说，提供了一系列在遵守企业的法律法规的情况下，能够有针对性的在功能的实现方面符合一些业务流程及其原则；在整个的业务系统进行完善的方面，还需要建立运维风险方面的管理体制，通过这个体制能够面对不同的各类运维风险进行有针对性的评估、有针对性的识别、有针对性的告警操作及其预测操作。

针对上述三个方面的发展趋势，本文中对其进行详细的阐述，并对下一代的运维安全设计风险的具体功能进行进一步的分析。

2 下一代安全审计系统发展趋势

（1）针对安全治理这个领域来说，下一代安全审计系统在这个领域当中的一个非常重要的趋势就是应用安全治理中的相关理论和方法与企业的业务流程进行结合，通过自身具备的方便的机制来为企业的领导层提供有效的决策方法及建议，为进一步的实现各类的职责及责任的分离，更好的保障企业核心的财产的安全。

在面对任何的运维方面的操作处理来说，其中的信息基本上都不是一种孤立的，这个对于企业来说进行IT 运维方面的操作代表的也是企业基础性的业务当中非常重要的一种组成部分。这一类的组成部分还需要能够有效的接受基础性的安全治理方面的控制管理。在面对下一代的安全审计管理系统来说，非常重要的一类方向就是有效的与企业的业务流程进行基础性的融合处理，同时与相关的ITIL、ITSM 等基础性的业务系统进行一些有效的整合与链接操作处理。在面对运维的时候需要有针对性的结合现有业务流程及其一些操作方面的流程，整个的未来运维操作还需要在多个不同的管理及其协同的基础上进行进一步的发展及其操作，当然还能够自行定义一些基本的工作流程和一些工单管理系统，通过这些自定义的业务流程来组成运维操作当中非常重要的组件部分。

（2）针对遵从性这个领域的来说，下一代安全审计系统的发展趋势就是将其能够无缝的与企业自身的管理行为及业务流程进行有效的结合起来。可以说，法律法规方面的遵从性代表着整个的下一代安全审计系统最突出的表现形式，也是最为直接的体现未来的发展方向。其中的一个方向就是能够依据相关的规定及其具体的要求来对企业的原始数据进行操作处理，方便企业对核心数据进行管理。另外一个方向就是随着整个的IT 技术的不断发展更新，运维安全审计系统能够形成更加全面的企业工作报告。

在面对下一代的基础性的运维安全审计操作来说，整个的法律法规在进行遵从性操作的时候都会有非常形象及其直观的展示。在进行系统操作处理的时候，需要有针对性的按照系统当中的一些规定按照一些要求生成比较准确性的输出操作，其中还包括一些基础性的账号信息、口令基础信息、认证方面的基础性过程及其一些访问方面的基本行为等多个方面比较丰富的审计方面的数据。当然非常重要的一个方面，在未来的过程当中还需要对其中的安全审计系统需要根据企业当中的核心内容进行规定操作处理，最终能够直接生成一站式的合规方面的报告信息。比如，能够在一定的规定的时期之内能够有效的生成信息安全方面等级报告信息，整个的报告信息还能够包含一些等级方面的标准信息，在标准信息中需要处理各个层面上，在整个层面上能够非常详细的展示技术及其管理上所存在的各个控制项目及其控制条目中的情况。因此，在面对下一代的安全审计运维系统来说，还需要有针对性的根据其中比较真实的理解遵从所需要的法律法规，还要按照不同的等级保护操作处理，当然还需要理解各个保护等级上所形成的差距信息，从而能够形成真正的防护方面的边界信息。

（3）针对风险管理这个领域来说，下一代运维安全审计系统非常重要的内容就是对风险管理进行管理，目前在风险管理这个领域当中已经取得了一定的成果及收获。但是受限于目前的运维安全审计管理在基础性的理论及其技术方面的限制，还无法真正有效的发挥重要的作用。目前的运维安全审计领域当中虽然能够形成大数据，但是针对这类大数据的融合及其大数据的挖掘还未形成有效的系统或者算法，在与具体的用户之间的联系还比较少，无法满足实际的需求。

因此，在直接面对下一代的基础性的运维安全审计系统非常重要的一种技术手段就是通过利用一些大数据相关技术，通过对这些大数据进行有效的挖掘操作，当然有针对性的对其中的基础数据信息进行融合操作，对基础信息归并操作处理，有针对性的对其中的信息进行关联分析，然后采用一种科学化的方法对其中的风险评估方法进行操作处理，最终能够形成一种针对基础性的运维方面的风险管理操作体制，通过这种方法与其他的用户之间进行业务逻辑方面的整合操作处理，这样能够形成一种统一化的IT 风险操作管理业务系统，这样就能够有效的形成一种安全风险基础信息的评估及其基础信息的运维态势感知方面的体制操作。

3 风险分类

面对下一代的运维安全设计系统来说，在风险方面的分类分为如下的几种：

3.1 信息方面的风险。

针对信息方面的风险来说，代表的就是其中非常重要的机密信息容易被外界的各种恶意攻击进行侵入，其信息方面的安全性及其稳定性得到有效的保障，在外界的因素当中会存在大量强行的攻击及其比较复杂的无效的干扰会对这些数据进行破坏，从而会直接对企业或者公司的基本管理制度造成非常大的破坏，其造成的破坏会给企业带来无法估计的损失。因此，针对运维安全设计系统来说，其中的一个内容就是需要尽可能尽量早的将各类风险问题尽快的查找及识别出来，将这个的信息对企业造成的风险的可能性降到最低。因此，非常有必要构建与实现一套规范化的信息安全方面的检测体系，这个对于保障整个企业信息安全性方面有着非常重要的意义。

3.2 操作方面存在的风险

针对操作风险来说，这一类的风险主要是人为的因素方面所造成的风险，主要是由于企业相关的管理工作人员在进行安全运维审计的过程当中存在一些的数据操作处理，或者在进行具体的信息化系统升级的过程当中所造成的风险。当然这些因素所造成的安全隐患问题带来的损失是非常巨大的，应该要引起足够的重视，采取合理的措施或手段对其进行管控。

3.3 在资源利用方面的风险

在整个的信息安全方面来说，信息资源的可利用性是最为核心的一类组成元素，其代表的就是在整个的信息资源需要利用的时候或者需要对整个的信息资源进行调用时才提供基本的访问服务。当然，在面对不同的应用领域来说，对于信息资源的可利用性方面的需求及要求也是各自不同的。例如，在军事、航天或者国家信息安全层面上，针对信息资源的可利用性肯定是需要非常的严谨、严格及完善的，当然还可能具有其他多个方面的相关规定及其具体的要求。

3.4 在系统性能方面的风险

性能方面的风险代表的就是整个的运维安全设计系统当中常常在进行运维的时候所具备的唯一的一种通道入口，这类入口需要涉及到整个的信息化系统当中的各个层面。当然在未来的发展进程当中，还需要针对可能存在的更大的风险点，采取更加科学化及其有效的风险评估模式对其进行操作处理。

3.5 在面对遵从性方面的基础性的风险

在面对遵从性方面的基础性的风险来说，代表的就是有针对性的面对运维操作及其基础性的运维过程当中与企业基础性的规则制度不太符合的地方，在面对运维管理的时候可能会不太符合国内外相关的一些法律及法规方面的一些要求，从而导致的一些风险。比如，在针对业务系统的时候，如果口令方面所设置的强度不太高的情况下，这样就容易导致与大部分的标准或者要求之间不太符合。在这种背景下，需要有针对性的识别遵从性方面的一些风险，在遵守的过程当中还需要能够有效的生成一站式的报告信息，这个与前面阐述的安全审计系统思路相对来说是比较契合的。

当然在直接面对风险的时候还需要对其进行一定的处置操作，风险处置方面的操作核心的内容就是针对风险进行一定的识别及其一定的处置操作的一类过程，在风险一旦被发现的时候，如果风险无法得到有效的接受，那么就需要有一定适当的方法对这些风险进行处置操作。当然这种处置处理也能够比较方便的降低风险方面的可行性或者直接针对风险方面的一些影响，当然还需要充分性的考虑风险监控的成本。通过采取一系列的各项不同的处置措施，能够采用运维安全审计方面的系统来进行自动化方面的操作，同时还能够通过一系列的告警方式，通过这类方式采用人工干预的方式来进行。