基于多租户的安全管理中心

许律宾

（中国移动通信集团云南有限公司，云南 昆明 650228）

1 存在问题

（1）本地建设复杂：安全管理中心基于要求，相关操作审计记录及原始事件、告警要留存180天，需要本地有大量存储计算资源来支撑。

（2）信息分散：每一个安全管理中心事件、告警均在近业务系统侧，无法在一定宏观上形成事件共享、告警监控机制。

随着《信息安全技术网络安全等级保护基本要求》（GBT22239-2019）的公布，宣告信息安全技术网络安全等级保护2.0时代正式开启，并于2019年12月1日正式实施，国家网络安全工作规划着重表明了“一个中心，三重防护”。对应到信息安全技术网络安全等级保护2.0中即安全管理中心、安全通信网络、安全区域边界、安全计算环境；其中，安全管理中心主要实现系统管理、审计管理、安全管理和集中管控四个方面；通过运营商云网资源建设支持多租户的安全管理中心，从建设上可实现统一标准，高度复用，从技术上可实现安全事件、安全漏洞高度集中化处理，具有一定的经济效益及技术意义。

如何对已采集到的网络安全事件进行综合分析、汇总统计、全盘管理是运维管理人员面临的棘手问题。在对各安全网元的配置使用过程中，利用多租户的安全管理中心对安全网元设备运维行为的精细化管理、安全网元设备防护反馈汇总统计将切实规范一线运维人员的操作行为规范，将解决一线运维人员面临大量异构数据中的统计困扰。

2 解决措施及优势

（1）本地部署简单：本地仅需建设安全设备，可通过专线或SD-WAN实现安全设备纳管，安全管理中心按照信息安全技术网络安全等级保护2.0安全管理中心要求的标准建设，同时可复用云端存储计算资源，优化IT建设成本。

（2）信息集中处置：可在宏观上了解全网安全状况，并实现不同业务系统之间的事件、告警等威胁情报共享，实现安全数据共享化。

（3）运维集中审计、管理：本系统的建设需要兼顾网元设备远程托管的运维需要，有效隔离运维管理员与实际操控资产之间的鉴权信息，做到多权分立以及多种管理员身份相互制约的健康运维关系。

3 功能需求

（1）需要以威胁情报为审计目标，致力建设安全情报中台。传统的安全威胁审计系统仅仅对安全能力的采集存储，对安全事件的整合、补全、统计能力不足，通过多租户安全管理中心的建设为建立安全威胁情报中心提供安全数据能力提供支持，从数据采集对某一类或某几类安全设备进行规整分析，对缺失的主客体或行为信息进行补齐并规范存储；并对整合的事件进行标记处处，同时提供标准化外部接口，供内部模块外部系统进行情报调用，提供一定的联动参考价值。

（2）基于可视化审计呈现，直观展示各项网络指标

需要通过精准的用户需求采集与广泛的市场调研，综合多方面运维专家意见，针对采集的内容、频率、周期等信息进行合适的图形化呈现；并根据用户感兴趣的信息在特定环境进行大屏呈现，呈现内容至少需要支持系统运行情况、安全威胁数据存储类型等运维所重点关注的内容，可以使得网络中安全状态情况一目了然。可省去常规运维过程中大量数据整合、手工统计的工作量进行直观概括呈现。并支持参数设置可对异常情况进行管理员联动，在基础的性能监听需求上如CPU、内存等系统资源占用异常需要支持进行邮件、短信的或即时通信上的预设告警。

多租户安全管理中心基于响应速度快、信息传递准确直观、检索能力强大的用户思路对多租户安全管理中心的综合管理能力进行设计，对安全防御的能力进行迅速反馈并协助决策管理。

（3）精确纵深的检索条件与事件关联算法。多租户安全管理中心将采用高性能的数据检索引擎，对检索性能需要达到即时检索即时输出的建设要求。同时支持利用IP、关键词、时间、用户进行广泛、模糊检索，同时支持多条件检索筛选，并对检索到的数据事件进行下钻关联，进一步识别威胁事件的影响范围。

（4）专业的报表输出系统。可根据客户需求输出特定的网络安全年报、季报、月报、周报、日报或者根据设定范围进行通用格式的文档输出。可涵盖安全威胁事件审计，资产脆弱审计，运行状态审计等数据存储的信息呈现。并且需要支持针对特定客户允许客户自定义输出报告的能力来解决特有单位需要定制报告的运维需求。

（5）满足合规性要求的操作人员角色设立。系统的角色需要依照《信息安全技术网络安全等级保护基本要求》至少分为系统管理员、运维管理员、审计管理员三种角色；各管理员的功能要求如下：

①系统管理员。由系统管理员对本系统进行管理，将鉴权信息集中保存，可添加需要管理的网元资产，针对添加的系统进行鉴权信息的录入，并将录入成功的资产分配给需要进行管理的安全运维人员及安全审计人员。

②操作管理员。操作管理员由系统管理员进行账户生成，授予相关操作权限后可针对网元资产进行单点登录运维管理，其运维过程由中心进行录制审计，并对操作管理员的操作行为进行管理，超出许可范围的操作将被拦截，以保护代管的运维资产；操作管理员从登录、运维、登出的全操作周期范围内，无法获取到对资产的原始鉴权令牌（用户名口令）等信息，在操作管理员身份发生变化时，保护资产的准入权限不被剩余信息处置不当导致的越权行为。

③审计管理员。系统的操作行为、操作管理员的操作行为以及系统运行情况信息将统一采集，将采集情况进行汇总、清洗、补全、分类、分配、呈现。审计管理员对系统运维状态在可视化页面中一目了然，真正在信息系统运维过程中做到纵观大局。

（6）多租户安全管理中心建设应考虑高可用性、安全性、合规性。在实际建设过程中，现有网络中的安全设备供应厂商通常存在多种，多租户的安全管理中心的建设需要考虑在异构厂商中对接入厂商安全技术输出结果的范式化，各安全厂商日志系统及告警输出根据不同品牌的产品习惯千变万化，为了统一审计安全系统告警、系统操作，集中采集系统安全事件、系统登录记录、系统运行情况、系统操作日志等各类日志信息等功能亦是运维过程中的阻碍，多IDC安全管理中心需要将采集到的业务信息进行识别、提取、过滤、格式化后并根据适合环境的算法进行补全、规整，并集中存储；并对原始日志的内容进行解析，并提取主体、客体、事件内容、时间等等信息后以统一的格式进行补全、关联并标记不同的日志来源，以供追溯调取。同时，针对采集的原始日志，需要按照相关合规要求进行存储备案，在需要相关部门调查时可迅速输出所需材料内容。

多租户安全管理中心设计功能完善的同时，系统的可用性亦是实际关注的重点，在部署与设计的初期在容灾、备份方面，需要考虑数据丢失的风险，在遇到故障或灾害时可自我恢复需要满足《信息安全技术网络安全等级保护基本要求》中“在自身遭到损害后，能够较快恢复绝大部分功能”的要求。

网络安全行业现今在国内处于高速发展期，在国家的政策要求下，各法规、条例相继落地，对于安全、运维系统的整体要求在不断提高，本系统需满足各项合规性要求，并适应行业发展需要，从资源占用、功能扩充、硬件的兼容上保持标准化接口设计，为多租户安全管理中心管理的客户网络资源可提供长久有效的运维服务保障。

针对多租户安全管理中心自身安全也成为考虑的重点，系统的整体设计需要参照EAL相关标准要求，在人机交互上，系统中心需要满足相关合规性要求中提到多因子校验的策略，如口令+邮箱、口令+短信等方式，且并在数据的采集、存储、流转过程中进行加密、脱敏处理，满足数据安全成熟度模型的具体要求。

4 结束语

随着网络技术的高速发展，在网络上，不法行为者攻击手段层出不穷，因此网络安全事件防护不应局限与某一行为或某一事件进行分析应对，多租户安全管理中心的设计依照已颁布的网络建设合规性要求标准，并考虑整合国内外优秀厂商的设计思路，旨在降低运维人员操作难度，提升运维人员工作效率。

在系统分发、安装方面：应具有易部署、高融合的特点，将传统的托管运维、代管系统、汇总信息的各等网络管理系统融合归纳，形成汇总独立的安全运维管理中心。在功能权限规划方面，需要符合从安全管理员、运维管理员视角的信息侧重点考量，根据数据源、信息价值、信息归属以及信息表达的主体、客体等信息维度，在不同场景下将收集到的网络指标进行统计比对；用直观的数据反馈方法、以可视化报表的形式展现给用户，需要兼容在多个传统安全管理中心的网络环境中着力解决数据量杂、多、需要处理的时效性高等实际问题。