一、等保2.0的运维要求
等保2.0的通用要求分技术要求和通用要求两部分。而运维主要在新增的安全管理中心和安全运维管理两部分。
1、安全管理中心(技术要求)
等保2.0通用要求的技术要求中新增了安全管理中心,是针对整个系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。具体要求如下:
(1)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
(2)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保障审计记录的留存时间符合法律法规要求;
(3)应对对网络中发生的各类安全事件进行识别、报警和分析。
2、安全运维管理(管理要求)
安全通用要求中的安全运维管理部分是针对安全运维过程提出的安全控制要求,涉及的安全控制点包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。具体要求如下:
(1)感知节点管理要求:“应制定人员定期巡视感知节点设备、网络节点设备的部署环境,对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护”。
(2)网络和系统安全管理要求:“应制定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为;应详细记录运维操作日志,包括日常巡检工作、运维维护记录、参数的设置和修改等内容”。
二、2.0时代的运维
等保2.0的运维是传统运维向运营转变的时代。在等保1.0的资产管理、设备运维的基础上,等保2.0将安全运维的范畴扩充到了安全事件的响应和高级安全威胁的发现,如果考虑到定期的审计和有效性验证,安全运维的范畴将进一步扩充。
iCOP信息系统健康监测预警平台基于多元采集的大数据和人工智能技术,并结合多年在全国众多运维场景案例的集中监测平台。满足等保2.0建设过程的以下多种场景:
1、“单打独斗”已不能解决问题
目前信息化的普遍现状是:每个业务系统都可能涉及多个厂商的设备系统,例如中间件、数据库、主机、存储、网络(交换机、路由器、防火墙)等。在等保1.0时代,各个设备系统建立的“烟囱”式监控系统,除了能监测自身的简单故障外,根本无法基于运维数据进行故障根因分析,更谈不上智能预警、日志挖掘等需要多个设备系统运维研判的场景。
这就是以前常常遇到的现象:一出现故障,厂商被动地去现场,看报错、查日志、性能分析等查半天。特别是涉及多个厂商的情况时,往往得到的结果是各自设备系统都没问题,故障原因还是找不到。
究其原因是在越来越分布式、集群化的环境下,许多故障需要梳理多个数据链路、网络链路才能找到原因。而目前设备厂商之间的数据流转、网络链路等彼此无法共享数据,不能将各个厂商设备的日志告警等进行关联分析,而且依靠人力要从繁杂的组件模块日志中关联分析,耗时耗力,绝大部分情况都实现不了。
因此,通过iCOP建立统一的运维管理软件,对本地及异地数据中心机房的服务器、存储、网络、安全、动力、环境等设备及应用服务运行状态的实时监控,可以精准采集监测数据、分析故障信息、判断重要数据性能指标,自动触发预防性警示、故障自动报警,同时综合大数据分析、计算和展现,向IT管理和运维人员提供科学合理的决策依据,确保大规模数据中心机房及网络稳定、安全、高效地运行。
同时,集中监测、收集汇总全貌数据才能实现业务系统所有环节数据的收集,并结合不同场景的运维需求,建立智能化的故障告警、预警、工单派工等全貌安全运维管控。
2、统一运维软件和安全产品互补共存
在用户现场通常都建设了防火墙、边界网关等网络安全产品,并同时提供了对这些网络安全产品的监控管理软件。但设备管控、服务器/设备/链路运行状况监测、报警和分析等,是统一运维软件特有的功能,其他网络安全产品不可替代。
iCOP除运维监控软件的基本功能外外,还可集成视频监控运维、动力环境监控、资产管理、服务流程管理、大数据分析、自动化运维、无线网络等数据。已有的网络安全设备只需主动或被动与运维软件推送数据即可。
3、新制度在系统的实现
iCOP运维软件可自动巡检设备、节点及相关网络运行情况,并告警及生成报表供历史查询。运维软件自动巡检功能,可自动对网络设备、安全设备、服务器、业务系统等对象的进行定期巡检,对指标进行自动收集、自动分析、自动完成正确性判断,提供巡检统计报表。巡检报表可主动推送至相关人员邮箱,为管理者提供简单便捷的统计数据。
传统运维的方式是有问题就处理,不仅工作被动,而且严重依赖厂商处理故障的攻城狮,如果这个攻城狮转场到别的现场,新来的人要顺利接手,又要花费较长一段时间。遇到问题还是得找原来的人,这样让能人更累。
通过iCOP统一运维管理软件,将各个设备系统打标签,出现故障时,智能地根据该设备的各项参数判定故障,并自动实现工单派工,通过短信、邮件、