1管理体系

        明确了建设目标后就要结合运营商安全需求、网络环境及整体规划方向确定安全体系模型。IP网安全包括物理安全、设备与网管系统安全、网络层安全、网络信息安全。IP网安全体系分为技术体系层面(安全基础设施)、安全管理系统、管理体系层面。

        (1)管理体系层面。它包括安全策略管理、安全组织管理、安全运作管理等几个方面。安全策略是IP网安全管理工作的依据，包括安全策略、标准、过程等方面的内容。安全策略管理是整个安全体系的基础，通过对策略进行有效的发布和贯彻执行，可以规范项目建设、运行维护相关的安全内容，指导各种安全工作的开展和流程，确保IP网的安全。安全组织是安全的管理组织架构，包括运营商安全相关的管理组织和人员。安全运作管理是策略、组织、技术的结合，是通过安全组织规定的人员，按照相应的流程，采取安全措施，对安全事件进行处理，从而整体提升IP网的安全水平。

        (2)技术体系层面。它包括安全基础设施，安全基础设施包括访问控制系统、身份和认证管理系统等。

        (3)安全管理系统层面。它是安全体系的中心枢纽，向上作为一种安全管理的形式和技术平台，协助用户实现安全策略管理、安全组织管理、安全运作管理，提供支撑手段。安全管理系统构建于安全基础设施之上，向下将管理贯彻到整个技术层面，通过收集来自所有安全产品和非安全产品的信息，进行统一的自动化风险评估，评价是否符合安全管理的策略，并报告给决策者，提供必要的响应。安全管理系统将安全管理和安全技术层面联系起来，能够保证安全产品部署符合安全管理的要求，提升安全基础设施的效率，减少相应的管理人工成本。

        2安全管理系统功能模型

        运营商在建设安全管理系统时，可通过安全服务的建设初步建立安全策略管理、安全运作管理体系，通过IP网安全管理系统的建设，实现基本的安全策略管理、安全运作管理功能。安全管理系统的功能及核心模块

        (1)资产信息管理模块。它实现对网络安全管理系统所管辖的设备和系统对象的管理。它将所辖IP设备资产信息按其重要程度分类登记入库，并为其他安全管理模块提供信息接口。

        (2)脆弱性管理模块。它实现对IP网络中主机系统和网络设备安全脆弱性信息的收集和管理，并配备远程脆弱性评估工具和本地脆弱性信息收集工具，及时掌握网络中各个系统的最新安全风险动态。该模块收集和管理的脆弱性信息主要包括两类：通过远程安全扫描可以获得的安全脆弱性信息(下称远程脆弱性信息)和通过在主机上运行脚本收集的脆弱性信息(下称本地脆弱性信息)。在定期收集到这些脆弱性信息后可以利用脆弱性管理系统进行导入和处理，以利于安全管理员对脆弱性信息的查询、呈现并采取相应的措施进行处理。

        (3)安全事件监控管理模块。安全事件监控系统是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息以及安全产品的安全事件报警信息等，及时发现正在和已经发生的安全事件，通过响应模块采取措施，以保证网络和业务系统安全、可靠运行。

        (4)安全响应管理模块。安全响应是安全工作中重要的一环。运营商应考虑目前的网络运行状况与管理机制的特点，将安全管理系统安全响应的建设重点放在通过工单系统进行工作指令的传达和网络安全评价机制的建设上。

        网络安全响应是根据当前的网络安全状态，及时调动有关资源作出响应，降低风险对网络的负面影响。网络安全响应模块负责利用安全管理系统平台提供的采集和统计功能，科学合理地评价网络安全的状态指标，并根据安全的状态指标，结合安全风险控制的需要，及时通过工单系统发布工作指令，调动有关资源作出相应的响应，将剩余风险控制在可以接受的范围。

        (5)安全预警模块。结合安全漏洞的跟踪和研究，及时发布有关的安全漏洞信息和解决方案，督促和指导各级安全管理部门及时作好安全防范工作，防患于未然；同时通过安全威胁管理模块所掌握的全网安全动态，有针对性地指导各级安全管理机构做好安全防范工作，特别是针对当前发生频率较高的攻击做好预警和防范工作。

        (6)安全知识库模块。安全知识库信息的发布，不仅可以充分共享各种安全信息资源，而且也会成为运营商各级网络安全管理机构和技术人员之间进行安全知识和经验交流的平台，有助于提高人员的安全技术水平和能力。安全管理系统要求实现网络安全信息的共享和利用，在安全管理系统平台提供统一界面以安全Web的形式发布最新的安全信息，并将处理的安全事件方法和方案收集起来，形成一个安全共享知识库，该知识库的数据以数据库的形式存储及管理，为培养高素质网络安全技术人员提供培训资源。信息模块可以包括安全技术园地、安全技术交流、安全案例库、补丁库、论坛以及其他等子信息系统。