Question

22.2.1　存在的问题

监控系统是确保系统正常提供功能的“眼睛”，通过持续不断地收集系统的状态信息，能够快速发现系统异常，快速响应和应急处理，尽可能降低业务受影响时间，将损失降到最低。

企业安全建设中安全感知能力依赖于部署在网络层、系统层、应用层、数据层、用户层等不同层级的安全监控系统，如防病毒系统、服务器安全客户端系统、蜜罐系统、IPS 系统、安全总控中心系统等。笔者在实际中发现，由于安全监控系统失效导致安全防线被突破的情况占安全事件原因的比例很高，也是红蓝对抗中防守方失败的主要原因。监控系统存在的问题主要包括：

·资产管理工具和机制落后，未纳入集中统一管理的设备数量多，导致资产管理效果很差，没有好的技术手段和监控措施导致安全监控失效情况发生，基本依赖于系统管理员、安全管理员的责任心和运气。

·各类安全监控系统的监控标准不明确、不统一、甚至没有。

·新增设备没有纳入安全监控，安全监控系统无法与资产系统进行关联，确保监控全覆盖。

·各类监控系统无法进行整合，统一展现。从设备或监控系统单个维度呈现的结果不够准确，人工逐个系统检查的方式需要耗费大量人力，无法可持续地运营。

·无法完全保障监控结果的持续跟踪，确保所有已发现的监控失效问题得到整改。没有固化的流程跟踪缺失的监控。

从 2012 年底，笔者所在团队开始研究上述问题的解决思路，提出矩阵式监控思路，并进行了一年多的实际部署，将团队中全部种类和数量的设备纳入矩阵式监控，发现了较多监控整改项。结果证明，安全监控系统失效的事件大大降低，提升了安全有效性。

22.2.2　解决方案

矩阵式监控其实就是监控的监控，主要方案和实践将一一阐述。

1.资产准确性

要想确保监控全覆盖，必须保证资产的准确性，要与资产清单相关联才能得到最准确的结果。我们建立了一套资产管理平台，将资产管理系统化，摆脱了过去通过 Excel 文件增量更新的土办法。同时，与分配 IP 地址的系统相关联，自动获得本团队新增的 IP 资产，放入资产管理平台中。还可以再与自动化扫描和资产识别工具相关联，让资产管理更加自动化和准确。

2.明确监控标准

梳理在用的主要监控系统类别，明确各类安全监控系统需要部署的监控标准，如表 22-1 所示。

表 22-1　各类监控系统及监控标准

□：需要安装监控

N/A：该监控对该类型设备无效

责任人：表示该监控项或该系统类型的负责人，负责制定该项监控标准

提示：该图仅列举了部分系统类型和监控项，实际中系统类型有 10 项，监控类型 9 项。

3.部署矩阵式监控

矩阵式监控主要通过横向和纵向两个维度的结果，进行比对，确保结果的准确。

（1）横向维度

横向维度指的是从上述监控标准中的横向系统出发，通过分析系统的配置、进程和服务情况，判断该系统是否添加了相应的监控手段，再和资产清单比对，形成横向的汇总报表。

通过检查各系统的配置，或者 Windows 和 Linux 的进程，服务等，生成监控结果，如表 22-2 所示。

表 22-2　横向维度监控结果

注：仅列举了部分系统横向结果。

（2）纵向维度

纵向维度指的是从上述监控标准中的纵向监控系统出发，通过导出每套监控系统中添加的设备列表，再和资产清单比对，形成纵向的汇总报表。

从各监控系统中导出纳入管控的设备，生成监控结果，如表 22-3 所示。

表 22-3　纵向维度监督结果

注：仅列举了部分纵向结果。

（3）结果比对

最后将横向报表和纵向报表进行比对，形成矩阵式监控报表。只有当横向和纵向结果中都显示监控正常，才认为是监控正常；否则均认为是有问题的，需要进行整改，确保不会遗漏。矩阵式监控报表的产生涉及众多系统类型和监控类型，很多都没有现成的报表功能，都需要通过开发程序和工具来实现。

通过交叉验证，确保结果准确性，如表 22-4 所示。

表 22-4　横向结果与纵向结果比对

Fault：横向和纵向均为 Fault，说明此项监控缺失，需要立即整改。

Diff：横向和纵向中有一个为 Fault，一个为 OK，说明其中某个结果有问题，可能是程序问题或者网络不通等，在比对结果中显示为 diff，需要进一步排查。

OK：横向和纵向均为 OK，说明此项监控已配置，并工作正常。

N/A，横向和纵向均为 N/A，说明此项不适用。

（4）将比对结果与资产清单关联

重点要发现资产清单中未部署监控的设备，从而保证监控系统全覆盖。

如何确保新增的设备都纳入了监控？通过矩阵式监控报表与资产清单的比对，可以发现新上的设备未添加在资产管理系统中的情况，只要这台设备添加了任何一种监控方式，但是它没在资产清单中，可以很快被矩阵式监控发现，并显示事件，这样可以确保资产的及时更新，并确保新上设备的其他监控方式也全部添加。

4.持续跟踪整改

如何保证对矩阵式监控的结果持续跟踪、及时整改？

每天生成一份矩阵式监控报表，对存在的问题划分优先级，优先级高的纳入督办整改。在矩阵式监控实施之前，我们只零星发现一些监控缺失情况，对监控覆盖率还是很有信心的。生成报表后发现问题隐患还是比较多的，整改任务比较艰巨，花了很多精力和时间把监控这项基础工作做好做全面。通过矩阵式监控结果也发现资产清单的很多错误情况。

我们将矩阵式监控的日报与日常值班检查的监控界面进行集成，将不合规的项在监控界面上图形化展示，如图 22-2 所示。值班人员每天进行检查，并在值班记录中登记详细情况。第二天安全事件晨会回顾值班记录，团队负责人督导不合规项的整改，如果没有及时整改，以后每天都会在值班可视化监控平台中亮红。通过持续回顾和跟踪，确保整改到位。

图 22-2　矩阵式监控结果可视化展现

图 22-2 中，绿色表示该管理员负责的系统或设备矩阵式监控检查全部合格，红色表示不合格，数字表示不合格项数量。

22.2.3　收益和体会

通过矩阵式监控的实施和长期运营，目前除了一些 PC 终端偶尔出现服务停止等不稳定因素外，监控覆盖率接近 100%，监控出现缺失或监控服务出现异常，一个工作日之内便可以发现，并迅速修复。资产清单准确性也大大提升，不再单纯依靠人员的责任心和运气，而是通过资产缺失的自动发现机制，来督促大家及时更新资产。目前这套矩阵式监控机制运转良好，提升了安全监控的覆盖率和有效性。

矩阵式监控的方法具有普遍适用性，可用性监控等都可以参考借鉴，技术实现上来说没有任何问题。发现问题可视化和后续持续改进跟踪的机制，不仅确保了安全运营有效性和可持续性，也适用于绝大多数运营领域。

矩阵式监控解决的问题，本质上属于人因误操作领域，有关如何更专业地避免人为因素导致的生产故障，请了解“核电厂人因管理”，国内该领域研究走在前列的是某大学的人因研究所，某些金融机构已经在向该领域最专业行业跨界学习。

有两点体会如下：

·再优秀的安全技术也要尽可能做到“傻瓜化”，要像电视机一样，80 岁老人会开，2 岁小朋友也会开。安全产品或安全措施，如果动不动有强前置条件，比如需要能看懂告警的安全人员才能维护，那这个安全产品或安全措施没法持续安全运营，还不如不要。企业安全建设中，技术往往不是最头疼或首要考虑的问题（往往也不是问题），首要考虑的是能否有效发挥功能。再有效的监测技术，如果没有坚持安全运营，就像是马奇诺防线，好看不顶用。接地气的“笨办法”往往最有效。安全负责人对安全产品和厂商少一些抱怨，多一些坚持。

·矩阵式监控思路实现中，最终展现在一线人员前的只有几个小人图标（红色或绿色），这是复杂设计后的简单展现，让不具备太强安全能力的人员也能成为对抗攻击者的力量，这是安全工程化的能力，安全工作应尽可能地展现简单之美。