关于网络安全运营实践思考

作者:深圳市网安计算机安全检测技术有限公司 | 国内 2019/08/30 13:48:36 445
文章来源:https://mp.weixin.qq.com/s/sO_qtOXMee8DClHqF-oy9A

文 │ 全国海关信息中心  陈宗旺

习近平总书记指出,网络安全是整体的而不是割裂的;网络安全是动态的而不是静态的;网络安全是开放的而不是封闭的;网络安全是相对的而不是绝对的;网络安全是共同的而不是孤立的。不仅点明网络安全的要点,也指明了网络安全建设的方向。网络安全的建设必须深入把握这些特征,推进网络安全工作的开展。网络安全运营作为网络安全常规保障建设的一项重要内容,必须坚持网络安全整体性、动态性、开放性、相对性、共同性的原则,随着业务需求变化、业界技术发展、国家安全应对措施的调整同步谋划、部署、推进与实施。


一、网络安全发展背景

现在意义上的网络安全,是在传统信息系统可用性或者业务连续性基础上逐步发展起来的,信息系统功能的可用性是信息系统建设之初保障的重点,可用性的保障是以涉及信息系统的各类组成部件通过冗余设计如双链路负载、主机或者服务器的集群、数据库集群技术保障,对重要的业务系统建立同城或者异地容灾系统保障,通过物理实体层面冗余达到高可用要求。在日常业务连续性运维保障方面,引入业界最佳实践ITIL理论,配合以日常信息系统实体的状态监控,对信息系统的日常运维操作管理建立角色评估、操作、评价机制,通过变更、故障、事件等管理流程进行有效控制,达到业务连续性的目的。当下网络安全攻击更多体现在人为的破坏行为或者有目的的信息窃取行为,通过恶意病毒代码、木马、网络攻击、黑客程序等达到网络不可用、应用程序破坏、数据完整性受损、数据窃取、主机或者服务器被控制的目的等,本文提及的网络安全的防护与运营将围绕数据完整性、保密性和抗恶意攻击性等展开。网络安全威胁与信息系统相生相伴,经历了由表及里、由局部到整体、由外到内的过程,而发起威胁的主体也由猎奇的个人发展为利益集团或者国家联盟,所带来的破坏性、影响性也在不断扩大。最初网络安全更多是单一性的病毒代码对单机操作系统的破坏,发展为利用APT攻击及更加高级、隐蔽的黑客技术对整个网络的破坏等,网络安全的防护也由单一病毒及恶意代码防护发展成为网络信息系统整体性、系统性、立体性防护,网络安全运营越来越引发关注。


二、网络安全运营模式

(一)网络安全运营架构网络安全运营落实组织的网络安全目标开展,围绕人、流程、信息系统的构件要素制定管理要求与技术防护策略,建立信息安全防御体系。在管理方面,根据国家信息安全等级保护相关要求、ISO27000信息安全管理体系标准及业界最佳实践等,建立信息安全管理体系框架,将安全方针、目标、制度、规范、流程进行约束,界定日常安全管理的范围、职责及程序,规范日常安全运营行为,保障信息安全工作的有序、高效运行。在技术层面,建立从网络链路层、物理层到应用层的整体安全防护技术措施,形成从物理环境到应用的安全技术策略体系,加强网络安全区域的合理划分和边界区域的有效防护,将防火墙、IDS、IPS、WAF、防病毒、垃圾邮件过滤等安全防护类设备从物理层部署至应用层,构建整体的安全防御体系。安全运营架构示意图见下图。


054be8aceeadb386372e18793ea90b3d.png

在这个架构中,ISMS(信息安全管理体系)是日常信息安全工作的管理规范;物理安全、网络安全、主机安全、数据安全与应用安全对应为一套完整的技术策略体系,针对物理、网络、主机、数据与应用访问控制、授权、系统加固、网络安全域结构、病毒防护、操作行为记录管理等形成技术体系要求。ISMS约束规范信息安全管理者、技术实施者、日常运营者行为,技术策略体系则约束了在管理信息系统对象上访问、操作、控制的技术手段。安全监控或者安全感知则对作用于安全管理对象上的安全行为进行监控、预警。安全事件处置对安全事件的资源调度、处理、行为追溯等。风险评估与安全审计是对日常安全运营风险感知与合规性检查手段,是推进合规合法、完善安全防御体系的有效方法。安全管理中心(SOC)则是支撑上述安全活动、监控、管理及事件调度的统一技术支撑平台。(二)网络安全运营网络安全日常管理的目标就是关键信息系统资产得到有效保护。网络安全运营活动主要内容,一是安全的监控(安全态势感知)管理。对发现的安全报警行为进行风险或者威胁初判,根据初判结果提交安全事件处理任务,同时根据历史监控行为情况,调整安全监控策略,分析安全日志行为,对安全事态进行预判和提前介入处理;二是开展安全事件的事中、事后处理,及时阻断或者消除安全威胁,对发生的安全事件进行溯源管理,查找引发事件发生的原因,总结安全处理预案,调整安全技术策略;三是合规性安全审计。针对安全管理制度要求及技术策略开展落实情况检查,查找制度、技术策略落实方面非合规行为,促进制度与技术策略的有效落实,同时针对制度、流程方面的问题进行调整;四是安全风险评估。通过技术手段与人工检查、分析等手段,对信息系统在安全的威胁与资产自身的脆弱性进行检查评估,寻找网络安全方面的弱点和短板,不断优化、完善技术策略。以上四种网络运营安全活动基本涵盖了日常安全运营的全部内容。目前安全运营在技术层面能够实现的一种较为理想状态是,建立统一的安全管理中心(SOC),围绕其融合各类安全资源,包括安全产品和安全数据。在集中进行安全态势感知的同时,常规开展安全管理、指挥与调度、事件应急处置、安全监测等活动。依托于安全管理中心开展持续的监控、检测、评估、整改、指挥调度等,形成网络安全运营的闭环管理。


三、网络安全运营新挑战

目前网络运营者基本上都具备了一定的网络安全意识,初步或者较为完整的形成了一套网络安全运营机制,对日常网络安全具有一定的应对能力。但随着信息技术的发展,黑客攻击技术在不断的翻新;云计算、大数据、物联网等新技术在带来新的信息产业革命的同时也带来了更多的脆弱性风险;移动互联带来方便性的同时,也扩大了网络安全攻击面;网络安全运营者在技术手段、防护理念上落后于新技术的发展,特别是在经历了国家组织的护网行动后,作为网络安全运营者原有的观念和自信带来冲击。(一)传统产生安全威胁的因素发生变化。传统安全的威胁大多数来自于硬件故障、病毒、恶意攻击等,体现更多的外部威胁。而通过近期护网行动前期开展的系统全面的风险评估、渗透性测试及护网期间所受的攻击,更多的威胁主要来自于应用系统自身及人员安全意识层面,其中应用中涉及的风险达到了56%,风险威胁已经由外部因素转向内部因素。(二)网络安全攻击面在不断扩大,安全防护难度加大。服务型新型政府建设要求及新业态下企业经营模式的变化,催生了“互联网+”政务与开放式企业经营平台的大规模建设,越来越多的信息化支撑平台由政府或者企业内网转移到互联网,在开放网络环境中暴露的信息资源越来越多,网络安全的威胁面在不断扩大,安全的防护难度也在增加。(三)新技术带来新挑战。云计算、大数据及基于软件定义的融合和超整合技术架构、物联网技术的发展,带来更多的安全威胁。一是基于开源技术的产品更多注重于功能的实现,对系统性安全防护功能投入不足;二是打破了传统的网络、主机、支撑软件、功能软件的物理层次结构,传统的安全防护策略、措施得不到有效发挥,物理层面的安全域结构越来越模糊;三是过于集中的资源容易导致安全上一点突破,会带来全局性的破坏与影响;四是物联网上非智能化的设备安全防护手段缺失。(四)网络攻击强度在不断加大,应对复杂攻击的处理经验不足,处置效率低下。今年信息安全形势尤其严峻,前4个月,自身在安全运营方面遭受的网络攻击已经超过去年一年的总量,而且攻击还在不断持续。护网期间在首次接受了国家层面网络安全部门组织的系统、全面的网络安全攻击的情况下,作为防守方还没有形成全面、具体的应对预案、自身队伍缺乏专业化的信息安全防护能力,做不到及时响应与处理。(五)专业化的安全队伍资源不足。作为企业特别是政府部门,在传统的网络安全层面更多地注重常规的安全管理,没有足够的资源培养一批专业化的安全队伍应对复杂的网络安全运营需要,在日益规模化的网络威胁下无法应对高强度的网络对抗。


四、网络安全运营新挑战的应对

理论是实践的先导,面对网络安全新挑战,要深入把握习近平总书记关于网络安全整体性、动态性、开放性、相对性、共同性的特征,紧跟信息安全业界发展动态,严格落实国家信息安全发展要求,依托国家信息安全国家队,在练好内功上下功夫,整体落实防护要求,根据形势变化动态调整防护策略,以更加开放的姿态加强与业界的交流与经验互鉴,引入更加实用管用好用的共性问题解决方案,达到相对稳定安全的目标。传统安全运营模式体现出的问题是发展过程中暴露的,发展中的问题要在发展中解决,当下的问题可通过减少信息化系统安全攻击面、新技术新策略的完善、快速灵活策略部署、安全运营常态化手段加强、外部力量资源的充分利用上解决。

(一)网络安全与信息化建设按照统一谋划、统一部署、统一推动、统一实施要求,对应用系统基础架构做调整,解决新形势下网络安全面临的若干攻击面问题。当前仍有大部分业务应用采用分布式的部署架构,分布在多个数据中心,存在若干网络接入点。要结合5G、云计算等新技术的应用与发展,适当调整网络信息系统基础架构,以集中的数据中心建设发展为主,在业务标准化的基础上逐渐萎缩分布于各节点的信息系统资源。加强信息系统研发、联调区域与正式生产区域的隔离与控制,合理规划网络功能区域,减少互联网出口,通过集中安全资源加强对有限攻击面的防护。

(二)优化完善安全技术策略。加强云计算、分布式大数据处理、物联网等新技术应用领域的安全策略建设。新技术领域的安全技术策略一定是传统的安全技术策略与新技术策略的结合,加强新技术集中资源区域边界的防护,实施最严格的边界防护措施,降低新技术内部安全域边界不清晰、虚拟化隔离控制弱、资源集中损失大的风险,同时加大在认证、授权方面的技术措施和管控强度,严格控制资源共享及恶意应用的控制力度,完善技术策略要求,同时跟踪安全防护技术的发展,及时引入新的安全技术产品。   

(三)将安全运营的范围延伸至项目建设阶段。传统的安全运营从项目应用上线后开始,针对运行后的业务应用开展安全的监控、检测及风险处置。从目前遇到引发安全风险的因素来看,更多的安全威胁来源于项目建设过程应用程序的建设质量,在运行过程中应用自身的安全结构性风险、数据传输完整性风险、资源隐蔽授权等风险无法在上线后通过应用风险特征码扫描识别,无法进行有效整改。建立应用系统准入管理机制,确立应用项目建设各环节安全管控要求,制定应用开发安全规范及策略,在应用开发过程中对重要数据访问授权、访问控制、操作行为留痕、敏感数据传输、前后台认证架构等关键点实施控制,并且规范统一的应用架构,建设集中的安全组件将开发中的要求落地,实现应用项目全生命周期的安全管控,对自研和第三方提供的产品或研发服务开展安全测试、验证、核查与整改,在应用上线之前将风险降低至最小。

(四)利用信息化手段促进安全事件处理的快速响应。时间是减少安全事件发生时最重要资源,安全事件发现、处置做到迅速、有效。一是建立并拓展安全态势感知大数据平台。在传统的安全运营监控基础上,建立安全操作日志及安全设备类报警的大数据平台,并引入威胁情报建立安全大数据资源底盘。利用大数据分析技术及算法构建多种分析模型,对海量安全日志进行综合关联分析,实现对安全事件的预测,增强安全态势感知能力,辅助安全决策,提前对可能的安全事件做处理,防患于未然。二是建设网络安全SaaS云服务。在网络安全策略体系化的基础上,针对不同技术策略要求建立自动化的实现程序脚本,通过标准化的封装以服务的形式进行发布,建立整体安全技术策略SaaS云服务目录,实现网络安全运营中快速技术策略的核查、部署,也可以将这些技术策略服务通过流程引擎与网络、主机或者应用等的部署实施相结合,形成部署标准,确保技术策略在网络、主机、应用等初始部署时得到落实,另外在安全管理中心(SOC)平台对安全监控、安全策略、安全事件调度管理的基础上,实现与安全事件流程的对接,在突发安全事件处理上可通过SaaS服务及时响应。

(五)网络安全渗透手段的拓展。护网行动再一次暴露了日常安全运营过程中风险探知手段的匮乏。传统运营中基于特征码的漏洞扫描等专用工具无法对信息系统各组成部件的安全风险进行全面感知,信息系统大量潜在的风险无法通过有限的手段得到控制。为此增加网络安全红蓝对抗机制,拓展传统系统威胁中无法查到的有关应用结构性、隐蔽漏洞等风险。采用阶段性渗透测试与众测机制,借助开源的黑客工具和概念原型验证(POC),对现有系统漏洞进行检测,不断阻塞安全风险,完善安全策略。

(六)安全运营资源的拓展,充分加强与网络安全国家队及专控队伍的合作。利用有限的资源建立网络攻防专业化队伍,加大专业人才网络安全能力培养和安全监控、安全预警、安全处置、快速响应的安全工作机制的建设,运用网络系统风险感知与防护处理手段,提高对抗高水平网络攻击能力。要充分利用国家安全专业资源,加强与网络安全国家队与专控队伍的合作和国家信息安全威胁情报资源的利用,建立队伍合作与威胁情报资源引入机制。

(七)加强网络安全应急指挥能力建设。网络安全响应速度决定着对关键IT资产保护力度,要建立快速、灵活的网络安全监控、预警、研判、决策、处置、追溯、报告机制,加强联系、调度、流程平台的建设,建立完善的安全应急处置预案,规范化应急指挥流程,加强对指挥流程的演练,增强第一时间对安全事件进行响应与处理能力。

(八)加大自主可控技术的应用。遵从国家网络安全战略发展要求,构建自主可控的安全网络系统。习近平总书记强调要紧紧牵住核心技术自主创新这个“牛鼻子”,构建安全可控的信息技术体系。关键核心技术是构建安全可控的信息技术基础,要积极配合国家自主可控信息化核心技术生态的建设,推动建设自主可控技术生态圈,做好生态圈中最重要一环既终端用户对自主可控产品的试用、推广支持与使用力度,在助力自主可控信息化核心技术发展的同时,使网络安全保障能力得到加强。

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室