信息化觀察網(wǎng)

本文來自微信公眾號“網(wǎng)絡(luò)安全和信息化”，作者/吉梁、王逸鶴、李東。

隨著國家大力推廣數(shù)字經(jīng)濟(jì)，企業(yè)的數(shù)字化水平不斷提升，各類網(wǎng)絡(luò)和信息系統(tǒng)規(guī)模不斷擴(kuò)大，面臨的網(wǎng)絡(luò)安全威脅也越來越復(fù)雜，建立有效的網(wǎng)絡(luò)安全運(yùn)行機(jī)制變得至關(guān)重要。通過有限的資源投入實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的監(jiān)管和快速應(yīng)對，更加準(zhǔn)確地衡量關(guān)鍵安全指標(biāo)，將網(wǎng)絡(luò)安全工作和業(yè)務(wù)高效結(jié)合，才能有效保障業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行，從而支撐企業(yè)的健康發(fā)展。

網(wǎng)絡(luò)安全運(yùn)行的核心目標(biāo)是執(zhí)行和落實(shí)企業(yè)的網(wǎng)絡(luò)安全管控要求，以網(wǎng)絡(luò)安全態(tài)勢感知和管理平臺(tái)等技術(shù)平臺(tái)為支撐，實(shí)現(xiàn)人員、技術(shù)和流程機(jī)制的體系化整合，持續(xù)輸出安全管控成效，使企業(yè)的網(wǎng)絡(luò)、信息系統(tǒng)和數(shù)據(jù)資產(chǎn)得到有效保護(hù)。

網(wǎng)絡(luò)安全運(yùn)行工作的主要內(nèi)容通常包括網(wǎng)絡(luò)安全預(yù)防預(yù)測、安全威脅的防御阻斷、安全檢測監(jiān)控和響應(yīng)調(diào)查處置幾個(gè)環(huán)節(jié)，通過PDCA持續(xù)執(zhí)行改進(jìn)機(jī)制，實(shí)現(xiàn)安全威脅事件閉環(huán)管理。網(wǎng)絡(luò)安全運(yùn)行機(jī)制如圖所示。

1.預(yù)防預(yù)測。主動(dòng)收集匯總威脅情報(bào)信息、發(fā)現(xiàn)評估風(fēng)險(xiǎn)、動(dòng)態(tài)調(diào)整安全規(guī)則、組織預(yù)防演練提升對抗能力，實(shí)現(xiàn)安全管控前置。

2.防御阻斷。針對安全預(yù)防預(yù)測工作中發(fā)現(xiàn)的風(fēng)險(xiǎn)和問題，積極推進(jìn)落實(shí)安全加固整改等防御工作，及時(shí)隔離阻斷安全威脅，持續(xù)優(yōu)化提升安全防護(hù)能力。

3.檢測監(jiān)控。在已有安全規(guī)則和安全防護(hù)基線的基礎(chǔ)上，落實(shí)各類安全檢測機(jī)制和實(shí)時(shí)的安全威脅監(jiān)控，包括資產(chǎn)檢測發(fā)現(xiàn)、威脅檢測等，能夠快速發(fā)現(xiàn)和初步分析威脅報(bào)警，優(yōu)化監(jiān)控策略，展現(xiàn)整體安全態(tài)勢。

4.響應(yīng)處置。主要實(shí)現(xiàn)各類安全報(bào)警、事件的分析處置閉環(huán)，落實(shí)修復(fù)變更工作和安全審計(jì)工作，完成整體態(tài)勢分析，持續(xù)提升系統(tǒng)整體安全能力。

預(yù)防預(yù)測

通過收集匯總內(nèi)外部情報(bào)和風(fēng)險(xiǎn)漏洞信息，預(yù)測分析安全威脅和內(nèi)部脆弱點(diǎn)，以此為起點(diǎn)，主動(dòng)調(diào)整安全規(guī)則并組織調(diào)度執(zhí)行落實(shí)，持續(xù)改進(jìn)提升整體安全防護(hù)能力。

1.威脅情報(bào)收集和分析

以上級管理單位或外部專業(yè)機(jī)構(gòu)為主，收集外部威脅情報(bào)源和相關(guān)預(yù)警信息，及時(shí)掌握網(wǎng)絡(luò)安全行業(yè)趨勢、重大安全事件、安全風(fēng)險(xiǎn)預(yù)警、新標(biāo)準(zhǔn)新要求和新技術(shù)發(fā)展等外部信息；結(jié)合內(nèi)部各個(gè)安全運(yùn)行環(huán)節(jié)工作中發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患和安全事件處置情況進(jìn)行匯總分析，深度形成內(nèi)部網(wǎng)絡(luò)安全預(yù)警。

2.重要系統(tǒng)滲透測試

選取管控范圍內(nèi)的重要信息系統(tǒng)，定期組織網(wǎng)絡(luò)攻防滲透技術(shù)測試，結(jié)合黑盒和白盒滲透兩種方式，深度模擬外部攻擊方式檢測系統(tǒng)的安全狀態(tài)，形成檢測問題結(jié)果和解決建議跟蹤整改情況。

3.全面風(fēng)險(xiǎn)評估組織

在威脅情況收集分析和針對性滲透測試的基礎(chǔ)上，定期主動(dòng)組織開展全面風(fēng)險(xiǎn)評估工作，包括合規(guī)性評估和自評估兩類。其中，自評估需從技術(shù)和管理兩方面，對照公司網(wǎng)絡(luò)安全管控體系和技術(shù)防護(hù)基線，全面評估核查風(fēng)險(xiǎn)隱患，提出整改建議。

4.安全漏洞集中管理

收集匯總威脅情報(bào)或內(nèi)部掃描收集發(fā)現(xiàn)的各類系統(tǒng)漏洞、滲透測試和風(fēng)險(xiǎn)評估發(fā)現(xiàn)的問題隱患，對照安全運(yùn)行管控范圍，形成內(nèi)部安全運(yùn)行漏洞庫，全面跟蹤完善整改情況。

5.安全規(guī)則建立和更新

依據(jù)威脅情報(bào)、滲透測試、風(fēng)險(xiǎn)評估和漏洞集中管理開展的信息收集匯總和分析工作，提出改進(jìn)優(yōu)化工作任務(wù)，建立和更新安全運(yùn)行規(guī)則。安全運(yùn)行規(guī)則應(yīng)涵蓋安全管控制度規(guī)范、流程機(jī)制、技術(shù)防護(hù)基線和檢測監(jiān)測行為規(guī)則。

6.組織網(wǎng)絡(luò)安全演練

網(wǎng)絡(luò)安全演練包括網(wǎng)絡(luò)安全運(yùn)行應(yīng)急管理演練執(zhí)行和網(wǎng)絡(luò)安全攻防對抗演練兩類。通過實(shí)戰(zhàn)演練驗(yàn)證安全防護(hù)能力是否有效的同時(shí)，快速提升安全運(yùn)營人員技術(shù)能力和處置經(jīng)驗(yàn)，并更全面和深入地發(fā)現(xiàn)安全短板，及時(shí)改進(jìn)。

防御阻斷

防御阻斷工作主要針對發(fā)現(xiàn)的風(fēng)險(xiǎn)和問題積極推進(jìn)落實(shí)安全加固整改等防御工作，及時(shí)隔離阻斷安全威脅，持續(xù)優(yōu)化提升安全防護(hù)能力。

1.安全加固

根據(jù)外部安全威脅、系統(tǒng)存在的安全隱患和漏洞，對照相應(yīng)的安全規(guī)則，執(zhí)行落實(shí)網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫中間件等安全加固要求，持續(xù)提升各類設(shè)備系統(tǒng)自身的安全防護(hù)能力。

2.訪問控制

嚴(yán)格落實(shí)安全規(guī)則要求下的訪問控制策略，尤其針對發(fā)現(xiàn)的外部威脅，如攻擊IP地址等，及時(shí)進(jìn)行訪問控制或阻斷。對于部分內(nèi)部設(shè)備系統(tǒng)存在的安全隱患或無法及時(shí)修復(fù)處置的漏洞，也需要針對性地加強(qiáng)其訪問控制限制，控制風(fēng)險(xiǎn)。

3.動(dòng)態(tài)授權(quán)

重點(diǎn)針對各類業(yè)務(wù)應(yīng)用系統(tǒng)管理、設(shè)備主機(jī)和安全產(chǎn)品的后臺(tái)管理賬戶和權(quán)限實(shí)行動(dòng)態(tài)授權(quán)。在形成權(quán)限列表并嚴(yán)格控制的基礎(chǔ)上，通過定期核查和更新權(quán)限發(fā)放情況、調(diào)整授權(quán)訪問設(shè)備、強(qiáng)制修改口令等方式，執(zhí)行最小化的動(dòng)態(tài)授權(quán)管理，控制非授權(quán)獲取管理權(quán)限的風(fēng)險(xiǎn)隱患。

4.安全隔離

根據(jù)網(wǎng)絡(luò)安全預(yù)警信息，及時(shí)封堵阻斷外部威脅攻擊IP地址、鏈接或郵箱地址等。對于存在高危漏洞、面臨外部威脅嚴(yán)重的系統(tǒng)或設(shè)備，應(yīng)及時(shí)采取安全隔離措施，研判修復(fù)后才能再次上線。

5.基線核查

按照安全防護(hù)基線和策略等安全規(guī)則，定期對各類設(shè)備產(chǎn)品的安全基線進(jìn)行核查，包括主機(jī)加固、訪問控制策略、安全漏洞掃描、安全措施安裝和運(yùn)行情況等，并及時(shí)修復(fù)不符合項(xiàng)。

6.持續(xù)防護(hù)優(yōu)化

根據(jù)預(yù)防預(yù)警信息、技術(shù)發(fā)展更新趨勢，結(jié)合內(nèi)部安全運(yùn)行過程中風(fēng)險(xiǎn)管控處置情況，在已有安全防護(hù)基線的基礎(chǔ)上不斷更新完善安全防御措施，包括新技術(shù)防護(hù)產(chǎn)品設(shè)備的升級部署和安全日志行為監(jiān)測技術(shù)平臺(tái)的升級完善等，持續(xù)提升集中化和自動(dòng)化的安全技術(shù)防護(hù)管理手段。

檢測監(jiān)控

檢測監(jiān)控工作主要是在已有安全規(guī)則和安全防護(hù)基線的基礎(chǔ)上，落實(shí)各類安全檢測機(jī)制和實(shí)時(shí)的安全威脅監(jiān)控，包括資產(chǎn)檢測發(fā)現(xiàn)、威脅檢測等，能夠快速發(fā)現(xiàn)和初步分析威脅報(bào)警，優(yōu)化監(jiān)控策略，展現(xiàn)整體安全態(tài)勢。

1.資產(chǎn)檢測

網(wǎng)絡(luò)安全運(yùn)行工作的閉環(huán)執(zhí)行需要完整的資產(chǎn)信息支撐，需要通過技術(shù)結(jié)合人工手段檢測發(fā)現(xiàn)網(wǎng)絡(luò)中的全部的資產(chǎn)信息，包括資產(chǎn)信息采集、資產(chǎn)分析、配置管理等運(yùn)行管理內(nèi)容。在形成信息完整準(zhǔn)確、關(guān)聯(lián)關(guān)系清晰的資產(chǎn)信息數(shù)據(jù)庫的基礎(chǔ)上，結(jié)合技術(shù)實(shí)時(shí)檢測和人工定期核查比對兩種方式，實(shí)現(xiàn)各類信息資產(chǎn)的統(tǒng)一管控。

2.安全檢測

安全檢測工作應(yīng)落實(shí)風(fēng)險(xiǎn)管控體系機(jī)制和要求，主要包括針對已上線系統(tǒng)設(shè)備的定期安全性能檢測工作和新建系統(tǒng)或新部署設(shè)備的上線前安全檢測工作兩方面，重點(diǎn)落實(shí)管控范圍內(nèi)設(shè)備系統(tǒng)技術(shù)風(fēng)險(xiǎn)和隱患的發(fā)現(xiàn)和整改要求。

3.威脅監(jiān)控

基于網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)及各類安全威脅監(jiān)測設(shè)備，實(shí)時(shí)監(jiān)控和關(guān)聯(lián)分析入侵檢測、流量分析、蜜罐、防火墻、網(wǎng)閘等各類安全日志，及時(shí)發(fā)現(xiàn)和處置報(bào)警日志和疑似攻擊及異常行為。對于外部已發(fā)生但本地仍監(jiān)測發(fā)現(xiàn)的高階威脅，通過預(yù)防預(yù)測工作提供的外部威脅情報(bào)和預(yù)警信息，深度核查分析和發(fā)掘潛在威脅，提前調(diào)整策略或增加威脅監(jiān)控措施，提高發(fā)現(xiàn)能力。

4.報(bào)警處置

針對實(shí)時(shí)威脅監(jiān)控過程發(fā)現(xiàn)的報(bào)警日志和疑似攻擊及異常行為進(jìn)行篩選和監(jiān)控，記錄并統(tǒng)計(jì)告警信息，協(xié)助告警信息的通告下發(fā)，定期跟蹤事件處置情況，支持高危安全事件的通告工作落實(shí)。在直接報(bào)警篩選處置的基礎(chǔ)上，需同時(shí)對事件進(jìn)行整合和提煉，進(jìn)一步分析加工監(jiān)測數(shù)據(jù)，進(jìn)行因果關(guān)系的串聯(lián)和相關(guān)關(guān)系的關(guān)聯(lián)，從而挖掘出新的威脅事件。

5.策略優(yōu)化

威脅監(jiān)控過程中將會(huì)出現(xiàn)海量事件和告警，隨著企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)規(guī)模和復(fù)雜程度的拓展，其數(shù)量將遠(yuǎn)遠(yuǎn)超過人力能夠處理的范疇，因此必須在威脅監(jiān)控工作落地的同時(shí)，不斷優(yōu)化監(jiān)控策略，對待處理事件區(qū)分優(yōu)先級，形成小時(shí)級、日級、周級、月級處理梯隊(duì)，讓重要事件得到及時(shí)解決，同時(shí)兼顧全局。

6.態(tài)勢呈現(xiàn)

依托態(tài)勢感知平臺(tái)，安全運(yùn)行團(tuán)隊(duì)?wèi)?yīng)在監(jiān)控策略優(yōu)化的基礎(chǔ)上，持續(xù)優(yōu)化和調(diào)整全局安全態(tài)勢的圖表展示，方便運(yùn)營人員實(shí)時(shí)監(jiān)控整個(gè)網(wǎng)絡(luò)安全情況。監(jiān)控人員也可根據(jù)態(tài)勢呈現(xiàn)大屏提供的圖形化視圖，對安全事件做出快速判斷，加快事件的分析處理速度。

響應(yīng)處置

響應(yīng)處置工作主要實(shí)現(xiàn)各類安全報(bào)警、事件的分析處置閉環(huán)，落實(shí)漏洞修復(fù)、策略變更、安全審計(jì)等工作，完成整體態(tài)勢分析，持續(xù)提升系統(tǒng)整體安全能力。

1.事件處置

根據(jù)威脅情報(bào)、事件通報(bào)、威脅監(jiān)控報(bào)警等安全事件信息，按照安全事件處置和通報(bào)流程機(jī)制，通過判斷事件類別和影響范圍，及時(shí)確定事件等級，采取有效的應(yīng)急處置措施，爭取在最短時(shí)間內(nèi)恢復(fù)業(yè)務(wù)系統(tǒng)的正常運(yùn)行或采取阻斷隔離措施控制風(fēng)險(xiǎn)影響。

2.溯源取證

在事件處置過程中或業(yè)務(wù)恢復(fù)后，通過調(diào)查溯源分析，查找入侵來源或安全事件原因。定位入侵階段和攻擊過程，還原和定位單體事件在滲透和攻擊鏈中所處的階段，進(jìn)一步形成完整的證據(jù)鏈，還原攻擊過程。進(jìn)一步全面評估損失和安全風(fēng)險(xiǎn)，提供更全面和深入的安全加固和修復(fù)建議，制定完善的解決方案。

3.修復(fù)變更

網(wǎng)絡(luò)安全事件處置過程中應(yīng)盡快恢復(fù)業(yè)務(wù)系統(tǒng)正常運(yùn)行或采取阻斷隔離措施，同時(shí)應(yīng)根據(jù)溯源取證中提出的安全加固和修復(fù)建議組織落實(shí)修復(fù)變更工作。包括漏洞修復(fù)、安全防護(hù)措施調(diào)整和系統(tǒng)平臺(tái)升級等工作，其中涉及影響業(yè)務(wù)變更的修復(fù)行為應(yīng)嚴(yán)格履行變更審批和溝通程序。

4.安全審計(jì)

安全審計(jì)工作重點(diǎn)針對安全運(yùn)營人員、基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)建設(shè)和運(yùn)維人員，以各類安全審計(jì)日志核查為基本手段，對安全管理操作是否合規(guī)定期組織完成安全審計(jì)工作，及時(shí)發(fā)現(xiàn)內(nèi)部管理風(fēng)險(xiǎn)和隱患，形成審計(jì)報(bào)告并提出改進(jìn)建議。

5.通報(bào)應(yīng)急

根據(jù)網(wǎng)絡(luò)安全事件處置情況，一方面執(zhí)行網(wǎng)絡(luò)安全通報(bào)管理要求，及時(shí)報(bào)送相關(guān)事件的分析處置情況；另一方面，按照應(yīng)急管理體系和預(yù)案，發(fā)生突發(fā)事件時(shí)，第一時(shí)間啟動(dòng)應(yīng)急預(yù)案，執(zhí)行應(yīng)急處置程序，并在應(yīng)急處置結(jié)束后技術(shù)復(fù)盤總結(jié)，提出優(yōu)化改進(jìn)建議。

6.態(tài)勢分析

定期匯總分析管控范圍內(nèi)的安全事件響應(yīng)和調(diào)查情況，從事件類別、攻擊來源、目標(biāo)系統(tǒng)和影響范圍等維度進(jìn)行態(tài)勢分析，提出分析報(bào)告和改進(jìn)建議，為預(yù)測預(yù)防工作提供輸入。

企業(yè)的網(wǎng)絡(luò)安全運(yùn)行工作整體應(yīng)通過建立集中的安全運(yùn)行管理中心，圍繞其融合各類安全資源，包括安全產(chǎn)品和安全數(shù)據(jù)，在集中進(jìn)行安全態(tài)勢感知的基礎(chǔ)上，通過一體化的預(yù)防預(yù)測指揮調(diào)度、安全防御阻斷、檢測監(jiān)控和響應(yīng)調(diào)查等活動(dòng)，形成網(wǎng)絡(luò)安全運(yùn)行的閉環(huán)管理，實(shí)現(xiàn)循環(huán)迭代的持續(xù)改進(jìn)提升，執(zhí)行和落實(shí)企業(yè)的網(wǎng)絡(luò)安全管控要求，有效保護(hù)企業(yè)網(wǎng)絡(luò)、信息系統(tǒng)和數(shù)據(jù)資產(chǎn)的安全。

來源：《網(wǎng)絡(luò)安全和信息化》雜志

作者：中核核信信息技術(shù)（北京）有限公司 吉梁 王逸鶴 李東

（本文不涉密）