本文来自微信公众号“网络安全和信息化”,作者/吉梁、王逸鹤、李东。
随着国家大力推广数字经济,企业的数字化水平不断提升,各类网络和信息系统规模不断扩大,面临的网络安全威胁也越来越复杂,建立有效的网络安全运行机制变得至关重要。通过有限的资源投入实现网络安全事件的监管和快速应对,更加准确地衡量关键安全指标,将网络安全工作和业务高效结合,才能有效保障业务系统的安全稳定运行,从而支撑企业的健康发展。
网络安全运行的核心目标是执行和落实企业的网络安全管控要求,以网络安全态势感知和管理平台等技术平台为支撑,实现人员、技术和流程机制的体系化整合,持续输出安全管控成效,使企业的网络、信息系统和数据资产得到有效保护。
网络安全运行工作的主要内容通常包括网络安全预防预测、安全威胁的防御阻断、安全检测监控和响应调查处置几个环节,通过PDCA持续执行改进机制,实现安全威胁事件闭环管理。网络安全运行机制如图所示。
1.预防预测。主动收集汇总威胁情报信息、发现评估风险、动态调整安全规则、组织预防演练提升对抗能力,实现安全管控前置。
2.防御阻断。针对安全预防预测工作中发现的风险和问题,积极推进落实安全加固整改等防御工作,及时隔离阻断安全威胁,持续优化提升安全防护能力。
3.检测监控。在已有安全规则和安全防护基线的基础上,落实各类安全检测机制和实时的安全威胁监控,包括资产检测发现、威胁检测等,能够快速发现和初步分析威胁报警,优化监控策略,展现整体安全态势。
4.响应处置。主要实现各类安全报警、事件的分析处置闭环,落实修复变更工作和安全审计工作,完成整体态势分析,持续提升系统整体安全能力。
预防预测
通过收集汇总内外部情报和风险漏洞信息,预测分析安全威胁和内部脆弱点,以此为起点,主动调整安全规则并组织调度执行落实,持续改进提升整体安全防护能力。
1.威胁情报收集和分析
以上级管理单位或外部专业机构为主,收集外部威胁情报源和相关预警信息,及时掌握网络安全行业趋势、重大安全事件、安全风险预警、新标准新要求和新技术发展等外部信息;结合内部各个安全运行环节工作中发现的风险隐患和安全事件处置情况进行汇总分析,深度形成内部网络安全预警。
2.重要系统渗透测试
选取管控范围内的重要信息系统,定期组织网络攻防渗透技术测试,结合黑盒和白盒渗透两种方式,深度模拟外部攻击方式检测系统的安全状态,形成检测问题结果和解决建议跟踪整改情况。
3.全面风险评估组织
在威胁情况收集分析和针对性渗透测试的基础上,定期主动组织开展全面风险评估工作,包括合规性评估和自评估两类。其中,自评估需从技术和管理两方面,对照公司网络安全管控体系和技术防护基线,全面评估核查风险隐患,提出整改建议。
4.安全漏洞集中管理
收集汇总威胁情报或内部扫描收集发现的各类系统漏洞、渗透测试和风险评估发现的问题隐患,对照安全运行管控范围,形成内部安全运行漏洞库,全面跟踪完善整改情况。
5.安全规则建立和更新
依据威胁情报、渗透测试、风险评估和漏洞集中管理开展的信息收集汇总和分析工作,提出改进优化工作任务,建立和更新安全运行规则。安全运行规则应涵盖安全管控制度规范、流程机制、技术防护基线和检测监测行为规则。
6.组织网络安全演练
网络安全演练包括网络安全运行应急管理演练执行和网络安全攻防对抗演练两类。通过实战演练验证安全防护能力是否有效的同时,快速提升安全运营人员技术能力和处置经验,并更全面和深入地发现安全短板,及时改进。
防御阻断
防御阻断工作主要针对发现的风险和问题积极推进落实安全加固整改等防御工作,及时隔离阻断安全威胁,持续优化提升安全防护能力。
1.安全加固
根据外部安全威胁、系统存在的安全隐患和漏洞,对照相应的安全规则,执行落实网络设备、主机、应用系统和数据库中间件等安全加固要求,持续提升各类设备系统自身的安全防护能力。
2.访问控制
严格落实安全规则要求下的访问控制策略,尤其针对发现的外部威胁,如攻击IP地址等,及时进行访问控制或阻断。对于部分内部设备系统存在的安全隐患或无法及时修复处置的漏洞,也需要针对性地加强其访问控制限制,控制风险。
3.动态授权
重点针对各类业务应用系统管理、设备主机和安全产品的后台管理账户和权限实行动态授权。在形成权限列表并严格控制的基础上,通过定期核查和更新权限发放情况、调整授权访问设备、强制修改口令等方式,执行最小化的动态授权管理,控制非授权获取管理权限的风险隐患。
4.安全隔离
根据网络安全预警信息,及时封堵阻断外部威胁攻击IP地址、链接或邮箱地址等。对于存在高危漏洞、面临外部威胁严重的系统或设备,应及时采取安全隔离措施,研判修复后才能再次上线。
5.基线核查
按照安全防护基线和策略等安全规则,定期对各类设备产品的安全基线进行核查,包括主机加固、访问控制策略、安全漏洞扫描、安全措施安装和运行情况等,并及时修复不符合项。
6.持续防护优化
根据预防预警信息、技术发展更新趋势,结合内部安全运行过程中风险管控处置情况,在已有安全防护基线的基础上不断更新完善安全防御措施,包括新技术防护产品设备的升级部署和安全日志行为监测技术平台的升级完善等,持续提升集中化和自动化的安全技术防护管理手段。
检测监控
检测监控工作主要是在已有安全规则和安全防护基线的基础上,落实各类安全检测机制和实时的安全威胁监控,包括资产检测发现、威胁检测等,能够快速发现和初步分析威胁报警,优化监控策略,展现整体安全态势。
1.资产检测
网络安全运行工作的闭环执行需要完整的资产信息支撑,需要通过技术结合人工手段检测发现网络中的全部的资产信息,包括资产信息采集、资产分析、配置管理等运行管理内容。在形成信息完整准确、关联关系清晰的资产信息数据库的基础上,结合技术实时检测和人工定期核查比对两种方式,实现各类信息资产的统一管控。
2.安全检测
安全检测工作应落实风险管控体系机制和要求,主要包括针对已上线系统设备的定期安全性能检测工作和新建系统或新部署设备的上线前安全检测工作两方面,重点落实管控范围内设备系统技术风险和隐患的发现和整改要求。
3.威胁监控
基于网络安全态势感知平台及各类安全威胁监测设备,实时监控和关联分析入侵检测、流量分析、蜜罐、防火墙、网闸等各类安全日志,及时发现和处置报警日志和疑似攻击及异常行为。对于外部已发生但本地仍监测发现的高阶威胁,通过预防预测工作提供的外部威胁情报和预警信息,深度核查分析和发掘潜在威胁,提前调整策略或增加威胁监控措施,提高发现能力。
4.报警处置
针对实时威胁监控过程发现的报警日志和疑似攻击及异常行为进行筛选和监控,记录并统计告警信息,协助告警信息的通告下发,定期跟踪事件处置情况,支持高危安全事件的通告工作落实。在直接报警筛选处置的基础上,需同时对事件进行整合和提炼,进一步分析加工监测数据,进行因果关系的串联和相关关系的关联,从而挖掘出新的威胁事件。
5.策略优化
威胁监控过程中将会出现海量事件和告警,随着企业网络和信息系统规模和复杂程度的拓展,其数量将远远超过人力能够处理的范畴,因此必须在威胁监控工作落地的同时,不断优化监控策略,对待处理事件区分优先级,形成小时级、日级、周级、月级处理梯队,让重要事件得到及时解决,同时兼顾全局。
6.态势呈现
依托态势感知平台,安全运行团队应在监控策略优化的基础上,持续优化和调整全局安全态势的图表展示,方便运营人员实时监控整个网络安全情况。监控人员也可根据态势呈现大屏提供的图形化视图,对安全事件做出快速判断,加快事件的分析处理速度。
响应处置
响应处置工作主要实现各类安全报警、事件的分析处置闭环,落实漏洞修复、策略变更、安全审计等工作,完成整体态势分析,持续提升系统整体安全能力。
1.事件处置
根据威胁情报、事件通报、威胁监控报警等安全事件信息,按照安全事件处置和通报流程机制,通过判断事件类别和影响范围,及时确定事件等级,采取有效的应急处置措施,争取在最短时间内恢复业务系统的正常运行或采取阻断隔离措施控制风险影响。
2.溯源取证
在事件处置过程中或业务恢复后,通过调查溯源分析,查找入侵来源或安全事件原因。定位入侵阶段和攻击过程,还原和定位单体事件在渗透和攻击链中所处的阶段,进一步形成完整的证据链,还原攻击过程。进一步全面评估损失和安全风险,提供更全面和深入的安全加固和修复建议,制定完善的解决方案。
3.修复变更
网络安全事件处置过程中应尽快恢复业务系统正常运行或采取阻断隔离措施,同时应根据溯源取证中提出的安全加固和修复建议组织落实修复变更工作。包括漏洞修复、安全防护措施调整和系统平台升级等工作,其中涉及影响业务变更的修复行为应严格履行变更审批和沟通程序。
4.安全审计
安全审计工作重点针对安全运营人员、基础设施和业务系统建设和运维人员,以各类安全审计日志核查为基本手段,对安全管理操作是否合规定期组织完成安全审计工作,及时发现内部管理风险和隐患,形成审计报告并提出改进建议。
5.通报应急
根据网络安全事件处置情况,一方面执行网络安全通报管理要求,及时报送相关事件的分析处置情况;另一方面,按照应急管理体系和预案,发生突发事件时,第一时间启动应急预案,执行应急处置程序,并在应急处置结束后技术复盘总结,提出优化改进建议。
6.态势分析
定期汇总分析管控范围内的安全事件响应和调查情况,从事件类别、攻击来源、目标系统和影响范围等维度进行态势分析,提出分析报告和改进建议,为预测预防工作提供输入。
企业的网络安全运行工作整体应通过建立集中的安全运行管理中心,围绕其融合各类安全资源,包括安全产品和安全数据,在集中进行安全态势感知的基础上,通过一体化的预防预测指挥调度、安全防御阻断、检测监控和响应调查等活动,形成网络安全运行的闭环管理,实现循环迭代的持续改进提升,执行和落实企业的网络安全管控要求,有效保护企业网络、信息系统和数据资产的安全。
来源:《网络安全和信息化》杂志
作者:中核核信信息技术(北京)有限公司 吉梁 王逸鹤 李东
(本文不涉密)