安全运营体系建设
一、背景
安全运营体系建设由三大部分组成:
- 安全运营服务体系:要做什么?遵循什么标准去做?
- 安全运营管理体系:由谁做?
- 安全运营技术体系:怎么做?
二、安全运营服务体系建设
0x1:安全合规及监管服务
- 安全标准规范建设。安全运营中涉及的安全标准规范需要符合国家关于网络及关键信息基础设施、等级保护、云计算、大数据、政务数据开放共享和电子政务外网相关的安全标准、法令法规和指导文件的要求。具体建设内容包括:安全管理要求、安全技术标准、安全运营标准。
- 等级保护测评及风险评估
- 等级保护测评。等级保护测评工作过程及任务基于受委托测评机构对定级对象开展等级测评。等级测评过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个等级测评过程。
- 风险评估。风险评估是信息系统安全的基础性工作,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求。因此,所有信息安全建设都应该以风险评估为起点开展风险评估工作。
- 合规整改。业务应用系统通过等级保护测评及风险评估相关报告中反馈的问题,由相关业务系统主管单位负责协调专业技术人员开展合规整改,整改工作完成后通过相关的验证来评估最终的整改效果,并提供整改后的验证报告完成合规整改工作。
- 合规性检查及指导。安全合规性检查及指导工作的开展,在不同阶段、针对不同技术活动参照相应的标准规范进行;对各业务单位的重要系统进行安全建设和整改的指导,定期开展网络安全情况及能力建设情况检查。监管单位对各单位定期通过定期安全检查、安全抽查,或者委托第三方机构开展有针对性的安全检查,指导网络安全工作的开展,在各项工作开展的过程中实施监督和管理,发现存在的问题提供相应的指导,同步完善安全运营相关工作的推进。
0x2:安全运营服务
1、安全基线评估加固
通过“自动化工具配合人工检查”方式参考安全配置基线进行检查,主要包括
- 网络设备安全配置基线
- 安全设备安全配置基线
- 操作系统安全配置基线
- 数据库安全配置基线
- 中间件安全配置基线等
采用主流的安全配置核查系统或检查脚本工具,以远程登录检查的方式工作,完成设备的检查,针对物理隔离或网络隔离的设备使用检查脚本工具来补充完成检查工作。
依据区域安全技术标准对网络设备、安全设备、操作系统、数据库及中间件的安全配置基线要求或结合安全评估结果,按照安全整改建议,由安全服务人员协助云服务客户运维人员实施安全加固,至最终符合安全标准以保障安全运行。
2、运维管理与安全审计
- 安全运维管理。安全运维管理即实现对业务系统进行集中运维管理,对身份、访问、权限进行控制,可以降低运维操作风险,使安全问题得到追溯,提供安全事件对应的运维操作行为依据。安全运营一线运营前台人员,通过了解用户的角色与权限,进行日常运维角色、权限管理工作,对安全运维工单进行处理。
- 安全审计日志分析。区域所使用的安全产品会产生大量的网络访问日志、管理行为记录、操作行为记录、产品运行记录和网络流量等数据,以及安全监测产生的大量信息,这些信息数量庞大且无明显关系,但其中可能隐含着潜在的网络攻击行为或已经发生但未被发现的攻击行为、产品故障等。安全审计人员利用搜集到的安全日志,结合资产信息等实际情况,分析这些海量数据中的相互关系,挖掘出有价值的网络攻击、运行故障等信息,及时开展相应的处置工作,以保障安全产品及整体区域各业务系统的运行安全。
- 服务交付成果。针对运维管理工作和安全审计日志分析输出安全运维审计报告,该报告记录阶段性安全运维和安全审计日志情况。
3、系统上线安全检查
区域各业务应用系统随着业务发展及应用更新,存在新业务系统上线及应用系统版本变更的需求,为了避免系统“带病”上线影响全局安全,在业务系统上线及应用变更时应按照合规要求进行全面安全检测分析。
4、安全事件分析
安全事件分析工作是区域安全运营工作的核心,基于安全运营中预测、监测到的安全数据和安全事件信息进行安全事件研究、分析和判定,验证安全事件的可能性并出具相应的解决方法。
安全事件研判分析完全依靠高技术能力的安全服务人员利用区域搭建的安全技术体系,并借助外部安全大数据开展工作。本项工作包含于安全运营体系的每一个服务项中,最终输出的交付成果结合在每项服务交付成果中。
5、重点时期攻防演练
在重点时期前完善安全整改工作后,组建防守方和攻击方进行实际的演练攻击,攻击方采用各种技术手段模拟黑客攻击,发起各类攻击事件,防守方检测和发现外部攻击,并对攻击采取相应的防护措施,导演方负责演练导演、监控进程、全程指导、应急处置、演习总结、技术措施与策略优化建议等技术咨询工作。
通过攻防演练实战,严格地检验区域的安全产品、安全策略、安全体系、人员能力和协同处置等多方面内容,检验区域已有防御体系的有效性,检验区域内部安全协同和应急处置能力。
6、安全应急响应处置
基于区域具体的安全事件开展专家应急响应,包括
- 安全事件检测
- 安全事件抑制
- 安全事件根除
- 安全事件恢复
- 安全事件总结
最终形成协调联动机制,增强应急技术能力,健全应急响应机制。
安全事件处置完成后,系统得到恢复,找到安全事件发生的原因并提供相应的安全解决方案,提供交付物安全事件应急响应报告。
7、互联网资产发现
基于网络扫描、搜索引擎、互联网基础数据引擎主动探测区域业务应用系统在互联网上暴露的资产,可以形成明确的资产清单,并发现区域各业务应用系统的未知资产。
通过大数据挖掘和调研的方式确定资产范围,进行主动精准探测,深度发现暴露在外的IT设备、端口及应用服务,发现活跃资产及“僵尸”资产,由安全专家对每项业务进行梳理分析,结合用户反馈的业务特点对资产重要程度、业务安全需求进行归纳,最终形成区域资产清单。
8、安全流量风险分析
利用威胁情报数据和采集到的安全大数据,采用专业攻防思路构建分析模型,提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现和响应服务,提升主动应对安全威胁的能力,在信息安全方面构建最后一道“防火墙”。
安全流量风险分析主要包括
- 内部失陷主机检测
- 外部攻击检测
- 内部攻击检测
- 内部违规检测
- 事件分析研判溯源
五大类服务。
安全流量风险分析服务结合区域实际情况,周期性地开展工作,提供交付成果安全流量风险分析报告。
安全流量风险分析服务除提供上述服务之外,还可以协助建立内部的安全大数据中心,为后续利用大数据分析技术来开展安全分析、安全数据的基线、安全数据的深度挖掘和安全数据的审计提供必要的基础。
9、应用失陷检测
企业对外的、留在大众心中抽象化的无形资产,通过大众抽象化的定位与认知形成异性的品牌力。
应用失陷检测通过数据采集、工具分析、人工标记、专家研判、成果交付五个过程对被分析系统的访问日志进行全面细化的分析,针对所有应用失陷检测系统输出应用失陷检测报告,描述其发现的问题并给出相应的解决方案。
10、全事件及态势检测
安全运营团队的一线运营前台会7×24小时监控应用安全监测事件,并对事件进行即时确认,一旦发现安全事件属实,将会即时通知客户及相关的应用管理接口人,同时启动相应的安全应急响应流程。
针对区域安全监控内的所有业务系统平台,进行实时安全监测预警和安全态势感知,及时上报发现的潜在威胁和脆弱环节,建立全网安全隐患发现、预警、处置等流程的一体化快速响应。
针对所有安全事件的监测和安全态势的监控,形成周期性安全监测报告,记录安全事件汇总情况、安全态势趋势等。
11、安全策略优化服务
完成策略信息搜集后,结合实际业务安全需求,对现有安全策略进行差距分析,发现策略缺失、策略冗余、策略未废止等问题,并制定相应工作方案开展策略优化工作,内容包括访问控制策略优化、安全防护策略优化、行为审计策略优化等,通过安全策略优化完善策略可用性,提升防护能力。针对所有需要进行安全策略优化的安全设备输出安全策略优化报告,该报告记录了优化前和优化后的策略变化情况。
12、安全产品运行维护
安全产品运行维护是指针对区域安全防护体系中构建的安全产品,在运行过程中进行的一系列常态化维护,包括设备运行安全监测、设备运行安全审计、设备及策略备份更新等工作。
通过安全产品运行维护工作的开展保障安全产品最优化运行。针对所有需要进行安全产品运维的安全设备输出安全产品运维记录单,该记录单记录了安全产品运行过程中的变化情况、出现的问题、问题的解决情况等。
13、威胁情报预警
威胁情报预警是指基于网络安全威胁情报来监测和管理区域资产的安全健康状态,主动提供安全事件预警、分析及处置,利用第三方安全大数据进行关联分析和行为分析,精确地标出威胁情报,提供安全预警。
威胁情报预警可帮助区域保持其IT基础设施的更新,更好地阻止安全漏洞,并采取行动来防止数据丢失或系统故障,从而有效地抵御攻击。威胁情报预警根据不同时期发生的安全漏洞、安全事件等提供有针对性的威胁情报分析报告。
14、漏洞生命周期管理
漏洞生命周期管理包括网络层漏洞识别、操作系统层漏洞识别、应用层漏洞识别、安全加固、交付成果。
定期为业务系统提供漏洞扫描,发现漏洞并在经过验证属实后将漏洞纳入安全运营平台由安全运营人员进行持续跟踪,将扫描结果和漏洞修复建议发送给网站运维人员,配合其修复漏洞,待漏洞修复之后,重新进行验证扫描,确认漏洞修复后将该漏洞“关闭”。暂时无法修复的漏洞将暂由应用防护体系进行防护,并将漏洞置为“未修复,已防护”状态,由安全运营服务团队继续跟踪直至漏洞被修复。
15、重点时期安全检查
在重点时期(包括“两会”、春节、互联网大会等)前对现有网络运行的服务器、终端、网络设备、安全设备、网站及应用系统等开展安全检查,从而发现硬件、软件、协议的实现或系统安全策略上的缺陷问题,对发现的问题提供对应安全整改建议,在重点时期做好安全加固及防护,以保障网络安全稳定地运行。
通过重点时期安全检查,可以及时发现信息系统中存在的安全漏洞,通过对服务器及安全设备漏洞的整改,可以及时消除安全漏洞可能带来的安全风险。
16、重大事件安全通告
建立安全通告机制,对出现的安全问题、威胁情报信息等进行全面传达、定期通告。
每周以邮件形式向用户通告业内安全态势、重大舆情信息、重要系统漏洞及补丁信息等,不定期对紧急重大类漏洞信息以最快时间通过邮件或电话向客户告知漏洞的危害、影响范围及应对方案等信息。
0x3:安全管理服务
安全管理体系主要是为安全运营中心建立一套完善的、符合等级保护第三级要求的安全管理体系,以便开展日常安全工作及其他相关工作。
1、管理组织建设
以安全组织架构设计为基础,定义业务系统监管方、云服务运维方、业务系统运维方、安全运营中心“四方”的职责如下:
- (1)应按照网络安全法和国家信息系统安全等级保护的要求,对各个业务系统进行信息安全设计与建设,各方应该在系统监管方的协调下积极配合安全运营中心的建设工作。
- (2)为确保各业务系统的数据和系统自身的安全,云服务运维方和安全运营中心应先通过安全审查(按照国家相关部门安全标准及规范实施),才能向客户提供云计算服务和安全运营服务。云服务运维方和安全运营中心应积极配合监管工作开展,对云服务方所提供的云计算服务进行安全监控,确保持续满足业务系统的安全需求。
- (3)业务系统运维方需承担部署或迁移到云计算平台上的数据和业务的最终安全责任;业务系统运维方对业务系统的运行进行监督和管理,根据相关规定或服务级别协议开展信息安全检查。
- (4)业务系统监管方作为区域的网络信息安全监管部门,负责安全建设项目和安全运营制度的审批,负责安全工作实施过程中的监督、协调与沟通。
- (5)明确定义、设置上述多方日常安全职责矩阵。
2、安全制度管理
安全制度管理工作的主要内容如下。
- 完善信息安全工作总体方针、安全策略,说明机构安全工作的总体目标、范围、方针、原则、责任等
- 完善各种安全管理活动中的流程和管理制度
- 建立和完善日常管理操作规程、手册等,以指导安全操作
- 定期对安全管理制度体系进行评审,以发现不适宜内容并加以修订
- 设立信息安全领导小组或委员会,并由信息安全领导小组统一负责并组织相关人员制定信息安全管理制度。
- 定期对安全管理制度进行评审和修订
- 针对安全管理制度明确具体的负责人或负责部门,并用清单的方式明确对应关系。
3、安全流程管理
为监管方建立相关的流程,保证安全运营可以遵照标准流程制度执行,主要内容如下。
- 流程制定。建立健全流程管理制度,主要流程有:安全事件处置流程、安全风险评估流程、安全事件应急响应流程、安全事件溯源取证流程、安全设备上线交割流程等。
- 流程变更维护。定期维护和修订相关的管理制度。
- 流程发布。根据需要,定期发布变更后的全套流程到相关的组织范围,并对发布的流程进行相关培训。
4、人员安全管理
为保证安全管理方做好各阶段的工作分配,需要协助安全管理方建立合理的信息安全人员管理机制,如渗透测试工程师、应用安全开发工程师、网络安全工程师、终端安全工程师和数据安全工程师等。
5、安全建设管理
安全建设管理,即对系统建设进行安全管理,包括
- 系统定级
- 安全方案设计
- 安全产品采购
- 自主软件开发
- 外包软件开发
- 工程实施
- 测试验收
- 系统交付
- 系统备案
- 等级测评
- 安全服务商选择等
6、安全运维管理
安全运维管理,即对系统运维进行安全管理,包括
- 环境管理
- 资产管理
- 介质管理
- 设备管理
- 安全监控
- 网络安全管理
- 系统安全管理
- 恶意代码防范
- 密码管理
- 变更管理
- 备份及恢复管理
- 安全事件处置
- 应急预案管理等
7、安全培训管理
打造面向所有信息化管理人员、IT运维团队、内部工作人员的网络安全培训中心,定期举行网络安全培训,提供定制化的信息安全意识和安全实操培训服务。
安全培训管理具体包括五部分内容:
- 安全意识培训
- 安全管理与理念培训
- 网络及安全设备安全运维培训
- 操作系统及数据库安全运维培训
- 应用系统安全开发与运维培训
8、安全运营管理
通过对《中华人民共和国网络安全法》和等级保护第三级要求进行分析,安全管理体系的逐步建立和完善需要通过必要的工具辅助开展日常管理工作,通过安全管理系统可以积累相应的数据便于分析和管理,安全管理工作的开展需要配套开发一套安全管理系统,能够基于系统生命周期管理对参与方角色/权限管理、安全制度管理、风险管理、控制执行、绩效评价、威胁情报、工作流程等进行统一管理,以提高安全管理工作效率。
9、安全咨询管理
信息安全规划是一项较为重要的安全咨询服务,主要依据信息安全策略及行业发展动态,在对客户信息安全现状进行风险评估、差距分析的基础上,从安全技术、安全管理、安全组织三个角度帮助客户构建短期、中期与长期的信息安全规划,将信息安全的单点风险控制转变为全面的安全规划,进而实现有效的信息安全建设并建立完整的信息安全保障体系。
在开展信息安全规划服务时,首要工作是依据国际信息安全最佳实践、国家信息安全政策引领、行业发展动态、监管部门的政策规范及信息安全技术发展趋势等要求,构建信息安全能力评估模型,依据模型对客户的网络基础环境、计算环境、管理环境、组织环境进行现状检查、评估与差距分析,明确客户信息安全建设的需求与目标。
在此基础上,进行信息安全建设的蓝图规划。信息安全蓝图规划须依托企业信息化规划,对信息化的实施应起到保驾护航的作用。信息安全规划的目标应与企业信息化的目标保持一致,且比企业信息化的目标更具体明确、更贴近安全。信息安全规划的一切论述都需以上述目标为依托进行部署和开展。
三、安全运营管理体系建设
建立安全运营管理体系,定义并明确安全职责类别,依据安全职责设置安全岗位并配备与之对应的人员,通过人才培养及能力培养、安全意识教育培训,建立安全规划开发、安全风险管控、漏洞挖掘利用、安全防御响应、安全问题改进、安全指挥调度等多支队伍,建立与外部机构的沟通和合作机制,所有相关人员需设立专职岗位和编制,制定人才培养和发展计划,以及构建人员能力评估体系和考核体系,实现安全运营人员队伍管理。
0x1:关键角色定义
0x2:管理组织架构
管理组织架构是项目成功的重要组成部分,为保障安全运营中心建设顺利开展,以及项目在建设完成后能够达到建设要求并形成一套不断完善的改进体系,需从安全的机构建设到人才建设进行全面保障,不断夯实安全工作,做到分工明确、责任清晰、任务到人、考核到位。
为满足安全运营中心建设需求,在完成基础安全设施建设的同时,需要建立安全服务和保障队伍及相关责任部门。安全运营中心整体分为四级团队,以联动模式为各子安全运营中心提供运营服务。
安全运营四级团队的职责如下。
- 四线运营后台—安全运营专家团队:提供在线咨询、安全培训、情报关联分析、顶层规划设计、在线应急指导、调度指挥等服务。
- 三线数据中台—安全运营分析团队:提供威胁建模、安全运营策略制定、安全情报分析分享、安全知识案例分析等服务。
- 二线业务中台—安全运营人员:提供威胁狩猎分析、安全运营指导、现场应急响应处置、安全场景分析定制等服务。
- 一线业务前台—安全运营机器人:提供7×24小时威胁检测服务,辅助驻场人员进行平台维护等服务。
此外,还需设立安全运营管理部、安全运营部、安全技术研究部和安全运维部,聘请安全专家与安全工程师组成安全运营专家委员会。
- (1)安全运营中心:由安全运营专家团队组成,支撑各子运营中心。
- (2)安全运营专家委员会:由安全专家与安全工程师组成,为重大安全事件的调查分析、重要安全策略的制定、重大保障任务的执行提供智力支持。
- (3)安全运营管理部:主要负责安全策略的制定和执行监督。根据法律法规、等级合规、内控规范和业务需求与数据拥有者一同制定数据保护机制;与业务部门和应用部门一起制定认证和授权机制;根据等级保护合规要求、内控规范、审计要求制定相关的监测机制;所有这些机制由安全基础设施和安全运营中心执行并由安全管理处进行监督。
- (4)安全运营部:为各子运营中心负责告警事件的分析判断、调查取证、追根溯源、事件处置等工作,主要工作内容包括:安全服务、安全监控运行、安全事件处置、安全运营平台维护等。
- (5)安全技术研究部:主要负责安全策略与对策、安全新技术的研究,新型攻击手法研究,对安全运营中心所涉及的高危漏洞的研究分析,未知威胁的探索发现,组织进行内部的红蓝对抗演练及时发现新的安全风险,并将这些成果转化为知识库和安全分析模型,同时负责威胁情报的搜集和管理工作。
- (6)安全运维部:根据安全策略的要求进行安全基础设施规划、建设及日常的运维工作,安全配置策略的统一管理、变更工作。其中,安全基础设施是安全信息的主要来源和安全措施的主要执行点。
- (7)安全服务:主要负责组织外部资源和内部资源共同完成重大安全任务,如建立重保小组完成重保工作的组织和执行、建立应急响应小组完成重大安全事件的响应和处置;每个季度组织内、外部资源进行渗透测试和风险评估;执行内部安全意识培训工作。
- (8)安全监控运行:由一线安全分析师和二线安全分析师组成。一线安全分析师7×24小时值班,对由安全运行管理平台通过自动化分析生成的安全告警事件进行初步的快速判断,过滤无效告警;二线安全分析师对一线安全分析师不能明确的安全告警进行最终分析判断,再次过滤无效告警。
- (9)安全事件处置:对确认的安全事件分析其危害程度、波及范围等,确定是否启动应急响应;对安全事件进行溯源分析、调查取证;周期性地进行安全风险评估工作。
- (10)安全运营平台运维:负责安全运营平台的监控和维护、安全分析模型和分析规则的开发和维护、态势展现内容的开发和维护。
- (11)基础设施安全运维:主要负责基础设施的安全扫描、安全分析、策略变更、安全加固、安全监控、应急响应等。
- (12)安全基础设施规划设计建设:主要负责安全基础设施的规划方案的编写及落地实施。
四、安全运营技术体系建设
0x1:运营层
1、安全可视化
安全可视化支持对资产态势、脆弱性安全态势、数据安全态势、安全事件态势、攻击态势、安全防护态势、威胁态势进行多维度深度分析。
2、资产态势
平台支持基于资产信息数据,按照区域、类型、重要程度等,结合资产安全事件、漏洞信息进行多维深度分析,形成资产类型分布、数量对比、资产弱点、资产健康度、资产风险分布等分析数据,并支持无码化、可拖曳的视图态势展示。
资产态势感知通过资产卡片形式实时监控重大保障活动中的关键资产,利用标签切换不同的活动资产分组,及时发现并处置风险资产,保障用户业务的可持续平稳运行。
3、脆弱性安全态势
脆弱性安全态势基于漏洞和配置核查信息,结合应用系统、区域资产等基础数据,进行多维度分析,从资产、业务系统、组织架构、责任人等视角,给出漏洞与资产的全面关联分析,形成在不同系统和资产上的脆弱性分布、高危漏洞及排名等分析数据,并且支持无码化、可拖曳的态势展示。
4、数据安全态势
数据安全态势包括管理、校验、调整数据自动分级规则及其学习优化策略,将自动分级规则统一下发到各数据处理技术系统,包括数据鉴权、敏感数据检查等,结合数据分类标记制定各处理系统上的敏感数据识别与防护策略;同时,对各处理系统上发现的敏感数据态势、违规情况、异常行为情况及风险进行统一展示和分析,并将各系统上的分级识别结果反馈给数据自动分级规则学习流程,不断迭代优化数据分级规则。
- (1)主要的安全能力:数据安全态势、分级规则管理、安全督查管理、元数据管理、数据源管理、敏感数据管理、用户行为管理、协同联动管理和数据泄露溯源管理等。
- (2)数据安全态势:支持数据安全态势感知、数据资源全景、敏感数据地图、数据使用流转、数据安全预警、异常行为发现、违规分级访问等;支持热力图、数据图表、趋势图、散点图等可视化效果;支持时间、地址、设备、应用、数据源等多维展示。
- (3)分级规则管理:支持分级规则制定、分级规则审核、分级规则下发、分级规则校验、分级规则目录和自动规则引擎等。
- (4)安全督察管理:支持事件响应、事件处置(阻断策略下发)、事件溯源、报告等。数据安全督察管理形成数据安全防护体系闭环,在发现安全事件后进行快速响应,根据事件类型或级别快速下发预制的阻断策略,将安全风险降至最低,事后通过溯源分析形成证据链和相应报告。
- (5)元数据管理:对元数据对象的各种属性、结构和关系进行管理,识别业务元数据、管理元数据、技术元数据、保密元数据等标识,支持手动添加、修改和删除。
- (6)数据源管理:对数据源进行验证,对数据接入过程进行记录,对数据源配置信息进行管理,支持手动添加数据源。
- (7)敏感数据管理:对存在敏感数据的数据源、数据库、数据表、数据字段及特殊业务属性等进行管理。通过管理元数据对工作中的敏感数据进行标识,通过保密元数据对国家安全、社会秩序和公共利益、个人隐私等数据进行标识。
- (8)用户行为管理:面向数据访问的用户行为管理(UEBA),根据安全规则进行异常行为分析并发现数据泄露风险,快速判定用户行为是否存在异常,并且进行预警。
- (9)协同联动管理:支持安全设备管理、阻断策略管理、安全告警管理、审计日志分析等。
- (10)数据泄露溯源管理:对数据泄露进行溯源分析,定位相关组织、人员、设备、IP、位置等信息,分析泄露路径和途径,还原数据泄露场景,形成分析报告。
5、安全事件态势
平台支持按照安全事件时间段从事件级别、区域分布、事件类型等方面对公安信息网中发生的安全事件进行多维深度分析,形成不同区域事件分布对比、安全事件发展趋势等分析数据,并支持无码化、可拖曳的视图态势展示。外部攻击态势主要关注来自全世界不同地区的安全事件,实时监控不同攻击源的地域分布和国家排行,掌握各攻击链阶段的威胁变化趋势和最新安全事件。
6、攻击态势
平台支持基于公安信息网中的流量信息、访问行为信息、事件分布信息等进行多维深度分析,形成包括攻击主体、攻击事件类型、攻击行为异常趋势、操作对象和处置状态等的分析数据,并支持无码化、可拖曳的视图态势展示。
攻击者追踪溯源可视化分析大屏为安全运维人员提供攻击行为分析、团伙分析、攻击取证信息、攻击趋势、攻击手段、攻击影响范围等信息,支持任意攻击者信息查询,可生成详细的攻击者溯源报告,并能够一键导出报告。
7、安全防护态势
平台支持基于安全防护引擎、安全防护策略、安全防护对象、安全事件处置情况等数据进行多维度分析;能够形成安全防护引擎分布、拦截阻断记录、网络带宽、事件处置进度等分析数据,并支持无码化、可拖曳的视图态势展示。
资产威胁溯源可视化分析大屏为安全运维人员提供被攻击行为分析、影响资产范围分析、攻击取证等信息,支持任意资产查询,可呈现被访问趋势、被攻击趋势、被攻击手段、资产状态、资产评分等信息。
8、威胁态势
平台支持基于内部攻击、漏洞信息、病毒、违规行为等数据进行多维度分析;能够形成内部跨安全域横向威胁方向、病毒蔓延趋势等分析数据,利用一系列可视化手段实现攻击拓扑关系,并支持无码化、可拖曳的视图态势展示。
横向威胁感知主要关注内部资产之间的违规操作和病毒传播,实时监控跨安全域的访问行为和业务系统访问情况,通过自由布局和圆形布局观测资产之间的威胁关系,及时发现并制止违规资产对内部网络环境造成的破坏。
0x2:功能层
1、资产管理
资产管理主要包含对主机、应用、终端、网络设备、安全设备及外设等网络信息相关的资产管理。主要实现的功能包括支持发现、注册、标记、梳理和管理等功能。
2、漏洞管理
漏洞管理主要是指在平台内设置本地漏洞库,接收大量的漏洞信息,用于与本地的资产进行匹配、安全事件关联分析等。主要的功能包括漏洞接收、漏洞审核、漏洞分析、漏洞修复及漏洞验证等。
3、基线管理
基线配置模块支持对基线的监测、整改、验证的闭环管理,包括
- 网络设备安全配置基线
- 安全设备安全配置基线
- 操作系统安全配置基线
- 数据库安全配置基线
- 中间件安全配置基线
- 云平台安全配置基线等
通过信息系统安全基线及基线核查策略库的构建,可以提升安全事件管理、预案管理、安全监测管理、安全通报管理的安全运行管理能力。
随着业务系统的不断变化,基线需要核查和更新,基线核查的主要研究内容就是如何通过机器语言,采用高效、智能的识别技术,以实现对网络资产设备自动化的安全配置检测和分析,并提供专业的安全配置建议与合规性报表,在提高安全配置检查的方便性、准确性并节省时间成本的同时,让安全配置维护工作变得有条不紊且易于操作。
4. 知识库管理
知识库为应急处置提供相关资料信息,包含常用命令、小技巧、漏洞分析等内容,以满足不同场景下对应急处置工具及相关知识的需求,辅助网络安全事件的取证溯源和快速恢复。具体包含以下内容。
- (1)安全大数据的知识库要包括:安全数据清洗规则库、安全标签库、告警规则库、机器学习算法库、威胁情报库、恶意代码库、IP地址库、漏洞信息库、资产指纹库等。
- (2)知识库应根据实际应用场景,周期性地进行更新、补充。
- (3)知识库的内容来源广泛、全面,具有代表性。
5、策略管理
策略控制实现对安全告警、安全风险、安全态势等信息的汇总,并进行关联分析、智能推理、分析研判和决策,形成安全防护控制策略和业务安全控制策略,基于决策结果进行服务的编排、调度和配置,包括业务安全策略控制和安全防护策略控制。
6、事件管理
对监测到的安全事件,按照不同安全事件级别进行应急响应处置,可对监测到的攻击事件进行合并汇总、分析研判等操作;可将攻击事件与取证应用相关联,获取事件相关的取证信息。
- 一是事件的发现与推送管理。根据安全事件的归属地原则,将系统自动发现的安全事件以自动推送的方式,将大数据分析形成的明确的安全事件以专家上报的方式,推送到事件发生地所属的组织机构,并由该组织完成事件的后续处置工作;支持安全事件的报警功能,包含重点应用系统安全状态报警、攻击事件报警、入侵检测报警、防火墙报警、网中网报警、病毒报警等。
- 二是事件处置工作台。支持多级用户的安全事件流转管理,如创建、上报、下发、核查、审核和办结等一系列操作;支持安全事件的访问和操作权限控制;支持基于特定事件的群组讨论功能;支持用户对事件的操作审计等功能;支持事件按区域的统计和考核功能;支持个人信息的管理,如个人贡献分的计算与系统中上报的事件挂钩。按个人贡献分排名,支持个人排名及等级信息查询;支持按照部门级别、岗位对安全事件的访问权限进行控制;支持按照部门级别、岗位对系统资源的访问权限进行控制;支持主用户、组织、角色和应用等平台正常运维所需的管理功能。
- 三是安全事件配置管理。支持对组织机构所管辖的IP地址段进行配置,实现事件创建时通过源IP地址关联区域,事件下发时绑定签收区域,针对某个组织机构可配置一个或多个IP地址段,新建时需要校验IP地址段是否与已配置的IP地址段有交叉;支持对组织机构的IP地址段进行查询、删除等操作;支持用户新增、编辑、删除安全事件类型;支持用户自定义安全事件类型的描述字段名称及字段类型;支持与处置流转相关的特定功能参数配置,如办结截止日期等。
在充分理解需求的基础上,为了提高处置效率和方便警员操作,专门针对发生的网络安全事件进行应急处置工作;分析总结网络安全事件成因,修复管理或技术隐患;形成安全事件高效率下发、处置,并对安全事件处理全过程、结果进行记录和管理,支持对安全威胁的录入、修改、删除操作,并标注热点事件,支持按预警等级、发现时间、单位、区域、热点、处置情况进行组合查询。
7、安全编排
将客户不同的系统或一个系统内部不同组件的安全能力通过可编程接口(API)和人工检查点,按照一定的逻辑关系组合到一起,用以完成某个特定的安全操作,达到安全编排的效果。
同时,通过可视化的剧本编辑器自定义编排安全操作的流程来实现自动化执行、人工编排及部分化(混合)编排。
0x3:数据层
1、数据源
数据源包括各类安全系统/模块等产生的告警数据、与安全相关的审计日志、安全取证的证据日志/文件、安全配置策略等数据,以及基础数据、知识数据等。
主要接入的数据包括安全基础设施、网络、终端、云平台、边界和业务应用等关键部位的相关数据。标准化数据如表3-2所示。
2、数据接入
数据接入主要设计针对安全应用所需数据的采集或接入功能,形成统一的安全基础数据资源,为后续安全应用的开发和运行提供数据支撑。
主要包含安全数据探查、安全数据定义、安全数据读取和安全数据对账四个数据接入流程,分别实现认识数据、元数据结构定义、获取数据、数据质量核对效验功能。
3、数据处理
数据处理模块按照数据接入阶段对安全数据的定义,在数据入库之前对杂乱的安全数据进行实时处理,提升数据价值密度,为安全数据应用实现数据增值、数据准备和数据抽象。
主要对采集到的数据实施清洗/过滤、标准化、关联补齐、添加标签等处理,并将标准数据加载到数据存储中,对于被标准化的数据应保存原始日志。
4、数据治理
安全数据治理模块作为安全大数据的核心功能之一,可以运行大数据分析平台中的所有组件,实现B/S架构下的全功能Web页面操作。
数据治理平台的整体逻辑框架如下图所示,首先通过数据集成工具从数据源采集并获取数据,在数据仓库里实现建立目录、主题、索引的存储,然后通过WebService接口调用仓库中存储的数据,构建并部署上层应用。
5、数据查询服务
数据查询服务提供安全数据的查询和管理能力,包括原始库、资源库、主题库、业务库、知识库,以及元数据、数据资源目录等数据。安全数据查询服务提供安全数据资源情况的查询接口,应用和程序可以通过统一的接口访问和查询权限范围内的安全数据;提供基于分布式存储的各类结构化和非结构化安全数据的多种查询接口,并提供全文检索功能。
安全数据查询服务支持精确查询、模糊查询、分类查询、组合查询、批量查询等多种查询方式,并支持返回数据统计汇总信息及数据摘要或明确信息。
0x4:基础层
1、物联网安全技术体系
物联网终端遍布于IT基础设施当中,尤其是监控设备、在线物联网设备等智能设备,这就决定了其通常有分散化、规模庞大、边界模糊等特点,极易受到黑客攻击和利用。因此,在安全方面的风险存在多个方面。我们必须从物联网终端自身的全面安全加固、准入严格管控及安全实时监测三个方面保障物联网终端的安全。
- (1)物联网终端全面安全加固。对于新接入的视频摄像头,优先选用符合国家安全标准的前端设备。同时,针对物联网终端的脆弱性,在安全运营的过程中,通过在终端设备中嵌入加固软件,对终端系统控制的动作指令和读写状态进行监控,建立进程、网络、文件关系分析模型,对内部数据的关系和完整性进行安全防护,并实现终端数据安全加密,将终端的安全风险和数据上传至安全运营中心,让中心的物联网态势感知平台实时监控各终端的安全状态。
- (2)终端准入严格管控。针对物联网终端的接入,确保仅有认证授权通过的、合法的终端能够接入网络。通过部署在网络边界的安全网关与物联网安全监测平台对发现的非法接入、非法替换等威胁行为进行联动,运营中心一线安全运营人员7×24小时随时对白名单资产进行放行,对黑名单资产进行阻断,以此保障只有认证通过的合法授权终端、授权允许的协议流量才能通过该设备,其他流量全部被阻断,从而保障物联网终端的合法、安全接入。
- (3)终端安全实时监测。安全运营中心实时或周期性地对视频监控网进行安全摸底检查,从网络资产快速摸底、设备弱口令、漏洞检测及网络边界检测等几个方面,对网络进行快速的扫描检测,及时发现存在的各类安全隐患,全面摸清视频监控网的安全现状,排查并督促整改重要网络安全隐患、安全风险和突出问题,掌握公共安全视频监控网整体网络安全态势,从而防止重大网络安全事件的发生。
2、云计算环境安全技术体系
1)态势感知与安全运营平台
态势感知与安全运营平台建设的核心目标是在基础架构安全和被动安全防御体系的基础上构建积极安全防御体系。以大数据采集及安全分析挖掘能力为基础,通过安全运营实现对威胁可视化展现、提前感知、分析研判、快速响应和追踪溯源。积极安全防御体系构建必须以基础架构安全体系和被动安全防御体系为基础,二者相互依存、相互促进。
整个态势感知与安全运营平台整体建设将从七个方面进行考虑:
- 数据采集与关联分析
- 数据计算与存储资源
- 大数据计算与分析能力
- 威胁情报驱动
- 基于规则链的自动检测
- 自动化的告警响应处置
- 调查分析及安全态势感知
2)安全接入管控系统建设
安全接入管控系统提供面向社会公众、政府部门工作人员、运维人员的统一身份认证、统一用户管理和统一访问控制服务。
3)云基础架构安全保障体系建设
通过对云平台的安全需求调研分析,建立一整套云平台安全保障体系,在建设过程中一定要遵循国家信息安全等级保护第三级要求和相关安全建设标准规范。云基础架构安全保障体系建设的目的在于,将全面提高信息安全管理水平和控制能力,适应并符合不断发展变化的业务新需求。
整个云基础架构安全保障体系的建设主要从三个方面进行考虑:
- 云基础平台侧安全
- 云服务客户侧安全
- 云运维管理侧安全
3、大数据安全技术体系
大数据安全可以从多个维度进行考虑:
- 底层基础架构安全
- 平台安全
- 数据安全
- 应用安全
- 网络通信安全
- 用户接入访问安全
一些大数据平台共享云计算基础架构,所以底层的基础架构安全可以由云基础架构安全保障体系统一构建。
在整个大数据平台安全保障体系内,安全防护首要考虑的就是对平台边界进行安全防护,在外部访问到大数据平台之前,通过平台边界安全检查(大数据平台的首道安全防线),直接暴露在外部。因此,至少需要实施访问控制、接入身份认证、边界入侵防护等安全措施。
4、应用系统安全技术体系
1)应用系统监测及防护
应用系统作为IT建设的最终交付窗口,其遭受的安全威胁也最为直接。
当前主流的应用系统均为B/S架构,所以对于应用系统的安全防护重点在于Web应用安全,包含对Web应用漏洞的全生命周期管理,针对Web漏洞攻击、SQL/XSS攻击、DDoS攻击/CC攻击的防护,针对网站可用性、更新率、挂马暗链、网站敏感词、钓鱼网站的监测及业务审计等内容。
中间件和数据库安全可参考业务平台的防护手段,如果有部分APP应用,则需要进行APP加固和源代码审计。
2)应用系统上线前评估
各业务应用系统经过设计、开发,在上线运行前需要开展应用层面的安全评估,主要从代码安全检测、渗透测试、APP安全检测三个方面检测安全设计及代码开发中存在的潜在风险,避免系统“带病”上线运行,从而保障网络整体安全。
5、安全态势感知技术体系
网络信息安全保障工作内容众多、涉及面较广,其核心是安全运营,为保证安全运营工作的高效开展,需要安全态势感知平台作为工具支撑。通过搜集云平台、电子政务内外网等各个边界的网络流量数据,依托全局日志采集器(主机、网络、平台、安全设备等),汇总整个区域的本地基础数据,将一体化态势感知与安全运营平台相结合,有效开展威胁持续监测、威胁分析研判、事件及时通告、快速响应处置与威胁追踪溯源等关键工作,一体化的态势感知与安全运营平台是区域性安全运营中心的统一监测响应与指挥调度中心。
针对当前国内外严峻的网络安全形势,提出智能网络安全事件分析的需求。为安全运营人员提供简单、实用、高效的安全数据平台,内置重点安全分析场景,重点发现高级别安全攻击、持续型攻击、顽固安全问题,采用大数据技术在更大量数据下以更全面、更透彻的方式分析安全威胁,综合提升安全运营中心应对高级安全威胁、隐蔽安全事件的能力。
建设安全态势要素的输出和整体安全态势可视化感知能力,实现预警通知效果,并对其范围、类型、危害以图形方式展示,为安全分析人员提供直观、强大、清晰的安全威胁预警信息,以及重大问题、事件的整体性报告,为安全运营人员提供可靠的数据支持。
大数据智能安全平台遵循“全面安全数据采集、高质量数据长期存储、数据开放、充分利用信息价值、不断扩充场景”的原则,按照“安全数据集中存储、基于实践开发安全场景”的方式进行建设,定位于为全网络提供安全威胁分析与预警能力、为安全运营中心提供“集中存储、不断扩充”的安全分析能力。