作者最近考察了一些民营的专业信息安全公司,参加了他们有关信息安全发展思路的讨论,并听取了公司战略主管的介绍,感到很有启发,特将其中的部分思路梳理出来,供从事信息安全建设的单位和同行参考。
1 引言
近年来,随着我国网络安全法制化的进程不断加快和网络安全防护技术发展及网络安全人才培养机制的逐步完善,我国关键基础网络和重要信息系统的安全防护能力有了很大的增强。为我国建设网络强国的战略规划奠定了良好的保障基础。然而,随着网络攻击技术的不断发展,我国仍然面临着形形色色、层出不穷的网络安全风险。
2016年4月19日中央在北京召开了《网络安全与信息化工作座谈会》,会上习近平主席发表了重要讲话,在总结网络安全与信息化的关系一节中提到:“加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”习主席的讲话为我国信息安全技术的发展提出了明确的目标。
在目前形势下,单位和企业如何规划下一步的信息安全建设,完善已有的信息安全保障系统,提高现有的信息和网络安全设备的管理水平,使其发挥最大的效能。是摆在每一位信息安全主管领导面前的新课题。在这里,我们提出一个提高信息安全管理水平的思路,供从事信息安全管理的领导和技术人员参考。
2 总体思路
2.1 政策依据
(1)GB 17859-1999计算机信息系统安全保护等级划分准则:
(2)GB/T 20269-2006信息安全技术信息系统安全管理要求:
(3)GB/T 20278-2006信息安全技术网络脆弱性扫描产品技术要求:
(4)GB/T 20275-2006信息安全技术入侵检测系统技术要求和测试评价方法:
(5)GB/T 20945-2007信息安全技术信息系统安全审计产品技术要求和测试评价方法:
(6)GB/T 20984-2007信息安全技术信息安全风险评估规范;
(7)GB/Z 20985-2007信息安全技术信息安全事件管理指南:
(7)GB/T22080-2008信息安全技术信息安全管理体系要求;
(8)GB/T22081-2008信息安全技术信息安全管理实用规则:
(10)GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求:
(11)GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南。
2.2 技术思路
建设和优化信息安全防护平台和可视化运维管理平台,深入开展信息安全服务;技术思路可概括为建设“两个平台一个服务”。
2.3 系统逻辑架构
系统逻辑架构如图1所示。
3 设计方案
3.1 信息安全防护平台的组成
信息安全防护平台应用模块如图2所示,包括但不限于八个模块。
下一代防火墙:企业和单位根据自身资金投入现状,对第一代防火墙进行升级和更新换代,选购符合行业标准GA/T 1177-2014《第二代防火墙安全技术要求》的千兆和万兆新一代防火墙。
下一代入侵检测和入侵防护系统:企业和单位根据自身资金投入现状,对第一代入侵检测和防护系统进行升级和更新换代,应选购可对全协议栈业务数据流进行解码和规范化并可动态进行攻击特征库比对的新一代入侵检测和防护系统。
高级逃逸技术防护:该模块附有高级逃逸攻击特征库,与入侵检测和防护系统配合使用,可有效地发现和防护高级逃逸技术攻击。
主机安全加固:按照等级保护的技术要求和主机加固技术规范及各企业、单位所订的安全基线进行安全加固。
Web应用防火墙:对Web访问的要求进行内容过滤,消除SQL注入、网页挂马、目录遍历、恶意邮件等窃取、篡改用户数据的应用访问。
病毒防御系统:通过病毒墙和主机自动检测,阻断和消除由网络、各种介质注入的病毒和恶意代码。
数据安全防护系统:通过对数据库、主机硬盘等数据的加密存储和加密传输,保障用户数据的安全。
终端安全系统:通过网络的集中管理,使网络终端具有统一的安全策略,以避免非法接入和非授权互访。
3.2 可视化运维管理平台的组成
可视化运维管理平台如图3所示,包括但不限于六个模块。
运维基础架构管理:网络管理、系统管理和应用管理。网络管理内容有单纯的网元连通性管理和拓扑展示。网元包括路由器、交换机和各种网络终端(含安全设备),显示的网元参数有(端口、连通性和流量等)。系统管理内容有操作系统、CPU、内存、磁盘空间和服务器性能状态监测等。应用管理内容有数据库(表空间、连接数、事务响应等),中间件,Web服务器,E-mail服务器和安全设备等应用情况。
IT服务管理:IT服务管理是融合了网络管理、主机系统管理、应用服务管理等各种IT因素的统一管理,IT服务管理模块定义各种复杂的逻辑业务视图,并把这些服务关联到相应的IT设备上并要求上述各项管理数据的共享集中,互通互融,按着业务所依赖的IT服务资源建立模型,通过模型能够综合量化IT服务的总体服务品质。
网络准入管理:在网络主交换机和后台认证服务器上设置网络准入规则,阻止外部计算机进入内部网络,以防止外部非授权访问和内部信息的泄露。
运维3D全景展示:网络主管理监视器通过SNMP/Agent/SSH/JDBC协议和方式采集网络设备、网络安全设备、部分业务应用及互联网服务的状态信息,实时显示网络物理拓扑、IT业务架构视图。
APM应用性能管理:模块核心的概念是从业务角度来管理IT元素。用户IT架构从网络、系统、应用和业务每个环节、每个节点、每个应用性能的好坏都直接影响到网络和业务的正常运行。模块采集和分析各个rr元素的性能数据,并最终通过SLA机制和业务视图科学的映射出用户业务的可用性和健康性。
安全运维审计系统:模块是整个IT系统的堡垒机,系统功能包括日志/事件采集、日志/事件范式化、实时关联分析、资产管理、脆弱性管理、实时监测告警、统计报表等功能。模块在基于规则的实时关联分析基础上,引入大数据的历史关联分析能力,能进行流量、行为、内容的异常分析和基于模式识别的关联分析及基于安全基线的异常检测,可发现APT和高级逃逸攻击的蛛丝马迹。
3.3 信息安全服务的内容
信息安全服务的内容如图4所示,包括但不限于十一个模块。
信息安全风险评估:按《GB/T 20984-2007信息安全技术信息安全风险评估规范》实施。
内网区域安全防护服务:在内网部署桌面管理系统和WAF防火墙,定期对内网进行漏洞扫描,在此基础上对存有漏洞的主机逐个进行技术加固,使其达到相应的安全等级要求。
云计算安全服务:按国标《GB/T 31167-2014信息安全技术云计算服务安全指南》和《GB/T 31168-2014信息安全技术云计算服务安全能力要求》实施。
安全培训服务:安全形势介绍、安全标准宣贯、信息安全检测和防护技术培训。
网络入侵检测与安全隐患分析:使用自动测试工具或人工分析用户系统中IDS/IPS检测日志。发现有无AET/APT攻击的蛛丝马迹。
安全运维与安全审计:使用自动测试工具或人工分析用户系统中各种日志,查找系统中存在的安全脆弱性和漏洞。
可视化综合运维服务:为用户搭建可视化综合运维的管理系统提供软硬件设备。
信息安全体系建设规划:在对用户IT系统风险评估基础上,按国标《GB/T22080-2008
信息安全技术信息安全管理体系要求》和《GB/T22081-2008信息安全技术信息安全管理实用规则》实施。
安全风险实时监控:此模块属于信息安全专业化服务范畴。在企业主干网接人端部署分光器或在企业网门户网站入口旁路部署监测系统,实时检测各种类型的攻击。在企业主干网出口部署恶意代码检测系统,拦截和记录窃密软件回传的信息,并定期向企业发出信息安全预警公告。
信息安全应急处理:此模块属于信息安全专业化服务范畴。能够实施此服务的信息安全公司或国家信息安全检查单位需编制有专业的信息安全应急分队,具体处置按国标《GB/T 20988-2007信息安全技术信息系统灾难恢复规范》实施。
信息安全态势感知与预测:该模块收集所有监测点信息并汇集各种安全设备发来的信息安全事件,这些信息包括格式化、半格式化和非格式化数据,通过归一化处理后,与各种应用协议规范化模式库进行比对,通过数学模型计算,筛选出疑似的异常信息,标明来源地和目标点,显示在带有用户所在地地理信息系统的大屏幕上,形成用户网络与信息系统安全态势图,供信息安全管理人员参考和辅助决策。资金充足的企业也可借助全球威胁智能感知系统(GTI)提供的实时SaaS云安全服务达到信息安全态势感知和预测的目标。
4 结束语
综上所述,两个平台模块采用的信息安全技术在我国信息安全行业大多都已是成熟的技术,我国重要的信息系统和基础网络,尤其是“8+2”行业,基本都已建有信息安全防护平台和运维管理平台;信息安全服务在我国也已开展了近十年,国内知名的民营信息安全专业公司和国家专控的信息安全机构每年都开展此项服务,许多服务内容和流程在业界也是耳熟能详。“两个平台一个服务”实质上是对前些年信息安全建设的成果进行优化组合和更新换代,目的是使我国的信息安全防护技术更加实用,使我国的信息安全服务更贴近企业的业务应用并满足企业的信息安全需求。我们相信,通过“两个平台一个服务”的建设必将进一步提高我国信息安全管理水平。
作者:徐金伟 来源:网络空间安全 2016年5期
