1 引言
随着移动互联网、物联网、云计算、大数据等新技术成为信息化新一轮发展的重要驱动力,迫切需要面向网络空间安全的监测预警和应急响应服务平台,实现网络安全态势感知、监测预警、应急处置和灾难恢复的一体化运作。
2 云应急服务
2.1 高性能云计算技术
云计算技术应用环境下,用户可以利用云端大型服务器的资源优势进行数据计算,通过对存储资源、计算资源的虚拟化处理和统一整合,云端服务商可以实现对硬件资源的按需分配,用户以较低廉的成本使用云端服务器、存储设备和各类应用程序;通过对信息资源进行统一标准化。
利用云安全应急服务平台,可防止诸如XSS、SQL注入、木马、漏洞攻击、僵尸网络等各种安全问题,同时,采用跨运营商智能调度、页面优化、页面缓存等技术,进一步提升访问速度、降低故障率,为用户提供服务式的信息安全。
2.2 云应急服务
信息安全应急管理是以云应急服务平台为技术支撑,系统采用先进的云计算分布式计算技术,将信息安全应急以在线服务方式提供给用户,用户的安全防护和应急处理的压力转移到云端。云应急服务平台可实现统一调配应急资源来实现应急响应、协同,直接面对攻击时可采取应急措施,将流量智能的分发到其它安全服务节点,避免传统安全中单台设备瓶颈或宕机导致服务不可用情况,安全应急服务因云计算而强大。
云安全应急服务是将用户的DNS切换到云平台,通过智能解析将用户流量引导至最近的云端节点,云端节点承载用户请求并过滤流量,为用户提供监控预警功能。云安全应急服务平台以分布式计算为基础云架构,采用多线智能解析调度,将单点Web资源动态负载至云端节点,高性能的云端节点可以承载高并发的用户请求,进行流量监控和分析。云安全应急平台网络架构分为中心和边缘两部分,中心是平台中的智能DNS系统和应急响应系统,主要负责发生信息安全事件的应急处置;边缘是分布在各地的节点,是信息内容的分发载体,由安全保护、Web优化、Cache和负载均衡器组成,主要实现监控预警功能,保障用户的正常应用。
3 系统总体架构
云应急系统可以部署在公有或私有云上,为广大电子政务或中小企业用户服务,通过云平台为用户提供日常的监测预警功能,并通过应急响应机制及时地确定与评估突发事件,有效、快速地对事态进行控制,保持事件发生后能够可靠地恢复,确保关键信息服务在面临各种威胁与攻击时仍然维持良好的运转。云应急服务平台采用主流的三层系统架构,如图1所示,分为为云应急技术支撑层、云应急服务层和应急业务层。
(1)技术支撑层。主要是指基础设施,包括支持系统运行所需的基本硬件、基础软件平台和网络设施。硬件主要包括各种服务器(数据服务器、应用服务器和Web服务器)以及相关的存储备份设备、防火墙及入侵检测设备。基础软件包括各种操作系统、数据库平台、中间件和其他系统平台。
(2)应用服务层。应用支撑平台是构筑在基础软件和数据资源之上,为应用系统提供支撑环境,实现应用系统共有的、与具体业务无关的功能,主要包括通讯服务、安全认证、日志管理、数据备份等。数据资源主要用来存储和管理平台涉及到的所有数据,内部封装了应急管理活动及其数据、知识、物资、人员等资源,可对服务进行高性能检索和调度,实现应急业务信息(如应急预案库、案例库、物资库、队伍库、专家库、模型库、病毒库等)的全面整合,它不仅包括各类数据在数据库中的存储内容、组织方式和存储机制,还指明了数据的管理模式和入库更新机制。
(3)业务层。应急平台功能模块划分监测预警、日常安全管理和应急响应三大模块,实现具体的业务应用。监测预警业务包括对云端用户的漏洞检测、入侵检测和智能分析;日常安全管理主要业务包括应急值守、预案管理、风险评估和应急资源;应急响应包括安全事件处置、事故恢复、事件统计分析和信息发布。
4 主要功能实现
信息安全应急系统设计的核心思想是在日常管理、监控预警、应急响应基本工作上,强化统一业务工作流的概念,云应急系统软件架构采用面向服务SOA的架构来实现,应用层采用组件技术MVC进行构建,具有很强的灵活性和兼容性,能很好地符合云应急模式的特征。
4.1 监控预警
主要对接入云端的网站或重要信息系统进行安全评估、脆弱性发现,对潜在风险进行分析并及时发出预警报告,包括渗透性测试、漏洞扫描、流量分析。
云应急服务平台可对监控对象进行安全评估,渗透测试是通过模拟黑客的攻击手段,来评估计算机网络系统安全和应用安全。这个过程包括对系统漏洞、应用漏洞、配置弱点和技术缺陷进行主动分析,完全以黑客的角色对测试目标展开全面技术攻击,并且可对预警事件进行实时监控、查询;同时还能根据资产的机密性价值、可用性价值、完整性价值、物理价值和威胁事件实时计算每个资产的风险值;支持漏洞扫描,对网站进行文件上传监测和注入监测;并支持对网络流量进行分析,判断;对整体的安全性进行评估。
4.2 应急值守
借助监控预警系统,在云端通过日志采集、流量采集、内容采集、漏洞扫描等多种技术手段获取安全信息,实时监控网络的安全态势,通过数据聚合、智能行为分析、专家团队综合研判信息系统的安全风险和安全事件,可根据事件信息实现事件的分类分级,自动关联事件处置预案和处置流程,并由值班人员对安全事件进行事件信息报送、处置跟踪、事件归档、事件处置管理等。
信息安全事件管理涉及查看所有的事件,包括高风险事件、低风险事件、历史事件和实时事件;按照不同的安全信息来源进行分类,例如可以分为Unix主机、Windows主机、路由器和交换机、防火墙、NIDS等;可查看所有的实时事件,提供过滤功能,只显示符合过滤条件的事件,过滤条件可以自定义,并且依据设定的审计策略对标准化的安全事件进行审计分析。
4.3 应急资源管理
信息安全应急资源的管理包括机房、重要设备设施、网络、工具软件、应急设备、应急专家、救援小组、应急知识、历史事件、法律法规等应急资源信息的管理。
通过建立应急资源数据库,包括IT基础设施数据库、关键应用系统数据库、应急预案库、应急专家数据库、通讯录、安全事件信息库、政策法规数据库、应急管理的基础数据。云端用户的应急管理人员,通过登录应急管理门户,利用应急资源,完成信息安全风险分析、业务影响分析、安全事件的预警预报管理。
安全知识库包括安全知识文章、漏洞库、病毒库、补丁库、安全事件案例库等。系统预置了大量的安全知识文章,包括安全知识、安全通告等。
4.4 风险管理
信息安全风险管理以资产为核心,结合等级保护中关于资产的价值、脆弱性、威胁,并按照相关标准分析资产风险及风险变化情况,给出降低风险的解决方案。
风险分析参照了国际安全管理标准中的“预定义风险价值矩阵法”。确定目标信息资产的价值、威胁发生的概率、脆弱性被威胁利用的概率,把风险进行量化。主要思想就是通过降低风险来减少安全事件的发生,有效提升组织的安全性。风险管理协助管理员在最短时间内找出对组织重要资产有严重影响的脆弱点,并提供解决方案,帮助管理员对脆弱点做出正面积极的响应,预防可能发生的损害。
4.5 预案管理
建立各类信息安全事件应急预案并实现应急预案的数字化,在信息安全事件发生时,自动关联相关应急预案,应急人员参照预案完成信息安全事件应急处置。应急预案规制定包括:应急预案规划方案、应急预案程序、应急预案编制清单、恢复计划编制清单、应急预案规划报告、应急预案规划记录等。
数字化预案是将文本内容的预案通过结构化方法转化为可以为应急指挥提供指导意义的预案,按照适用范围、组织体系与职责分工、分类分级、应急资源、处置方法等应急相关信息、及应急流程信息进行分项数字化。
4.6 应急响应
应急响应是对监测分析发现的事件,协调各类技术资源,协助事发用户、关联单位和相关机构及时对信息安全威胁、预警及事件进行有效处理。信息安全应急响应与辅助决策系统围绕各类信息安全事件(有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件),以应急预案为核心,实现信息安全事件的处置跟踪、指挥调度和总结评估等功能。辅助决策功能使用户在处理安全事件时能够采用数字化预案,系统会根据事件的信息自动匹配预案,由用户决定是否对事件进行处理及如何处理,形成最终应急处置方案,动态实现安全策略的调整,最终保障网络的安全运行。
5 结束语
云计算技术具有强大的数据处理能力,同时可以优化资源配置,节省成本,提高资源利用效率,在云计算环境下信息安全应急系统特别重要,但目前没有一个标准的、规范的模式,特别是对信息数据的定义、来源、梳理、存储和共享都还没有统一认识,这些是以后需要进一步研究的问题。
作者:汤祥州 郑绵彬 俞维露 来源:网络空间安全 2016年6期