新形式下進(jìn)一步提高信息安全管理水平的思路

徐金偉

[摘要]作者最近考察了一些民營的專業(yè)信息安全公司，參加了他們有關(guān)信息安全發(fā)展思路的討論，并聽取了公司戰(zhàn)略主管的介紹，感到很有啟發(fā)，特將其中的部分思路梳理出來，供從事信息安全建設(shè)的單位和同行參考。

[關(guān)鍵詞]信息安全發(fā)展思路；兩個(gè)平臺一個(gè)服務(wù)

1 引言

近年來，隨著我國網(wǎng)絡(luò)安全法制化的進(jìn)程不斷加快和網(wǎng)絡(luò)安全防護(hù)技術(shù)發(fā)展及網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制的逐步完善，我國關(guān)鍵基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護(hù)能力有了很大的增強(qiáng)。為我國建設(shè)網(wǎng)絡(luò)強(qiáng)國的戰(zhàn)略規(guī)劃奠定了良好的保障基礎(chǔ)。然而，隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展，我國仍然面臨著形形色色、層出不窮的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2016年4月19日中央在北京召開了《網(wǎng)絡(luò)安全與信息化工作座談會(huì)》，會(huì)上習(xí)近平主席發(fā)表了重要講話，在總結(jié)網(wǎng)絡(luò)安全與信息化的關(guān)系一節(jié)中提到：“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力?！绷?xí)主席的講話為我國信息安全技術(shù)的發(fā)展提出了明確的目標(biāo)。

在目前形勢下，單位和企業(yè)如何規(guī)劃下一步的信息安全建設(shè)，完善已有的信息安全保障系統(tǒng)，提高現(xiàn)有的信息和網(wǎng)絡(luò)安全設(shè)備的管理水平，使其發(fā)揮最大的效能。是擺在每一位信息安全主管領(lǐng)導(dǎo)面前的新課題。在這里，我們提出一個(gè)提高信息安全管理水平的思路，供從事信息安全管理的領(lǐng)導(dǎo)和技術(shù)人員參考。

2 總體思路

2.1 政策依據(jù)

（1）GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則：

（2）GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求：

（3）GB/T 20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求：

（4）GB/T 20275-2006信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試評價(jià)方法：

（5）GB/T 20945-2007信息安全技術(shù)信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測試評價(jià)方法：

（6）GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范；

（7）GB/Z 20985-2007信息安全技術(shù)信息安全事件管理指南：

（7）GB/T22080-2008信息安全技術(shù)信息安全管理體系要求；

（8）GB/T22081-2008信息安全技術(shù)信息安全管理實(shí)用規(guī)則：

（10）GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求：

（11）GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南。

2.2 技術(shù)思路

建設(shè)和優(yōu)化信息安全防護(hù)平臺和可視化運(yùn)維管理平臺，深入開展信息安全服務(wù)；技術(shù)思路可概括為建設(shè)“兩個(gè)平臺一個(gè)服務(wù)”。

2.3 系統(tǒng)邏輯架構(gòu)

系統(tǒng)邏輯架構(gòu)如圖1所示。

3 設(shè)計(jì)方案

3.1 信息安全防護(hù)平臺的組成

信息安全防護(hù)平臺應(yīng)用模塊如圖2所示，包括但不限于八個(gè)模塊。

下一代防火墻：企業(yè)和單位根據(jù)自身資金投入現(xiàn)狀，對第一代防火墻進(jìn)行升級和更新?lián)Q代，選購符合行業(yè)標(biāo)準(zhǔn)GA/T 1177-2014《第二代防火墻安全技術(shù)要求》的千兆和萬兆新一代防火墻。

下一代入侵檢測和入侵防護(hù)系統(tǒng)：企業(yè)和單位根據(jù)自身資金投入現(xiàn)狀，對第一代入侵檢測和防護(hù)系統(tǒng)進(jìn)行升級和更新?lián)Q代，應(yīng)選購可對全協(xié)議棧業(yè)務(wù)數(shù)據(jù)流進(jìn)行解碼和規(guī)范化并可動(dòng)態(tài)進(jìn)行攻擊特征庫比對的新一代入侵檢測和防護(hù)系統(tǒng)。

高級逃逸技術(shù)防護(hù)：該模塊附有高級逃逸攻擊特征庫，與入侵檢測和防護(hù)系統(tǒng)配合使用，可有效地發(fā)現(xiàn)和防護(hù)高級逃逸技術(shù)攻擊。

主機(jī)安全加固：按照等級保護(hù)的技術(shù)要求和主機(jī)加固技術(shù)規(guī)范及各企業(yè)、單位所訂的安全基線進(jìn)行安全加固。

Web應(yīng)用防火墻：對Web訪問的要求進(jìn)行內(nèi)容過濾，消除SQL注入、網(wǎng)頁掛馬、目錄遍歷、惡意郵件等竊取、篡改用戶數(shù)據(jù)的應(yīng)用訪問。

病毒防御系統(tǒng)：通過病毒墻和主機(jī)自動(dòng)檢測，阻斷和消除由網(wǎng)絡(luò)、各種介質(zhì)注入的病毒和惡意代碼。

數(shù)據(jù)安全防護(hù)系統(tǒng)：通過對數(shù)據(jù)庫、主機(jī)硬盤等數(shù)據(jù)的加密存儲(chǔ)和加密傳輸，保障用戶數(shù)據(jù)的安全。

終端安全系統(tǒng)：通過網(wǎng)絡(luò)的集中管理，使網(wǎng)絡(luò)終端具有統(tǒng)一的安全策略，以避免非法接入和非授權(quán)互訪。

3.2 可視化運(yùn)維管理平臺的組成

可視化運(yùn)維管理平臺如圖3所示，包括但不限于六個(gè)模塊。

運(yùn)維基礎(chǔ)架構(gòu)管理：網(wǎng)絡(luò)管理、系統(tǒng)管理和應(yīng)用管理。網(wǎng)絡(luò)管理內(nèi)容有單純的網(wǎng)元連通性管理和拓?fù)湔故尽＞W(wǎng)元包括路由器、交換機(jī)和各種網(wǎng)絡(luò)終端（含安全設(shè)備），顯示的網(wǎng)元參數(shù)有（端口、連通性和流量等）。系統(tǒng)管理內(nèi)容有操作系統(tǒng)、CPU、內(nèi)存、磁盤空間和服務(wù)器性能狀態(tài)監(jiān)測等。應(yīng)用管理內(nèi)容有數(shù)據(jù)庫（表空間、連接數(shù)、事務(wù)響應(yīng)等），中間件，Web服務(wù)器，E-mail服務(wù)器和安全設(shè)備等應(yīng)用情況。

IT服務(wù)管理：IT服務(wù)管理是融合了網(wǎng)絡(luò)管理、主機(jī)系統(tǒng)管理、應(yīng)用服務(wù)管理等各種IT因素的統(tǒng)一管理，IT服務(wù)管理模塊定義各種復(fù)雜的邏輯業(yè)務(wù)視圖，并把這些服務(wù)關(guān)聯(lián)到相應(yīng)的IT設(shè)備上并要求上述各項(xiàng)管理數(shù)據(jù)的共享集中，互通互融，按著業(yè)務(wù)所依賴的IT服務(wù)資源建立模型，通過模型能夠綜合量化IT服務(wù)的總體服務(wù)品質(zhì)。

網(wǎng)絡(luò)準(zhǔn)入管理：在網(wǎng)絡(luò)主交換機(jī)和后臺認(rèn)證服務(wù)器上設(shè)置網(wǎng)絡(luò)準(zhǔn)入規(guī)則，阻止外部計(jì)算機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò)，以防止外部非授權(quán)訪問和內(nèi)部信息的泄露。

運(yùn)維3D全景展示：網(wǎng)絡(luò)主管理監(jiān)視器通過SNMP/Agent/SSH/JDBC協(xié)議和方式采集網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、部分業(yè)務(wù)應(yīng)用及互聯(lián)網(wǎng)服務(wù)的狀態(tài)信息，實(shí)時(shí)顯示網(wǎng)絡(luò)物理拓?fù)?、IT業(yè)務(wù)架構(gòu)視圖。

APM應(yīng)用性能管理：模塊核心的概念是從業(yè)務(wù)角度來管理IT元素。用戶IT架構(gòu)從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和業(yè)務(wù)每個(gè)環(huán)節(jié)、每個(gè)節(jié)點(diǎn)、每個(gè)應(yīng)用性能的好壞都直接影響到網(wǎng)絡(luò)和業(yè)務(wù)的正常運(yùn)行。模塊采集和分析各個(gè)rr元素的性能數(shù)據(jù)，并最終通過SLA機(jī)制和業(yè)務(wù)視圖科學(xué)的映射出用戶業(yè)務(wù)的可用性和健康性。

安全運(yùn)維審計(jì)系統(tǒng)：模塊是整個(gè)IT系統(tǒng)的堡壘機(jī)，系統(tǒng)功能包括日志/事件采集、日志/事件范式化、實(shí)時(shí)關(guān)聯(lián)分析、資產(chǎn)管理、脆弱性管理、實(shí)時(shí)監(jiān)測告警、統(tǒng)計(jì)報(bào)表等功能。模塊在基于規(guī)則的實(shí)時(shí)關(guān)聯(lián)分析基礎(chǔ)上，引入大數(shù)據(jù)的歷史關(guān)聯(lián)分析能力，能進(jìn)行流量、行為、內(nèi)容的異常分析和基于模式識別的關(guān)聯(lián)分析及基于安全基線的異常檢測，可發(fā)現(xiàn)APT和高級逃逸攻擊的蛛絲馬跡。

3.3 信息安全服務(wù)的內(nèi)容

信息安全服務(wù)的內(nèi)容如圖4所示，包括但不限于十一個(gè)模塊。

信息安全風(fēng)險(xiǎn)評估：按《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》實(shí)施。

內(nèi)網(wǎng)區(qū)域安全防護(hù)服務(wù)：在內(nèi)網(wǎng)部署桌面管理系統(tǒng)和WAF防火墻，定期對內(nèi)網(wǎng)進(jìn)行漏洞掃描，在此基礎(chǔ)上對存有漏洞的主機(jī)逐個(gè)進(jìn)行技術(shù)加固，使其達(dá)到相應(yīng)的安全等級要求。

云計(jì)算安全服務(wù)：按國標(biāo)《GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南》和《GB/T 31168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》實(shí)施。

安全培訓(xùn)服務(wù)：安全形勢介紹、安全標(biāo)準(zhǔn)宣貫、信息安全檢測和防護(hù)技術(shù)培訓(xùn)。

網(wǎng)絡(luò)入侵檢測與安全隱患分析：使用自動(dòng)測試工具或人工分析用戶系統(tǒng)中IDS/IPS檢測日志。發(fā)現(xiàn)有無AET/APT攻擊的蛛絲馬跡。

安全運(yùn)維與安全審計(jì)：使用自動(dòng)測試工具或人工分析用戶系統(tǒng)中各種日志，查找系統(tǒng)中存在的安全脆弱性和漏洞。

可視化綜合運(yùn)維服務(wù)：為用戶搭建可視化綜合運(yùn)維的管理系統(tǒng)提供軟硬件設(shè)備。

信息安全體系建設(shè)規(guī)劃：在對用戶IT系統(tǒng)風(fēng)險(xiǎn)評估基礎(chǔ)上，按國標(biāo)《GB/T22080-2008

信息安全技術(shù)信息安全管理體系要求》和《GB/T22081-2008信息安全技術(shù)信息安全管理實(shí)用規(guī)則》實(shí)施。

安全風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控：此模塊屬于信息安全專業(yè)化服務(wù)范疇。在企業(yè)主干網(wǎng)接人端部署分光器或在企業(yè)網(wǎng)門戶網(wǎng)站入口旁路部署監(jiān)測系統(tǒng)，實(shí)時(shí)檢測各種類型的攻擊。在企業(yè)主干網(wǎng)出口部署惡意代碼檢測系統(tǒng)，攔截和記錄竊密軟件回傳的信息，并定期向企業(yè)發(fā)出信息安全預(yù)警公告。

信息安全應(yīng)急處理：此模塊屬于信息安全專業(yè)化服務(wù)范疇。能夠?qū)嵤┐朔?wù)的信息安全公司或國家信息安全檢查單位需編制有專業(yè)的信息安全應(yīng)急分隊(duì)，具體處置按國標(biāo)《GB/T 20988-2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》實(shí)施。

信息安全態(tài)勢感知與預(yù)測：該模塊收集所有監(jiān)測點(diǎn)信息并匯集各種安全設(shè)備發(fā)來的信息安全事件，這些信息包括格式化、半格式化和非格式化數(shù)據(jù)，通過歸一化處理后，與各種應(yīng)用協(xié)議規(guī)范化模式庫進(jìn)行比對，通過數(shù)學(xué)模型計(jì)算，篩選出疑似的異常信息，標(biāo)明來源地和目標(biāo)點(diǎn)，顯示在帶有用戶所在地地理信息系統(tǒng)的大屏幕上，形成用戶網(wǎng)絡(luò)與信息系統(tǒng)安全態(tài)勢圖，供信息安全管理人員參考和輔助決策。資金充足的企業(yè)也可借助全球威脅智能感知系統(tǒng)（GTI）提供的實(shí)時(shí)SaaS云安全服務(wù)達(dá)到信息安全態(tài)勢感知和預(yù)測的目標(biāo)。

4 結(jié)束語

綜上所述，兩個(gè)平臺模塊采用的信息安全技術(shù)在我國信息安全行業(yè)大多都已是成熟的技術(shù)，我國重要的信息系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)，尤其是“8+2”行業(yè)，基本都已建有信息安全防護(hù)平臺和運(yùn)維管理平臺；信息安全服務(wù)在我國也已開展了近十年，國內(nèi)知名的民營信息安全專業(yè)公司和國家?？氐男畔踩珯C(jī)構(gòu)每年都開展此項(xiàng)服務(wù)，許多服務(wù)內(nèi)容和流程在業(yè)界也是耳熟能詳?！皟蓚€(gè)平臺一個(gè)服務(wù)”實(shí)質(zhì)上是對前些年信息安全建設(shè)的成果進(jìn)行優(yōu)化組合和更新?lián)Q代，目的是使我國的信息安全防護(hù)技術(shù)更加實(shí)用，使我國的信息安全服務(wù)更貼近企業(yè)的業(yè)務(wù)應(yīng)用并滿足企業(yè)的信息安全需求。我們相信，通過“兩個(gè)平臺一個(gè)服務(wù)”的建設(shè)必將進(jìn)一步提高我國信息安全管理水平。