安全事件生命周期管控管理及技術要點

◆蔡曉志 張賀勛 徐 揚 蔣志鵬 賴樂揚

安全事件生命周期管控管理及技術要點

◆蔡曉志 張賀勛 徐 揚 蔣志鵬 賴樂揚

（北京天融信網(wǎng)絡安全技術有限公司 北京 100083）

伴隨著互聯(lián)網(wǎng)的快速發(fā)展，各類型安全事件層出不窮，這對于業(yè)務的開展有著巨大的影響。傳統(tǒng)的應對策略往往是通過事件發(fā)生前技術層面的檢測來降低安全風險，缺乏統(tǒng)一而科學的思路。本文通過以安全事件識別為始發(fā)點，以安全事件生命周期為思路，以安全管理和安全技術為支撐，構(gòu)建安全事件生命周期管控體系。

安全事件；生命周期；安全管理；安全技術

1 背景

伴隨著互聯(lián)網(wǎng)的快速發(fā)展，無論是傳統(tǒng)還是新型的業(yè)務對于互聯(lián)網(wǎng)的依賴程度都是越來越高，與此同時，各類型的安全事件卻是層出不窮：拒絕服務攻擊、Web漏洞攻擊、蠕蟲攻擊、病毒入侵等。在黑客入門門檻持續(xù)降低的今天，可以預見未來的安全事件將呈現(xiàn)更加高發(fā)的態(tài)勢。

在這種形勢下，迫切需要采用新的思路進行管控：以安全事件識別為始發(fā)點，以安全生命周期為思路，以安全管理和安全技術為支撐，全方位開展安全事件管控。

2 安全事件識別

安全事件識別是安全事件生命周期管理的始發(fā)點，它通常包括兩種方法：

（1）知識積累或傳遞的安全事件類型

此種識別方式識別出來的事件類型，具有鮮明的行業(yè)特性和針對性，也更加符合行業(yè)實際安全威脅。知識的來源通常包括兩種：相關部門識別的行業(yè)內(nèi)出現(xiàn)概率較大的安全事件類型、組織內(nèi)部經(jīng)驗積累。

（2）風險評估角度識別的安全事件類型

此種識別方式識別出來的事件類型，是從資產(chǎn)角度上延伸出來的，往往具有較大的普遍性。根據(jù)資產(chǎn)的類型，可以分為6個類型：數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)、服務資產(chǎn)、人員資產(chǎn)、其他資產(chǎn)。

每一種資產(chǎn)，都有它特有的脆弱性及威脅，當它們綜合交互時，就可能發(fā)生安全事件。

上述兩種安全事件的識別方式，可以綜合使用，以更加全面的識別可能出現(xiàn)的安全事件。

2.1安全管理要點

（1）事件發(fā)生前檢測

組織需要從管理規(guī)范層面，確定組織內(nèi)部適用的檢測要求，控制安全事件相關要素，降低安全事件發(fā)生的概率，工作包括：

①規(guī)范內(nèi)部規(guī)程，規(guī)范對于資產(chǎn)的操作、維護和檢查等工作，保證運維操作有據(jù)可依，有據(jù)必依，并配備審計機制。

②周期開展人員培訓，包括全員安全意識培訓、安全運維培訓、安全法規(guī)培訓等，提高安全意識和安全技術水平。

（2）事件發(fā)生中監(jiān)測

組織需要在管理規(guī)范層面，對于安全事件發(fā)生中的監(jiān)測體系、演練等事項進行規(guī)范，如下：

①建立監(jiān)測體系，構(gòu)建監(jiān)測組織，明確相關人員權責。

②定期開展演練，保證監(jiān)測組織持續(xù)有效運行。

③外部支持，可以尋求外部技術力量支持。

（3）事件發(fā)生后響應

組織需要在管理規(guī)范層面，對于安全事件發(fā)生后的響應流程、權責等事項進行規(guī)范，如下：

①建立應急響應流程，協(xié)同公司領導、各部門相關人員組成應急響應小組，明確權責。應急響應流程中，需要綜合信息安全對于業(yè)務情況，明確關鍵信息。

②定期開展演練，保證應急響應流程可以有效運行。

③外部支持，可以尋求外部技術力量支持應急響應。

2.2安全技術要點

2.2.1事件發(fā)生前檢測

組織需要在安全事件發(fā)生前開展多種檢測工作，提前發(fā)現(xiàn)和控制安全風險，降低安全事件發(fā)生的概率。

（1）安全滲透測試

安全滲透測試是一種從攻擊者的角度來對信息系統(tǒng)的安全程度進行安全評估的手段，在對信息系統(tǒng)不造成任何損害的前提下，模擬入侵者對指定系統(tǒng)進行攻擊測試。安全滲透測試通常能以非常直觀的結(jié)果，反映出系統(tǒng)存在的最脆弱點。

建議每半年開展一次安全滲透測試，并在系統(tǒng)進行重大變更后及時開展變量或者全量安全滲透測試。

（2）安全漏洞掃描

安全漏洞掃描，是指使用漏洞掃描工具，對目標對象進行脆弱性問題評估。

安全漏洞掃描的核心在于漏洞掃描工具的選擇，而漏洞掃描工具的核心是漏洞策略庫，漏洞策略庫的有效性依賴于掃描工具開發(fā)商的更新，因此，選用漏洞策略庫更新較快的漏洞掃描產(chǎn)品對于安全漏洞掃描工作的開展具有重要的意義。

建議每季度開展一次安全漏洞掃描，并在出現(xiàn)重大漏洞后及時開展安全漏洞掃描。

（3）源代碼審計

源代碼審計，是通過分析當前信息系統(tǒng)的源代碼，從系統(tǒng)結(jié)構(gòu)方面檢查其各模塊和功能之間的關聯(lián)、權限驗證等內(nèi)容；從安全性方面檢查其脆弱性和缺陷。在明確當前安全現(xiàn)狀和需求的情況下，對下一步的編碼安全規(guī)范性建設有重大的意義。

建議每年開展一次源代碼審計，并在系統(tǒng)進行重大變更后及時開展變量或者全量源代碼審計。

（4）安全配置檢查

安全配置檢查，是指參考相關配置要求或者標準，對各類網(wǎng)絡組件進行安全配置檢查，檢查其是否符合安全要求，絕大部分的組件都可以進行安全配置檢查，包括：操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備等。

大部分國內(nèi)現(xiàn)行的配置標準是從國家等級保護要求中提煉出來的，而國際上受到較為廣泛認可的配置標準是CIS BenchMarks。建議每年開展一次安全配置檢查，并在系統(tǒng)或主機進行重大變更后及時開展安全配置檢查。

（5）整體風險評估

整體風險評估是以組織整體為對象開展的風險評估，全方位識別組織可能面臨的安全威脅。風險評估的實施，可以根據(jù)自身的情況，參考國內(nèi)或者國際的標準開展。

建議每年開展一次整體風險評估，并在組織進行重大變更后及時開展風險評估。

2.2.2事件發(fā)生中監(jiān)測

組織需要通過多種監(jiān)測機制和手段，對可能出現(xiàn)的安全事件進行持續(xù)性監(jiān)測，保證在事件發(fā)生后，在組織可以接受的時間內(nèi)檢測到事件。

（1）互聯(lián)網(wǎng)安全監(jiān)測

對于面向互聯(lián)網(wǎng)的應用系統(tǒng)，組織應該持續(xù)對其進行互聯(lián)網(wǎng)安全監(jiān)測，保障應用系統(tǒng)的安全?；ヂ?lián)網(wǎng)安全監(jiān)測通常包括四個監(jiān)測維度：可用性監(jiān)測、內(nèi)容安全監(jiān)測、漏洞安全監(jiān)測以及其他信息監(jiān)測。

①可用性監(jiān)測，持續(xù)監(jiān)測應用系統(tǒng)的在線情況以及延時情況。

②內(nèi)容安全監(jiān)測，持續(xù)監(jiān)控網(wǎng)頁內(nèi)容中是否出現(xiàn)敏感詞、惡意篡改或暗鏈等。

③漏洞安全監(jiān)測，周期性對網(wǎng)站進行漏洞掃描，發(fā)現(xiàn)安全漏洞。

④其他信息監(jiān)測，持續(xù)監(jiān)測網(wǎng)站的備案信息、WHOIS等信息。

（2）內(nèi)網(wǎng)安全監(jiān)測

內(nèi)網(wǎng)安全監(jiān)測，是對內(nèi)網(wǎng)關鍵節(jié)點開展的安全監(jiān)測，關鍵節(jié)點包括：網(wǎng)絡設備、安全設備、服務器、數(shù)據(jù)庫等，內(nèi)網(wǎng)安全監(jiān)測包括兩個層面：運行狀態(tài)監(jiān)測、安全狀態(tài)監(jiān)測。

①運行狀態(tài)監(jiān)測，持續(xù)監(jiān)測節(jié)點設備的內(nèi)存、CPU、存儲、帶寬等參數(shù)。

②安全狀態(tài)監(jiān)測，持續(xù)監(jiān)測節(jié)點設備進程、流量等參數(shù)，并分析是否包含安全要素（例如進程篡改、病毒流量等）。

2.2.3事件發(fā)生后響應

在監(jiān)測到安全事件發(fā)生后，需要按照既定的應急響應流程開展響應，并按照需要邀請外部支持力量，協(xié)同進行響應，響應內(nèi)容包括：安全事件發(fā)生、安全事件識別、縮小影響范圍、解決事件。

3 總結(jié)

以安全事件識別為始發(fā)點，以安全事件生命周期為思路，從安全管理和安全技術兩個層面對安全事件進行管控，提前發(fā)現(xiàn)和解決安全風險，降低安全事件發(fā)生的概率；全方位開展安全監(jiān)測，持續(xù)監(jiān)控安全事件的發(fā)生；規(guī)范流程，保證對于安全事件的有序響應。

互聯(lián)網(wǎng)發(fā)展迅速，每一個新的概念上都可能產(chǎn)生新的安全事件類型，例如云端攻擊事件、智能汽車攻擊事件等，我們沒有辦法窮舉所有的安全事件類型和管控措施，但是可以通過周期性開展工作，識別到新的事件類型，并從生命周期管控的角度對新的事件類型進行管控，將出現(xiàn)概率最大的安全事件遏制在襁褓之中或者萌芽階段，從而完成對于安全事件生命周期管控。