中央企業(yè)信息安全應急響應建設規(guī)劃

陳平 王步放 張海洋

（中國民航信息網(wǎng)絡股份有限公司研發(fā)中心 北京市 101318）

1 中央企業(yè)應急管理現(xiàn)狀及問題

當前中央企業(yè)網(wǎng)絡安全建設主要存在的問題有

（1）投入過多的漏洞掃描、基線檢查、滲透測試設備；

（2）事件監(jiān)控手段不足、事件管理流程不完善、應急預案不完整、應急演練不足；

（3）沒有從業(yè)務發(fā)展需求考慮應急、不清楚應優(yōu)先保障什么、不清楚應該達到什么保障程度、責任人及分工不明確。

由于應急工作沒有體系化管理，導致漏洞隱患密密麻麻，安全事件頻繁發(fā)生。

中央企業(yè)涉及業(yè)務較多，各部門、各分子公司對網(wǎng)絡安全的理解不一致，尤其對于邊界安全的理解，因此加強中央企業(yè)信息安全應急響應整體建設規(guī)劃意義重大。

2 應急管理成熟度判斷依據(jù)

中央企業(yè)應急管理要統(tǒng)籌規(guī)劃，在外層和內(nèi)層都要做好防護，在外層要滿足政策法規(guī)的要求[1]，在內(nèi)層要做好戰(zhàn)略目標分解、深度結(jié)合業(yè)務、實現(xiàn)相應安全技術相統(tǒng)一，杜絕出現(xiàn)外嚴內(nèi)松的情況，在具體落地實施時還要內(nèi)外動力相互傳遞，整體提升中央企業(yè)應急管理質(zhì)量。

3 應急體系建設思路

應急體系建設思路，見圖1。

應急體系建設工作需要統(tǒng)籌規(guī)劃，充分發(fā)揮人、業(yè)務、流程、設備的綜合作用。通過建立責任體系，將應急工作做到責任到人、分級分權量化考核，充分調(diào)動保障人員的積極性；結(jié)合業(yè)務分析應急工作應該優(yōu)先保障什么、達到什么保障程度意義重大；通過對信息系統(tǒng)進行分區(qū)分域安全規(guī)劃，各級各單位負責自身安全域的建設，集團總部對各級單位的網(wǎng)絡邊界防護策略進行統(tǒng)一規(guī)劃、集中管理、定期檢查，提升了集團整體系統(tǒng)安全；通過應急培訓、演練可以提升集團員工的實戰(zhàn)能力。

4 責任體系及流程建設

水平管理組織架構在安全應急工作中無法起到實質(zhì)性的作用，平行部門會因為一系列原因無法實施應急建設工作。因此安全應急工作必須采用垂直管理組織架構，對部門、崗位及分工設置分級、分權、量化的考核機制才能起到實質(zhì)性作用。應急管理工作分工見表1。

同時，還要保障安全管理部、業(yè)務部門、安全審計部三權分立，相互制約，才能保障集團整體利益。

建立安全事件響應管理體系，見圖2，涉及到的干系人主要包括用戶、聯(lián)絡點(PoC)、內(nèi)部IRT(Incident Response Team)、危機處理團隊。聯(lián)絡點主要指客戶內(nèi)部的運維團隊，起到聯(lián)絡客戶業(yè)務團隊和內(nèi)部IRT 之間的技術橋梁作用。

參照奇安信安服團隊[2]安全事件處理流程，改進后的安全事件處理流程如下。

（1）客戶發(fā)現(xiàn)信息安全事態(tài)后，首先交給運維團隊進行處理，如果運維團隊不存在則通知內(nèi)部IRT 團隊處理；

（2）運維團隊也可能主動發(fā)現(xiàn)信息安全事態(tài)；

（3）內(nèi)部IRT 團隊也可能主動發(fā)現(xiàn)信息安全事態(tài)；

（4）運維團隊將信息安全事態(tài)判定為信息安全事件的推給內(nèi)部IRT 團隊處理；

（5）內(nèi)部IRT 團隊無法自主處理信息安全事件時可以借助其它團隊幫助；

圖1：應急體系建設思路

表1：應急管理工作分工

表2：應急響應涉及安全內(nèi)容

（6）團隊解決問題后進行總結(jié),完善系統(tǒng)功能,減少安全事件誤報率。

安全事件響應管理體系的實施,逐步提高信息安全事件處理效率,通過對安全事件的復盤總結(jié)、優(yōu)化系統(tǒng)提高了系統(tǒng)的安全事件發(fā)現(xiàn)能力。

5 技術體系建設

中國航信涉及系統(tǒng)較多，通過識別業(yè)務運行的關鍵路徑和關聯(lián)資產(chǎn)，劃分優(yōu)先級和安全域。對安全域分區(qū)建設，遵循“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，網(wǎng)絡邊界由集團統(tǒng)一負責建設[3]。各安全域識別業(yè)務運行風險點以及風險發(fā)生后對組織的影響程度，根據(jù)影響程度劃分風險監(jiān)控優(yōu)先級，同時分析風險點的異常規(guī)則，建立可關聯(lián)分析的預警指標體系，根據(jù)安全事件級別，按照一定優(yōu)先級編制應急預案并定期演練，對應急團隊缺少的知識進行培訓，提升能力。

5.1 系統(tǒng)分區(qū)分域建設

系統(tǒng)分區(qū)分域建設思路見圖3。

根據(jù)業(yè)務分類，系統(tǒng)共劃分接入?yún)^(qū)、互聯(lián)網(wǎng)區(qū)、辦公網(wǎng)區(qū)、生產(chǎn)網(wǎng)區(qū)四個安全區(qū)。

（1）接入?yún)^(qū)劃分為：核心接入、統(tǒng)一接入及訪客接入三個安全域；

（2）互聯(lián)網(wǎng)區(qū)劃分為：互聯(lián)網(wǎng)應用發(fā)布及互聯(lián)網(wǎng)辦公應用兩個安全域；

（3）辦公網(wǎng)區(qū)劃分為：辦公終端安全域；

（4）生產(chǎn)網(wǎng)區(qū)劃分為：信息系統(tǒng)、安全管理系統(tǒng)和工業(yè)控制系統(tǒng)三個安全域。

其中，接入?yún)^(qū)、互聯(lián)網(wǎng)區(qū)、辦公區(qū)以及生產(chǎn)區(qū)的信息系統(tǒng)安全域和安全管理系統(tǒng)安全域之間通過邏輯隔離的方式進行安全防護；工業(yè)控制系統(tǒng)安全域與其它安全區(qū)和安全域采用物理隔離的方式進行安全防護。

表3：培訓內(nèi)容

圖2：安全事件響應管理體系

每一個安全域還可以針對其內(nèi)的業(yè)務系統(tǒng)優(yōu)先級再進行安全域劃分。

5.2 各安全域數(shù)據(jù)關聯(lián)分析

針對每個安全域的業(yè)務屬性，部署相應的安全設備，對用戶相關操作、行為進行采集、預警和審計，保障系統(tǒng)使用安全[4]，如核心接入安全域作為集團整體網(wǎng)絡邊界，在邊界安全防護方面可串聯(lián)部署SD-WAN 控制器、負載均衡設備、核心異構下一代防火墻（NGFW），旁路部署入侵防御系統(tǒng)（IPS）、網(wǎng)絡威脅流量檢測分析系統(tǒng)（NTA）、上網(wǎng)行為管理（ICG）、網(wǎng)絡接入認證控制系統(tǒng)（NAC），在生產(chǎn)區(qū)安全管理系統(tǒng)安全域內(nèi)，可部署各類網(wǎng)絡安全管理、監(jiān)控及審計系統(tǒng)，包括：統(tǒng)一終端安全管理系統(tǒng)、安全運營平臺、運維審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、日志審計系統(tǒng)等。各安全域部署的各類異常行為監(jiān)測系統(tǒng)，將監(jiān)測日志及告警信息匯總至集團安全事件監(jiān)測預警平臺，從而實現(xiàn)對集團互聯(lián)網(wǎng)、辦公網(wǎng)、生產(chǎn)網(wǎng)等網(wǎng)絡安全域的運行狀況及安全威脅全面清晰掌握，便于運維人員及時發(fā)現(xiàn)并處置安全威脅[5]。

5.3 應急響應涉及安全內(nèi)容

通過對集團涉及的所有相關業(yè)務、設備進行安全追蹤與響應才可快速保障集團的整體安全，涉及的安全內(nèi)容見表2。

同時對每一項安全內(nèi)容又可以設置其詳細技術框架，如終端安全技術框架見圖4。

6 安全培訓

通過建立一系列的培訓體系及課程,明顯提升安全響應能力,及時處理系統(tǒng)問題,保證系統(tǒng)健壯性，培訓內(nèi)容見表3。

7 結(jié)論

中國航信研發(fā)中心結(jié)合最新網(wǎng)絡安全技術的發(fā)展趨勢及安全管理理念，通過設置垂直管理組織架構，分級、分權、量化的考核機制，對信息系統(tǒng)分區(qū)分域的網(wǎng)絡安全規(guī)劃設計，加強了人、業(yè)務、流程、設備在處理信息系統(tǒng)安全事件時的綜合作用，加強了應急管理工作，理論上保障了可行性，可加強信息系統(tǒng)的安全能力。

中國航信集團總部的應急響應建設規(guī)劃可實現(xiàn)集團總部從被動防范到主動防御的轉(zhuǎn)變，有效應對了當前網(wǎng)絡安全的新形勢、新問題、新挑戰(zhàn)。各分子公司可在充分借鑒集團總部建設規(guī)劃經(jīng)驗的基礎上，依托現(xiàn)有網(wǎng)絡安全戰(zhàn)略基礎設施，探索適宜的應急響應建設方案，實現(xiàn)和集團總部建設規(guī)劃相統(tǒng)一，提升集團整體網(wǎng)絡安全綜合應急響應能力，進而有效應對來自各方的網(wǎng)絡威脅，保衛(wèi)網(wǎng)絡安全，促進自身系統(tǒng)健康發(fā)展。其它中央企業(yè)信息安全應急響應中心建設規(guī)劃也可以借鑒中國航信集團總部的應急響應中心建設規(guī)劃經(jīng)驗,再結(jié)合自身業(yè)務和網(wǎng)絡安全現(xiàn)狀,真正有效提高自身安全防御能力,保障系統(tǒng)健康有序發(fā)展。

圖3：系統(tǒng)分區(qū)分域建設

圖4：終端安全技術框架