網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全方位閉環(huán)管理工具框架

◆郭永和 劉 安 盧曉梅 李 靜 王 嬋

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全方位閉環(huán)管理工具框架

◆郭永和 劉 安 盧曉梅 李 靜 王 嬋

（國(guó)家電網(wǎng)公司信息通信分公司 北京 100761）

《網(wǎng)絡(luò)安全法》的正式實(shí)行對(duì)企業(yè)信息安全工作提出了更高的要求。傳統(tǒng)的人工登記資產(chǎn)、排查風(fēng)險(xiǎn)和記錄整改結(jié)果的風(fēng)險(xiǎn)管理方式已經(jīng)不能適應(yīng)規(guī)模日益增長(zhǎng)的大型企業(yè)信息系統(tǒng)。本文提出一套應(yīng)用“管理+策略+技術(shù)”設(shè)計(jì)思想的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全方位閉環(huán)管理工具框架，實(shí)現(xiàn)信息系統(tǒng)中風(fēng)險(xiǎn)發(fā)現(xiàn)、分析和整改的自動(dòng)化閉環(huán)流程管控?；谠摽蚣軐?shí)現(xiàn)的系統(tǒng)已應(yīng)用到國(guó)家電網(wǎng)公司日常運(yùn)維工作中，取得良好的效果。

信息系統(tǒng)；風(fēng)險(xiǎn)；管理；自動(dòng)化

0 引言

《網(wǎng)絡(luò)安全法》的正式頒布代表著信息安全已經(jīng)上升到國(guó)家戰(zhàn)略的高度。電力行業(yè)作為國(guó)家關(guān)鍵的基礎(chǔ)性行業(yè)，面臨的信息安全風(fēng)險(xiǎn)日趨嚴(yán)峻。伊朗stuxnet病毒和烏克蘭Black Energy病毒等攻擊案例表明，組織嚴(yán)密、計(jì)劃周密的高級(jí)持續(xù)性威脅（APT）攻擊已經(jīng)成為電力信息系統(tǒng)的主要威脅。隨著信息通信新技術(shù)的大量引入，以及大量智能終端設(shè)備的接入，電力信息系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)環(huán)節(jié)也隨之變化，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化、邊界模糊化、威脅形態(tài)多樣化，給安全防護(hù)帶來(lái)了嚴(yán)峻挑戰(zhàn)。同時(shí)，《網(wǎng)絡(luò)安全法》的正式施行也為新時(shí)期的企業(yè)信息化工作中的網(wǎng)絡(luò)安全工作提出了更高的要求，促使企業(yè)信息化網(wǎng)絡(luò)安全從業(yè)者探索新的解決方案。

1 企業(yè)信息化系統(tǒng)風(fēng)險(xiǎn)概述

在描述動(dòng)態(tài)網(wǎng)絡(luò)安全體系P2DR2模型中，安全策略（policy）和安全防護(hù)（protection）兩個(gè)環(huán)節(jié)起到了管控和消除網(wǎng)絡(luò)內(nèi)部風(fēng)險(xiǎn)的作用，是網(wǎng)絡(luò)安全日常運(yùn)維的基礎(chǔ)工作。然而，隨著企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，信息系統(tǒng)和各類網(wǎng)絡(luò)設(shè)備的數(shù)量不斷增長(zhǎng)，安全風(fēng)險(xiǎn)管控工作的難度日益加大?？偟膩?lái)說(shuō)，存在如下問(wèn)題。

1.1資產(chǎn)不清

在企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)初期，信息系統(tǒng)數(shù)量較少的時(shí)候，安全運(yùn)維人員可以有效的掌握企業(yè)內(nèi)部信息資產(chǎn)情況。然而，隨著信息系統(tǒng)的規(guī)模的不斷增長(zhǎng)，加之內(nèi)部運(yùn)維人員的流動(dòng)等因素，對(duì)內(nèi)部信息資產(chǎn)情報(bào)的掌握會(huì)變得越來(lái)越困難，為內(nèi)網(wǎng)的信息安全帶來(lái)新的風(fēng)險(xiǎn)。例如：應(yīng)下線的信息系統(tǒng)未能及時(shí)下線，因?yàn)闊o(wú)人維護(hù)，其中暗藏的漏洞可能被惡意攻擊者所利用，成為被利用來(lái)進(jìn)一步滲透的跳板。

1.2安全設(shè)備策略管理混亂

企業(yè)信息業(yè)務(wù)的擴(kuò)展帶來(lái)了企業(yè)網(wǎng)絡(luò)的擴(kuò)張。為了滿足新增的業(yè)務(wù)需求，運(yùn)維人員需要對(duì)安全設(shè)備需要添加新的安全策略。由于安全策略數(shù)量巨大，運(yùn)維人員在配置新增策略的時(shí)候，很難去和已有策略進(jìn)行比對(duì)。由此會(huì)帶來(lái)諸如策略沖突、策略冗余等問(wèn)題。此外，限于運(yùn)維人員能力問(wèn)題，可能會(huì)導(dǎo)致一些錯(cuò)誤的策略被配置到安全設(shè)備中。

1.3漏洞消缺管理缺失

“永恒之藍(lán)”病毒事件暴露出許多企業(yè)缺乏一套對(duì)漏洞消缺工作行之有效的管理工具和方法。安全運(yùn)維人員無(wú)法全面的掌握信息系統(tǒng)中存在漏洞的詳細(xì)情況，無(wú)法做到對(duì)漏洞整改的各環(huán)節(jié)進(jìn)行追蹤。導(dǎo)致本應(yīng)該被消除的漏洞未能得到及時(shí)處置，本該消除的風(fēng)險(xiǎn)一再?gòu)?fù)發(fā)。

1.4數(shù)據(jù)未能有效整合

大型企業(yè)中往往存在多種類型的運(yùn)維人員，如數(shù)據(jù)庫(kù)運(yùn)維人員、網(wǎng)絡(luò)設(shè)備運(yùn)維人員、服務(wù)器運(yùn)維人員、業(yè)務(wù)運(yùn)維人員、安全運(yùn)維人員等。由于各類運(yùn)維人員的職責(zé)不同，他們掌握的數(shù)據(jù)信息也往往局限在自己所承擔(dān)工作范圍內(nèi)。各類數(shù)據(jù)分散，缺乏有效的綜合分析手段。

針對(duì)上述企業(yè)安全運(yùn)維中普遍存在的問(wèn)題，本文提出一套基于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全方位閉環(huán)管理工具框架的解決方案。該工具框架應(yīng)用“管理+策略+技術(shù)”相結(jié)合的設(shè)計(jì)思想，采用“計(jì)算機(jī)智能、人防技防、生命周期控制”相結(jié)合的思路,實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全生命周期閉環(huán)控制,解決安全運(yùn)維工作中存在的問(wèn)題。

2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全方位閉環(huán)管理工具框架總覽

安全風(fēng)險(xiǎn)管理的生命周期包含三個(gè)階段，即發(fā)現(xiàn)、分析和整改。對(duì)于不同階段，需要開(kāi)發(fā)相對(duì)應(yīng)的工具集。各工具的功能及工具之間的數(shù)據(jù)交換如圖1所示。

圖1 數(shù)據(jù)處理流轉(zhuǎn)圖

2.1風(fēng)險(xiǎn)發(fā)現(xiàn)

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的起點(diǎn)是發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部存在的安全風(fēng)險(xiǎn)。通常來(lái)說(shuō)，對(duì)安全風(fēng)險(xiǎn)的感知需要整合外部和內(nèi)部?jī)煞矫娴那閳?bào)或信息。外部威脅情報(bào)一般包括新增漏洞列表、惡意代碼特征、惡意IP和域名、攻擊事件詳情等等。這些外部情報(bào)可以通過(guò)人工收集、自動(dòng)爬取或商用情報(bào)庫(kù)自動(dòng)推送實(shí)現(xiàn)。內(nèi)部信息包括資產(chǎn)信息和漏洞信息。在這一階段，起到核心作用的是資產(chǎn)全生命周期存活感知系統(tǒng)。該系統(tǒng)可以探測(cè)網(wǎng)內(nèi)全部存活的信息資產(chǎn)及上面開(kāi)放的端口或服務(wù)。這些信息可被提供給其他的工具用作進(jìn)一步分析的基礎(chǔ)。例如，漏洞掃描設(shè)備可以利用資產(chǎn)全生命周期存活感知系統(tǒng)提供的數(shù)據(jù)，配置掃描計(jì)劃，提升檢測(cè)效率。

2.2風(fēng)險(xiǎn)分析

安全風(fēng)險(xiǎn)自動(dòng)分析工具和安全控制云策略管理工具是本階段的兩個(gè)核心工具。安全風(fēng)險(xiǎn)自動(dòng)分析工具能夠分析外部安全掃描數(shù)據(jù)，進(jìn)行生命周期計(jì)算，分析外部威脅情報(bào)數(shù)據(jù)，利用攻擊鏈信息，計(jì)算整改優(yōu)先級(jí)，生成漏洞整改通知單，并計(jì)算防護(hù)建議。安全控制云策略管理工具執(zhí)行安全域管理分析，計(jì)算攻擊鏈，并對(duì)失效安全防護(hù)策略審計(jì)；對(duì)新增安全防護(hù)策略進(jìn)行優(yōu)化；對(duì)不同品牌安全防護(hù)設(shè)備進(jìn)行策略適配下發(fā)。它向安全防護(hù)設(shè)備，如指防火墻、隔離裝置等防護(hù)類設(shè)備，下發(fā)策略變更；同時(shí)接收安全風(fēng)險(xiǎn)自動(dòng)分析工具防護(hù)建議并審查，提供計(jì)算的攻擊鏈信息。

2.3風(fēng)險(xiǎn)整改

傳統(tǒng)的企業(yè)信息系統(tǒng)運(yùn)維中，安全風(fēng)險(xiǎn)整改多采用線下溝通的方式，即安全人員發(fā)現(xiàn)信息系統(tǒng)中存在的風(fēng)險(xiǎn)，如安全漏洞、高危策略、弱口令等，通過(guò)郵件或電話的方式通知運(yùn)維人員，由運(yùn)維人員負(fù)責(zé)整改。這種風(fēng)險(xiǎn)管理方法效率低下，且不能適應(yīng)大規(guī)模的信息系統(tǒng)的運(yùn)維需求。安全風(fēng)險(xiǎn)全流程閉環(huán)管理系統(tǒng)將風(fēng)險(xiǎn)整改流程在線化，它從安全風(fēng)險(xiǎn)自動(dòng)分析工具中獲得分析結(jié)果，自動(dòng)化的生成風(fēng)險(xiǎn)整改通知，并提供狀態(tài)追蹤、整改驗(yàn)證、超期提醒等功能，確保整改流程閉環(huán)。

3 關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全方位閉環(huán)管理工具框架包含以下關(guān)鍵技術(shù)：基于攻擊鏈的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)方法、資產(chǎn)全生命周期存活感知技術(shù)、基于安全域關(guān)聯(lián)分析的防火墻策略集中管理技術(shù)。

3.1基于攻擊鏈的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)方法

即為該條攻擊鏈的損失值。對(duì)攻擊鏈按損失值進(jìn)行從高到底排序，確定存在漏洞主機(jī)的整改順序，即優(yōu)先整改位于較高損失值攻擊鏈上的主機(jī)中存在的風(fēng)險(xiǎn)。

3.2資產(chǎn)全生命周期存活感知

資產(chǎn)全生命周期存活感知系統(tǒng)可以發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部存活的主機(jī)及端口或服務(wù)的開(kāi)放情況，通過(guò)與數(shù)據(jù)庫(kù)中存儲(chǔ)的已注冊(cè)的信息系統(tǒng)信息比對(duì)，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的不合規(guī)的主機(jī)。資產(chǎn)全生命周期存活感知系統(tǒng)主要采用以下兩種技術(shù)實(shí)現(xiàn)。

（1）主動(dòng)發(fā)現(xiàn)技術(shù)。通過(guò)主動(dòng)掃描發(fā)現(xiàn)存活的主機(jī)、開(kāi)放的端口及各端口上運(yùn)行的服務(wù)。

（2）被動(dòng)監(jiān)聽(tīng)技術(shù)。通過(guò)被動(dòng)監(jiān)聽(tīng)網(wǎng)絡(luò)中存在的流量數(shù)據(jù)，對(duì)流量進(jìn)行解析，提取數(shù)據(jù)報(bào)文中的五元組（協(xié)議、源地址、源端口、目的地址、目的端口）和主機(jī)部署的操作系統(tǒng)及其端口上運(yùn)行服務(wù)的指紋信息。

主動(dòng)發(fā)現(xiàn)技術(shù)的優(yōu)點(diǎn)是可以發(fā)現(xiàn)網(wǎng)絡(luò)中不活動(dòng)的隱藏資產(chǎn)，缺點(diǎn)是由于需要主動(dòng)發(fā)送探測(cè)報(bào)文，會(huì)產(chǎn)生大量額外流量，對(duì)網(wǎng)絡(luò)中的交換機(jī)及路由器造成額外負(fù)擔(dān)，甚至影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。被動(dòng)監(jiān)聽(tīng)技術(shù)與主動(dòng)發(fā)現(xiàn)技術(shù)相反，不會(huì)產(chǎn)生額外流量，同時(shí)也就失去了對(duì)不活動(dòng)的隱藏資產(chǎn)發(fā)現(xiàn)的能力。資產(chǎn)全生命周期存活感知系統(tǒng)將兩種技術(shù)相結(jié)合，日常通過(guò)被動(dòng)監(jiān)聽(tīng)的方式收集數(shù)據(jù)，同時(shí)周期性的開(kāi)展主動(dòng)掃描探測(cè)，并且將兩種渠道收集的數(shù)據(jù)進(jìn)行整合，從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部資產(chǎn)的全面覆蓋。

3.3基于安全域關(guān)聯(lián)分析的防火墻策略集中管理技術(shù)

在一個(gè)大型的信息網(wǎng)絡(luò)中，各網(wǎng)絡(luò)實(shí)體的受信任程度、重要性、安全防護(hù)需求存在差異。安全域指的是同一環(huán)境內(nèi)有相同的安全保護(hù)需求，相互信任、并具有相同的安全訪問(wèn)控制策略的網(wǎng)絡(luò)實(shí)體。防火墻將不同的業(yè)務(wù)系統(tǒng)分隔成多個(gè)安全域，每個(gè)安全域內(nèi)具有相同的安全訪問(wèn)控制和邊界控制策略，享有同樣的安全策略?；诎踩蜿P(guān)聯(lián)分析的防火墻策略集中管理技術(shù)將不同安全域的防火墻策略通過(guò)統(tǒng)一格式化進(jìn)行集中存儲(chǔ)，根據(jù)安全風(fēng)險(xiǎn)自動(dòng)分析系統(tǒng)計(jì)算產(chǎn)生的操作指令及策略信息，進(jìn)行基于安全域關(guān)聯(lián)分析的防火墻策略事前審計(jì)，并將策略自動(dòng)下發(fā)至相應(yīng)安全域內(nèi)的防火墻，實(shí)現(xiàn)防火墻策略的智能集中管理，從而解決了冗余策略、沖突策略、無(wú)效策略、高危策略等防火墻配置過(guò)程中多項(xiàng)問(wèn)題。

4 結(jié)束語(yǔ)

近年來(lái)，網(wǎng)絡(luò)安全威脅日趨嚴(yán)峻，信息化應(yīng)用的普及加劇了基礎(chǔ)應(yīng)用或通用軟硬件漏洞風(fēng)險(xiǎn)?！毒W(wǎng)絡(luò)安全法》的實(shí)施也對(duì)企業(yè)信息安全工作提出了更高的要求。如何及時(shí)發(fā)現(xiàn)并整改企業(yè)內(nèi)部信息網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)成為了一個(gè)亟待解決的課題。本文借鑒云計(jì)算中軟件即服務(wù)（SaaS）思想，提出了一套基于B/S架構(gòu)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全方位閉環(huán)管理工具框架，將日常安全運(yùn)維工作中信息安全風(fēng)險(xiǎn)發(fā)現(xiàn)和消除全部過(guò)程在線化和自動(dòng)化。通過(guò)這一系統(tǒng)在國(guó)家電網(wǎng)公司的應(yīng)用，提升了日常網(wǎng)絡(luò)安全運(yùn)維工作的效率，保證風(fēng)險(xiǎn)整改工作的閉環(huán)。

[1]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告[EB/OL].

[2]CHEN P, DESMET L, HUYGENS C. A study on advanced persistent threats[C].Communications and Multimedia Security-15th International Conference，2014.

[3]付鈺，李洪成，吳曉平，王甲生.基于大數(shù)據(jù)分析的APT攻擊檢測(cè)研究綜述[J].通信學(xué)報(bào)，2015.

[4]TANKARD C. Advanced persistent threats and how to monitor and deter them[J]. Network Security，2011.

[5]KUSHNER D. The real story of stuxnet[J]. IEEESpectrum, 2013.

[6]中華人民共和國(guó)網(wǎng)絡(luò)安全法[EB/OL].

[7]IBM Internet Security Systems [EB/OL].

[8]ISO 7498-2-1989, Information Processing Systems-Open Systems Interconnection-basic Referenc eModel- Part 2:Security Architecture [EB/OL].