徐金偉

[摘要]作者最近考察了一些民營的專業(yè)信息安全公司，參加了他們有關(guān)信息安全發(fā)展思路的討論，并聽取了公司戰(zhàn)略主管的介紹，感到很有啟發(fā)，特將其中的部分思路梳理出來，供從事信息安全建設的單位和同行參考。

[關(guān)鍵詞]信息安全發(fā)展思路；兩個平臺一個服務

1 引言

近年來，隨著我國網(wǎng)絡安全法制化的進程不斷加快和網(wǎng)絡安全防護技術(shù)發(fā)展及網(wǎng)絡安全人才培養(yǎng)機制的逐步完善，我國關(guān)鍵基礎網(wǎng)絡和重要信息系統(tǒng)的安全防護能力有了很大的增強。為我國建設網(wǎng)絡強國的戰(zhàn)略規(guī)劃奠定了良好的保障基礎。然而，隨著網(wǎng)絡攻擊技術(shù)的不斷發(fā)展，我國仍然面臨著形形色色、層出不窮的網(wǎng)絡安全風險。

2016年4月19日中央在北京召開了《網(wǎng)絡安全與信息化工作座談會》，會上習近平主席發(fā)表了重要講話，在總結(jié)網(wǎng)絡安全與信息化的關(guān)系一節(jié)中提到：“加快構(gòu)建關(guān)鍵信息基礎設施安全保障體系，全天候全方位感知網(wǎng)絡安全態(tài)勢，增強網(wǎng)絡安全防御能力和威懾能力?！绷曋飨闹v話為我國信息安全技術(shù)的發(fā)展提出了明確的目標。

在目前形勢下，單位和企業(yè)如何規(guī)劃下一步的信息安全建設，完善已有的信息安全保障系統(tǒng)，提高現(xiàn)有的信息和網(wǎng)絡安全設備的管理水平，使其發(fā)揮最大的效能。是擺在每一位信息安全主管領(lǐng)導面前的新課題。在這里，我們提出一個提高信息安全管理水平的思路，供從事信息安全管理的領(lǐng)導和技術(shù)人員參考。

2 總體思路

2.1 政策依據(jù)

（1）GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則：

（2）GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求：

（3）GB/T 20278-2006信息安全技術(shù)網(wǎng)絡脆弱性掃描產(chǎn)品技術(shù)要求：

（4）GB/T 20275-2006信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試評價方法：

（5）GB/T 20945-2007信息安全技術(shù)信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法：

（6）GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范；

（7）GB/Z 20985-2007信息安全技術(shù)信息安全事件管理指南：

（7）GB/T22080-2008信息安全技術(shù)信息安全管理體系要求；

（8）GB/T22081-2008信息安全技術(shù)信息安全管理實用規(guī)則：

（10）GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求：

（11）GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南。

2.2 技術(shù)思路

建設和優(yōu)化信息安全防護平臺和可視化運維管理平臺，深入開展信息安全服務；技術(shù)思路可概括為建設“兩個平臺一個服務”。

2.3 系統(tǒng)邏輯架構(gòu)

系統(tǒng)邏輯架構(gòu)如圖1所示。

3 設計方案

3.1 信息安全防護平臺的組成

信息安全防護平臺應用模塊如圖2所示，包括但不限于八個模塊。

下一代防火墻：企業(yè)和單位根據(jù)自身資金投入現(xiàn)狀，對第一代防火墻進行升級和更新?lián)Q代，選購符合行業(yè)標準GA/T 1177-2014《第二代防火墻安全技術(shù)要求》的千兆和萬兆新一代防火墻。

下一代入侵檢測和入侵防護系統(tǒng)：企業(yè)和單位根據(jù)自身資金投入現(xiàn)狀，對第一代入侵檢測和防護系統(tǒng)進行升級和更新?lián)Q代，應選購可對全協(xié)議棧業(yè)務數(shù)據(jù)流進行解碼和規(guī)范化并可動態(tài)進行攻擊特征庫比對的新一代入侵檢測和防護系統(tǒng)。

高級逃逸技術(shù)防護：該模塊附有高級逃逸攻擊特征庫，與入侵檢測和防護系統(tǒng)配合使用，可有效地發(fā)現(xiàn)和防護高級逃逸技術(shù)攻擊。

主機安全加固：按照等級保護的技術(shù)要求和主機加固技術(shù)規(guī)范及各企業(yè)、單位所訂的安全基線進行安全加固。

Web應用防火墻：對Web訪問的要求進行內(nèi)容過濾，消除SQL注入、網(wǎng)頁掛馬、目錄遍歷、惡意郵件等竊取、篡改用戶數(shù)據(jù)的應用訪問。

病毒防御系統(tǒng)：通過病毒墻和主機自動檢測，阻斷和消除由網(wǎng)絡、各種介質(zhì)注入的病毒和惡意代碼。

數(shù)據(jù)安全防護系統(tǒng)：通過對數(shù)據(jù)庫、主機硬盤等數(shù)據(jù)的加密存儲和加密傳輸，保障用戶數(shù)據(jù)的安全。

終端安全系統(tǒng)：通過網(wǎng)絡的集中管理，使網(wǎng)絡終端具有統(tǒng)一的安全策略，以避免非法接入和非授權(quán)互訪。

3.2 可視化運維管理平臺的組成

可視化運維管理平臺如圖3所示，包括但不限于六個模塊。

運維基礎架構(gòu)管理：網(wǎng)絡管理、系統(tǒng)管理和應用管理。網(wǎng)絡管理內(nèi)容有單純的網(wǎng)元連通性管理和拓撲展示。網(wǎng)元包括路由器、交換機和各種網(wǎng)絡終端（含安全設備），顯示的網(wǎng)元參數(shù)有（端口、連通性和流量等）。系統(tǒng)管理內(nèi)容有操作系統(tǒng)、CPU、內(nèi)存、磁盤空間和服務器性能狀態(tài)監(jiān)測等。應用管理內(nèi)容有數(shù)據(jù)庫（表空間、連接數(shù)、事務響應等），中間件，Web服務器，E-mail服務器和安全設備等應用情況。

IT服務管理：IT服務管理是融合了網(wǎng)絡管理、主機系統(tǒng)管理、應用服務管理等各種IT因素的統(tǒng)一管理，IT服務管理模塊定義各種復雜的邏輯業(yè)務視圖，并把這些服務關(guān)聯(lián)到相應的IT設備上并要求上述各項管理數(shù)據(jù)的共享集中，互通互融，按著業(yè)務所依賴的IT服務資源建立模型，通過模型能夠綜合量化IT服務的總體服務品質(zhì)。

網(wǎng)絡準入管理：在網(wǎng)絡主交換機和后臺認證服務器上設置網(wǎng)絡準入規(guī)則，阻止外部計算機進入內(nèi)部網(wǎng)絡，以防止外部非授權(quán)訪問和內(nèi)部信息的泄露。

運維3D全景展示：網(wǎng)絡主管理監(jiān)視器通過SNMP/Agent/SSH/JDBC協(xié)議和方式采集網(wǎng)絡設備、網(wǎng)絡安全設備、部分業(yè)務應用及互聯(lián)網(wǎng)服務的狀態(tài)信息，實時顯示網(wǎng)絡物理拓撲、IT業(yè)務架構(gòu)視圖。

APM應用性能管理：模塊核心的概念是從業(yè)務角度來管理IT元素。用戶IT架構(gòu)從網(wǎng)絡、系統(tǒng)、應用和業(yè)務每個環(huán)節(jié)、每個節(jié)點、每個應用性能的好壞都直接影響到網(wǎng)絡和業(yè)務的正常運行。模塊采集和分析各個rr元素的性能數(shù)據(jù)，并最終通過SLA機制和業(yè)務視圖科學的映射出用戶業(yè)務的可用性和健康性。

安全運維審計系統(tǒng)：模塊是整個IT系統(tǒng)的堡壘機，系統(tǒng)功能包括日志/事件采集、日志/事件范式化、實時關(guān)聯(lián)分析、資產(chǎn)管理、脆弱性管理、實時監(jiān)測告警、統(tǒng)計報表等功能。模塊在基于規(guī)則的實時關(guān)聯(lián)分析基礎上，引入大數(shù)據(jù)的歷史關(guān)聯(lián)分析能力，能進行流量、行為、內(nèi)容的異常分析和基于模式識別的關(guān)聯(lián)分析及基于安全基線的異常檢測，可發(fā)現(xiàn)APT和高級逃逸攻擊的蛛絲馬跡。

3.3 信息安全服務的內(nèi)容

信息安全服務的內(nèi)容如圖4所示，包括但不限于十一個模塊。

信息安全風險評估：按《GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范》實施。

內(nèi)網(wǎng)區(qū)域安全防護服務：在內(nèi)網(wǎng)部署桌面管理系統(tǒng)和WAF防火墻，定期對內(nèi)網(wǎng)進行漏洞掃描，在此基礎上對存有漏洞的主機逐個進行技術(shù)加固，使其達到相應的安全等級要求。

云計算安全服務：按國標《GB/T 31167-2014信息安全技術(shù)云計算服務安全指南》和《GB/T 31168-2014信息安全技術(shù)云計算服務安全能力要求》實施。

安全培訓服務：安全形勢介紹、安全標準宣貫、信息安全檢測和防護技術(shù)培訓。

網(wǎng)絡入侵檢測與安全隱患分析：使用自動測試工具或人工分析用戶系統(tǒng)中IDS/IPS檢測日志。發(fā)現(xiàn)有無AET/APT攻擊的蛛絲馬跡。

安全運維與安全審計：使用自動測試工具或人工分析用戶系統(tǒng)中各種日志，查找系統(tǒng)中存在的安全脆弱性和漏洞。

可視化綜合運維服務：為用戶搭建可視化綜合運維的管理系統(tǒng)提供軟硬件設備。

信息安全體系建設規(guī)劃：在對用戶IT系統(tǒng)風險評估基礎上，按國標《GB/T22080-2008

信息安全技術(shù)信息安全管理體系要求》和《GB/T22081-2008信息安全技術(shù)信息安全管理實用規(guī)則》實施。

安全風險實時監(jiān)控：此模塊屬于信息安全專業(yè)化服務范疇。在企業(yè)主干網(wǎng)接人端部署分光器或在企業(yè)網(wǎng)門戶網(wǎng)站入口旁路部署監(jiān)測系統(tǒng)，實時檢測各種類型的攻擊。在企業(yè)主干網(wǎng)出口部署惡意代碼檢測系統(tǒng)，攔截和記錄竊密軟件回傳的信息，并定期向企業(yè)發(fā)出信息安全預警公告。

信息安全應急處理：此模塊屬于信息安全專業(yè)化服務范疇。能夠?qū)嵤┐朔盏男畔踩净驀倚畔踩珯z查單位需編制有專業(yè)的信息安全應急分隊，具體處置按國標《GB/T 20988-2007信息安全技術(shù)信息系統(tǒng)災難恢復規(guī)范》實施。

信息安全態(tài)勢感知與預測：該模塊收集所有監(jiān)測點信息并匯集各種安全設備發(fā)來的信息安全事件，這些信息包括格式化、半格式化和非格式化數(shù)據(jù)，通過歸一化處理后，與各種應用協(xié)議規(guī)范化模式庫進行比對，通過數(shù)學模型計算，篩選出疑似的異常信息，標明來源地和目標點，顯示在帶有用戶所在地地理信息系統(tǒng)的大屏幕上，形成用戶網(wǎng)絡與信息系統(tǒng)安全態(tài)勢圖，供信息安全管理人員參考和輔助決策。資金充足的企業(yè)也可借助全球威脅智能感知系統(tǒng)（GTI）提供的實時SaaS云安全服務達到信息安全態(tài)勢感知和預測的目標。

4 結(jié)束語

綜上所述，兩個平臺模塊采用的信息安全技術(shù)在我國信息安全行業(yè)大多都已是成熟的技術(shù)，我國重要的信息系統(tǒng)和基礎網(wǎng)絡，尤其是“8+2”行業(yè)，基本都已建有信息安全防護平臺和運維管理平臺；信息安全服務在我國也已開展了近十年，國內(nèi)知名的民營信息安全專業(yè)公司和國家專控的信息安全機構(gòu)每年都開展此項服務，許多服務內(nèi)容和流程在業(yè)界也是耳熟能詳?！皟蓚€平臺一個服務”實質(zhì)上是對前些年信息安全建設的成果進行優(yōu)化組合和更新?lián)Q代，目的是使我國的信息安全防護技術(shù)更加實用，使我國的信息安全服務更貼近企業(yè)的業(yè)務應用并滿足企業(yè)的信息安全需求。我們相信，通過“兩個平臺一個服務”的建設必將進一步提高我國信息安全管理水平。