◆郭永和 劉 安 盧曉梅 李 靜 王 嬋

網(wǎng)絡(luò)安全風(fēng)險全方位閉環(huán)管理工具框架

◆郭永和 劉 安 盧曉梅 李 靜 王 嬋

（國家電網(wǎng)公司信息通信分公司 北京 100761）

《網(wǎng)絡(luò)安全法》的正式實行對企業(yè)信息安全工作提出了更高的要求。傳統(tǒng)的人工登記資產(chǎn)、排查風(fēng)險和記錄整改結(jié)果的風(fēng)險管理方式已經(jīng)不能適應(yīng)規(guī)模日益增長的大型企業(yè)信息系統(tǒng)。本文提出一套應(yīng)用“管理+策略+技術(shù)”設(shè)計思想的網(wǎng)絡(luò)安全風(fēng)險全方位閉環(huán)管理工具框架，實現(xiàn)信息系統(tǒng)中風(fēng)險發(fā)現(xiàn)、分析和整改的自動化閉環(huán)流程管控?；谠摽蚣軐崿F(xiàn)的系統(tǒng)已應(yīng)用到國家電網(wǎng)公司日常運維工作中，取得良好的效果。

信息系統(tǒng)；風(fēng)險；管理；自動化

0 引言

《網(wǎng)絡(luò)安全法》的正式頒布代表著信息安全已經(jīng)上升到國家戰(zhàn)略的高度。電力行業(yè)作為國家關(guān)鍵的基礎(chǔ)性行業(yè)，面臨的信息安全風(fēng)險日趨嚴(yán)峻。伊朗stuxnet病毒和烏克蘭Black Energy病毒等攻擊案例表明，組織嚴(yán)密、計劃周密的高級持續(xù)性威脅（APT）攻擊已經(jīng)成為電力信息系統(tǒng)的主要威脅。隨著信息通信新技術(shù)的大量引入，以及大量智能終端設(shè)備的接入，電力信息系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)環(huán)節(jié)也隨之變化，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化、邊界模糊化、威脅形態(tài)多樣化，給安全防護(hù)帶來了嚴(yán)峻挑戰(zhàn)。同時，《網(wǎng)絡(luò)安全法》的正式施行也為新時期的企業(yè)信息化工作中的網(wǎng)絡(luò)安全工作提出了更高的要求，促使企業(yè)信息化網(wǎng)絡(luò)安全從業(yè)者探索新的解決方案。

1 企業(yè)信息化系統(tǒng)風(fēng)險概述

在描述動態(tài)網(wǎng)絡(luò)安全體系P2DR2模型中，安全策略（policy）和安全防護(hù)（protection）兩個環(huán)節(jié)起到了管控和消除網(wǎng)絡(luò)內(nèi)部風(fēng)險的作用，是網(wǎng)絡(luò)安全日常運維的基礎(chǔ)工作。然而，隨著企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，信息系統(tǒng)和各類網(wǎng)絡(luò)設(shè)備的數(shù)量不斷增長，安全風(fēng)險管控工作的難度日益加大?？偟膩碚f，存在如下問題。

1.1資產(chǎn)不清

在企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)初期，信息系統(tǒng)數(shù)量較少的時候，安全運維人員可以有效的掌握企業(yè)內(nèi)部信息資產(chǎn)情況。然而，隨著信息系統(tǒng)的規(guī)模的不斷增長，加之內(nèi)部運維人員的流動等因素，對內(nèi)部信息資產(chǎn)情報的掌握會變得越來越困難，為內(nèi)網(wǎng)的信息安全帶來新的風(fēng)險。例如：應(yīng)下線的信息系統(tǒng)未能及時下線，因為無人維護(hù)，其中暗藏的漏洞可能被惡意攻擊者所利用，成為被利用來進(jìn)一步滲透的跳板。

1.2安全設(shè)備策略管理混亂

企業(yè)信息業(yè)務(wù)的擴(kuò)展帶來了企業(yè)網(wǎng)絡(luò)的擴(kuò)張。為了滿足新增的業(yè)務(wù)需求，運維人員需要對安全設(shè)備需要添加新的安全策略。由于安全策略數(shù)量巨大，運維人員在配置新增策略的時候，很難去和已有策略進(jìn)行比對。由此會帶來諸如策略沖突、策略冗余等問題。此外，限于運維人員能力問題，可能會導(dǎo)致一些錯誤的策略被配置到安全設(shè)備中。

1.3漏洞消缺管理缺失

“永恒之藍(lán)”病毒事件暴露出許多企業(yè)缺乏一套對漏洞消缺工作行之有效的管理工具和方法。安全運維人員無法全面的掌握信息系統(tǒng)中存在漏洞的詳細(xì)情況，無法做到對漏洞整改的各環(huán)節(jié)進(jìn)行追蹤。導(dǎo)致本應(yīng)該被消除的漏洞未能得到及時處置，本該消除的風(fēng)險一再復(fù)發(fā)。

1.4數(shù)據(jù)未能有效整合

大型企業(yè)中往往存在多種類型的運維人員，如數(shù)據(jù)庫運維人員、網(wǎng)絡(luò)設(shè)備運維人員、服務(wù)器運維人員、業(yè)務(wù)運維人員、安全運維人員等。由于各類運維人員的職責(zé)不同，他們掌握的數(shù)據(jù)信息也往往局限在自己所承擔(dān)工作范圍內(nèi)。各類數(shù)據(jù)分散，缺乏有效的綜合分析手段。

針對上述企業(yè)安全運維中普遍存在的問題，本文提出一套基于網(wǎng)絡(luò)安全風(fēng)險全方位閉環(huán)管理工具框架的解決方案。該工具框架應(yīng)用“管理+策略+技術(shù)”相結(jié)合的設(shè)計思想，采用“計算機(jī)智能、人防技防、生命周期控制”相結(jié)合的思路,實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險全生命周期閉環(huán)控制,解決安全運維工作中存在的問題。

2 網(wǎng)絡(luò)安全風(fēng)險全方位閉環(huán)管理工具框架總覽

安全風(fēng)險管理的生命周期包含三個階段，即發(fā)現(xiàn)、分析和整改。對于不同階段，需要開發(fā)相對應(yīng)的工具集。各工具的功能及工具之間的數(shù)據(jù)交換如圖1所示。

圖1 數(shù)據(jù)處理流轉(zhuǎn)圖

2.1風(fēng)險發(fā)現(xiàn)

網(wǎng)絡(luò)安全風(fēng)險管理的起點是發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部存在的安全風(fēng)險。通常來說，對安全風(fēng)險的感知需要整合外部和內(nèi)部兩方面的情報或信息。外部威脅情報一般包括新增漏洞列表、惡意代碼特征、惡意IP和域名、攻擊事件詳情等等。這些外部情報可以通過人工收集、自動爬取或商用情報庫自動推送實現(xiàn)。內(nèi)部信息包括資產(chǎn)信息和漏洞信息。在這一階段，起到核心作用的是資產(chǎn)全生命周期存活感知系統(tǒng)。該系統(tǒng)可以探測網(wǎng)內(nèi)全部存活的信息資產(chǎn)及上面開放的端口或服務(wù)。這些信息可被提供給其他的工具用作進(jìn)一步分析的基礎(chǔ)。例如，漏洞掃描設(shè)備可以利用資產(chǎn)全生命周期存活感知系統(tǒng)提供的數(shù)據(jù)，配置掃描計劃，提升檢測效率。

2.2風(fēng)險分析

安全風(fēng)險自動分析工具和安全控制云策略管理工具是本階段的兩個核心工具。安全風(fēng)險自動分析工具能夠分析外部安全掃描數(shù)據(jù)，進(jìn)行生命周期計算，分析外部威脅情報數(shù)據(jù)，利用攻擊鏈信息，計算整改優(yōu)先級，生成漏洞整改通知單，并計算防護(hù)建議。安全控制云策略管理工具執(zhí)行安全域管理分析，計算攻擊鏈，并對失效安全防護(hù)策略審計；對新增安全防護(hù)策略進(jìn)行優(yōu)化；對不同品牌安全防護(hù)設(shè)備進(jìn)行策略適配下發(fā)。它向安全防護(hù)設(shè)備，如指防火墻、隔離裝置等防護(hù)類設(shè)備，下發(fā)策略變更；同時接收安全風(fēng)險自動分析工具防護(hù)建議并審查，提供計算的攻擊鏈信息。

2.3風(fēng)險整改

傳統(tǒng)的企業(yè)信息系統(tǒng)運維中，安全風(fēng)險整改多采用線下溝通的方式，即安全人員發(fā)現(xiàn)信息系統(tǒng)中存在的風(fēng)險，如安全漏洞、高危策略、弱口令等，通過郵件或電話的方式通知運維人員，由運維人員負(fù)責(zé)整改。這種風(fēng)險管理方法效率低下，且不能適應(yīng)大規(guī)模的信息系統(tǒng)的運維需求。安全風(fēng)險全流程閉環(huán)管理系統(tǒng)將風(fēng)險整改流程在線化，它從安全風(fēng)險自動分析工具中獲得分析結(jié)果，自動化的生成風(fēng)險整改通知，并提供狀態(tài)追蹤、整改驗證、超期提醒等功能，確保整改流程閉環(huán)。

3 關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全風(fēng)險全方位閉環(huán)管理工具框架包含以下關(guān)鍵技術(shù)：基于攻擊鏈的信息系統(tǒng)風(fēng)險評價方法、資產(chǎn)全生命周期存活感知技術(shù)、基于安全域關(guān)聯(lián)分析的防火墻策略集中管理技術(shù)。

3.1基于攻擊鏈的信息系統(tǒng)風(fēng)險評價方法

即為該條攻擊鏈的損失值。對攻擊鏈按損失值進(jìn)行從高到底排序，確定存在漏洞主機(jī)的整改順序，即優(yōu)先整改位于較高損失值攻擊鏈上的主機(jī)中存在的風(fēng)險。

3.2資產(chǎn)全生命周期存活感知

資產(chǎn)全生命周期存活感知系統(tǒng)可以發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部存活的主機(jī)及端口或服務(wù)的開放情況，通過與數(shù)據(jù)庫中存儲的已注冊的信息系統(tǒng)信息比對，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的不合規(guī)的主機(jī)。資產(chǎn)全生命周期存活感知系統(tǒng)主要采用以下兩種技術(shù)實現(xiàn)。

（1）主動發(fā)現(xiàn)技術(shù)。通過主動掃描發(fā)現(xiàn)存活的主機(jī)、開放的端口及各端口上運行的服務(wù)。

（2）被動監(jiān)聽技術(shù)。通過被動監(jiān)聽網(wǎng)絡(luò)中存在的流量數(shù)據(jù)，對流量進(jìn)行解析，提取數(shù)據(jù)報文中的五元組（協(xié)議、源地址、源端口、目的地址、目的端口）和主機(jī)部署的操作系統(tǒng)及其端口上運行服務(wù)的指紋信息。

主動發(fā)現(xiàn)技術(shù)的優(yōu)點是可以發(fā)現(xiàn)網(wǎng)絡(luò)中不活動的隱藏資產(chǎn)，缺點是由于需要主動發(fā)送探測報文，會產(chǎn)生大量額外流量，對網(wǎng)絡(luò)中的交換機(jī)及路由器造成額外負(fù)擔(dān)，甚至影響業(yè)務(wù)系統(tǒng)的正常運行。被動監(jiān)聽技術(shù)與主動發(fā)現(xiàn)技術(shù)相反，不會產(chǎn)生額外流量，同時也就失去了對不活動的隱藏資產(chǎn)發(fā)現(xiàn)的能力。資產(chǎn)全生命周期存活感知系統(tǒng)將兩種技術(shù)相結(jié)合，日常通過被動監(jiān)聽的方式收集數(shù)據(jù)，同時周期性的開展主動掃描探測，并且將兩種渠道收集的數(shù)據(jù)進(jìn)行整合，從而實現(xiàn)網(wǎng)絡(luò)內(nèi)部資產(chǎn)的全面覆蓋。

3.3基于安全域關(guān)聯(lián)分析的防火墻策略集中管理技術(shù)

在一個大型的信息網(wǎng)絡(luò)中，各網(wǎng)絡(luò)實體的受信任程度、重要性、安全防護(hù)需求存在差異。安全域指的是同一環(huán)境內(nèi)有相同的安全保護(hù)需求，相互信任、并具有相同的安全訪問控制策略的網(wǎng)絡(luò)實體。防火墻將不同的業(yè)務(wù)系統(tǒng)分隔成多個安全域，每個安全域內(nèi)具有相同的安全訪問控制和邊界控制策略，享有同樣的安全策略?；诎踩蜿P(guān)聯(lián)分析的防火墻策略集中管理技術(shù)將不同安全域的防火墻策略通過統(tǒng)一格式化進(jìn)行集中存儲，根據(jù)安全風(fēng)險自動分析系統(tǒng)計算產(chǎn)生的操作指令及策略信息，進(jìn)行基于安全域關(guān)聯(lián)分析的防火墻策略事前審計，并將策略自動下發(fā)至相應(yīng)安全域內(nèi)的防火墻，實現(xiàn)防火墻策略的智能集中管理，從而解決了冗余策略、沖突策略、無效策略、高危策略等防火墻配置過程中多項問題。

4 結(jié)束語

近年來，網(wǎng)絡(luò)安全威脅日趨嚴(yán)峻，信息化應(yīng)用的普及加劇了基礎(chǔ)應(yīng)用或通用軟硬件漏洞風(fēng)險?！毒W(wǎng)絡(luò)安全法》的實施也對企業(yè)信息安全工作提出了更高的要求。如何及時發(fā)現(xiàn)并整改企業(yè)內(nèi)部信息網(wǎng)絡(luò)中存在的風(fēng)險成為了一個亟待解決的課題。本文借鑒云計算中軟件即服務(wù)（SaaS）思想，提出了一套基于B/S架構(gòu)網(wǎng)絡(luò)安全風(fēng)險全方位閉環(huán)管理工具框架，將日常安全運維工作中信息安全風(fēng)險發(fā)現(xiàn)和消除全部過程在線化和自動化。通過這一系統(tǒng)在國家電網(wǎng)公司的應(yīng)用，提升了日常網(wǎng)絡(luò)安全運維工作的效率，保證風(fēng)險整改工作的閉環(huán)。

[1]國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報告[EB/OL].

[2]CHEN P, DESMET L, HUYGENS C. A study on advanced persistent threats[C].Communications and Multimedia Security-15th International Conference，2014.

[3]付鈺，李洪成，吳曉平，王甲生.基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J].通信學(xué)報，2015.

[4]TANKARD C. Advanced persistent threats and how to monitor and deter them[J]. Network Security，2011.

[5]KUSHNER D. The real story of stuxnet[J]. IEEESpectrum, 2013.

[6]中華人民共和國網(wǎng)絡(luò)安全法[EB/OL].

[7]IBM Internet Security Systems [EB/OL].

[8]ISO 7498-2-1989, Information Processing Systems-Open Systems Interconnection-basic Referenc eModel- Part 2:Security Architecture [EB/OL].