◆蔡曉志 張賀勛 徐 揚(yáng) 蔣志鵬 賴樂揚(yáng)

安全事件生命周期管控管理及技術(shù)要點(diǎn)

◆蔡曉志 張賀勛 徐 揚(yáng) 蔣志鵬 賴樂揚(yáng)

（北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 北京 100083）

伴隨著互聯(lián)網(wǎng)的快速發(fā)展，各類型安全事件層出不窮，這對于業(yè)務(wù)的開展有著巨大的影響。傳統(tǒng)的應(yīng)對策略往往是通過事件發(fā)生前技術(shù)層面的檢測來降低安全風(fēng)險(xiǎn)，缺乏統(tǒng)一而科學(xué)的思路。本文通過以安全事件識(shí)別為始發(fā)點(diǎn)，以安全事件生命周期為思路，以安全管理和安全技術(shù)為支撐，構(gòu)建安全事件生命周期管控體系。

安全事件；生命周期；安全管理；安全技術(shù)

1 背景

伴隨著互聯(lián)網(wǎng)的快速發(fā)展，無論是傳統(tǒng)還是新型的業(yè)務(wù)對于互聯(lián)網(wǎng)的依賴程度都是越來越高，與此同時(shí)，各類型的安全事件卻是層出不窮：拒絕服務(wù)攻擊、Web漏洞攻擊、蠕蟲攻擊、病毒入侵等。在黑客入門門檻持續(xù)降低的今天，可以預(yù)見未來的安全事件將呈現(xiàn)更加高發(fā)的態(tài)勢。

在這種形勢下，迫切需要采用新的思路進(jìn)行管控：以安全事件識(shí)別為始發(fā)點(diǎn)，以安全生命周期為思路，以安全管理和安全技術(shù)為支撐，全方位開展安全事件管控。

2 安全事件識(shí)別

安全事件識(shí)別是安全事件生命周期管理的始發(fā)點(diǎn)，它通常包括兩種方法：

（1）知識(shí)積累或傳遞的安全事件類型

此種識(shí)別方式識(shí)別出來的事件類型，具有鮮明的行業(yè)特性和針對性，也更加符合行業(yè)實(shí)際安全威脅。知識(shí)的來源通常包括兩種：相關(guān)部門識(shí)別的行業(yè)內(nèi)出現(xiàn)概率較大的安全事件類型、組織內(nèi)部經(jīng)驗(yàn)積累。

（2）風(fēng)險(xiǎn)評(píng)估角度識(shí)別的安全事件類型

此種識(shí)別方式識(shí)別出來的事件類型，是從資產(chǎn)角度上延伸出來的，往往具有較大的普遍性。根據(jù)資產(chǎn)的類型，可以分為6個(gè)類型：數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)、服務(wù)資產(chǎn)、人員資產(chǎn)、其他資產(chǎn)。

每一種資產(chǎn)，都有它特有的脆弱性及威脅，當(dāng)它們綜合交互時(shí)，就可能發(fā)生安全事件。

上述兩種安全事件的識(shí)別方式，可以綜合使用，以更加全面的識(shí)別可能出現(xiàn)的安全事件。

2.1安全管理要點(diǎn)

（1）事件發(fā)生前檢測

組織需要從管理規(guī)范層面，確定組織內(nèi)部適用的檢測要求，控制安全事件相關(guān)要素，降低安全事件發(fā)生的概率，工作包括：

①規(guī)范內(nèi)部規(guī)程，規(guī)范對于資產(chǎn)的操作、維護(hù)和檢查等工作，保證運(yùn)維操作有據(jù)可依，有據(jù)必依，并配備審計(jì)機(jī)制。

②周期開展人員培訓(xùn)，包括全員安全意識(shí)培訓(xùn)、安全運(yùn)維培訓(xùn)、安全法規(guī)培訓(xùn)等，提高安全意識(shí)和安全技術(shù)水平。

（2）事件發(fā)生中監(jiān)測

組織需要在管理規(guī)范層面，對于安全事件發(fā)生中的監(jiān)測體系、演練等事項(xiàng)進(jìn)行規(guī)范，如下：

①建立監(jiān)測體系，構(gòu)建監(jiān)測組織，明確相關(guān)人員權(quán)責(zé)。

②定期開展演練，保證監(jiān)測組織持續(xù)有效運(yùn)行。

③外部支持，可以尋求外部技術(shù)力量支持。

（3）事件發(fā)生后響應(yīng)

組織需要在管理規(guī)范層面，對于安全事件發(fā)生后的響應(yīng)流程、權(quán)責(zé)等事項(xiàng)進(jìn)行規(guī)范，如下：

①建立應(yīng)急響應(yīng)流程，協(xié)同公司領(lǐng)導(dǎo)、各部門相關(guān)人員組成應(yīng)急響應(yīng)小組，明確權(quán)責(zé)。應(yīng)急響應(yīng)流程中，需要綜合信息安全對于業(yè)務(wù)情況，明確關(guān)鍵信息。

②定期開展演練，保證應(yīng)急響應(yīng)流程可以有效運(yùn)行。

③外部支持，可以尋求外部技術(shù)力量支持應(yīng)急響應(yīng)。

2.2安全技術(shù)要點(diǎn)

2.2.1事件發(fā)生前檢測

組織需要在安全事件發(fā)生前開展多種檢測工作，提前發(fā)現(xiàn)和控制安全風(fēng)險(xiǎn)，降低安全事件發(fā)生的概率。

（1）安全滲透測試

安全滲透測試是一種從攻擊者的角度來對信息系統(tǒng)的安全程度進(jìn)行安全評(píng)估的手段，在對信息系統(tǒng)不造成任何損害的前提下，模擬入侵者對指定系統(tǒng)進(jìn)行攻擊測試。安全滲透測試通常能以非常直觀的結(jié)果，反映出系統(tǒng)存在的最脆弱點(diǎn)。

建議每半年開展一次安全滲透測試，并在系統(tǒng)進(jìn)行重大變更后及時(shí)開展變量或者全量安全滲透測試。

（2）安全漏洞掃描

安全漏洞掃描，是指使用漏洞掃描工具，對目標(biāo)對象進(jìn)行脆弱性問題評(píng)估。

安全漏洞掃描的核心在于漏洞掃描工具的選擇，而漏洞掃描工具的核心是漏洞策略庫，漏洞策略庫的有效性依賴于掃描工具開發(fā)商的更新，因此，選用漏洞策略庫更新較快的漏洞掃描產(chǎn)品對于安全漏洞掃描工作的開展具有重要的意義。

建議每季度開展一次安全漏洞掃描，并在出現(xiàn)重大漏洞后及時(shí)開展安全漏洞掃描。

（3）源代碼審計(jì)

源代碼審計(jì)，是通過分析當(dāng)前信息系統(tǒng)的源代碼，從系統(tǒng)結(jié)構(gòu)方面檢查其各模塊和功能之間的關(guān)聯(lián)、權(quán)限驗(yàn)證等內(nèi)容；從安全性方面檢查其脆弱性和缺陷。在明確當(dāng)前安全現(xiàn)狀和需求的情況下，對下一步的編碼安全規(guī)范性建設(shè)有重大的意義。

建議每年開展一次源代碼審計(jì)，并在系統(tǒng)進(jìn)行重大變更后及時(shí)開展變量或者全量源代碼審計(jì)。

（4）安全配置檢查

安全配置檢查，是指參考相關(guān)配置要求或者標(biāo)準(zhǔn)，對各類網(wǎng)絡(luò)組件進(jìn)行安全配置檢查，檢查其是否符合安全要求，絕大部分的組件都可以進(jìn)行安全配置檢查，包括：操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備等。

大部分國內(nèi)現(xiàn)行的配置標(biāo)準(zhǔn)是從國家等級(jí)保護(hù)要求中提煉出來的，而國際上受到較為廣泛認(rèn)可的配置標(biāo)準(zhǔn)是CIS BenchMarks。建議每年開展一次安全配置檢查，并在系統(tǒng)或主機(jī)進(jìn)行重大變更后及時(shí)開展安全配置檢查。

（5）整體風(fēng)險(xiǎn)評(píng)估

整體風(fēng)險(xiǎn)評(píng)估是以組織整體為對象開展的風(fēng)險(xiǎn)評(píng)估，全方位識(shí)別組織可能面臨的安全威脅。風(fēng)險(xiǎn)評(píng)估的實(shí)施，可以根據(jù)自身的情況，參考國內(nèi)或者國際的標(biāo)準(zhǔn)開展。

建議每年開展一次整體風(fēng)險(xiǎn)評(píng)估，并在組織進(jìn)行重大變更后及時(shí)開展風(fēng)險(xiǎn)評(píng)估。

2.2.2事件發(fā)生中監(jiān)測

組織需要通過多種監(jiān)測機(jī)制和手段，對可能出現(xiàn)的安全事件進(jìn)行持續(xù)性監(jiān)測，保證在事件發(fā)生后，在組織可以接受的時(shí)間內(nèi)檢測到事件。

（1）互聯(lián)網(wǎng)安全監(jiān)測

對于面向互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)，組織應(yīng)該持續(xù)對其進(jìn)行互聯(lián)網(wǎng)安全監(jiān)測，保障應(yīng)用系統(tǒng)的安全?；ヂ?lián)網(wǎng)安全監(jiān)測通常包括四個(gè)監(jiān)測維度：可用性監(jiān)測、內(nèi)容安全監(jiān)測、漏洞安全監(jiān)測以及其他信息監(jiān)測。

①可用性監(jiān)測，持續(xù)監(jiān)測應(yīng)用系統(tǒng)的在線情況以及延時(shí)情況。

②內(nèi)容安全監(jiān)測，持續(xù)監(jiān)控網(wǎng)頁內(nèi)容中是否出現(xiàn)敏感詞、惡意篡改或暗鏈等。

③漏洞安全監(jiān)測，周期性對網(wǎng)站進(jìn)行漏洞掃描，發(fā)現(xiàn)安全漏洞。

④其他信息監(jiān)測，持續(xù)監(jiān)測網(wǎng)站的備案信息、WHOIS等信息。

（2）內(nèi)網(wǎng)安全監(jiān)測

內(nèi)網(wǎng)安全監(jiān)測，是對內(nèi)網(wǎng)關(guān)鍵節(jié)點(diǎn)開展的安全監(jiān)測，關(guān)鍵節(jié)點(diǎn)包括：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫等，內(nèi)網(wǎng)安全監(jiān)測包括兩個(gè)層面：運(yùn)行狀態(tài)監(jiān)測、安全狀態(tài)監(jiān)測。

①運(yùn)行狀態(tài)監(jiān)測，持續(xù)監(jiān)測節(jié)點(diǎn)設(shè)備的內(nèi)存、CPU、存儲(chǔ)、帶寬等參數(shù)。

②安全狀態(tài)監(jiān)測，持續(xù)監(jiān)測節(jié)點(diǎn)設(shè)備進(jìn)程、流量等參數(shù)，并分析是否包含安全要素（例如進(jìn)程篡改、病毒流量等）。

2.2.3事件發(fā)生后響應(yīng)

在監(jiān)測到安全事件發(fā)生后，需要按照既定的應(yīng)急響應(yīng)流程開展響應(yīng)，并按照需要邀請外部支持力量，協(xié)同進(jìn)行響應(yīng)，響應(yīng)內(nèi)容包括：安全事件發(fā)生、安全事件識(shí)別、縮小影響范圍、解決事件。

3 總結(jié)

以安全事件識(shí)別為始發(fā)點(diǎn)，以安全事件生命周期為思路，從安全管理和安全技術(shù)兩個(gè)層面對安全事件進(jìn)行管控，提前發(fā)現(xiàn)和解決安全風(fēng)險(xiǎn)，降低安全事件發(fā)生的概率；全方位開展安全監(jiān)測，持續(xù)監(jiān)控安全事件的發(fā)生；規(guī)范流程，保證對于安全事件的有序響應(yīng)。

互聯(lián)網(wǎng)發(fā)展迅速，每一個(gè)新的概念上都可能產(chǎn)生新的安全事件類型，例如云端攻擊事件、智能汽車攻擊事件等，我們沒有辦法窮舉所有的安全事件類型和管控措施，但是可以通過周期性開展工作，識(shí)別到新的事件類型，并從生命周期管控的角度對新的事件類型進(jìn)行管控，將出現(xiàn)概率最大的安全事件遏制在襁褓之中或者萌芽階段，從而完成對于安全事件生命周期管控。