专题 | 网络安全运营与实践初探
《网络安全法》的实施明确了国家承担的责任义务,也指出了网络运营者应按照网络安全等级保护制度的要求,履行安全保护义务,着重突出了关键信息基础设施的运行安全。
一、安全运营的理解
安全运营成为网络运营者持续不断思考、优化的命题与活动。从字面上理解,“安”主要是指使安稳、保全,“全”是指完备、齐全,“运”的含义包括运用、转动,“营”指谋划、管理。安全运营是一系列规则、技术和应用的集合,用以保障组织核心业务平稳运行的相关活动;是精心筹划、清晰管理,通过灵活、动态的实施控制以期达到组织和业务需要的整体范围可持续性正常运行。笔者认为安全运营理解和落地,需要明确安全运营的目标,从系统性、动态性、实战性的角度加强认识。
(一)安全运营的目标
安全运营的目标是明晰组织的保护目标、实施成本和防护层级。组织性质造成了每个行业、组织对安全运营的目标定义和范围不尽一致,关键信息基础设施关系到国家安全、国计民生、公共利益,是首要目标,是与组织经营和业务发展密不可分的系统,一旦遭到破坏对组织存亡和发展产生重大影响的系统。系统的遵从等级保护的分级分类形成了重要性的优先级排序,以及相应的保障系统所需资源的投入排序。考虑到组织的发展状况,安全运营目标要在成本、效率等不同因素间取舍并分配不同权重。
(二)安全运营的系统性
安全运营的系统性有两个方面,一是目标自身的系统性和完整性,二是针对目标的防护体系系统性和完整性。
安全运营的对象和目标是应用系统,目标的系统性应包括组成系统的众多元素,概括为使用者、数据、设备(可包括硬件、软件)。安全运营需要将构成目标系统完整运行的各个要素看成一个整体,防护体系的构建能够完整、有效的梳理并覆盖安全风险,不因遗落或木桶原理造成整体性影响。
安全运营的防护体系伴随着目标的生命周期长期存在的,并非一次投入、长期见效的工程,而是不断完善的长期系统性工程。安全运营的防护体系建设应考虑科学性、前瞻性和可扩展性,通过实践不断完善,既要面对问题锱铢必较的不断查缺补漏,也需关注自身系统的长期稳定性和安全性。当面临颠覆性技术革新时,需要有不破不立、推倒重来的勇气,徒然困守窘境只会在技术的浪潮冲击下疲于奔命的拆东墙补西墙。在现今社会分工趋于愈加专业性的时代,自行建设所投入的资源性价比远不如全面托管,但这并不代表托管能解决一切问题,这就需要方向的审视和选择,针对自身单位的架构与现状来做出取舍。
(三)安全运营的动态性
安全运营具有动态性。随着组织发展需要,目标系统会进行调整,甚至被废止;防护的优先级也会随之发生变化。信息技术的飞速发展使得网络攻击和防护水平能力不断提升,安全运营也迫切面临模式的升级优化,需要在不断迭代中提升管理和技术防护能力。同时,组织面临的网络安全风险层出不穷,八面透风。除传统的外部攻击威胁,地下黑产驱动的漏洞利用,内部员工主动恶意行为都将导致目标系统的防护手段和方法要与时俱进密不透风,更是需要内外都怀疑维持零信任的高压态势。全新升级的安全运营更加具有针对性,经过同步反馈后及时调整线下的工作流程和行为规范。
(四)安全运营的实战性
网络攻击具有突发性、隐蔽性、潜伏性、持续性等特点,爆发时令人措手不及。在这个无声的战场上,安全运营也需要进行平时多流汗、战时少流血的实战练兵,以保持一个良好的网络安全攻防状态,有较好的应对经验和攻防能力储备。网络安全事件分级分类,应急和处置流程的建立、预设、演练、总结提高等需要安全运营团队进行不断深入思考与刻意练习,始终保持良好的预警监测、分析研判、处置总结的能力。提高警惕心在不疑处起疑,增强责任心于不断反馈优化防护系统,保持平常心令系统出现安全事件时按制度执行,为目标系统良好稳定安全运行付出自己的热情。
二、安全运营建设实践
中国核工业集团有限公司(以下简称中核集团)是《网络安全法》中的网络运营者,承担了行业组织建立健全网络安全保护规范和协作机制的责任。中核集团安全运营体系建设按照国家、主管单位的相关要求,对标中央企业最佳实践,梳理并形成符合自身管理模式的网络安全管理体系,使用市场成熟国产产品和技术手段对关键信息基础设施、主要应用系统及承载网络进行安全运营。
在安全运营方面,中核集团与中国信息安全测评中心(以下简称国测)开展深入合作,主要开展了以下工作:
(一)加强组织领导,完善安全运营机构
中核集团成立了网络安全工作领导小组,发布了网络安全工作责任制。成立了安全运维处,加强了安全运营管理;成立了网络安全管理中心,负责技术标准和安全策略的发布更新、网络安全风险监控预警和通报、网络安全实践的应急响应和处置、协助开展网络安全工作检查、对网络安全技术防护体系及策略的执行情况进行评价反馈。
(二)形成安全运营良好的运行机制
安全运维处及网络安全管理中心是中核集团的安全运营具体管理和指导机构,负责制定规划、起草制度、明确目标、加强技术指导,并确保相关要求得以落实。主要以PDCA循环中的P、C、A落实网络安全运营管理:
P (Plan) 计划:制定网络安全规划、明确目标系统、编制行业技术防护体系、发布管理制度体系和相应制度和统筹开展防护体系建设等。
中核集团在国测的帮助下,共同开展中核集团网络安全方针和目标的确定。根据国家相关主管部门要求,编制并发布了《中核集团网络安全行动计划(2018-2020年)》,明确了“十三五”期间中核集团网络安全主要规划、蓝图和实施路径图。中核集团的安全运营目标确定为关键信息基础设施、部署在商业应用网的重要应用系统。中核集团和国测共同开展了关键信息基础设施系统认定工作,拟发布整体防护能力报告,并规划近三年关键信息基础设施的国产化替代、完善网络安全防护、技术防护体系制定等工作。针对中核集团商业应用网建设,制定发布了商业应用网顶层设计和技术防护体系,旨在根据等级保护标准加强行业安全运营标准化设计和规范;明确各成员单位接入商业应用网的安全基线,强调了对数据进行全生命周期管控,规范了CA、密码技术的互联互通的安全基础要求。编制了中核集团网络安全管理制度体系并逐年发布或修订相关制度,包括中核集团网络安全管理办法、应急管理办法、网络安全事件通报管理办法、等级保护管理办法、互联网管理办法等。针对国家互联网网站、互联网电子邮件系统的专项整治要求,中核集团正在采取逐步统筹的方式集中对互联网应用系统进行统一防护,降低为满足网络安全要求的整体运营成本。
C (Check) 检查。以国测牵头、网络安全管理中心参与的模式,每年开展中核集团网络安全检查。在各成员单位自查的基础上,组织开展现场抽查工作,重在发现未明确落实《网络安全法》、存在网络安全管理不到位和安全运营防护能力较弱的情况。通过现场检查,充分听取各成员单位对安全运营工作的建议和意见,便于更好的行业统筹、降低总体运营成本。
A (Act)处理。网络安全管理中心对中核集团被通报的网络安全工作进行跟踪处理和结果确认;对网络安全检查工作进行总结,在肯定成功经验的基础上将相关内容标准化并全集团推广、发布、宣贯;总结失败教训形成经验反馈,强化并完善自身基线,于全集团进行意识培训通报。对于暂时无法解决的问题,纳入下一阶段的工作循环中。
(三)加强行业安全运营设计和指导
国家标准到安全运营业务流程,存在理解、分析、确定、优化的过程,同时也取决于各组织信息化管理和建设模式,几乎不存在一个标准方案包打天下、放之四海而皆准的情况。安全运营是灵活的、动态的,强调合规性的细化、深化与实际业务场景安全分析的结合,强调通过实战性的渗透和攻防演习去查找弱点和不足。
中核集团根据等级保护标准,对重要、典型目标系统和业务场景进行深化设计,结合组织的行业特点分析网络安全风险,形成具有一定特色的安全运营行业标准,并加强对各成员单位的指导。如在中核集团安全运营中,加强数据全生命周期的管理。数据和信息的分级分类是源头,输出、导出数据的审计是重点,努力实现了人、数据、设备的可控可管可审计,在此基础上努力通过技术手段提升了安全运营发现并处理问题的效率,降低了安全运营人员的配备、工作量等人工成本。
(四)建设网络安全管理平台
中核集团历时一年半建设了网络安全管理平台一期项目,主要针对总部的商业应用网、互联网。“图难于其易,为大于其细”,规范化、模式化是项目建设的基础,主要分三阶段:
第一阶段分析总部办公环境商业应用网、互联网的使用场景,在落实安全保密要求的基础上,分析了网络安全风险并提出了端到端的安全运维模式。如总部不同级别、不同岗位人员使用应用系统需求,明确了商业应用网和互联网使用方式、数据输入输出方式、介质使用方式等,在满足合理需求和规范性的基础上增强了系统审计,发现异常按照不同的流程进行闭环,每个月形成审计报告报送主管领导。
第二阶段仔细梳理所有的资产、完善防护体系。资产梳理包括网络设备、服务器、安全产品、计算机、中间件、数据库、操作系统等,特别针对应用系统梳理了细化到端口的访问方式。重新审视、梳理、优化了现有安全防护情况,按照最小化使用应用的方式进行部署,深化分级分域防护,按照功能和安全需求,划分不同安全域,实现横向与纵向数据隔离,关闭多余防火墙和交换机连接端口、加固所有服务器、软件补丁等,并在此基础上形成了网络拓扑、机柜物理图、机柜连接图。此阶段工作为后续以行为白名单加黑名单进行日志收集、分析、处理和联动,以及数据范式化进行了较好的铺垫。
第三阶段是网络安全管理平台系统建设。在前两个阶段的基础上,将所有人员数据通过CA系统导入,将所有资产数据通过ITSM系统导入,将所有安全产品日志导入,形成正常行为的规则和数据范式化,降低监测噪声;关联异常行为和安全事件规则,通过大数据平台进行分析,结合外部威胁情报,给出网络安全态势情况。做到能感,能知,并形成工单对异常行为进行研判、处置、关闭。
中核集团借助网络安全管理平台一期项目,在安全运营技术方面即可从外部能够发现来自互联网的攻击行为并进行告警,也可从内网中查验到针对商业应用网的网内异常访问行为、访问总部的挖矿病毒情况等。而在安全运营管理方面,中核集团将各成员单位的等级保护定级备案情况集中汇总统计到网络安全管理平台系统中,达到了统一规范动态实时管理。
后续中核集团将持续开展网络安全管理平台建设,努力达到习近平总书记“全天候全方位感知网络安全态势”的要求。
三、结语
在目前纷杂的国际形势面前,核心技术受制于人,芯片等基础性硬件急需提升,网络安全和信息化工作需要政府、行业主管部门、厂商、用户等组织构建良好的生态圈,各司其职、各尽所能。可信计算、国产化产品需要更多的试点、实践、推广、完善。作为中央企业的中核集团将持续积极探索,加强人才培养,采用“小核心、大协作”的机制充分借助社会力量,进一步完善安全运营体系和模式,完善安全监测和信息通报机制,加强应急支撑,努力为中核集团发展保驾护航。
作者:钱勍
(本文刊登于《中国信息安全》杂志2019年第8期)