2002年以前,很多人把网络安全等同于防火墙或者信息加密系统;2002年、2003年,安全评估开始盛行,各行业相关人员的网络安全意识取得了长足进步。在此期间,很多文章分析了什么是网络与信息安全以及为什么要做网络与信息安全工作。但是,如何全面、系统地解决评估中发现的问题,如何面对复杂多变的风险环境以及复杂的网络与信息系统架构,给出一个跨部门、多级管理有效融合的安全实践模式,目前尚没有很好的答案。
各行业特性不同,决定了不同程度的安全管理需求。对于拥有庞大的电信基础网络并提供多种信息服务的运营商或者拥有大规模基础设施和复杂信息系统的企业来讲,迫切需要解决以上提到的问题。
最近几年,网络与信息安全出现了新的发展趋势:一方面,黑客工具随处可得,对攻击者的技术要求越来越低,实施攻击的成本越来越小,越来越多的人加入到这个大军;另一方面,系统漏洞数量发布的频次更密,从主机操作系统到网络协议、应用软件都发现了更多的安全漏洞,漏洞的发布到利用该漏洞的病毒出现的时间也越来越短,给安全工作带来空前的压力。另外,以IP化为主要特征和基础的电信网络融合的趋势也进一步加剧了安全挑战。
从较为成熟、权威的BS7799、ISO27000、ISO13335系列规范以及IATF等非常好的实践来看,构建有效的网络与信息安全保障体系是应对上述挑战的必由之路,其中涉及人员、组织、使命定位、信息资产界定、等级划分、技术手段、运行管理等方面,需要包括公司高层、安全人员、普通员工密切协同以及技术与管理的紧密结合。因此,网络安全工作是一项复杂的社会工程,需要通过特殊的方式,将不同的人员、不同的技术要素、不同的标准制定工作有机的融合起来,并协调发展。
本文作者在国际标准和非常好的实践基础上,结合多年的工作经验,重点阐述以风险管理为核心,围绕信息及信息系统的生命周期,通过安全运维流程的梳理,进而构建综合、系统的网络与信息安全标准体系,安全运行维护体系及安全技术防护体系,为电信业务环境提供较好的安全保障。
一、网络与信息安全保障体系逻辑架构及实践要点
业界普遍将网络与信息安全保障体系各要素之间的关系描述如下,见图1。
需要说明的是,图1没有特别突出风险管理和信息及信息系统的生命周期特性,是一个静态的关系图。
在电信企业具体实践中,由于组织机构设置有多重因素,并非特别适合安全工作的开展,因此从现有机构出发分别确定各个部门安全职责的做法,往往割裂了安全工作全生命周期的内在特性,容易造成工作重叠、缺失等问题,最终影响安全工作成效。
特别针对这个问题,首先要抛开部门设置现状,以风险管理为核心、围绕信息及信息系统的生命周期,通过安全运维流程的梳理,进而确定在流程各个环节中的工作内容、岗位和职责要求、技术能力要求及手段要求,从而逐步形成密切相关的网络与信息安全标准体系、组织体系、安全技术防护体系,达到构建适应电信网络环境的安全保障体系。风险管理是安全工作的灵魂,流程的梳理和建立是安全工作得以展开的主干,标准、人员、技术是这个主干上的“树枝和树叶”。
流程梳理主要参照了CoBIT、ITIL等国际标准,从信息的产生、信息系统规划开始就分析安全需求,分析其生命周期各个阶段的要求。例如,在规划环节,要求研究人员、需求部门同步考虑安全要求;采购环节,要求建设部门、采购部门考虑设备安全能力、配置标准;入网环节,安全专业人员、系统维护人员要核查是否符合入网标准;运维环节,安全专业人员要做好审计、预警工作,监控人员要做好安全事件的及时发现与处理工作,系统维护人员做好问题排查和回复工作;在退出环节,系统维护人员要按照安全规程消除敏感数据,避免泄漏,要做好配置等数据的备份,确保未来业务的连续性等。
在标准方面,针对上述阶段,制定安全需求分析模板、设备安全功能技术要求、设备入网统一配置要求、安全验收标准等等。
因此,标准的制定、人员分工、技术手段的建设全部是由风险管理出发、围绕流程而定。流程的梳理是各个部门安全工作全面衔接、安全工作全面落实的根本保证。流程梳理没有理论上的难点,重在扎扎实实的落实,本文不详细展开,主要阐述标准体系、运作体系、技术防护体系的总体架构,供业界同仁参考。
二、建立网络与信息安全标准体系
安全管理是对一个组织或机构的信息系统生命周期全过程实施符合安全等级保护要求的管理,它包括落实安全组织及安全管理人员,明确角色与职责;制定安全规划;开发安全策略;实施风险管理;制定业务持续性计划和灾难恢复计划;选择与实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查,处理安全事件;安全意识与安全教育;人员安全管理等。
很多公司由于没有明确的组织架构,没有一致的安全策略,没有可操作的技术指南,没有有效的技术防护体系,长期陷在以事件驱动的网络安全工作中,仅仅围绕突发事件的处理展开工作,不成体系,无法实现构建长期有效的安全机制的目的;各业务系统、维护部门各自为战,没有协调,形不成合力;安全手段建设方面没有统一规划,难以发挥应有的作用。所以,首先应该制定包括企业安全策略、安全技术指南以及操作手册、管理与考核等标准文档构成的网络与信息安全标准体系,回答为什么做、做什么、如何做、谁做的问题;明确网络安全工作与公司使命的关系等。
一个既有宏观的指导作用,又可以与具体的业务网络的保护有机结合的网络安全标准体系应该包括至少两个层面。
1.第一层安全策略
从宏观的角度说明一个公司网络安全工作的意义、关注的重点以及具体内容。可以参考信息安全管理国际标准,如ISO17799(BS7799),吸收国际、国内的实践经验,同时考虑国内的管理和法制环境并结合企业的实际情况制定。
2.第二层安全策略内容的细化
从技术、组织、管理三个方面对于如何落实安全策略进行组织细化的文档,结合具体应用环境的操作手册和流程规范,指导公司人员贯彻安全策略的要求,并基本满足各业务系统维护人员按照这些手册进行安全加固和维护的要求。
安全标准体系的建设是一个持续改进的过程,安全策略一般需要一年修订一次,安全技术指南和管理规定则需要随着网络环境和管理要求的变化动态地修订。
三、建设安全运行维护体系
无论采用什么样的安全技术,都只是实现信息安全管理的手段而已。信息安全源于有效的管理,即建立组织、明确责任、制定流程、形成闭环的维护体系。
安全管理是通过人员和组织进行的,这取决于公司决策层的支持和推动、管理层的组织、实施层的执行;需要安全人员与非安全人员的分工与配合;需要本公司与其它单位的配合等。结合安全标准体系的建设,应从组织方面明确决策层、管理层、执行层的构成与职责,建立适应跨部门、多级管理体制的安全管理机制。
企业的信息安全管理是企业管理的组成部分,它必然具有规划、组织、协调和控制等管理的基本特征。通过系统风险分析和评估等手段确定企业的信息系统安全需求和目标,围绕“积极预防、及时发现、迅速响应、确保恢复”的方针进行安全运行维护,控制风险。
在预防环节,应重点考虑安全预警、账号口令管理、端口服务管理、补丁管理、终端管理等基础性和日常性工作,在威胁到来之前,消除网络内部所有可能被攻击者利用的安全隐患,如管理的薄弱环节、系统漏洞、弱口令等。
在发现环节,主要通过业务系统中部署的防火墙、IDS以及日志分析系统、CERT组织的信息、投诉信息以及流量监控系统等,建立安全日常监控制度,及时发现网络入侵并采取措施,将损失降低到最低。
在安全事件响应和业务系统恢复环节,需要按照业务连续性要求,制定备份和应急响应预案,并定期演练。同时,还需与专业的安全服务公司建立密切联系,确保在出现紧急安全事件时能够迅速确定事件性质并恢复系统。
同时,为避免由于一个新的业务系统引入时存在安全隐患,导致整个网络环境安全水平下降,应该按照国家“同步规划、同步建设、同步运行”的安全建设方针,明确在业务系统规划阶段增加安全需求的审核、安全防护方案的制定;在业务系统实施阶段,增加业务系统关键设备入网的安全验收要求;保证业务系统和安全防护设施同步运行。
四、建设立体化安全技术防护体系
安全管理虽然强调“七分管理,三分技术”,但技术防护手段不可或缺。在多业务环境中,要统筹考虑不同系统的安全保护,需要独立配置的就独立配置,如防病毒系统的客户端、关键网段的入侵检测;需要集中建设的要集中建设,如防火墙、IDS、防病毒的控制端以及账号口令管理(AAAA)系统、域管理系统等,避免分系统进行安全建设带来的投资浪费、管理困难、效益低下的问题。
安全技术防护体系应包括如下两个层次。
1.基础性安全保护设施
基础性安全防护设施包括防火墙、IDS、防病毒系统、垃圾邮件处理中心、流量监控系统、AAAA系统以及各系统的控制端。
在安全域划分的基础上,根据各边界的安全风险以及安全域内资产的重要性等因素确定边界的安全需求,部署集中的防火墙实现对安全域内各业务系统的安全保护。
分厂家、分类别部署集中的防火墙、IDS、防病毒的控制端以及AAAA系统、域管理系统等,实现对全网的安全集中控制。
2.安全运行管理平台
在信息安全领域,目前的攻击手法已经融合了多种技术,比如蠕虫融合了缓冲区溢出、网络扫描和病毒感染技术,如果依赖于安全产品的孤军作战,就无法有效地查杀病毒、无法阻止病毒的传播;由于每个系统都会记录这些攻击不同阶段的安全日志,大量的日志将像洪水一样冲垮管理员,导致无法看到关键的告警信息;对于精密的黑客攻击,每一个单独的安全产品可能不能识别出这个攻击行为,但是如果把这些攻击日志结合在一起进行关联性分析就可能发现这是一次严重的攻击。
因此,在多业务环境下,单纯依赖于某种安全产品或者分散的应用几种产品,不可能有效地保护自己的整体网络安全。为此,应在业界SOC概念基础上,超越通常的SOC就是对安全事件集中管理的认识,构建定位于支撑信息安全管理体系(ISMS)的有效运转的安全运行管理平台ISMP(Information Security Management Platform),从而把各种人员、安全技术、安全产品、安全策略等联系在一起,共同形成一个坚实的防护体系,保护网络资源。安全管理系统包含安全事件收集、事件分析与关联、状态监视、安全预警管理、资产管理、配置管理、策略管理以及长期形成的知识中心,并通过流程优化、系统联动、事件管理等方式减小不同安全产品之间的缝隙,协调各方面资源,最高效率地处理安全问题,保护整体安全。通过资产、漏洞、预警信息以及告警等有机的结合,最终实现有针对性的、基于风险的精细化安全管理。
五、实行安全等级保护
信息安全等级保护是进一步提高信息安全保障能力和水平,维护国家安全、保障经济建设和公众利益、促进信息化建设健康发展的重要举措,从国家要求和企业投资角度看,等级保护都有其必要性。
首先将安全域划分作为等级保护的基础性工作,在安全域划分的基础上,根据系统的重要性等属性确定保护等级,进而根据面临的威胁程度确定相应的保护方案。安全域的保护体现在边界和内部两个方面,需求也各不相同:根据不同安全域互联边界在没有任何防护措施的情况下的风险评估等级以及安全域内资产的保护等级等指标,确定互联边界的安全防护措施的等级;根据安全域内部不同系统如业务系统核心服务器相对独立性、生产终端的可控性较差的特点,进一步划分安全区域,确定不同区域的内部防护需求。
