第3章
安全运营体系建设
3.1 安全运营服务体系
3.1.1 安全合规及监管服务
1. 安全标准规范建设
安全运营中涉及的安全标准规范统一规范一体化安全保障体系建设的安全管理、安全技术、安全运营体系的相关标准,同时符合国家关于网络及关键信息基础设施、等级保护、云计算、大数据、政务数据开放共享和电子政务外网相关的安全标准、法令法规和指导文件的要求。具体建设内容包括:安全管理要求、安全技术标准、安全运营标准。
2. 等级保护测评及风险评估
1)等级保护测评
等级保护测评工作过程及任务基于受委托测评机构对定级对象开展等级测评。等级测评过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个等级测评过程。
2)风险评估
风险评估是信息系统安全的基础性工作,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求。因此,所有信息安全建设都应该以风险评估为起点开展风险评估工作。
3)合规整改
业务应用系统通过等级保护测评及风险评估相关报告中反馈的问题,由相关业务系统主管单位负责协调专业技术人员开展合规整改,整改工作完成后通过相关的验证来评估最终的整改效果,并提供整改后的验证报告完成合规整改工作。
3. 合规性检查及指导
安全合规性检查及指导工作的开展,在不同阶段、针对不同技术活动参照相应的标准规范进行;对各业务单位的重要系统进行安全建设和整改的指导,定期开展网络安全情况及能力建设情况检查。
监管单位对各单位定期通过定期安全检查、安全抽查,或者委托第三方机构开展有针对性的安全检查,指导网络安全工作的开展,在各项工作开展的过程中实施监督和管理,发现存在的问题提供相应的指导,同步完善安全运营相关工作的推进。
3.1.2 安全运营服务
1. 安全基线评估加固
通过“自动化工具配合人工检查”方式参考安全配置基线进行检查,主要包括网络设备安全配置基线、安全设备安全配置基线、操作系统安全配置基线、数据库安全配置基线、中间件安全配置基线等,采用主流的安全配置核查系统或检查脚本工具,以远程登录检查的方式工作,完成设备的检查,针对物理隔离或网络隔离的设备使用检查脚本工具来补充完成检查工作。
依据区域安全技术标准对网络设备、安全设备、操作系统、数据库及中间件的安全配置基线要求或结合安全评估结果,按照安全整改建议,由安全服务人员协助云服务客户运维人员实施安全加固,至最终符合安全标准以保障安全运行。
2. 运维管理与安全审计
1)安全运维管理
安全运维管理即实现对业务系统进行集中运维管理,对身份、访问、权限进行控制,可以降低运维操作风险,使安全问题得到追溯,提供安全事件对应的运维操作行为依据。
安全运营一线运营前台人员,通过了解用户的角色与权限,进行日常运维角色、权限管理工作,对安全运维工单进行处理。
2)安全审计日志分析
区域所使用的安全产品会产生大量的网络访问日志、管理行为记录、操作行为记录、产品运行记录和网络流量等数据,以及安全监测产生的大量信息,这些信息数量庞大且无明显关系,但其中可能隐含着潜在的网络攻击行为或已经发生但未被发现的攻击行为、产品故障等。安全审计人员利用搜集到的安全日志,结合资产信息等实际情况,分析这些海量数据中的相互关系,挖掘出有价值的网络攻击、运行故障等信息,及时开展相应的处置工作,以保障安全产品及整体区域各业务系统的运行安全。
3)服务交付成果
针对运维管理工作和安全审计日志分析输出安全运维审计报告,该报告记录阶段性安全运维和安全审计日志情况。
3. 系统上线安全检查
区域各业务应用系统随着业务发展及应用更新,存在新业务系统上线及应用系统版本变更的需求,为了避免系统“带病”上线影响全局安全,在业务系统上线及应用变更时应按照合规要求进行全面安全检测分析。
4. 安全事件分析
安全事件分析工作是区域安全运营工作的核心,基于安全运营中预测、监测到的安全数据和安全事件信息进行安全事件研究、分析和判定,验证安全事件的可能性并出具相应的解决方法。安全事件研判分析完全依靠高技术能力的安全服务人员利用区域搭建的安全技术体系,并借助外部安全大数据开展工作。本项工作包含于安全运营体系的每一个服务项中,最终输出的交付成果结合在每项服务交付成果中。
5. 重点时期攻防演练
在重点时期前完善安全整改工作后,组建防守方和攻击方进行实际的演练攻击,攻击方采用各种技术手段模拟黑客攻击,发起各类攻击事件,防守方检测和发现外部攻击,并对攻击采取相应的防护措施,导演方负责演练导演、监控进程、全程指导、应急处置、演习总结、技术措施与策略优化建议等技术咨询工作。通过攻防演练实战,严格地检验区域的安全产品、安全策略、安全体系、人员能力和协同处置等多方面内容,检验区域已有防御体系的有效性,检验区域内部安全协同和应急处置能力。
6. 安全应急响应处置
基于区域具体的安全事件开展专家应急响应,包括安全事件检测、安全事件抑制、安全事件根除、安全事件恢复、安全事件总结,最终形成协调联动机制,增强应急技术能力,健全应急响应机制。安全事件处置完成后,系统得到恢复,找到安全事件发生的原因并提供相应的安全解决方案,提供交付物安全事件应急响应报告。
7. 互联网资产发现
基于网络扫描、搜索引擎、互联网基础数据引擎主动探测区域业务应用系统在互联网上暴露的资产,可以形成明确的资产清单,并发现区域各业务应用系统的未知资产。通过大数据挖掘和调研的方式确定资产范围,进行主动精准探测,深度发现暴露在外的IT设备、端口及应用服务,发现活跃资产及“僵尸”资产,由安全专家对每项业务进行梳理分析,结合用户反馈的业务特点对资产重要程度、业务安全需求进行归纳,最终形成区域资产清单。
8. 安全流量风险分析
利用威胁情报数据和采集到的安全大数据,采用专业攻防思路构建分析模型,提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现和响应服务,提升主动应对安全威胁的能力,在信息安全方面构建最后一道“防火墙”。安全流量风险分析主要包括内部失陷主机检测、外部攻击检测、内部攻击检测、内部违规检测和事件分析研判溯源五大类服务。安全流量风险分析服务结合区域实际情况,周期性地开展工作,提供交付成果安全流量风险分析报告。
安全流量风险分析服务除提供上述服务之外,还可以协助建立内部的安全大数据中心,为后续利用大数据分析技术来开展安全分析、安全数据的基线、安全数据的深度挖掘和安全数据的审计提供必要的基础。
9. 应用失陷检测
企业对外的、留在大众心中抽象化的无形资产,通过大众抽象化的定位与认知形成异性的品牌力。应用失陷检测通过数据采集、工具分析、人工标记、专家研判、成果交付五个过程对被分析系统的访问日志进行全面细化的分析,针对所有应用失陷检测系统输出应用失陷检测报告,描述其发现的问题并给出相应的解决方案。
10. 全事件及态势监测
安全运营团队的一线运营前台会7×24小时监控应用安全监测事件,并对事件进行即时确认,一旦发现安全事件属实,将会即时通知客户及相关的应用管理接口人,同时启动相应的安全应急响应流程。
针对区域安全监控内的所有业务系统平台,进行实时安全监测预警和安全态势感知,及时上报发现的潜在威胁和脆弱环节,建立全网安全隐患发现、预警、处置等流程的一体化快速响应。
针对所有安全事件的监测和安全态势的监控,形成周期性安全监测报告,记录安全事件汇总情况、安全态势趋势等。
11. 安全策略优化服务
完成策略信息搜集后,结合实际业务安全需求,对现有安全策略进行差距分析,发现策略缺失、策略冗余、策略未废止等问题,并制定相应工作方案开展策略优化工作,内容包括访问控制策略优化、安全防护策略优化、行为审计策略优化等,通过安全策略优化完善策略可用性,提升防护能力。针对所有需要进行安全策略优化的安全设备输出安全策略优化报告,该报告记录了优化前和优化后的策略变化情况。
12. 安全产品运行维护
安全产品运行维护是指针对区域安全防护体系中构建的安全产品,在运行过程中进行的一系列常态化维护,包括设备运行安全监测、设备运行安全审计、设备及策略备份更新等工作。通过安全产品运行维护工作的开展保障安全产品最优化运行。针对所有需要进行安全产品运维的安全设备输出安全产品运维记录单,该记录单记录了安全产品运行过程中的变化情况、出现的问题、问题的解决情况等。
13. 威胁情报预警
威胁情报预警是指基于网络安全威胁情报来监测和管理区域资产的安全健康状态,主动提供安全事件预警、分析及处置,利用第三方安全大数据进行关联分析和行为分析,精确地标出威胁情报,提供安全预警。威胁情报预警可帮助区域保持其IT基础设施的更新,更好地阻止安全漏洞,并采取行动来防止数据丢失或系统故障,从而有效地抵御攻击。威胁情报预警根据不同时期发生的安全漏洞、安全事件等提供有针对性的威胁情报分析报告。
14. 漏洞生命周期管理
漏洞生命周期管理包括网络层漏洞识别、操作系统层漏洞识别、应用层漏洞识别、安全加固、交付成果。定期为业务系统提供漏洞扫描,发现漏洞并在经过验证属实后将漏洞纳入安全运营平台由安全运营人员进行持续跟踪,将扫描结果和漏洞修复建议发送给网站运维人员,配合其修复漏洞,待漏洞修复之后,重新进行验证扫描,确认漏洞修复后将该漏洞“关闭”。暂时无法修复的漏洞将暂由应用防护体系进行防护,并将漏洞置为“未修复,已防护”状态,由安全运营服务团队继续跟踪直至漏洞被修复。
15. 重点时期安全检查
在重点时期(包括“两会”、春节、互联网大会等)前对现有网络运行的服务器、终端、网络设备、安全设备、网站及应用系统等开展安全检查,从而发现硬件、软件、协议的实现或系统安全策略上的缺陷问题,对发现的问题提供对应安全整改建议,在重点时期做好安全加固及防护,以保障网络安全稳定地运行。
通过重点时期安全检查,可以及时发现信息系统中存在的安全漏洞,通过对服务器及安全设备漏洞的整改,可以及时消除安全漏洞可能带来的安全风险。
16. 重大事件安全通告
建立安全通告机制,对出现的安全问题、威胁情报信息等进行全面传达、定期通告。每周以邮件形式向用户通告业内安全态势、重大舆情信息、重要系统漏洞及补丁信息等,不定期对紧急重大类漏洞信息以最快时间通过邮件或电话向客户告知漏洞的危害、影响范围及应对方案等信息。
3.1.3 安全管理服务
安全管理体系主要是为安全运营中心建立一套完善的、符合等级保护第三级要求的安全管理体系,以便开展日常安全工作及其他相关工作。
1. 管理组织建设
以安全组织架构设计为基础,定义业务系统监管方、云服务运维方、业务系统运维方、安全运营中心“四方”的职责如下:
(1)应按照网络安全法和国家信息系统安全等级保护的要求,对各个业务系统进行信息安全设计与建设,各方应该在系统监管方的协调下积极配合安全运营中心的建设工作。
(2)为确保各业务系统的数据和系统自身的安全,云服务运维方和安全运营中心应先通过安全审查(按照国家相关部门安全标准及规范实施),才能向客户提供云计算服务和安全运营服务。云服务运维方和安全运营中心应积极配合监管工作开展,对云服务方所提供的云计算服务进行安全监控,确保持续满足业务系统的安全需求。
(3)业务系统运维方需承担部署或迁移到云计算平台上的数据和业务的最终安全责任;业务系统运维方对业务系统的运行进行监督和管理,根据相关规定或服务级别协议开展信息安全检查。
(4)业务系统监管方作为区域的网络信息安全监管部门,负责安全建设项目和安全运营制度的审批,负责安全工作实施过程中的监督、协调与沟通。
(5)明确定义、设置上述多方日常安全职责矩阵。
2. 安全制度管理
安全制度管理工作的主要内容如下。
完善信息安全工作总体方针、安全策略,说明机构安全工作的总体目标、范围、方针、原则、责任等;完善各种安全管理活动中的流程和管理制度;建立和完善日常管理操作规程、手册等,以指导安全操作;定期对安全管理制度体系进行评审,以发现不适宜内容并加以修订。
设立信息安全领导小组或委员会,并由信息安全领导小组统一负责并组织相关人员制定信息安全管理制度。
定期对安全管理制度进行评审和修订;针对安全管理制度明确具体的负责人或负责部门,并用清单的方式明确对应关系。
3. 安全流程管理
为监管方建立相关的流程,保证安全运营可以遵照标准流程制度执行,主要内容如下。
流程制定。建立健全流程管理制度,主要流程有:安全事件处置流程、安全风险评估流程、安全事件应急响应流程、安全事件溯源取证流程、安全设备上线交割流程等。
流程变更维护。定期维护和修订相关的管理制度。
流程发布。根据需要,定期发布变更后的全套流程到相关的组织范围,并对发布的流程进行相关培训。
4. 人员安全管理
为保证安全管理方做好各阶段的工作分配,需要协助安全管理方建立合理的信息安全人员管理机制,如渗透测试工程师、应用安全开发工程师、网络安全工程师、终端安全工程师和数据安全工程师等。
5. 安全建设管理
安全建设管理,即对系统建设进行安全管理,包括系统定级、安全方案设计、安全产品采购、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等。
6. 安全运维管理
安全运维管理,即对系统运维进行安全管理,包括环境管理、资产管理、介质管理、设备管理、安全监控、网络安全管理、系统安全管理、恶意代码防范、密码管理、变更管理、备份及恢复管理、安全事件处置、应急预案管理等。
7. 安全培训管理
打造面向所有信息化管理人员、IT运维团队、内部工作人员的网络安全培训中心,定期举行网络安全培训,提供定制化的信息安全意识和安全实操培训服务。安全培训管理具体包括五部分内容:安全意识培训、安全管理与理念培训、网络及安全设备安全运维培训、操作系统及数据库安全运维培训、应用系统安全开发与运维培训。
8. 安全运营管理
通过对《中华人民共和国网络安全法》和等级保护第三级要求进行分析,安全管理体系的逐步建立和完善需要通过必要的工具辅助开展日常管理工作,通过安全管理系统可以积累相应的数据便于分析和管理,安全管理工作的开展需要配套开发一套安全管理系统,能够基于系统生命周期管理对参与方角色/权限管理、安全制度管理、风险管理、控制执行、绩效评价、威胁情报、工作流程等进行统一管理,以提高安全管理工作效率。
9. 安全咨询管理
信息安全规划是一项较为重要的安全咨询服务,主要依据信息安全策略及行业发展动态,在对客户信息安全现状进行风险评估、差距分析的基础上,从安全技术、安全管理、安全组织三个角度帮助客户构建短期、中期与长期的信息安全规划,将信息安全的单点风险控制转变为全面的安全规划,进而实现有效的信息安全建设并建立完整的信息安全保障体系。
在开展信息安全规划服务时,首要工作是依据国际信息安全最佳实践、国家信息安全政策引领、行业发展动态、监管部门的政策规范及信息安全技术发展趋势等要求,构建信息安全能力评估模型,依据模型对客户的网络基础环境、计算环境、管理环境、组织环境进行现状检查、评估与差距分析,明确客户信息安全建设的需求与目标。在此基础上,进行信息安全建设的蓝图规划。信息安全蓝图规划须依托企业信息化规划,对信息化的实施应起到保驾护航的作用。信息安全规划的目标应与企业信息化的目标保持一致,且比企业信息化的目标更具体明确、更贴近安全。信息安全规划的一切论述都需以上述目标为依托进行部署和开展。