前言:尋找寫作靈感?中文期刊網用心挑選的企業信息安全簡述(3篇),希望能為您的閱讀和創作帶來靈感,歡迎大家閱讀并分享。
摘要:
作為國家關鍵信息基礎設施,電力行業一直面臨著較大風險隱患。為確保電力生產管理和信息網絡的安全穩定,在前期信息安全規劃基礎上,通過調研和分析,從基礎設施、技術支撐平臺、應用三個層面提出了集團型電力企業信息安全技術防護體系框架。同時,提出一系列技術措施研究專題,包括工業控制系統安全、統一安全監測審計系統、數據備份與容災等,以指導集團信息安全項目持續開展,提升和優化信息安全能力。
關鍵詞:
電力行業;信息安全;技術防護;工業控制系統安全;數據備份與容災
0引言
國家電投集團已開展信息安全規劃工作,為實現信息安全總體目標,須逐步開展信息安全能力建設并進行落地。信息安全技術防護架構支撐信息安全能力,是確保信息系統安全運行,最終實現信息安全目標的手段之一。通過確認防護對象及其需求,建立信息安全基礎防護框架,支撐建設與運維安全能力,并以此為基礎,實現對系統、網絡、終端等安全狀態的集中監控、分析與響應,最終實現風險可視化、可管理,支撐安全運行和安全管理、安全決策能力。
1識別防護對象及總體安全需求
目前,集團在建及規劃的應用系統包括信息展現、決策分析、經營管理、綜合管理和專業生產五大類。通過綜合考慮各應用系統的功能、系統面向的使用對象、承載業務數據的敏感程度等因素,識別信息系統總體的安全需求。例如,外部網站部署在互聯網中,需要考慮網站可用性、頁面防篡改等安全需求;運營監管平臺承載著集團敏感生產數據,需要考慮數據安全的需求。集團信息化規劃中的技術架構分為應用、技術支撐平臺和基礎設施三個層次。其中,基礎設施再細分為終端層、云管理平臺、基礎設施資源池層、基礎網絡架構層和機房物理環境層。信息安全技術體系框架的設計也依照信息化技術架構的層次,對應用層、技術支撐平臺層和基礎設施層采取相應的信息安全技術防護措施。每一個層次的技術防護措施需要從身份認證、訪問控制、內容安全、監控審計、備份恢復五個方面,對信息系統安全防護需求進行分析。
2信息安全技術框架
按照已經梳理的應用系統總體安全需求,依據現狀調研結果、信息化建設需求、信息安全能力及合規要求,在各類應用系統、技術支撐平臺、基礎設施(終端、云平臺、硬件資源、機房、網絡)層,對信息安全防護技術需求進行細化。將需求與安全技術防護措施對應后,得出信息安全技術基礎防護措施匯總。基礎防護技術架構的形成是建設與運維安全能力的技術支撐,包括物理安全、網絡安全、系統安全、終端安全、應用安全、數據安全[1]。隨著安全設備部署的數量不斷增多,產生大量的防火墻、IDS、WAF等安全防護設備以及網絡設備的日志、各類服務器日志信息、配置信息、漏掃工具掃描結果。安全運行人員需要對這些日志進行統一記錄與分析,以進一步發現安全事件。然而,源源不斷的各種不同類型和格式的日志數據,給安全運行工作帶來了極大挑戰。需要通過專業、自動化的安全技術,將各個設備日志進行集中管理,并實現實施監測、關聯分析,以提高工作效率、監測與響應能力,并最終快速解決安全事件,減少運維成本。同時,安全技術評估中發現大量漏洞,人工跟蹤與管理效果不佳,需要通過自動化追蹤和處置方式,以提升效率。因此,對于安全運行層,需要具備專業的技術能力,以實現對基礎技術防護架構中的系統與設備產生的大量數據進行關聯分析、實時監控與報警,并支撐技術人員進行安全技術評估與漏洞管理。對于安全管理和決策層,需要全面了解信息安全風險、合規情況以及對策略進行管理與跟蹤,從而開展信息安全檢查、培訓工作。因此,需要將集團整體信息安全風險通過可視化方式進行展示,使管理層對目前風險狀況一目了然,并提供信息安全風險管理平臺,對所有風險進行統一識別、管理、跟蹤,有效支撐信息安全風險管理工作,為進一步調整信息安全策略提供數據輸入。同時,通過自動化的檢查工具,管理系統支撐信息安全檢查、合規工作。因此,應建立信息安全管理平臺,從而為安全決策和管理提供支撐。匯總上述支撐信息安全能力各層的信息安全技術措施,最終形成集團信息安全技術框架。具體的,信息安全技術體系框架可分為信息安全基礎防御層、信息安全監控平臺層和信息安全管理平臺層。
3信息安全技術專題研究
目前,集團公司信息安全技術措施部署工作已經開展,在信息安全技術體系框架中識別各項技術措施,將其分為新建、完善和已有三大類,最后根據防護對象不同,將未實現或待完善的技術措施綜合匯總,形成13個技術專題,用于指導未來集團公司開展信息安全建設工作。
3.1工業控制系統信息安全保障專題
集團總部是全集團工控安全的牽頭管理部門,需提出總體工控安全的管理要求和考核指標;二級單位是本單位工控安全的管理部門,需指導、監督、管理三級單位落實工控安全;三級單位具體對工控安全進行落地,需制定和落實安全管理要求。方案構建時,第一階段以“合規”為主。應遵循《電力監控系統安全防護規定》(國家發改委第14號令)、電力行業信息安全等級保護相關要求、國家能源局相關文件對發電廠安全防護建設的要求,通過安全現狀分析,梳理出目前電廠在安全建設方面存在的差異,進而從技術、管理等方面設計安全防護方案。同時,應充分考慮電廠工控系統的安全現狀和實際安全建設的承載能力。老舊電廠在安全建設現狀基礎上,以安全審計作為主要的安全防護方向,以建設管理制度、明確人員職能為主要的安全管理建設方向;新建電廠要充分考慮14號令對電廠安全建設的具體要求,并落實相關防護和管理措施。第二階段以“提升”為主。在符合相關政策要求的基礎上,應進一步考慮符合電廠控制系統生命周期的安全防護要求。要逐步完善電廠工業控制系統的安全防護措施,使電廠工業控制系統安全防護由安全策略的部署向安全能力的部署遷移,逐步實現安全技術能力、安全管理能力的全面提升,實現管、控、防一體化。安全能力逐步覆蓋系統上線、系統運行、系統運維、系統檢修等各個環節,從而最終實現工控系統安全的閉環管控。總體方案框架設計主要以保障工控系統中的主機、網絡、應用軟件(控制軟件、組態軟件)以及控制器安全為主要目標,并符合國家相關政策要求,同時參考國內外工控系統安全防護的先進措施,構建一套符合業務運行特點、滿足生產安全需求的防護體系。通過技術、管理和運行三個方面措施,保障集團工控系統的安全。
3.2對外網站系統安全監測與保障體系專題
通過部署網站安全監測系統,監測全集團現有網站是否正常服務、是否被篡改和掛馬、漏洞情況等,對發現的問題及時驗證并通知相關人員。研究未來全集團網站的安全建設模式,如網站群,在物理上將二、三級單位的網站集中部署并進行安全防護。這在成本及安全專業性方面,都優于各自分散建設。注重運營體系的目標管理和過程管理,按照事前、事中、事后三個維度,通過網站漏洞管理、網站威脅管理、網站安全事件管理三個部分,分別建立對外網站安全的事前預防、事中監測防護和事后發現響應。
3.3統一安全監測、預警與審計系統建設專題
統一安全監測、預警與審計系統負責對安全事件的監測、審計,實現安全事件的預警和通報,并對漏洞的生命周期進行管理。系統的管理范圍是集團本地化應用系統、集中部署系統和全集團廣域網,以日志信息和流量信息為展示基礎,通過大數據等分析工具進行關聯分析,實現安全事件監控、預警。系統設計為三層架構,分別是數據處理、數據分析和展示層。
3.4應急體系專題
通過制定應急管理要求、應急預案、應急手冊,進行應急演練和日常應急響應,建立完善的應急體系。
3.5移動平臺安全防護專題
由于移動辦公、移動門戶應用基于互聯網,應從集團角度制定移動應用安全要求及移動應用安全解決方案,從而對移動應用安全建設進行規范。
3.6網絡安全防護專題
網絡安全防護專題包括局域網安全建設、無線網安全建設、廣域網流量分析建設三個部分。局域網和無線網部分主要制定安全防護方案,如提出局域網的區域劃分標準,指導分區分域,提出各區域之間的防護策略;廣域網部分主要考慮在集團總部和二級單位節點部署流量分析設備。
3.7數據安全防護專題
數據安全保障方案分為兩部分:一部分是對數據的安全管理要求,一部分是數據的安全防護方案。從數據的整個生命周期角度出發,對數據傳輸、數據存儲、數據操作、數據管理、數據銷毀等方面都提出安全要求和具體安全防護措施。同時,通過對數據進行梳理并分級分類,從而對不同級別的數據提出不同的安全要求。通過基于數據安全治理的分級防護解決方案的實施,形成具備“智能識別、主動防護、監控響應”能力的全面一體化防護體系,達到“防失密、防泄密、防濫用”的目標。
3.8數據備份與容災專題
按照統一規劃、統一建設原則,開展集團集中式災備中心建設,且二級單位災備建設納入集團災備體系統一考慮。通過對全集團的數據備份與容災需求進行調研,提出數據備份與容災系統建設方案,確定具體技術路線和關鍵產品選型。研究各種技術路線的優缺點,明確各路線實現的前提(如對網絡質量、帶寬的要求等),確定同城災備中心和異地災備中心的策略和產品規格。對全集團業務系統的容災策略進行分級,針對不同容災級別的系統確定不同的容災策略。業務連續性級別從一級到四級,容災策略包括同城和異地、應用級和數據級。數據級容災技術可以劃分為數據備份和數據復制兩類。集團三級以下系統的異地容災策略為數據級備份,因此可以選擇數據備份的技術路線進行方案設計。集團四級和三級系統,在同城應用級災備方面確立了不同的容災策略,可以分別選擇適當的數據復制技術來設計容災方案。但是,從數據復制架構的統一性和易管理性方面考慮,推薦兩者采取相同的技術路線進行設計和建設。就目前電力行業在業務連續性管理領域的成功實踐經驗而言,應用級容災技術路線,主要包括主備模式(Active-Standby)和雙活模式(Active-Active)兩類。通過比較和分析,建議集團四級系統同城應用級互備采用雙活模式,四級異地應用級主備和三級同城應用級主備采用主備模式。
3.9信息安全綜合管理系統專題
通過部署信息安全綜合管理系統,實現集團對各二、三級單位的信息安全管控工作支撐,包括等級保護、信息安全檢查、風險管理、信息安全事件管理、安全策略管理、資產管理、整改規劃管理和報表管理。信息安全綜合管理系統采取集團統一部署,多級應用模式。
3.10漏洞和補丁集中管理專題
通過部署漏洞管理系統,對應用系統、主機、網絡等的漏洞進行集中發現、跟蹤;制定補丁管理策略,部署補丁管理系統對補丁進行自動分發。
3.11統一身份管理平臺專題
通過對集團統一身份管理平臺現存的問題進行研究,制定平臺現存問題的解決方案。PKI(PublicKeyInfrastructure)指用公開密鑰的概念和技術來實施和提供安全服務的具有普適性的安全基礎設施[2]。基于PKI建立統一用戶管理系統,對集團總部和二級單位分別部署的統一用戶管理系統實行聯邦認證,實現總部/二級單位的門戶級聯。由總部統一制定身份管理相關規范,各二、三級單位參照執行。
3.12實驗室技術能力建設專題
為配合集團信息安全實驗室的建立,需要配套建設一系列安全檢測技術支撐工具,使實驗室能夠真正具備進行信息安全檢查、測評、應急響應、專業培訓等能力。
3.13企業私有云信息安全防護專題
在集團信息化規劃中,企業私有云為集團總部和二、三級單位提供統一資源和統一服務。云安全解決方案從云平臺安全和云服務安全兩個角度進行設計。云平臺的方案設計需先對云進行風險評估,然后從虛擬化、數據防泄露、云邊界安全等角度,對云平臺的整體安全進行設計,提出云安全產品的技術方向分析和選型建議。在云計算的基礎上,實現云安全服務,為集團提供安全事件響應、基礎設施漏洞的修復、應用漏洞檢測、應用防護、主機安全策略優化、云身份認證、安全操作運維等服務。
4結語
信息安全技術防護體系的建立要通過實施信息安全項目來實現。研究和設計過程中形成了可行的建設路線,并最終形成項目卡片,包括實施計劃和投資估算。后續將通過一系列項目的實施,并輔以組織和制度方面的完善,提升集團信息安全能力和安全防護水平。
作者:王靜 單位:國家電力投資集團公司
參考文獻:
[1]公安部.GB/T22239-2008.信息系統安全等級保護基本要求[S].2008
第二篇:軍工企業工業控制系統信息安全
摘要:
隨著兩化融合的不斷推進,使工業控制系統信息安全問題逐步顯現。文章從軍工企業工業控制系統信息安全現狀入手,分析了軍工企業工業控制系統信息安全存在的風險,并對軍工企業工業控制系統信息安全的應對策略提出了建議。
關鍵詞:
軍工企業;工業控制系統;信息安全
隨著計算機和網絡技術的發展,特別是信息化與工業化得深度融合(即兩化融合),工業控制系統在軍工企業中的應用逐漸深入到生產制造的各個環節,它一方面提高了企業信息化和綜合自動化水平,另一方面實現了生產和管理的高效率、高效益。對于軍工企業生產制造能力起到了十分重要的作用。軍工企業作為國防科技工業的重要軍工制造力量,一直都是國內外間諜組織關注的重點目標。近年來,全球發生的多起針對工業控制系統的攻擊事件給人們敲響了警鐘。如何應對工業控制系統信息安全風險,是在兩化融合形勢下需要解決的現實問題。
1軍工企業工業控制系統信息安全現狀
近年來,軍工企業為了提高生產率和生產的靈活性,自動化技術及聯系自動化“孤島”的工業控制系統得到了日益廣泛的應用。隨著ERP及MES等系統的實施,信息化的觸角已經延伸到軍工企業各個生產單元,包括零件制造、產品組裝等等。軍工企業工業控制系統在享受開放、互聯技術帶來的技術進步、生產效率提高與競爭力大大增強的同時,也面臨著越來越嚴重的安全威脅。
1.1對工業控制系統信心安全重視不夠
多年來,軍工企業大都注重于管理網(尤其是涉密網)的信息安全,對于工業控制系統信息安全關注不多,重視不夠。即使對工業控制系統采取策略,大多也是針對生產流程,缺乏對信息安全問題的高度重視,并且,所采取的安全策略和防護方法大都參照管理網的防護措施開展,但目前信息安全的許多技術措施和設計準則制度如認證、訪問控制、消息完整性、最小權限等大多只適用于普通計算機或網絡設備,而工業控制系統并不在傳統的信息安全防護范疇,致使所部署的信息安全解決方案會影響到企業生產運營,造成部分企業消極應對工業控制系統信息安全防護。
1.2對國外產品依賴大
目前,軍工企業很大一部分工業控制系統主要軟件、硬件、通信設備、技術標準基本上都引進自國外。以數控設備為例,國外的比例已經達到50%以上,西門子、羅克韋爾、IGSS等國際知名廠商生產的工業控制設備占據我國工業控制系統的主要地位。而數控操作系統國外產品的使用率更是達到了70%以上,國產的工業控制系統往往也都采用國外的產品和技術。這種情況下,國內對于國外產品的“底細”了解的并不完全清楚,缺乏核心知識產權,技術漏洞主要從國外公開報道中得知,安全防護缺乏主動權。
1.3與管理網數據交換隱患大
軍工企業工業控制系統主要用于下發、接收工業控制指令進行生產加工活收集各設備運行狀態信息,這些都需要將工業控制系統與管理網(大多是涉密網)進行連接以便進行數據交換。由于工業控制系統本身的復雜性和封閉性,暫還不能對工業控制系統實施有效技術管控。當工業控制系統組成一個龐大網絡時,其運行安全風險急劇加大,核心數據易被攻擊者竊取或篡改破壞。
2軍工企業工業控制系統信息安全所面臨的風險
由于工業控制系統使用的通用協議、應用軟件、安全策略甚至硬件上存在諸多的安全缺陷,結合軍工企業管理實際,風險主要包括工業控制系統自身風險、人員風險和維修風險。
2.1工業控制系統自身風險
主要包括與工業控制系統相關的硬件和軟件的風險。硬件風險主要表現在工業控制設備各種外部接口功能復雜,難以監管,給外部設備接入帶來極大便利,同時使用的可控制編輯器(ProgrammableLogicController,PLC)控制器、電腦工作站、網絡設備和交換機以及由路由器產生漏洞易造成信息安全風險;軟件風險主要包括操作系統平臺(如Windows操作系統)、工業控制系統和應用軟件漏洞引發的風險。由于工業控制系統的獨立性,考慮到系統的穩定運行,很多時候不會對Windows平臺安裝補丁及殺毒軟件,這存在著較大的安全威脅。
2.2人員風險
軍工企業生產現場環境復雜開放、人員流動較大,系統操作人員多為非密人員,保密意識比較淡薄,保密技能掌握不熟練。在工作中,操作和使用工業控制系統幾乎無限制。
2.3維修風險
軍工企業個別工業控制系統的維修管理難以有效掌控。部分進口工業控制系統需要通過互聯網遠程連接進行故障診斷,外來維修人員因技術保密需要使用自身便攜式計算機進行設備診斷等。維修設備接入互聯網或外來介質設備,帶來極大的安全風險。
3軍工企業工業控制系統信息安全應對策略
軍工企業在保證工業控制系統保密性、完整性及可用性的前提下,建議從國家、工業控制生產和防護企業及軍工企業用戶等3個層面開展以下幾方面應對工作:
3.1國家層面
(1)加快工業控制系統信息安全體系建設。加強對工業控制系統安全防護工作的組織領導和宏觀規劃,通過開展調查研究等方式,深入研究我國工業控制系統的行業特點和需求,明確工業控制系統的安全防護策略,形成我國自主的工業控制系統安全體系。(2)完善工業控制系統信息安全相關政策法規及技術標準。借鑒歐美國家先進管理經驗及防護標準,結合國內實際情況,制定“工業控制信息安全管理辦法”及“工業控制系統信息安全防護標準”“工業控制系統信息安全防護指南”等頂層指導性文件。(3)開展工業控制系統風險評估工作。由國家機關組織專業的第三方機構,對重點軍工制造企業的關鍵工業控制系統實施定期的漏洞分析與風險評估工作,以保證軍工企業關鍵工業控制系統安全穩定運行。
3.2工業控制生產和防護企業
(1)進一步提國產技術和產品的安全性,加快研發工業控制系統安防的技術和產品。當前,軍工企業工業控制系統大量采用國外產品,依賴性較大,加強技術革新,堅持自主研發、自主創新的道路,使國產軟件滿足我國本土需要的同時,具有更高的安全性和可靠性,以從容應對大型系統、復雜系統及特殊領域自動化系統面臨的安全性問題。(2)大力推進信息安全防護企業的研發力度,引導社會科研力量關注工業控制系統安全基礎理論、關鍵技術等重點課題,吸引社會資源參與工業控制系統信息安全防護研發。
3.3軍工企業
(1)建立工業控制系統信息安全責任制。軍工企業應按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則,建立健全信息安全責任制。明確工業控制設備和工業控制系統的歸口管理部門,明確管理職責,同事,建立人與設備一一對應制度,即一臺工業控制設備指定一個責任人,設備的安全由指定人員負責,出現問題由其承擔。(2)加強工業控制系統的信息安全管理。采取技術措施與管理措施相結合的方法。在技術方面,采用簡單易行的技術,力求不影響工業控制系統的實時性;在保證系統功能和性能的前提下,盡量減少通信信息技術的使用。在管理方面,采取對工業控制系統單獨組網的方式,實現與管理網的物理隔離,采取設備專用窗口機刻錄光盤的方式進行數據交換;指定工業控制系統信息數據交換介質為光盤;定期對工業控制系統進行監督檢查,重點關注維修環節,重點檢查外來介質設備的使用情況。(3)開展工業控制系統信息安全教育。主要包括對工業控制系統操作人員和信息安全管理人員的教育。通過定期開展專項信息安全教育,使其知悉工業控制系統存在的安全隱患及風險,結合國際國外典型攻擊案例,促進其在日常工業中養成按章操作的良好習慣,不斷提升信息安全方面的專業技能。
4結語
工業控制系統已經成為軍工制造企業提高生產力和提升生產效能的有力武器,目前,工業控制系統信息安全問題并沒有十分完備的解決方案,國家有關部門應加快工業控制系統信息安全體系建設的步伐,明確工業控制系統信息安全防護方案,開展定期風險評估提出風險應對方案,通過提高自主可控產品的研發能力,提升國產工業控制系統設備競爭力,才能真正確保軍工企業工業控制系統的信息安全。
作者:孫尚敏 單位:沈陽飛機工業(集團)有限公司
[參考文獻]
[1]楊建軍.工業控制系統信息安全標準化[J].信息技術與標準化,2012(3):20-23.
[2]尹肖棟.論工業控制系統信息安全監控管理建設[J].計算機,2013(20):168-170.
[3]李戰寶,張文貴,潘卓,等.美國確保工業控制系統安全的做法及對我們的啟示[C].北京:第27次全國計算機安全學術交流會(論文集),2012:51-53.
[4]劉斌.從“震網”病毒看工業控制系統的安全[J].科技廣場,2012(8):55-57.
[5]韓曉波.企業工業控制網絡安全技術探討及實現[J].自動化及儀表,2012(4):498-503.
[6]何之棟.工業控制系統的信息安全問題研究[J].工業控制計算機,2013(10):1-4.
第三篇:企業信息安全建設虛擬化威脅感知技術
摘要:
面對信息化建設進程的快速推進,如何有效實現風險防控,建立先進實用、安全可靠的信息安全保障體系,是大型企業都要面臨的嚴峻考驗。分析了大型企業在信息化建設中面臨的各種安全風險和信息安全防護工作的主要特性,提出了具有實踐意義的信息安全防護體系建設思路。分析了大型企業信息安全建設虛擬化環境面臨的威脅,設計出一種虛擬化安全威脅感知系統,該系統由威脅情報平臺、本地檢測系統和數據分析平臺組成。
關鍵詞:
信息安全;安全風險;安全防護;威脅感知
1引言
網絡與信息安全風險隨著信息化建設的加速推進和發展而增高,企業必須高度重視網絡與信息安全體系的建設。于2016年4月19日在網絡安全和信息化工作座談會[1]上明確指出:網絡安全和信息化是相輔相成的,安全是發展的前提,發展是安全的保障,安全和發展要同步推進。大型企業作為國家經濟的主體,信息安全工作十分重要且繁雜,既要考慮信息安全對企業管理、運營以及社會、經濟效應的影響,又要考慮企業肩負的法律與社會責任乃至國家安全責任。隨著云計算、大數據、物聯網、移動應用(簡稱“云大物移”)等新技術的迅猛發展,新技術的快速應用與落后的企業傳統信息安全管理之間的矛盾日益凸顯。大型企業如何建立有效的信息安全保障體系、形成基于自身特點的防護策略、有效提升信息安全防護與管理水平、加強網絡安全防御和威懾能力,是當前大型企業信息安全工作面臨的首要任務。
2大型企業信息安全建設現狀
在國家“積極防御、綜合防范”的信息安全戰略引領下,企業對信息安全給予高度重視,已將信息安全建設視為企業發展戰略的重要組成部分,正在陸續加快信息安全自身能力建設。但總體來看,多數企業的信息安全保障體系建設仍有待完善。大型企業信息安全建設宜從以下幾方面入手。
2.1信息安全威脅源
企業要從自身的社會和經濟價值出發,全面分析企業面臨的安全威脅,既要明確威脅源的等級,也要結合企業安全責任來分析威脅。企業必須全面梳理信息安全需要保護什么、為什么保護和如何保護等關鍵問題,明確對現實中的安全威脅和未來可能的安全風險的預期。企業可能的威脅源如圖1所示。大型企業擁有大量商業及企業機密,容易成為惡意競爭對手和黑客集團的攻擊對象,生產經營中的大量有價值的數據信息,可能成為不法分子和黑客獲取利益的目標。部分企業涉及國家科研、國防等重要領域,承擔國家重要基礎設施建設,擁有重要的國家機密,容易被敵對勢力及政治團體選中作為主要的攻擊對象。敏感信息泄露、重要數據被破壞、業務系統被非法控制、商業信譽遭惡意言論攻擊,任意一種情況都將造成重大社會影響,甚至危及國家安全。
2.2企業的自身特性
信息安全工作不能是盲目的、通用的建設工作。信息安全工作首先應該從企業自身特性入手,做好常規安全措施的同時,深挖企業安全薄弱點進行加固、加強,有點有面,才能保證信息安全工作的效果。大型企業與信息安全建設緊密相關的特性如下。(1)資產規模大、分布廣泛大到企業生產經營、金融財務,小到企業知識產權、生產工藝、流程配方、方案圖紙、客戶資源及各種數據,都是企業長期積累下來的財富,關系到企業的生存與發展,是企業安全防護的重要保護對象。這些龐大的無形及有形資產廣泛分布于企業的各個系統中,給信息安全防護帶來更高的要求。(2)網絡覆蓋廣、需求復雜企業網絡和系統結構復雜、交互需求多樣。很多集團類大型企業信息網絡由總公司、本地下屬工廠、子公司獨立建成局域網,并形成各自的應用系統,總公司整合分散的局域網構成總公司級局域網,并形成總公司級的應用系統,如ERP(enterpriseresourceplanning,企業資源計劃)系統和OA(officeautomation,辦公自動化)系統,再發展到利用專線將跨省市的外地子公司及下屬工廠的局域網相連,形成了復雜的網絡環境及系統結構。有些大型企業各地內部相關系統與其他單位系統有相互訪問的需求,部分大型企業既承擔著民用設施的建設,又涉及軍工設備的制造,這些特點都是企業信息安全應重點關注的問題,也給信息安全工作提出了不同的防護需求。(3)安全管理難、風險較高大型企業人員眾多、信息安全管理工作涉及面廣、管理工作相對繁雜。安全培訓工作的全面開展、員工安全防護意識培養、辦公系統與生產系統安全的區分管理、應用系統安全的統一建設、安全機制建設漏洞與安全保障措施執行力度檢查,都是企業信息安全工作的重要部分,如果有一個環節被不法集團利用,就容易形成“木桶效應”,會給原有嚴密規劃的縱深安全防御體系造成漏洞。
2.3信息化安全的建設過程
企業的信息安全工作應該融入自身信息化建設過程中。IT技術產品的應用不僅要符合企業架構與流程的變化,也要充分考慮信息安全的問題,加大信息化建設中“人”的安全意識、IT技術產品的安全性[2],在信息化建設規劃的同時,開展信息安全防護研究和配套安全設施的建設。目前多數大型企業在業務系統和辦公終端的管理建設中,并未建立全面統一的漏洞狀況監控系統,也未建立終端補丁統一管理、補丁統一分發的安全控制系統,使得系統及終端在補丁及時更新、漏洞全面修復等方面不具備條件,企業內部信息安全由于漏洞修復不及時、不全面而陷于大量的威脅之中。
3企業虛擬化環境威脅梳理
3.1傳統防護手段面臨失效
高級持續性威脅(APT)是一種可以繞過各種傳統安全檢測防護措施,通過精心偽裝、定點攻擊、長期潛伏、持續滲透[3]等方式,伺機竊取網絡信息系統核心資料和各類情報的攻擊方式。事實證明,傳統安全設備已經無法抵御復雜、隱蔽的APT攻擊。幾乎所有被曝光的APT攻擊都是以入侵者的全面成功而結束,在這些已公開的APT攻擊中,傳統安全設備的防御體系均被輕易繞過而失去防御能力。在某些APT攻擊的案例(如震網攻擊、夜龍攻擊)中,傳統安全防御設備甚至在長達數年的持續攻擊中毫無察覺,傳統安全設備無法抵御網絡攻擊的核武器——APT。傳統安全防御體系的框架一般包括:接入控制、安全隔離、邊界檢測/防御、終端防御、網絡審計、訪問控制等,所涉及的安全產品包括:防火墻、IDS/IPS、殺毒軟件、桌面管理軟件、網絡審計、雙因素認證token等。從傳統安全防御體系的設備和產品可以看出,這些產品遍布網絡2~7層,其中,與APT攻擊相關的7層設備主要是IDS、IPS、審計,而負責7層檢測的IDS、IPS采用經典的CIDF檢測模型,該模型最核心的思想就是依靠攻擊特征庫的模式匹配完成對攻擊行為的檢測。反觀APT攻擊,其采用的攻擊手法和技術都是未知漏洞(0day)、未知惡意代碼等未知行為,在這種情況下,依靠已知特征、已知行為模式進行檢測的IDS、IPS在無法預知攻擊特征、攻擊行為模式的情況下,理論上就已無法檢測APT攻擊。(1)多變的攻擊手段這些由黑色產業鏈或國家驅動的APT攻擊通常都具備強大的攻擊手段和技術,且手法多樣,在一次攻擊過程中經常采用多種手段和技術,包括社會工程學攻擊、0day漏洞利用、免殺木馬、定制化工具、逃逸技術等,尋找內部安全薄弱環節,所以可以屢屢得手,很難被發現。(2)攻擊隱蔽性強在大部分APT攻擊中,攻擊者針對不同的攻擊目標會采用不同的策略,并在攻擊前有針對性地進行信息收集,準備特定的攻擊工具,攻擊發起的整個過程時間可長可短,少則數小時,多則潛伏數月、數年,由于這些攻擊均會使用高級免殺技術以逃避傳統安全設備的特征檢測,因此隱蔽性極強。(3)攻擊目標明確APT攻擊往往具有明確的攻擊目的,如竊取有價值的數據、破壞重要系統等,由于傳統防護手段很難對此類攻擊有防護效果,一旦受到攻擊,其對企業和單位所造成的危害也是直接而巨大的。在安全形勢極不樂觀的環境下,如何擺脫傳統思路,尋求精確的APT攻擊檢測方法是亟待解決的問題。
3.2免殺木馬無法檢測
木馬(trojan),也稱木馬病毒,是通過特定的程序(木馬程序)來控制另一臺計算機的軟件。木馬通常有兩個可執行程序:控制端和被控制端。木馬程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也并不“刻意”地去感染其他文件,它通過將自身進行偽裝吸引用戶下載執行,向施種木馬者提供打開被種主機的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種主機。在APT攻擊中,通常使用“免殺木馬”,這類木馬會利用加冷門殼、加花指令、改程序入口點、修改內存特征碼等免殺技巧來避免自身被殺毒軟件查殺。
3.3大量內網數據無法有效利用
APT攻擊通常都會在內網的各個角落留下蛛絲馬跡,真相往往隱藏在網絡的流量中。傳統的安全事件分析思路是遍歷各個安全設備的告警日志,嘗試找出其中的關聯關系。但根據上文的分析,由于APT攻擊的隱蔽性和特殊性,傳統安全設備通常都無法對APT攻擊的各個階段進行有效的檢測,也就無法產生相應的告警,安全人員花費大量精力進行告警日志分析往往都是徒勞無功。如果采用全流量采集的思路,一方面是存儲不方便,每天產生的全流量數據會占用過多的存儲空間,組織通常沒有足夠的資源來支撐長時間的存儲;另一方面是全流量數據包含了結構化數據、非結構化數據,涵蓋了視頻、圖片、文本等多種格式,無法直接進行格式化檢索,安全人員也就無法從海量的數據中找到有價值的信息。因此,如何以恰當的方式長時間保存對安全分析有價值的流量數據,是檢測、回溯APT攻擊必須解決的問題。
4企業信息安全建設思路
大型企業的信息安全建設,首先應明確安全需求,制定企業總體安全防護策略。在總體策略的指導下,開展針對企業自身特性的安全防護體系建設,規劃和設計總體防護結構,形成信息安全防護技術典型設計。在堅持和落實企業防護策略的基礎上,逐步標準化技術要求、細化技術措施,最終形成人員、管理、技術的有效措施。
4.1制定與落實企業總體防護策略
企業要深入分析梳理各級工作內容、明確方針策略和防護原則、構建安全防護總體策略。通過安全管理、人員組織、工作機制、標準規范、技術措施、運行管控等手段規范指導企業的信息安全建設工作,確保信息安全策略的一致性,在具體方案中堅持策略。公司各級單位要根據總體防護策略并結合自身實際,在遵循主體內容不變的基礎上開展信息安全防護工作。企業的防護策略要有穩定性和前瞻性,要結合技術和業務發展趨勢,一方面需針對“云大物移”等新技術的引入,從宏觀上對技術應用帶來的風險進行綜合考慮,對在建項目在規劃階段就展開安全防護研究和運行管控;另一方面不斷提升自身認知,保障企業的安全方針和策略要在一段時期內持續有效,形成規劃總體防護策略的演進線路,以適應或引領企業信息安全的發展潮流。
4.2規劃與設計總體防護結構
企業要明確內部各級單位各類場景的防護需求、規劃和設計總體防護結構。總體防護結構要遵循國家有關信息安全法規、標準和行業監管要求[4],堅持“規劃定級、標準設計、全面建設、有效防護”的工作原則,有效銜接自身安全防護體系和國家防護體系,形成企業內部、外部有效協同和整體聯動機制。企業總體防護結構要充分結合自身特點展開設計,要實現管理技術與技術體系的融合,有效支撐業務安全發展。企業在總體防護結構的框架下,繼承和鞏固已有的成果,逐步細化完善各級保護標準,開展新技術、新制度的創新應用。
4.3構建全生命周期的管理機制
在健全信息安全規章制度、加強安全管理體系、安全技術體系、安全運維體系的基礎上,企業應構建全生命周期的管理機制。規范風險控制方法和工作流程,強化信息安全風險識別、風險評估、措施制定、過程控制和應急處置等工作,從信息化管理機制、規章制度、標準規范、設備設施、軟件質量、人員管理等多方面出發,將信息安全貫穿信息系統規劃、設計、研發、建設、施工、運維到銷毀等生命周期的全過程和信息化全部領域,形成有效的企業信息安全體系,融入信息化管理各項工作中。同時,企業應健全和完善信息化考核評價管理體系,建立信息化建設與運行過程情況的有效描述模型,幫助企業識別相關技術與管理的不足,逐步改善信息化過程,達到持續改進的目標。
4.4提高信息安全動員和協調能力
在信息安全技術威脅復雜多變的新形勢下,企業需提高信息安全協調動員能力,確保發生重大安全事件的追查處理能力。從企業組織機構設置、人員隊伍建設和管理機制方面進行建設提升,提高企業的信息安全動員能力,形成分工明確、專業處置、快速響應的信息安全管控隊伍;建設網絡安全事件應急處置工作機制,做到積極預防、及時發現、快速響應、確保恢復。企業需提高各個業務部門的安全協作意識,確保防護策略能夠有效貫徹和落實到各個業務部門,確保系統建設從規劃設計、上線運行到下線報廢的各個環節都在安全部門的有效監管下進行,安全部門在防護方案、安全測評、安全運行和應急響應等各個方面提供支撐服務,以形成高效的安全管控機制。
5虛擬化安全威脅感知系統架構設計
5.1虛擬化安全威脅感知系統的組成
(1)威脅情報平臺為保障虛擬化網絡的安全,避免重要機密和信息被竊,需要建立基于大數據分析的威脅情報平臺。基于大數據分析的威脅情報[5]平臺,可通過對互聯網上的海量數據進行深度挖掘,從而有效發現APT攻擊,生成威脅情報。(2)本地檢測平臺傳統防病毒網關和殺毒軟件對于免殺木馬的查殺無能為力,為有效檢測網內的免殺木馬,應該建立本地檢測平臺。本地檢測平臺可對APT攻擊的核心環節——惡意代碼植入進行檢測,與傳統的基于惡意代碼特征匹配的檢測方法不同,基于多引擎沙箱的本地檢測平臺采用的多引擎沙箱方法可以對未知的惡意代碼進行有效檢測,可以避免因為無法提前獲得未知惡意代碼特征而漏檢的問題,在無需提前預知惡意代碼樣本的情況下,仍然可以對惡意代碼樣本進行有效的檢測,因為免殺木馬是APT攻擊的核心步驟,因此對未知惡意代碼樣本的有效檢測,可以有效解決APT攻擊過程中的檢測問題。(3)數據分析平臺為有效發現網絡內部的安全問題,必然需要對網絡內部的流量信息和終端的日志信息進行抓取,這必然帶來如何在海量數據中快速搜索有用信息的問題。為了解決這個問題,應該建立基于搜索技術的數據分析平臺。基于搜索技術的數據分析平臺可對本地抓取的海量數據進行快速檢索從而進行高效分析,對內網的攻擊行為進行歷史回溯。
5.2本地信息處理
本地信息采集是通過虛擬化安全威脅感知系統傳感器[6](采集設備)對網絡流量進行解碼,還原出真實流量提取網絡層、傳輸層和應用層的頭部信息,甚至是重要負載信息,這些信息將通過加密通道傳送到分析平臺進行統一處理。分析平臺承擔對所有數據進行存儲、預處理和檢索的工作。由于傳統關系型數據庫在面對大量數據存儲時經常出現性能不足的問題導致查詢相關數據緩慢,因此分析平臺底層的數據檢索模塊需要采用分布式計算和搜索引擎技術對所有數據進行處理,通過建立多臺設備的集群以保證存儲空間和計算能力的供應。
5.3本地沙箱檢測
虛擬化安全威脅感知系統通過檢測器對文件進行高級威脅檢測,威脅器可以接收還原自采集器的大量PE和非PE文件,使用靜態檢測、動態檢測等一系列無簽名檢測方式發現傳統安全設備無法發現的高級威脅,并將威脅相關情況提供給安全管理人員。檢測器上的相關告警也可發送至分析平臺,實現告警的統一管理和后續分析。
5.4云端威脅情報
5.4.1大數據分析
虛擬化安全威脅感知系統依托IP、DNS、URL、文件黑白名單信譽數據庫[7],對互聯網上活躍的任何一次攻擊進行記錄。DNS庫、樣本庫以及主防庫需要定期維護更新,因為要發現未知威脅需要真實網絡環境下的大量數據支撐。
5.4.2數據處理
通過DNS解析記錄、樣本信息、文件行為日志等內容,對全網抓取數據、可視化的分析數據以及其他多個維度的數據進行關聯分析和歷史檢索,依賴于虛擬化安全威脅感知系統發現APT攻擊組織信息,并不斷地跟蹤相關信息,依賴于海量數據對攻擊背景做出準確的判定。
5.4.3確認未知威脅
所有大數據分析出的未知威脅都通過專業的人員進行人工干預,做到精細分析,確認攻擊手段、攻擊對象以及攻擊的目的,通過人工智能結合大數據知識以及攻擊者的多個維度特征還原出攻擊者的全貌,包括程序形態、不同編碼風格和不同攻擊原理的同源木馬程序、惡意服務器(C&C)等,通過全貌特征“跟蹤”攻擊者,持續地發現未知威脅,最終確保發現的未知威脅的準確性。
5.4.4情報交付
為了將云端的攻擊發現成果傳遞到管理側,虛擬化安全威脅感知系統將所有與攻擊相關的信息(如攻擊團體、惡意域名、受害者IP地址、惡意文件MD5等)進行匯總,按照標準格式封裝成威脅情報,并通過加密通道推送到管理側的威脅感知系統。作為系統整個方案的核心內容,威脅情報承擔了連接互聯網信息和本地信息的重要作用,為APT事件在管理側的最終定位提供了數據線索和定位依據。
6某大型企業的信息安全建設實踐
某大型企業在“十一五”期間,遵循國家信息安全戰略,提出了信息安全保障體系的建設需求,制定了信息安全防護體系總體策略,按照“雙網雙機、分區分域、等級防護、多層防御”的總體思路,建成了以“三道防線”為基礎的總體布防結構,初步建設了信息安全等級保護縱深防護體系。在“十二五”期間,通過信息安全頂層設計,確立安全方針和策略,形成多層次、系統性的規范文件,并在規范文件的指導下,建立信息安全管理體系、技防體系和技術體系。安全管理和各類防護措施進一步細化,持續完善管理與制度保障體系,建立有效管理機制,推進自主可控安全建設,開展人才隊伍管理與建設,從人才技術水平提升、技術裝備提升兩方面提升信息安全專業隊伍水平。展望“十三五”,該企業充分考慮新技術安全需求與挑戰,提出了“可管可控、精準防護、可視可信、智能防護”的安全防護理念,強化了網絡與信息安全技術檢查、網絡與信息安全內控、網絡與信息安全基礎防護和信息安全動員等能力建設,對信息安全主動防御體系進行優化提升,為新技術應用安全防護提供技術路線,保障信息化戰略的創新演進,為信息安全防護體系創新提供了新動力。
7結束語
新型國家信息安全形勢下,針對大型企業信息化建設進程中存在的風險、特性和實際訴求結合當前虛擬化網絡環境設計出一種基于大數據分析的虛擬化安全威脅感知系統。詳細闡述了企業信息安全工作需要考慮和關注的問題,提出了大型企業信息安全建設的總體思路,并列舉了某大型企業的信息安全建設實踐。大型企業信息安全防護,只有通過持續不斷地創新建設,不斷優化和完善企業信息化管理體系,遵守符合各種業務發展需要及國家行業政策的要求,才能使企業的信息安全保障能力和風險管控能力不斷提升到更高的水平。
作者:徐影 吳釗 李祉岐 單位:北京聯合大學 國網信息通信產業集團有限公司 北京國電通網絡技術有限公司
參考文獻:
[1]在網絡安全和信息化工作座談會上的重要講話[EB/OL].
[2]互聯網時代的企業安全發展趨勢專題研究報告[EB/OL].(2013-09-24)
[3]閆世杰,陳永剛,劉鵬,等.云計算中虛擬機計算環境安全防護方案[J].通信學報,2015,11(1):15-36.
[4]中國電子信息產業發展研究院.信息安全產業發展白皮書(2015版)[R].[S.l.:s.n.],2015.