新形式下進一步提高信息安全管理水平的思路

徐金偉

[摘要]作者最近考察了一些民營的專業信息安全公司，參加了他們有關信息安全發展思路的討論，并聽取了公司戰略主管的介紹，感到很有啟發，特將其中的部分思路梳理出來，供從事信息安全建設的單位和同行參考。

[關鍵詞]信息安全發展思路；兩個平臺一個服務

1 引言

近年來，隨著我國網絡安全法制化的進程不斷加快和網絡安全防護技術發展及網絡安全人才培養機制的逐步完善，我國關鍵基礎網絡和重要信息系統的安全防護能力有了很大的增強。為我國建設網絡強國的戰略規劃奠定了良好的保障基礎。然而，隨著網絡攻擊技術的不斷發展，我國仍然面臨著形形色色、層出不窮的網絡安全風險。

2016年4月19日中央在北京召開了《網絡安全與信息化工作座談會》，會上習近平主席發表了重要講話，在總結網絡安全與信息化的關系一節中提到：“加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力。”習主席的講話為我國信息安全技術的發展提出了明確的目標。

在目前形勢下，單位和企業如何規劃下一步的信息安全建設，完善已有的信息安全保障系統，提高現有的信息和網絡安全設備的管理水平，使其發揮最大的效能。是擺在每一位信息安全主管領導面前的新課題。在這里，我們提出一個提高信息安全管理水平的思路，供從事信息安全管理的領導和技術人員參考。

2 總體思路

2.1 政策依據

（1）GB 17859-1999計算機信息系統安全保護等級劃分準則：

（2）GB/T 20269-2006信息安全技術信息系統安全管理要求：

（3）GB/T 20278-2006信息安全技術網絡脆弱性掃描產品技術要求：

（4）GB/T 20275-2006信息安全技術入侵檢測系統技術要求和測試評價方法：

（5）GB/T 20945-2007信息安全技術信息系統安全審計產品技術要求和測試評價方法：

（6）GB/T 20984-2007信息安全技術信息安全風險評估規范；

（7）GB/Z 20985-2007信息安全技術信息安全事件管理指南：

（7）GB/T22080-2008信息安全技術信息安全管理體系要求；

（8）GB/T22081-2008信息安全技術信息安全管理實用規則：

（10）GB/T 22239-2008信息安全技術信息系統安全等級保護基本要求：

（11）GB/T 22240-2008信息安全技術信息系統安全等級保護定級指南。

2.2 技術思路

建設和優化信息安全防護平臺和可視化運維管理平臺，深入開展信息安全服務；技術思路可概括為建設“兩個平臺一個服務”。

2.3 系統邏輯架構

系統邏輯架構如圖1所示。

3 設計方案

3.1 信息安全防護平臺的組成

信息安全防護平臺應用模塊如圖2所示，包括但不限于八個模塊。

下一代防火墻：企業和單位根據自身資金投入現狀，對第一代防火墻進行升級和更新換代，選購符合行業標準GA/T 1177-2014《第二代防火墻安全技術要求》的千兆和萬兆新一代防火墻。

下一代入侵檢測和入侵防護系統：企業和單位根據自身資金投入現狀，對第一代入侵檢測和防護系統進行升級和更新換代，應選購可對全協議棧業務數據流進行解碼和規范化并可動態進行攻擊特征庫比對的新一代入侵檢測和防護系統。

高級逃逸技術防護：該模塊附有高級逃逸攻擊特征庫，與入侵檢測和防護系統配合使用，可有效地發現和防護高級逃逸技術攻擊。

主機安全加固：按照等級保護的技術要求和主機加固技術規范及各企業、單位所訂的安全基線進行安全加固。

Web應用防火墻：對Web訪問的要求進行內容過濾，消除SQL注入、網頁掛馬、目錄遍歷、惡意郵件等竊取、篡改用戶數據的應用訪問。

病毒防御系統：通過病毒墻和主機自動檢測，阻斷和消除由網絡、各種介質注入的病毒和惡意代碼。

數據安全防護系統：通過對數據庫、主機硬盤等數據的加密存儲和加密傳輸，保障用戶數據的安全。

終端安全系統：通過網絡的集中管理，使網絡終端具有統一的安全策略，以避免非法接入和非授權互訪。

3.2 可視化運維管理平臺的組成

可視化運維管理平臺如圖3所示，包括但不限于六個模塊。

運維基礎架構管理：網絡管理、系統管理和應用管理。網絡管理內容有單純的網元連通性管理和拓撲展示。網元包括路由器、交換機和各種網絡終端（含安全設備），顯示的網元參數有（端口、連通性和流量等）。系統管理內容有操作系統、CPU、內存、磁盤空間和服務器性能狀態監測等。應用管理內容有數據庫（表空間、連接數、事務響應等），中間件，Web服務器，E-mail服務器和安全設備等應用情況。

IT服務管理：IT服務管理是融合了網絡管理、主機系統管理、應用服務管理等各種IT因素的統一管理，IT服務管理模塊定義各種復雜的邏輯業務視圖，并把這些服務關聯到相應的IT設備上并要求上述各項管理數據的共享集中，互通互融，按著業務所依賴的IT服務資源建立模型，通過模型能夠綜合量化IT服務的總體服務品質。

網絡準入管理：在網絡主交換機和后臺認證服務器上設置網絡準入規則，阻止外部計算機進入內部網絡，以防止外部非授權訪問和內部信息的泄露。

運維3D全景展示：網絡主管理監視器通過SNMP/Agent/SSH/JDBC協議和方式采集網絡設備、網絡安全設備、部分業務應用及互聯網服務的狀態信息，實時顯示網絡物理拓撲、IT業務架構視圖。

APM應用性能管理：模塊核心的概念是從業務角度來管理IT元素。用戶IT架構從網絡、系統、應用和業務每個環節、每個節點、每個應用性能的好壞都直接影響到網絡和業務的正常運行。模塊采集和分析各個rr元素的性能數據，并最終通過SLA機制和業務視圖科學的映射出用戶業務的可用性和健康性。

安全運維審計系統：模塊是整個IT系統的堡壘機，系統功能包括日志/事件采集、日志/事件范式化、實時關聯分析、資產管理、脆弱性管理、實時監測告警、統計報表等功能。模塊在基于規則的實時關聯分析基礎上，引入大數據的歷史關聯分析能力，能進行流量、行為、內容的異常分析和基于模式識別的關聯分析及基于安全基線的異常檢測，可發現APT和高級逃逸攻擊的蛛絲馬跡。

3.3 信息安全服務的內容

信息安全服務的內容如圖4所示，包括但不限于十一個模塊。

信息安全風險評估：按《GB/T 20984-2007信息安全技術信息安全風險評估規范》實施。

內網區域安全防護服務：在內網部署桌面管理系統和WAF防火墻，定期對內網進行漏洞掃描，在此基礎上對存有漏洞的主機逐個進行技術加固，使其達到相應的安全等級要求。

云計算安全服務：按國標《GB/T 31167-2014信息安全技術云計算服務安全指南》和《GB/T 31168-2014信息安全技術云計算服務安全能力要求》實施。

安全培訓服務：安全形勢介紹、安全標準宣貫、信息安全檢測和防護技術培訓。

網絡入侵檢測與安全隱患分析：使用自動測試工具或人工分析用戶系統中IDS/IPS檢測日志。發現有無AET/APT攻擊的蛛絲馬跡。

安全運維與安全審計：使用自動測試工具或人工分析用戶系統中各種日志，查找系統中存在的安全脆弱性和漏洞。

可視化綜合運維服務：為用戶搭建可視化綜合運維的管理系統提供軟硬件設備。

信息安全體系建設規劃：在對用戶IT系統風險評估基礎上，按國標《GB/T22080-2008

信息安全技術信息安全管理體系要求》和《GB/T22081-2008信息安全技術信息安全管理實用規則》實施。

安全風險實時監控：此模塊屬于信息安全專業化服務范疇。在企業主干網接人端部署分光器或在企業網門戶網站入口旁路部署監測系統，實時檢測各種類型的攻擊。在企業主干網出口部署惡意代碼檢測系統，攔截和記錄竊密軟件回傳的信息，并定期向企業發出信息安全預警公告。

信息安全應急處理：此模塊屬于信息安全專業化服務范疇。能夠實施此服務的信息安全公司或國家信息安全檢查單位需編制有專業的信息安全應急分隊，具體處置按國標《GB/T 20988-2007信息安全技術信息系統災難恢復規范》實施。

信息安全態勢感知與預測：該模塊收集所有監測點信息并匯集各種安全設備發來的信息安全事件，這些信息包括格式化、半格式化和非格式化數據，通過歸一化處理后，與各種應用協議規范化模式庫進行比對，通過數學模型計算，篩選出疑似的異常信息，標明來源地和目標點，顯示在帶有用戶所在地地理信息系統的大屏幕上，形成用戶網絡與信息系統安全態勢圖，供信息安全管理人員參考和輔助決策。資金充足的企業也可借助全球威脅智能感知系統（GTI）提供的實時SaaS云安全服務達到信息安全態勢感知和預測的目標。

4 結束語

綜上所述，兩個平臺模塊采用的信息安全技術在我國信息安全行業大多都已是成熟的技術，我國重要的信息系統和基礎網絡，尤其是“8+2”行業，基本都已建有信息安全防護平臺和運維管理平臺；信息安全服務在我國也已開展了近十年，國內知名的民營信息安全專業公司和國家專控的信息安全機構每年都開展此項服務，許多服務內容和流程在業界也是耳熟能詳。“兩個平臺一個服務”實質上是對前些年信息安全建設的成果進行優化組合和更新換代，目的是使我國的信息安全防護技術更加實用，使我國的信息安全服務更貼近企業的業務應用并滿足企業的信息安全需求。我們相信，通過“兩個平臺一個服務”的建設必將進一步提高我國信息安全管理水平。