中央企業(yè)信息安全應(yīng)急響應(yīng)建設(shè)規(guī)劃

陳平 王步放 張海洋

（中國民航信息網(wǎng)絡(luò)股份有限公司研發(fā)中心 北京市 101318）

1 中央企業(yè)應(yīng)急管理現(xiàn)狀及問題

當(dāng)前中央企業(yè)網(wǎng)絡(luò)安全建設(shè)主要存在的問題有

（1）投入過多的漏洞掃描、基線檢查、滲透測試設(shè)備；

（2）事件監(jiān)控手段不足、事件管理流程不完善、應(yīng)急預(yù)案不完整、應(yīng)急演練不足；

（3）沒有從業(yè)務(wù)發(fā)展需求考慮應(yīng)急、不清楚應(yīng)優(yōu)先保障什么、不清楚應(yīng)該達(dá)到什么保障程度、責(zé)任人及分工不明確。

由于應(yīng)急工作沒有體系化管理，導(dǎo)致漏洞隱患密密麻麻，安全事件頻繁發(fā)生。

中央企業(yè)涉及業(yè)務(wù)較多，各部門、各分子公司對網(wǎng)絡(luò)安全的理解不一致，尤其對于邊界安全的理解，因此加強(qiáng)中央企業(yè)信息安全應(yīng)急響應(yīng)整體建設(shè)規(guī)劃意義重大。

2 應(yīng)急管理成熟度判斷依據(jù)

中央企業(yè)應(yīng)急管理要統(tǒng)籌規(guī)劃，在外層和內(nèi)層都要做好防護(hù)，在外層要滿足政策法規(guī)的要求[1]，在內(nèi)層要做好戰(zhàn)略目標(biāo)分解、深度結(jié)合業(yè)務(wù)、實(shí)現(xiàn)相應(yīng)安全技術(shù)相統(tǒng)一，杜絕出現(xiàn)外嚴(yán)內(nèi)松的情況，在具體落地實(shí)施時還要內(nèi)外動力相互傳遞，整體提升中央企業(yè)應(yīng)急管理質(zhì)量。

3 應(yīng)急體系建設(shè)思路

應(yīng)急體系建設(shè)思路，見圖1。

應(yīng)急體系建設(shè)工作需要統(tǒng)籌規(guī)劃，充分發(fā)揮人、業(yè)務(wù)、流程、設(shè)備的綜合作用。通過建立責(zé)任體系，將應(yīng)急工作做到責(zé)任到人、分級分權(quán)量化考核，充分調(diào)動保障人員的積極性；結(jié)合業(yè)務(wù)分析應(yīng)急工作應(yīng)該優(yōu)先保障什么、達(dá)到什么保障程度意義重大；通過對信息系統(tǒng)進(jìn)行分區(qū)分域安全規(guī)劃，各級各單位負(fù)責(zé)自身安全域的建設(shè)，集團(tuán)總部對各級單位的網(wǎng)絡(luò)邊界防護(hù)策略進(jìn)行統(tǒng)一規(guī)劃、集中管理、定期檢查，提升了集團(tuán)整體系統(tǒng)安全；通過應(yīng)急培訓(xùn)、演練可以提升集團(tuán)員工的實(shí)戰(zhàn)能力。

4 責(zé)任體系及流程建設(shè)

水平管理組織架構(gòu)在安全應(yīng)急工作中無法起到實(shí)質(zhì)性的作用，平行部門會因?yàn)橐幌盗性驘o法實(shí)施應(yīng)急建設(shè)工作。因此安全應(yīng)急工作必須采用垂直管理組織架構(gòu)，對部門、崗位及分工設(shè)置分級、分權(quán)、量化的考核機(jī)制才能起到實(shí)質(zhì)性作用。應(yīng)急管理工作分工見表1。

同時，還要保障安全管理部、業(yè)務(wù)部門、安全審計(jì)部三權(quán)分立，相互制約，才能保障集團(tuán)整體利益。

建立安全事件響應(yīng)管理體系，見圖2，涉及到的干系人主要包括用戶、聯(lián)絡(luò)點(diǎn)(PoC)、內(nèi)部IRT(Incident Response Team)、危機(jī)處理團(tuán)隊(duì)。聯(lián)絡(luò)點(diǎn)主要指客戶內(nèi)部的運(yùn)維團(tuán)隊(duì)，起到聯(lián)絡(luò)客戶業(yè)務(wù)團(tuán)隊(duì)和內(nèi)部IRT 之間的技術(shù)橋梁作用。

參照奇安信安服團(tuán)隊(duì)[2]安全事件處理流程，改進(jìn)后的安全事件處理流程如下。

（1）客戶發(fā)現(xiàn)信息安全事態(tài)后，首先交給運(yùn)維團(tuán)隊(duì)進(jìn)行處理，如果運(yùn)維團(tuán)隊(duì)不存在則通知內(nèi)部IRT 團(tuán)隊(duì)處理；

（2）運(yùn)維團(tuán)隊(duì)也可能主動發(fā)現(xiàn)信息安全事態(tài)；

（3）內(nèi)部IRT 團(tuán)隊(duì)也可能主動發(fā)現(xiàn)信息安全事態(tài)；

（4）運(yùn)維團(tuán)隊(duì)將信息安全事態(tài)判定為信息安全事件的推給內(nèi)部IRT 團(tuán)隊(duì)處理；

（5）內(nèi)部IRT 團(tuán)隊(duì)無法自主處理信息安全事件時可以借助其它團(tuán)隊(duì)幫助；

圖1：應(yīng)急體系建設(shè)思路

表1：應(yīng)急管理工作分工

表2：應(yīng)急響應(yīng)涉及安全內(nèi)容

（6）團(tuán)隊(duì)解決問題后進(jìn)行總結(jié),完善系統(tǒng)功能,減少安全事件誤報率。

安全事件響應(yīng)管理體系的實(shí)施,逐步提高信息安全事件處理效率,通過對安全事件的復(fù)盤總結(jié)、優(yōu)化系統(tǒng)提高了系統(tǒng)的安全事件發(fā)現(xiàn)能力。

5 技術(shù)體系建設(shè)

中國航信涉及系統(tǒng)較多，通過識別業(yè)務(wù)運(yùn)行的關(guān)鍵路徑和關(guān)聯(lián)資產(chǎn)，劃分優(yōu)先級和安全域。對安全域分區(qū)建設(shè)，遵循“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，網(wǎng)絡(luò)邊界由集團(tuán)統(tǒng)一負(fù)責(zé)建設(shè)[3]。各安全域識別業(yè)務(wù)運(yùn)行風(fēng)險點(diǎn)以及風(fēng)險發(fā)生后對組織的影響程度，根據(jù)影響程度劃分風(fēng)險監(jiān)控優(yōu)先級，同時分析風(fēng)險點(diǎn)的異常規(guī)則，建立可關(guān)聯(lián)分析的預(yù)警指標(biāo)體系，根據(jù)安全事件級別，按照一定優(yōu)先級編制應(yīng)急預(yù)案并定期演練，對應(yīng)急團(tuán)隊(duì)缺少的知識進(jìn)行培訓(xùn)，提升能力。

5.1 系統(tǒng)分區(qū)分域建設(shè)

系統(tǒng)分區(qū)分域建設(shè)思路見圖3。

根據(jù)業(yè)務(wù)分類，系統(tǒng)共劃分接入?yún)^(qū)、互聯(lián)網(wǎng)區(qū)、辦公網(wǎng)區(qū)、生產(chǎn)網(wǎng)區(qū)四個安全區(qū)。

（1）接入?yún)^(qū)劃分為：核心接入、統(tǒng)一接入及訪客接入三個安全域；

（2）互聯(lián)網(wǎng)區(qū)劃分為：互聯(lián)網(wǎng)應(yīng)用發(fā)布及互聯(lián)網(wǎng)辦公應(yīng)用兩個安全域；

（3）辦公網(wǎng)區(qū)劃分為：辦公終端安全域；

（4）生產(chǎn)網(wǎng)區(qū)劃分為：信息系統(tǒng)、安全管理系統(tǒng)和工業(yè)控制系統(tǒng)三個安全域。

其中，接入?yún)^(qū)、互聯(lián)網(wǎng)區(qū)、辦公區(qū)以及生產(chǎn)區(qū)的信息系統(tǒng)安全域和安全管理系統(tǒng)安全域之間通過邏輯隔離的方式進(jìn)行安全防護(hù)；工業(yè)控制系統(tǒng)安全域與其它安全區(qū)和安全域采用物理隔離的方式進(jìn)行安全防護(hù)。

表3：培訓(xùn)內(nèi)容

圖2：安全事件響應(yīng)管理體系

每一個安全域還可以針對其內(nèi)的業(yè)務(wù)系統(tǒng)優(yōu)先級再進(jìn)行安全域劃分。

5.2 各安全域數(shù)據(jù)關(guān)聯(lián)分析

針對每個安全域的業(yè)務(wù)屬性，部署相應(yīng)的安全設(shè)備，對用戶相關(guān)操作、行為進(jìn)行采集、預(yù)警和審計(jì)，保障系統(tǒng)使用安全[4]，如核心接入安全域作為集團(tuán)整體網(wǎng)絡(luò)邊界，在邊界安全防護(hù)方面可串聯(lián)部署SD-WAN 控制器、負(fù)載均衡設(shè)備、核心異構(gòu)下一代防火墻（NGFW），旁路部署入侵防御系統(tǒng)（IPS）、網(wǎng)絡(luò)威脅流量檢測分析系統(tǒng)（NTA）、上網(wǎng)行為管理（ICG）、網(wǎng)絡(luò)接入認(rèn)證控制系統(tǒng)（NAC），在生產(chǎn)區(qū)安全管理系統(tǒng)安全域內(nèi)，可部署各類網(wǎng)絡(luò)安全管理、監(jiān)控及審計(jì)系統(tǒng)，包括：統(tǒng)一終端安全管理系統(tǒng)、安全運(yùn)營平臺、運(yùn)維審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、日志審計(jì)系統(tǒng)等。各安全域部署的各類異常行為監(jiān)測系統(tǒng)，將監(jiān)測日志及告警信息匯總至集團(tuán)安全事件監(jiān)測預(yù)警平臺，從而實(shí)現(xiàn)對集團(tuán)互聯(lián)網(wǎng)、辦公網(wǎng)、生產(chǎn)網(wǎng)等網(wǎng)絡(luò)安全域的運(yùn)行狀況及安全威脅全面清晰掌握，便于運(yùn)維人員及時發(fā)現(xiàn)并處置安全威脅[5]。

5.3 應(yīng)急響應(yīng)涉及安全內(nèi)容

通過對集團(tuán)涉及的所有相關(guān)業(yè)務(wù)、設(shè)備進(jìn)行安全追蹤與響應(yīng)才可快速保障集團(tuán)的整體安全，涉及的安全內(nèi)容見表2。

同時對每一項(xiàng)安全內(nèi)容又可以設(shè)置其詳細(xì)技術(shù)框架，如終端安全技術(shù)框架見圖4。

6 安全培訓(xùn)

通過建立一系列的培訓(xùn)體系及課程,明顯提升安全響應(yīng)能力,及時處理系統(tǒng)問題,保證系統(tǒng)健壯性，培訓(xùn)內(nèi)容見表3。

7 結(jié)論

中國航信研發(fā)中心結(jié)合最新網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢及安全管理理念，通過設(shè)置垂直管理組織架構(gòu)，分級、分權(quán)、量化的考核機(jī)制，對信息系統(tǒng)分區(qū)分域的網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)，加強(qiáng)了人、業(yè)務(wù)、流程、設(shè)備在處理信息系統(tǒng)安全事件時的綜合作用，加強(qiáng)了應(yīng)急管理工作，理論上保障了可行性，可加強(qiáng)信息系統(tǒng)的安全能力。

中國航信集團(tuán)總部的應(yīng)急響應(yīng)建設(shè)規(guī)劃可實(shí)現(xiàn)集團(tuán)總部從被動防范到主動防御的轉(zhuǎn)變，有效應(yīng)對了當(dāng)前網(wǎng)絡(luò)安全的新形勢、新問題、新挑戰(zhàn)。各分子公司可在充分借鑒集團(tuán)總部建設(shè)規(guī)劃經(jīng)驗(yàn)的基礎(chǔ)上，依托現(xiàn)有網(wǎng)絡(luò)安全戰(zhàn)略基礎(chǔ)設(shè)施，探索適宜的應(yīng)急響應(yīng)建設(shè)方案，實(shí)現(xiàn)和集團(tuán)總部建設(shè)規(guī)劃相統(tǒng)一，提升集團(tuán)整體網(wǎng)絡(luò)安全綜合應(yīng)急響應(yīng)能力，進(jìn)而有效應(yīng)對來自各方的網(wǎng)絡(luò)威脅，保衛(wèi)網(wǎng)絡(luò)安全，促進(jìn)自身系統(tǒng)健康發(fā)展。其它中央企業(yè)信息安全應(yīng)急響應(yīng)中心建設(shè)規(guī)劃也可以借鑒中國航信集團(tuán)總部的應(yīng)急響應(yīng)中心建設(shè)規(guī)劃經(jīng)驗(yàn),再結(jié)合自身業(yè)務(wù)和網(wǎng)絡(luò)安全現(xiàn)狀,真正有效提高自身安全防御能力,保障系統(tǒng)健康有序發(fā)展。

圖3：系統(tǒng)分區(qū)分域建設(shè)

圖4：終端安全技術(shù)框架