中央企業信息安全應急響應平臺的建設

文/趙悅 陸洋 張海洋

（中國民航信息網絡股份有限公司研發中心 北京市 101318）

1 安全滑動象限模型

Robert M.lee[1]提出的安全滑動標尺（The Sliding Scale of Cyber Security）模型見圖1。Robert M.Lee 詳細闡明了面對不同的威脅類型需要建立怎樣的安全能力，以及這些能力間的演進關系，從而幫助在管理層溝通安全建設投資并確定和跟蹤安全投入的優先級等活動。安全滑動標尺模型從左到右，是一種明確的演進關系，將企業安全能力劃分為五個階段，分別是架構建設、被動防御、主動防御、智能分析和反擊威懾。

第一階段為基礎架構階段，解決的是從無到有的問題。第二階段為被動防御階段，即根據架構完善安全系統，掌握工具、方法，具備初級檢測和防御能力。第三階段為主動防御階段，即主動分析檢測、應對，從外部的攻擊手段和手法進行學習，該階段開始引入了滲透測試、攻防演練和外部威脅情報。第四階段為智能分析階段，即利用流量、主機或其他各種數據通過機器學習，進行建模及大數據分析，開展攻擊行為的自學習和自識別，進行攻擊畫像、標簽等活動。第五階段為利用技術和策略對對手進行反制威懾。中國航信研發中心安全應急響應基礎平臺的建設可以實現集團總部防御能力達到安全滑動標尺模型第四階段。

2 項目建設規劃

中國航信研發中心應急響應體系整體建設規劃涉及安全事件響應管理體系、技術體系、安全服務體系,見圖2。

在具體職能上，領導小組對研發中心安全應急工作進行統一指揮，安全應急響應小組具體負責執行。如各類事件上報信息的收集和整體安全態勢的研判、信息的對外通報等；相關業務線的協調工作是指，網絡安全事件影響了機構或企業的某些業務，使之無法正常運行，甚至癱瘓，需要業務線相關人員參與到應急響應工作中，配合查明原因，恢復業務。

3 安全事件響應管理體系

本文參照奇安信安服團隊[2]提出的應急響應標準流程，結合實際業務建立了安全事件響應管理體系，見圖3，涉及到的干系人主要包括用戶、聯絡點(PoC)、內部IRT(Incident Response Team)、危機處理團隊。聯絡點主要指客戶內部的運維團隊，起到聯絡客戶業務團隊和內部IRT 之間的技術橋梁作用。

安全事件處理流程如下。

（1）客戶發現信息安全事態后，首先交給運維團隊進行處理,如果運維團隊不存在則通知內部IRT 團隊處理；

（2）運維團隊也可能主動發現信息安全事態；

（3）內部IRT 團隊也可能主動發現信息安全事態；

（4）運維團隊將信息安全事態判定為信息安全事件的推給內部IRT 團隊處理；

（5）內部IRT 團隊無法自主處理信息安全事件時可以借助其它團隊幫助；

（6）團隊解決問題后進行總結，完善系統功能，減少安全事件誤報率。

安全事件響應管理體系的實施，逐步提高信息安全事件處理效率，通過對安全事件的復盤總結、優化系統提高了系統的安全事件發現能力。

4 技術體系建設

網絡空間是一個虛擬的空間，它將設備、系統、數據、應用通過一定的規則聯系在一起并進行信息交互及數據傳遞，覆蓋于互聯網、電信網、廣電網、物聯網、工控網、在線社交網絡，甚至涉及到計算系統、通信系統、控制系統等。在網絡空間中信息交互及數據的傳遞，涉及到個人、企業、政府、國家、國防等隱私問題，須防止利用網絡空間信息交互所帶來了的安全問題。針對網絡空間所覆蓋的網絡設備、數據交互方式以及運行應用與服務特點，將網絡空間的安全防護分為網絡設備資產普查和風險感知兩個層面，即對網絡空間中的網絡設備資產信息進行普查以及對網絡設備所存在的威脅風險進行驗證，同時對威脅風險的影響范圍提供可追溯以及可視化呈現，通過資產的指紋識別與風險識別，可以有針對性的對系統加固，提高系統的安全防御能力。

表1

表2

表3

4.1 系統架構

應急響應平臺架構分為前端、后端兩部分，見圖4。

前端包括Web 框架，用戶接入的方式為瀏覽器頁面，系統后端包括掃描器、數據庫、數據分析系統、Logstash、ES 引擎模塊等。系統提供資產管理、漏洞管理、報表輸出、告警通知等功能。

4.2 網絡部署

部署是軟件生命周期中的一個重要環節,是軟件生產的后期活動,通過配置、安裝和激活等活動來保障軟件制品的后續運行[3]，部署既要滿足當前軟件運行又不能妨礙接入系統的運行，應急響應平臺網絡部署見圖5。

應急響應平臺旁路接入內部骨干網核心交換機上,監控互聯網和內網資產和漏洞信息,系統分析結果可以通過移動、PC 顯示設備查看。

4.3 資產普查

網絡空間資產普查是基于網絡空間中存活網絡設備的設備資產信息、端口開放性掌握目標區域的網絡設備資產分布情況[4]。資產普查功能可以針對區域互聯網或者企事業單位內網，進行網絡設備目標的信息收集，識別出存活設備，獲取其地理位置、組織機構、服務提供商等基本信息，以及設備類型、設備品牌、設備型號、開放端口、提供服務、使用組件及版本等設備信息。應急響應平臺資產普查情況見圖6。

系統詳細統計了監控資產的類型，每一臺服務器上運行的服務，開放的端口，網絡狀況,指紋信息。資產統計分析可以展示整體資產情況的安全態勢，給出數據統計趨勢和分布圖表，輔助安全人員了解整體資產安全情況，為下一步漏洞安全管理工作提供信息數據，便于安全人員利用資產數據制定相應的階段性管理計劃和目標。

4.4 風險感知

漏洞是目前網絡系統的主要安全威脅,網絡漏洞的研究對于網絡安全具有重要意義。[5]應急響應平臺漏洞掃描功能可以快速發現網絡設備，全面掃描安全漏洞，清晰定性安全風險，給出修復建議和預防措施，并對風險控制策略進行有效審核，從而在弱點全面評估的基礎上實現安全自主可控,漏洞掃描部分信息見圖7、8、9。

對每一個統計數據都支持點擊跳轉到具體漏洞信息頁面,便于資產管理員了解漏洞詳細信息。

當前有大量的網站使用了第三方開發的開源或商業組件。這些組件可能存在嚴重的安全漏洞進而危害到整個網站的安全。應急響應平臺能識別各類常見第三方應用，并檢測相應的漏洞。檢測漏洞通過POC(Proof ofConcept)驗證模式，能夠直接執行漏洞驗證腳本以驗證漏洞是否存在、可利用。

系統可以將真實存在的漏洞生成任務工單派發給相應人員。收到檢查工單后，相應人員對漏洞進行詳細排查、修復，并提交修復結果，系統管理員可以對修復的漏洞進行驗證，也可以等待下一輪掃描結束后看是否真實修復漏洞。應急響應平臺已運行3 個月，已針對收集到的3 萬余條信息安全事態進行應急研判,并成功處理疑似中航信重要信息系統40 余個信息安全事件，減少了系統風險。

通過建設中國航信信息安全應急平臺，統一管理各渠道采集的安全事件，對安全事件的處置進度精確把控，并通過數據分析從不同維度展示安全事件的影響目標。第一時間采集、第一時間發布、第一時間驗證、第一時間整改，快速響應，全流程跟蹤，最大限度地“挽回”可能造成的損失，從而提升航信各信息系統抗信息安全風險的能力。

5 安全服務體系建設

通過建立一系列的安全服務體系,明顯提升安全響應能力,及時處理系統問題,保證系統健壯性。

5.1 駐場服務

見表1。

5.2 應急響應服務

見表2。

5.3 安全培訓

見表3。

6 結論

中國航信研發中心結合最新網絡安全技術的發展趨勢及安全管理理念，依托安全應急響應基礎平臺建設進行的實踐，不僅構建了網絡空間資產發現能力,對集團總部資產起到了“摸清家底”的目的，同時還對集團總部重點系統進行安全監測和定期掃描，形成系統脆弱性、安全性的監測能力,及時發現系統脆弱性，通過建立風險通報和預警機制，形成發現問題、解決問題、反饋結果的網絡安全管理閉環，打破了傳統信息系統安全壁壘，消除信息安全“孤島”,阻止了旅客個人信息泄露等安全事件的發生，提升了中國航信的企業形象。

中國航信集團總部的應急響應平臺建設經驗真正實現了集團總部從被動防范到主動防御的轉變，有效應對當前網絡安全的新形勢、新問題、新挑戰。各分子公司可在充分借鑒集團總部應急響應平臺建設經驗的基礎上，依托現有網絡安全戰略基礎設施，建立起由專業人才隊伍、重點資產防護平臺、信息通報技術支持機制、重點資產協同防御機制相結合的網絡安全綜合應急體系，進而有效應對來自各方的網絡威脅，保衛網絡安全，促進自身系統健康發展。同時各分子公司應急響應平臺建設還可與集團應急響應平臺打通,實現安全數據共享、統一調度、協同防御,提高集團整體安全防御能力。其它中央企業信息安全應急響應中心建設也可以借鑒中國航信集團總部的應急響應中心建設經驗,再結合自身業務和網絡安全現狀,可以真正有效提高自身安全防御能力,保障系統健康有序發展。