系統安全防護建設與安全運營研究

張建權 李杰 貴州省銅仁市公安局

引言

當前網絡與信息安全已成為關系國家經濟、政治、國防、文化等領域的重大問題，世界各主要國家相繼制定和大幅調整了網絡安全戰略，設立了專門的機構，加大了人員和資金的投入，維護其網絡空間的利益。在過去很長一段時間里，安全人員將注意力過多的集中在檢測和防御上，往往忽略了最基礎的安全工作，絕大多數安全事件并非采用了多么高明的攻擊手法，弱口令、老舊漏洞利用等才是導致勒索病毒肆意傳播的首要原因。

隨著公共安全視頻聯網工程的不斷落地，公安視頻傳輸網絡規模逐步擴大，業務應用日益復雜，系統安全問題也變得日趨復雜和嚴峻。盡管各地公安在公共安全視頻監控系統聯網應用等系統安全防護建設上進行了大量的投入和諸多嘗試，受限于安全人員不足、技術能力有限、管理體系流程缺失等因素，其基礎安全工作在開展過程中仍然困難重重，主要存在以下問題：

（一）網絡資產“查不清”

梳理在案已知的資產容易，一旦要全面摸清家底，把資產找“全”則無從下手。如何找全網現有多少IP在用、多少資產暴露在互聯網、大量灰色資產未記錄在案等是大部分企業與機構亟需解決的問題。

（二）缺少安全領域人才供需培養體系

基礎安全總體上偏薄弱，人才需求量大，但安全市場上，架構與運維人員數量明顯不足，人才市場偏好培養“成本高、需求小”的攻防型高階安全人才。

（三）系統建設中忽視架構安全能力的建設

在系統安全防護建設中未建設完善架構安全與被動防御能力，先建設積極防御與威脅情報能力的現象普遍存在，本末倒置的建設路徑導致積極防御與威脅情報的效果無法充分展現。

（四）“重產品、輕服務”的現象普遍存在

系統安全防護運營方案基本以產品型方案為主，即通過產品覆蓋資產或漏洞功能的路線，未能與專業服務團隊形成合力，產品能力與服務能力存在較大脫節。

（五）安全制度不夠完善，不能有效整飭工作

安全制度缺失，管理流程設計不合理，執行落地難，無法有效形成處置閉環。

（六）漏洞識別及管理能力不足

漏洞情報識別不準確，漏洞管理能力匱乏，無法隨時對資產進行漏洞普查，另由于缺乏最新且全面準確的漏洞資訊，難以持續、及時地對最新的高危漏洞進行監控和防范。

綜上所述，建立立體閉環的系統安全防護與運營體系能力尤為重要。

一、系統安全防護建設整體規劃

（一）系統安全防護建設遵從理念

系統安全防護建設遵從用安全思維規劃、構建和維護系統。安全的系統設計是基礎，在此之上再開展其它方面的網絡安全建設。此外，根據組織的需求合理構建架構安全，可提升標尺的其它階段效率，降低開銷。

構建合理的安全基礎后，再構筑被動防御。被動防御位于架構安全的上層，為系統提供攻擊防護，因此被動防御是非常必要的。且被動防御同樣不需要頻繁的人工互動。

（二）系統安全防護與運營建設目標

系統安全防護基礎建設的核心目標是建設數據驅動的系統安全運行體系。通過系統安全工具，聚合IT資產、配置、漏洞、補丁等數據，通過對多方數據實現兩兩關聯分析，將系統安全防護從依靠自發自覺的模式提升到體系化支撐模式，實現及時、準確、可持續的系統安全防護。總體確保系統安全風險可控，保持良好的安全狀況，為實戰化安全運營提供支撐，實現系統級安全運行的閉環。

基于數據驅動的綜合能力，憑借相關系統安全管理平臺運營工具，聚合資產、漏洞、補丁、配置等數據，通過“運營服務+工具平臺”的模式，充分補足資產屬性，結合CVE等漏洞情報，分析碰撞得出各含漏洞資產的處置優先級順序，并通過長期、持續的監控與運營服務，有效提升系統基礎安全防護及運營能力。

二、系統安全防護建設的關鍵點分析

（一）構建完善的測試環境

對警務系統相關設備、系統鏡像模版和業務環境中的安全配置項、漏洞驗證措施、修復措施進行測試驗證，開展補丁測試、鏡像測試、配置項測試、重要業務應用回歸測試，提高漏洞修復與配置變更的確定性。

（二）構建資產安全管理體系

在各類警務系統建設中，面向IT服務的資產管理系統，通過網絡主動掃描、流量被動掃描、Agent、CMDB導入等方式，獲取終端、主機、中間件、數據庫等資產信息。對資產信息進行統一標準化處理，形成資產管理數據庫，實現資產的全面覆蓋，發現未備案資產違規上線。

（三）構建系統安全配置管理體系

建設配置策略管理系統，按需編寫和調整配置核查策略，基于策略對資產安全配置性進行檢查，得出安全配置符合性檢查結果。采集資產生命周期配置信息，持續跟蹤資產配置變化，為配置脆弱性修復提供全面、準確的數據基礎。

（四）構建漏洞管理體系

通過漏洞掃描工具定期開展警務系統資產漏洞掃描，通過多方信息獲取漏洞情報數據，評估漏洞影響程度與漏洞修復優先級。通過資產版本號匹配、漏洞特征掃描、系統配置項比對，搜索出與漏洞信息相匹配的資產，建立漏洞與資產的關聯關系，為漏洞修復方案提供全面、準確的基礎。

（五）構建漏洞緩解體系

建設補丁管理系統，對獲取、內容驗證、測試、補丁發布、推送、緩解評估進行全周期管理。對當前環境存在的配置不符合項與漏洞，設計修復方案，并在測試環境驗證。

（六）建設系統安全運行平臺

聚合資產、配置、漏洞、補丁等數據，持續監控信息系統的資產狀態，進行多維度數據碰撞分析、關聯分析。分析配置符合性、漏洞狀態等信息，判定風險緩解優先級等。通過資產信息與配置信息結合，分析出重要配置項的符合性結果、資產脆弱性以及重要補丁；通過資產與補丁信息結合，分析出補丁視角的風險暴露結果；通過將資產與漏洞數據結合，分析出漏洞視角的風險暴露結果。

三、系統安全防護整體建設步驟

通過項目建設經驗，安全防護系統建設核心關鍵是資產、漏洞、補丁、配置四部分的工作，這四部分內容信息越全面，處置效率越高，效果越好。通過現有建設落地和經驗總結，建設思路如下：

首先，應該明確好系統要支撐的業務目標，而這又因業務和行業而異。系統安全應為這些目標提供支撐。架構安全階段的目的并非是防御攻擊者，而是滿足正常運營環境和緊急運營環境的需求，包括偶發的惡意軟件感染、誤配置系統帶來的網絡流量峰值以及系統僅僅因部署在同一網絡而互相導致中斷。在系統設計時考慮這些情況可以維持系統的保密性、可用性和完整性，從而為業務要求提供支撐，最大程度地減少攻擊者進入系統的機會。

其次，從落地性建設考慮，應該優先進行資產梳理工作，這是整個安全建設的根基。沒有良好的IT資產梳理，其它的安全均無從談起。因為資產的復雜性，既包含技術方面，也存在于管理方面。與資產有關的屬性非常多，有的歸屬在安全處室，有的歸屬在業務部門，由此導致資產權責不清、對應信息有誤等情況，甚至有可能出現黑資產。

第三，建設健全的資產管理平臺，補全資產的屬性信息，為資產與漏洞對應、系統安全風險分析、整改責任落實提供全面且準確的數據基礎。構建企業級安全配置管理體系，基于配置策略管理平臺進行安全配置符合性檢查，為脆弱性修復提供全面、準確的數據基礎，促進系統基礎安全能力提升。

第四，建設系統安全運行平臺，進行資產、配置、漏洞、補丁等多維度數據碰撞，分析資產脆弱性、風險暴露情況、配置項符合性、判定風險緩解優先級等。搭建測試環境，對各種設備、系統鏡像模版和業務環境中的安全配置項、漏洞驗證措施、修復措施進行測試驗證，提高漏洞修復與配置變更的確定性。

第五，構建企業級系統安全組織體系，持續監控信息系統的資產狀態，分析配置符合性、漏洞狀態等信息，基于測試驗證結果，判定風險緩解措施優先級，提供修復方案。在系統資產管理、配置管理、漏洞管理、補丁管理等方面形成協同有序的一體化運轉機制，還可兼容第三方漏洞掃描工具。

四、系統安全運營服務能力

在安全運營過程中，安全基礎數據管理分散，關聯分析難度大，且運營人員通過人工表格和腳本處理的方式分析安全問題準確性和時效性較低。通過整合資產、漏洞、補丁、配置、運維等五個方面要素信息提高系統安全運營服務能力，具體如下：

（一）資產梳理方面

1. 主動資產探測

采用相關工具和平臺以主動探針將對所有在線設備進行網絡掃描和深入識別，獲取終端的網絡地址、系統網絡指紋、系統開放端口和服務指紋，并根據積累和運營的指紋庫裁定每個終端的類型、操作系統、廠商信息。

2. 被動資產運營

采用相關工具和平臺配合主動探查手段，發現隱匿資產、孤島資產以及被黑客攻擊類型的資產，能夠設計干預方案，大大提升處置效率。

3. 制定資產清單

制定系統資產的清單，包括：設備、網段、域名和網站等。各類資產的詳細信息示例如：設備IP地址、設備類型、設備名、FQDN、操作系統、MAC地址、廠商與型號、設備開放的端口、服務信息等網段網關、掩碼、IP段等；域名、根域名、解析記錄等；網站名稱、URL、技術框架與版本等。

（二）漏洞管理方面

根據不同的生命周期狀態對漏洞的風險值進行修正，最大程度地接近漏洞在用戶真實環境中的風險，并根據系統安全防護全生命周期建立系統漏洞臺賬，按照系統的受影響程度劃分為嚴重、高危、中危、低危、一般等。

（三）補丁運營方面

在系統補丁運營管理方面，可以基于系統補丁的通知創建工單，將設備添加到漏洞掃描，執行終端安全代理操作，用于對資產、問題進行歸一化處置，輔助以動作編排，對動作執行成功、失敗進行收尾處理，完成處置閉環。

（四）配置核查方面

進行安全配置核查是安全管理的基本工作，同時也是安全運維的重要技術手段。安全配置核查首先要建立滿足組織信息安全管理體系的安全配置要求基線。當前，部分重要行業和監管部門已經針對行業的信息系統建立詳細的安全配置要求及規范，構建針對不同系統的詳細檢查項清單和操作指導，為安全運維人員的安全技術操作提供標準化框架和指導。

（五）安全運維方面

基于認證、授權、訪問、審計的管理流程設計理念，實現對企業和機構 IT 中心的網絡設備、數據庫、安全設備、主機系統、中間件等資源統一運維管理和審計。通過集中化運維管控、運維過程實時監管、運維訪問合規性控制、運維過程圖形化審計等功能，為 IT 中心運維構建事前預防、事中監控、事后審計完善的安全管理體系。

五、系統安全運營階段

第一階段，理清資產。通過制定計劃任務，定時匯聚資產安全狀況數據，形成動態資產清單；對資產數據進行治理，依據大數據分析技術，發現資產問題，并協同IT團隊對資產問題進行持續運營。

第二階段，修復漏洞。持續跟蹤多源漏洞情報，實現漏洞情報和補丁信息的本地運營；結合動態資產清單和漏洞情報信息，判定業務脆弱性影響與緩解優先級；開展補丁適用性和有效性驗證，協同IT團隊進行補丁安裝，并跟蹤漏洞修復狀態。

第三階段，依據法律法規合規要求設計適用的安全配置方案并持續維護；對配置變更方案進行有效性驗證，協同IT團隊進行配置變更，并跟蹤配置變更狀態。

最后，持續監控資產狀態，將無法安裝補丁、變更配置的資產納入例外清單，開展風險管理，同時對處于脆弱性敞口期狀態的資產進行態勢感知增強監測。

六、結語

展望我國的十四五規劃，企業和組織的數字化轉型將進入爆發期，網絡空間安全將面臨更加嚴峻的挑戰。在公安各類警務系統安全規劃和建設中要筑牢安全根基，構建“持續對抗、面向實戰”的安全防護能力，即建設一套持續監測、持續改進、持續優化的機制，提供面向實戰的安全運營能力，護衛國家網絡安全。