前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的企業(yè)信息安全簡述(3篇),希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
摘要:
作為國家關鍵信息基礎設施,電力行業(yè)一直面臨著較大風險隱患。為確保電力生產(chǎn)管理和信息網(wǎng)絡的安全穩(wěn)定,在前期信息安全規(guī)劃基礎上,通過調(diào)研和分析,從基礎設施、技術支撐平臺、應用三個層面提出了集團型電力企業(yè)信息安全技術防護體系框架。同時,提出一系列技術措施研究專題,包括工業(yè)控制系統(tǒng)安全、統(tǒng)一安全監(jiān)測審計系統(tǒng)、數(shù)據(jù)備份與容災等,以指導集團信息安全項目持續(xù)開展,提升和優(yōu)化信息安全能力。
關鍵詞:
電力行業(yè);信息安全;技術防護;工業(yè)控制系統(tǒng)安全;數(shù)據(jù)備份與容災
0引言
國家電投集團已開展信息安全規(guī)劃工作,為實現(xiàn)信息安全總體目標,須逐步開展信息安全能力建設并進行落地。信息安全技術防護架構支撐信息安全能力,是確保信息系統(tǒng)安全運行,最終實現(xiàn)信息安全目標的手段之一。通過確認防護對象及其需求,建立信息安全基礎防護框架,支撐建設與運維安全能力,并以此為基礎,實現(xiàn)對系統(tǒng)、網(wǎng)絡、終端等安全狀態(tài)的集中監(jiān)控、分析與響應,最終實現(xiàn)風險可視化、可管理,支撐安全運行和安全管理、安全決策能力。
1識別防護對象及總體安全需求
目前,集團在建及規(guī)劃的應用系統(tǒng)包括信息展現(xiàn)、決策分析、經(jīng)營管理、綜合管理和專業(yè)生產(chǎn)五大類。通過綜合考慮各應用系統(tǒng)的功能、系統(tǒng)面向的使用對象、承載業(yè)務數(shù)據(jù)的敏感程度等因素,識別信息系統(tǒng)總體的安全需求。例如,外部網(wǎng)站部署在互聯(lián)網(wǎng)中,需要考慮網(wǎng)站可用性、頁面防篡改等安全需求;運營監(jiān)管平臺承載著集團敏感生產(chǎn)數(shù)據(jù),需要考慮數(shù)據(jù)安全的需求。集團信息化規(guī)劃中的技術架構分為應用、技術支撐平臺和基礎設施三個層次。其中,基礎設施再細分為終端層、云管理平臺、基礎設施資源池層、基礎網(wǎng)絡架構層和機房物理環(huán)境層。信息安全技術體系框架的設計也依照信息化技術架構的層次,對應用層、技術支撐平臺層和基礎設施層采取相應的信息安全技術防護措施。每一個層次的技術防護措施需要從身份認證、訪問控制、內(nèi)容安全、監(jiān)控審計、備份恢復五個方面,對信息系統(tǒng)安全防護需求進行分析。
2信息安全技術框架
按照已經(jīng)梳理的應用系統(tǒng)總體安全需求,依據(jù)現(xiàn)狀調(diào)研結果、信息化建設需求、信息安全能力及合規(guī)要求,在各類應用系統(tǒng)、技術支撐平臺、基礎設施(終端、云平臺、硬件資源、機房、網(wǎng)絡)層,對信息安全防護技術需求進行細化。將需求與安全技術防護措施對應后,得出信息安全技術基礎防護措施匯總。基礎防護技術架構的形成是建設與運維安全能力的技術支撐,包括物理安全、網(wǎng)絡安全、系統(tǒng)安全、終端安全、應用安全、數(shù)據(jù)安全[1]。隨著安全設備部署的數(shù)量不斷增多,產(chǎn)生大量的防火墻、IDS、WAF等安全防護設備以及網(wǎng)絡設備的日志、各類服務器日志信息、配置信息、漏掃工具掃描結果。安全運行人員需要對這些日志進行統(tǒng)一記錄與分析,以進一步發(fā)現(xiàn)安全事件。然而,源源不斷的各種不同類型和格式的日志數(shù)據(jù),給安全運行工作帶來了極大挑戰(zhàn)。需要通過專業(yè)、自動化的安全技術,將各個設備日志進行集中管理,并實現(xiàn)實施監(jiān)測、關聯(lián)分析,以提高工作效率、監(jiān)測與響應能力,并最終快速解決安全事件,減少運維成本。同時,安全技術評估中發(fā)現(xiàn)大量漏洞,人工跟蹤與管理效果不佳,需要通過自動化追蹤和處置方式,以提升效率。因此,對于安全運行層,需要具備專業(yè)的技術能力,以實現(xiàn)對基礎技術防護架構中的系統(tǒng)與設備產(chǎn)生的大量數(shù)據(jù)進行關聯(lián)分析、實時監(jiān)控與報警,并支撐技術人員進行安全技術評估與漏洞管理。對于安全管理和決策層,需要全面了解信息安全風險、合規(guī)情況以及對策略進行管理與跟蹤,從而開展信息安全檢查、培訓工作。因此,需要將集團整體信息安全風險通過可視化方式進行展示,使管理層對目前風險狀況一目了然,并提供信息安全風險管理平臺,對所有風險進行統(tǒng)一識別、管理、跟蹤,有效支撐信息安全風險管理工作,為進一步調(diào)整信息安全策略提供數(shù)據(jù)輸入。同時,通過自動化的檢查工具,管理系統(tǒng)支撐信息安全檢查、合規(guī)工作。因此,應建立信息安全管理平臺,從而為安全決策和管理提供支撐。匯總上述支撐信息安全能力各層的信息安全技術措施,最終形成集團信息安全技術框架。具體的,信息安全技術體系框架可分為信息安全基礎防御層、信息安全監(jiān)控平臺層和信息安全管理平臺層。
3信息安全技術專題研究
目前,集團公司信息安全技術措施部署工作已經(jīng)開展,在信息安全技術體系框架中識別各項技術措施,將其分為新建、完善和已有三大類,最后根據(jù)防護對象不同,將未實現(xiàn)或待完善的技術措施綜合匯總,形成13個技術專題,用于指導未來集團公司開展信息安全建設工作。
3.1工業(yè)控制系統(tǒng)信息安全保障專題
集團總部是全集團工控安全的牽頭管理部門,需提出總體工控安全的管理要求和考核指標;二級單位是本單位工控安全的管理部門,需指導、監(jiān)督、管理三級單位落實工控安全;三級單位具體對工控安全進行落地,需制定和落實安全管理要求。方案構建時,第一階段以“合規(guī)”為主。應遵循《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)改委第14號令)、電力行業(yè)信息安全等級保護相關要求、國家能源局相關文件對發(fā)電廠安全防護建設的要求,通過安全現(xiàn)狀分析,梳理出目前電廠在安全建設方面存在的差異,進而從技術、管理等方面設計安全防護方案。同時,應充分考慮電廠工控系統(tǒng)的安全現(xiàn)狀和實際安全建設的承載能力。老舊電廠在安全建設現(xiàn)狀基礎上,以安全審計作為主要的安全防護方向,以建設管理制度、明確人員職能為主要的安全管理建設方向;新建電廠要充分考慮14號令對電廠安全建設的具體要求,并落實相關防護和管理措施。第二階段以“提升”為主。在符合相關政策要求的基礎上,應進一步考慮符合電廠控制系統(tǒng)生命周期的安全防護要求。要逐步完善電廠工業(yè)控制系統(tǒng)的安全防護措施,使電廠工業(yè)控制系統(tǒng)安全防護由安全策略的部署向安全能力的部署遷移,逐步實現(xiàn)安全技術能力、安全管理能力的全面提升,實現(xiàn)管、控、防一體化。安全能力逐步覆蓋系統(tǒng)上線、系統(tǒng)運行、系統(tǒng)運維、系統(tǒng)檢修等各個環(huán)節(jié),從而最終實現(xiàn)工控系統(tǒng)安全的閉環(huán)管控。總體方案框架設計主要以保障工控系統(tǒng)中的主機、網(wǎng)絡、應用軟件(控制軟件、組態(tài)軟件)以及控制器安全為主要目標,并符合國家相關政策要求,同時參考國內(nèi)外工控系統(tǒng)安全防護的先進措施,構建一套符合業(yè)務運行特點、滿足生產(chǎn)安全需求的防護體系。通過技術、管理和運行三個方面措施,保障集團工控系統(tǒng)的安全。
3.2對外網(wǎng)站系統(tǒng)安全監(jiān)測與保障體系專題
通過部署網(wǎng)站安全監(jiān)測系統(tǒng),監(jiān)測全集團現(xiàn)有網(wǎng)站是否正常服務、是否被篡改和掛馬、漏洞情況等,對發(fā)現(xiàn)的問題及時驗證并通知相關人員。研究未來全集團網(wǎng)站的安全建設模式,如網(wǎng)站群,在物理上將二、三級單位的網(wǎng)站集中部署并進行安全防護。這在成本及安全專業(yè)性方面,都優(yōu)于各自分散建設。注重運營體系的目標管理和過程管理,按照事前、事中、事后三個維度,通過網(wǎng)站漏洞管理、網(wǎng)站威脅管理、網(wǎng)站安全事件管理三個部分,分別建立對外網(wǎng)站安全的事前預防、事中監(jiān)測防護和事后發(fā)現(xiàn)響應。
3.3統(tǒng)一安全監(jiān)測、預警與審計系統(tǒng)建設專題
統(tǒng)一安全監(jiān)測、預警與審計系統(tǒng)負責對安全事件的監(jiān)測、審計,實現(xiàn)安全事件的預警和通報,并對漏洞的生命周期進行管理。系統(tǒng)的管理范圍是集團本地化應用系統(tǒng)、集中部署系統(tǒng)和全集團廣域網(wǎng),以日志信息和流量信息為展示基礎,通過大數(shù)據(jù)等分析工具進行關聯(lián)分析,實現(xiàn)安全事件監(jiān)控、預警。系統(tǒng)設計為三層架構,分別是數(shù)據(jù)處理、數(shù)據(jù)分析和展示層。
3.4應急體系專題
通過制定應急管理要求、應急預案、應急手冊,進行應急演練和日常應急響應,建立完善的應急體系。
3.5移動平臺安全防護專題
由于移動辦公、移動門戶應用基于互聯(lián)網(wǎng),應從集團角度制定移動應用安全要求及移動應用安全解決方案,從而對移動應用安全建設進行規(guī)范。
3.6網(wǎng)絡安全防護專題
網(wǎng)絡安全防護專題包括局域網(wǎng)安全建設、無線網(wǎng)安全建設、廣域網(wǎng)流量分析建設三個部分。局域網(wǎng)和無線網(wǎng)部分主要制定安全防護方案,如提出局域網(wǎng)的區(qū)域劃分標準,指導分區(qū)分域,提出各區(qū)域之間的防護策略;廣域網(wǎng)部分主要考慮在集團總部和二級單位節(jié)點部署流量分析設備。
3.7數(shù)據(jù)安全防護專題
數(shù)據(jù)安全保障方案分為兩部分:一部分是對數(shù)據(jù)的安全管理要求,一部分是數(shù)據(jù)的安全防護方案。從數(shù)據(jù)的整個生命周期角度出發(fā),對數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)操作、數(shù)據(jù)管理、數(shù)據(jù)銷毀等方面都提出安全要求和具體安全防護措施。同時,通過對數(shù)據(jù)進行梳理并分級分類,從而對不同級別的數(shù)據(jù)提出不同的安全要求。通過基于數(shù)據(jù)安全治理的分級防護解決方案的實施,形成具備“智能識別、主動防護、監(jiān)控響應”能力的全面一體化防護體系,達到“防失密、防泄密、防濫用”的目標。
3.8數(shù)據(jù)備份與容災專題
按照統(tǒng)一規(guī)劃、統(tǒng)一建設原則,開展集團集中式災備中心建設,且二級單位災備建設納入集團災備體系統(tǒng)一考慮。通過對全集團的數(shù)據(jù)備份與容災需求進行調(diào)研,提出數(shù)據(jù)備份與容災系統(tǒng)建設方案,確定具體技術路線和關鍵產(chǎn)品選型。研究各種技術路線的優(yōu)缺點,明確各路線實現(xiàn)的前提(如對網(wǎng)絡質(zhì)量、帶寬的要求等),確定同城災備中心和異地災備中心的策略和產(chǎn)品規(guī)格。對全集團業(yè)務系統(tǒng)的容災策略進行分級,針對不同容災級別的系統(tǒng)確定不同的容災策略。業(yè)務連續(xù)性級別從一級到四級,容災策略包括同城和異地、應用級和數(shù)據(jù)級。數(shù)據(jù)級容災技術可以劃分為數(shù)據(jù)備份和數(shù)據(jù)復制兩類。集團三級以下系統(tǒng)的異地容災策略為數(shù)據(jù)級備份,因此可以選擇數(shù)據(jù)備份的技術路線進行方案設計。集團四級和三級系統(tǒng),在同城應用級災備方面確立了不同的容災策略,可以分別選擇適當?shù)臄?shù)據(jù)復制技術來設計容災方案。但是,從數(shù)據(jù)復制架構的統(tǒng)一性和易管理性方面考慮,推薦兩者采取相同的技術路線進行設計和建設。就目前電力行業(yè)在業(yè)務連續(xù)性管理領域的成功實踐經(jīng)驗而言,應用級容災技術路線,主要包括主備模式(Active-Standby)和雙活模式(Active-Active)兩類。通過比較和分析,建議集團四級系統(tǒng)同城應用級互備采用雙活模式,四級異地應用級主備和三級同城應用級主備采用主備模式。
3.9信息安全綜合管理系統(tǒng)專題
通過部署信息安全綜合管理系統(tǒng),實現(xiàn)集團對各二、三級單位的信息安全管控工作支撐,包括等級保護、信息安全檢查、風險管理、信息安全事件管理、安全策略管理、資產(chǎn)管理、整改規(guī)劃管理和報表管理。信息安全綜合管理系統(tǒng)采取集團統(tǒng)一部署,多級應用模式。
3.10漏洞和補丁集中管理專題
通過部署漏洞管理系統(tǒng),對應用系統(tǒng)、主機、網(wǎng)絡等的漏洞進行集中發(fā)現(xiàn)、跟蹤;制定補丁管理策略,部署補丁管理系統(tǒng)對補丁進行自動分發(fā)。
3.11統(tǒng)一身份管理平臺專題
通過對集團統(tǒng)一身份管理平臺現(xiàn)存的問題進行研究,制定平臺現(xiàn)存問題的解決方案。PKI(PublicKeyInfrastructure)指用公開密鑰的概念和技術來實施和提供安全服務的具有普適性的安全基礎設施[2]。基于PKI建立統(tǒng)一用戶管理系統(tǒng),對集團總部和二級單位分別部署的統(tǒng)一用戶管理系統(tǒng)實行聯(lián)邦認證,實現(xiàn)總部/二級單位的門戶級聯(lián)。由總部統(tǒng)一制定身份管理相關規(guī)范,各二、三級單位參照執(zhí)行。
3.12實驗室技術能力建設專題
為配合集團信息安全實驗室的建立,需要配套建設一系列安全檢測技術支撐工具,使實驗室能夠真正具備進行信息安全檢查、測評、應急響應、專業(yè)培訓等能力。
3.13企業(yè)私有云信息安全防護專題
在集團信息化規(guī)劃中,企業(yè)私有云為集團總部和二、三級單位提供統(tǒng)一資源和統(tǒng)一服務。云安全解決方案從云平臺安全和云服務安全兩個角度進行設計。云平臺的方案設計需先對云進行風險評估,然后從虛擬化、數(shù)據(jù)防泄露、云邊界安全等角度,對云平臺的整體安全進行設計,提出云安全產(chǎn)品的技術方向分析和選型建議。在云計算的基礎上,實現(xiàn)云安全服務,為集團提供安全事件響應、基礎設施漏洞的修復、應用漏洞檢測、應用防護、主機安全策略優(yōu)化、云身份認證、安全操作運維等服務。
4結語
信息安全技術防護體系的建立要通過實施信息安全項目來實現(xiàn)。研究和設計過程中形成了可行的建設路線,并最終形成項目卡片,包括實施計劃和投資估算。后續(xù)將通過一系列項目的實施,并輔以組織和制度方面的完善,提升集團信息安全能力和安全防護水平。
作者:王靜 單位:國家電力投資集團公司
參考文獻:
[1]公安部.GB/T22239-2008.信息系統(tǒng)安全等級保護基本要求[S].2008
第二篇:軍工企業(yè)工業(yè)控制系統(tǒng)信息安全
摘要:
隨著兩化融合的不斷推進,使工業(yè)控制系統(tǒng)信息安全問題逐步顯現(xiàn)。文章從軍工企業(yè)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀入手,分析了軍工企業(yè)工業(yè)控制系統(tǒng)信息安全存在的風險,并對軍工企業(yè)工業(yè)控制系統(tǒng)信息安全的應對策略提出了建議。
關鍵詞:
軍工企業(yè);工業(yè)控制系統(tǒng);信息安全
隨著計算機和網(wǎng)絡技術的發(fā)展,特別是信息化與工業(yè)化得深度融合(即兩化融合),工業(yè)控制系統(tǒng)在軍工企業(yè)中的應用逐漸深入到生產(chǎn)制造的各個環(huán)節(jié),它一方面提高了企業(yè)信息化和綜合自動化水平,另一方面實現(xiàn)了生產(chǎn)和管理的高效率、高效益。對于軍工企業(yè)生產(chǎn)制造能力起到了十分重要的作用。軍工企業(yè)作為國防科技工業(yè)的重要軍工制造力量,一直都是國內(nèi)外間諜組織關注的重點目標。近年來,全球發(fā)生的多起針對工業(yè)控制系統(tǒng)的攻擊事件給人們敲響了警鐘。如何應對工業(yè)控制系統(tǒng)信息安全風險,是在兩化融合形勢下需要解決的現(xiàn)實問題。
1軍工企業(yè)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀
近年來,軍工企業(yè)為了提高生產(chǎn)率和生產(chǎn)的靈活性,自動化技術及聯(lián)系自動化“孤島”的工業(yè)控制系統(tǒng)得到了日益廣泛的應用。隨著ERP及MES等系統(tǒng)的實施,信息化的觸角已經(jīng)延伸到軍工企業(yè)各個生產(chǎn)單元,包括零件制造、產(chǎn)品組裝等等。軍工企業(yè)工業(yè)控制系統(tǒng)在享受開放、互聯(lián)技術帶來的技術進步、生產(chǎn)效率提高與競爭力大大增強的同時,也面臨著越來越嚴重的安全威脅。
1.1對工業(yè)控制系統(tǒng)信心安全重視不夠
多年來,軍工企業(yè)大都注重于管理網(wǎng)(尤其是涉密網(wǎng))的信息安全,對于工業(yè)控制系統(tǒng)信息安全關注不多,重視不夠。即使對工業(yè)控制系統(tǒng)采取策略,大多也是針對生產(chǎn)流程,缺乏對信息安全問題的高度重視,并且,所采取的安全策略和防護方法大都參照管理網(wǎng)的防護措施開展,但目前信息安全的許多技術措施和設計準則制度如認證、訪問控制、消息完整性、最小權限等大多只適用于普通計算機或網(wǎng)絡設備,而工業(yè)控制系統(tǒng)并不在傳統(tǒng)的信息安全防護范疇,致使所部署的信息安全解決方案會影響到企業(yè)生產(chǎn)運營,造成部分企業(yè)消極應對工業(yè)控制系統(tǒng)信息安全防護。
1.2對國外產(chǎn)品依賴大
目前,軍工企業(yè)很大一部分工業(yè)控制系統(tǒng)主要軟件、硬件、通信設備、技術標準基本上都引進自國外。以數(shù)控設備為例,國外的比例已經(jīng)達到50%以上,西門子、羅克韋爾、IGSS等國際知名廠商生產(chǎn)的工業(yè)控制設備占據(jù)我國工業(yè)控制系統(tǒng)的主要地位。而數(shù)控操作系統(tǒng)國外產(chǎn)品的使用率更是達到了70%以上,國產(chǎn)的工業(yè)控制系統(tǒng)往往也都采用國外的產(chǎn)品和技術。這種情況下,國內(nèi)對于國外產(chǎn)品的“底細”了解的并不完全清楚,缺乏核心知識產(chǎn)權,技術漏洞主要從國外公開報道中得知,安全防護缺乏主動權。
1.3與管理網(wǎng)數(shù)據(jù)交換隱患大
軍工企業(yè)工業(yè)控制系統(tǒng)主要用于下發(fā)、接收工業(yè)控制指令進行生產(chǎn)加工活收集各設備運行狀態(tài)信息,這些都需要將工業(yè)控制系統(tǒng)與管理網(wǎng)(大多是涉密網(wǎng))進行連接以便進行數(shù)據(jù)交換。由于工業(yè)控制系統(tǒng)本身的復雜性和封閉性,暫還不能對工業(yè)控制系統(tǒng)實施有效技術管控。當工業(yè)控制系統(tǒng)組成一個龐大網(wǎng)絡時,其運行安全風險急劇加大,核心數(shù)據(jù)易被攻擊者竊取或篡改破壞。
2軍工企業(yè)工業(yè)控制系統(tǒng)信息安全所面臨的風險
由于工業(yè)控制系統(tǒng)使用的通用協(xié)議、應用軟件、安全策略甚至硬件上存在諸多的安全缺陷,結合軍工企業(yè)管理實際,風險主要包括工業(yè)控制系統(tǒng)自身風險、人員風險和維修風險。
2.1工業(yè)控制系統(tǒng)自身風險
主要包括與工業(yè)控制系統(tǒng)相關的硬件和軟件的風險。硬件風險主要表現(xiàn)在工業(yè)控制設備各種外部接口功能復雜,難以監(jiān)管,給外部設備接入帶來極大便利,同時使用的可控制編輯器(ProgrammableLogicController,PLC)控制器、電腦工作站、網(wǎng)絡設備和交換機以及由路由器產(chǎn)生漏洞易造成信息安全風險;軟件風險主要包括操作系統(tǒng)平臺(如Windows操作系統(tǒng))、工業(yè)控制系統(tǒng)和應用軟件漏洞引發(fā)的風險。由于工業(yè)控制系統(tǒng)的獨立性,考慮到系統(tǒng)的穩(wěn)定運行,很多時候不會對Windows平臺安裝補丁及殺毒軟件,這存在著較大的安全威脅。
2.2人員風險
軍工企業(yè)生產(chǎn)現(xiàn)場環(huán)境復雜開放、人員流動較大,系統(tǒng)操作人員多為非密人員,保密意識比較淡薄,保密技能掌握不熟練。在工作中,操作和使用工業(yè)控制系統(tǒng)幾乎無限制。
2.3維修風險
軍工企業(yè)個別工業(yè)控制系統(tǒng)的維修管理難以有效掌控。部分進口工業(yè)控制系統(tǒng)需要通過互聯(lián)網(wǎng)遠程連接進行故障診斷,外來維修人員因技術保密需要使用自身便攜式計算機進行設備診斷等。維修設備接入互聯(lián)網(wǎng)或外來介質(zhì)設備,帶來極大的安全風險。
3軍工企業(yè)工業(yè)控制系統(tǒng)信息安全應對策略
軍工企業(yè)在保證工業(yè)控制系統(tǒng)保密性、完整性及可用性的前提下,建議從國家、工業(yè)控制生產(chǎn)和防護企業(yè)及軍工企業(yè)用戶等3個層面開展以下幾方面應對工作:
3.1國家層面
(1)加快工業(yè)控制系統(tǒng)信息安全體系建設。加強對工業(yè)控制系統(tǒng)安全防護工作的組織領導和宏觀規(guī)劃,通過開展調(diào)查研究等方式,深入研究我國工業(yè)控制系統(tǒng)的行業(yè)特點和需求,明確工業(yè)控制系統(tǒng)的安全防護策略,形成我國自主的工業(yè)控制系統(tǒng)安全體系。(2)完善工業(yè)控制系統(tǒng)信息安全相關政策法規(guī)及技術標準。借鑒歐美國家先進管理經(jīng)驗及防護標準,結合國內(nèi)實際情況,制定“工業(yè)控制信息安全管理辦法”及“工業(yè)控制系統(tǒng)信息安全防護標準”“工業(yè)控制系統(tǒng)信息安全防護指南”等頂層指導性文件。(3)開展工業(yè)控制系統(tǒng)風險評估工作。由國家機關組織專業(yè)的第三方機構,對重點軍工制造企業(yè)的關鍵工業(yè)控制系統(tǒng)實施定期的漏洞分析與風險評估工作,以保證軍工企業(yè)關鍵工業(yè)控制系統(tǒng)安全穩(wěn)定運行。
3.2工業(yè)控制生產(chǎn)和防護企業(yè)
(1)進一步提國產(chǎn)技術和產(chǎn)品的安全性,加快研發(fā)工業(yè)控制系統(tǒng)安防的技術和產(chǎn)品。當前,軍工企業(yè)工業(yè)控制系統(tǒng)大量采用國外產(chǎn)品,依賴性較大,加強技術革新,堅持自主研發(fā)、自主創(chuàng)新的道路,使國產(chǎn)軟件滿足我國本土需要的同時,具有更高的安全性和可靠性,以從容應對大型系統(tǒng)、復雜系統(tǒng)及特殊領域自動化系統(tǒng)面臨的安全性問題。(2)大力推進信息安全防護企業(yè)的研發(fā)力度,引導社會科研力量關注工業(yè)控制系統(tǒng)安全基礎理論、關鍵技術等重點課題,吸引社會資源參與工業(yè)控制系統(tǒng)信息安全防護研發(fā)。
3.3軍工企業(yè)
(1)建立工業(yè)控制系統(tǒng)信息安全責任制。軍工企業(yè)應按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則,建立健全信息安全責任制。明確工業(yè)控制設備和工業(yè)控制系統(tǒng)的歸口管理部門,明確管理職責,同事,建立人與設備一一對應制度,即一臺工業(yè)控制設備指定一個責任人,設備的安全由指定人員負責,出現(xiàn)問題由其承擔。(2)加強工業(yè)控制系統(tǒng)的信息安全管理。采取技術措施與管理措施相結合的方法。在技術方面,采用簡單易行的技術,力求不影響工業(yè)控制系統(tǒng)的實時性;在保證系統(tǒng)功能和性能的前提下,盡量減少通信信息技術的使用。在管理方面,采取對工業(yè)控制系統(tǒng)單獨組網(wǎng)的方式,實現(xiàn)與管理網(wǎng)的物理隔離,采取設備專用窗口機刻錄光盤的方式進行數(shù)據(jù)交換;指定工業(yè)控制系統(tǒng)信息數(shù)據(jù)交換介質(zhì)為光盤;定期對工業(yè)控制系統(tǒng)進行監(jiān)督檢查,重點關注維修環(huán)節(jié),重點檢查外來介質(zhì)設備的使用情況。(3)開展工業(yè)控制系統(tǒng)信息安全教育。主要包括對工業(yè)控制系統(tǒng)操作人員和信息安全管理人員的教育。通過定期開展專項信息安全教育,使其知悉工業(yè)控制系統(tǒng)存在的安全隱患及風險,結合國際國外典型攻擊案例,促進其在日常工業(yè)中養(yǎng)成按章操作的良好習慣,不斷提升信息安全方面的專業(yè)技能。
4結語
工業(yè)控制系統(tǒng)已經(jīng)成為軍工制造企業(yè)提高生產(chǎn)力和提升生產(chǎn)效能的有力武器,目前,工業(yè)控制系統(tǒng)信息安全問題并沒有十分完備的解決方案,國家有關部門應加快工業(yè)控制系統(tǒng)信息安全體系建設的步伐,明確工業(yè)控制系統(tǒng)信息安全防護方案,開展定期風險評估提出風險應對方案,通過提高自主可控產(chǎn)品的研發(fā)能力,提升國產(chǎn)工業(yè)控制系統(tǒng)設備競爭力,才能真正確保軍工企業(yè)工業(yè)控制系統(tǒng)的信息安全。
作者:孫尚敏 單位:沈陽飛機工業(yè)(集團)有限公司
[參考文獻]
[1]楊建軍.工業(yè)控制系統(tǒng)信息安全標準化[J].信息技術與標準化,2012(3):20-23.
[2]尹肖棟.論工業(yè)控制系統(tǒng)信息安全監(jiān)控管理建設[J].計算機,2013(20):168-170.
[3]李戰(zhàn)寶,張文貴,潘卓,等.美國確保工業(yè)控制系統(tǒng)安全的做法及對我們的啟示[C].北京:第27次全國計算機安全學術交流會(論文集),2012:51-53.
[4]劉斌.從“震網(wǎng)”病毒看工業(yè)控制系統(tǒng)的安全[J].科技廣場,2012(8):55-57.
[5]韓曉波.企業(yè)工業(yè)控制網(wǎng)絡安全技術探討及實現(xiàn)[J].自動化及儀表,2012(4):498-503.
[6]何之棟.工業(yè)控制系統(tǒng)的信息安全問題研究[J].工業(yè)控制計算機,2013(10):1-4.
第三篇:企業(yè)信息安全建設虛擬化威脅感知技術
摘要:
面對信息化建設進程的快速推進,如何有效實現(xiàn)風險防控,建立先進實用、安全可靠的信息安全保障體系,是大型企業(yè)都要面臨的嚴峻考驗。分析了大型企業(yè)在信息化建設中面臨的各種安全風險和信息安全防護工作的主要特性,提出了具有實踐意義的信息安全防護體系建設思路。分析了大型企業(yè)信息安全建設虛擬化環(huán)境面臨的威脅,設計出一種虛擬化安全威脅感知系統(tǒng),該系統(tǒng)由威脅情報平臺、本地檢測系統(tǒng)和數(shù)據(jù)分析平臺組成。
關鍵詞:
信息安全;安全風險;安全防護;威脅感知
1引言
網(wǎng)絡與信息安全風險隨著信息化建設的加速推進和發(fā)展而增高,企業(yè)必須高度重視網(wǎng)絡與信息安全體系的建設。于2016年4月19日在網(wǎng)絡安全和信息化工作座談會[1]上明確指出:網(wǎng)絡安全和信息化是相輔相成的,安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進。大型企業(yè)作為國家經(jīng)濟的主體,信息安全工作十分重要且繁雜,既要考慮信息安全對企業(yè)管理、運營以及社會、經(jīng)濟效應的影響,又要考慮企業(yè)肩負的法律與社會責任乃至國家安全責任。隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動應用(簡稱“云大物移”)等新技術的迅猛發(fā)展,新技術的快速應用與落后的企業(yè)傳統(tǒng)信息安全管理之間的矛盾日益凸顯。大型企業(yè)如何建立有效的信息安全保障體系、形成基于自身特點的防護策略、有效提升信息安全防護與管理水平、加強網(wǎng)絡安全防御和威懾能力,是當前大型企業(yè)信息安全工作面臨的首要任務。
2大型企業(yè)信息安全建設現(xiàn)狀
在國家“積極防御、綜合防范”的信息安全戰(zhàn)略引領下,企業(yè)對信息安全給予高度重視,已將信息安全建設視為企業(yè)發(fā)展戰(zhàn)略的重要組成部分,正在陸續(xù)加快信息安全自身能力建設。但總體來看,多數(shù)企業(yè)的信息安全保障體系建設仍有待完善。大型企業(yè)信息安全建設宜從以下幾方面入手。
2.1信息安全威脅源
企業(yè)要從自身的社會和經(jīng)濟價值出發(fā),全面分析企業(yè)面臨的安全威脅,既要明確威脅源的等級,也要結合企業(yè)安全責任來分析威脅。企業(yè)必須全面梳理信息安全需要保護什么、為什么保護和如何保護等關鍵問題,明確對現(xiàn)實中的安全威脅和未來可能的安全風險的預期。企業(yè)可能的威脅源如圖1所示。大型企業(yè)擁有大量商業(yè)及企業(yè)機密,容易成為惡意競爭對手和黑客集團的攻擊對象,生產(chǎn)經(jīng)營中的大量有價值的數(shù)據(jù)信息,可能成為不法分子和黑客獲取利益的目標。部分企業(yè)涉及國家科研、國防等重要領域,承擔國家重要基礎設施建設,擁有重要的國家機密,容易被敵對勢力及政治團體選中作為主要的攻擊對象。敏感信息泄露、重要數(shù)據(jù)被破壞、業(yè)務系統(tǒng)被非法控制、商業(yè)信譽遭惡意言論攻擊,任意一種情況都將造成重大社會影響,甚至危及國家安全。
2.2企業(yè)的自身特性
信息安全工作不能是盲目的、通用的建設工作。信息安全工作首先應該從企業(yè)自身特性入手,做好常規(guī)安全措施的同時,深挖企業(yè)安全薄弱點進行加固、加強,有點有面,才能保證信息安全工作的效果。大型企業(yè)與信息安全建設緊密相關的特性如下。(1)資產(chǎn)規(guī)模大、分布廣泛大到企業(yè)生產(chǎn)經(jīng)營、金融財務,小到企業(yè)知識產(chǎn)權、生產(chǎn)工藝、流程配方、方案圖紙、客戶資源及各種數(shù)據(jù),都是企業(yè)長期積累下來的財富,關系到企業(yè)的生存與發(fā)展,是企業(yè)安全防護的重要保護對象。這些龐大的無形及有形資產(chǎn)廣泛分布于企業(yè)的各個系統(tǒng)中,給信息安全防護帶來更高的要求。(2)網(wǎng)絡覆蓋廣、需求復雜企業(yè)網(wǎng)絡和系統(tǒng)結構復雜、交互需求多樣。很多集團類大型企業(yè)信息網(wǎng)絡由總公司、本地下屬工廠、子公司獨立建成局域網(wǎng),并形成各自的應用系統(tǒng),總公司整合分散的局域網(wǎng)構成總公司級局域網(wǎng),并形成總公司級的應用系統(tǒng),如ERP(enterpriseresourceplanning,企業(yè)資源計劃)系統(tǒng)和OA(officeautomation,辦公自動化)系統(tǒng),再發(fā)展到利用專線將跨省市的外地子公司及下屬工廠的局域網(wǎng)相連,形成了復雜的網(wǎng)絡環(huán)境及系統(tǒng)結構。有些大型企業(yè)各地內(nèi)部相關系統(tǒng)與其他單位系統(tǒng)有相互訪問的需求,部分大型企業(yè)既承擔著民用設施的建設,又涉及軍工設備的制造,這些特點都是企業(yè)信息安全應重點關注的問題,也給信息安全工作提出了不同的防護需求。(3)安全管理難、風險較高大型企業(yè)人員眾多、信息安全管理工作涉及面廣、管理工作相對繁雜。安全培訓工作的全面開展、員工安全防護意識培養(yǎng)、辦公系統(tǒng)與生產(chǎn)系統(tǒng)安全的區(qū)分管理、應用系統(tǒng)安全的統(tǒng)一建設、安全機制建設漏洞與安全保障措施執(zhí)行力度檢查,都是企業(yè)信息安全工作的重要部分,如果有一個環(huán)節(jié)被不法集團利用,就容易形成“木桶效應”,會給原有嚴密規(guī)劃的縱深安全防御體系造成漏洞。
2.3信息化安全的建設過程
企業(yè)的信息安全工作應該融入自身信息化建設過程中。IT技術產(chǎn)品的應用不僅要符合企業(yè)架構與流程的變化,也要充分考慮信息安全的問題,加大信息化建設中“人”的安全意識、IT技術產(chǎn)品的安全性[2],在信息化建設規(guī)劃的同時,開展信息安全防護研究和配套安全設施的建設。目前多數(shù)大型企業(yè)在業(yè)務系統(tǒng)和辦公終端的管理建設中,并未建立全面統(tǒng)一的漏洞狀況監(jiān)控系統(tǒng),也未建立終端補丁統(tǒng)一管理、補丁統(tǒng)一分發(fā)的安全控制系統(tǒng),使得系統(tǒng)及終端在補丁及時更新、漏洞全面修復等方面不具備條件,企業(yè)內(nèi)部信息安全由于漏洞修復不及時、不全面而陷于大量的威脅之中。
3企業(yè)虛擬化環(huán)境威脅梳理
3.1傳統(tǒng)防護手段面臨失效
高級持續(xù)性威脅(APT)是一種可以繞過各種傳統(tǒng)安全檢測防護措施,通過精心偽裝、定點攻擊、長期潛伏、持續(xù)滲透[3]等方式,伺機竊取網(wǎng)絡信息系統(tǒng)核心資料和各類情報的攻擊方式。事實證明,傳統(tǒng)安全設備已經(jīng)無法抵御復雜、隱蔽的APT攻擊。幾乎所有被曝光的APT攻擊都是以入侵者的全面成功而結束,在這些已公開的APT攻擊中,傳統(tǒng)安全設備的防御體系均被輕易繞過而失去防御能力。在某些APT攻擊的案例(如震網(wǎng)攻擊、夜龍攻擊)中,傳統(tǒng)安全防御設備甚至在長達數(shù)年的持續(xù)攻擊中毫無察覺,傳統(tǒng)安全設備無法抵御網(wǎng)絡攻擊的核武器——APT。傳統(tǒng)安全防御體系的框架一般包括:接入控制、安全隔離、邊界檢測/防御、終端防御、網(wǎng)絡審計、訪問控制等,所涉及的安全產(chǎn)品包括:防火墻、IDS/IPS、殺毒軟件、桌面管理軟件、網(wǎng)絡審計、雙因素認證token等。從傳統(tǒng)安全防御體系的設備和產(chǎn)品可以看出,這些產(chǎn)品遍布網(wǎng)絡2~7層,其中,與APT攻擊相關的7層設備主要是IDS、IPS、審計,而負責7層檢測的IDS、IPS采用經(jīng)典的CIDF檢測模型,該模型最核心的思想就是依靠攻擊特征庫的模式匹配完成對攻擊行為的檢測。反觀APT攻擊,其采用的攻擊手法和技術都是未知漏洞(0day)、未知惡意代碼等未知行為,在這種情況下,依靠已知特征、已知行為模式進行檢測的IDS、IPS在無法預知攻擊特征、攻擊行為模式的情況下,理論上就已無法檢測APT攻擊。(1)多變的攻擊手段這些由黑色產(chǎn)業(yè)鏈或國家驅(qū)動的APT攻擊通常都具備強大的攻擊手段和技術,且手法多樣,在一次攻擊過程中經(jīng)常采用多種手段和技術,包括社會工程學攻擊、0day漏洞利用、免殺木馬、定制化工具、逃逸技術等,尋找內(nèi)部安全薄弱環(huán)節(jié),所以可以屢屢得手,很難被發(fā)現(xiàn)。(2)攻擊隱蔽性強在大部分APT攻擊中,攻擊者針對不同的攻擊目標會采用不同的策略,并在攻擊前有針對性地進行信息收集,準備特定的攻擊工具,攻擊發(fā)起的整個過程時間可長可短,少則數(shù)小時,多則潛伏數(shù)月、數(shù)年,由于這些攻擊均會使用高級免殺技術以逃避傳統(tǒng)安全設備的特征檢測,因此隱蔽性極強。(3)攻擊目標明確APT攻擊往往具有明確的攻擊目的,如竊取有價值的數(shù)據(jù)、破壞重要系統(tǒng)等,由于傳統(tǒng)防護手段很難對此類攻擊有防護效果,一旦受到攻擊,其對企業(yè)和單位所造成的危害也是直接而巨大的。在安全形勢極不樂觀的環(huán)境下,如何擺脫傳統(tǒng)思路,尋求精確的APT攻擊檢測方法是亟待解決的問題。
3.2免殺木馬無法檢測
木馬(trojan),也稱木馬病毒,是通過特定的程序(木馬程序)來控制另一臺計算機的軟件。木馬通常有兩個可執(zhí)行程序:控制端和被控制端。木馬程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也并不“刻意”地去感染其他文件,它通過將自身進行偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種主機的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種主機。在APT攻擊中,通常使用“免殺木馬”,這類木馬會利用加冷門殼、加花指令、改程序入口點、修改內(nèi)存特征碼等免殺技巧來避免自身被殺毒軟件查殺。
3.3大量內(nèi)網(wǎng)數(shù)據(jù)無法有效利用
APT攻擊通常都會在內(nèi)網(wǎng)的各個角落留下蛛絲馬跡,真相往往隱藏在網(wǎng)絡的流量中。傳統(tǒng)的安全事件分析思路是遍歷各個安全設備的告警日志,嘗試找出其中的關聯(lián)關系。但根據(jù)上文的分析,由于APT攻擊的隱蔽性和特殊性,傳統(tǒng)安全設備通常都無法對APT攻擊的各個階段進行有效的檢測,也就無法產(chǎn)生相應的告警,安全人員花費大量精力進行告警日志分析往往都是徒勞無功。如果采用全流量采集的思路,一方面是存儲不方便,每天產(chǎn)生的全流量數(shù)據(jù)會占用過多的存儲空間,組織通常沒有足夠的資源來支撐長時間的存儲;另一方面是全流量數(shù)據(jù)包含了結構化數(shù)據(jù)、非結構化數(shù)據(jù),涵蓋了視頻、圖片、文本等多種格式,無法直接進行格式化檢索,安全人員也就無法從海量的數(shù)據(jù)中找到有價值的信息。因此,如何以恰當?shù)姆绞介L時間保存對安全分析有價值的流量數(shù)據(jù),是檢測、回溯APT攻擊必須解決的問題。
4企業(yè)信息安全建設思路
大型企業(yè)的信息安全建設,首先應明確安全需求,制定企業(yè)總體安全防護策略。在總體策略的指導下,開展針對企業(yè)自身特性的安全防護體系建設,規(guī)劃和設計總體防護結構,形成信息安全防護技術典型設計。在堅持和落實企業(yè)防護策略的基礎上,逐步標準化技術要求、細化技術措施,最終形成人員、管理、技術的有效措施。
4.1制定與落實企業(yè)總體防護策略
企業(yè)要深入分析梳理各級工作內(nèi)容、明確方針策略和防護原則、構建安全防護總體策略。通過安全管理、人員組織、工作機制、標準規(guī)范、技術措施、運行管控等手段規(guī)范指導企業(yè)的信息安全建設工作,確保信息安全策略的一致性,在具體方案中堅持策略。公司各級單位要根據(jù)總體防護策略并結合自身實際,在遵循主體內(nèi)容不變的基礎上開展信息安全防護工作。企業(yè)的防護策略要有穩(wěn)定性和前瞻性,要結合技術和業(yè)務發(fā)展趨勢,一方面需針對“云大物移”等新技術的引入,從宏觀上對技術應用帶來的風險進行綜合考慮,對在建項目在規(guī)劃階段就展開安全防護研究和運行管控;另一方面不斷提升自身認知,保障企業(yè)的安全方針和策略要在一段時期內(nèi)持續(xù)有效,形成規(guī)劃總體防護策略的演進線路,以適應或引領企業(yè)信息安全的發(fā)展潮流。
4.2規(guī)劃與設計總體防護結構
企業(yè)要明確內(nèi)部各級單位各類場景的防護需求、規(guī)劃和設計總體防護結構。總體防護結構要遵循國家有關信息安全法規(guī)、標準和行業(yè)監(jiān)管要求[4],堅持“規(guī)劃定級、標準設計、全面建設、有效防護”的工作原則,有效銜接自身安全防護體系和國家防護體系,形成企業(yè)內(nèi)部、外部有效協(xié)同和整體聯(lián)動機制。企業(yè)總體防護結構要充分結合自身特點展開設計,要實現(xiàn)管理技術與技術體系的融合,有效支撐業(yè)務安全發(fā)展。企業(yè)在總體防護結構的框架下,繼承和鞏固已有的成果,逐步細化完善各級保護標準,開展新技術、新制度的創(chuàng)新應用。
4.3構建全生命周期的管理機制
在健全信息安全規(guī)章制度、加強安全管理體系、安全技術體系、安全運維體系的基礎上,企業(yè)應構建全生命周期的管理機制。規(guī)范風險控制方法和工作流程,強化信息安全風險識別、風險評估、措施制定、過程控制和應急處置等工作,從信息化管理機制、規(guī)章制度、標準規(guī)范、設備設施、軟件質(zhì)量、人員管理等多方面出發(fā),將信息安全貫穿信息系統(tǒng)規(guī)劃、設計、研發(fā)、建設、施工、運維到銷毀等生命周期的全過程和信息化全部領域,形成有效的企業(yè)信息安全體系,融入信息化管理各項工作中。同時,企業(yè)應健全和完善信息化考核評價管理體系,建立信息化建設與運行過程情況的有效描述模型,幫助企業(yè)識別相關技術與管理的不足,逐步改善信息化過程,達到持續(xù)改進的目標。
4.4提高信息安全動員和協(xié)調(diào)能力
在信息安全技術威脅復雜多變的新形勢下,企業(yè)需提高信息安全協(xié)調(diào)動員能力,確保發(fā)生重大安全事件的追查處理能力。從企業(yè)組織機構設置、人員隊伍建設和管理機制方面進行建設提升,提高企業(yè)的信息安全動員能力,形成分工明確、專業(yè)處置、快速響應的信息安全管控隊伍;建設網(wǎng)絡安全事件應急處置工作機制,做到積極預防、及時發(fā)現(xiàn)、快速響應、確保恢復。企業(yè)需提高各個業(yè)務部門的安全協(xié)作意識,確保防護策略能夠有效貫徹和落實到各個業(yè)務部門,確保系統(tǒng)建設從規(guī)劃設計、上線運行到下線報廢的各個環(huán)節(jié)都在安全部門的有效監(jiān)管下進行,安全部門在防護方案、安全測評、安全運行和應急響應等各個方面提供支撐服務,以形成高效的安全管控機制。
5虛擬化安全威脅感知系統(tǒng)架構設計
5.1虛擬化安全威脅感知系統(tǒng)的組成
(1)威脅情報平臺為保障虛擬化網(wǎng)絡的安全,避免重要機密和信息被竊,需要建立基于大數(shù)據(jù)分析的威脅情報平臺。基于大數(shù)據(jù)分析的威脅情報[5]平臺,可通過對互聯(lián)網(wǎng)上的海量數(shù)據(jù)進行深度挖掘,從而有效發(fā)現(xiàn)APT攻擊,生成威脅情報。(2)本地檢測平臺傳統(tǒng)防病毒網(wǎng)關和殺毒軟件對于免殺木馬的查殺無能為力,為有效檢測網(wǎng)內(nèi)的免殺木馬,應該建立本地檢測平臺。本地檢測平臺可對APT攻擊的核心環(huán)節(jié)——惡意代碼植入進行檢測,與傳統(tǒng)的基于惡意代碼特征匹配的檢測方法不同,基于多引擎沙箱的本地檢測平臺采用的多引擎沙箱方法可以對未知的惡意代碼進行有效檢測,可以避免因為無法提前獲得未知惡意代碼特征而漏檢的問題,在無需提前預知惡意代碼樣本的情況下,仍然可以對惡意代碼樣本進行有效的檢測,因為免殺木馬是APT攻擊的核心步驟,因此對未知惡意代碼樣本的有效檢測,可以有效解決APT攻擊過程中的檢測問題。(3)數(shù)據(jù)分析平臺為有效發(fā)現(xiàn)網(wǎng)絡內(nèi)部的安全問題,必然需要對網(wǎng)絡內(nèi)部的流量信息和終端的日志信息進行抓取,這必然帶來如何在海量數(shù)據(jù)中快速搜索有用信息的問題。為了解決這個問題,應該建立基于搜索技術的數(shù)據(jù)分析平臺。基于搜索技術的數(shù)據(jù)分析平臺可對本地抓取的海量數(shù)據(jù)進行快速檢索從而進行高效分析,對內(nèi)網(wǎng)的攻擊行為進行歷史回溯。
5.2本地信息處理
本地信息采集是通過虛擬化安全威脅感知系統(tǒng)傳感器[6](采集設備)對網(wǎng)絡流量進行解碼,還原出真實流量提取網(wǎng)絡層、傳輸層和應用層的頭部信息,甚至是重要負載信息,這些信息將通過加密通道傳送到分析平臺進行統(tǒng)一處理。分析平臺承擔對所有數(shù)據(jù)進行存儲、預處理和檢索的工作。由于傳統(tǒng)關系型數(shù)據(jù)庫在面對大量數(shù)據(jù)存儲時經(jīng)常出現(xiàn)性能不足的問題導致查詢相關數(shù)據(jù)緩慢,因此分析平臺底層的數(shù)據(jù)檢索模塊需要采用分布式計算和搜索引擎技術對所有數(shù)據(jù)進行處理,通過建立多臺設備的集群以保證存儲空間和計算能力的供應。
5.3本地沙箱檢測
虛擬化安全威脅感知系統(tǒng)通過檢測器對文件進行高級威脅檢測,威脅器可以接收還原自采集器的大量PE和非PE文件,使用靜態(tài)檢測、動態(tài)檢測等一系列無簽名檢測方式發(fā)現(xiàn)傳統(tǒng)安全設備無法發(fā)現(xiàn)的高級威脅,并將威脅相關情況提供給安全管理人員。檢測器上的相關告警也可發(fā)送至分析平臺,實現(xiàn)告警的統(tǒng)一管理和后續(xù)分析。
5.4云端威脅情報
5.4.1大數(shù)據(jù)分析
虛擬化安全威脅感知系統(tǒng)依托IP、DNS、URL、文件黑白名單信譽數(shù)據(jù)庫[7],對互聯(lián)網(wǎng)上活躍的任何一次攻擊進行記錄。DNS庫、樣本庫以及主防庫需要定期維護更新,因為要發(fā)現(xiàn)未知威脅需要真實網(wǎng)絡環(huán)境下的大量數(shù)據(jù)支撐。
5.4.2數(shù)據(jù)處理
通過DNS解析記錄、樣本信息、文件行為日志等內(nèi)容,對全網(wǎng)抓取數(shù)據(jù)、可視化的分析數(shù)據(jù)以及其他多個維度的數(shù)據(jù)進行關聯(lián)分析和歷史檢索,依賴于虛擬化安全威脅感知系統(tǒng)發(fā)現(xiàn)APT攻擊組織信息,并不斷地跟蹤相關信息,依賴于海量數(shù)據(jù)對攻擊背景做出準確的判定。
5.4.3確認未知威脅
所有大數(shù)據(jù)分析出的未知威脅都通過專業(yè)的人員進行人工干預,做到精細分析,確認攻擊手段、攻擊對象以及攻擊的目的,通過人工智能結合大數(shù)據(jù)知識以及攻擊者的多個維度特征還原出攻擊者的全貌,包括程序形態(tài)、不同編碼風格和不同攻擊原理的同源木馬程序、惡意服務器(C&C)等,通過全貌特征“跟蹤”攻擊者,持續(xù)地發(fā)現(xiàn)未知威脅,最終確保發(fā)現(xiàn)的未知威脅的準確性。
5.4.4情報交付
為了將云端的攻擊發(fā)現(xiàn)成果傳遞到管理側,虛擬化安全威脅感知系統(tǒng)將所有與攻擊相關的信息(如攻擊團體、惡意域名、受害者IP地址、惡意文件MD5等)進行匯總,按照標準格式封裝成威脅情報,并通過加密通道推送到管理側的威脅感知系統(tǒng)。作為系統(tǒng)整個方案的核心內(nèi)容,威脅情報承擔了連接互聯(lián)網(wǎng)信息和本地信息的重要作用,為APT事件在管理側的最終定位提供了數(shù)據(jù)線索和定位依據(jù)。
6某大型企業(yè)的信息安全建設實踐
某大型企業(yè)在“十一五”期間,遵循國家信息安全戰(zhàn)略,提出了信息安全保障體系的建設需求,制定了信息安全防護體系總體策略,按照“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的總體思路,建成了以“三道防線”為基礎的總體布防結構,初步建設了信息安全等級保護縱深防護體系。在“十二五”期間,通過信息安全頂層設計,確立安全方針和策略,形成多層次、系統(tǒng)性的規(guī)范文件,并在規(guī)范文件的指導下,建立信息安全管理體系、技防體系和技術體系。安全管理和各類防護措施進一步細化,持續(xù)完善管理與制度保障體系,建立有效管理機制,推進自主可控安全建設,開展人才隊伍管理與建設,從人才技術水平提升、技術裝備提升兩方面提升信息安全專業(yè)隊伍水平。展望“十三五”,該企業(yè)充分考慮新技術安全需求與挑戰(zhàn),提出了“可管可控、精準防護、可視可信、智能防護”的安全防護理念,強化了網(wǎng)絡與信息安全技術檢查、網(wǎng)絡與信息安全內(nèi)控、網(wǎng)絡與信息安全基礎防護和信息安全動員等能力建設,對信息安全主動防御體系進行優(yōu)化提升,為新技術應用安全防護提供技術路線,保障信息化戰(zhàn)略的創(chuàng)新演進,為信息安全防護體系創(chuàng)新提供了新動力。
7結束語
新型國家信息安全形勢下,針對大型企業(yè)信息化建設進程中存在的風險、特性和實際訴求結合當前虛擬化網(wǎng)絡環(huán)境設計出一種基于大數(shù)據(jù)分析的虛擬化安全威脅感知系統(tǒng)。詳細闡述了企業(yè)信息安全工作需要考慮和關注的問題,提出了大型企業(yè)信息安全建設的總體思路,并列舉了某大型企業(yè)的信息安全建設實踐。大型企業(yè)信息安全防護,只有通過持續(xù)不斷地創(chuàng)新建設,不斷優(yōu)化和完善企業(yè)信息化管理體系,遵守符合各種業(yè)務發(fā)展需要及國家行業(yè)政策的要求,才能使企業(yè)的信息安全保障能力和風險管控能力不斷提升到更高的水平。
作者:徐影 吳釗 李祉岐 單位:北京聯(lián)合大學 國網(wǎng)信息通信產(chǎn)業(yè)集團有限公司 北京國電通網(wǎng)絡技術有限公司
參考文獻:
[1]在網(wǎng)絡安全和信息化工作座談會上的重要講話[EB/OL].
[2]互聯(lián)網(wǎng)時代的企業(yè)安全發(fā)展趨勢專題研究報告[EB/OL].(2013-09-24)
[3]閆世杰,陳永剛,劉鵬,等.云計算中虛擬機計算環(huán)境安全防護方案[J].通信學報,2015,11(1):15-36.
[4]中國電子信息產(chǎn)業(yè)發(fā)展研究院.信息安全產(chǎn)業(yè)發(fā)展白皮書(2015版)[R].[S.l.:s.n.],2015.