第一篇:电力企业信息安全技术架构设计
摘要:
作为国家关键信息基础设施,电力行业一直面临着较大风险隐患。为确保电力生产管理和信息网络的安全稳定,在前期信息安全规划基础上,通过调研和分析,从基础设施、技术支撑平台、应用三个层面提出了集团型电力企业信息安全技术防护体系框架。同时,提出一系列技术措施研究专题,包括工业控制系统安全、统一安全监测审计系统、数据备份与容灾等,以指导集团信息安全项目持续开展,提升和优化信息安全能力。
关键词:
电力行业;信息安全;技术防护;工业控制系统安全;数据备份与容灾
0引言
国家电投集团已开展信息安全规划工作,为实现信息安全总体目标,须逐步开展信息安全能力建设并进行落地。信息安全技术防护架构支撑信息安全能力,是确保信息系统安全运行,最终实现信息安全目标的手段之一。通过确认防护对象及其需求,建立信息安全基础防护框架,支撑建设与运维安全能力,并以此为基础,实现对系统、网络、终端等安全状态的集中监控、分析与响应,最终实现风险可视化、可管理,支撑安全运行和安全管理、安全决策能力。
1识别防护对象及总体安全需求
目前,集团在建及规划的应用系统包括信息展现、决策分析、经营管理、综合管理和专业生产五大类。通过综合考虑各应用系统的功能、系统面向的使用对象、承载业务数据的敏感程度等因素,识别信息系统总体的安全需求。例如,外部网站部署在互联网中,需要考虑网站可用性、页面防篡改等安全需求;运营监管平台承载着集团敏感生产数据,需要考虑数据安全的需求。集团信息化规划中的技术架构分为应用、技术支撑平台和基础设施三个层次。其中,基础设施再细分为终端层、云管理平台、基础设施资源池层、基础网络架构层和机房物理环境层。信息安全技术体系框架的设计也依照信息化技术架构的层次,对应用层、技术支撑平台层和基础设施层采取相应的信息安全技术防护措施。每一个层次的技术防护措施需要从身份认证、访问控制、内容安全、监控审计、备份恢复五个方面,对信息系统安全防护需求进行分析。
2信息安全技术框架
按照已经梳理的应用系统总体安全需求,依据现状调研结果、信息化建设需求、信息安全能力及合规要求,在各类应用系统、技术支撑平台、基础设施(终端、云平台、硬件资源、机房、网络)层,对信息安全防护技术需求进行细化。将需求与安全技术防护措施对应后,得出信息安全技术基础防护措施汇总。基础防护技术架构的形成是建设与运维安全能力的技术支撑,包括物理安全、网络安全、系统安全、终端安全、应用安全、数据安全[1]。随着安全设备部署的数量不断增多,产生大量的防火墙、IDS、WAF等安全防护设备以及网络设备的日志、各类服务器日志信息、配置信息、漏扫工具扫描结果。安全运行人员需要对这些日志进行统一记录与分析,以进一步发现安全事件。然而,源源不断的各种不同类型和格式的日志数据,给安全运行工作带来了极大挑战。需要通过专业、自动化的安全技术,将各个设备日志进行集中管理,并实现实施监测、关联分析,以提高工作效率、监测与响应能力,并最终快速解决安全事件,减少运维成本。同时,安全技术评估中发现大量漏洞,人工跟踪与管理效果不佳,需要通过自动化追踪和处置方式,以提升效率。因此,对于安全运行层,需要具备专业的技术能力,以实现对基础技术防护架构中的系统与设备产生的大量数据进行关联分析、实时监控与报警,并支撑技术人员进行安全技术评估与漏洞管理。对于安全管理和决策层,需要全面了解信息安全风险、合规情况以及对策略进行管理与跟踪,从而开展信息安全检查、培训工作。因此,需要将集团整体信息安全风险通过可视化方式进行展示,使管理层对目前风险状况一目了然,并提供信息安全风险管理平台,对所有风险进行统一识别、管理、跟踪,有效支撑信息安全风险管理工作,为进一步调整信息安全策略提供数据输入。同时,通过自动化的检查工具,管理系统支撑信息安全检查、合规工作。因此,应建立信息安全管理平台,从而为安全决策和管理提供支撑。汇总上述支撑信息安全能力各层的信息安全技术措施,最终形成集团信息安全技术框架。具体的,信息安全技术体系框架可分为信息安全基础防御层、信息安全监控平台层和信息安全管理平台层。
3信息安全技术专题研究
目前,集团公司信息安全技术措施部署工作已经开展,在信息安全技术体系框架中识别各项技术措施,将其分为新建、完善和已有三大类,最后根据防护对象不同,将未实现或待完善的技术措施综合汇总,形成13个技术专题,用于指导未来集团公司开展信息安全建设工作。
3.1工业控制系统信息安全保障专题
集团总部是全集团工控安全的牵头管理部门,需提出总体工控安全的管理要求和考核指标;二级单位是本单位工控安全的管理部门,需指导、监督、管理三级单位落实工控安全;三级单位具体对工控安全进行落地,需制定和落实安全管理要求。方案构建时,第一阶段以“合规”为主。应遵循《电力监控系统安全防护规定》(国家发改委第14号令)、电力行业信息安全等级保护相关要求、国家能源局相关文件对发电厂安全防护建设的要求,通过安全现状分析,梳理出目前电厂在安全建设方面存在的差异,进而从技术、管理等方面设计安全防护方案。同时,应充分考虑电厂工控系统的安全现状和实际安全建设的承载能力。老旧电厂在安全建设现状基础上,以安全审计作为主要的安全防护方向,以建设管理制度、明确人员职能为主要的安全管理建设方向;新建电厂要充分考虑14号令对电厂安全建设的具体要求,并落实相关防护和管理措施。第二阶段以“提升”为主。在符合相关政策要求的基础上,应进一步考虑符合电厂控制系统生命周期的安全防护要求。要逐步完善电厂工业控制系统的安全防护措施,使电厂工业控制系统安全防护由安全策略的部署向安全能力的部署迁移,逐步实现安全技术能力、安全管理能力的全面提升,实现管、控、防一体化。安全能力逐步覆盖系统上线、系统运行、系统运维、系统检修等各个环节,从而最终实现工控系统安全的闭环管控。总体方案框架设计主要以保障工控系统中的主机、网络、应用软件(控制软件、组态软件)以及控制器安全为主要目标,并符合国家相关政策要求,同时参考国内外工控系统安全防护的先进措施,构建一套符合业务运行特点、满足生产安全需求的防护体系。通过技术、管理和运行三个方面措施,保障集团工控系统的安全。
3.2对外网站系统安全监测与保障体系专题
通过部署网站安全监测系统,监测全集团现有网站是否正常服务、是否被篡改和挂马、漏洞情况等,对发现的问题及时验证并通知相关人员。研究未来全集团网站的安全建设模式,如网站群,在物理上将二、三级单位的网站集中部署并进行安全防护。这在成本及安全专业性方面,都优于各自分散建设。注重运营体系的目标管理和过程管理,按照事前、事中、事后三个维度,通过网站漏洞管理、网站威胁管理、网站安全事件管理三个部分,分别建立对外网站安全的事前预防、事中监测防护和事后发现响应。
3.3统一安全监测、预警与审计系统建设专题
统一安全监测、预警与审计系统负责对安全事件的监测、审计,实现安全事件的预警和通报,并对漏洞的生命周期进行管理。系统的管理范围是集团本地化应用系统、集中部署系统和全集团广域网,以日志信息和流量信息为展示基础,通过大数据等分析工具进行关联分析,实现安全事件监控、预警。系统设计为三层架构,分别是数据处理、数据分析和展示层。
3.4应急体系专题
通过制定应急管理要求、应急预案、应急手册,进行应急演练和日常应急响应,建立完善的应急体系。
3.5移动平台安全防护专题
由于移动办公、移动门户应用基于互联网,应从集团角度制定移动应用安全要求及移动应用安全解决方案,从而对移动应用安全建设进行规范。
3.6网络安全防护专题
网络安全防护专题包括局域网安全建设、无线网安全建设、广域网流量分析建设三个部分。局域网和无线网部分主要制定安全防护方案,如提出局域网的区域划分标准,指导分区分域,提出各区域之间的防护策略;广域网部分主要考虑在集团总部和二级单位节点部署流量分析设备。
3.7数据安全防护专题
数据安全保障方案分为两部分:一部分是对数据的安全管理要求,一部分是数据的安全防护方案。从数据的整个生命周期角度出发,对数据传输、数据存储、数据操作、数据管理、数据销毁等方面都提出安全要求和具体安全防护措施。同时,通过对数据进行梳理并分级分类,从而对不同级别的数据提出不同的安全要求。通过基于数据安全治理的分级防护解决方案的实施,形成具备“智能识别、主动防护、监控响应”能力的全面一体化防护体系,达到“防失密、防泄密、防滥用”的目标。
3.8数据备份与容灾专题
按照统一规划、统一建设原则,开展集团集中式灾备中心建设,且二级单位灾备建设纳入集团灾备体系统一考虑。通过对全集团的数据备份与容灾需求进行调研,提出数据备份与容灾系统建设方案,确定具体技术路线和关键产品选型。研究各种技术路线的优缺点,明确各路线实现的前提(如对网络质量、带宽的要求等),确定同城灾备中心和异地灾备中心的策略和产品规格。对全集团业务系统的容灾策略进行分级,针对不同容灾级别的系统确定不同的容灾策略。业务连续性级别从一级到四级,容灾策略包括同城和异地、应用级和数据级。数据级容灾技术可以划分为数据备份和数据复制两类。集团三级以下系统的异地容灾策略为数据级备份,因此可以选择数据备份的技术路线进行方案设计。集团四级和三级系统,在同城应用级灾备方面确立了不同的容灾策略,可以分别选择适当的数据复制技术来设计容灾方案。但是,从数据复制架构的统一性和易管理性方面考虑,推荐两者采取相同的技术路线进行设计和建设。就目前电力行业在业务连续性管理领域的成功实践经验而言,应用级容灾技术路线,主要包括主备模式(Active-Standby)和双活模式(Active-Active)两类。通过比较和分析,建议集团四级系统同城应用级互备采用双活模式,四级异地应用级主备和三级同城应用级主备采用主备模式。
3.9信息安全综合管理系统专题
通过部署信息安全综合管理系统,实现集团对各二、三级单位的信息安全管控工作支撑,包括等级保护、信息安全检查、风险管理、信息安全事件管理、安全策略管理、资产管理、整改规划管理和报表管理。信息安全综合管理系统采取集团统一部署,多级应用模式。
3.10漏洞和补丁集中管理专题
通过部署漏洞管理系统,对应用系统、主机、网络等的漏洞进行集中发现、跟踪;制定补丁管理策略,部署补丁管理系统对补丁进行自动分发。
3.11统一身份管理平台专题
通过对集团统一身份管理平台现存的问题进行研究,制定平台现存问题的解决方案。PKI(PublicKeyInfrastructure)指用公开密钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施[2]。基于PKI建立统一用户管理系统,对集团总部和二级单位分别部署的统一用户管理系统实行联邦认证,实现总部/二级单位的门户级联。由总部统一制定身份管理相关规范,各二、三级单位参照执行。
3.12实验室技术能力建设专题
为配合集团信息安全实验室的建立,需要配套建设一系列安全检测技术支撑工具,使实验室能够真正具备进行信息安全检查、测评、应急响应、专业培训等能力。
3.13企业私有云信息安全防护专题
在集团信息化规划中,企业私有云为集团总部和二、三级单位提供统一资源和统一服务。云安全解决方案从云平台安全和云服务安全两个角度进行设计。云平台的方案设计需先对云进行风险评估,然后从虚拟化、数据防泄露、云边界安全等角度,对云平台的整体安全进行设计,提出云安全产品的技术方向分析和选型建议。在云计算的基础上,实现云安全服务,为集团提供安全事件响应、基础设施漏洞的修复、应用漏洞检测、应用防护、主机安全策略优化、云身份认证、安全操作运维等服务。
4结语
信息安全技术防护体系的建立要通过实施信息安全项目来实现。研究和设计过程中形成了可行的建设路线,并最终形成项目卡片,包括实施计划和投资估算。后续将通过一系列项目的实施,并辅以组织和制度方面的完善,提升集团信息安全能力和安全防护水平。
作者:王静 单位:国家电力投资集团公司
参考文献:
[1]公安部.GB/T22239-2008.信息系统安全等级保护基本要求[S].2008
第二篇:军工企业工业控制系统信息安全
摘要:
随着两化融合的不断推进,使工业控制系统信息安全问题逐步显现。文章从军工企业工业控制系统信息安全现状入手,分析了军工企业工业控制系统信息安全存在的风险,并对军工企业工业控制系统信息安全的应对策略提出了建议。
关键词:
军工企业;工业控制系统;信息安全
随着计算机和网络技术的发展,特别是信息化与工业化得深度融合(即两化融合),工业控制系统在军工企业中的应用逐渐深入到生产制造的各个环节,它一方面提高了企业信息化和综合自动化水平,另一方面实现了生产和管理的高效率、高效益。对于军工企业生产制造能力起到了十分重要的作用。军工企业作为国防科技工业的重要军工制造力量,一直都是国内外间谍组织关注的重点目标。近年来,全球发生的多起针对工业控制系统的攻击事件给人们敲响了警钟。如何应对工业控制系统信息安全风险,是在两化融合形势下需要解决的现实问题。
1军工企业工业控制系统信息安全现状
近年来,军工企业为了提高生产率和生产的灵活性,自动化技术及联系自动化“孤岛”的工业控制系统得到了日益广泛的应用。随着ERP及MES等系统的实施,信息化的触角已经延伸到军工企业各个生产单元,包括零件制造、产品组装等等。军工企业工业控制系统在享受开放、互联技术带来的技术进步、生产效率提高与竞争力大大增强的同时,也面临着越来越严重的安全威胁。
1.1对工业控制系统信心安全重视不够
多年来,军工企业大都注重于管理网(尤其是涉密网)的信息安全,对于工业控制系统信息安全关注不多,重视不够。即使对工业控制系统采取策略,大多也是针对生产流程,缺乏对信息安全问题的高度重视,并且,所采取的安全策略和防护方法大都参照管理网的防护措施开展,但目前信息安全的许多技术措施和设计准则制度如认证、访问控制、消息完整性、最小权限等大多只适用于普通计算机或网络设备,而工业控制系统并不在传统的信息安全防护范畴,致使所部署的信息安全解决方案会影响到企业生产运营,造成部分企业消极应对工业控制系统信息安全防护。
1.2对国外产品依赖大
目前,军工企业很大一部分工业控制系统主要软件、硬件、通信设备、技术标准基本上都引进自国外。以数控设备为例,国外的比例已经达到50%以上,西门子、罗克韦尔、IGSS等国际知名厂商生产的工业控制设备占据我国工业控制系统的主要地位。而数控操作系统国外产品的使用率更是达到了70%以上,国产的工业控制系统往往也都采用国外的产品和技术。这种情况下,国内对于国外产品的“底细”了解的并不完全清楚,缺乏核心知识产权,技术漏洞主要从国外公开报道中得知,安全防护缺乏主动权。
1.3与管理网数据交换隐患大
军工企业工业控制系统主要用于下发、接收工业控制指令进行生产加工活收集各设备运行状态信息,这些都需要将工业控制系统与管理网(大多是涉密网)进行连接以便进行数据交换。由于工业控制系统本身的复杂性和封闭性,暂还不能对工业控制系统实施有效技术管控。当工业控制系统组成一个庞大网络时,其运行安全风险急剧加大,核心数据易被攻击者窃取或篡改破坏。
2军工企业工业控制系统信息安全所面临的风险
由于工业控制系统使用的通用协议、应用软件、安全策略甚至硬件上存在诸多的安全缺陷,结合军工企业管理实际,风险主要包括工业控制系统自身风险、人员风险和维修风险。
2.1工业控制系统自身风险
主要包括与工业控制系统相关的硬件和软件的风险。硬件风险主要表现在工业控制设备各种外部接口功能复杂,难以监管,给外部设备接入带来极大便利,同时使用的可控制编辑器(ProgrammableLogicController,PLC)控制器、电脑工作站、网络设备和交换机以及由路由器产生漏洞易造成信息安全风险;软件风险主要包括操作系统平台(如Windows操作系统)、工业控制系统和应用软件漏洞引发的风险。由于工业控制系统的独立性,考虑到系统的稳定运行,很多时候不会对Windows平台安装补丁及杀毒软件,这存在着较大的安全威胁。
2.2人员风险
军工企业生产现场环境复杂开放、人员流动较大,系统操作人员多为非密人员,保密意识比较淡薄,保密技能掌握不熟练。在工作中,操作和使用工业控制系统几乎无限制。
2.3维修风险
军工企业个别工业控制系统的维修管理难以有效掌控。部分进口工业控制系统需要通过互联网远程连接进行故障诊断,外来维修人员因技术保密需要使用自身便携式计算机进行设备诊断等。维修设备接入互联网或外来介质设备,带来极大的安全风险。
3军工企业工业控制系统信息安全应对策略
军工企业在保证工业控制系统保密性、完整性及可用性的前提下,建议从国家、工业控制生产和防护企业及军工企业用户等3个层面开展以下几方面应对工作:
3.1国家层面
(1)加快工业控制系统信息安全体系建设。加强对工业控制系统安全防护工作的组织领导和宏观规划,通过开展调查研究等方式,深入研究我国工业控制系统的行业特点和需求,明确工业控制系统的安全防护策略,形成我国自主的工业控制系统安全体系。(2)完善工业控制系统信息安全相关政策法规及技术标准。借鉴欧美国家先进管理经验及防护标准,结合国内实际情况,制定“工业控制信息安全管理办法”及“工业控制系统信息安全防护标准”“工业控制系统信息安全防护指南”等顶层指导性文件。(3)开展工业控制系统风险评估工作。由国家机关组织专业的第三方机构,对重点军工制造企业的关键工业控制系统实施定期的漏洞分析与风险评估工作,以保证军工企业关键工业控制系统安全稳定运行。
3.2工业控制生产和防护企业
(1)进一步提国产技术和产品的安全性,加快研发工业控制系统安防的技术和产品。当前,军工企业工业控制系统大量采用国外产品,依赖性较大,加强技术革新,坚持自主研发、自主创新的道路,使国产软件满足我国本土需要的同时,具有更高的安全性和可靠性,以从容应对大型系统、复杂系统及特殊领域自动化系统面临的安全性问题。(2)大力推进信息安全防护企业的研发力度,引导社会科研力量关注工业控制系统安全基础理论、关键技术等重点课题,吸引社会资源参与工业控制系统信息安全防护研发。
3.3军工企业
(1)建立工业控制系统信息安全责任制。军工企业应按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,建立健全信息安全责任制。明确工业控制设备和工业控制系统的归口管理部门,明确管理职责,同事,建立人与设备一一对应制度,即一台工业控制设备指定一个责任人,设备的安全由指定人员负责,出现问题由其承担。(2)加强工业控制系统的信息安全管理。采取技术措施与管理措施相结合的方法。在技术方面,采用简单易行的技术,力求不影响工业控制系统的实时性;在保证系统功能和性能的前提下,尽量减少通信信息技术的使用。在管理方面,采取对工业控制系统单独组网的方式,实现与管理网的物理隔离,采取设备专用窗口机刻录光盘的方式进行数据交换;指定工业控制系统信息数据交换介质为光盘;定期对工业控制系统进行监督检查,重点关注维修环节,重点检查外来介质设备的使用情况。(3)开展工业控制系统信息安全教育。主要包括对工业控制系统操作人员和信息安全管理人员的教育。通过定期开展专项信息安全教育,使其知悉工业控制系统存在的安全隐患及风险,结合国际国外典型攻击案例,促进其在日常工业中养成按章操作的良好习惯,不断提升信息安全方面的专业技能。
4结语
工业控制系统已经成为军工制造企业提高生产力和提升生产效能的有力武器,目前,工业控制系统信息安全问题并没有十分完备的解决方案,国家有关部门应加快工业控制系统信息安全体系建设的步伐,明确工业控制系统信息安全防护方案,开展定期风险评估提出风险应对方案,通过提高自主可控产品的研发能力,提升国产工业控制系统设备竞争力,才能真正确保军工企业工业控制系统的信息安全。
作者:孙尚敏 单位:沈阳飞机工业(集团)有限公司
[参考文献]
[1]杨建军.工业控制系统信息安全标准化[J].信息技术与标准化,2012(3):20-23.
[2]尹肖栋.论工业控制系统信息安全监控管理建设[J].计算机,2013(20):168-170.
[3]李战宝,张文贵,潘卓,等.美国确保工业控制系统安全的做法及对我们的启示[C].北京:第27次全国计算机安全学术交流会(论文集),2012:51-53.
[4]刘斌.从“震网”病毒看工业控制系统的安全[J].科技广场,2012(8):55-57.
[5]韩晓波.企业工业控制网络安全技术探讨及实现[J].自动化及仪表,2012(4):498-503.
[6]何之栋.工业控制系统的信息安全问题研究[J].工业控制计算机,2013(10):1-4.
第三篇:企业信息安全建设虚拟化威胁感知技术
摘要:
面对信息化建设进程的快速推进,如何有效实现风险防控,建立先进实用、安全可靠的信息安全保障体系,是大型企业都要面临的严峻考验。分析了大型企业在信息化建设中面临的各种安全风险和信息安全防护工作的主要特性,提出了具有实践意义的信息安全防护体系建设思路。分析了大型企业信息安全建设虚拟化环境面临的威胁,设计出一种虚拟化安全威胁感知系统,该系统由威胁情报平台、本地检测系统和数据分析平台组成。
关键词:
信息安全;安全风险;安全防护;威胁感知
1引言
网络与信息安全风险随着信息化建设的加速推进和发展而增高,企业必须高度重视网络与信息安全体系的建设。于2016年4月19日在网络安全和信息化工作座谈会[1]上明确指出:网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。大型企业作为国家经济的主体,信息安全工作十分重要且繁杂,既要考虑信息安全对企业管理、运营以及社会、经济效应的影响,又要考虑企业肩负的法律与社会责任乃至国家安全责任。随着云计算、大数据、物联网、移动应用(简称“云大物移”)等新技术的迅猛发展,新技术的快速应用与落后的企业传统信息安全管理之间的矛盾日益凸显。大型企业如何建立有效的信息安全保障体系、形成基于自身特点的防护策略、有效提升信息安全防护与管理水平、加强网络安全防御和威慑能力,是当前大型企业信息安全工作面临的首要任务。
2大型企业信息安全建设现状
在国家“积极防御、综合防范”的信息安全战略引领下,企业对信息安全给予高度重视,已将信息安全建设视为企业发展战略的重要组成部分,正在陆续加快信息安全自身能力建设。但总体来看,多数企业的信息安全保障体系建设仍有待完善。大型企业信息安全建设宜从以下几方面入手。
2.1信息安全威胁源
企业要从自身的社会和经济价值出发,全面分析企业面临的安全威胁,既要明确威胁源的等级,也要结合企业安全责任来分析威胁。企业必须全面梳理信息安全需要保护什么、为什么保护和如何保护等关键问题,明确对现实中的安全威胁和未来可能的安全风险的预期。企业可能的威胁源如图1所示。大型企业拥有大量商业及企业机密,容易成为恶意竞争对手和黑客集团的攻击对象,生产经营中的大量有价值的数据信息,可能成为不法分子和黑客获取利益的目标。部分企业涉及国家科研、国防等重要领域,承担国家重要基础设施建设,拥有重要的国家机密,容易被敌对势力及政治团体选中作为主要的攻击对象。敏感信息泄露、重要数据被破坏、业务系统被非法控制、商业信誉遭恶意言论攻击,任意一种情况都将造成重大社会影响,甚至危及国家安全。
2.2企业的自身特性
信息安全工作不能是盲目的、通用的建设工作。信息安全工作首先应该从企业自身特性入手,做好常规安全措施的同时,深挖企业安全薄弱点进行加固、加强,有点有面,才能保证信息安全工作的效果。大型企业与信息安全建设紧密相关的特性如下。(1)资产规模大、分布广泛大到企业生产经营、金融财务,小到企业知识产权、生产工艺、流程配方、方案图纸、客户资源及各种数据,都是企业长期积累下来的财富,关系到企业的生存与发展,是企业安全防护的重要保护对象。这些庞大的无形及有形资产广泛分布于企业的各个系统中,给信息安全防护带来更高的要求。(2)网络覆盖广、需求复杂企业网络和系统结构复杂、交互需求多样。很多集团类大型企业信息网络由总公司、本地下属工厂、子公司独立建成局域网,并形成各自的应用系统,总公司整合分散的局域网构成总公司级局域网,并形成总公司级的应用系统,如ERP(enterpriseresourceplanning,企业资源计划)系统和OA(officeautomation,办公自动化)系统,再发展到利用专线将跨省市的外地子公司及下属工厂的局域网相连,形成了复杂的网络环境及系统结构。有些大型企业各地内部相关系统与其他单位系统有相互访问的需求,部分大型企业既承担着民用设施的建设,又涉及军工设备的制造,这些特点都是企业信息安全应重点关注的问题,也给信息安全工作提出了不同的防护需求。(3)安全管理难、风险较高大型企业人员众多、信息安全管理工作涉及面广、管理工作相对繁杂。安全培训工作的全面开展、员工安全防护意识培养、办公系统与生产系统安全的区分管理、应用系统安全的统一建设、安全机制建设漏洞与安全保障措施执行力度检查,都是企业信息安全工作的重要部分,如果有一个环节被不法集团利用,就容易形成“木桶效应”,会给原有严密规划的纵深安全防御体系造成漏洞。
2.3信息化安全的建设过程
企业的信息安全工作应该融入自身信息化建设过程中。IT技术产品的应用不仅要符合企业架构与流程的变化,也要充分考虑信息安全的问题,加大信息化建设中“人”的安全意识、IT技术产品的安全性[2],在信息化建设规划的同时,开展信息安全防护研究和配套安全设施的建设。目前多数大型企业在业务系统和办公终端的管理建设中,并未建立全面统一的漏洞状况监控系统,也未建立终端补丁统一管理、补丁统一分发的安全控制系统,使得系统及终端在补丁及时更新、漏洞全面修复等方面不具备条件,企业内部信息安全由于漏洞修复不及时、不全面而陷于大量的威胁之中。
3企业虚拟化环境威胁梳理
3.1传统防护手段面临失效
高级持续性威胁(APT)是一种可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透[3]等方式,伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。几乎所有被曝光的APT攻击都是以入侵者的全面成功而结束,在这些已公开的APT攻击中,传统安全设备的防御体系均被轻易绕过而失去防御能力。在某些APT攻击的案例(如震网攻击、夜龙攻击)中,传统安全防御设备甚至在长达数年的持续攻击中毫无察觉,传统安全设备无法抵御网络攻击的核武器——APT。传统安全防御体系的框架一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证token等。从传统安全防御体系的设备和产品可以看出,这些产品遍布网络2~7层,其中,与APT攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测的IDS、IPS采用经典的CIDF检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。(1)多变的攻击手段这些由黑色产业链或国家驱动的APT攻击通常都具备强大的攻击手段和技术,且手法多样,在一次攻击过程中经常采用多种手段和技术,包括社会工程学攻击、0day漏洞利用、免杀木马、定制化工具、逃逸技术等,寻找内部安全薄弱环节,所以可以屡屡得手,很难被发现。(2)攻击隐蔽性强在大部分APT攻击中,攻击者针对不同的攻击目标会采用不同的策略,并在攻击前有针对性地进行信息收集,准备特定的攻击工具,攻击发起的整个过程时间可长可短,少则数小时,多则潜伏数月、数年,由于这些攻击均会使用高级免杀技术以逃避传统安全设备的特征检测,因此隐蔽性极强。(3)攻击目标明确APT攻击往往具有明确的攻击目的,如窃取有价值的数据、破坏重要系统等,由于传统防护手段很难对此类攻击有防护效果,一旦受到攻击,其对企业和单位所造成的危害也是直接而巨大的。在安全形势极不乐观的环境下,如何摆脱传统思路,寻求精确的APT攻击检测方法是亟待解决的问题。
3.2免杀木马无法检测
木马(trojan),也称木马病毒,是通过特定的程序(木马程序)来控制另一台计算机的软件。木马通常有两个可执行程序:控制端和被控制端。木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身进行伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。在APT攻击中,通常使用“免杀木马”,这类木马会利用加冷门壳、加花指令、改程序入口点、修改内存特征码等免杀技巧来避免自身被杀毒软件查杀。
3.3大量内网数据无法有效利用
APT攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中。传统的安全事件分析思路是遍历各个安全设备的告警日志,尝试找出其中的关联关系。但根据上文的分析,由于APT攻击的隐蔽性和特殊性,传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测,也就无法产生相应的告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功。如果采用全流量采集的思路,一方面是存储不方便,每天产生的全流量数据会占用过多的存储空间,组织通常没有足够的资源来支撑长时间的存储;另一方面是全流量数据包含了结构化数据、非结构化数据,涵盖了视频、图片、文本等多种格式,无法直接进行格式化检索,安全人员也就无法从海量的数据中找到有价值的信息。因此,如何以恰当的方式长时间保存对安全分析有价值的流量数据,是检测、回溯APT攻击必须解决的问题。
4企业信息安全建设思路
大型企业的信息安全建设,首先应明确安全需求,制定企业总体安全防护策略。在总体策略的指导下,开展针对企业自身特性的安全防护体系建设,规划和设计总体防护结构,形成信息安全防护技术典型设计。在坚持和落实企业防护策略的基础上,逐步标准化技术要求、细化技术措施,最终形成人员、管理、技术的有效措施。
4.1制定与落实企业总体防护策略
企业要深入分析梳理各级工作内容、明确方针策略和防护原则、构建安全防护总体策略。通过安全管理、人员组织、工作机制、标准规范、技术措施、运行管控等手段规范指导企业的信息安全建设工作,确保信息安全策略的一致性,在具体方案中坚持策略。公司各级单位要根据总体防护策略并结合自身实际,在遵循主体内容不变的基础上开展信息安全防护工作。企业的防护策略要有稳定性和前瞻性,要结合技术和业务发展趋势,一方面需针对“云大物移”等新技术的引入,从宏观上对技术应用带来的风险进行综合考虑,对在建项目在规划阶段就展开安全防护研究和运行管控;另一方面不断提升自身认知,保障企业的安全方针和策略要在一段时期内持续有效,形成规划总体防护策略的演进线路,以适应或引领企业信息安全的发展潮流。
4.2规划与设计总体防护结构
企业要明确内部各级单位各类场景的防护需求、规划和设计总体防护结构。总体防护结构要遵循国家有关信息安全法规、标准和行业监管要求[4],坚持“规划定级、标准设计、全面建设、有效防护”的工作原则,有效衔接自身安全防护体系和国家防护体系,形成企业内部、外部有效协同和整体联动机制。企业总体防护结构要充分结合自身特点展开设计,要实现管理技术与技术体系的融合,有效支撑业务安全发展。企业在总体防护结构的框架下,继承和巩固已有的成果,逐步细化完善各级保护标准,开展新技术、新制度的创新应用。
4.3构建全生命周期的管理机制
在健全信息安全规章制度、加强安全管理体系、安全技术体系、安全运维体系的基础上,企业应构建全生命周期的管理机制。规范风险控制方法和工作流程,强化信息安全风险识别、风险评估、措施制定、过程控制和应急处置等工作,从信息化管理机制、规章制度、标准规范、设备设施、软件质量、人员管理等多方面出发,将信息安全贯穿信息系统规划、设计、研发、建设、施工、运维到销毁等生命周期的全过程和信息化全部领域,形成有效的企业信息安全体系,融入信息化管理各项工作中。同时,企业应健全和完善信息化考核评价管理体系,建立信息化建设与运行过程情况的有效描述模型,帮助企业识别相关技术与管理的不足,逐步改善信息化过程,达到持续改进的目标。
4.4提高信息安全动员和协调能力
在信息安全技术威胁复杂多变的新形势下,企业需提高信息安全协调动员能力,确保发生重大安全事件的追查处理能力。从企业组织机构设置、人员队伍建设和管理机制方面进行建设提升,提高企业的信息安全动员能力,形成分工明确、专业处置、快速响应的信息安全管控队伍;建设网络安全事件应急处置工作机制,做到积极预防、及时发现、快速响应、确保恢复。企业需提高各个业务部门的安全协作意识,确保防护策略能够有效贯彻和落实到各个业务部门,确保系统建设从规划设计、上线运行到下线报废的各个环节都在安全部门的有效监管下进行,安全部门在防护方案、安全测评、安全运行和应急响应等各个方面提供支撑服务,以形成高效的安全管控机制。
5虚拟化安全威胁感知系统架构设计
5.1虚拟化安全威胁感知系统的组成
(1)威胁情报平台为保障虚拟化网络的安全,避免重要机密和信息被窃,需要建立基于大数据分析的威胁情报平台。基于大数据分析的威胁情报[5]平台,可通过对互联网上的海量数据进行深度挖掘,从而有效发现APT攻击,生成威胁情报。(2)本地检测平台传统防病毒网关和杀毒软件对于免杀木马的查杀无能为力,为有效检测网内的免杀木马,应该建立本地检测平台。本地检测平台可对APT攻击的核心环节——恶意代码植入进行检测,与传统的基于恶意代码特征匹配的检测方法不同,基于多引擎沙箱的本地检测平台采用的多引擎沙箱方法可以对未知的恶意代码进行有效检测,可以避免因为无法提前获得未知恶意代码特征而漏检的问题,在无需提前预知恶意代码样本的情况下,仍然可以对恶意代码样本进行有效的检测,因为免杀木马是APT攻击的核心步骤,因此对未知恶意代码样本的有效检测,可以有效解决APT攻击过程中的检测问题。(3)数据分析平台为有效发现网络内部的安全问题,必然需要对网络内部的流量信息和终端的日志信息进行抓取,这必然带来如何在海量数据中快速搜索有用信息的问题。为了解决这个问题,应该建立基于搜索技术的数据分析平台。基于搜索技术的数据分析平台可对本地抓取的海量数据进行快速检索从而进行高效分析,对内网的攻击行为进行历史回溯。
5.2本地信息处理
本地信息采集是通过虚拟化安全威胁感知系统传感器[6](采集设备)对网络流量进行解码,还原出真实流量提取网络层、传输层和应用层的头部信息,甚至是重要负载信息,这些信息将通过加密通道传送到分析平台进行统一处理。分析平台承担对所有数据进行存储、预处理和检索的工作。由于传统关系型数据库在面对大量数据存储时经常出现性能不足的问题导致查询相关数据缓慢,因此分析平台底层的数据检索模块需要采用分布式计算和搜索引擎技术对所有数据进行处理,通过建立多台设备的集群以保证存储空间和计算能力的供应。
5.3本地沙箱检测
虚拟化安全威胁感知系统通过检测器对文件进行高级威胁检测,威胁器可以接收还原自采集器的大量PE和非PE文件,使用静态检测、动态检测等一系列无签名检测方式发现传统安全设备无法发现的高级威胁,并将威胁相关情况提供给安全管理人员。检测器上的相关告警也可发送至分析平台,实现告警的统一管理和后续分析。
5.4云端威胁情报
5.4.1大数据分析
虚拟化安全威胁感知系统依托IP、DNS、URL、文件黑白名单信誉数据库[7],对互联网上活跃的任何一次攻击进行记录。DNS库、样本库以及主防库需要定期维护更新,因为要发现未知威胁需要真实网络环境下的大量数据支撑。
5.4.2数据处理
通过DNS解析记录、样本信息、文件行为日志等内容,对全网抓取数据、可视化的分析数据以及其他多个维度的数据进行关联分析和历史检索,依赖于虚拟化安全威胁感知系统发现APT攻击组织信息,并不断地跟踪相关信息,依赖于海量数据对攻击背景做出准确的判定。
5.4.3确认未知威胁
所有大数据分析出的未知威胁都通过专业的人员进行人工干预,做到精细分析,确认攻击手段、攻击对象以及攻击的目的,通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态、不同编码风格和不同攻击原理的同源木马程序、恶意服务器(C&C)等,通过全貌特征“跟踪”攻击者,持续地发现未知威胁,最终确保发现的未知威胁的准确性。
5.4.4情报交付
为了将云端的攻击发现成果传递到管理侧,虚拟化安全威胁感知系统将所有与攻击相关的信息(如攻击团体、恶意域名、受害者IP地址、恶意文件MD5等)进行汇总,按照标准格式封装成威胁情报,并通过加密通道推送到管理侧的威胁感知系统。作为系统整个方案的核心内容,威胁情报承担了连接互联网信息和本地信息的重要作用,为APT事件在管理侧的最终定位提供了数据线索和定位依据。
6某大型企业的信息安全建设实践
某大型企业在“十一五”期间,遵循国家信息安全战略,提出了信息安全保障体系的建设需求,制定了信息安全防护体系总体策略,按照“双网双机、分区分域、等级防护、多层防御”的总体思路,建成了以“三道防线”为基础的总体布防结构,初步建设了信息安全等级保护纵深防护体系。在“十二五”期间,通过信息安全顶层设计,确立安全方针和策略,形成多层次、系统性的规范文件,并在规范文件的指导下,建立信息安全管理体系、技防体系和技术体系。安全管理和各类防护措施进一步细化,持续完善管理与制度保障体系,建立有效管理机制,推进自主可控安全建设,开展人才队伍管理与建设,从人才技术水平提升、技术装备提升两方面提升信息安全专业队伍水平。展望“十三五”,该企业充分考虑新技术安全需求与挑战,提出了“可管可控、精准防护、可视可信、智能防护”的安全防护理念,强化了网络与信息安全技术检查、网络与信息安全内控、网络与信息安全基础防护和信息安全动员等能力建设,对信息安全主动防御体系进行优化提升,为新技术应用安全防护提供技术路线,保障信息化战略的创新演进,为信息安全防护体系创新提供了新动力。
7结束语
新型国家信息安全形势下,针对大型企业信息化建设进程中存在的风险、特性和实际诉求结合当前虚拟化网络环境设计出一种基于大数据分析的虚拟化安全威胁感知系统。详细阐述了企业信息安全工作需要考虑和关注的问题,提出了大型企业信息安全建设的总体思路,并列举了某大型企业的信息安全建设实践。大型企业信息安全防护,只有通过持续不断地创新建设,不断优化和完善企业信息化管理体系,遵守符合各种业务发展需要及国家行业政策的要求,才能使企业的信息安全保障能力和风险管控能力不断提升到更高的水平。
作者:徐影 吴钊 李祉岐 单位:北京联合大学 国网信息通信产业集团有限公司 北京国电通网络技术有限公司
参考文献:
[1]在网络安全和信息化工作座谈会上的重要讲话[EB/OL].
[2]互联网时代的企业安全发展趋势专题研究报告[EB/OL].(2013-09-24)
[3]闫世杰,陈永刚,刘鹏,等.云计算中虚拟机计算环境安全防护方案[J].通信学报,2015,11(1):15-36.
[4]中国电子信息产业发展研究院.信息安全产业发展白皮书(2015版)[R].[S.l.:s.n.],2015.