安全事件生命周期管控管理及技術要點

◆蔡曉志 張賀勛 徐 揚 蔣志鵬 賴樂揚

安全事件生命周期管控管理及技術要點

◆蔡曉志 張賀勛 徐 揚 蔣志鵬 賴樂揚

（北京天融信網絡安全技術有限公司 北京 100083）

伴隨著互聯網的快速發展，各類型安全事件層出不窮，這對于業務的開展有著巨大的影響。傳統的應對策略往往是通過事件發生前技術層面的檢測來降低安全風險，缺乏統一而科學的思路。本文通過以安全事件識別為始發點，以安全事件生命周期為思路，以安全管理和安全技術為支撐，構建安全事件生命周期管控體系。

安全事件；生命周期；安全管理；安全技術

1 背景

伴隨著互聯網的快速發展，無論是傳統還是新型的業務對于互聯網的依賴程度都是越來越高，與此同時，各類型的安全事件卻是層出不窮：拒絕服務攻擊、Web漏洞攻擊、蠕蟲攻擊、病毒入侵等。在黑客入門門檻持續降低的今天，可以預見未來的安全事件將呈現更加高發的態勢。

在這種形勢下，迫切需要采用新的思路進行管控：以安全事件識別為始發點，以安全生命周期為思路，以安全管理和安全技術為支撐，全方位開展安全事件管控。

2 安全事件識別

安全事件識別是安全事件生命周期管理的始發點，它通常包括兩種方法：

（1）知識積累或傳遞的安全事件類型

此種識別方式識別出來的事件類型，具有鮮明的行業特性和針對性，也更加符合行業實際安全威脅。知識的來源通常包括兩種：相關部門識別的行業內出現概率較大的安全事件類型、組織內部經驗積累。

（2）風險評估角度識別的安全事件類型

此種識別方式識別出來的事件類型，是從資產角度上延伸出來的，往往具有較大的普遍性。根據資產的類型，可以分為6個類型：數據資產、軟件資產、硬件資產、服務資產、人員資產、其他資產。

每一種資產，都有它特有的脆弱性及威脅，當它們綜合交互時，就可能發生安全事件。

上述兩種安全事件的識別方式，可以綜合使用，以更加全面的識別可能出現的安全事件。

2.1安全管理要點

（1）事件發生前檢測

組織需要從管理規范層面，確定組織內部適用的檢測要求，控制安全事件相關要素，降低安全事件發生的概率，工作包括：

①規范內部規程，規范對于資產的操作、維護和檢查等工作，保證運維操作有據可依，有據必依，并配備審計機制。

②周期開展人員培訓，包括全員安全意識培訓、安全運維培訓、安全法規培訓等，提高安全意識和安全技術水平。

（2）事件發生中監測

組織需要在管理規范層面，對于安全事件發生中的監測體系、演練等事項進行規范，如下：

①建立監測體系，構建監測組織，明確相關人員權責。

②定期開展演練，保證監測組織持續有效運行。

③外部支持，可以尋求外部技術力量支持。

（3）事件發生后響應

組織需要在管理規范層面，對于安全事件發生后的響應流程、權責等事項進行規范，如下：

①建立應急響應流程，協同公司領導、各部門相關人員組成應急響應小組，明確權責。應急響應流程中，需要綜合信息安全對于業務情況，明確關鍵信息。

②定期開展演練，保證應急響應流程可以有效運行。

③外部支持，可以尋求外部技術力量支持應急響應。

2.2安全技術要點

2.2.1事件發生前檢測

組織需要在安全事件發生前開展多種檢測工作，提前發現和控制安全風險，降低安全事件發生的概率。

（1）安全滲透測試

安全滲透測試是一種從攻擊者的角度來對信息系統的安全程度進行安全評估的手段，在對信息系統不造成任何損害的前提下，模擬入侵者對指定系統進行攻擊測試。安全滲透測試通常能以非常直觀的結果，反映出系統存在的最脆弱點。

建議每半年開展一次安全滲透測試，并在系統進行重大變更后及時開展變量或者全量安全滲透測試。

（2）安全漏洞掃描

安全漏洞掃描，是指使用漏洞掃描工具，對目標對象進行脆弱性問題評估。

安全漏洞掃描的核心在于漏洞掃描工具的選擇，而漏洞掃描工具的核心是漏洞策略庫，漏洞策略庫的有效性依賴于掃描工具開發商的更新，因此，選用漏洞策略庫更新較快的漏洞掃描產品對于安全漏洞掃描工作的開展具有重要的意義。

建議每季度開展一次安全漏洞掃描，并在出現重大漏洞后及時開展安全漏洞掃描。

（3）源代碼審計

源代碼審計，是通過分析當前信息系統的源代碼，從系統結構方面檢查其各模塊和功能之間的關聯、權限驗證等內容；從安全性方面檢查其脆弱性和缺陷。在明確當前安全現狀和需求的情況下，對下一步的編碼安全規范性建設有重大的意義。

建議每年開展一次源代碼審計，并在系統進行重大變更后及時開展變量或者全量源代碼審計。

（4）安全配置檢查

安全配置檢查，是指參考相關配置要求或者標準，對各類網絡組件進行安全配置檢查，檢查其是否符合安全要求，絕大部分的組件都可以進行安全配置檢查，包括：操作系統、數據庫、中間件、網絡設備等。

大部分國內現行的配置標準是從國家等級保護要求中提煉出來的，而國際上受到較為廣泛認可的配置標準是CIS BenchMarks。建議每年開展一次安全配置檢查，并在系統或主機進行重大變更后及時開展安全配置檢查。

（5）整體風險評估

整體風險評估是以組織整體為對象開展的風險評估，全方位識別組織可能面臨的安全威脅。風險評估的實施，可以根據自身的情況，參考國內或者國際的標準開展。

建議每年開展一次整體風險評估，并在組織進行重大變更后及時開展風險評估。

2.2.2事件發生中監測

組織需要通過多種監測機制和手段，對可能出現的安全事件進行持續性監測，保證在事件發生后，在組織可以接受的時間內檢測到事件。

（1）互聯網安全監測

對于面向互聯網的應用系統，組織應該持續對其進行互聯網安全監測，保障應用系統的安全?；ヂ摼W安全監測通常包括四個監測維度：可用性監測、內容安全監測、漏洞安全監測以及其他信息監測。

①可用性監測，持續監測應用系統的在線情況以及延時情況。

②內容安全監測，持續監控網頁內容中是否出現敏感詞、惡意篡改或暗鏈等。

③漏洞安全監測，周期性對網站進行漏洞掃描，發現安全漏洞。

④其他信息監測，持續監測網站的備案信息、WHOIS等信息。

（2）內網安全監測

內網安全監測，是對內網關鍵節點開展的安全監測，關鍵節點包括：網絡設備、安全設備、服務器、數據庫等，內網安全監測包括兩個層面：運行狀態監測、安全狀態監測。

①運行狀態監測，持續監測節點設備的內存、CPU、存儲、帶寬等參數。

②安全狀態監測，持續監測節點設備進程、流量等參數，并分析是否包含安全要素（例如進程篡改、病毒流量等）。

2.2.3事件發生后響應

在監測到安全事件發生后，需要按照既定的應急響應流程開展響應，并按照需要邀請外部支持力量，協同進行響應，響應內容包括：安全事件發生、安全事件識別、縮小影響范圍、解決事件。

3 總結

以安全事件識別為始發點，以安全事件生命周期為思路，從安全管理和安全技術兩個層面對安全事件進行管控，提前發現和解決安全風險，降低安全事件發生的概率；全方位開展安全監測，持續監控安全事件的發生；規范流程，保證對于安全事件的有序響應。

互聯網發展迅速，每一個新的概念上都可能產生新的安全事件類型，例如云端攻擊事件、智能汽車攻擊事件等，我們沒有辦法窮舉所有的安全事件類型和管控措施，但是可以通過周期性開展工作，識別到新的事件類型，并從生命周期管控的角度對新的事件類型進行管控，將出現概率最大的安全事件遏制在襁褓之中或者萌芽階段，從而完成對于安全事件生命周期管控。