企業(yè)級(jí)安全資源云服務(wù)管理實(shí)踐

在網(wǎng)絡(luò)安全攻防技術(shù)對(duì)抗領(lǐng)域里，企業(yè)需要面對(duì)眾多新漏洞、新病毒、新攻擊手段、新黑客行為等各類威脅，即便是建設(shè)了多種主動(dòng)安全檢測(cè)工具和系統(tǒng)，但若缺少統(tǒng)一服務(wù)與相互協(xié)同的宏觀安全技術(shù)，及面向安全資源與企業(yè)業(yè)務(wù)的全環(huán)節(jié)服務(wù)管控，也往往只是被動(dòng)防御，最終是事倍功半。“三分技術(shù)、七分管理”是企業(yè)信息安全領(lǐng)域瑯瑯上口的至理名言，但要如何真正做到、做好卻是極具挑戰(zhàn)的。

隨著網(wǎng)絡(luò)安全攻防對(duì)抗的不斷升級(jí)，企業(yè)安全管理工作不論從宏觀的安全管控視角，到各環(huán)節(jié)安全管理工作落實(shí)都面臨著巨大的挑戰(zhàn)。例如，企業(yè)各類安全檢測(cè)工具、安全系統(tǒng)煙筒式建設(shè)，難以做到統(tǒng)一調(diào)度、相互協(xié)調(diào)；關(guān)鍵業(yè)務(wù)環(huán)節(jié)銜接不緊密，未實(shí)現(xiàn)安全全流程閉環(huán)管控能力；安全工作分散，未形成高效的安全管控體系等等。

圖1 安全資源云服務(wù)平臺(tái)與云安全服務(wù)管控體系關(guān)系框架

基于云技術(shù)，筆者單位針對(duì)企業(yè)級(jí)安全資源管控需求，在搭建安全資源云服務(wù)平臺(tái)的基礎(chǔ)上，構(gòu)建云安全服務(wù)管控體系，并制定安全資源全流程各環(huán)節(jié)閉環(huán)管理規(guī)范，建立各類安全管控機(jī)制及安全檢測(cè)工具風(fēng)險(xiǎn)量化考核評(píng)分模型等。面向安全資源全生命周期、安全管控全流程，從而實(shí)現(xiàn)企業(yè)級(jí)安全資源云管理，輸出一系列高效的企業(yè)級(jí)安全管控服務(wù)能力。

云安全服務(wù)管控體系概述

基于云化安全模式框架下安全資源云服務(wù)平臺(tái)建設(shè)基礎(chǔ)，廣東移動(dòng)多年實(shí)踐總結(jié)構(gòu)建了一整套安全服務(wù)規(guī)范管控體系。面向企業(yè)安全管理工作，明確安全技術(shù)路標(biāo)、建立安全合規(guī)實(shí)施框架，并確定安全資源閉環(huán)管理流程，規(guī)范各類網(wǎng)絡(luò)管控機(jī)制與場(chǎng)景，探索風(fēng)險(xiǎn)量化考核評(píng)分標(biāo)準(zhǔn)。

筆者單位安全資源云服務(wù)平臺(tái)是基于云化安全模式框架，針對(duì)企業(yè)IT資產(chǎn)安全，搭建的企業(yè)級(jí)SaaS安全服務(wù)私有云，提供統(tǒng)一的安全檢測(cè)手段，一致更新的安全管控能力，豐富的企業(yè)安全運(yùn)維場(chǎng)景支撐，統(tǒng)一的任務(wù)、策略發(fā)布管理等。圖1為安全資源云服務(wù)平臺(tái)與云安全服務(wù)管控體系關(guān)系框架。安全服務(wù)管控體系是建立在云服務(wù)平臺(tái)基礎(chǔ)上的安全運(yùn)維管理框架規(guī)則與實(shí)施管控手段，面向企業(yè)核心業(yè)務(wù)體系，實(shí)現(xiàn)高效的云化安全管理能力。

云安全服務(wù)管控體系作為單位安全資源云服務(wù)平臺(tái)的核心管控框架與實(shí)施思想，在云服務(wù)全流程各個(gè)環(huán)節(jié)指導(dǎo)企業(yè)安全管控工作。

圖2 安全檢測(cè)全流程閉環(huán)跟蹤

安全檢測(cè)閉環(huán)管理

針對(duì)企業(yè)安全管理工作關(guān)鍵業(yè)務(wù)各環(huán)節(jié)“危而不查，查而不報(bào)，報(bào)而不改”等問題，建立安全檢測(cè)全流程閉環(huán)管理規(guī)范，面向安全運(yùn)維全流程各個(gè)環(huán)節(jié)，根據(jù)企業(yè)資源安全管理模式任務(wù)發(fā)布、適配策略，策略管理、下發(fā)、跟蹤、過程評(píng)估為基礎(chǔ)，落實(shí)安全檢測(cè)閉環(huán)化管理工作，下面介紹閉環(huán)管理關(guān)鍵點(diǎn)。

1.策略管理

基于明確的策略目標(biāo)，制定具體安全策略，并對(duì)各安全策略進(jìn)行策略管理，實(shí)現(xiàn)策略的新增、發(fā)布、下線等流程，以及添加、編輯、查詢等策略管理功能。

2.策略下發(fā)

根據(jù)企業(yè)資源安全管理模式適配具體策略，并面向相關(guān)安全檢測(cè)任務(wù)流程下發(fā)策略。

3.策略跟蹤

跟蹤具體策略執(zhí)行情況，完成全流程各環(huán)節(jié)策略執(zhí)行情況監(jiān)控，確保策略高效執(zhí)行。

4.過程評(píng)估

針對(duì)安全業(yè)務(wù)策略執(zhí)行流程情況，輸出過程評(píng)估結(jié)果，并根據(jù)具體結(jié)果指導(dǎo)下一步安全服務(wù)工作。

根據(jù)具體安全服務(wù)策略，實(shí)現(xiàn)安全云服務(wù)閉環(huán)管理能力。圖2為面向具體安全業(yè)務(wù)的安全檢測(cè)全流程閉環(huán)跟蹤。

安全云服務(wù)管控機(jī)制

在安全服務(wù)管控體系中，核心是建立規(guī)范化、集中化的云安全服務(wù)管控機(jī)制，面向各類安全資源管控業(yè)務(wù)，輸出幾大類云安全管控能力。云平臺(tái)則在管控機(jī)制基礎(chǔ)上對(duì)各類云安全服務(wù)場(chǎng)景實(shí)現(xiàn)管理、安全場(chǎng)景自動(dòng)化檢測(cè)、資產(chǎn)發(fā)現(xiàn)等功能。下面詳細(xì)介紹各大管控規(guī)范機(jī)制。

1.入網(wǎng)安全機(jī)制

同步支持企業(yè)IAM（Identity and Access Management）、Agent、遠(yuǎn) 程ActiveX控件、離線腳本等多種方式實(shí)現(xiàn)賬號(hào)、資產(chǎn)數(shù)據(jù)在線、離線配置獲取能力。并制定針對(duì)新獲取企業(yè)IT資產(chǎn)的全面綜合入網(wǎng)安全機(jī)制，實(shí)現(xiàn)全部新入網(wǎng)資源安全服務(wù)全流程安全檢查以及入網(wǎng)安全輔導(dǎo)，確保資源入網(wǎng)安全。

2.日常安全巡檢機(jī)制

針對(duì)各類日常安全運(yùn)維工作，規(guī)范各類日常安全巡檢機(jī)制，其中包括：安全巡檢時(shí)間、頻率、資產(chǎn)范圍以及安全服務(wù)范圍等，基于云服務(wù)平臺(tái)建設(shè)自動(dòng)化日常安全巡檢及巡檢結(jié)果輸出功能，掌控后續(xù)管理閉環(huán)全流程各環(huán)節(jié)。

3.新威脅快速預(yù)警機(jī)制

基于實(shí)時(shí)網(wǎng)絡(luò)爬蟲技術(shù)及關(guān)鍵內(nèi)容分析技術(shù)，建立面向最新漏洞、最新攻擊等應(yīng)急威脅快速發(fā)現(xiàn)、快速響應(yīng)機(jī)制，實(shí)現(xiàn)威脅快速響應(yīng)、資產(chǎn)全面搜索、問題精準(zhǔn)定位、威脅即時(shí)補(bǔ)救等能力。

4.專項(xiàng)問題核查機(jī)制

面對(duì)企業(yè)各類信息安全專項(xiàng)問題，輸出：基礎(chǔ)配置合規(guī)專項(xiàng)檢查、弱口令專項(xiàng)核查、防火墻策略專項(xiàng)核查、安全域?qū)ｍ?xiàng)核查、全量漏洞專項(xiàng)核查、補(bǔ)丁安裝專項(xiàng)核查、日志服務(wù)配置專項(xiàng)核查等云化專項(xiàng)問題核查機(jī)制，針對(duì)各類安全防護(hù)、監(jiān)控、分析、響應(yīng)特點(diǎn)制定專項(xiàng)問題核查管理規(guī)范。

風(fēng)險(xiǎn)量化考核評(píng)分模型

面向企業(yè)IT資產(chǎn)維度，基于系統(tǒng)漏洞、弱密碼、資產(chǎn)合規(guī)配置、以及Web漏洞等單一安全檢測(cè)結(jié)果進(jìn)行綜合分析，構(gòu)建IT資產(chǎn)安全狀況宏觀量化評(píng)分模型，輸出風(fēng)險(xiǎn)量化考核評(píng)價(jià)方法。

該方法基于安全資源云服務(wù)能力，綜合IT資產(chǎn)各類安全檢測(cè)結(jié)果、歷史趨勢(shì)、專家級(jí)建議等各類數(shù)據(jù)，滿足企業(yè)管理層、業(yè)務(wù)層、具體執(zhí)行層等各層次不同角色需求，可靈活設(shè)定并調(diào)整評(píng)價(jià)標(biāo)準(zhǔn)，實(shí)現(xiàn)公司級(jí)、系統(tǒng)安全級(jí)、到掃描類型級(jí)，從宏觀到微觀企業(yè)IT資產(chǎn)脆弱性的分析、整合和展現(xiàn)，為企業(yè)用戶提供安全管理宏觀數(shù)據(jù)及決策依據(jù)。下面詳細(xì)闡述具體安全檢測(cè)工具量化考核評(píng)分模型。

1. 公司安全評(píng)分

公司安全評(píng)分是對(duì)系統(tǒng)安全評(píng)分按重要級(jí)別加權(quán)平均。系統(tǒng)按重要級(jí)別分為一級(jí)、二級(jí)、三級(jí)和四級(jí)，四個(gè)級(jí)別的加權(quán)因子分別為10、6、3、1, 權(quán)重則是 10/W、6/W、3/W、1/W。

2. 系統(tǒng)安全評(píng)分

系統(tǒng)安全評(píng)分是基于不同掃描安全類型的安全評(píng)分進(jìn)行加權(quán)平均。系統(tǒng)的總體評(píng)分可由系統(tǒng)漏洞掃描評(píng)分、合規(guī)配置檢查評(píng)分、弱密碼掃描評(píng)分、以及Web漏洞掃描評(píng)分等加權(quán)平均而得。

3. 掃描類型安全評(píng)分

掃描類型安全評(píng)分是對(duì)該系統(tǒng)下所有主機(jī)或網(wǎng)站的安全工具掃描結(jié)果進(jìn)行加權(quán)平均。

4. 安全工具掃描結(jié)果評(píng)分

安全工具掃描結(jié)果評(píng)分是最基本的安全檢測(cè)工具針對(duì)某主機(jī)或者網(wǎng)站進(jìn)行掃描之后取得的評(píng)分，是量化考核模型的最小元素。

針對(duì)掃描結(jié)果進(jìn)行評(píng)分計(jì)算，以系統(tǒng)漏洞安全掃描為例。首先以三個(gè)月漏洞掃描結(jié)果為一個(gè)周期，對(duì)大量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，統(tǒng)計(jì)分析漏洞數(shù)量概率分布。發(fā)現(xiàn)漏洞呈右偏分布，基于泊松分布和對(duì)數(shù)正態(tài)分布對(duì)實(shí)際數(shù)據(jù)進(jìn)行擬合。并基于木桶理論，主機(jī)或者網(wǎng)站的安全程度與最嚴(yán)重的漏洞相關(guān)，只要有一個(gè)高危漏洞，系統(tǒng)的安全程度就會(huì)顯著下降的原則，實(shí)現(xiàn)漏洞評(píng)分矩陣計(jì)算。

結(jié)語(yǔ)

“三分技術(shù)、七分管理”是企業(yè)安全管控工作的核心指導(dǎo)，隨著云安全服務(wù)技術(shù)的持續(xù)發(fā)展，以及云安全服務(wù)平臺(tái)建設(shè)，企業(yè)針對(duì)云安全服務(wù)管理的理解正不斷深入，各類安全管理手段、指導(dǎo)機(jī)制及分析模型更日趨成熟。企業(yè)面向網(wǎng)絡(luò)安全管理工作，將獲得更扎實(shí)的管控力與更精準(zhǔn)的決策力。