等保2.0時(shí)代的安全運(yùn)營(yíng)方案淺析研究

張清周

當(dāng)前，隨著計(jì)算機(jī)信息通信技術(shù)和互聯(lián)網(wǎng)的發(fā)展與結(jié)合，網(wǎng)絡(luò)安全已經(jīng)滲透到我們的工作、學(xué)習(xí)、生活等方方面面，網(wǎng)絡(luò)的便利性越來越受到人們的重視；但是網(wǎng)絡(luò)安全威脅事件也處處發(fā)生在身邊，需要我們提高警惕。自2017年《網(wǎng)絡(luò)安全法》的頒布施行，網(wǎng)絡(luò)安全已經(jīng)提升到國(guó)家層面和法律層面；2019年進(jìn)入等保2.0時(shí)代，網(wǎng)絡(luò)安全形勢(shì)更加嚴(yán)峻，如何防護(hù)和運(yùn)維網(wǎng)絡(luò)已經(jīng)成為網(wǎng)絡(luò)安全參與者研究的重要課題。該文通過參考國(guó)家安全標(biāo)準(zhǔn)及文獻(xiàn)檢索，對(duì)當(dāng)前網(wǎng)絡(luò)安全的背景風(fēng)險(xiǎn)的進(jìn)行了分析，在此基礎(chǔ)上提出安全運(yùn)營(yíng)的解決方案，以此提升安全能力。

（一）信息安全壓力巨大

1.國(guó)家、主管部門強(qiáng)監(jiān)管

國(guó)內(nèi)網(wǎng)絡(luò)安全相關(guān)的政策法規(guī)不斷完善，2017年《網(wǎng)絡(luò)安全法》等一系列涉及信息保護(hù)的法律法規(guī)出臺(tái)，給不少企事業(yè)單位敲響了警鐘；明確了網(wǎng)絡(luò)安全已經(jīng)提升到法律層面，公安機(jī)關(guān)對(duì)網(wǎng)絡(luò)安全進(jìn)行監(jiān)督檢查。

2019年《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》正式實(shí)施，標(biāo)志著網(wǎng)絡(luò)安全正式進(jìn)入2.0時(shí)代，安全保護(hù)等級(jí)規(guī)范要求更嚴(yán)格；各行各業(yè)管控要求不斷推出，政府部門正在以實(shí)際行動(dòng)監(jiān)管著企事業(yè)單位的網(wǎng)絡(luò)安全保護(hù)狀況。

2.信息數(shù)據(jù)安全影響更大

除了政府機(jī)構(gòu)的監(jiān)管，企事業(yè)單位在接受相關(guān)網(wǎng)絡(luò)安全參與的同時(shí)也會(huì)關(guān)心自已的隱私信息有沒有被濫用或者泄露，一旦發(fā)生信息泄露，可以用法律武器維護(hù)自身權(quán)益，但也會(huì)對(duì)相關(guān)企事業(yè)單位的信息保護(hù)措施產(chǎn)生質(zhì)疑，失去信任。企事業(yè)單位有責(zé)任和義務(wù)對(duì)用戶信息數(shù)據(jù)進(jìn)行保護(hù)。現(xiàn)在越來越多核心技術(shù)、財(cái)務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等以數(shù)字形式存儲(chǔ)于企事業(yè)單位網(wǎng)絡(luò)中，稍有不甚就有可能被外泄，核心技術(shù)是企事業(yè)單位的競(jìng)爭(zhēng)的關(guān)鍵，一旦失去將會(huì)嚴(yán)重影響企事業(yè)單位發(fā)展，而財(cái)務(wù)數(shù)據(jù)以及業(yè)務(wù)數(shù)據(jù)的安全也關(guān)乎著企事業(yè)單位的未來業(yè)務(wù)開展。

3.安全防御建設(shè)難度增大

企事業(yè)單位的網(wǎng)絡(luò)應(yīng)用越來越多，網(wǎng)絡(luò)邊界不明顯、數(shù)據(jù)分布零散以及數(shù)據(jù)多渠道流轉(zhuǎn)也加大了數(shù)據(jù)的保護(hù)難度，再加上各種設(shè)備接入網(wǎng)絡(luò)系統(tǒng)，很容易被他人趁機(jī)入侵帶走機(jī)密。信息安全官作為企事業(yè)單位信息保護(hù)的統(tǒng)籌以及實(shí)施者，真正做到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的前瞻性，部署網(wǎng)絡(luò)安全管控時(shí)全面高效的并不多，不知道網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有哪些，如何制定網(wǎng)絡(luò)安全管控方案？或者是只對(duì)當(dāng)前出現(xiàn)的安全問題進(jìn)行管控，沒有考慮未來可能出現(xiàn)的安全風(fēng)險(xiǎn)以及擴(kuò)展問題，這些都會(huì)導(dǎo)致網(wǎng)絡(luò)安全建設(shè)不到位，很難應(yīng)對(duì)變幻莫測(cè)的信息安全問題。

（二）安全投入大、效果差

1.偏重安全設(shè)施建設(shè)，忽略安全管理

大量的安全建設(shè)投入到購(gòu)買安全防護(hù)設(shè)備：防火墻、IPS、IDS、WAF、態(tài)勢(shì)感知、安全審計(jì)等系統(tǒng)，但對(duì)于安全管理制度的執(zhí)行、安全體系的建設(shè)、安全事件的處理等管理方面不夠重視，導(dǎo)致安全設(shè)施沒有很好的發(fā)揮其作用。因此，因管理的問題導(dǎo)致的安全事件時(shí)有發(fā)生。

2.自身安全能力不足，提升提高困難

毫無依據(jù)的安全建設(shè)投入，以及安全事件驅(qū)動(dòng)機(jī)制，導(dǎo)致企事業(yè)單位的安全能力得不到提升，將主要的精力和資源都投入到日常的瑣碎安全事務(wù)中。同時(shí)，缺乏體系化建設(shè)目標(biāo)，無法將經(jīng)驗(yàn)很好的積累，從而使整體的安全能力處于一個(gè)較低水平。

（三）安全防護(hù)和運(yùn)營(yíng)的難點(diǎn)

1.面臨人員技術(shù)能力不足問題

企事業(yè)單位限于人員編制及崗位設(shè)置的原因，無法配置專職的安全人員；同時(shí)，由于信息技術(shù)發(fā)展迅速、外部威脅日新月異，人員的安全能力并沒有同步提升，無法應(yīng)對(duì)新的網(wǎng)絡(luò)安全問題。

2.信息安全經(jīng)費(fèi)短缺，投入不足

企事業(yè)單位對(duì)于信息安全的建設(shè)投入不足，無法有效全面的將網(wǎng)絡(luò)安全防護(hù)體系建立起來，從而留下了網(wǎng)絡(luò)安全隱患。

網(wǎng)絡(luò)安全運(yùn)營(yíng)的目標(biāo)和宗旨：從識(shí)別、檢測(cè)、防御、響應(yīng)、恢復(fù)5個(gè)方面，基于PDCA模型構(gòu)建動(dòng)態(tài)的網(wǎng)絡(luò)安全運(yùn)營(yíng)體系，通過安全運(yùn)營(yíng)方案幫助用戶構(gòu)建自適應(yīng)的安全能力。

（一）風(fēng)險(xiǎn)識(shí)別能力提升方案

1.提升方案簡(jiǎn)述

定期對(duì)所管理的資產(chǎn)檔案進(jìn)行更新，保持資產(chǎn)檔案與實(shí)際資產(chǎn)一致，對(duì)資產(chǎn)信息、配置信息進(jìn)行周期性維護(hù)。同第三方威脅情報(bào)提供商合作，第一時(shí)間對(duì)0day漏洞、安全事件進(jìn)行響應(yīng)；及時(shí)評(píng)估風(fēng)險(xiǎn)威脅度，及時(shí)加固與應(yīng)急處置。對(duì)相關(guān)的系統(tǒng)漏洞安全、應(yīng)用漏洞安全、漏洞安全、病毒安全預(yù)警及時(shí)通告。

2.風(fēng)險(xiǎn)識(shí)別措施

運(yùn)用科學(xué)的手段，系統(tǒng)的分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度。對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行定性分析、定量分析和進(jìn)行風(fēng)險(xiǎn)排序，制定針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，轉(zhuǎn)移或降低風(fēng)險(xiǎn)等級(jí)，將風(fēng)險(xiǎn)控制在可以接受的水平。

1.提升方案簡(jiǎn)述

對(duì)基礎(chǔ)設(shè)備、操作系統(tǒng)及網(wǎng)站類的預(yù)警巡檢，通過網(wǎng)絡(luò)安全防護(hù)措施，對(duì)網(wǎng)絡(luò)中的主機(jī)、操作系統(tǒng)、中間件、web應(yīng)用、數(shù)據(jù)庫(kù)等網(wǎng)絡(luò)資源進(jìn)行統(tǒng)一監(jiān)控。

2.安全檢測(cè)措施

通過等級(jí)保護(hù)測(cè)評(píng)、漏洞掃描、配置核查、滲透測(cè)試、密碼測(cè)評(píng)、應(yīng)用安全測(cè)評(píng)等技術(shù)手段發(fā)現(xiàn)系統(tǒng)存在的網(wǎng)絡(luò)安全問題，提出專業(yè)的安全解決方案，并進(jìn)行安全漏洞修復(fù)驗(yàn)證、安全措施升級(jí)工作。

（三）安全防御能力提升方案

1.提升方案簡(jiǎn)述

定期組織相關(guān)人員開展安全意識(shí)培訓(xùn)配置工作，包括：全員的安全意識(shí)培訓(xùn)，以及關(guān)鍵技術(shù)崗位的技術(shù)培訓(xùn)、基礎(chǔ)技能培訓(xùn)、專業(yè)培訓(xùn)、認(rèn)證培訓(xùn)等。

2.安全防御措施

通過專業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)綜合分析安全缺陷和問題，對(duì)網(wǎng)絡(luò)加固、策略加固、漏洞修復(fù)、設(shè)備防護(hù)、代碼加固、數(shù)據(jù)加固，幫助組織100%解決現(xiàn)有安全問題；全方位的幫助企事業(yè)單位開展日常的網(wǎng)絡(luò)安全運(yùn)維工作。

建議每年集中組織一次網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，對(duì)系統(tǒng)管理、安全管理和運(yùn)維人員進(jìn)行的信息安全專題培訓(xùn)，其目的是普及信息安全意識(shí)，提高關(guān)鍵崗位人員網(wǎng)絡(luò)安全知識(shí)。

（四）安全響應(yīng)能力提升方案

1.提升方案簡(jiǎn)述

對(duì)網(wǎng)絡(luò)安全事件分析、等級(jí)劃分、應(yīng)急處置、總結(jié)和報(bào)告等多方面響應(yīng)；對(duì)問題原因進(jìn)行分析，并進(jìn)行整體的網(wǎng)絡(luò)安全加固，防止類似安全事件再次發(fā)生。

2.安全響應(yīng)措施

積極配合監(jiān)管部門/行業(yè)主管的安全檢查工作。檢查期間從技術(shù)層面和管理層面找出企事業(yè)單位存在的安全隱患，積極整改提升安全響應(yīng)能力。建立應(yīng)急響應(yīng)預(yù)案，在重大安全事件發(fā)生時(shí)進(jìn)行及時(shí)有效的處置；7*24小時(shí)應(yīng)急響應(yīng)待命，不間斷的進(jìn)行安全事件處置及漏洞修復(fù)；最大限度發(fā)現(xiàn)和修復(fù)已知問題，提升組織應(yīng)急響應(yīng)效率，降低安全事件發(fā)生的概率。

（五）安全恢復(fù)能力提升方案

1.提升方案簡(jiǎn)述

制定重要核心數(shù)據(jù)備份策略，當(dāng)出現(xiàn)不可預(yù)知的災(zāi)難性事件時(shí)，使用對(duì)應(yīng)的備份數(shù)據(jù)進(jìn)行及時(shí)的數(shù)據(jù)恢復(fù)，保障業(yè)務(wù)的連續(xù)性以及服務(wù)的可用性。

2.安全恢復(fù)措施

建立應(yīng)急備份恢復(fù)機(jī)制，數(shù)據(jù)問題發(fā)生時(shí)及時(shí)有效的處置；同步進(jìn)行重要核心數(shù)據(jù)的恢復(fù)工作；事后對(duì)數(shù)據(jù)安全事件分析，全面安全檢測(cè)，確保類似數(shù)據(jù)問題不再發(fā)生，將數(shù)據(jù)泄露導(dǎo)致的損失降至最低。

安全是一種能力，網(wǎng)絡(luò)安全運(yùn)營(yíng)需要秉承新時(shí)代、新安全、新運(yùn)營(yíng)的思維方式，才能在網(wǎng)絡(luò)安全的浪潮中識(shí)別、防范、抵御、處置風(fēng)險(xiǎn)問題，進(jìn)入常態(tài)的安全運(yùn)營(yíng)。

作者單位：山東道普測(cè)評(píng)技術(shù)有限公司