技福小咖
作者技福小咖2022-07-04 10:46
网络工程师, 技福小咖

网络信息安全运营方法论 (上)

字数 2363阅读 1499评论 0赞 2

网络安全发展背景

网络安全运营落实组织的网络安全目标开展,围绕人、流程、信息系统的构件要素制定管理要求与技术防护策略,建立信息安全防御体系。在管理方面,根据国家信息安全等级保护相关要求、ISO27000信息安全管理体系标准及业界最佳实践等,建立信息安全管理体系框架,将安全方针、目标、制度、规范、流程进行约束,界定日常安全管理的范围、职责及程序,规范日常安全运营行为,保障信息安全工作的有序、高效运行。在技术层面,建立从网络链路层、物理层到应用层的整体安全防护技术措施,形成从物理环境到应用的安全技术策略体系,加强网络安全区域的合理划分和边界区域的有效防护,将防火墙、IDS、IPS、WAF、防病毒、垃圾邮件过滤等安全防护类设备从物理层部署至应用层,构建整体的安全防御体系。

在这个架构中,ISMS(信息安全管理体系)是日常信息安全工作的管理规范;物理安全、网络安全、主机安全、数据安全与应用安全对应为一套完整的技术策略体系,针对物理、网络、主机、数据与应用访问控制、授权、系统加固、网络安全域结构、病毒防护、操作行为记录管理等形成技术体系要求。

ISMS约束规范信息安全管理者、技术实施者、日常运营者行为,技术策略体系则约束了在管理信息系统对象上访问、操作、控制的技术手段。安全监控或者安全感知则对作用于安全管理对象上的安全行为进行监控、预警。安全事件处置对安全事件的资源调度、处理、行为追溯等。风险评估与安全审计是对日常安全运营风险感知与合规性检查手段,是推进合规合法、完善安全防御体系的有效方法。安全管理中心(SOC)则是支撑上述安全活动、监控、管理及事件调度的统一技术支撑平台。

安全运营成为网络运营者持续不断思考、优化的命题与活动。从字面上理解,“安”主要是指使安稳、保全,“全”是指完备、齐全,“运”的含义包括运用、转动,“营”指谋划、管理。安全运营是一系列规则、技术和应用的集合,用以保障组织核心业务平稳运行的相关活动;是精心筹划、清晰管理,通过灵活、动态的实施控制以期达到组织和业务需要的整体范围可持续性正常运行。笔者认为安全运营理解和落地,需要明确安全运营的目标,从系统性、动态性、实战性的角度加强认识。

安全运营的前提

安全运营是否需具备前提条件?答案是肯定的。前提条件是信息系统受破坏后对国家安全、社会秩序、公共利益及公民、法人、其他组织的合法权益造成一定损害。参照《信息系统安全等级保护》国家标准,笔者建议具有等级保护第二级或以上信息系统的企业需进行安全运营。

持牌金融机构(银行、保险、证券、基金、期货、信托)等直接保存公民隐私信息和关乎公众的“钱袋子”,其信息系统重要程度非常高,一般都具有第二级以上信息系统,理所应当要开展安全运营。

关键信息基础设施(面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统)直接关系到国家、企业、公民的利益,按照相关规定需定级第三级或以上信息系统,必须开展安全运营。

互联网企业均重视开展安全运营,根本原因是其信息安全风险非常大,信息系统随时会因受攻击而停止运作,影响业务扩展,甚至关乎企业的生存。

安全运营的目标

安全运营的目标是明晰组织的保护目标、实施成本和防护层级。组织性质造成了每个行业、组织对安全运营的目标定义和范围不尽一致,关键信息基础设施关系到国家安全、国计民生、公共利益,是首要目标,是与组织经营和业务发展密不可分的系统,一旦遭到破坏对组织存亡和发展产生重大影响的系统。系统的遵从等级保护的分级分类形成了重要性的优先级排序,以及相应的保障系统所需资源的投入排序。考虑到组织的发展状况,安全运营目标要在成本、效率等不同因素间取舍并分配不同权重。

网络安全运营活动主要内容 :

安全的监控 (安全态势感知)管理。对发现的安全报警行为进行风险或者威胁初判,根据初判结果提交安全事件处理任务,同时根据历史监控行为情况,调整安全监控策略,分析安全日志行为,对安全事态进行预判和提前介入处理;

开展安全事件的事中、事后处理,及时阻断或者消除安全威胁 ,对发生的安全事件进行溯源管理,查找引发事件发生的原因,总结安全处理预案,调整安全技术策略;

合规性安全审计 。针对安全管理制度要求及技术策略开展落实情况检查,查找制度、技术策略落实方面非合规行为,促进制度与技术策略的有效落实,同时针对制度、流程方面的问题进行调整;

安全风险评估 。通过技术手段与人工检查、分析等手段,对信息系统在安全的威胁与资产自身的脆弱性进行检查评估,寻找网络安全方面的弱点和短板,不断优化、完善技术策略。

以上四种网络运营安全活动基本涵盖了日常安全运营的全部内容。目前安全运营在技术层面能够实现的一种较为理想状态是,建立统一的安全管理中心(SOC),围绕其融合各类安全资源,包括安全产品和安全数据。在集中进行安全态势感知的同时,常规开展安全管理、指挥与调度、事件应急处置、安全监测等活动。依托于安全管理中心开展持续的监控、检测、评估、整改、指挥调度等,形成网络安全运营的闭环管理。

也可以把安全作为业务/产品/资产进行运营,安全运营的目标是使安全能力保持在企业可接受的范围内。较好理解的安全运营目标可参照安全成熟度模型,例如: 第一级为架构级( 部署简单安全系统,安全控制很随意)、 第二级为被动级 (安全工作无序,满足合规要求为导向)、 第三级为主动级 (已建成体系,安全赋能业务)、 第四级为情报级 (可捕获威胁,提供价值情报)、 第五级为震慑级 (可画像攻击者,侵者必被擒)。

安全运营的目标可根据企业自身情况进行确定,小型企业一般为第一级至第二级之间,金融企业一般为第二级至第三级之间,关键信息基础设施一般为第三级至第四级之间,国家核心系统一般为第四级至第五级之间。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

2

添加新评论0 条评论

Ctrl+Enter 发表

作者其他文章

相关文章

X社区推广