网络安全风险全方位闭环管理工具框架

◆郭永和 刘 安 卢晓梅 李 静 王 婵

网络安全风险全方位闭环管理工具框架

◆郭永和 刘 安 卢晓梅 李 静 王 婵

（国家电网公司信息通信分公司 北京 100761）

《网络安全法》的正式实行对企业信息安全工作提出了更高的要求。传统的人工登记资产、排查风险和记录整改结果的风险管理方式已经不能适应规模日益增长的大型企业信息系统。本文提出一套应用“管理+策略+技术”设计思想的网络安全风险全方位闭环管理工具框架，实现信息系统中风险发现、分析和整改的自动化闭环流程管控。基于该框架实现的系统已应用到国家电网公司日常运维工作中，取得良好的效果。

信息系统；风险；管理；自动化

0 引言

《网络安全法》的正式颁布代表着信息安全已经上升到国家战略的高度。电力行业作为国家关键的基础性行业，面临的信息安全风险日趋严峻。伊朗stuxnet病毒和乌克兰Black Energy病毒等攻击案例表明，组织严密、计划周密的高级持续性威胁（APT）攻击已经成为电力信息系统的主要威胁。随着信息通信新技术的大量引入，以及大量智能终端设备的接入，电力信息系统的网络基础环节也随之变化，网络结构复杂化、边界模糊化、威胁形态多样化，给安全防护带来了严峻挑战。同时，《网络安全法》的正式施行也为新时期的企业信息化工作中的网络安全工作提出了更高的要求，促使企业信息化网络安全从业者探索新的解决方案。

1 企业信息化系统风险概述

在描述动态网络安全体系P2DR2模型中，安全策略（policy）和安全防护（protection）两个环节起到了管控和消除网络内部风险的作用，是网络安全日常运维的基础工作。然而，随着企业内部网络规模的不断扩大，信息系统和各类网络设备的数量不断增长，安全风险管控工作的难度日益加大。总的来说，存在如下问题。

1.1资产不清

在企业内部网络建设初期，信息系统数量较少的时候，安全运维人员可以有效的掌握企业内部信息资产情况。然而，随着信息系统的规模的不断增长，加之内部运维人员的流动等因素，对内部信息资产情报的掌握会变得越来越困难，为内网的信息安全带来新的风险。例如：应下线的信息系统未能及时下线，因为无人维护，其中暗藏的漏洞可能被恶意攻击者所利用，成为被利用来进一步渗透的跳板。

1.2安全设备策略管理混乱

企业信息业务的扩展带来了企业网络的扩张。为了满足新增的业务需求，运维人员需要对安全设备需要添加新的安全策略。由于安全策略数量巨大，运维人员在配置新增策略的时候，很难去和已有策略进行比对。由此会带来诸如策略冲突、策略冗余等问题。此外，限于运维人员能力问题，可能会导致一些错误的策略被配置到安全设备中。

1.3漏洞消缺管理缺失

“永恒之蓝”病毒事件暴露出许多企业缺乏一套对漏洞消缺工作行之有效的管理工具和方法。安全运维人员无法全面的掌握信息系统中存在漏洞的详细情况，无法做到对漏洞整改的各环节进行追踪。导致本应该被消除的漏洞未能得到及时处置，本该消除的风险一再复发。

1.4数据未能有效整合

大型企业中往往存在多种类型的运维人员，如数据库运维人员、网络设备运维人员、服务器运维人员、业务运维人员、安全运维人员等。由于各类运维人员的职责不同，他们掌握的数据信息也往往局限在自己所承担工作范围内。各类数据分散，缺乏有效的综合分析手段。

针对上述企业安全运维中普遍存在的问题，本文提出一套基于网络安全风险全方位闭环管理工具框架的解决方案。该工具框架应用“管理+策略+技术”相结合的设计思想，采用“计算机智能、人防技防、生命周期控制”相结合的思路,实现网络安全风险全生命周期闭环控制,解决安全运维工作中存在的问题。

2 网络安全风险全方位闭环管理工具框架总览

安全风险管理的生命周期包含三个阶段，即发现、分析和整改。对于不同阶段，需要开发相对应的工具集。各工具的功能及工具之间的数据交换如图1所示。

图1 数据处理流转图

2.1风险发现

网络安全风险管理的起点是发现网络内部存在的安全风险。通常来说，对安全风险的感知需要整合外部和内部两方面的情报或信息。外部威胁情报一般包括新增漏洞列表、恶意代码特征、恶意IP和域名、攻击事件详情等等。这些外部情报可以通过人工收集、自动爬取或商用情报库自动推送实现。内部信息包括资产信息和漏洞信息。在这一阶段，起到核心作用的是资产全生命周期存活感知系统。该系统可以探测网内全部存活的信息资产及上面开放的端口或服务。这些信息可被提供给其他的工具用作进一步分析的基础。例如，漏洞扫描设备可以利用资产全生命周期存活感知系统提供的数据，配置扫描计划，提升检测效率。

2.2风险分析

安全风险自动分析工具和安全控制云策略管理工具是本阶段的两个核心工具。安全风险自动分析工具能够分析外部安全扫描数据，进行生命周期计算，分析外部威胁情报数据，利用攻击链信息，计算整改优先级，生成漏洞整改通知单，并计算防护建议。安全控制云策略管理工具执行安全域管理分析，计算攻击链，并对失效安全防护策略审计；对新增安全防护策略进行优化；对不同品牌安全防护设备进行策略适配下发。它向安全防护设备，如指防火墙、隔离装置等防护类设备，下发策略变更；同时接收安全风险自动分析工具防护建议并审查，提供计算的攻击链信息。

2.3风险整改

传统的企业信息系统运维中，安全风险整改多采用线下沟通的方式，即安全人员发现信息系统中存在的风险，如安全漏洞、高危策略、弱口令等，通过邮件或电话的方式通知运维人员，由运维人员负责整改。这种风险管理方法效率低下，且不能适应大规模的信息系统的运维需求。安全风险全流程闭环管理系统将风险整改流程在线化，它从安全风险自动分析工具中获得分析结果，自动化的生成风险整改通知，并提供状态追踪、整改验证、超期提醒等功能，确保整改流程闭环。

3 关键技术

网络安全风险全方位闭环管理工具框架包含以下关键技术：基于攻击链的信息系统风险评价方法、资产全生命周期存活感知技术、基于安全域关联分析的防火墙策略集中管理技术。

3.1基于攻击链的信息系统风险评价方法

即为该条攻击链的损失值。对攻击链按损失值进行从高到底排序，确定存在漏洞主机的整改顺序，即优先整改位于较高损失值攻击链上的主机中存在的风险。

3.2资产全生命周期存活感知

资产全生命周期存活感知系统可以发现网络内部存活的主机及端口或服务的开放情况，通过与数据库中存储的已注册的信息系统信息比对，发现网络中存在的不合规的主机。资产全生命周期存活感知系统主要采用以下两种技术实现。

（1）主动发现技术。通过主动扫描发现存活的主机、开放的端口及各端口上运行的服务。

（2）被动监听技术。通过被动监听网络中存在的流量数据，对流量进行解析，提取数据报文中的五元组（协议、源地址、源端口、目的地址、目的端口）和主机部署的操作系统及其端口上运行服务的指纹信息。

主动发现技术的优点是可以发现网络中不活动的隐藏资产，缺点是由于需要主动发送探测报文，会产生大量额外流量，对网络中的交换机及路由器造成额外负担，甚至影响业务系统的正常运行。被动监听技术与主动发现技术相反，不会产生额外流量，同时也就失去了对不活动的隐藏资产发现的能力。资产全生命周期存活感知系统将两种技术相结合，日常通过被动监听的方式收集数据，同时周期性的开展主动扫描探测，并且将两种渠道收集的数据进行整合，从而实现网络内部资产的全面覆盖。

3.3基于安全域关联分析的防火墙策略集中管理技术

在一个大型的信息网络中，各网络实体的受信任程度、重要性、安全防护需求存在差异。安全域指的是同一环境内有相同的安全保护需求，相互信任、并具有相同的安全访问控制策略的网络实体。防火墙将不同的业务系统分隔成多个安全域，每个安全域内具有相同的安全访问控制和边界控制策略，享有同样的安全策略。基于安全域关联分析的防火墙策略集中管理技术将不同安全域的防火墙策略通过统一格式化进行集中存储，根据安全风险自动分析系统计算产生的操作指令及策略信息，进行基于安全域关联分析的防火墙策略事前审计，并将策略自动下发至相应安全域内的防火墙，实现防火墙策略的智能集中管理，从而解决了冗余策略、冲突策略、无效策略、高危策略等防火墙配置过程中多项问题。

4 结束语

近年来，网络安全威胁日趋严峻，信息化应用的普及加剧了基础应用或通用软硬件漏洞风险。《网络安全法》的实施也对企业信息安全工作提出了更高的要求。如何及时发现并整改企业内部信息网络中存在的风险成为了一个亟待解决的课题。本文借鉴云计算中软件即服务（SaaS）思想，提出了一套基于B/S架构网络安全风险全方位闭环管理工具框架，将日常安全运维工作中信息安全风险发现和消除全部过程在线化和自动化。通过这一系统在国家电网公司的应用，提升了日常网络安全运维工作的效率，保证风险整改工作的闭环。

[1]国家计算机网络应急技术处理协调中心.2014年我国互联网网络安全态势报告[EB/OL].

[2]CHEN P, DESMET L, HUYGENS C. A study on advanced persistent threats[C].Communications and Multimedia Security-15th International Conference，2014.

[3]付钰，李洪成，吴晓平，王甲生.基于大数据分析的APT攻击检测研究综述[J].通信学报，2015.

[4]TANKARD C. Advanced persistent threats and how to monitor and deter them[J]. Network Security，2011.

[5]KUSHNER D. The real story of stuxnet[J]. IEEESpectrum, 2013.

[6]中华人民共和国网络安全法[EB/OL].

[7]IBM Internet Security Systems [EB/OL].

[8]ISO 7498-2-1989, Information Processing Systems-Open Systems Interconnection-basic Referenc eModel- Part 2:Security Architecture [EB/OL].