安全事件生命周期管控管理及技术要点

◆蔡晓志 张贺勋 徐 扬 蒋志鹏 赖乐扬

安全事件生命周期管控管理及技术要点

◆蔡晓志 张贺勋 徐 扬 蒋志鹏 赖乐扬

（北京天融信网络安全技术有限公司 北京 100083）

伴随着互联网的快速发展，各类型安全事件层出不穷，这对于业务的开展有着巨大的影响。传统的应对策略往往是通过事件发生前技术层面的检测来降低安全风险，缺乏统一而科学的思路。本文通过以安全事件识别为始发点，以安全事件生命周期为思路，以安全管理和安全技术为支撑，构建安全事件生命周期管控体系。

安全事件；生命周期；安全管理；安全技术

1 背景

伴随着互联网的快速发展，无论是传统还是新型的业务对于互联网的依赖程度都是越来越高，与此同时，各类型的安全事件却是层出不穷：拒绝服务攻击、Web漏洞攻击、蠕虫攻击、病毒入侵等。在黑客入门门槛持续降低的今天，可以预见未来的安全事件将呈现更加高发的态势。

在这种形势下，迫切需要采用新的思路进行管控：以安全事件识别为始发点，以安全生命周期为思路，以安全管理和安全技术为支撑，全方位开展安全事件管控。

2 安全事件识别

安全事件识别是安全事件生命周期管理的始发点，它通常包括两种方法：

（1）知识积累或传递的安全事件类型

此种识别方式识别出来的事件类型，具有鲜明的行业特性和针对性，也更加符合行业实际安全威胁。知识的来源通常包括两种：相关部门识别的行业内出现概率较大的安全事件类型、组织内部经验积累。

（2）风险评估角度识别的安全事件类型

此种识别方式识别出来的事件类型，是从资产角度上延伸出来的，往往具有较大的普遍性。根据资产的类型，可以分为6个类型：数据资产、软件资产、硬件资产、服务资产、人员资产、其他资产。

每一种资产，都有它特有的脆弱性及威胁，当它们综合交互时，就可能发生安全事件。

上述两种安全事件的识别方式，可以综合使用，以更加全面的识别可能出现的安全事件。

2.1安全管理要点

（1）事件发生前检测

组织需要从管理规范层面，确定组织内部适用的检测要求，控制安全事件相关要素，降低安全事件发生的概率，工作包括：

①规范内部规程，规范对于资产的操作、维护和检查等工作，保证运维操作有据可依，有据必依，并配备审计机制。

②周期开展人员培训，包括全员安全意识培训、安全运维培训、安全法规培训等，提高安全意识和安全技术水平。

（2）事件发生中监测

组织需要在管理规范层面，对于安全事件发生中的监测体系、演练等事项进行规范，如下：

①建立监测体系，构建监测组织，明确相关人员权责。

②定期开展演练，保证监测组织持续有效运行。

③外部支持，可以寻求外部技术力量支持。

（3）事件发生后响应

组织需要在管理规范层面，对于安全事件发生后的响应流程、权责等事项进行规范，如下：

①建立应急响应流程，协同公司领导、各部门相关人员组成应急响应小组，明确权责。应急响应流程中，需要综合信息安全对于业务情况，明确关键信息。

②定期开展演练，保证应急响应流程可以有效运行。

③外部支持，可以寻求外部技术力量支持应急响应。

2.2安全技术要点

2.2.1事件发生前检测

组织需要在安全事件发生前开展多种检测工作，提前发现和控制安全风险，降低安全事件发生的概率。

（1）安全渗透测试

安全渗透测试是一种从攻击者的角度来对信息系统的安全程度进行安全评估的手段，在对信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。安全渗透测试通常能以非常直观的结果，反映出系统存在的最脆弱点。

建议每半年开展一次安全渗透测试，并在系统进行重大变更后及时开展变量或者全量安全渗透测试。

（2）安全漏洞扫描

安全漏洞扫描，是指使用漏洞扫描工具，对目标对象进行脆弱性问题评估。

安全漏洞扫描的核心在于漏洞扫描工具的选择，而漏洞扫描工具的核心是漏洞策略库，漏洞策略库的有效性依赖于扫描工具开发商的更新，因此，选用漏洞策略库更新较快的漏洞扫描产品对于安全漏洞扫描工作的开展具有重要的意义。

建议每季度开展一次安全漏洞扫描，并在出现重大漏洞后及时开展安全漏洞扫描。

（3）源代码审计

源代码审计，是通过分析当前信息系统的源代码，从系统结构方面检查其各模块和功能之间的关联、权限验证等内容；从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下，对下一步的编码安全规范性建设有重大的意义。

建议每年开展一次源代码审计，并在系统进行重大变更后及时开展变量或者全量源代码审计。

（4）安全配置检查

安全配置检查，是指参考相关配置要求或者标准，对各类网络组件进行安全配置检查，检查其是否符合安全要求，绝大部分的组件都可以进行安全配置检查，包括：操作系统、数据库、中间件、网络设备等。

大部分国内现行的配置标准是从国家等级保护要求中提炼出来的，而国际上受到较为广泛认可的配置标准是CIS BenchMarks。建议每年开展一次安全配置检查，并在系统或主机进行重大变更后及时开展安全配置检查。

（5）整体风险评估

整体风险评估是以组织整体为对象开展的风险评估，全方位识别组织可能面临的安全威胁。风险评估的实施，可以根据自身的情况，参考国内或者国际的标准开展。

建议每年开展一次整体风险评估，并在组织进行重大变更后及时开展风险评估。

2.2.2事件发生中监测

组织需要通过多种监测机制和手段，对可能出现的安全事件进行持续性监测，保证在事件发生后，在组织可以接受的时间内检测到事件。

（1）互联网安全监测

对于面向互联网的应用系统，组织应该持续对其进行互联网安全监测，保障应用系统的安全。互联网安全监测通常包括四个监测维度：可用性监测、内容安全监测、漏洞安全监测以及其他信息监测。

①可用性监测，持续监测应用系统的在线情况以及延时情况。

②内容安全监测，持续监控网页内容中是否出现敏感词、恶意篡改或暗链等。

③漏洞安全监测，周期性对网站进行漏洞扫描，发现安全漏洞。

④其他信息监测，持续监测网站的备案信息、WHOIS等信息。

（2）内网安全监测

内网安全监测，是对内网关键节点开展的安全监测，关键节点包括：网络设备、安全设备、服务器、数据库等，内网安全监测包括两个层面：运行状态监测、安全状态监测。

①运行状态监测，持续监测节点设备的内存、CPU、存储、带宽等参数。

②安全状态监测，持续监测节点设备进程、流量等参数，并分析是否包含安全要素（例如进程篡改、病毒流量等）。

2.2.3事件发生后响应

在监测到安全事件发生后，需要按照既定的应急响应流程开展响应，并按照需要邀请外部支持力量，协同进行响应，响应内容包括：安全事件发生、安全事件识别、缩小影响范围、解决事件。

3 总结

以安全事件识别为始发点，以安全事件生命周期为思路，从安全管理和安全技术两个层面对安全事件进行管控，提前发现和解决安全风险，降低安全事件发生的概率；全方位开展安全监测，持续监控安全事件的发生；规范流程，保证对于安全事件的有序响应。

互联网发展迅速，每一个新的概念上都可能产生新的安全事件类型，例如云端攻击事件、智能汽车攻击事件等，我们没有办法穷举所有的安全事件类型和管控措施，但是可以通过周期性开展工作，识别到新的事件类型，并从生命周期管控的角度对新的事件类型进行管控，将出现概率最大的安全事件遏制在襁褓之中或者萌芽阶段，从而完成对于安全事件生命周期管控。