贺成梅,杨志刚
(1.山东明嘉勘察测绘有限公司,山东 淄博 255000;2.天津市地下空间规划管理信息中心,天津 300191)
地下金属管线是保障城市运行的重要基础设施和“生命线”[1]。随着各个城市地下管线普查工作的逐步展开,大量的地下管线数据被收集整理入库。根据住房城乡建设部和国家保密局联合下发的相关文件的要求,地下管线各专业工程的现状图、规划图及管线综合图文资料属于秘密级信息。如何保障管线数据在各部门间流转使用,同时符合数据安全保密要求,是摆在地下管线数据管理者面前的一个新课题。
利用互联网或者城域网等网络技术实现相关数据在各部门间的流转是目前流行的方式,但是网络安全问题一直是摆在秘密数据前的一大重要障碍。外部网络攻击的快速演进,如APT,利用0Day漏洞的勒索病毒攻击等;新技术的采用,如云、物联网等对安全格局带来根本性的变革[2]。
鉴于目前的网络安全情况以及国家对地下金属管线管理的要求,管线信息的管理潜在的威胁着实令所有地下管线管理者忧虑。这些都对地下管线数据的保护提出了更高的要求,随着新的中国国家信息安全法及信息系统安全等保2.0的实施,建立地下管线的统一安全防护体系是目前当务之急。
地下管线信息安全运营中心(GSOC)是一个安全综合管理平台,通过监控、分析、侦查等手段,在一个安全基准(企业安全基线定义)之上对安全事件做出及时准确的响应,应对各种突发性安全事件。GSOC的核心是检测和响应功能,分析整个系统的安全状态和安全趋势。GSOC的首要目标是增强安全、降低风险的同时保证安全符合规定要求,防止拒绝服务或欺诈等对组织产生负面影响。不同于传统的网络运营中心,GSOC更侧重对安全事件的主动检测和响应,及时阻断和反击,提供更全面的攻击防护和安全评估管理。
如何建立一个高效、具备解决问题能力的安全运维队伍?如何建立适合核心业务需求的安全事件处理机制、流程?是摆在地下管理系统安全的首要问题。而采用GSOC(安全运营中心)理念将现有安全系统纳入统一的管理平台,实现安全形势全局分析和动态监控是地下管线数据各级系统维护部门的最佳选择。
一个完整的GSOC有三个部分组成:管理人员、管理制度及技术手段。
图1 安全运营中心组成
(1)人员-职业化、经验丰富的安全和风险专家,或者是地信领域的安全架构师等。
(2)技术-直观、易用的信息安全管理工具,用于展现整体安全视图。
(3)管理制度-约定好的职责和流程,位于运营中心的指挥中枢必须能够缓解一线和二线安全突发事件,并知道何时升级到三线突发事件。
(1)地下管线的业务流程。管线数据详细描述了地下管线生命周期[3]中各阶段的特性和参数。地下管线信息系统依托于管线数据提供综合的查询、检索、分析、规划、建议等服务。其业务逻辑由底向上分别为管线生命周期层、数据层及管线服务系统层。地下管线信息化发展的一个显著特点是:资源平台化、数据集中化、信息渠道多样化。对于数据安全系统也在安全隔离的基本原则上,辅助建立了很多安全控制点,比如终端准入系统,文件加密审计系统及防火墙等。但随着安全要求的不断加强,这种点线式的防御设计已渐渐力不从心,无法应对新式的安全攻击。
地下管线信息安全保障系统作为信息系统的重要组成部分,其中地下管线安全运维平台,即GSOC,是完成信息情报搜集,安全水平提升的核心平台,是整合地下管线的信息安全体系,全流程覆盖,确保管线数据全生命周期的安全提升[4]。
(2)安全运维中心的架构。依据信息系统生命周期理论,与信息的产生、传输、存储、分析、处理五个环节相对应,GSOC主要包括事件发生器模块、收集模块、存储模块、分析模块及响应模块等基础模块。事件发生器负责生成安全事件,可分为基于数据的事件发生器和基于状态的事件发生器。收集模块负责从不同传感器收集信息并转换为标准格式。存储模块可以简单理解为数据库。分析模块负责分析存储在数据库中的事件,为响应模块提供响应的充分依据(告警信息)。分析过程又离不开知识库(K模块)的支持,知识库存储入侵路径、系统安全模型、安全策略等知识。分析模块是GSOC系统最复杂的部分,包括相关性分析、结构化分析、入侵路径分析、行为分析。响应模块功能负责对安全事件做出及时有效响应,反击正在发生安全事件和生成报告。各个模块协调运作、互相作用形成四个功能中心。
①事件监控中心-监控各个网络设备、操作系统等日志信息,以便及时发现正在和已经发生的安全事件。②漏洞评估中心-通过它掌握全网各个系统中存在的安全漏洞情况,可以借助弱点评估中心的技术手段和安全考核机制督促各级安全管理机构落实安全工作。③综合分析决策支持与预警中心-综合安全运行管理平台的核心模块,基于资产和网络拓扑进行风险评估关联分析,按照风险优先级针对各个业务区域和具体事件产生预警。④应急管理中心-应急管理中心作为GSOC的重要组成部分之一为应急响应服务实现工具化、程序化、规范化提供了管理平台。
(3)安全运维中心流程。地下管线安全运维中心采用三级安全事件响应机制,分为三类。
①一线监控人员负责过滤虚假情报,并对于实际威胁事件或不能确定的时间开具工单并指派给二线安全分析师;②二线人员或使用分析工具研究时间并确定威胁程度,尝试解决,对不能解决的问题上交给三线团队;③三线团队可以是自有人员或者是第三方协助团队。二线,三线团队或其部分人员组成时间快速响应小组。
依照目前各地地下金属管线综合信息管理安全运维成熟度情况,可有序开展流程和制度建设,逐步完善组织架构,并最终形成地下管线安全运营的制度、人员和技术齐备的稳定平台。通过引入自动化处理,更多的采用自动化的解决方案,通过定制化的流程加速调查,并联动警告和事件处理系统。通过定期沟通、内部安全通报和建议,不断展现安全运维的价值。
在安全事件的一体化处理流程中,GSOC采用一系列新技术,在有效提高应用系统安全性的同时,尽量减轻安全事件相关操作对业务系统性能的影响。
(1)可视化-将原来不可见的转变为可见。GSOC必须采用可视化手段,将威胁情报展现出来。
(2)情报共享及更新-不断收集更新内部情报及外部情报。并利用这些信息来改善内部检测和防御机制。外部网络情报包括新闻提要、脆弱性警报等,安全人员必须为监视工具不断注入威胁情报,保持最新的威胁情报信息。
(3)沙箱动态检测-区别于针对已知威胁的特征码检测。包括浏览器沙箱、文件沙箱等。
(4)整体协调、预防性相应-通过结合高度娴熟的安全分析师与安全自动化,提高组织分析能力,更好的防止数据泄露和网络攻击。
本文对建立地下金属管线安全运维中心的基本框架进行了研究,通过多种方式可以实现管线安全运营中心的建设从而保证其数据安全。
同时,地下管线安全运维中心是一个需要投入大量资金和时间的社会工程,它要求组织有一定的安全成熟度,体系架构也会依据不同的应用单位有所不同。安全运维中心的项目建设不同于网络中心,而是需要单独立项、分阶段部署和实施,对安全数据源的引入也需要分阶段逐步实施。另外,海量事件和漏洞信息需要有专门安全事件管理工具进行收集过滤、管理和分析;事件和业务资产的结合分析、需要使用信息资产管理工具的支持。
随着国家对城市地下空间开发利用的重视程度的不断提升,各政府部门需要使用统一的基础数据,实现政府部门之间的数据共享是下一步趋势,建立地下管线信息安全运营中心将会实现政府部门间数据的共享,实现政府规划、管理和建设部门间在同一平台上进行城市的综合运营管理。