信息安全合规监测解决方案.docx
《信息安全合规监测解决方案.docx》由会员分享,可在线阅读,更多相关《信息安全合规监测解决方案.docx(13页珍藏版)》请在冰豆网上搜索。
信息安全合规监测解决方案
信息安全合规监测解决方案
南瑞集团公司·信息通信技术分公司
2014年1月
第1章信息系统安全风险分析
1.1风险产生的背景
随着信息化建设的全面推广、网络规模的日益扩大,使得支持业务系统的网络结构也变得越来越复杂。
重要应用、网络设备、安全设备、服务器、数据库、中间件等的数量和种类日益增多,而各单位信息化运维人员不足,存在因维护人员误操作的风险,或者采用一成不变的初始系统设置而忽略了对于安全控制的要求,从而极大的影响系统的正常运转。
应用的深度融合、系统与数据的集中,带来了更高的风险集中,高度集中的数据既是业务的焦点,同样也是威胁的焦点。
虚拟化、云计算等新技术的引入,使IT技术设施的安全重心从终端转向服务端,使得带有明确界限的物理安全域向逻辑安全域转变,对信息安全运维人员安全防护能力提出了新的挑战。
1.2风险产生的原因
分析近年信息安全事件本质和各类渗透方法与工具的原理,恶意用户能够成功实现对信息系统的破坏或攻击,主要利用系统安全漏洞、安全配置、安全状态存在的脆弱性,归纳如下:
安全漏洞:
由于系统自身的问题引发的安全缺陷,主要包括系统登录漏洞、拒绝服务漏洞、缓冲区溢出、蠕虫后门、意外情况处置错误等,反映系统自身的安全脆弱性。
安全配置:
由于人为的疏忽造成的安全缺陷,主要包括系统帐号、口令、授权认证、日志管控、IP通信管理等配置不当,反映系统配置的脆弱性。
安全状态:
由于系统运维管理不当引发的安全缺陷,主要包括系统运行状态、网络端口状态、进程、审计、管理措施等,反映了系统当前所处环境的安全状况。
1.3国家信息安全政策法规
国家制定了信息系统等级保护基本要求和相关标准和规范,明确规定了我国的信息安全战略目标,并通过正式文件的形式将等级保护确认为国家信息安全的基本制度和根本方法。
《国民经济和社会发展第十二个五年规划纲要》对“加强网络与信息安全保障”提出了明确要求:
“健全网络与信息安全标准规范,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。
加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、安全配置管控能力建设,确保基础信息网络和重点信息系统安全。
”
《信息安全产业“十二五”发展规划》重点发展工作指出:
“重点发展系统和网络脆弱性评估工具、安全配置核查类工具、信息安全等级保护支撑工具、信息系统风险评估工具、信息安全技术与产品的标准符合性评估工具,以和其他信息安全管理与服务支撑工具产品。
”,并明确指出“网络与信息安全配置监测技术”为重点发展的关键信息安全技术。
第2章信息安全合规监测技术研究
2.1信息系统安全发展趋势
随着信息化的发展,业务人员的安全意识和安全技能也在逐步提高。
最直接的体现为:
传统以安全事件和新兴安全技术为主要驱动的安全建设模式,已经逐渐演进为以业务安全需求为驱动的主动式安全建设模式。
从国际的安全发展动态来分析,NIST推出了一套SCAP框架来促进安全建设的执行,SCAP是一种用开放性标准实现自动化脆弱性管理、衡量和策略符合性评估的方法。
SCAP结合了一系列用来枚举软件缺陷和安全配置问题的开放性标准,SCAP利用这些标准衡量系统以寻找系统的脆弱性,并通过自动化的工具来进行检查和评估。
此框架和工具在美国得到大量的应用和高度评价。
国际法中将陆地和海洋进行划分的分界线被称为基线(Baseline)。
随着计算机的发展,基线被引入计算机领域,并将其定义为操作系统某一时期的配置的标准。
微软将基线的概念引入操作系统安全防护,建立微软安全防护体系,详细描述了实现安全运行的相关配置设置,微软安全防护体系中安全基线的元素包括:
①服务和应用程序设置。
例如:
只有指定用户才有权启动服务或运行应用程序。
②操作系统组件的配置。
例如:
Internet信息服务(IIS)自带的所有样本文件必须从计算机上删除。
③权限和权利分配。
例如:
只有管理员才有权更改操作系统文件。
④管理规则。
例如:
计算机上的administrator密码每30天换一次。
传统基于网络的防护虽依然是基础,但关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理。
日益增长的IT资产数量,无论硬件设施还是各类软件,高效安全的管理已成为大型企业关注的话题。
企业多年来的安全投资,是否产生了价值?
这使企业开始考虑如何正确了解和评价企业安全风险,以和衡量安全工作成效的标准,并更加关注安全的监控和综合性分析的价值。
威胁的不断发展变化,使企业认识到安全投入的长期性,同时也更愿意获得在节约投资、加强主动性防御的安全建设方面的借鉴。
以技术平台支撑的合规管理工作正在越来越受到重视。
随着信息技术的快速发展和广泛应用,基础信息网络和重要信息系统安全、信息资源安全以和个人信息安全等问题与日俱增,应用安全日益受到关注,《信息安全产业“十二五”发展规划》明确提出主动防御技术成为信息安全技术发展的重点,信息安全产品与服务演化为多技术、多产品、多功能的融合,多层次、全方位、全网络的立体监测和综合防御趋势不断加强,信息安全发展趋势朝系统化、网络化、智能化、服务化方向发展。
。
①、向系统化、主动防御方向发展
信息安全保障逐步由传统的被动防护转向“监测-响应式”的主动防御,信息安全技术正朝着构建完整、联动、可信、快速响应的综合防护防御系统方向发展。
②、向网络化、智能化方向发展
计算机技术的重心从计算机转向互联网,互联网正在逐步成为软件开发、部署、运行和服务的平台,对高效防范和综合治理的要求日益提高,信息安全向网络化、智能化方向发展。
③、向服务化方向发展
信息安全产业结构正从技术、产品主导向技术、产品、服务并重调整,安全服务逐步成为信息安全产业发展重点。
2.2安全合规技术研究
●安全基线标准
充分依据信息安全技术体系和管理体系,借鉴ISO27002、ISO-20000、SOX、等级保护等技术和管理标准内容,创新信息安全基线标准和管理规范。
通过建立信息安全基线合规指标库,将信息系统等级保护基本要求、信息安全风险评估准则细化,进一步分解根据具体设备特性形成设备级的基线指标,形成可执行、可实现的检测项,实现技术体系和管理体系指标内容的落地。
安全基线标准包含以下三方面:
1)漏洞信息:
漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。
由于漏洞信息由相应的国际标准,如CVE(CommonVulnerabilities&Exposures,公共漏洞和暴露)就列出了各种已知的安全漏洞,因此系统的初始漏洞安全基线可以采用通用标准。
2)安全配置:
通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。
在安全配置基线方面,移动集团下发了操作系统安全配置规范、路由器安全配置规范、数据库安全配置规范等一系列规范,因为系统初始安全配置基线可以采用集体下发的标准。
3)系统重要状态:
包含系统端口状态、进程、账号以和重要文件变化的监控。
这些内容反映了系统当前所处环境的安全状况,有助于我们了解业务系统运行的动态情况。
由于系统状态基线随着业务应用不同而不同,没有标准模板可借鉴。
我们通过对系统的状态信息进行一个快照,对非标准的进程端口、关键文件MD5校验值等信息确认后作为初始的系统状态安全基线。
●安全基线检测技术
安全基线检测是实现信息系统安全合规检测的基础和核心,即基于业务系统安全运行的要求(最低/基本),对目标系统的漏洞、配置和重要运行状态进行检查,通过对检查结果的深度分析,获得检查对象的安全合规性结论。
安全基线检测对象涵盖主机、数据库、网络设备、安全设备、中间件、应用系统等六大类。
检测方式包括远程检查和本地检查两种形式,检测内容为目标对象的安全漏洞扫描、关键配置对标、重要运行状态检查、安全日志采集。
针对不同类型、不同型号的设备和不同检测内容,采用一套自动化检测体系架构,综合不同的远程访问协议、技术手段实现安全基线检测,以插件思想搭建全面的基线检测数据采集工具集合,通过自由组装实现基线检测可扩展性。
2.3安全监测与控制研究
●安全状态度量技术
安全基线合规检查结果为安全评估提供了坚实的数据基础和评判依据,基于信息安全风险评估模型,对安全问题、运行状态、漏洞情况进行综合评判,从网络、主机、数据库、中间件、应用等多方面度量信息系统安全状态,实现安全状态量化评估和展现。
●信息安全闭环管理
遵循PDCA思想,基于基线的信息安全闭环管理包括由策略、标准、执行、检查四个步骤组成的主流程,和具体化、自动化构成的分支流程。
主流程由安全策略形成安全标准,指导安全控制的执行,进一步进行事前、事中、事后的合规检查,最终修改完善安全策略;分支流程通过对安全标准具体化实现标准落地,并进行自动化合规检查,简化检查过程。
策略:
结合应用环境下的安全防护需求,进行安全策略定义、发布和管理;总结上一循环中检查后的结果和问题,进行安全策略修改、重新发布和管理。
标准:
根据安全策略,进一步形成安全技术标准和安全管理标准,安全技术标准包括设备安全配置基线、系统安全控制要求,安全管理标准包括项目管理流程安全要求、安全运维流程管理要求。
执行:
以安全标准指导各项信息安全工作开展,根据管理标准进行项目管理、安全运维等流程控制,根据系统安全控制要求进行技术和安全管理控制,根据安全设备配置基线执行安全配置。
具体化:
将安全标准细化分解成设备级可执行的指标,量化基线控制取值,形成控制项库和基线库,实现安全标准的落地。
自动化:
基于控制项库和基线库实施自动化的安全状态和安全配置核查和合规分析,辅助事前、事中、事后的合规检查,提供更客观、更可信的检查分析结果。
检查:
定时对信息安全执行状况进行核查,通过事前的安全配置检查和安全漏洞扫描、事中的违规审计分析、事后的取证调查完成安全合规检查。
2.4信息安全研究成果
南瑞信通公司根据十余年丰富的信息安全实践经验和扎实的技术积累,并对FISMA(FederalInformationSecurityManagementAct,联邦信息安全管理法案)、微软服务器与桌面防护体系、华为ManagerOne等国内外信息安全防护技术进行调研与分析,参考了国家下发的各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果,总结出信息安全防护路线逐步从SOC演进到安全基线,最终实现信息安全的ERP。
基于此,南瑞信通结合现行安全防护标准规范建立安全基线规范,开发信息安全合规与监控系统,采用通用的网络访问协议,通过远程连接IT资产对象,进行安全配置数据的自动采集与基线合规分析,实现安全配置的在线监测和评估,增强信息系统的主动防御能力。
第3章信息安全合规监测解决方案
3.1解决思路
首先,结合国家信息安全防护要求与近年国内外发生的信息安全事件为基础,制定统一的安全配置原则,形成完整的安全字典库。
其次,基于安全配置原则,制定安全防护策略与配置采集方案,实现配置的自动化采集与合规分析,并对违规配置策略进行管控与评价。
最后,开发数据共享接口,实现与其他安全产品间的数据共享,为网络与信息安全防护工作提供基础数据。
通过配置采集引擎为驱动,采集网络设备、安全设备、主机、数据库、中间件、应用系统等资产对象配置信息,以配置策略库未标准规范,对各类资产配置进行合规分析,实时发现信息系统配置存在的漏洞与风险,实时告警并指导管理员进行配置管控,实现安全合规在线监测与管理。
3.2总体目标
信息安全合规与监控系统的主要目标为形成统一的安全标准,针对不同设备/系统生成详细Checklist表格和操作指南,为信息化安全防护工作提供框架和标准,规范新业务系统的上线安全检查、第三方入网安全检查、合规安全检查(高级督查)、日常安全检查等。
Ø统一安全标准:
以信息安全技术和管理标准为依据,制定统一的安全配置原则和合规评价准则,形成可执行的信息安全配置原则全集。
Ø消除安全漏洞:
和时发现网络与信息系统中存在的登录漏洞、拒绝服务漏洞、缓冲区溢出、蠕虫后门、意外情况处置错误等安全漏洞,消除因系统自身安全漏洞引发的安全缺陷。
Ø监控安全配置:
实时主动发现冗余帐户、弱口令、配置脆弱、非法进程、安全漏洞、异常端口等安全配置脆弱性,消除因人为疏忽造成的安全缺陷。
Ø管理安全状态:
实时监测物理环境、系统运行状态、网络端口状态、进程、审计等信息系统的安全状态,消除因系统运维管理不当引发的安全缺陷。
3.3总体架构
信息安全合规与监控以业务系统为核心,分为配置合规度量层、状态监测与评估层、状态监测与评估可视化层。
配置合规度量层:
包括信息系统、配置采集、合规判定,和度量指标、采集方法、判定规则。
状态监测与评估层:
该层基于基线度量的安全评估方法思想,将基线度量结果转化成安全事件,并对事件进行关联分析,实现安全防护状态监测与评估,包括防护状态分析,和分析规则。
状态监测与评估可视化层:
该层在状态监测与评估层基础上完成监测与评估结果的展现,由监测与评估结果视图组成。
展现角度根据数据源可分为监测结果视图和评估结果视图,监测结果视图展示包括当前安全事件、安全告警相关数据;评估结果视图展示包括安全防护状态评估得分、安全防护脆弱点分析等相关数据。
3.4方案特色
信息安全合规与监控系统遵循等级保护基本要求建立了覆盖物理安全、网络架构、网络设备、安全设备、主机、数据库、中间件、应用系统、管理制度等的配置基线度量指标。
在配置采集方面,支持SSH、TELNET、SNMP、SMB、WMI、JDBC、HTTP等多种远程访问方式进行各类型设备的配置信息采集;在安全评估方面,支持基于等级保护基本要求、风险评估评价准测的安全防护状态评价;在可视化方面,支持网络拓扑模式、资产清单模式、业务系统模式三种监测视图和等级保护和风险评估安全评价统计视图:
1)配置监控自动化与实时化:
通过SSH、TELNET、SNMP、SMB、WMI、JDBC、HTTP等多种协议对各类IT设备的配置实时采集并与基线规范进行合规比对,实时发现网络与信息系统存在的安全隐患,结合安全建议字典库,和时为用户提供安全整改建议。
2)安全防护可视化:
提供网络拓扑模式、资产清单模式、业务系统模式等三种模式的安全防护状态图,网络拓扑模式直观展现网络脆弱点,资产清单模式直观展现每一类设备安全防护状态,业务系统模式直观展现各系统安全防护状态。
3)基线标准定制化:
提供基线修改与自定义功能,用户可根据不同的安全防护要求调整基线,适应多种应用环境下的安全检查与整改,能有效的解决测评基线的制定,避免基线过高导致的资源浪费和限制过度或基线过低导致难以达到充分的安全等问题。
4)安全事件闭环管理:
统一收集和管理安全基线合规系统发现的安全事件,并将安全告警事件、网络设备和主机日志以和通过漏洞扫描获得的系统漏洞信息进行关联分析,能快速地发现网络攻击行为可能带来的危害,确保信息安全事件得到和时的跟踪、控制和处理,提高整个网络的安全性和可靠性。
除上述特色功能外,安全基线合规系统提供资产管理、合规统计管理、公告管理、工作流管理、系统管理等基础功能。
第4章典型案例
截止2013年12月,安全基线合规系统已成功在国网上海灾备中心、国网北京灾备中心、国网西安灾备中心、国网山东省电力公司、国家教育部网络信息中心等单位正式投运,共监测网络设备、安全设备、主机、数据库、中间件、应用系统等设备千余台,定时对各类IT资产的配置进行采集与合规分析,和时反映各单位网络与信息系统安全防护状态。
在国网西安灾备中心上线运行3个月内,共监测配置违规告警23次,发现安全防护脆弱点106项,有效消除配置安全漏洞16个,规避高安全风险14次,同时使用该软件辅助常态安全巡检、安全检查,为安全运维人员提供了可靠的判定和决策依据。
安全基线合规系统首页运行界面与大屏展示如下图所示(由于数据的敏感性,部分数据进行了隐藏)。
西安灾备安全基线合规系统首页运行界面
北京灾备安全基线合规系统大屏运行界面
第5章结束语
安全基线合规系统投运后,协助各类安全管理人员更加快速准确的识别安全隐患,和时发现违规行为,为各类安全事件提供应急处置建议;对于发生的安全问题,事后调查有据可循;对安全负责人安全管理高管而言,提供客观的安全建设依据,有助于建立可行的安全策略的执行方针。
安全基线合规系统实践了信息安全从SCO演进到安全基线的路线,并为信息安全的ERP提供了基础平台。