中央企业信息安全应急响应平台的建设

文/赵悦 陆洋 张海洋

（中国民航信息网络股份有限公司研发中心 北京市 101318）

1 安全滑动象限模型

Robert M.lee[1]提出的安全滑动标尺（The Sliding Scale of Cyber Security）模型见图1。Robert M.Lee 详细阐明了面对不同的威胁类型需要建立怎样的安全能力，以及这些能力间的演进关系，从而帮助在管理层沟通安全建设投资并确定和跟踪安全投入的优先级等活动。安全滑动标尺模型从左到右，是一种明确的演进关系，将企业安全能力划分为五个阶段，分别是架构建设、被动防御、主动防御、智能分析和反击威慑。

第一阶段为基础架构阶段，解决的是从无到有的问题。第二阶段为被动防御阶段，即根据架构完善安全系统，掌握工具、方法，具备初级检测和防御能力。第三阶段为主动防御阶段，即主动分析检测、应对，从外部的攻击手段和手法进行学习，该阶段开始引入了渗透测试、攻防演练和外部威胁情报。第四阶段为智能分析阶段，即利用流量、主机或其他各种数据通过机器学习，进行建模及大数据分析，开展攻击行为的自学习和自识别，进行攻击画像、标签等活动。第五阶段为利用技术和策略对对手进行反制威慑。中国航信研发中心安全应急响应基础平台的建设可以实现集团总部防御能力达到安全滑动标尺模型第四阶段。

2 项目建设规划

中国航信研发中心应急响应体系整体建设规划涉及安全事件响应管理体系、技术体系、安全服务体系,见图2。

在具体职能上，领导小组对研发中心安全应急工作进行统一指挥，安全应急响应小组具体负责执行。如各类事件上报信息的收集和整体安全态势的研判、信息的对外通报等；相关业务线的协调工作是指，网络安全事件影响了机构或企业的某些业务，使之无法正常运行，甚至瘫痪，需要业务线相关人员参与到应急响应工作中，配合查明原因，恢复业务。

3 安全事件响应管理体系

本文参照奇安信安服团队[2]提出的应急响应标准流程，结合实际业务建立了安全事件响应管理体系，见图3，涉及到的干系人主要包括用户、联络点(PoC)、内部IRT(Incident Response Team)、危机处理团队。联络点主要指客户内部的运维团队，起到联络客户业务团队和内部IRT 之间的技术桥梁作用。

安全事件处理流程如下。

（1）客户发现信息安全事态后，首先交给运维团队进行处理,如果运维团队不存在则通知内部IRT 团队处理；

（2）运维团队也可能主动发现信息安全事态；

（3）内部IRT 团队也可能主动发现信息安全事态；

（4）运维团队将信息安全事态判定为信息安全事件的推给内部IRT 团队处理；

（5）内部IRT 团队无法自主处理信息安全事件时可以借助其它团队帮助；

（6）团队解决问题后进行总结，完善系统功能，减少安全事件误报率。

安全事件响应管理体系的实施，逐步提高信息安全事件处理效率，通过对安全事件的复盘总结、优化系统提高了系统的安全事件发现能力。

4 技术体系建设

网络空间是一个虚拟的空间，它将设备、系统、数据、应用通过一定的规则联系在一起并进行信息交互及数据传递，覆盖于互联网、电信网、广电网、物联网、工控网、在线社交网络，甚至涉及到计算系统、通信系统、控制系统等。在网络空间中信息交互及数据的传递，涉及到个人、企业、政府、国家、国防等隐私问题，须防止利用网络空间信息交互所带来了的安全问题。针对网络空间所覆盖的网络设备、数据交互方式以及运行应用与服务特点，将网络空间的安全防护分为网络设备资产普查和风险感知两个层面，即对网络空间中的网络设备资产信息进行普查以及对网络设备所存在的威胁风险进行验证，同时对威胁风险的影响范围提供可追溯以及可视化呈现，通过资产的指纹识别与风险识别，可以有针对性的对系统加固，提高系统的安全防御能力。

表1

表2

表3

4.1 系统架构

应急响应平台架构分为前端、后端两部分，见图4。

前端包括Web 框架，用户接入的方式为浏览器页面，系统后端包括扫描器、数据库、数据分析系统、Logstash、ES 引擎模块等。系统提供资产管理、漏洞管理、报表输出、告警通知等功能。

4.2 网络部署

部署是软件生命周期中的一个重要环节,是软件生产的后期活动,通过配置、安装和激活等活动来保障软件制品的后续运行[3]，部署既要满足当前软件运行又不能妨碍接入系统的运行，应急响应平台网络部署见图5。

应急响应平台旁路接入内部骨干网核心交换机上,监控互联网和内网资产和漏洞信息,系统分析结果可以通过移动、PC 显示设备查看。

4.3 资产普查

网络空间资产普查是基于网络空间中存活网络设备的设备资产信息、端口开放性掌握目标区域的网络设备资产分布情况[4]。资产普查功能可以针对区域互联网或者企事业单位内网，进行网络设备目标的信息收集，识别出存活设备，获取其地理位置、组织机构、服务提供商等基本信息，以及设备类型、设备品牌、设备型号、开放端口、提供服务、使用组件及版本等设备信息。应急响应平台资产普查情况见图6。

系统详细统计了监控资产的类型，每一台服务器上运行的服务，开放的端口，网络状况,指纹信息。资产统计分析可以展示整体资产情况的安全态势，给出数据统计趋势和分布图表，辅助安全人员了解整体资产安全情况，为下一步漏洞安全管理工作提供信息数据，便于安全人员利用资产数据制定相应的阶段性管理计划和目标。

4.4 风险感知

漏洞是目前网络系统的主要安全威胁,网络漏洞的研究对于网络安全具有重要意义。[5]应急响应平台漏洞扫描功能可以快速发现网络设备，全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在弱点全面评估的基础上实现安全自主可控,漏洞扫描部分信息见图7、8、9。

对每一个统计数据都支持点击跳转到具体漏洞信息页面,便于资产管理员了解漏洞详细信息。

当前有大量的网站使用了第三方开发的开源或商业组件。这些组件可能存在严重的安全漏洞进而危害到整个网站的安全。应急响应平台能识别各类常见第三方应用，并检测相应的漏洞。检测漏洞通过POC(Proof ofConcept)验证模式，能够直接执行漏洞验证脚本以验证漏洞是否存在、可利用。

系统可以将真实存在的漏洞生成任务工单派发给相应人员。收到检查工单后，相应人员对漏洞进行详细排查、修复，并提交修复结果，系统管理员可以对修复的漏洞进行验证，也可以等待下一轮扫描结束后看是否真实修复漏洞。应急响应平台已运行3 个月，已针对收集到的3 万余条信息安全事态进行应急研判,并成功处理疑似中航信重要信息系统40 余个信息安全事件，减少了系统风险。

通过建设中国航信信息安全应急平台，统一管理各渠道采集的安全事件，对安全事件的处置进度精确把控，并通过数据分析从不同维度展示安全事件的影响目标。第一时间采集、第一时间发布、第一时间验证、第一时间整改，快速响应，全流程跟踪，最大限度地“挽回”可能造成的损失，从而提升航信各信息系统抗信息安全风险的能力。

5 安全服务体系建设

通过建立一系列的安全服务体系,明显提升安全响应能力,及时处理系统问题,保证系统健壮性。

5.1 驻场服务

见表1。

5.2 应急响应服务

见表2。

5.3 安全培训

见表3。

6 结论

中国航信研发中心结合最新网络安全技术的发展趋势及安全管理理念，依托安全应急响应基础平台建设进行的实践，不仅构建了网络空间资产发现能力,对集团总部资产起到了“摸清家底”的目的，同时还对集团总部重点系统进行安全监测和定期扫描，形成系统脆弱性、安全性的监测能力,及时发现系统脆弱性，通过建立风险通报和预警机制，形成发现问题、解决问题、反馈结果的网络安全管理闭环，打破了传统信息系统安全壁垒，消除信息安全“孤岛”,阻止了旅客个人信息泄露等安全事件的发生，提升了中国航信的企业形象。

中国航信集团总部的应急响应平台建设经验真正实现了集团总部从被动防范到主动防御的转变，有效应对当前网络安全的新形势、新问题、新挑战。各分子公司可在充分借鉴集团总部应急响应平台建设经验的基础上，依托现有网络安全战略基础设施，建立起由专业人才队伍、重点资产防护平台、信息通报技术支持机制、重点资产协同防御机制相结合的网络安全综合应急体系，进而有效应对来自各方的网络威胁，保卫网络安全，促进自身系统健康发展。同时各分子公司应急响应平台建设还可与集团应急响应平台打通,实现安全数据共享、统一调度、协同防御,提高集团整体安全防御能力。其它中央企业信息安全应急响应中心建设也可以借鉴中国航信集团总部的应急响应中心建设经验,再结合自身业务和网络安全现状,可以真正有效提高自身安全防御能力,保障系统健康有序发展。