本系列文章共分为8篇,主要分享作者自身在企业网络安全建设和运维保障过程中的经验总结,包括网络安全管理、网络安全架构、网络安全技术以及安全实践等,力求全方位阐述企业在网路安全中的方方面面,为企业网络安全建设提供实践指南。
第一部分 网络安全管理篇
首先是网络安全管理部分。正所谓“三分技术、七分管理”,且不论这“三”和“七”的科学合理性,单从字面上就可以看出管理的重要性。管理是脑,技术是手,脑支配手,手配合脑。所以先将网络安全管理相关内容进行呈现。
网络安全管理体系侧重于从管理维度,在网络安全相关法律、法规控制下,制定网络安全整体的战略规划,对网络安全实际工作进行战略指导。配合战略落地,在管理方面的实际工作主要有标准化工作流程、风险管控、应急管理、网络安全重保、安全培训以及计划管理、监督实施等内容。管理工作的主要任务是提供支持、做好服务保障,确保技术实施畅通无阻,同时又能规避管理风险,同时通过标准化、流程化的工作程序规定,也可以有效地降低安全风险,配合相关管控措施和应急手册等,不断地提高网络安全的工作效率,降低人为出错率。
一、网络安全战略定位和组织架构
想要做好企业网络安全,顺利实施企业网络安全的建设,第一步就是要找准定位,明确网络安全在企业经营活动中的战略定位。这个往往取决于企业高层管理者对网络安全的认识程度。所以作为网络安全工程师、或是CSO(实际上大多数企业没这个首席安全官CSO的岗位),一定首要向企业高层灌输网络安全的思想,提高管理者对网络安全的管理意识和认识高度。除了自己积极推动外,引进专业、权威的第三方网络安全机构(如等保测评公司、咨询公司、网络安全公司等)或网络安全监督检查机构(上级监管单位、网警、网信办等),对高层进行访谈,也不失为一种高效之策。很多时候,网络安全工程师跟企业高层管理者之间还有一层IT管理者,而安全出身的IT管理者、CIO/CTO非常非常少,所以网络安全工程师迈开腿的前提是做通IT管理者的工作。
分享一个小经验,怎么快速且有效的向IT管理者、企业高层领导灌输网络安全思想、提高安全意识?答案是“重要活动的网络安全保障”,非常行之有效。例如上合峰会的企业网络安全保障、国庆七十周年的企业网络安全保障等,尤其是一些中大型企业或国企事业单位,重保期间的网络安全工作要求往往是由上级监管单位、网安、国安、网信办等直接下达企业网络安全检查通知或整改通知,很多时候需要企业一把手签字确认,这个时候,网络安全的工作往往不只是IT任务,更多的被赋予了政治使命的色彩,此时必是最好的契机。
实际上,在向上(面向领导,首要进行)和向下(面向全员,次要进行)普及网络安全,找准网络安全战略定位的同时,还需配套相应的网络安全战略规划。战略规划往往是提纲挈领,精炼简短的指导思想。虽说简短,但并不好准确提炼。企业的网络安全战略一定要紧随配合企业的经营战略,不可与之有违逆之处,应积极帮助企业经营规避网络安全风险,保障企业经营活动的正常进行。作为企业经营战略的组成部分之一,由于企业网络安全在大多数企业的经营活动中,往往是处于一种保障单位,前期预防、中期保障、后期处理,所以企业的网络安全战略更多的时候是为企业经营战略提供保障。当然,战略规划的制定和战略定位,都是为了企业网络安全工作的开展提供重要铺垫,取得上层支持、经营支持,此阶段可以理解为请圣旨。
“圣旨到,活来了”接下来要找人干活了。对,要进行企业网络安全的组织架构设计了。秉承着制定网络安全战略的思想,要先取得领导层的认可。建立企业网络安全领导小组(或企业网络安全委员会)是一种不错的选择。随着网络安全相关法律法规的普及,企业一把手作为企业网络安全的主体责任者,已经成为必须,故企业网络安全领导小组的组长位置,绝大多数情况下,非CEO或大老板莫属。有了一把手做组长这一王牌,领导小组的其他成员,基本上可以拉上公司的高管、各部门的总经理了。且不管这些领导们对网络安全到底认识多少,有了领导层面的组织保障,在各部门进行网络安全工作便可顺畅的多。
接下来是网络安全团队的建设,团队建设多偏IT成员,是真正的进行网络安全实际工作的。这里注意下,有一些公司是由专门的安全部门的,如民航、交通、化工类的公司、涉及安全生产建设类的公司等,这个时候,将网络安全与企业生产经营安全连接一起,相互补充,会更有利于工作的开展。在进行团队建设和团队岗位、人员设计的同时,相关任职资格、岗位职责、工作内容、范围等需要逐一明确,这项工作需要网络安全的负责人与人力部门共同设计和完善。
负责公司核心主题业务安全的主管部门和负责公司网络安全部门相结合的案例
二、网络安全法规标准
随着网络安全法的颁布实施,相关法律、法规和行业标准、规范等日渐完善,企业网络安全建设已经可以做到有法可依、有规可矩。所以在敲定网络安全的战略定位和组织架构这第一步之后,调研和学习相关法律、法规等成为网络安全管理建设的第二步。坦白来说,这一块的调查和研究还是比较复杂的,对人员要求较高,既要对网络安全精通、熟悉,又要对法律、法规以及相关政策、规范深入了解才行。但是调查和研究法律法规和政策规范,对企业网络安全建设是有重要的意义,俗话说,法律是底线,只有掌握了底线在哪里,才可以做到最基本的安全建设。
这个时候,进行网络安全等级保护测评工作,不失为一种良策。通过网络安等级保护测评工作,借助专业的网络安全测评机构,可以快速帮助企业建立和实施网络安全基础建设,同时相关法律、法规的学习和解读,通过等报实施的全流程,可以做到全面地大概熟悉。借势发展、借力前行,仍是IT建设的最佳的发展思路之一。但是等报测评也有相应的弊端,其主要依据是网络安全法和网络安全等级保护管理规定,对一些行业属性较强的网络安全解读较少。庆幸的是,例如金融机构、电力机构等,其行业相关网络安全规定、计算机系统安全保护规定等相对比较健全,而且较早的实施了安全监督检查机制,这种对企业来说,相当于找到了组织,可以跟上级监管机构学习行业网络安全内容。行业网络安全其实除了涉及通用安全设备和策略外,更多偏向于行业熟悉,即业务安全,这一块容易忽略,但也是最重要的内容之一。
这里还分享一个小TIPS,即收集和分析网络安全热点事件,这些事件往往可以最直观的的体现网络安全的缺失和不足对企业运营的影响,稍作加工整理,作为安全简报,发给网络安全领导小组,既充实了网络安全与高层对接工作,又给高层领导上了网络安全直接、生动的一课,收益绝对超出预期。
三、网络安全管理体系
正所谓,网络安全三分技术、七分管理,网络安全管理体系作为网络安全管理篇的重中之重,是企业进行网络安全建设落地的体系化指导手册。
关于体系和规划,这里有必要做一个说明,因为我们之前经历过体系和规划的争论或是对体系认识不清的事情。体系与规划一直是密不可分的两个方面,很多时候,直观感觉这两个方面的界线比较模糊一些,但实际上,规划是超前的,体系是当前的,体系根据规划建立落地指导手册,日常工作围绕体系的建立和落地执行,通过体系建设,逐渐落地和实现规划的内容。所以体系建设一定要务实、可执行,是网络安全建设的行动方案指南。
本章节从网络安全标准规范和手册、网络安全风险评估、网络安全应急管理、安全重保、安全培训以及安全计划管理等几个方面进行网络安全管理体系的阐述。
1、网络安全管理体系总述
网络安全管理体系整体来说是以网络安全标准化、流程化为指导有序地开展日常工作,对于每一项工作、每一次事件严格遵循“P(Plan)D(Do)C(Check)A(Action)”的处理原则,持续不断地优化工作,准确、实时地评估企业网络安全风险的同时,对风险进行高质量管控,结合应急处理、工作手册、安全培训等手段,降低中高风险、控制低风险。结合日常工作和重保保障流程,将重要活动保障工作前置并逐渐趋于常态化管理,不断提高责任意识,确保网络安全零事故的发生。为保障网络安全工作得以按时、保质地执行,引入网络安全计划管理,借鉴适合网络安全的项目管理办法,确保网络安全主要工作得以按期完成达到期望收益。
同时,网络安全管理也是一个“承上启下”的工作,“承上”安全组织制定的网络安全战略规划,“启下”指导和监督网络安全战略的落地实施。对网络安全系统架构、技术实施等阶段提供管理支撑和业务辅助,明确网络安全工作底线和活动原则,为网络安全系统架构的科学设计和技术落地提供方向指导和管理保障,推动整个网络安全工作的顺利进行,并积极促成期望目标的达成。
安全管理工作整体流程以网络安全标准、规范以及安全手册的建立为基线,组织开展网络安全风险评估,主动识别、判断不同级别的网络安全风险并进行风险管控(特别注意风险的实时管控),根据不同级别安全风险的属性和影响,制定网络安全应急处理方案,根据应急处理方案提炼应急处理方针、策略,形成应急处理指导性原则和实操性手册,并结合实际日常和安全事件不断进行总结、优化和完善。制定和完善网络安全重保工作流程,按照重保流程和工作手册,开展重保工作。通过定期组织内、外培训,提高网络安全从业者的技术技能,为安全工作提供中坚力量。贯穿网络安全工作全流程实施计划管理,确保所定计划、目标能够按时、有效的完成,并达成期望目标。
2、网络安全标准、规范、手册
近期热播的《中国机长》里面有一句话:敬畏生命、敬畏职责、敬畏规章。诚然,民航业的规章、手册是其日常工作的重要甚至唯一的依据,遵守规章、制度,按照手册处理问题,即是对风险最好的把控方式之一,按照手册处理问题,虽然可能最终问题未能得到解决,但其对个人的追责会是最小的,同时也可以最低程度规避人为失误。网络安全相关的标准、规范、手册也是网络安全工作的重要依据。建立健全网络安全标准、规范,完善网络安全工作手册,为网络安全工程师及公司全员提供网络安全相关的手册和规制,是网络管理工作的重要内容之一,也是安全事件发生时,权责界定的重要依据之一。
那常见的网络安全标准、规范、手册等都有哪些呢?这里收集了一些常用、常见的,大致如下所示:
|
运维标准流程管理 |
||||
|
|
一级类目 |
二级类目 |
标准规范名称 |
备注 |
|
1 |
数据中心 |
数据中心设计标准规范 |
国家标准、国际标准、行业标准等 |
|
|
2 |
数据中心巡检流程 |
|||
|
机房运维管理规定 |
||||
|
3 |
机房备件管理规定及申请流程 |
|||
|
4 |
数据中心故障处理流程 |
|||
|
5 |
数据中心管理规范 |
|||
|
6 |
IT资源运维 |
计算资源 |
物理服务器申请流程 |
申请、评估、审核、采购、验收 |
|
7 |
物理服务器上架流程 |
布线、上架、安装操作系统 |
||
|
8 |
操作系统安装标准规范 |
|||
|
9 |
物理服务器配置变更流程 |
申请、评估、审核、变更 |
||
|
10 |
物理服务器到期处理流程 |
自动触发申请、评估、迁移、验证、进入报废流程 |
||
|
11 |
物理服务器报废流程 |
申请、验证、审核、利旧建议、关机、进入下架流程 |
||
|
12 |
物理服务器下架流程 |
关机后15日、断电、下架、利旧、销毁 |
||
|
13 |
虚拟机/容器化申请流程 |
|||
|
14 |
虚拟机/容器安装标准规范 |
|||
|
15 |
虚拟机/容器配置变更流程 |
|||
|
16 |
虚拟机/容器删除流程 |
|||
|
19 |
网络资源 |
网络设备申请流程 |
||
|
20 |
网络设备上架流程 |
|||
|
21 |
网络配置变更流程 |
|||
|
22 |
网络设备报废流程 |
|||
|
23 |
网络设备下架流程 |
|||
|
24 |
安全资源 |
安全设备申请流程 |
||
|
25 |
安全设备上架流程 |
|||
|
26 |
安全设备配置变更流程 |
配置升级、扩容、端口开通、访问控制、策略修改 |
||
|
27 |
安全设备报废流程 |
|||
|
28 |
安全设备下架流程 |
|||
|
29 |
存储资源 |
存储设备申请流程 |
||
|
30 |
存储设备上架流程 |
|||
|
31 |
存储设备配置变更流程 |
包括硬盘添加、更换,容量扩容 |
||
|
32 |
存储设备报废流程 |
|||
|
33 |
存储设备下架流程 |
|||
|
34 |
服务运维 |
运维服务申请流程 |
||
|
域名申请流程 |
||||
|
新增数据库申请流程 |
||||
|
运维命名规范 |
||||
|
35 |
Nginx安装标准规范 |
安装、优化配置、安全加固、备份、监控、日志备份=>脚本(包括高可用和负载均衡集群部署) |
||
|
36 |
Haproxy安装标准规范 |
安装、优化配置、安全加固、备份、监控、日志备份=>脚本(包括高可用和负载均衡集群部署) |
||
|
37 |
Apache安装标准规范 |
安装、优化配置、安全加固、备份、监控、日志备份=>脚本(包括高可用和负载均衡集群部署) |
||
|
38 |
JDK安装标准规范 |
适合只部署JDK的情况,如果申请Tomcat等依赖JDK的应用,不需要单独申请JDK安装 |
||
|
39 |
Tomcat安装标准规范 |
安装、优化配置、安全加固、备份、监控、日志备份=>脚本 |
||
|
40 |
Weblogic安装标准规范 |
安装、优化配置、安全加固、备份、监控、日志备份=>脚本 |
||
|
41 |
MQ安装标准规范 |
ActiveMQ、RabbitMQ 安装、优化配置、安全加固、备份、监控、日志备份=>脚本 |
||
|
42 |
Redis安装标准规范 |
安装、优化配置、安全加固、备份、监控、日志备份=>脚本 |
||
|
43 |
MongoDB安装标准规范 |
安装、优化配置、安全加固、备份、监控、日志备份=>脚本 |
||
|
44 |
大数据平台安装部署标准规范 |
大数据生态圈组件安装标准规范 |
||
|
45 |
Oracle安装标准规范 |
单机、DG、RAC、OGG同步 |
||
|
46 |
Mysql安全标准规范 |
单机、主备、MHA、DB中间件 |
||
|
47 |
运维服务发布流程 |
|||
|
48 |
运维服务变更流程 |
|||
|
49 |
运维服务删除流程 |
|||
|
50 |
数据手工处理流程 |
|||
|
51 |
信息风险源管理流程 |
|||
|
52 |
生产系统测试账号管理流程 |
|||
|
53 |
生产系统管理账户管理流程 |
|||
|
54 |
备份管理规范 |
备份对象、备份时间、备份频次、备份耗时、备份验证、备份监控 |
||
|
55 |
监控管理规范 |
|||
|
56 |
事件管理 |
运维事件处理流程 |
故障处理、安全事件处理 |
|
|
57 |
运维事件通报流程 |
|||
|
58 |
运维事件处理规范 |
|||
|
59 |
重保运维管理规范 |
|||
表:运维标准流程管理列表
网络安全标准规范和管理规定涉及公司IT系统建设、运维及运营的方方面面,从风险管控的角度来讲,网络安全管理规定应从IT建设系统建设到IT系统注销全生命周期的安全管理。宽泛来讲,网络安全标准规范和管理规定应该与IT相关的所有管理制度息息相关,共同组成公司IT标准体系(如ISO相关认证,ISO27001等)。
网络安全手册与网络安全日常工作相关,包括网络安全风险评估手册、应急处理手册、重保工作手册等等,后面将会逐一介绍到。同时围绕安全事件处理流程包括从安全事件调查、安全事件取证、安全事件总结以及安全事件事后改善和跟踪的安全事件处理SOP流程手册,是安全手册的重要内容之一。
如何快速建立和完善网络安全标准规范和工作手册呢?答案是借力。参考同行或其他单位的建设情况,网络安全等保测评工作可以搭桥牵线,通过借鉴甚至照搬同行或其他单位的网络安全标准规范及手册建设情况,进行仔细研读,结合自身实际情况进行优化调整,初步实施,然后经过长时间的实际工作反馈,逐渐完善,最终形成属于自己的安全标准规划和工作手册。还有一个好的方式,就是寻找咨询公司或认证公司,建立ISO体系认证,比较全面的、科班化的建立起网络安全标准体系,常见的有ISO/IEC27001。
网络安全标准规范和手册的建设是一个持久化的过程,是一个一月借力可建好80%(大体框架),几年才能完善好剩下20%的工作,需要经过大量的实际工作反哺和量体裁衣、不断修缮,才能完善成为最适合自身的规范体系和手册体系。
对于标准、规范的建设建议在信息部的组织架构中增加标准管理委员会,对IT建设全流程提供标准制定和流程设计,并结合实际进展及时维护、不断优化和完善。
3、网络安全风险评估/风险管理
正所谓,网络安全、风险先行。某种程度上来说,企业网络安全风险评估工作可以作为企业信息安全管理的第一步,通过全方位、全时空、渗透式地对企业网络安全进行风险评估,彻底摸清企业网络安全实际情况,为今后工作的开展指明具体方向和作业内容。同时,风险管控也是一个管理性的工作,包括学习风险、采集并识别风险、对风险进行生命周期管理和消除风险等几个阶段。
同时,不同维度带来的风险分类也不相同。一般按照区域和造成安全事件原因可以分为企业外部风险和企业内部风险。外部原因造成安全事件的风险为外部风险,内部原因造成安全事件为内部风险。其中外部风险主要指攻击者或是攻击团体利用网站漏洞进行注入、攻击、窃取、篡改等手段对企业信息进行破坏,内部风险主要是企业内部人员误操作导致数据风险或是外部人员通过内部人员、内部设备发起的攻击行为。不同的风险分类,不同的防御方法。另外风险管理宽泛来说还可以包括重要系统、数据库未建立健全备份验证机制,缺少高可用支持等。
风险采集主要是指通过渗透测试、网络安全设备扫描等手段,对企业IT系统、电脑终端等设备进行按计划定期扫描,采集可能存在的安全风险和漏洞;重要系统及时备份和验证备份可用性,核心系统缺少高可用集群方案都是在风险采集过程中作为风险源进行统一采集和管理。
风险识别主要对采集上来的风险进行风险识别和建立起风险的生命周期,以便实时跟踪风险处理过程,避免遗漏和长时间未响应。
风险管理,对各种类别的风险进行学习,了解各种攻击原理和攻击手段,对企业已有的IT系统和各个客户端进行风险采集,对于采集上来的风险进行逐一识别,建立风险生命管理周期,一一解决掉风险源,以保障系统安全运行。
比较健全的风险管理系统,结合自身对风险类别、原理和危害的深刻认识,可以让企业网络安全做到一定程度的风险可控,损失可控,不至于在网络安全事件面前一脸茫然。所以建立企业网络安全应持续地做好对风险的管理,知己知彼,方可在企业网络安全防守上游刃有余。
较好的外部风险采集手段还可以建立企业SRC安全情报中心,充分收集与自身相关的网络安全威胁情报。可以指定定期的外部威胁讨论会,通过owasp分析全年前十安全漏洞完善安全标准;通过国家信息安全漏洞库获悉企业所用组件的安全漏洞并及时制定补救方案;采购商业的微步威胁、天际友盟、360等厂商的威胁情报,对威胁进行分类分析,按照“STRIDE”(STRIDE 是从攻击者的角度,把威胁划分成 6 个类别,分别是 Spooling(仿冒)、Tampering(篡改)、Repudiation(抵赖)、InformationDisclosure(信息泄露)、Dos(拒绝服务) 和 Elevation of privilege (权限提升)。)进行威胁建模。另外建立持续性的安全评估机制,结合自查检查、审计内控等形式,及时评估和整改风险,极大地规避中高风险,把控低风险,确保企业网络安全运行在一个整体风险可控的环境。
贯穿风险评估全过程涉及到风险评估模型的建立,通过建立风险评估模型,对不同风险按照数据模型进行计算,实现风险的归类和等级划分,针对不同级别的风险,输出不同程度的应对措施,全面做到风险可控。另外,要特别注意的是,风险评估是一个持续的、不间断的过程,要打消一次风险评估,全面整改加固的念头。只有通过全方位、持续地风险评估、安全整改加固,结合内查和外查,才能充分的实现防患于未然,将风险降至最低。
图:某漏洞管理系统设计
4、网络安全应急管理
网络安全事件大多具有突发性、不可预测性等特点,虽然经过风险评估、安全监控以及态势感知等先进设备或有效手段可以做到一定程度的预防检测,但在实际工作中,大多数的网络安全事件还是属于突发状况,而这个突发状况很多时候还不好控制且会直接反应到财务经济上的资金损失。网络安全行业也有一个几乎通用的常识,即:网络安全攻防的严重失衡。防守方(企业自身)绝大多数处于劣势地位:防要防全面,而攻只需破一点即可;防在公司层面大多只是一个网络安全部门(甚至只有一个网络工程师,还有一堆内部的“间谍”),攻则是千万个人或组织(黑客或黑客组织)在攻,而且公司内部人员也经常作为攻击者的“帮凶”。故攻防不对等,也是网络安全工作的重要难题之一,应对突发性网络安全事件和面临攻防失衡的局面,实施提前预防和演练是最佳策略之一。网络安全应急处理流程的制定、针对重要安全事件的应急演练和应急处理手册,是企业应对常见网络安全问题的不败法宝之一,最起码不会败的那么难堪。
4.1、网络安全应急处理
成立网络安全应急小组,确定网络安全应急总指挥,是网络安全应急管理的第一步。很多公司(例如一些民航类公司)还专门设有应急办公室。网络安全应急是应的紧急情况,而紧急情况的处理和应对,往往是混乱无序的,这个时候,拥有决定权的应急总指挥则是应急处理情况的顶梁柱,起决定性作用。一般情况下,应急小组成员是不固定的、应急小组的数量也不是固定的,不同的业务类型可以建立不同的应急小组,需要包含相应的业务部门人员,因为紧急情况下,最先反映出的是对业务的影响,除了技术上的应急外,业务上的应急也是必备手段之一。
其次是对于网络安全应急响应的措施。这里介绍网络安全应急响应模型“PDCERF”即:Prepare(准备)、Detection(检测)、Containment(抑制)、Eradication(根除)、Follow-Up(跟踪)。
- 准备(Preparation)
准备,即在时间还未发生时的准备工作。一般情况下,准备工作可以分为三个方面:第一方面包括网络安全策略制定和优化、网络安全加固、系统和数据的灾备、应急演练及手册等;第二方面包括应对网络安全事件处理的常用工作,如系统基础命令集(ls,cd,mv,ifconfig,ps等,一般系统入侵后,这些系统命令是不可信的)、安全工具集、日志等;第三方面包括人员,及应急处理人员等。
- 检测(Detection)
检测也有翻译成“诊断”的,少数情况下也有定义成识别(Identification)的。即检测识别风险和安全隐患,识别攻击类型、攻击特征、攻击手段等。该阶段强调事件发生前和事件发生初期,要具备相应的检测和识别的能力,提前检测和快速检测出攻击相关信息,以备快速制定处理方案。检测的手段有多种,大致包括:威胁情报中心、防火墙、IPS、WAF、态势感知、日志、用户描述等等。更加全面一些阐述,检测阶段还包括网络安全时间发生初期,对事件类型、特征、属性等判断以及调查取证、漏洞分析、后面检查等等内容。
- 抑制
经过检测和时间初期的预处理,抑制阶段主要两个方面的抑制:一个是抑制受害范围,隔离区域,切断传播途径,避免受害面扩大范围,另一个方面是抑制受害程度,避免影响过深,此阶段比较像是止血阶段。在止血的过程中(即在封堵后门、切断网络区域的同时),也要根据攻击特征属性,深究根源,以备彻底解决和封堵。抑制阶段有一个细节,需要引起大家的注意,就是在此阶段不可优柔寡断,一般安全事件发生时,对业务的影响是非常直接的,甚至有可能直接导致数据的丢失和不可恢复等后果,大多数技术工程师在面临事件时,惯性思维是找原因、解决问题,而忘记或是忽略首先切断网络,避免范围扩大,这一点很重要,还有一点,就是当系统受损时,一定要及时通业务部门沟通好,并且当机立断的切断和关闭,避免受害范围蔓延,怎么说呢,别听业务的,只听领导的(话难听,且可能没道理,但是这是我的网络安全工作的经验,事件发生时,业务大多会让你给他们点时间,心一软,极有可能引发更大的灾害)。
- 根除
在对安全事件进行抑制,避免受害面扩大和受害度加深的同时或是之后,深究事件发生原因,深剖攻击属性、传播方式及渠道等,彻底封堵攻击源,同时对整个安全情况进行排查和横展开,进行全面的安全加固和升级安全策略,避免在同一个地方跌倒两次。
- 恢复
恢复,即将业务和系统恢复至正常状态。恢复阶段除了恢复系统和业务之外,还需要将相应的备份、监控等恢复至正常状态,这一块是比较容易忽略的。
- 跟踪
跟踪,除了监控后续是否异常、业务系统是否正常外,还需对整个环节进行报告、总结和反思,不断提升自我。
实际上,在处理网络安全事件时,事件处理流程和事件通报流程也是重要的一环。事件处理流程,除了整体的PDCERF模型外,还需进一步细化。事件处理流程包含事件通报这一环节,明确事件处理流程和通报汇报机制,然后在就某些具体的典型事件制定处理流程和手册,更有利于事件的快速处理,将影响降至最低。
图:故障处理流程-例1
图:故障处理流程-例2
图:故障处理流程例3
某核心系统应急演练方案参考:(业务部门与信息部联合演练案例)
《FOS系统故障应急演练方案(信息部、运行控制部)2020版V1.2.docx》
4.2、网络安全重要事件演练及手册
作为企业网络安全应急的重要一环,应急演练,必不可少且意义重大。针对常见网络安全事件进行应急演练,根据演练不断优化应急处理手册,当事件发生时,可以做到按照手册,有条不紊的进行处理和恢复,将网络安全事件时间缩至最短,影响面控制在最小范围。
常见的网络安全风险及对应的应急演练和手册有如下:
- 大面积计算机病毒感染演练及手册,如勒索病毒等。
- DDOS攻击演练及手册。针对DDOS攻击,一般的防护手段有云端清洗、运营商清洗和企业自身的抗D设备或防火墙,DDOS的攻击是天然存在,不可避免的,这是由于TCP/IP协议的特性所致。其实企业在做DDOS防御的时候,比较尴尬的一点,大的防不住,小的不用防,但是一旦DDOS攻击防御失败的时候,影响将是毁灭性的,对外不能正常提供服务。针对大的DDOS攻击,与云厂商和运营商建立沟通和合作,应该是唯一的最佳防御方式,当大量的DDOS流量进来时,由云厂商和运营商进行流量清洗,将真正的流量放至系统中,恶意流量阻挡清洗掉。但是不得不说的一点,他们的清洗粒度有的时候是比较粗犷的。针对DDOS的攻击有很多资料和专门的书籍介绍,如:《破坏之王——DDoS攻击与防范深度剖析》、《华为Anti-DDoS技术漫谈》等,但是个人经验,对于DDOS的防范最直接、最有效也是最重要且唯一的手段,就是花钱。当然,相应的应急处理手册必不可少。应急处理手册,这里分享一篇:DDOS DOS攻击应急预案(讨论稿)
链接:https://pan.baidu.com/s/1CfOvTWQ0QQaeP-MMpDOZJg
提取码:edb5
- 数据保护相关应急演练及手册。包括数据丢失、数据泄露、数据篡改等三种情况。结合数据分级情况,优先对核心数据、重要数据进行保护、备份、演练及手册编写。这里注意一下,数据分级、事件分级等“分级”的思想是处理大多数事件和故障的重要法宝,也是在企业IT资产管理和CMDB建设时的一个重要内容。
- 网络相关的应急演练及处理手册,如DNS遭劫持、大面积网络瘫痪等等。
- 其实对于应急演练,从公司层面来看,除了网络安全应急演练之外,还应该包括系统相关的应急演练、数据中心机房相关应急演练等等,应急演练应作为IT工作的一个重要专题,进行计划、实施和总结。
5、网络安全重保
重大活动网络安全重要保障是网络安全工作的重要内容之一。尤其是作为一些中大型的企事业单位或民生相关的单位,在重大活动时,如企业所在城市举办国际会议等。就我所经历的上合峰会保障、海军建军节、国庆七十周年、世界军人运动大会等,作为企业安全负责人,都会进行网络安全重要保障。保障工作主要涉及巡检、风险自查和整改、配合上级监管单位检查和整改、安全加固、值班培训、手册完善等,具体可参考下列重保工作计划表:
6、网络安全培训
网络安全培训也是网络安全的重要内容之一,“单人力不如众人力”,通过网络安全培训提升IT团队甚至公司全员的安全意识和网络安全技能,整体提升公司网络安全水平,更有利于网络安全工作的进行。
总的来说,网络安全的培训可以分为三个方面:
- 针对公司全员的网络安全意识和网络安全基础知识的培训,通过意识和基础知识培训,强化公司全员网络安全意识和基础技能,通过培训,也是讲网络安全的工作普及至公司全员,而非几个人和一个IT部门的事情。
- 针对IT相关人员包括产品、研发、测试、运维等的网络安全技能培训,在上述(1)培训的基础上,进一步强化IT人员的安全意识和安全技能。如提升产品设计中的安全设计,这一块在后面业务安全会有涉及到;提升研发工程师的安全编码意识和安全编码规范;提升测试工程师的安全测试意识和安全测试用例;提升运维人员的安全合规性和安全运维标准,基于安全基线部署和运维。通过对IT人员的安全强化培训,为公司网络安全建设巩固中坚力量。
- 针对网络安全工程师和网络工程师以及系统运维工程师的网络安全综合培训。针对网络安全实际操作者,进行综合性的、专业的网络安全培训,进一步提升网络安全技术技能,以便更好的进行网络安全防护、网络安全事件处理等工作。
培训的工作要有计划、有条理的进行,同时对内培训和外出培训要相结合。借力和用力,始终是实力快速提升、事务快速发展的两大法宝。借助外部专业的培训力量进一步提升内部技术实力,内部专业的工程师对全员和部分人员进行安全培训,整体上提升整个公司的安全技术和安全管理水平。
7、网络安全计划管理
网络安全计划管理是指针对周期性、固定性的网络安全工作进行计划编排、实施和跟踪反馈。通过有效的计划管理,有条不紊的推进网络安全工作的进行,保障网络安全稳定运行。
网络安全计划性相关的内容主要有:网络安全例会、例报、定期自检自查、上级检查、各种培训计划、演练计划、备份验证计划等,同时还包括具备项目属性的安全方案实施以及预算、决算管理等。通过计划性管理对安全事务进行跟踪、督促,同时也可以为安全质量考核提供数据支持。
四、安全绩效考核
安全绩效考核管理主要围绕安全绩效考核方案的编写和实施开展安全考核指标制定和安全考核实施。要求安全考核指标要量化可数据直观反映,考核方案的实施要遵循科学管理步骤,根据指标建立和实施奖惩措施,同时可以对指标做到动态监控,不断修正至理想状态。
常见安全考核指标有中高危漏洞数、网络安全事件数、网络/系统正常率、安全评估次数、应急演练次数等等,可以以月度、季度和年度为单位,制定不同目标的指标,参考如下:
|
考核项 |
考核解释 |
指标-T1 |
指标-T2 |
指标-T3 |
|
安全评估次数 |
||||
|
高危漏洞数 |
||||
|
中危漏洞数 |
||||
|
网络安全事件次数 |
||||
|
网络/系统正常率 |
||||
|
网络安全项目建设完成率 |
||||
|
应急演练次数(公司级/部门级) |
||||
|
备份集验证频率 |
||||
|
网络安全培训次数及评价 |
||||
|
企业网络安全风险指数 |
风险指数与安全漏洞数量、质量、分布范围、潜伏时期以及企业网络安全日志、培训次数等综合相关 |
|||
|
企业内部风险指数 |
||||
表:安全考核指标例(月度、季度、年度)
网络安全绩效方案中针对指标的达成情况建立相应的奖惩措施并进行实施反馈也是重要内容之一。考核的目标不是处罚,而是不断地提高。比较完善的实施步骤大致有:制定考核方案、征求方案意见、考核方案发布、考核方案实施和动态监控、考核结果反馈以及根据考核全过程进行持续地优化。
—————————————————————————————
作者简介:
战学超(Jan) ,某航空公司运维经理,高级架构师。曾任职于NEC软件、海尔集团。拥有丰富系统运维、系统架构经验,熟悉企业运维管理、系统架构、数据库架构、数据平台搭建、虚拟化、混合云部署及管理、自动化运维以及企业网络安全等。
来源:freebuf.com 2020-11-04 13:33:38 by: 18562607972
请登录后发表评论
注册