信息安全运维的重要性

信息 安全运维的重要性

黄海龙 陈浩

新疆维吾尔自治区产品质量监督检验研究院，新疆乌鲁木齐 830000

摘要：随着科技发展、技术进步，信息化应用不断深入，信息系统的可用性、稳定性需求突现重要，信息化系统的安全运维成为重中之重。

关键词: 安全；运维

一、当前问题分析

近年来，信息化建设逐渐深入，信息系统日趋庞大，导致各种类型的数据越来越多，这导致了的威胁路径存在越来越多，威胁因素越来越复杂。随着《网络安全法》的实施，内控与合规性要求的进一步加强，信息网络需要专业的信息安全维护技术来应对新生威胁、并且要求更加快速的做出判定和响应，这对网络安全建设和运维提出了全新挑战。

1、外部信息威胁情况越来越复杂

由于黑产大数据的联盟使得攻击者攻击手段更智能、更先进、攻击成本更低，我们面临外部网络攻击风险越来越频繁，比如最近爆发的勒索病毒越来越猖獗，从永恒之蓝到勒索软件Petwrap，SamSam，每一次都给相关企事业带来了不可挽回的经济损失。也给我们敲响了极大的警钟。目前我们信息系统面临的威胁主要体现在：

1）更高级的威胁。

2）内网的潜藏威胁。

3）内网的横向攻击。

4）外联区域与BYOD造成的安全洼地：内部工作人员的BYOD设备以及与外联的合作单位/部门，均是传统防御设备所无法触碰和控制的攻击面。而攻击者往往喜欢从BYOD或外联区域等安全防御能力较低的暴露面发起攻击，从而绕过边界设置的层层防御。

2、内部安全运营陷入困局

随着信息化普及率越来越高，信息网络的不断延伸与扩展,网络中的设备数量和服务类型也越来越多，也逐步购置了越来越多的安全产品，逐步完善了技术体系，满足了合规需求。但与此同时，网络中的关键安全设备和业务服务器产生了大量的安全事件日志，导致网络安全运维工作效率极低，难以发现真正的安全隐患。

其次，云计算技术的发展将IT资产不断向虚拟化迁移，致使安全边界变得越发模糊，而现有的安全防御模式主要集中在网络与应用系统，导致看不清资产变化，看不清业务访问关系，更看不清内部的横向攻击、异常访问与违规操作，黑客一旦突破边界以后，往往利用合法用户身份渗透内部其他业务系统，窃取核心数据，给单位造成不可挽回的重大损失。

二、运维服务必要性

1、缩短风险存在时间的有效途径

开展安全服务实现全面、持续性的生产网络安全态势评估可视化，缩短安全风险的检查的时间，进行数据的收集比对，并提供丰富详实的报表数据，对报告反应的风险提供详细可靠的处理建议。使评估、保护、响应常态化，可大大提高信息安全管理的工作效率；在提高工作效率的同时，也大大缩短了业务系统和设备运行风险的存在时间，保障了网络的安全运行。

2、网络安全主动防御的有力支撑

利用专业技术服务力量是安全保障实现主动防御的基础条件，也是掌握网络空间对抗主动权的战略要素。近年来，国内外在国家级、全局化、大规模网络安全持续体系的研究方面做出了一系列的重大战略决策并且开始全面部署，落实网络安全持续体系为信息安全主动防御水平的提示具有决定性的作用，因此，本项目是我单位实现信息安全主动防御提供有力支撑。

3、网络安全防护体系的重要环节

安全服务项目通过本地化安全检测、监测工具的部署、安全运营平台建设、线上安全专家值守+现场安全专家处置等多种安全服务保障措施，为我单位的数据中心业务系统建立有效的安全防护体系。

三、服务目标

在《网络安全法》以及国家信息安全等级保护相关政策和标准的指导下，针对新的安全形势，通过安全保障服务建设，构建持续评估、持续保护、快速响应的防护体系，提升单位网络监测分析能力，提高网络安全综合预警能力，增强应对新技术安全威胁的防护与应对能力以及响应能力，全面保障信息系统安全、稳定运行，为单位的信息化业务健康发展保驾护航。可以实现以下目标：

（1）信息化系统核心资产识别；

（2）网络行为检测；

（3）信息化资产脆弱性检测；

（4）风险、威胁识别展示；

（5）结合威胁实时监测工具及现场主动服务，对发现的威胁进行隔离和响应，实现全网安全威胁的闭环处置；

（6）在日常时期，开展巡检服务，对数据中心提供整体运维，协助客户做好网络、安全规划及服务，主动响应信息化建设支撑需求，具备基础网络、安全产品调试能力，能够协助信息中心做好整网规划。

（7）在重点活动期间，专业安全工程师值守。

四、主要服务内容

根据建设目标及当前的现状，通过信息安全运维外包，借助第三方安全服务供应商帮助单位实时发现业务安全风险，提供处置解决方法，在出现攻击时采取应急响应和实时对抗，以保护客户信息资产安全，达到降低、抑制安全风险的效果，建立一套完整的安全体系。具体建设内容如下：

• 安全评估服务：依据安全风险评估国家标准GB/T20984，对信息系统的资产状况、面临安全威胁状况、安全脆弱性状况、及安全控制措施状况进行分析和评估，并对信息安全风险水平进行综合评价，提出安全安全脆弱性修复以及风险应对及建议方案。

• 整体安全规划咨询服务：根据单位的信息安全保障现状，结合风险评估结果及国家/行业监管要求，由第三方安全服务供应商协助单位信息部门确立网络安全保障目标，并制订未来3－5年的网络安全建设规划，确保建设资源有序投入，安全保障能力持续提高。

• 威胁监测与主动响应服务：借助部署在单位网络关键节点的网络安全监测工具，基于第三方专业技术服务提供商云端专家情报和安全日志分析主动，发现风险主动预警和主动响应流程，针对僵尸网络、病毒、后门、黑链等各类安全事件的处置服务，将外部风险扼杀在萌芽之中，做到风险前移。

• 安全培训服务：有第三方安全服务供应商提供讲师，对单位员工定期开展信息安全意识培训，在不过多占用员工时间的基础上不断灌输信息安全知识给员工，加深其印象，并引起其兴趣和重视。 使员工可以了解最新的安全事件、最前沿的安全技术、政府对信息安全的声音，进而提高单位全员的安全意识水平。

• 应急响应服务：主要是针对安全事件发生时，及时、准确的解决安全事件，根据应急响应流程(影响抑制、威胁清除、原因分析、加固建议指导) 本地响应人员与专家共同积极响应化解安全危机，将安全事件的风险及损失降到最低。

• 应急体系建设及应急演练服务：由第三方安全服务供应商协助用户建设网络安全应急响应预案并定期组织进行应急演练，验证应急响应体系的有效性，帮助建设网络安全应急体系。同时按需为用户提供突发网络安全事件的应急响应服务。

• 安全巡检服务：根据单位单位的安全运维需求，向第三方安全服务供应商购买最少 1名人员的巡检服务，同时要求配备远程项目经理进行沟通协调、工作安排和项目汇报。巡检人员日常安全运维巡检工作主要内容包含：定期安全漏洞扫描、系统安全加固协助、威胁现场处置、上级/监管单位安全检查配合和现场应急响应等。

• 重点时期保障服务：在重大活动（两会、峰会等）或重大网络安全事件期间，通过具有丰富应急处理能力和安全服务技术经验的工程师，提供现场安全值守服务，直至重大网络信息安全事件结束。

参考文献：

《M银行网络风险可视化平台的分析与设计》--大连理工大学

《安全管理平台在电力系统的应用研究》--贵州电力技术

《信息安全分险评估方法与应用》--清华大学