习近平总书记一直强调,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。
为了响应习总书记的讲话,电力系统各级单位也即将展开对各地安全隐患的排查。尤其针对系统的配置核查、域间异常流量、态势感知能力、弱口令检测、边界安全、策略合规、无线安全、僵尸账号等。众所周知,电力监控系统建设近年来得到了快速发展,作为承载电网生产控制管理业务系统的管理信息大区一直缺乏流量异常监控、安全配置核查、行为态势分析必要的安全防护手段。尤其当发生与外界数据交互时,安全威胁很大,内网中的终端、服务器、中间件等应用系统面临着各类不确定性的威胁。
依据《网络与信息安全预警分析中心顶层设计》等内部文件的相关要求,管理信息大区对各类安全风险、漏洞进行分析响应和通报汇总,提升信息安全事件处置能力,日常监测和预警措施等信息安全工作被提上议事日程。
方案概述
本方案围绕各管理信息大区安全建设展开,从安全建设的基础安全能力构建、态势感知能力建设、安全服务能力建设三个方面,为管理信息大区构建一个安全、稳定、具备抗风险能力的安全运营环境。
基础安全能力构建
● 引入资产管理
在传统网络安全防护方案建议里,大多情形是会在管理信息大区部署防火墙和入侵检测方式进行访问控制、已知行为监控,甚至安全域的划分,我们认为,提升这些手段的准确性一定要引入资产管理(AEM)作为基础保障。事实上,管理信息大区的网中还有一些接入设备都需要进行全生命周期的管理,譬如针对已知资产接入应该有什么样的安全策略,新进入网络的未知的资产应该有什么样的安全策略,都需要围绕资产管理来进行,另外,资产管理还可以包括主机、网络设备、安全设备、数据库、中间件、设备组件等各类资产类型接入到网络中的实时呈现。
● 进行配置核查
构造内网安全基线,配置核查是首选工具。我们注意到, 管理信息大区已经部署了许多国产操作系统、国产中间件等,譬如麒麟、凝思操作系统、达梦数据库数据库、华为华三路由交换设备,但是,由于最近中兴事件爆发后,必将使我们的设备国产化、系统国产化、芯片国产化等全产业链的国产化之路的稳步推进。因此,专门针对国产化系统的配置核查是必然的要求。网欣科技配置核查CVS系统,不仅对原有管理信息大区已部署系统进行自动化安全配置检测,还可对更多国产化系统进行核查,譬如人大金仓、南大通用等,必要时,可以支持在线、离线、单机代理、分布式采集等核查方式,应对管理大区较为复杂的核查要求。
● 填补流检测短板
在绝大多数传统网络安全防护方案建议里,会配备有基于模式匹配的已知威胁检测,如IDS系统,也会配备基于虚拟执行环境和沙箱的未知威胁检测技术,如APT检测,我们认为,在管理信息大区运用这两类技术作为检测手段,会有一定滞后性,会错过最佳的威胁处置时机,以深度流分析技术见长的NBA系统恰好能弥补时效性不足的难题。 网欣科技网络行为分析系统NBA结合DPI技术,基于行为的威胁识别,基于威胁情报的流分析等一体化融合技术为客户提供资产持续监测、恶意流量发现、违规流量检测、网络行为分析、历史流量回溯取证等能力,协助客户及时发现可疑主机、可疑流量,快速定位网络故障,优化网络利用效率,历史异常行为取证,提升网络监管水平,为有序运行提供有力的支撑。
● 集中化的日志存管
根据等级保护2.0的规范要求,对全网的日志审计明确做了要求,然而,在绝大多数传统网络安全防护方案建议里鲜见这部分内容的设计。根据规范要求,管理信息大区需要实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志,为此,选择合适的日志审计是方案完整性的重要一环。
网欣科技日志审计系统(Leadsec-RS)是一款面向电力行业信息系统日志审计的成熟的安全产品。它能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的系统以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。还可以为管理这提供了强大的日志综合审计功能,为不用层级的管理需求提供了多视角、多层次的审计视图、日志查询和报表管理等功能。
态势感知能力建设
在管理信息大区部完成基础安全能力建设之时,对基础防护手段的数据集中展现十分必要,毕竟能够为信息中心提供准确、有效的态势感知展示即是能力,也是难点所在。因此,通过态势感知能力建设,可以有效建立起从数据产生到数据展现的全流程机制,可以有效打通数据源产生的情报转化,可以强化网络的资源配置合理性提升运营过程的合规性,协助管理员的安全加固水平提升威胁应急响应能力。
网欣科技网络态势感知系统正是全方位的态势感知的集大成者,它由六个维度的感知构成,分别是资产感知、攻击感知、漏洞感知、运行感知、威胁感知和风险感知,综合这六个感知维度形成面向管理信息大区的综合态势监视或态势总览。通过这六个维度的专项分析呈现,管理者可以聚焦整合、按需搭配,形成适合自身业务需要和安全态势监控需要的态势感知系统。
安全服务能力建设
● 定期安全评估与培训
针对管理信息大区的各类信息系统,我们建议应服从信息安全风险评估方法按照国信办颁发的《关于印发<信息安全风险评估指南>的通知》(国信办【2006】9号),需要对网内各类系统提供周期性的信息安全评估,对可能存在的系统设计缺陷、软硬件设备缺陷进行客观评价,另外,需要结合最新的安全形势进行专项分析研究,对大区内涉及到的管理人员进行定期培训,提升安全意识,熟悉安全工具,提升网络与信息系统的安全保障能力。
● 安全事件响应与处置
安全界最流行的一句谚语就是“就怕黑客惦记”,因此,针对管理信息大区的各类信息系统的安全事件响应与处置能力建设是绕不开的话题。遵循国际国内标准和规范,《中华人民共和国网络安全法》、公安部颁布的《信息安全等级保护管理办法》、ISO27000等信息安全管理体系国际标准及相关规定,软件开发服从CMM要求,VISAF的保障功能要素模型(FEM --- Function Element Model)等相关规范,安全事件响应与处置能力建设上会涉及到以下几个方面的内容,包括但不限于:
● 日志的取证与解析。当管理信息大区发生网络攻击时,通常会在各安全设备或系统上存有攻击入侵的相关痕迹,需要在这些日志中找出攻击者及攻击的行为特征等相关信息。
● 安全威胁分析场景建模与有效性验证。通过多层级的事件关联、威胁情报关联和统计分析等手段,建立安全威胁检测分析模型。并通过模拟黑客攻击入侵的方式,验证各个环境的安全日志的提取、分析过程是否准确;检验安全威胁分析场景模型是否有效。
● 对攻击行为的真实性进行判断。从态势感知平台上获取最新的威胁情报和漏洞情报信息,在日志分析过程中引入威胁情报和漏洞情报数据,确定攻击行为的真实可靠性。
● 重大活动保障及安全事件应急响应。如重大活动安全保障期间,帮助用户值守,解决最新爆发的黑客入侵、僵木蠕毒爆发、异常行为诊断等安全问题。
网欣科技”专注于安全运维服务,特别是高级安全事件分析服务,拥有安全行业顶级专家上百位,从业十年以上的安全专家、渗透黑客、数据分析师、安全分析师、产品专家更是数千人,获得专项领域专利多达数百项,因此,对于电力行业管理信息大区的安全防护上提供源源不断的人才保障。
方案总结
正值各类高危安全事件频繁发生的今天,本方案充分结合电力信息系统的业务需求,以管理信息大区的实际安全防护出发,从安全建设的基础安全能力构建、态势感知能力建设、安全服务能力建设三个方面入手,用户侧的安全闭环工作必将妥善得到解决,大区的网络安全防护能力必将得到规范、有序、稳步推进。