徐文君

（上海市水旱災(zāi)害防御技術(shù)中心 上海市 200050）

2019年，水利部發(fā)布《水利網(wǎng)信水平提升三年行動方案》，重點抓等級保護的落地和攻防演練。經(jīng)過三年建設(shè)，省級水利工程等級保護完成率達到100%，攻防演練達到90%。通過等級保護，可使得一個組織迅速建立起管理安全和技術(shù)安全兼顧的安全防護體系，并可接受權(quán)威網(wǎng)信部門的定期檢查監(jiān)督，是當(dāng)前電子政務(wù)和工業(yè)生產(chǎn)領(lǐng)域網(wǎng)絡(luò)安全的主要推進方式。但是，基于等級保護的安全建設(shè)，主要面向合規(guī)。其建設(shè)過程多為專業(yè)安全集成公司根據(jù)等級保護標(biāo)準(zhǔn)要求，進行設(shè)計，其合規(guī)性接受等保測評機構(gòu)檢驗。在這個過程中，有可能存在業(yè)主單位參與較少，發(fā)生為了合規(guī)而合規(guī)的情況。

作為業(yè)主單位，其網(wǎng)絡(luò)安全應(yīng)建立在主流技術(shù)和成熟產(chǎn)品之上，應(yīng)將等保標(biāo)準(zhǔn)作為方案參考，重點考察自身安全監(jiān)控能力和業(yè)務(wù)保障需要來建設(shè)。特別是安全產(chǎn)品集成，要將信息安全產(chǎn)品根據(jù)自身的安全監(jiān)控能力來編排設(shè)計。因此，在這種場景中，網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品，作為一個安全中心，可協(xié)調(diào)全部安全產(chǎn)品，進行安全分析和安全展示，其對于業(yè)主單位的作用就顯得尤為重要。但是態(tài)勢感知產(chǎn)品，其研發(fā)重點在于態(tài)勢要素收集、態(tài)勢理解和態(tài)勢預(yù)測上，并未充分考慮如何與業(yè)主單位的網(wǎng)絡(luò)安全保障工作相結(jié)合。因此，往往在實踐過程中，未能融入業(yè)主單位的安全保障理念，僅在領(lǐng)導(dǎo)參觀時對外展示，從而淪為一個擺設(shè)。

從安全保障來看，業(yè)主單位的整個網(wǎng)絡(luò)安全運維，應(yīng)面向應(yīng)急響應(yīng)體系開展。系統(tǒng)發(fā)現(xiàn)故障或網(wǎng)絡(luò)安全產(chǎn)品發(fā)現(xiàn)問題后，在態(tài)勢感知中，立即呈現(xiàn)出事件等級。這樣，業(yè)主單位才能選擇響應(yīng)的預(yù)案進一步采取措施。同時網(wǎng)絡(luò)安全應(yīng)急響應(yīng)也應(yīng)與生產(chǎn)應(yīng)急響應(yīng)體系融合，使之成為業(yè)務(wù)人員能力理解的指標(biāo)和征兆，從而使得整個網(wǎng)絡(luò)安全工作成為生產(chǎn)保障的一部分。

1 面向業(yè)務(wù)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系

應(yīng)急響應(yīng)體系的建設(shè)，應(yīng)該參考《信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計劃規(guī)范》（GB/T 24363-2009）。整個預(yù)案編制過程，基于風(fēng)險評估的剩余風(fēng)險清單，進行結(jié)合風(fēng)險對業(yè)務(wù)的影響，對事件進行分類分級，從而形成針對不同等級的應(yīng)急預(yù)案。在具體工作中，我們發(fā)現(xiàn)應(yīng)急預(yù)案的編制人員多為信息化部門或信息安全供應(yīng)商，其對風(fēng)險的認知過于技術(shù)，從而導(dǎo)致預(yù)案的預(yù)警部分往往僅能在信息部門中進行適用。然而信息系統(tǒng)是服務(wù)于整個組織工作的系統(tǒng)，其用戶不僅僅是信息系統(tǒng)的運維人員，同時也應(yīng)該包括信息系統(tǒng)的使用人員?；谶@個情況，我們建立了運維監(jiān)測和業(yè)務(wù)監(jiān)測兩個預(yù)警體系，如圖1所示。

圖1：應(yīng)急響應(yīng)監(jiān)測體系圖

《GB/T 24363-2009》中，對網(wǎng)絡(luò)安全事件分級是四個級別，主要是考察事件的影響范圍。以往的應(yīng)急預(yù)案中以受損金額為判斷依據(jù)，對事件進行定級。而標(biāo)準(zhǔn)對網(wǎng)絡(luò)安全事件的分類是根據(jù)網(wǎng)絡(luò)安全攻擊類型來編制的，比如分為攻擊事件、故障事件、災(zāi)害事件等。實際工作中，我們發(fā)現(xiàn)這種分類分級在網(wǎng)絡(luò)安全事件發(fā)生時較難直觀得出結(jié)論。因此我們做了調(diào)整。事件分級由兩個維度來判斷：

第一個維度根據(jù)受影響的終端數(shù)量來判斷，這樣可以直接由信息化運維團隊在一段時間內(nèi)接到的保修數(shù)量直接完成定級，同時保留特大級為上級領(lǐng)導(dǎo)責(zé)成調(diào)查；

第二個維度是事件恢復(fù)時間，應(yīng)急響應(yīng)時，最可靠的處置方式是備機恢復(fù)。因此可對信息化設(shè)備和系統(tǒng)的備機情況折算成恢復(fù)時間。比如有熱備系統(tǒng)，則可認為1小時內(nèi)；有冷備系統(tǒng)，可認為1小時內(nèi)恢復(fù)到臨時環(huán)境；需要重裝操作系統(tǒng)，可認為4小時內(nèi)恢復(fù)；需要臨時調(diào)動備品備件則可認為4小時以上。

因此，我們重新調(diào)整了應(yīng)急事件的判斷標(biāo)準(zhǔn)，不以具體的安全事件為判斷依據(jù)，而以對信息系統(tǒng)的影響作為判斷依據(jù)，形成事件的分級，其分級結(jié)果如表1。

表1：網(wǎng)絡(luò)安全事件分類分級表

至于事件的分類，則放到應(yīng)急事件后期的取證分析環(huán)節(jié)，在充分調(diào)研了事件的前因后果后，再作出結(jié)論。

除以業(yè)務(wù)恢復(fù)工作為主的緊急處置以外的網(wǎng)絡(luò)安全的取證分析和加固強化，因耗時較多，情況復(fù)雜，其工作環(huán)節(jié)和具體開展時間，不宜在緊急處置過程中開展，本文不予以討論。

以重大事件為例（其預(yù)案涵蓋了所有措施要素），我們將處置內(nèi)容分為技術(shù)處置、業(yè)務(wù)處置和對外信息發(fā)布處置三個部分進行。其流程如圖2。

圖2：應(yīng)急響應(yīng)預(yù)案流程

2 應(yīng)急響應(yīng)對態(tài)勢感知系統(tǒng)的要求

2.1 產(chǎn)品部署

一個組織的網(wǎng)絡(luò)安全能力，其從根本上講，是對業(yè)務(wù)能力的保障。雖然每個組織業(yè)務(wù)不同，有的需要保障業(yè)務(wù)生產(chǎn)能力，有的需要保障持續(xù)收益能力，這是組織網(wǎng)絡(luò)安全的根本戰(zhàn)略。針對不同的戰(zhàn)略，組織對信息有保密性、可用性、可控性、完整性和不可抵賴性的安全需求。在水務(wù)行業(yè)，其可用性和可控性方面需求更甚。因此我們將網(wǎng)絡(luò)安全戰(zhàn)略定位為業(yè)務(wù)系統(tǒng)連續(xù)工作的保障?；谶@個戰(zhàn)略，網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)就是面向計算能力的保障。從業(yè)務(wù)視角來看，信息系統(tǒng)沒有足夠的算力執(zhí)行系統(tǒng)的既定計算功能，具體表現(xiàn)為系統(tǒng)卡頓，直至死機，就應(yīng)該認為受到了網(wǎng)絡(luò)攻擊。此外，類似切入網(wǎng)絡(luò)后發(fā)送惡意工藝指令的中間人攻擊、數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件，其對信息系統(tǒng)本身影響不大，對業(yè)務(wù)工作目標(biāo)或組織的商業(yè)目標(biāo)影響巨大。在實際工作中，此類問題的發(fā)現(xiàn)往往不是由信息系統(tǒng)和信息安全產(chǎn)品，因此此類網(wǎng)絡(luò)安全事件，較難直接觸發(fā)應(yīng)急響應(yīng)預(yù)案，本文不予以討論。

基于上述分析，我們的態(tài)勢感知要素分兩個層面

（1）業(yè)務(wù)監(jiān)測：監(jiān)測信息系統(tǒng)各計算節(jié)點和信息傳輸節(jié)點的性能保障。

（2）運維監(jiān)測：監(jiān)測必要業(yè)務(wù)運行以外的行為，針對這些行為進行更為早期的預(yù)警。

因此，在水務(wù)行業(yè)，態(tài)勢感知的體系部署如圖3所示。

圖3：水務(wù)行業(yè)態(tài)勢感知系統(tǒng)及其配套產(chǎn)品部署

態(tài)勢感知及其探針的主要有三大類，第一類是日志探針，用于收集操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的日志和安全產(chǎn)品的告警事件；第二類是流量探針，即對網(wǎng)絡(luò)流量進行旁路解析和探測，以發(fā)現(xiàn)惡意用網(wǎng)行為（比如病毒傳播、僵尸木馬控制、訪問非法網(wǎng)站等）；第三類是導(dǎo)入類探針，比如漏洞掃描報告的導(dǎo)入。這三類探針應(yīng)盡可能覆蓋信息系統(tǒng)的全部設(shè)備，以形成態(tài)勢感知的態(tài)勢信息全面采集。在水務(wù)行業(yè)中，工業(yè)控制系統(tǒng)、辦公系統(tǒng)和互聯(lián)網(wǎng)應(yīng)用平臺并存，在部署探針時，要注意防火墻的穿透和物理隔離網(wǎng)絡(luò)的數(shù)據(jù)擺渡，才能實現(xiàn)信息的全面采集。

2.2 擴展開發(fā)

通用態(tài)勢感知平臺著重于態(tài)勢信息的展示，其風(fēng)險大屏在領(lǐng)導(dǎo)參觀時能夠全面展示信息系統(tǒng)運行和網(wǎng)絡(luò)安全狀況的概覽。但是在實際的安全運維工作中，工作人員不可能實時監(jiān)測大屏以發(fā)現(xiàn)問題。安全運維和應(yīng)急響應(yīng)是需要通過告警事件立即掌握問題風(fēng)險范圍和同類問題存在的可能性，并得到處置知識庫的直接支持。

基于以上考慮，我們對通用態(tài)勢感知平臺進行了如下擴展開發(fā)：

（1）網(wǎng)絡(luò)連通性：在拓撲圖基礎(chǔ)上，我們引入了交換機接線信息的錄入，使得系統(tǒng)可以計算每個計算節(jié)點到其他節(jié)點的訪問路徑。

（2）設(shè)備信息擴展：對設(shè)備信息的記錄，我們擴展了漏掃報告提供的相關(guān)信息，每臺硬件設(shè)備需要記錄操作系統(tǒng)、安裝的軟件，以及相關(guān)模塊，由此使得漏掃信息導(dǎo)入后，可直接展示在拓撲圖上和接線圖上，并可根據(jù)拓撲計算和網(wǎng)絡(luò)連同性計算，計算出漏洞路徑和關(guān)鍵漏洞設(shè)備。

（3）備件信息庫：在態(tài)勢感知各類探針發(fā)現(xiàn)設(shè)備的基礎(chǔ)上，我們建立了備件信息庫，登記了探針不能發(fā)現(xiàn)的熱備系統(tǒng)、冷備系統(tǒng)、備用磁盤、備用移動介質(zhì)、備用手機等信息，可在主件設(shè)備變更后，顯示備件的有效性，還可記錄演練過程中備件的有效性。

（4）風(fēng)險警示：我們建立了事件分類分級機制，并將之與設(shè)備進行了關(guān)聯(lián)。參考拓撲圖和網(wǎng)絡(luò)連通性的計算，任意一點設(shè)備發(fā)生問題，可直接顯示其潛在風(fēng)險，并根據(jù)影響設(shè)備數(shù)量和備件情況，直接對告警事件進行面向應(yīng)急響應(yīng)的分類分級展示。

（5）應(yīng)急響應(yīng)工作流及知識庫：在風(fēng)險警示后，運維人員可根據(jù)事件分級，決定該風(fēng)險是日常運維事件還是應(yīng)急響應(yīng)事件，從而發(fā)起應(yīng)急響應(yīng)工作流。該工作流根據(jù)事件最終的分類分級，進入不同的響應(yīng)流程，并可在知識庫提示運維人員如何開展工作，聯(lián)系相關(guān)人員。

通過上述擴展功能的開發(fā)，我們基本可以形成一個面向應(yīng)急響應(yīng)的功能體系，運維人員僅需根據(jù)告警事件提示，就可結(jié)合預(yù)案和以往處置的知識庫開展工作。

2.3 工作體系

態(tài)勢感知產(chǎn)品部署后，在工作體系層面，需要建立以下工作機制：

（1）軟硬件設(shè)備的責(zé)任體系：態(tài)勢感知通過日志采集系統(tǒng)和網(wǎng)絡(luò)安全產(chǎn)品的資產(chǎn)掃描能力，可匯總形成信息化資產(chǎn)清單，網(wǎng)絡(luò)安全工作人員，就需要對這份清單進行梳理，并將管理使用責(zé)任落實到人。

（2）值守工作體系：態(tài)勢感知系統(tǒng)部署后，作為全系統(tǒng)的安全中樞，需要對態(tài)勢感知系統(tǒng)進行值守，特別是對性能閾值被突破的時候，需要毫不猶豫的立即按照應(yīng)急預(yù)案，成立指揮部，開展處置工作。

（3）日周月報工作體系：除了值守工作需要形成日報，每周需要對安全產(chǎn)品的預(yù)警事件，安排工作計劃，進行問題確認、風(fēng)險消除或不合理策略調(diào)整。每月要根據(jù)當(dāng)前的政治、安全環(huán)境，安排重點工作。比如2月的兩會保障、7~8月間的護網(wǎng)保障等。

（4）與業(yè)務(wù)系統(tǒng)的應(yīng)急處置融合：這部分工作，應(yīng)從風(fēng)險評估開始，將網(wǎng)絡(luò)安全問題導(dǎo)致的故障或事故，與組織生產(chǎn)經(jīng)營故障相結(jié)合；反過來以組織的生產(chǎn)經(jīng)營損失來量化網(wǎng)絡(luò)安全后果。同時以已有的組織生產(chǎn)經(jīng)營應(yīng)急響應(yīng)預(yù)案來統(tǒng)合網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案。通過這樣的融合過程，可進一步統(tǒng)一全組織對網(wǎng)絡(luò)安全問題的認識。

（5）對外合作：由于建立了完善的日志體系和備機體系，在網(wǎng)絡(luò)安全事件發(fā)生時，可以近乎完整地保留攻擊期間的所有證據(jù)。在特大網(wǎng)絡(luò)安全事件下，應(yīng)積極配合組織內(nèi)外部的專家、上級主管部門和網(wǎng)信部門，進行分析取證，為進一步舉證網(wǎng)絡(luò)安全攻擊者提供相關(guān)信息。

通過網(wǎng)絡(luò)安全工作體系的建立，可使得網(wǎng)絡(luò)安全的保障工作，貼近組織的生產(chǎn)經(jīng)營活動，得到組織內(nèi)所有信息系統(tǒng)使用者的認同，從而使得態(tài)勢感知系統(tǒng)成為網(wǎng)絡(luò)安全工作中必不可少的工具之一。

2.4 應(yīng)用效果

本文所述工作方法，是嚴(yán)格遵循《信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計劃規(guī)范》（GB/T 26343-2009）的規(guī)定，具體應(yīng)用效果如下：

（1）風(fēng)險評估：態(tài)勢感知自身具備了拓撲圖和接線圖的網(wǎng)絡(luò)連通性計算能力，結(jié)合漏掃報告，可直接展示風(fēng)險點和同類問題設(shè)備，為補丁工作提供了概覽和工作清單。

（2）業(yè)務(wù)影響分析：結(jié)合連通性計算，可提供每個設(shè)備或一組設(shè)備發(fā)生問題后業(yè)務(wù)影響的分析報告，從而使得用戶可直接根據(jù)影響設(shè)備數(shù)量和備機恢復(fù)整理，了解業(yè)務(wù)影響情況。

（3）預(yù)警和預(yù)防：態(tài)勢感知是網(wǎng)絡(luò)安全產(chǎn)品的集中展示系統(tǒng)，各類面向黑名單的惡意行為和面向白名單的非可信行為，都可直接在態(tài)勢感知上實現(xiàn)預(yù)警，根據(jù)網(wǎng)絡(luò)連通性進行訪問控制策略的加固，從而實現(xiàn)預(yù)防。

（4）應(yīng)急響應(yīng)流程：通過我們的擴展開發(fā)，將應(yīng)急響應(yīng)的事件分類分級和各類事件的響應(yīng)均建成了工作流，使得運維人員可根據(jù)工作流開展應(yīng)急處置工作。

（5）應(yīng)急響應(yīng)措施的保障：我們擴展了備件信息庫，從而大大提升了應(yīng)急物資的信息化管理，使得在系統(tǒng)變化時可以同步提示備件的驗證和更新，并可在演練中檢驗和記錄備件有效性，從而強化了應(yīng)急物資的保障。

總體來講，本方法是針對應(yīng)急響應(yīng)，來應(yīng)用和強化態(tài)勢感知系統(tǒng)，使之能夠讓用戶遵循國家標(biāo)準(zhǔn)，開展應(yīng)急響應(yīng)的預(yù)案信息化和處置規(guī)范化工作。

3 不足與展望

本文所述工作方法，對水務(wù)行業(yè)以外的工業(yè)類關(guān)鍵信息基礎(chǔ)設(shè)施有一定的借鑒意義，受限于本文作者工作經(jīng)驗和能力水平，還不足以形成全行業(yè)通用的解決方案或最佳實踐。后續(xù)工作需要繼續(xù)研究信息系中的設(shè)備失效與信息系統(tǒng)工作目標(biāo)失效的對應(yīng)關(guān)系和推算算法，使得態(tài)勢感知能夠直接根據(jù)預(yù)告警事件給出具體的生產(chǎn)經(jīng)營風(fēng)險，從而使得整個體系更為量化，并成為系統(tǒng)的功能之一。

本文源于上海市水務(wù)局網(wǎng)信辦多年來對上海市水務(wù)行業(yè)網(wǎng)絡(luò)安全檢查、相關(guān)企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案編制和演練工作和標(biāo)準(zhǔn)《水務(wù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分級分類指南》的工作經(jīng)驗，以及與大量信息安全廠商調(diào)研訪談，總結(jié)而來，并在某水務(wù)集團內(nèi)部進行了工程驗證。對于水務(wù)行業(yè)，業(yè)務(wù)相對成熟穩(wěn)定，其自身的應(yīng)急響應(yīng)預(yù)案體系完善，但是在網(wǎng)絡(luò)安全方面，受限于發(fā)展時間短，人力資源有限，其應(yīng)急響應(yīng)體系建設(shè)不足，使得網(wǎng)絡(luò)安全工作，尚不能與單位的生產(chǎn)經(jīng)營活動緊密結(jié)合，成為生產(chǎn)經(jīng)營保障支撐的重要力量之一。通過本文，可使得行業(yè)內(nèi)的信息安全工作人員，以態(tài)勢感知系統(tǒng)為抓手，統(tǒng)合全單位信息化建設(shè)和網(wǎng)絡(luò)安全建設(shè)成果，構(gòu)建起網(wǎng)絡(luò)安全工作體系，并使之與已經(jīng)相對成熟的生產(chǎn)經(jīng)營應(yīng)急響應(yīng)體系相融合，真正做到單位的網(wǎng)絡(luò)安全保障能力大幅度提升。