張建權(quán) 李杰 貴州省銅仁市公安局

引言

當(dāng)前網(wǎng)絡(luò)與信息安全已成為關(guān)系國家經(jīng)濟(jì)、政治、國防、文化等領(lǐng)域的重大問題，世界各主要國家相繼制定和大幅調(diào)整了網(wǎng)絡(luò)安全戰(zhàn)略，設(shè)立了專門的機(jī)構(gòu)，加大了人員和資金的投入，維護(hù)其網(wǎng)絡(luò)空間的利益。在過去很長一段時間里，安全人員將注意力過多的集中在檢測和防御上，往往忽略了最基礎(chǔ)的安全工作，絕大多數(shù)安全事件并非采用了多么高明的攻擊手法，弱口令、老舊漏洞利用等才是導(dǎo)致勒索病毒肆意傳播的首要原因。

隨著公共安全視頻聯(lián)網(wǎng)工程的不斷落地，公安視頻傳輸網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大，業(yè)務(wù)應(yīng)用日益復(fù)雜，系統(tǒng)安全問題也變得日趨復(fù)雜和嚴(yán)峻。盡管各地公安在公共安全視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)應(yīng)用等系統(tǒng)安全防護(hù)建設(shè)上進(jìn)行了大量的投入和諸多嘗試，受限于安全人員不足、技術(shù)能力有限、管理體系流程缺失等因素，其基礎(chǔ)安全工作在開展過程中仍然困難重重，主要存在以下問題：

（一）網(wǎng)絡(luò)資產(chǎn)“查不清”

梳理在案已知的資產(chǎn)容易，一旦要全面摸清家底，把資產(chǎn)找“全”則無從下手。如何找全網(wǎng)現(xiàn)有多少IP在用、多少資產(chǎn)暴露在互聯(lián)網(wǎng)、大量灰色資產(chǎn)未記錄在案等是大部分企業(yè)與機(jī)構(gòu)亟需解決的問題。

（二）缺少安全領(lǐng)域人才供需培養(yǎng)體系

基礎(chǔ)安全總體上偏薄弱，人才需求量大，但安全市場上，架構(gòu)與運(yùn)維人員數(shù)量明顯不足，人才市場偏好培養(yǎng)“成本高、需求小”的攻防型高階安全人才。

（三）系統(tǒng)建設(shè)中忽視架構(gòu)安全能力的建設(shè)

在系統(tǒng)安全防護(hù)建設(shè)中未建設(shè)完善架構(gòu)安全與被動防御能力，先建設(shè)積極防御與威脅情報能力的現(xiàn)象普遍存在，本末倒置的建設(shè)路徑導(dǎo)致積極防御與威脅情報的效果無法充分展現(xiàn)。

（四）“重產(chǎn)品、輕服務(wù)”的現(xiàn)象普遍存在

系統(tǒng)安全防護(hù)運(yùn)營方案基本以產(chǎn)品型方案為主，即通過產(chǎn)品覆蓋資產(chǎn)或漏洞功能的路線，未能與專業(yè)服務(wù)團(tuán)隊(duì)形成合力，產(chǎn)品能力與服務(wù)能力存在較大脫節(jié)。

（五）安全制度不夠完善，不能有效整飭工作

安全制度缺失，管理流程設(shè)計不合理，執(zhí)行落地難，無法有效形成處置閉環(huán)。

（六）漏洞識別及管理能力不足

漏洞情報識別不準(zhǔn)確，漏洞管理能力匱乏，無法隨時對資產(chǎn)進(jìn)行漏洞普查，另由于缺乏最新且全面準(zhǔn)確的漏洞資訊，難以持續(xù)、及時地對最新的高危漏洞進(jìn)行監(jiān)控和防范。

綜上所述，建立立體閉環(huán)的系統(tǒng)安全防護(hù)與運(yùn)營體系能力尤為重要。

一、系統(tǒng)安全防護(hù)建設(shè)整體規(guī)劃

（一）系統(tǒng)安全防護(hù)建設(shè)遵從理念

系統(tǒng)安全防護(hù)建設(shè)遵從用安全思維規(guī)劃、構(gòu)建和維護(hù)系統(tǒng)。安全的系統(tǒng)設(shè)計是基礎(chǔ)，在此之上再開展其它方面的網(wǎng)絡(luò)安全建設(shè)。此外，根據(jù)組織的需求合理構(gòu)建架構(gòu)安全，可提升標(biāo)尺的其它階段效率，降低開銷。

構(gòu)建合理的安全基礎(chǔ)后，再構(gòu)筑被動防御。被動防御位于架構(gòu)安全的上層，為系統(tǒng)提供攻擊防護(hù)，因此被動防御是非常必要的。且被動防御同樣不需要頻繁的人工互動。

（二）系統(tǒng)安全防護(hù)與運(yùn)營建設(shè)目標(biāo)

系統(tǒng)安全防護(hù)基礎(chǔ)建設(shè)的核心目標(biāo)是建設(shè)數(shù)據(jù)驅(qū)動的系統(tǒng)安全運(yùn)行體系。通過系統(tǒng)安全工具，聚合IT資產(chǎn)、配置、漏洞、補(bǔ)丁等數(shù)據(jù)，通過對多方數(shù)據(jù)實(shí)現(xiàn)兩兩關(guān)聯(lián)分析，將系統(tǒng)安全防護(hù)從依靠自發(fā)自覺的模式提升到體系化支撐模式，實(shí)現(xiàn)及時、準(zhǔn)確、可持續(xù)的系統(tǒng)安全防護(hù)?？傮w確保系統(tǒng)安全風(fēng)險可控，保持良好的安全狀況，為實(shí)戰(zhàn)化安全運(yùn)營提供支撐，實(shí)現(xiàn)系統(tǒng)級安全運(yùn)行的閉環(huán)。

基于數(shù)據(jù)驅(qū)動的綜合能力，憑借相關(guān)系統(tǒng)安全管理平臺運(yùn)營工具，聚合資產(chǎn)、漏洞、補(bǔ)丁、配置等數(shù)據(jù)，通過“運(yùn)營服務(wù)+工具平臺”的模式，充分補(bǔ)足資產(chǎn)屬性，結(jié)合CVE等漏洞情報，分析碰撞得出各含漏洞資產(chǎn)的處置優(yōu)先級順序，并通過長期、持續(xù)的監(jiān)控與運(yùn)營服務(wù)，有效提升系統(tǒng)基礎(chǔ)安全防護(hù)及運(yùn)營能力。

二、系統(tǒng)安全防護(hù)建設(shè)的關(guān)鍵點(diǎn)分析

（一）構(gòu)建完善的測試環(huán)境

對警務(wù)系統(tǒng)相關(guān)設(shè)備、系統(tǒng)鏡像模版和業(yè)務(wù)環(huán)境中的安全配置項(xiàng)、漏洞驗(yàn)證措施、修復(fù)措施進(jìn)行測試驗(yàn)證，開展補(bǔ)丁測試、鏡像測試、配置項(xiàng)測試、重要業(yè)務(wù)應(yīng)用回歸測試，提高漏洞修復(fù)與配置變更的確定性。

（二）構(gòu)建資產(chǎn)安全管理體系

在各類警務(wù)系統(tǒng)建設(shè)中，面向IT服務(wù)的資產(chǎn)管理系統(tǒng)，通過網(wǎng)絡(luò)主動掃描、流量被動掃描、Agent、CMDB導(dǎo)入等方式，獲取終端、主機(jī)、中間件、數(shù)據(jù)庫等資產(chǎn)信息。對資產(chǎn)信息進(jìn)行統(tǒng)一標(biāo)準(zhǔn)化處理，形成資產(chǎn)管理數(shù)據(jù)庫，實(shí)現(xiàn)資產(chǎn)的全面覆蓋，發(fā)現(xiàn)未備案資產(chǎn)違規(guī)上線。

（三）構(gòu)建系統(tǒng)安全配置管理體系

建設(shè)配置策略管理系統(tǒng)，按需編寫和調(diào)整配置核查策略，基于策略對資產(chǎn)安全配置性進(jìn)行檢查，得出安全配置符合性檢查結(jié)果。采集資產(chǎn)生命周期配置信息，持續(xù)跟蹤資產(chǎn)配置變化，為配置脆弱性修復(fù)提供全面、準(zhǔn)確的數(shù)據(jù)基礎(chǔ)。

（四）構(gòu)建漏洞管理體系

通過漏洞掃描工具定期開展警務(wù)系統(tǒng)資產(chǎn)漏洞掃描，通過多方信息獲取漏洞情報數(shù)據(jù)，評估漏洞影響程度與漏洞修復(fù)優(yōu)先級。通過資產(chǎn)版本號匹配、漏洞特征掃描、系統(tǒng)配置項(xiàng)比對，搜索出與漏洞信息相匹配的資產(chǎn)，建立漏洞與資產(chǎn)的關(guān)聯(lián)關(guān)系，為漏洞修復(fù)方案提供全面、準(zhǔn)確的基礎(chǔ)。

（五）構(gòu)建漏洞緩解體系

建設(shè)補(bǔ)丁管理系統(tǒng)，對獲取、內(nèi)容驗(yàn)證、測試、補(bǔ)丁發(fā)布、推送、緩解評估進(jìn)行全周期管理。對當(dāng)前環(huán)境存在的配置不符合項(xiàng)與漏洞，設(shè)計修復(fù)方案，并在測試環(huán)境驗(yàn)證。

（六）建設(shè)系統(tǒng)安全運(yùn)行平臺

聚合資產(chǎn)、配置、漏洞、補(bǔ)丁等數(shù)據(jù)，持續(xù)監(jiān)控信息系統(tǒng)的資產(chǎn)狀態(tài)，進(jìn)行多維度數(shù)據(jù)碰撞分析、關(guān)聯(lián)分析。分析配置符合性、漏洞狀態(tài)等信息，判定風(fēng)險緩解優(yōu)先級等。通過資產(chǎn)信息與配置信息結(jié)合，分析出重要配置項(xiàng)的符合性結(jié)果、資產(chǎn)脆弱性以及重要補(bǔ)?。煌ㄟ^資產(chǎn)與補(bǔ)丁信息結(jié)合，分析出補(bǔ)丁視角的風(fēng)險暴露結(jié)果；通過將資產(chǎn)與漏洞數(shù)據(jù)結(jié)合，分析出漏洞視角的風(fēng)險暴露結(jié)果。

三、系統(tǒng)安全防護(hù)整體建設(shè)步驟

通過項(xiàng)目建設(shè)經(jīng)驗(yàn)，安全防護(hù)系統(tǒng)建設(shè)核心關(guān)鍵是資產(chǎn)、漏洞、補(bǔ)丁、配置四部分的工作，這四部分內(nèi)容信息越全面，處置效率越高，效果越好。通過現(xiàn)有建設(shè)落地和經(jīng)驗(yàn)總結(jié)，建設(shè)思路如下：

首先，應(yīng)該明確好系統(tǒng)要支撐的業(yè)務(wù)目標(biāo)，而這又因業(yè)務(wù)和行業(yè)而異。系統(tǒng)安全應(yīng)為這些目標(biāo)提供支撐。架構(gòu)安全階段的目的并非是防御攻擊者，而是滿足正常運(yùn)營環(huán)境和緊急運(yùn)營環(huán)境的需求，包括偶發(fā)的惡意軟件感染、誤配置系統(tǒng)帶來的網(wǎng)絡(luò)流量峰值以及系統(tǒng)僅僅因部署在同一網(wǎng)絡(luò)而互相導(dǎo)致中斷。在系統(tǒng)設(shè)計時考慮這些情況可以維持系統(tǒng)的保密性、可用性和完整性，從而為業(yè)務(wù)要求提供支撐，最大程度地減少攻擊者進(jìn)入系統(tǒng)的機(jī)會。

其次，從落地性建設(shè)考慮，應(yīng)該優(yōu)先進(jìn)行資產(chǎn)梳理工作，這是整個安全建設(shè)的根基。沒有良好的IT資產(chǎn)梳理，其它的安全均無從談起。因?yàn)橘Y產(chǎn)的復(fù)雜性，既包含技術(shù)方面，也存在于管理方面。與資產(chǎn)有關(guān)的屬性非常多，有的歸屬在安全處室，有的歸屬在業(yè)務(wù)部門，由此導(dǎo)致資產(chǎn)權(quán)責(zé)不清、對應(yīng)信息有誤等情況，甚至有可能出現(xiàn)黑資產(chǎn)。

第三，建設(shè)健全的資產(chǎn)管理平臺，補(bǔ)全資產(chǎn)的屬性信息，為資產(chǎn)與漏洞對應(yīng)、系統(tǒng)安全風(fēng)險分析、整改責(zé)任落實(shí)提供全面且準(zhǔn)確的數(shù)據(jù)基礎(chǔ)。構(gòu)建企業(yè)級安全配置管理體系，基于配置策略管理平臺進(jìn)行安全配置符合性檢查，為脆弱性修復(fù)提供全面、準(zhǔn)確的數(shù)據(jù)基礎(chǔ)，促進(jìn)系統(tǒng)基礎(chǔ)安全能力提升。

第四，建設(shè)系統(tǒng)安全運(yùn)行平臺，進(jìn)行資產(chǎn)、配置、漏洞、補(bǔ)丁等多維度數(shù)據(jù)碰撞，分析資產(chǎn)脆弱性、風(fēng)險暴露情況、配置項(xiàng)符合性、判定風(fēng)險緩解優(yōu)先級等。搭建測試環(huán)境，對各種設(shè)備、系統(tǒng)鏡像模版和業(yè)務(wù)環(huán)境中的安全配置項(xiàng)、漏洞驗(yàn)證措施、修復(fù)措施進(jìn)行測試驗(yàn)證，提高漏洞修復(fù)與配置變更的確定性。

第五，構(gòu)建企業(yè)級系統(tǒng)安全組織體系，持續(xù)監(jiān)控信息系統(tǒng)的資產(chǎn)狀態(tài)，分析配置符合性、漏洞狀態(tài)等信息，基于測試驗(yàn)證結(jié)果，判定風(fēng)險緩解措施優(yōu)先級，提供修復(fù)方案。在系統(tǒng)資產(chǎn)管理、配置管理、漏洞管理、補(bǔ)丁管理等方面形成協(xié)同有序的一體化運(yùn)轉(zhuǎn)機(jī)制，還可兼容第三方漏洞掃描工具。

四、系統(tǒng)安全運(yùn)營服務(wù)能力

在安全運(yùn)營過程中，安全基礎(chǔ)數(shù)據(jù)管理分散，關(guān)聯(lián)分析難度大，且運(yùn)營人員通過人工表格和腳本處理的方式分析安全問題準(zhǔn)確性和時效性較低。通過整合資產(chǎn)、漏洞、補(bǔ)丁、配置、運(yùn)維等五個方面要素信息提高系統(tǒng)安全運(yùn)營服務(wù)能力，具體如下：

（一）資產(chǎn)梳理方面

1. 主動資產(chǎn)探測

采用相關(guān)工具和平臺以主動探針將對所有在線設(shè)備進(jìn)行網(wǎng)絡(luò)掃描和深入識別，獲取終端的網(wǎng)絡(luò)地址、系統(tǒng)網(wǎng)絡(luò)指紋、系統(tǒng)開放端口和服務(wù)指紋，并根據(jù)積累和運(yùn)營的指紋庫裁定每個終端的類型、操作系統(tǒng)、廠商信息。

2. 被動資產(chǎn)運(yùn)營

采用相關(guān)工具和平臺配合主動探查手段，發(fā)現(xiàn)隱匿資產(chǎn)、孤島資產(chǎn)以及被黑客攻擊類型的資產(chǎn)，能夠設(shè)計干預(yù)方案，大大提升處置效率。

3. 制定資產(chǎn)清單

制定系統(tǒng)資產(chǎn)的清單，包括：設(shè)備、網(wǎng)段、域名和網(wǎng)站等。各類資產(chǎn)的詳細(xì)信息示例如：設(shè)備IP地址、設(shè)備類型、設(shè)備名、FQDN、操作系統(tǒng)、MAC地址、廠商與型號、設(shè)備開放的端口、服務(wù)信息等網(wǎng)段網(wǎng)關(guān)、掩碼、IP段等；域名、根域名、解析記錄等；網(wǎng)站名稱、URL、技術(shù)框架與版本等。

（二）漏洞管理方面

根據(jù)不同的生命周期狀態(tài)對漏洞的風(fēng)險值進(jìn)行修正，最大程度地接近漏洞在用戶真實(shí)環(huán)境中的風(fēng)險，并根據(jù)系統(tǒng)安全防護(hù)全生命周期建立系統(tǒng)漏洞臺賬，按照系統(tǒng)的受影響程度劃分為嚴(yán)重、高危、中危、低危、一般等。

（三）補(bǔ)丁運(yùn)營方面

在系統(tǒng)補(bǔ)丁運(yùn)營管理方面，可以基于系統(tǒng)補(bǔ)丁的通知創(chuàng)建工單，將設(shè)備添加到漏洞掃描，執(zhí)行終端安全代理操作，用于對資產(chǎn)、問題進(jìn)行歸一化處置，輔助以動作編排，對動作執(zhí)行成功、失敗進(jìn)行收尾處理，完成處置閉環(huán)。

（四）配置核查方面

進(jìn)行安全配置核查是安全管理的基本工作，同時也是安全運(yùn)維的重要技術(shù)手段。安全配置核查首先要建立滿足組織信息安全管理體系的安全配置要求基線。當(dāng)前，部分重要行業(yè)和監(jiān)管部門已經(jīng)針對行業(yè)的信息系統(tǒng)建立詳細(xì)的安全配置要求及規(guī)范，構(gòu)建針對不同系統(tǒng)的詳細(xì)檢查項(xiàng)清單和操作指導(dǎo)，為安全運(yùn)維人員的安全技術(shù)操作提供標(biāo)準(zhǔn)化框架和指導(dǎo)。

（五）安全運(yùn)維方面

基于認(rèn)證、授權(quán)、訪問、審計的管理流程設(shè)計理念，實(shí)現(xiàn)對企業(yè)和機(jī)構(gòu) IT 中心的網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備、主機(jī)系統(tǒng)、中間件等資源統(tǒng)一運(yùn)維管理和審計。通過集中化運(yùn)維管控、運(yùn)維過程實(shí)時監(jiān)管、運(yùn)維訪問合規(guī)性控制、運(yùn)維過程圖形化審計等功能，為 IT 中心運(yùn)維構(gòu)建事前預(yù)防、事中監(jiān)控、事后審計完善的安全管理體系。

五、系統(tǒng)安全運(yùn)營階段

第一階段，理清資產(chǎn)。通過制定計劃任務(wù)，定時匯聚資產(chǎn)安全狀況數(shù)據(jù)，形成動態(tài)資產(chǎn)清單；對資產(chǎn)數(shù)據(jù)進(jìn)行治理，依據(jù)大數(shù)據(jù)分析技術(shù)，發(fā)現(xiàn)資產(chǎn)問題，并協(xié)同IT團(tuán)隊(duì)對資產(chǎn)問題進(jìn)行持續(xù)運(yùn)營。

第二階段，修復(fù)漏洞。持續(xù)跟蹤多源漏洞情報，實(shí)現(xiàn)漏洞情報和補(bǔ)丁信息的本地運(yùn)營；結(jié)合動態(tài)資產(chǎn)清單和漏洞情報信息，判定業(yè)務(wù)脆弱性影響與緩解優(yōu)先級；開展補(bǔ)丁適用性和有效性驗(yàn)證，協(xié)同IT團(tuán)隊(duì)進(jìn)行補(bǔ)丁安裝，并跟蹤漏洞修復(fù)狀態(tài)。

第三階段，依據(jù)法律法規(guī)合規(guī)要求設(shè)計適用的安全配置方案并持續(xù)維護(hù)；對配置變更方案進(jìn)行有效性驗(yàn)證，協(xié)同IT團(tuán)隊(duì)進(jìn)行配置變更，并跟蹤配置變更狀態(tài)。

最后，持續(xù)監(jiān)控資產(chǎn)狀態(tài)，將無法安裝補(bǔ)丁、變更配置的資產(chǎn)納入例外清單，開展風(fēng)險管理，同時對處于脆弱性敞口期狀態(tài)的資產(chǎn)進(jìn)行態(tài)勢感知增強(qiáng)監(jiān)測。

六、結(jié)語

展望我國的十四五規(guī)劃，企業(yè)和組織的數(shù)字化轉(zhuǎn)型將進(jìn)入爆發(fā)期，網(wǎng)絡(luò)空間安全將面臨更加嚴(yán)峻的挑戰(zhàn)。在公安各類警務(wù)系統(tǒng)安全規(guī)劃和建設(shè)中要筑牢安全根基，構(gòu)建“持續(xù)對抗、面向?qū)崙?zhàn)”的安全防護(hù)能力，即建設(shè)一套持續(xù)監(jiān)測、持續(xù)改進(jìn)、持續(xù)優(yōu)化的機(jī)制，提供面向?qū)崙?zhàn)的安全運(yùn)營能力，護(hù)衛(wèi)國家網(wǎng)絡(luò)安全。