当前,互联网除了提供公众服务外,还承载了大量的政务信息、金融数据和企业生产系统,电力、能源、交通等重要行业通过互联网实现了企业信息化,而这些行业的基础信息系统几乎全部运行在电信基础信息网络上,这些系统的稳定运行依赖于运营商网络的整体安全。这些重要信息系统一旦受到恶意攻击而瘫痪,后果不堪设想。作为信息系统的重要安全保障手段的应急响应服务,却缺乏系统规范的应急响应服务支撑体系和支撑平台来提供重要信息系统的安全应急响应保障服务。
当前专门针对互联网网络安全监控的工具和应急响应服务已经有科研院所、安全厂商在提供服务,但无法达到可持续运营和管理、为重要应用系统监控服务的层次。这些安全服务企业尚不具备服务全国的能力,同时理论和技术还不够成熟,自主开发的应急响应支撑工具相对匮乏,安全事件的预警机制尚不完善。
电信运营商通过自身建立的安全管理中心SOC,已经能够提供很多基于互联网的监控数据,并且能够提供安全监控、抗DDOS攻击流量清洗等服务。但缺乏专业化的分析工具将这些分散的数据系统性地联系起来,使之不能成为安全保障的依据,同时也缺乏高水平的信息系统应急响应体系流程相配合,无法提供覆盖全国的应急响应服务。
建立一整套覆盖全国的安全应急响应服务体系来保障重要信息系统基于互联网的应用,已经成为一项基本国策。本文中正是基于国家重要信息系统对安全应急响应服务保障的现状和实际需求,引入软件即服务的概念,提出了以电信运营商为核心的应急响应平台和体系构想。
应急响应系统模型
以电信运营商为核心的应急响应平台构想旨在建设一个全网流量监控分析系统、异常流量清洗系统、安全管理平台为一体的安全事件应急响应服务平台,在此基础上结合当前“软件即服务、平台即服务”(简称SaaS/Paas)的IT服务新思想,建立新型的全网安全应急响应服务模式,将领先的软件技术及强大的技术支持覆盖能力用于安全应急响应服务中,为重要信息系统提供全面的安全应急响应服务。
安全应急响应服务依托于安全监控与应急响应平台,平台作为一种集中安全管理统一应急协调的形式,它包含集中安全设备管理、安全事件收集、事件分析、状态监视、分析报表等重要技术组件。安全应急响应服务平台主要包括以下单元模块。
网络管理中心NMC(NetworkManagementCenter),主要承担电信运营商基础网络资源、长途网络综合资源、网络安全资源等网络资源管理功能,提供标准的SNMP网管接口,以实现更多设备的资源的功能扩展。
安全运营中心SOC(SecurityOperationCenter) ,它通过对安全设备、网络设备、系统设备和应用业务的安全事件收集进行整合和智能分析,发现安全隐患及问题。其中安全监控平台由流量监控和清洗中心、安全监控中心组成。
应用支撑中心ASC(ApplicationSupportCenter),提供安全应用功能支持。
客户关系管理CRM(CustomerRelationshipManagement),通过全国统一的客服受理中心,将安全应急响应业务的客户纳入统一用户管理平台,实现全网全程标准统一的客户关系管理。
应急响应中心ERC(EmergencyResponseCenter),依托电信运营商客服中心,实现应急响应受理、流程控制和质量控制功能。
应急预案中心EPC(EmergencyPreparednessCenter),通过电信运营商解决方案</a>中心,融合灾备、保障,实现全网的应急预案中心功能。
风险预警中心RWC(RiskWarningCenter),通过电信运营商网络运行维护部以及流量监控系统,实现全网安全风险预警。
解决方案中心与知识库S&KC(SolutionCenterandKnowledge Base),通过运营商多年来网络安全运行维护经验以及专业的合作伙伴的技术积累,实现了对用户开放的解决方案中心与知识库。
安全监控与应急响应平台依托电信运营商信息基础设施,利用现有的通信保障系统、安全管理中心、流量监控和清洗中心等安全功能组件,构建安全监控和应急响应处理中心,形成应急响应服务的技术支撑平台。基于此平台,利用电信运营商覆盖全国的三级技术支撑体系、丰富的应急保障经验,建立能够覆盖全国的应急响应保障体系。
应急响应服务体系
在应急响应服务体系建设方面,主要基于电信运营商现有的三级安全服务体系基础上和多年来提供安全服务积累的丰富经验,引入国内外先进的ITEL流程管理理念,以及在安全运维、应急响应标准化流程方面先进的方法论,建立一套适合于核心系统的覆盖全国的安全应急响应规范和标准。
安全监控与应急响应服务能力建设,主要完成服务过程标准化、服务能力规模化、服务水平专业化,通过以下方面对现有信息安全态势分析、安全监控、跟踪、定位和预警等应急响应服务能力进行提升。
1.安全监控服务能力建设
以提供高质量的安全监控专业化服务为目标,通过自主研发的安全监控工具集,涵盖获取网络信息、分析网络信息、诊断网络行为,建立针对不同类别的客户安全监控服务体系等多种关键功能。对已经建立了安全管理中心的客户,提供安全运维流程、安全管理制度和配套技术手段,并为客户提供本地监控及代理维护服务。
2.风险评估服务能力建设
以提供高质量的主动推送服务为目标,通过系统的资产普查、威胁评估、脆弱性评估、业务流分析、影响评估、综合风险分析、安全控制措施强度评估等,最终为客户输出详细的权威评估报告。安全风险评估提供公正客观的当前信息安全状况,并根据专家经验指出应该尽快解决的主要问题。
安全风险管理信息库融合了专业安全公司为开展安全评估服务而开发的风险管理软件,拓展了资产属性管理、漏洞管理、威胁管理、文档管理、知识库管理、补丁管理等功能。
3.安全加固服务能力建设
体系中的安全专家库利用丰富的专业经验可以对客户提供网络结构优化、操作系统加固以及主要业务应用软件加固服务,提高客户信息系统的健壮性,抵御外部的各种安全风险以及恶意攻击,实现客户信息系统长期安全、稳定运行的最终目标。
4.安全事件预警服务能力建设
提供安全态势分析与安全事件预警专业化服务,涵盖了获取网络信息、分析网络信息、诊断网络行为,建立针对不同类别的安全事件进行分级预警的应急响应体系等多种关键功能。为不同的安全事件建立不同的安全等级和不同的服务SLA,针对安全事件的不同等级分级别实施安全事件预警,并提供给用户应对安全事件的建议,作为辅助决策的材料。
5.应急处理预案能力:
以提供主动预警、提高响应水平的服务为目标,遵循《信息安全事件应急处理要求》等国内外标准,结合最终用户网络实际情况,提供用户量身定做信息安全事件应急处理预案,建立应急预案库。
6.服务专业队伍建设
以建立一支专业化的高素质服务队伍、提高响应服务水平为目标,队伍有精干的组织机构,规范的管理制度和严格的纪律条令。能根据用户需求熟练完成服务的定制及应急配置,能解决实际中出现的复杂安全技术问题,确保应急响应安全服务持续发展和市场的竞争力。
7.服务标准化能力建设
以建立标准化的应急响应服务为目标,建立符合国家与行业等系列标准的服务体系建设,主要包括服务组织体系、管理体系和业务体系建设。
8.自服务能力建设
以提高半定制、差异化、自服务能力为目标,具有安全的远程登录和数据查询能力,应急响应服务人员在客户现场通过互联网登录远程监控平台进行数据查询,通过历史数据分析安全事件的原因,对应急响应服务的高效准确提供了真实数据依据作保障(如图2所示)。提供安全服务定制,支持自助的定义、查询安全服务,保证数据的安全性。
应急响应体系对安全产业的影响
从图3中看出,体系中电信运营商成为了整个信息安全服务产业链的核心和关键环节,运营商成为了用户与安全应用提供商之间紧密连接的桥梁,将能够促进更多安全应用的产业化。而且电信运营商雄厚的资本实力及广泛的客户资源为更多安全应用提供了一个广阔的空间,使更多的中小安全厂商进入安全市场,消除市场风险。从而促进了安全技术的发展及融合,提高了国家安全领域自主知识产权的水平。
作为安全应急响应服务产业链下游的行业用户,将能够体验到更多内容的安全服务。网络安全公司、设备提供商、系统集成商、软件开发商是安全应急响应服务产业链的上游,负责提供产品和相关支撑服务。目前,这些公司产品和服务的发展已经比较成熟,提供的产品多样化,技术力量也比较雄厚,可以提供更多更好的安全服务,也促进了整个产业安全服务水平提高。
此外,建立国家级的安全监控平台和应急响应服务体系为监管部门政策的落地及决策执行提供了一个重要的保障和依据。体系的建立可以有效地支持国家信息安全产业在安全检测与监控产品方面的持续性研发,提升在安全专业化服务领域的竞争力,有效推动我国专业化安全服务基础设施的建设,理顺国内信息安全服务产业链,对国内信息安全服务产业的可持续发展产生积极的促进和推动作用。
