袁硕
中国国家博物馆 北京 100006
摘要:随着信息化技术的发展,博物馆信息化与网络安全建设已经有了一定基础,随着国家信息安全等级保护制度实施力度的不断加强,已经从博物馆信息安全的局部建设进入到了整体优化阶段。更多的关注博物馆全网的整体安全,强调从业务信息系统安全风险的角度,而非从单一安全威胁和防御机制的角度去更加主动地管理安全。
正文:
要做好博物馆安全管理工作,就需要一套相应的安全管理体系。在这个体系中除了组织保障和流程保障,很重要的一点就是技术保障。态势感知技术平台就是一套配合博物馆建设安全管理体系的技术支撑平台。
一.态势感知技术
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
近年来网络安全领域快速发展变化,随着博物馆的信息化业务系统日益复杂且功能强大,面向业务和用户数据的攻击行为也在迅猛增加,并且向着技术更专业、有组织、隐藏度高、分散分步实施等特点发展。在这个背景下,虽然博物馆不断的投入资金进行信息安全防护,增加了防火墙、IDS、防病毒、终端防护等各类设备系统,但还是不能掌握全网安全状况,在与黑客的攻防斗争总往往落于下风。这里的一个重要因素就是组织没有有效的整合串联所有的安全监控资源以及安全数据信息,没能把这些数据有机的利用起来,形成全网统一监测、集中分析、集中呈现的态势感知机制。
网络安全态势感知强调对博物馆信息化总体安全局势的把控,即了解攻击方对我方的威胁态势,也识别我方是否有效抵御攻击以及防护目标的实际风险程度。态势感知能力建设的益处显而易见,但其建设过程不是一朝一夕可以完成的,它需要组织单位一定安全建设的积累,需要在网络安全的各个环节有相应的防护或监测机制,并且最重要的是需要建设一个专业的并可兼容各类安全监控数据的态势感知系统平台,实现安全信息的集中采集、集中处置分析以及态势感知的呈现。该系统平台可帮助用户进行全网安全要素信息的集中获取、海量安全数据集中存储,并在此基础上面向防护对象进行态势感知分析和呈现,力求为用户实现全方位态势感知能力,为信息安全的持续提升提供决策支撑。
二.态势感知技术在博物馆的应用
1.博物馆信息安全需求
IT资产运行状态监控需求,现许多博物馆的信息化人员无法直观的查看当前网络中各设备的运行状况,仅能在网络使用出现故障时进行被动的响应与设备查看,因此信息化人员日常工作需要有运行状态监控功能来实时查看当前网络中设备运行是否正常,从而及时发现设备故障等需要及时处理的问题。安全事件可视化需求,针对IT计算环境的统一监控,必然会收集并呈现大量的信息。如何将这些信息进行有效的组织,呈现给博物馆中的信息化人员,并真正提升他们的管理效率是十分关键的问题。借助信息可视化技术实现安全事件的可视化展示,能够大大提升信息化人员的安全运维工作效率,使信息化人员的日常工作实现从认知到感知的跨越。安全事件实时监控需求,事件实时监控功能是信息安全工作的主要组成部分。实时监控不依赖于事件存储数据库,而是直接从管控中心服务器的内存中进行事件分析,从而能够帮助博物馆信息化人员及时高效地发现安全隐患。管理员可以自由地定义各类实时监视的场景,并在不同的场景之间快速切换,即时掌握全网各类设备、主机和业务系统的安全运行状态。
2.博物馆态势感知平台应用
态势感知平台的数据源都来自于分布于网络不同地方的网络设备、安全设备、主机、数据库和中间件等软硬件基础设施。态势感知平台通过多种数据接口采集所需的信息,这些信息包括:资产、拓扑、性能、事件、行为、漏洞、配置和流量等。同时,这些信息采集装置可以分布式部署,并且对网络性能影响极小甚至无影响。采集到的所有信息都会进行进行预处理,将其转换为统一的内部格式,并提交给业务逻辑层中的相应组件进行分析处理。业务逻辑层的基础组件实现了管理平台的基础支撑功能,功能组件则实现了对本系统的网络监控、安全监控、态势分析等具体功能。
根据安全管理平台的总体设计思路,作为技术部分的安全管理技术平台的功能组成至少应该包括“一库四中心”,总体功能设计如下图所示:
“一库”是指IT基础资源库,包括业务系统库、资产库、配置库、补丁库、弱点库、策略库、规则库、知识库等等。IT资源库是安全管理平台运转的基础数据,也是安全管理平台运转的驱动力之一。对于安全管理平台而言,应该具备IT资源库信息的维护功能,例如资产维护功能,包括资产的增删改查等,又例如知识库的维护功能等等。
“四中心”包括了运行监控中心、安全审计中心、风险管理中心和运维管理中心。
运行监控中心负责对IT资源的运行状况、可用性和业务连续性进行持续监测。运行监控中心应该能够对全网各类IT资源(网络、安全、主机、终端、服务、应用、业务等)进行实时监控,采集各种性能和状态参数,建立业务健康指标体系,全面监控IT资源可用性。
安全审计中心最核心的工作就是对收集上来的全网安全日志及事件,以及安全监控中心发来的可用性告警等进行关联分析,发现外部入侵,识别内部违规。
风险管理中心通过风险评估过程和风险计算方法实现对IT资源风险的定量化计算,获得可衡量的安全风险,并提示安全管理人员进行相应的风险控制。
运维管理中心与前面三个中心有所不同。安全监控中心、安全审计中心和风险管理中心主要是从技术角度发现、识别和度量安全威胁与风险,而运维管理中心则主要用于借助流程化的手段去响应告警,消减风险和威胁,并帮助运维人员建立起一套例行化、常态化的安全运维管理机制。
三.态势感知技术在博物馆的效果
对于日常安全运维而言,核心的工作内容就是对IT网络及重要业务系统进行持续监测,确保网络、主机、应用、业务、重要信息和人员资产的安全。更具体地说,就是要持续监测并识别针对网络、主机、应用、业务、重要信息和人员资产性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。借助态势感知平台,能够统一收集来自网络中IT资产的运行信息和日志信息,通过分析这些数据,识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为,协助安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告,成为日常安全运维的有力工具。
规划态势感知平台时充分考虑的国家制定的信息系统等级保护制度中对于安全管理中心的安全设计技术要求。系统能够帮助我们更好地遵从等级保护的基本安全要求和安全设计技术要求。
通过态势感知平台建设实现对关键基础设施实施重点深入的威胁分析展示,从证据链入手,对暴露资产的漏洞、被监管对象的数据泄露、网络威胁集中爆发等行为实现一体化管控机制,同时,构建网络安全事件分级分类、通报处置、攻击反制、应急指挥为一体的综合平台,及时掌握单位网络安全状况,降低网络威胁,打击网络违法犯罪,提升应急响应的综合能力。
通过态势感知平台建设实现防护提升,构建博物馆基于态势感知的多层次自适应安全体系,通过搭建全流量全数据采集模型,汇聚金融领域网络安全事件的信息,通过数据治理方案,提供在线分析、离线分析、就地分析能力,辅助管理者掌握全局安全状态,给出网络状态、趋势、预判,为最终制定安全决策提供保障。