【网络信息安全篇】6月20日-22日,民航机场安全(安保)论坛在昆明召开,神州泰岳信息安全技术有限公司高级信息安全咨询顾问张敬宇出席论坛,并以“主动安全防护体系为新形势下机场信息安全管理保驾护航”为主题发表了精彩地演讲。
张敬宇从民航安全发展的新形势下审视网络信息安全面临的挑战与思考,分享了该公司多年来打造的技术平台,从“人”、“事”、“物”三个维度剖析了网络信息安全管理的经验,并就相关案例进行了介绍与分享。
以下为全部内容,仅供参考:
一、神州泰岳信息安全技术有限公司介绍
神州泰岳信息安全技术有限公司(以下简称“神州泰岳”)是神州泰岳软件股份有限公司旗下的子公司,从1998年至今,致力于信息安全及网络技术、游戏及AI工业互联网以及人工智能等等方面的研究。
历经20余年发展,神州泰岳在民航、通信运营商、金融以及政府、能源等行业致力于其内部信息安全管理工作,为支撑这些行业落实内部信息安全管理保障作出了一定的贡献。
二、新形势下机场信息与网络安全面临的挑战与思考
为什么给大家分享这个话题?首先,我们要了解一下背景。
1、新形势下机场IT安全面临的挑战
(1)、来自国家顶层的安全要求:随着《网络安全法》的颁布和出台,信息安全工作已然成为了国家安全战略。
(2)、来自行业的安全合规要求:在民航行业,《民用航空网络与信息安全管理规范》、《民航网络信息安全管理规定》等等一系列规定日趋完善,这对机场信息安全的管理工作带来了新的要求和挑战。
(3)、新形势下的安全要求:“四型机场”的建设会带来机场IT基础设施的增长,随着机场IT基础设施的不断扩大和完善,机场的数据层日益扩大,包括个人身份信息、人脸信息、位置信息等等一系列数据均需要防护。同时,随着公安部“等级保护2.0”标准的发布、机场行业数据的不断扩大,机场对于数据安全的保护、信息安全的保护也带来了新的挑战。
接下来分享一个案例:
前段时间一家IT公司所存储的视频数据遭到了泄露,泄露的内容包括了人脸的数据以及和人脸相对应的身份信息以及拍摄地点的信息,包括姓名、身份证号以及其他的信息,而这些信息的泄漏无疑给企业、行业带来了一定的负面的社会影响。
其实,《网络安全法》的颁布在个人信息保护上给各行业提出了严格的管理责任要求,事实上,“平安机场”不仅仅是保障人员有序出行、高效出行、智慧管理,还涉及在“平安出行”过程中对于自己信息的保护,这也是“平安机场”建设的一个要素和属性。
2、重新审视企业信息安全管理工作着眼点
大家在谈到信息安全管理工作的时候,可能会联想到传统的防火墙、防病毒这些比较好接受的安全工具、安全软件,但往往忽略了内部安全管理对于企业内部数据安全保障的重要性。比如:我们会直观地看到哪个国家发生了黑客攻击行为,受到攻击最大影响是往往是企业、行业、组织所保护的数据泄露事件,存在这种原因往往并不是攻击事件,而是出于“黑产利益链”的驱动所造成的内部或者外部第三方维护人员对数据管理的不规范操作,进而造成了数据泄露事件。
3、聚焦“人”、“事”、“物”的信息安全管理支撑体系
在经历20年为电信运营商提供信息安全服务,以及对IT信息安全管理的经验总结,我们认为,从网络边界的防护、网络环境防护、可信计算的防护等一系列的防护无外乎内部的三要素,即“人”、“事”、“物”。一是把人管理好;二是在网络环境中发生了哪些事件;三是企业内部有什么样的资产。
其中,在“四型机场”建设的发展趋势下,“物”这个层面的数量会呈几何级的增长,同时,在“物”这个基础上所承载的数据、种类会不断扩大,包括受保护的个人隐私数据、机场内部的一些重要、安全或者管理数据等。
神州泰岳围绕着“人”、“事”、“物”推出了信息安全管理的支撑体系,在这个体系下助力于我们如何建立起内部的安全保护机制,防止内部违规事件、越权事件和非法操作事件造成的数据泄露,从而对机场的信息安全进行有效防护。
在身份管控方面,比如:合法的人可以准确的被识别身份,哪些人可以访问什么样的资产,哪些人是合法的,哪些人身份已经过期……应该对“人”的身份进行集中化、全生命周期的管理。从行为的角度来看,这个人在网络环境中应该可以做什么样的操作,可以执行什么样的指令或行为,应该进行合法依据策略的控制和管理,并在这个基础上建立起来溯源机制,也就是说一旦发生了安全事件,我们辅助于管理部门或者是上级监管部门,可以对敏感实践进行溯源分析,准确的定位到自然人的身份。
在事件方面,包括网络环境中各类IT资产自身所记录的事件,关联分析、审计和管控,发生的事件有哪些违规、可疑的甚至是直接产生的暴露事件。
对于流量,从网络流量中提取、分析出企业关注的安全事件,进而开展更准确的管控行为,因为很多异常的操作,比如说在IT基础设施上放置了一个木马程序,这个木马程序可以间断的对我们掌握企业重要数据的IT设施进行数据获取行为,而这个行为并不是人的行为,而是网络行为,这个时候我们对网络流量进行全方位的掌控和解析,来发现这种高级的、隐蔽的攻击行为,这个是来源于内部的。
总之,不管是人的监控还是事件的分析,发现我们内部的安全隐患和威胁,所有要实现这方面的基础,来源于我们精准的掌握和识别机场内部拥有哪些IT基础设施,分类是怎样的。比如说,我有3000台IT设备,其中1000台是Windows,1000台是Linux,这些装了什么,有没有什么漏洞,会不会被别人利用,使得我们管理起来更精准、更有的放矢的对企业内部的安全管理工作进行防护。
(1)、IAM身份与访问安全管理解决方案
该解决方案是逻辑上比较成熟的一套身份与访问控制管理方案,它核心的价值是什么?把帐号进行集中化的管理,建立起来人员到企业内部IT资产有序、可控的访问通道,在这个通道上施加集中化的网络控制,并对你在这个所有通道中的行为进行全方位的统计,能够溯源到自然人的身份,哪些人做了哪些事情。
建立这个访问通道的意义是什么?
如果一个人从维护的区域对IT资产进行访问,要么是在IT资产的维护区域,要么是在服务器上进行操作,而且依托于现有的标准化的IT基础设施,它的记录和控制能力是不完备的,在这种情况下没有办法建立起一个完整的、可溯的事件的记录,就是说我不知道谁做了什么事情,该不该做,我们没有办法控制,我们建立一个访问通道,基于内部的安全策略,来控制他合规的访问,避免越权操作。
(2)、资产管理雷达(AMR)
要想做好集中化的身份管理与访问控制,不可避免的要谈一个话题,就是企业内部有什么样的资产?这些资产到底是什么样的类型?应该被谁访问?不应该被谁访问?这个资产本身有没有存在安全上的漏洞?能不能被外部威胁或者是内部非法人员所利用?通过什么样的解决方案来做这个事情呢?我们叫做AMR,即资产管理雷达。
通过制度化的手段能够帮助我们组织建立起来自动化的资产周期排查,能够清晰的帮助我们组织、识别我有哪些资产,是什么类别的,分布在什么位置,并且拥有什么样的配置情况,装了什么样的软件,这些软件是不是有漏洞。
我给大家分享一个安全圈里的情报类的小话题,前段时间发生过一次漏洞,这个漏洞通过常规化的扫描手段是发现不了的,但是这个漏洞可以被外部的威胁所利用,利用它记录企业内部环境,并且可以施加破坏行为。那么,我们怎么能够发现这个漏洞呢?实际上就是我们清晰和及时准确的掌握企业有哪些资产、上面装了哪些东西,在国家漏洞应急响应中心发布这个漏洞的时候,能够快速的知道有没有这个问题,然后施加影响和应急响应工作。
(3)、Sensor全面掌握网络环境中的流量异响行为
对于网络层面,我们要用什么样的事件识别呢?
第一、 我们常常看到访问浏览器,应用的流量是外部的流量,我们叫做应用层面的流量信息。有哪些行为支撑IT系统运行的数据库的访问行为?在网络过程中存在哪些流量信息?这些是需要我们关注的。
第二、 就是通用的网络行为事件,包括SSH,刚才举的两个例子都是通过登陆到设备上进行维护的协议,往往违规的操作都是通过维护的行为造成的。
所以,我们关注三个话题:常规的邮件协议、维护协议,额外应用访问协议、数据库访问协议。
(4)、SecSight多源数据分析与挖掘感知企业内外部安全威胁
有了技术手段,是不是就可以把企业内部的信息安全管理工作落实到位呢?只能说一部分,为什么?因为我们通过诸多年的项目实施经验告诉我们,光有手段没有可靠和有趣的运营支撑,是不足以把企业内部的安全管理工作落实到位,这就需要全方位的运营和支撑平台。
神州泰岳的SecSight安全态势感知平台,除了对内部和外部的威胁感知能力以外,我们对企业内部的安全管理水平、风险分布状态进行有效的评估,并且可视化的对风险进行直观的展现,并且结合自动化、流程化的处置、编排运行,来帮助企业内部对突发的安全事件进行应急响应处置,并对发生的安全风险进行闭环化的管理。
(5)、SecCloud基于SecaaS模式支撑日常安全运营工作
随着技术的不断发展,我们把已经建立的IT技术手段,已经解决的安全成果,把能够基于Paas、Saas的平台部分向兄弟部门开放,这大大缩减了IT的投资,把有限的IT资源和能力横向的向兄弟部门或其他组织部门进行开放和共享,将投入变成增值的转化工作。
神州泰岳信息安全行业客户包括:电信运营商、金融、政府、能源以及其他一些行业客户。近几年内,我们重要的客户也包括了中航信、国航、南航等,他们的信息安全管理解决方案均由我们进行全方位的支撑。
三、典型信案例介绍
1、中航信的业绩方案的案例
中航信安全技术体系总体架构的背景是根据发改委项目总体架构进行项目设计,包括了生产环境安全、非生产环境安全、数据安全交换、业务系统数据安全、行业预警主平台,以及航信子平台、机场子平台、管控子平台等子平台设计。在这个总体架构当中,神州泰岳对监控预警及应急处置平台、云防护、运维4A、终端安全、数据库审计、数据摆渡系统这几个领域进行了支撑,也就是说这几块的内容是神州泰岳协助航信进行建设规划的。
其中,监控预警子平台包括了对网站的防护、安全基础设施合规性的管理、云网络隔离、云主机安全、漏洞管理。
什么叫合规呢?就是这个基础设施基于行业内的标准,哪些配置项应该开启、哪些配置项应该关闭的工作,配置不合规会带来风险?比如说命令通过开启这项服务或者关闭这项服务是不存在被外界利用的漏洞,但是由于没有关闭这项服务却引入了这个风险,造成了企业内部的安全风险。
云终端管理上包括虚拟终端管理、实体终端管理、移动终端管理、终端准入管理、终端检测响应。
4A就是统一身份管理,基于身份管理提供差异化的强身份认证服务。即有些人对于重要的IT基础设施没有访问权限,在网络上是隔离的,只是静态的认证就可以了。但是对于一些重要的基础设施要提供数字证书或者短信认证机制,甚至在你访问的过程中,对于数据的访问要有一个类似于银行金库的模式进行再次认证,从而保证我们的数据不被违规的网络行为所破坏。
数据摆渡系统包括安全隔离交换、数据调度、数据识别等。
以上是航信整体信息安全管理的架构,预警子平台,平台功能,以及这些平台所带来的企业内部管理效果。
2、重大安全保障工作
除此之外,泰岳在各类重大安全保障工作中发挥了重要作用,像新华社对温总理的专访活动,当时神州泰岳为新华社做了安全保障服务,包括安全策略咨询、安全风险评估、安全风险加固、安全事件监控、安全事件响应等五个层面。
在这次保障工作中,我们取得了零安全事件发生的优异成绩,并受到了新华社的好评。
3、护网行动保障
今年,公安部发起的护网行动,我们也在为金融行业、电信运营商行业提供相应的服务支撑。
4、助力“四型机场”数据安全、信息安全
以下是神州泰岳在“四型机场”建设形势下,如何保障数据安全、信息安全工作的一些分享和思考。
其中,“人”的维度包括:身份与访问安全管理系统、集中操作维护接入系统、集中应用交付系统、网络文件如何防护的解决方案;“事”的维度包括:企业综合安全审计、网络访问行为审计、数据库访问行为审计、页面访问行为审计等等内容;“物”的维度,包括:安全合规管理系统、资产安全管控雷达、安全域监控分析系统。因为,网络访问在不同的安全域之间其行为是有一定的禁止要求或者是合规性管理要求的,你跨过了要求和边界是不是有自动化、监控手段来发现这个问题。最后在“综合”维度方面,包括了信息安全云服务平台、移动应用安全管理平台、信息安全大数据分析服务平台、云计算环境综合安全管控平台。
信息安全云服务平台即:如何把我们建设好的安全能力以服务的方式最大化价值的输出,形成安全能力共享;云计算环境综合安全管控平台主要在于随着技术的发展,智慧机场、平安机场,以及“四型机场”的建设,未来在基础设施当中一定会涉及到云计算环境的问题,对云计算如何管理,也在解决方案的范围内。
谢谢大家!
