本发明涉及网络安全体系结构,更具体地,涉及一种网络安全体系结构建设方法。
背景技术:
1、亟需一种网络安全体系结构建设方法,在原有传统安全能力基础上,针对新形势下安全风险进行深化设计和建设,对风险项、安全差距、安全控制薄弱环节进行针对性加强,以应对目前实际的安全风险,降低风险可能造成的安全损失,实现持久化安全运营,为提升信息系统的可用性、机密性、完成性提供保证。
技术实现思路
1、本发明的目的在于提供一种网络安全体系结构建设方法,对风险项、安全差距、安全控制薄弱环节进行针对性加强,以应对目前实际的安全风险,降低风险可能造成的安全损失,实现持久化安全运营,为提升信息系统的可用性、机密性、完成性提供保证。
2、为达到上述目的,提供了一种网络安全体系结构建设方法,应用于安全运营中心,包括评估改进阶段、监测分析阶段、响应止损阶段、恢复复盘阶段;
3、所述评估改进阶段为提供评估改进领域专家服务和评估改进一线专家服务;
4、所述评估改进领域专家服务包括管理体系建设服务、安全培训服务、咨询规划服务;
5、所述管理体系建设服务,通过构建安全管理体系框架以及开发安全管理系统,对组织、人员、流程实现规范化管理;所述安全培训服务,构建安全培训体系框架及开发安全培训系统;所述咨询规划服务,获取网络安全管理体系和现有制度、体系、流程并结合,建立和持续改进各项安全制度、规范、流程、机制、方式;
6、所述评估改进一线专家服务包括资产识别与管理服务、业务风险评估服务、安全通告服务、预警响应服务、驻场运维服务;
7、所述资产识别与管理服务包括资产管理和资产指纹变更管理与威胁监控;所述资产管理用于设置安全资产的资产类别、目录结构和资产属性,将资产信息进行统一编号并按照统一编号进行资产信息查询和维护;
8、所述资产指纹变更管理与威胁监控包括资产发现管理流程、资产指纹管理、资产威胁监控;所述资产发现管理流程能够对资产上线、变更与下线进行主动扫描和被动发现,通过流量与日志发现影子资产,实现全网资产识别和管理入库;所述资产指纹管理通过扫描嗅探、流量分析方式收集资产指纹信息,最终建立资产指纹档案;所述资产威胁监控通过分析资产指纹和在线的变化来周期性监控资产产生的变化;
9、所述业务风险评估服务获取现有的网络与信息系统安全策略进行全局性的预评估,所述网络与信息系统安全策略包括信息资产及对应的安全措施,分析信息资产存在的安全漏洞,分析信息资产面临的安全威胁及威胁发生的可能性,检查安全措施的有效性,从而识别出信息资产中存在的安全风险点,并预设接受的风险阈值,根据与风险阈值对比对用户信息资产所面临的风险程度做出准确的评价,提供相关整改修复加固建议;
10、所述安全通告服务为针对收集和整合的漏洞,一线专家进行信息审核在确认发现的时间之后推送安全通告的服务;
11、所述预警响应服务基于网络安全威胁情报来监测和管理企业互联网资产的安全健康状态,主动提供安全事件预警、分析以及处置多方面的解决方案;
12、驻场运维服务为安全运营驻场服务;所述安全运营驻场服务包括设备运行安全监测、设备运行安全审计、设备及策略备份更新;
13、监测分析阶段包括监测分析领域专家服务和监测分析一线专家服务;
14、监测分析领域专家服务包括代码审计服务、反编译服务、渗透测试服务、漏洞利用分析服务、样本分析服务;
15、所述代码审计服务为采用安全工具、安全专家人工辅助分析,对应用系统类程序代码、补丁代码、插件代码开展源代码安全审计,结合审计后的风险情况提供合理安全整改措施,并制定指导协助安全加固的方案;
16、所述反编译服务用于在合规的前提下对病毒样本、恶意插件、攻击软件进行反向编译,评估软硬件的安全状况;
17、所述渗透测试服务检测的内容包括:代码漏洞、防护策略漏洞、中间件漏洞、数据库漏洞、服务器漏洞、数据通信安全、nday漏洞、鱼叉攻击、水坑攻击、社会工程学攻击、源代码泄露、业务逻辑安全、信息泄露;
18、所述漏洞利用分析服务通过全网数据流量进行威胁发现,采用漏洞挖掘、漏洞分析、漏洞利用方式验证和确认高级别网络攻击事件,研判事态影响范围和危害程度,输出分析和处置报告;
19、样本分析服务为对病毒样本进行脚本深入分析,输出样本分析报告;
20、所述监测分析一线专家服务包括web攻击行为分析服务、网络风险分析服务、日志审计服务;
21、web攻击行为分析服务,针对安全运营中心内网中存在的web攻击进行梳理分析,流量抓取方式采用被动流量抓取方式;所述被动流程抓取方式为根据流量中的数据,抓取活动的主机行为;抓取信息包括源ip、目的ip、利用模块、攻击方式、结果类型、敏感信息;
22、网络风险分析服务,依托分析云、专家云、情报云、查杀云及知识云,分析安全运营中心内网中存在的安全风险,针对apt攻击、新型木马、免杀木马进行检测和防范;
23、日志审计服务,依托专家云、分析云及漏洞云,收集安全运营中心的全网安全日志,根据合规要求对安全日志进行综合分析审计,结合威胁情报评估安全风险状况,提供相应安全整改措施;
24、响应止损阶段包括响应止损领域专家服务和响应止损一线专家服务;
25、响应止损领域专家服务包括应急演练服务、重要时期安全保障服务;
26、应急演练服务为通过对全网安全状态持续的检测,应急演练应对处置造成或可能造成大面积网络中断、系统瘫痪、数据泄露的关键措施,应急演练需要考虑到每一个可能突破的薄弱环节,同时需要和主动检测机制实现系统联动,针对检测到的安全威胁做到及时精准处置;从以上演练结果重新评估、制定和完善网络安全应急演练制度和机制;
27、重要时期安全保障服务为在重要时期提供安全保障服务,包括提供关键信息系统、重保组织架构设计、积极防御、实时威胁检测、响应处置、攻击预测的安全服务;
28、响应止损一线专家服务包括应急响应服务;所述应急响应服务为在7×24小时应急响应和处置服务,安全运营中心发生网络安全事件时,制定迅速进行响应处置的服务机制;
29、所述恢复复盘阶段包括恢复复盘领域专家服务、恢复复盘一线专家服务;
30、恢复复盘领域专家服务为根据安全运营中心业务发展需要、第三方检查、测试、测评和评估的结论,调整和优化网络及系统架构、设置调整网络防护策略;
31、恢复复盘一线专家服务为依据安全运营中心的全网安全资产,结合威胁情报、攻防专家指导意见、外部风险报告、内部风险评估、内部安全检查/测试/演练、态势感知监测的任何安全加固线索,综合评估威胁影响级别、威胁影响范围等维度,制定安全加固方案;
32、特别的,所述管理体系建设服务构建安全管理体系,具体包括建立组织人员管理、制度策略管理、安全管理流程、安全建设管理、安全运维管理。
33、特别的,所述安全培训服务构建安全培训体系框架及开发安全培训系统,具体包括安全意识培训、安全管理宣贯培训、网络设备的安全运维培训、安全产品运维培训、操作系统的运维培训、数据库运维培训、操作系统的运维培训、应用系统的安全开发。
34、特别的,所述资产信息包括基础信息、安全属性、资产视图、资产脆弱性信息;
35、所述基础信息包括资产名称、ip地址、mac地址、业务系统、所属部门、安全域、设备类型、地理位置、负责人、电话;
36、所述安全属性包括可用性、完整性和保密性以及资产价值;
37、所述资产视图为基于业务域、安全域、物理位置、组织机构四个维度进行资产安全管理的视图信息;
38、所述资产脆弱性信息为通过对接漏扫设备提供的资产漏洞信息、安全配置信息。
39、特别的,所述预警响应服务主动给用户提供安全事件预警具体为:通过已在互联网上暴露的攻击者,利用大数据进行关联分析和行为画像,标签攻击者威胁情报。
40、特别的,所述反编译服务具体通过文件装载、指令解码、语义映射、相关图构造、过程分析、类型分析、结果输出的步骤完成,根据不同的分析目的进行选取上述步骤的一个或多个进行组合完成。
41、特别的,所述渗透测试服务的服务范围涵盖有:操作系统windows、linux、freebsd、aix,数据库mysql、mssql、oracle,中间件apache、iis、tomcat,应用服务器ftp、dns;web应用程序php、jsp、.net、python;路由器及交换机。
42、特别的,所述病毒样本包括病毒木马、僵尸蠕虫、恶意软件、流氓插件以及apt攻击脚本。
43、特别的,所述日志审计服务提供相应安全整改措施具体包括以下步骤为:通过专用工具获取并结合威胁情报数据,对现有日志进行安全审计,找出日志中存留的攻击者痕迹,发现并复盘曾经发生过的入侵事件;提炼出系统是否已被黑客成功入侵,获取应用系统安全事件复盘线路图,获取攻击者画像,找到应用系统被成功利用的漏洞信息,计算安全事件可能造成的损失;根据获取的上述信息,一线专家制定安全整改措施。
44、本发明的技术原理和有益效果如下所示:
45、本发明通过设置评估改进阶段、监测分析阶段、响应止损阶段、恢复复盘阶段,在各个阶段对风险项、安全差距、安全控制薄弱环节进行针对性加强安全保护,制定及完善网络安全体系结构,以应对目前实际的安全风险,降低风险可能造成的安全损失,实现持久化安全运营,为提升信息系统的可用性、机密性、完成性提供保证。