民航局电子政务信息安全管理平台建设研究
2017-05-18◆张威
◆张 威
(中国民用航空局信息中心 北京 100010)
民航局电子政务信息安全管理平台建设研究
◆张 威
(中国民用航空局信息中心 北京 100010)
本文以民航电子政务信息安全工作现状为基础,分析了信息安全工作存在的不足,以支撑监测预警、工作考核、安全运维、指标计算为目标,对民航电子政务信息安全管理平台进行了详细的分析,研究设计了平台的总体框架、功能模块和技术架构,并介绍了该平台的部署和初步应用情况。
信息安全;管理平台;平台架构
0 引言
民航信息安工作关系国家安全、社会稳定、持续安全的实现和民航强国战略的实施。民航局把信息安全工作放在突出位置,提出要像抓飞行安全、空防安全一样抓信息安全,电子政务信息安全作为民航信息安全的重要组成部分,同样直接关系到国家安全、行业发展和社会秩序[1]。近年来,民航局新版政府网站、飞行标准监督管理、民航综合统计等政务信息系统陆续上线,这些信息系统涉及到行业安全监管、经济运行与市场管理、行政办公与公共服务三大应用体系,关系到民航局重要业务工作的开展。随着民航电子政务重点工程项目的建设和重要信息系统的上线运行,对信息安全工作提出了更高的要求。
1 安全现状
民航局信息中心按照“积极防御、综合防范”的指导思想,坚持管理与技术双管齐下,有力保障了民航电子政务信息系统的安全运行。2012年,民航局信息中心开展了电子政务外网安全技术体系设计,对民航局电子政务外网进行基于等级保护的安全规划设计,详细规划网络安全域及区域之间、主机系统、应用系统等安全策略。按照安全体系设计方案,信息中心逐步建设了满足国家信息安全保护的三级系统技术要求的技术防范体系。同时,依据国家和民航信息安全管理要求,定期开展等级保护定级、备案和测评工作,每年开展信息系统应急演练、安全意识教育和技术培训。随着信息系统和安全设备规模的增长,逐渐暴露出以下问题:
(1)安全运维工作量大,威胁难以准确识别
民航电子政务外网部署了大量安全设备,每类设备都有各自独立的管理界面并产生大量的安全日志。由于安全设备管理界面分散,导致安全运维人员工作负担越来越重,不同的设备着眼点是安全的某一方面,着力解决的也是某一类型的安全问题,产生的安全日志也是偏面和局面的,人工难以从不同安全设备产生的孤立日志中分析有价值的信息,及时处置。
(2)安全管理等日常工作缺少信息化支持
按照国家信息安全等级保护和民航局要求,信息中心开展了信息系统等级保护定级、备案和测评工作,定期开展信息系统应急演练、安全意识教育和技术培训、同时负责全国民航政务系统安全检查。同时,依据中心各类安全管理规定,运维各岗位人员需要周期性执行操作系统补丁升级、定期修改密码等日常安全维护。以上这些工作由多个岗位承担,工作信息分散在具体承办人手中,管理人员不能及时准备了解相关工作落实情况,难以进行统计和考核。
(3)安全工作不可测量
目前,全网和各系统安全状态优劣以主观判断为主,缺少具体量化标准,管理者无法掌握当前安全状态以及态势的变化情况,难以对整体信息安全态势进行准确判断,不利于安全工作的决策和改进。
上述各项问题已经无法用传统的安全产品和单纯管理手段来解决,迫切需要一种能够有效衔接人员、技术、管理的平台。
2 建设需求
民航电子政务安全管理平台(SMP)是承载信息安全工作的集中化支撑平台,平台的建设需求应满足监测预警、合规考核、安全运维和指标展现四个方面。
(1)监测预警
监测预警是指 SMP需要对各类安全资产的脆弱性和海量安全事件的采集、分析、处理、告警,分析安全事件对业务系统可能产生的影响和危害,降低通过人工甄别大量事件的工作难度,提高安全管理工作效率,减轻运维工作负担。
(2)合规考核
工作考核指按照国家信息安全等级保护和民航信息安全管理要求,围绕等级保护、应急演练、安全制度等工作,利用管理与技术结合,实现有关工作全过程闭环管理,并对工作情况进行对标考核。
(3)安全运维
SMP应具备安全作业计划的制订和维护管理功能,通过技术手段提高日常安全运维保障工作效率,提升安全基线检查、安全作业的自动化程度,实现安全基线检查等安全作业计划的自动调度、自动执行、自动考评等。
(4)指标展现
SMP实现收集各项信息安全技术、管理工作数据的能力,按照民航电子政务信息安全态势指标体系,分析计算安全态势,实现各信息系统和全网安全态势量化指标。
3 平台架构
平台的主要处理流程遵循 P2DR模型[1]。该模型包括四个主要部分: Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。它们组成了一个完整的、动态的安全循环, 在安全策略的指导下保证信息系统的安全。根据功能要求,平台体系架构自伤而下分为展现层、功能层、采集层,平台体系架构见图1。
展现层是 SMP的登陆入口,展现各类安全信息、个人工作信息、统计分析数据。安全管理门户包括个人门户、事件监测、态势指标展现和系统管理四部分。
功能层包括收集和识别大量 IT资产产生的安全事件,运用关联规则、智能推理等技术手段对安全事件信息的分析,实现对安全事件的统一监测和预警,同时实现对信息安全等级保护、日常安全运维,应急演练、人员培训等工作的落实考核,形成各类电子政务信息安全态势指标。
采集层是SMP与IT资产和专业安全系统接口,采集层通过日志采集、性能采集、配置核查采集模块收集设备日志、网络流量、配置信息,采集层收集到的数据按照指定的筛选要求进行筛选后发送给功能层进行集中的存储和分析。由于安全设备发送过来的日志采用的协议不同, 报文内部的净荷格式也不同, 需要采集端能够对其经行识别和预处理, 即对安全事件进行标准化处理,然后将数据整合后上传[2]。
图1 SMP体系架构图
4 功能模块设计
民航局电子政务安全管理平台独特性较强的功能主要包括事件分析、脆弱性管理、安全制度、等级保护、应急演练、日常作业和安全态势指标。由于篇幅有限,资产管理、告警、人员培训、知识库、报表等通用性功能模块不在此论述。
(1)安全事件管理
安全管理平台能够实时反应出网络的安全状况必须有所依据,因此事件采集、分析处理工作就成为安全监测工作的基础。事件管理最终向用户展现是经过收集、过滤、归并、分析处理后的安全威胁数据,分别对应安全事件收集、安全事件标准化、安全事件过滤、安全事件归并和安全事件关联的功能,从功能实现分为安全事件采集、分析处理和展现三个层次。
安全事件采集模块通过 Syslog、SNMPTrap、Agent、定制接口等方式采集各类IT资产原始日志,为后续的事件分析、处理、响应等提供数据来源。由于各类设备对日志定义的格式和内容不同,日志采集后需要预处理模块对日志进行解析,完成对接收到的原始日志到事件的格式化、过滤无效和安全相关度较低事件,对短期重复多次事件安全进行归并,依据预设规则进行实时和历时统计分析、关联分析。安全展现层以多种分析模型和方法为基础,通过可视化配置界面对安全事件基于时间序列、聚类模型进行数据挖掘,对事件分析和挖掘结果等进行多维度展示。图2展示了24小时内安全事件名称统计数据。
(2)脆弱性管理
脆弱性是指可能被威胁所利用的资产或若干资产的薄弱环节,信息系统的脆弱性主要来源于网络设备和主机操作系统、中间件、数据库等软件,脆弱性如被威胁利用将演变为安全事件,因此应进行生命周期的管理。IT资产的脆弱性发现主要依赖漏洞扫描系统、配置核查系统和 Web应用检测等扫描检查工具。各类扫描工具生成XML(Extensible Markup Language,可扩展标记语言)格式的扫描报告,通过SFTP协议上传到安全管理服务器,定时对报告进行解析,通过JDOM(Java Document Object Model,Java文档对象模型) 对XML文档解析,基于XML Schema实现与后台RDMS关系型数据库的映射,实现与IT资产的关联,按照脆弱性类型数量、危害程度分布、脆弱性最多资产TOP N等条件进行可视化展现,图3展示了某系统漏洞分布情况。
图2 24小时安全事件名称统计
图3 某信息系统漏洞分布图
为实现生命周期管理,在模块中可对脆弱性进行及时确认和修复,考核相关岗位人员对脆弱性确认和修复情况。以漏洞举例,对漏洞状态(不适用、已消除、无法利用)进行确认,系统自动记录漏洞状态改变时间,形成“漏洞成功修复率”、“漏洞一次性修复率”、“漏洞修复及时率”多项考核指标。
(1)安全制度管理
信息安全管理制度是信息安全工作的基础。安全制度管理模块主要实现国家、民航和信息中心管理制度、技术文档的电子化管理,并对信息中心制度与国家、民航要求的符合度进行动态评价,分为制度文件和符合度评价两个子模块。制度文件子模块主要记录民航和信息中心各项信息安全文件,主要包括起草人,发布时间,简介、版本和主题词等信息。
符合度评价子模块建立在对信息系统安全等级保护基本要求、民航网络与信息安全检查办法等制度文件梳理基础上,形成安全管理制度指标主题词,将信息中心所有管理制度与主题词进行匹配,形成等级保护制度符合率和民航信息安全管理制度符合率两个指标,随着信息中心管理制度内容的调整、补充,两个符合率将自动计算并进行可视化展现(见图4),实现制度达标情况的动态评价。
图4 等级保护制度符合率呈现
(2)等级保护管理
根据国家信息安全等级保护要求,信息系统需开展对等级保护工作定级、备案、测评、整改等工作。信息中心负责建设和运维的民航电子政务系统较多,其中一部分是等级保护三级重要信息系统。为加强对等级保护工作的有效落实,满足对等级保护工作的合规要求,实现对等级保护工作管理的技术支持,等级保护模块具备等级保护业务工作过程管理功能,主要包括定级备案、系统测评等模块。
定级备案模块记录各类系统定级过程中生成的各类文档材料,包括:定级报告、专家评审意见和系统主管单位意见、公安机关备案证明等电子文档,图形化显示各系统定级备案状态,见图5。
图5 等级保护级别统计呈现
系统测评模块用于管理记录测评工作的相关内容,各用户单位可在线填写各自信息系统等保测评信息数据,包括:测评机构、测评报告、测评日期,差距分析报告。通过对等级保护三级系统290个控制点测评数据,从十个维度统计分析各系统测评结果达标情况,利用雷达图、直方图等可视化展示信息系统等级保护测评结果,图6展示了某电子政务系统等级保护测评结果雷达图。
(1)应急演练管理
按照国家和民航局要求,重要信息系统应定期开展应急演练工作。信息安全应急演练工作覆盖各重要电子政务信息系统,涉及到各岗位人员,存在演练方案和技术文档分散、演练不及时、过程记录不规范等问题。应急演练管理模块具备应急演练计划制定和下发、应急预案、演练方案和演练记录的电子化管理、演练完成率和及时率考核功能。
年初将既定的年度应急演练计划导入安全管理平台,在演练计划日期前,安全管理平台自动进行邮件等方式提醒演练责任人。演练人员上传对演练方案和演练预案,经批准后下发演练任务。演练完成后对演练执行情况进行在线记录和评价,统计展现全年应急演练工作完成情况和存在问题,并与资产库信息系统进行比对,显示演练覆盖率和未演练信息系统名称。
(2)日常安全作业
运维人员大量例行性工作与信息安全有关,包括定期修改操作系统密码、补丁升级和定期升级防病毒软件、入侵检测等安全产品特征库等,例如定期修改密码、更新病毒库、更新安全设备特征库等,这些工作统称为日常安全作业。与变更不同,例行性安全作业每次执行不需逐级审批。
日常安全作业模块将实现安全作业计划类型的自定义、作业计划的创建、按预设规则调度和执行结果分析展现。根据前述平台定位,满足预设条件时,日常作业模块通过API接口向IT流程管理系统相关参数,流程系统生成工单。相关岗位人员在流程系统处理后,安全管理平台定时读取工单完成状态和完成时间。日常安全作业处理流程如图7所示。
安全作业模块实现了日常安全维护作业的自动化、流程化、规范化、常态化,形成了全网、各系统和各岗位安全作业数量、安全作业完成率和完成及时率等数据,为人员工作考核提供数据支持。图8展示了某信息系统安全作业统计结果。
图7 日常安全作业处理流程
图8 安全作业统计
(3)安全态势指标
安全是难以简单描述的复杂问题,它的术语和概念略显晦涩,成为理解它的一道天然屏障,而可供使用的安全数据,在数量和范围上也给管理者极大的挑战。态势展现通过对事件的处理和量化,再综合其他的一些因素,实时展现当前安全状态,然后再以图形化的方法将它表达出来,让安全管理员在最短的时间感知到网络安全的程度[3]。
为了对全网信息安全态势进行精确的评价,验证已采取技术防护和管理措施的有效性,便于持续改进,信息中心构建了民航电子政务信息安全态势指标体系,在安全管理平台中设计实现了相应模块,通过该模块对全网信息安全态势进行相对科学的定量计算,图9展示了安全指标界面。
图9 安全指标界面
信息安全态势关键评价指标体系的构建,首先要运用头脑风暴法与鱼骨分析法确定信息安全评价目标及指标类型;然后按照KPI方法选取一级关键评价指标,一级关键评价指标依次生成下一级关键评价指标,按照德菲尔法与层次分析法比较每级关键评价指标之间的相对重要性,确定每个关键评价指标权重;其次根据经验法设定关键评价指标基线;最后分别评审各级关键评价指标、权重与基线[4]。
安全态势指标体系由安全和技术两类一级指标,网络安全、主机安全、终端安全、应用安全数据安全等十类二级指标,及40个三级指标构成。三级指标值由指标基础数据测算而得,基础数据预处理得到指标量化值,由指标量化值进一步标准化处理(即无量纲化处理)得到指标值[5]。基础指标来源于对安全管理平台形成的基础数据以及对基础数据进行无量纲化预处理(nondimensionalize),通过无量纲化处理的数据映射到安全指标库。对于简单、静态基础指标的预处理,采用运用频次法、比率法等计算法来量化,以安全管理制度符合率指标为例,指标得分=符合率。影响因子复杂的指标需要考虑资产价值、系统等级保护级别等多方面因素进行计算,以服务器配置核查指标为例,指标得分为
5 平台部署
民航局电子政务外网安全管理平台部署于民航局信息中心机房,基于民航局虚拟化环境运行,共两台虚拟机分别承担数据处理和日志采集服务,其中数据处理分析器8核CPU、16G内存,2T存储空间,日志采集服务器4核CPU、8G内存,512G存储空间。服务器使用国产中标麒麟操作系统,数据库基于开源MySQL数据库进行性能优化的MariaDB。
目前安全管理平台已经投入试用,对200多台IT设备日志进行统一采集,高峰时段每秒实际采集和处理日志近700条。平均日发现各类攻击事件4万余次,攻击源IP地址来源国内外多地区,其中针对民航局政府网站、飞行标准监督管理系统、飞行维修人员执照系统和民航局域名解析服务器的攻击较为集中,攻击类型主要是XSS、SQL注入、Webshell和各类DoS攻击。
6 总结和展望
通过民航局电子政务外网安全管理平台建设,搭建起技术和管理之间的桥梁,提高安全事件监测预警能力,掌握安全整体态势,提升信息安全量化评价水平和决策支撑能力,实现信息安全工作落实的常态化和流程化,使得信息安全工作关口前移,提高民航电子政务外网信息安全整体水平。在民航局领导下,未来信息中心将继续加强安全管理平台建设和研究,面向民航各级行政机关丰富和细化平台功能,提高大跨度时间的安全事件分析性能,进一步提高监测、保障、管理和量化能力,为民航电子政务持续健康发展提供强有力的安全支撑。
[1]李刚.民航信息系统安全“飞行”的背后[J].中国信息安全, 2010
[2]YiNiu,QuanjuZhang,QiLunZheng,etal.Securityoperationc enterbasedonimmunesystem[C].ComputationalIntelligenceandSecu rityWorkshopsInt.Conf.2007:97-103.
[3]徐茹枝, 郭健, 白瑾.电力信息安全监测管理中心数据采集层的研究[J].华北电力大学学报(自然科学版), 2010.
[4]黎筱彦,王清贤,杨林.网络安全态势指标体系及可视化技术研究[A].第四届中国计算机网络与信息安全学术会议(CCNIS2011)论文集[C],2012.
[5]邹庆,刘毅,王皓然.基于KPI的电力信息安全态势评价指标体系研究[J].电力信息化,2012.
[6]GB/T 31495.3-2015.信息安全技术.信息安全保障指标体系及评价方法.第3部分:实施指南[S].
