张建权 李杰 贵州省铜仁市公安局

引言

当前网络与信息安全已成为关系国家经济、政治、国防、文化等领域的重大问题，世界各主要国家相继制定和大幅调整了网络安全战略，设立了专门的机构，加大了人员和资金的投入，维护其网络空间的利益。在过去很长一段时间里，安全人员将注意力过多的集中在检测和防御上，往往忽略了最基础的安全工作，绝大多数安全事件并非采用了多么高明的攻击手法，弱口令、老旧漏洞利用等才是导致勒索病毒肆意传播的首要原因。

随着公共安全视频联网工程的不断落地，公安视频传输网络规模逐步扩大，业务应用日益复杂，系统安全问题也变得日趋复杂和严峻。尽管各地公安在公共安全视频监控系统联网应用等系统安全防护建设上进行了大量的投入和诸多尝试，受限于安全人员不足、技术能力有限、管理体系流程缺失等因素，其基础安全工作在开展过程中仍然困难重重，主要存在以下问题：

（一）网络资产“查不清”

梳理在案已知的资产容易，一旦要全面摸清家底，把资产找“全”则无从下手。如何找全网现有多少IP在用、多少资产暴露在互联网、大量灰色资产未记录在案等是大部分企业与机构亟需解决的问题。

（二）缺少安全领域人才供需培养体系

基础安全总体上偏薄弱，人才需求量大，但安全市场上，架构与运维人员数量明显不足，人才市场偏好培养“成本高、需求小”的攻防型高阶安全人才。

（三）系统建设中忽视架构安全能力的建设

在系统安全防护建设中未建设完善架构安全与被动防御能力，先建设积极防御与威胁情报能力的现象普遍存在，本末倒置的建设路径导致积极防御与威胁情报的效果无法充分展现。

（四）“重产品、轻服务”的现象普遍存在

系统安全防护运营方案基本以产品型方案为主，即通过产品覆盖资产或漏洞功能的路线，未能与专业服务团队形成合力，产品能力与服务能力存在较大脱节。

（五）安全制度不够完善，不能有效整饬工作

安全制度缺失，管理流程设计不合理，执行落地难，无法有效形成处置闭环。

（六）漏洞识别及管理能力不足

漏洞情报识别不准确，漏洞管理能力匮乏，无法随时对资产进行漏洞普查，另由于缺乏最新且全面准确的漏洞资讯，难以持续、及时地对最新的高危漏洞进行监控和防范。

综上所述，建立立体闭环的系统安全防护与运营体系能力尤为重要。

一、系统安全防护建设整体规划

（一）系统安全防护建设遵从理念

系统安全防护建设遵从用安全思维规划、构建和维护系统。安全的系统设计是基础，在此之上再开展其它方面的网络安全建设。此外，根据组织的需求合理构建架构安全，可提升标尺的其它阶段效率，降低开销。

构建合理的安全基础后，再构筑被动防御。被动防御位于架构安全的上层，为系统提供攻击防护，因此被动防御是非常必要的。且被动防御同样不需要频繁的人工互动。

（二）系统安全防护与运营建设目标

系统安全防护基础建设的核心目标是建设数据驱动的系统安全运行体系。通过系统安全工具，聚合IT资产、配置、漏洞、补丁等数据，通过对多方数据实现两两关联分析，将系统安全防护从依靠自发自觉的模式提升到体系化支撑模式，实现及时、准确、可持续的系统安全防护。总体确保系统安全风险可控，保持良好的安全状况，为实战化安全运营提供支撑，实现系统级安全运行的闭环。

基于数据驱动的综合能力，凭借相关系统安全管理平台运营工具，聚合资产、漏洞、补丁、配置等数据，通过“运营服务+工具平台”的模式，充分补足资产属性，结合CVE等漏洞情报，分析碰撞得出各含漏洞资产的处置优先级顺序，并通过长期、持续的监控与运营服务，有效提升系统基础安全防护及运营能力。

二、系统安全防护建设的关键点分析

（一）构建完善的测试环境

对警务系统相关设备、系统镜像模版和业务环境中的安全配置项、漏洞验证措施、修复措施进行测试验证，开展补丁测试、镜像测试、配置项测试、重要业务应用回归测试，提高漏洞修复与配置变更的确定性。

（二）构建资产安全管理体系

在各类警务系统建设中，面向IT服务的资产管理系统，通过网络主动扫描、流量被动扫描、Agent、CMDB导入等方式，获取终端、主机、中间件、数据库等资产信息。对资产信息进行统一标准化处理，形成资产管理数据库，实现资产的全面覆盖，发现未备案资产违规上线。

（三）构建系统安全配置管理体系

建设配置策略管理系统，按需编写和调整配置核查策略，基于策略对资产安全配置性进行检查，得出安全配置符合性检查结果。采集资产生命周期配置信息，持续跟踪资产配置变化，为配置脆弱性修复提供全面、准确的数据基础。

（四）构建漏洞管理体系

通过漏洞扫描工具定期开展警务系统资产漏洞扫描，通过多方信息获取漏洞情报数据，评估漏洞影响程度与漏洞修复优先级。通过资产版本号匹配、漏洞特征扫描、系统配置项比对，搜索出与漏洞信息相匹配的资产，建立漏洞与资产的关联关系，为漏洞修复方案提供全面、准确的基础。

（五）构建漏洞缓解体系

建设补丁管理系统，对获取、内容验证、测试、补丁发布、推送、缓解评估进行全周期管理。对当前环境存在的配置不符合项与漏洞，设计修复方案，并在测试环境验证。

（六）建设系统安全运行平台

聚合资产、配置、漏洞、补丁等数据，持续监控信息系统的资产状态，进行多维度数据碰撞分析、关联分析。分析配置符合性、漏洞状态等信息，判定风险缓解优先级等。通过资产信息与配置信息结合，分析出重要配置项的符合性结果、资产脆弱性以及重要补丁；通过资产与补丁信息结合，分析出补丁视角的风险暴露结果；通过将资产与漏洞数据结合，分析出漏洞视角的风险暴露结果。

三、系统安全防护整体建设步骤

通过项目建设经验，安全防护系统建设核心关键是资产、漏洞、补丁、配置四部分的工作，这四部分内容信息越全面，处置效率越高，效果越好。通过现有建设落地和经验总结，建设思路如下：

首先，应该明确好系统要支撑的业务目标，而这又因业务和行业而异。系统安全应为这些目标提供支撑。架构安全阶段的目的并非是防御攻击者，而是满足正常运营环境和紧急运营环境的需求，包括偶发的恶意软件感染、误配置系统带来的网络流量峰值以及系统仅仅因部署在同一网络而互相导致中断。在系统设计时考虑这些情况可以维持系统的保密性、可用性和完整性，从而为业务要求提供支撑，最大程度地减少攻击者进入系统的机会。

其次，从落地性建设考虑，应该优先进行资产梳理工作，这是整个安全建设的根基。没有良好的IT资产梳理，其它的安全均无从谈起。因为资产的复杂性，既包含技术方面，也存在于管理方面。与资产有关的属性非常多，有的归属在安全处室，有的归属在业务部门，由此导致资产权责不清、对应信息有误等情况，甚至有可能出现黑资产。

第三，建设健全的资产管理平台，补全资产的属性信息，为资产与漏洞对应、系统安全风险分析、整改责任落实提供全面且准确的数据基础。构建企业级安全配置管理体系，基于配置策略管理平台进行安全配置符合性检查，为脆弱性修复提供全面、准确的数据基础，促进系统基础安全能力提升。

第四，建设系统安全运行平台，进行资产、配置、漏洞、补丁等多维度数据碰撞，分析资产脆弱性、风险暴露情况、配置项符合性、判定风险缓解优先级等。搭建测试环境，对各种设备、系统镜像模版和业务环境中的安全配置项、漏洞验证措施、修复措施进行测试验证，提高漏洞修复与配置变更的确定性。

第五，构建企业级系统安全组织体系，持续监控信息系统的资产状态，分析配置符合性、漏洞状态等信息，基于测试验证结果，判定风险缓解措施优先级，提供修复方案。在系统资产管理、配置管理、漏洞管理、补丁管理等方面形成协同有序的一体化运转机制，还可兼容第三方漏洞扫描工具。

四、系统安全运营服务能力

在安全运营过程中，安全基础数据管理分散，关联分析难度大，且运营人员通过人工表格和脚本处理的方式分析安全问题准确性和时效性较低。通过整合资产、漏洞、补丁、配置、运维等五个方面要素信息提高系统安全运营服务能力，具体如下：

（一）资产梳理方面

1. 主动资产探测

采用相关工具和平台以主动探针将对所有在线设备进行网络扫描和深入识别，获取终端的网络地址、系统网络指纹、系统开放端口和服务指纹，并根据积累和运营的指纹库裁定每个终端的类型、操作系统、厂商信息。

2. 被动资产运营

采用相关工具和平台配合主动探查手段，发现隐匿资产、孤岛资产以及被黑客攻击类型的资产，能够设计干预方案，大大提升处置效率。

3. 制定资产清单

制定系统资产的清单，包括：设备、网段、域名和网站等。各类资产的详细信息示例如：设备IP地址、设备类型、设备名、FQDN、操作系统、MAC地址、厂商与型号、设备开放的端口、服务信息等网段网关、掩码、IP段等；域名、根域名、解析记录等；网站名称、URL、技术框架与版本等。

（二）漏洞管理方面

根据不同的生命周期状态对漏洞的风险值进行修正，最大程度地接近漏洞在用户真实环境中的风险，并根据系统安全防护全生命周期建立系统漏洞台账，按照系统的受影响程度划分为严重、高危、中危、低危、一般等。

（三）补丁运营方面

在系统补丁运营管理方面，可以基于系统补丁的通知创建工单，将设备添加到漏洞扫描，执行终端安全代理操作，用于对资产、问题进行归一化处置，辅助以动作编排，对动作执行成功、失败进行收尾处理，完成处置闭环。

（四）配置核查方面

进行安全配置核查是安全管理的基本工作，同时也是安全运维的重要技术手段。安全配置核查首先要建立满足组织信息安全管理体系的安全配置要求基线。当前，部分重要行业和监管部门已经针对行业的信息系统建立详细的安全配置要求及规范，构建针对不同系统的详细检查项清单和操作指导，为安全运维人员的安全技术操作提供标准化框架和指导。

（五）安全运维方面

基于认证、授权、访问、审计的管理流程设计理念，实现对企业和机构 IT 中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计。通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能，为 IT 中心运维构建事前预防、事中监控、事后审计完善的安全管理体系。

五、系统安全运营阶段

第一阶段，理清资产。通过制定计划任务，定时汇聚资产安全状况数据，形成动态资产清单；对资产数据进行治理，依据大数据分析技术，发现资产问题，并协同IT团队对资产问题进行持续运营。

第二阶段，修复漏洞。持续跟踪多源漏洞情报，实现漏洞情报和补丁信息的本地运营；结合动态资产清单和漏洞情报信息，判定业务脆弱性影响与缓解优先级；开展补丁适用性和有效性验证，协同IT团队进行补丁安装，并跟踪漏洞修复状态。

第三阶段，依据法律法规合规要求设计适用的安全配置方案并持续维护；对配置变更方案进行有效性验证，协同IT团队进行配置变更，并跟踪配置变更状态。

最后，持续监控资产状态，将无法安装补丁、变更配置的资产纳入例外清单，开展风险管理，同时对处于脆弱性敞口期状态的资产进行态势感知增强监测。

六、结语

展望我国的十四五规划，企业和组织的数字化转型将进入爆发期，网络空间安全将面临更加严峻的挑战。在公安各类警务系统安全规划和建设中要筑牢安全根基，构建“持续对抗、面向实战”的安全防护能力，即建设一套持续监测、持续改进、持续优化的机制，提供面向实战的安全运营能力，护卫国家网络安全。