在網絡安全風險不斷向政治、經濟、文化等領域傳導滲透以及國家積極發展内外合作關系的大背景下,高校網絡安全防護進入攻堅期。如今,在網絡安全資源有限的情況下,如何有針對性地選擇網絡防禦政策,進而使防禦效果最大化,是各高校需要不斷探索的新課題。對此,筆者認為,需要引入風險管理,尤其是風險評估環節,先對學校的整體網絡安全狀況進行風險評估,再根據風險大小排查出需要立即處理的風險項并進行處置。
網絡安全政策内視
網絡安全政策主要包括網際網路暴露面收斂性、賬号洩露排查、供應鍊排查等。例如,内外網進行多輪漏洞掃描,清除隐患點;清理弱密碼(VPN、統一身份認證、重要應用系統);收回所有廠商的特權賬号,如WAF、防火牆、流量分析等安全裝置的白名單IP;通過搜尋引擎查找是否存在學校統一身份認證或校園VPN賬号密碼等資訊洩露;啟用堡壘機雙因素認證;搜尋學校所有使用的系統是否存在源碼洩露的情況;内網重要網段均部署蜜罐,外網部署1~2個蜜罐;重要伺服器上安裝HIDS或EDR;代碼托管網站(如GitHub)上設定誘餌并配合蜜罐,精準掌握攻擊來源;重要的伺服器設定ACL以及主動外聯請求的政策,隻能允許通路必須的網站和端口;所有系統的流量都被捕獲并送給态勢感覺系統分析,尤其是一些重要系統、門戶網站、VPN等;網絡裝置和虛拟化管理平台設定源IP通路限制等。
網絡安全政策的實施需要網絡安全投入,如增加網絡安全裝置、網絡安全團隊人力等資源。網絡安全投入最直接的展現是提高網絡安全成熟度,圖1為Gartner的網絡安全成熟度與支出圖。網絡安全成熟度越高,需要的投入也越大。
圖1 網絡安全成熟度與支出
網絡安全是為業務服務的,安全團隊要避免過分追求安全技術,為了安全做安全。尤其是在時間和資源有限的情況下,安全團隊需評估自身所要達成的成熟度目标,基于風險評估的方法,選擇合适的流程、技術和政策,以期達到理想效果。
網絡安全現狀與理想狀态
華中師範大學網絡安全現狀分析
第一,資訊資産複雜。資訊系統數量多,建設機關雜,安全管理困難;部分系統部署在公有雲,難以監管;部分系統長期“帶病上班”。第二,漏洞難以修補。系統老舊,打更新檔後系統不能正常運作;重建設、輕運維,日常安全維護缺失。第三,安全意識不足。弱密碼、預設密碼問題突出;被入侵後損失不太明顯,安全往往得不到重視;老師和學生的個人資訊和海量資料敏感度高。第四,網絡環境複雜,使用者需求複雜。第五,難以應對有組織的攻擊。對複雜攻擊的感覺能力不足;對釣魚郵件、0day、社工等進階攻擊手法的發現手段不足。第六,安全裝置的防護效果缺乏驗證。安全裝置缺失;安全裝置的配置沒有根據業務進行調整。
理想的網絡安全狀态
如圖2所示,華中師範大學打造“三化六防”的理想防控體系主要從三個方向出發,即打通學校的各種安全要素,整合安全資料,通過實時風險資料進行決策;具備快速發現、定位威脅與風險的能力,縮短事件響應時間,提高處置效率;完善面向實戰的縱深防禦體系,形成面向過程的動态防禦能力,建立基于情報資料的精準防禦能力,打造高效一體的聯防、聯控機制。
圖2 華中師範大學“三化六防”網絡安全綜合防控體系
采用PDCA循環實作理想狀态
PDCA循環由美國品質管理專家沃特·阿曼德·休哈特提出,經戴明采納、宣傳,獲得普及,是以又稱“戴明環”。PDCA循環将品質管理分為四個階段,即PLAN(計劃)、DO(執行)、CHECK(分析)和ACT(改善)。
從目前狀态開始,不斷進行PDCA循環,經過多輪的風險評估和處置,螺旋提升網絡安全成熟度直至達到理想的網絡安全狀态,如圖3所示。
圖3 PDCA循環提升網絡安全成熟度
風險評估過程
風險評估過程主要包括風險評估準備、識别資産、識别威脅和脆弱性、識别可能性和影響等。
風險評估準備與識别資産
風險評估準備工作一般包括确定本次風險評估的範圍,組建風險評估核心小組,準備業務連續性計劃,确定風險接受準則,制定詳細可行的工作計劃表。
資産是指對學校有價值的東西。其中,資訊資産主要包括基本資産和支援性資産。基本資産又包括業務過程和活動、活動資訊(見表1)。支援性資産包括硬體、軟體、網絡、人員、場所群組織架構。
表1 基本資産
識别威脅和脆弱性
評價資産可以用定量的方法或者定性的方法。定性方法的結果是資産的重要度清單。重要度的确定往往來自于資産的安全屬性(保密性、完整性和可用性),如表2所示。
表2 資産重要度
威脅是指可能對系統或組織産生損害的不期望事件的潛在原因,一種威脅分類見表3。
表3 威脅分類
脆弱性也可稱為弱點或漏洞,是資産中可能被威脅利用造成損害的薄弱環節。脆弱性可能存在于實體環境、組織、過程、人員、管理、配置、硬體、軟體和資訊等各個方面,脆弱性分類見表4。
表4 脆弱性分類
識别可能性和影響
可能性級别是要說明一個脆弱性在相關環境下被威脅所利用的可能性大小等級。分多少級别并不重要,重要的是級别的定義必須表示出相對的等級,一種可能性級别見表5。
表5 可能性級别
影響級别是威脅一次成功地利用脆弱性後對組織造成的不期望後果或損失的相對等級。等級的定義方式和可能性等級定義方式類似。
此外,風險矩陣是一種能夠把風險發生的可能性和傷害程度綜合評估的分析方法,它是一種風險可視化的工具,如圖4所示。
圖4 風險矩陣
可能性和影響都分為3級,采用乘法得到風險矩陣,矩陣中不同的數值區域代表不同的風險級别,分為高、中、低3個級别。
識别現有控制措施
首先,現有技術控制措施的識别可按照四個層次進行:網絡層,關注網絡層面的安全技術控制措施;系統層,關注系統層面的安全技術控制措施,一般用于保護特定的系統;應用層,關注專門針對應用或自身所固有的安全技術控制措施;資料層,關注專門用于資料防護的安全技術控制措施。
其次,确定技術控制措施的有效性方式主要包括:訪談和調查,工作原理分析,無害測試。
另外,現有管理控制措施的識别和确認,可以參考資訊安全管理标準或者最佳安全實踐(NIST的有關手冊),結合訪談和調查進行。
計算殘餘風險
殘餘風險指在實作了新增的安全控制後還剩下的風險。實際上,任何系統都是有風險的,并且也不是所有安全控制都能完全消除風險。如果殘餘風險沒有降低到可接受的級别,則必須重複風險管理過程,以找出一個将殘餘風險降低到可接受級别的方法。
風險處置
風險處置的方法主要有降低風險、轉移風險、規避風險、接受風險等。學校可以根據可接受的風險程度,選擇不同的風險處置方法。
其中,降低風險是一種消除脆弱性或組織威脅的防護措施,學校可選取最劃算或成本效益最高的控制舉措對風險進行緩解、降低。轉移風險是把風險帶來的損失轉嫁給另外一個實體或組織的措施,購買保險就是風險轉移的常見形式。規避風險是避免執行有風險的項目或流程,或通過控制授權消除所有風險。接受風險則是管理層對可能産生的成本/效益進行評估,并且确定對策成本遠遠超過風險可能造成的損失後的政策。
作者:周偉(華中師範大學資訊化辦公室)
責編:陳永傑
投稿或合作,請聯系:[email protected]