信息系统安全管理的流程

信息系统安全事件的流程化管理探讨

贾培刚 韩强 天津市电力公司

摘要：本文根据信息系统资产的安全等级的划分，详细地进行信息安全事件的定义、等级划分进行描述，阐述了在天津电力利用流程化进行不同等级安全事件的处理过程，进行信息安全应急响应，安全事件的上报机制等。

关键词：安全事件、应急响应、流程、风险等级、安全资产

一、引言

近年来，企业信息化建设的步伐加快，信息化应用越来越广泛。信息安全问题也更加突出，不能把信息安全的保障理解为纯粹的技术工作，忽略了安全组织体系、应急响应和管理体系在安全保障体系中的重要作用，其结果是：安全隐患不能及早发现，安全补丁没有全面通知，安全常识无法得到普及，虚弱的企业内网即便在强大的安全产品保障下依然不堪一击，安全问题层出不穷，企业顾此失彼，疲于应对！例如，爆发的SQL Slammer蠕虫，一个已经公布半年的安全漏洞依然造成了12亿美元的巨大损失，甚至连微软公司自己都没有幸免，安全管理制度的缺陷和安全防范意识的薄弱一览无余，不断发生的类似事件再次提醒业界：信息安全应急响应、安全事件流程化等级处理的实施刻不容缓！

供电企业的网络庞大而复杂，其上运行着多种网络设备、主机系统以及业务应用。而且，随着业务的不断发展，各种新业务的推出，不同的系统纷纷建立。虽然在各个系统建设时，都考虑一定程度的安全防护，但是由于时间、应用的差异，造成这些安全防护体系在架构、机制以及使用方法等各方面不尽相同。这导致了安全策略不一致，安全事件不能及时定位与响应，安全系统整体运作效率低等问题。不仅消耗维护人力和时间，而且阻碍了运营安全水平的提高。在这种情况下，资产安全等级、安全事件流程化等级处理需求日益显露，电力企业信息部门需要全面了解安全现状，准确及时把握安全事件，并能够对安全建设整体规划和有力落实。

二、信息资产识别和分类

信息资产广义上应该包括：数据库及数据文件、系统说明文档、用户手册、培训手册、操作或支持程序、应急计划、后备安排、归档信息）；软件资产(应用软件、系统软件、开发及系统工具)；服务(计算及通讯服务、数据网络、电话传真）；物理资产(计算机设备，通讯设备、、磁带磁盘、其它技术设备（电源、空调）、家具、建筑物等；无形资产(企业形象、信誉等)。

信息资产分类包括以下类别： (1)、服务（Service）：WWW、SMTP、POP3、FTP、MRPII、DNS、呼叫中心、内部文件服务、内部BBS、网络连接等；

(2)、电子数据（Data）：源代码、各种数据资料、运行管理规程、计划、报告、用户手册等；

(3)、软件（Software）：应用软件、系统软件、开发工具和资源库等； (4)、硬件（Hardware）：计算机硬件、路由器、交换机、程控交换机、布线等； (5)、纸质文档（Document）：文件、传真、电报、财务报告、发展计划； (6)、设备（Facility）：电源、空调、食品柜、文件柜等；

(7)、人员（HR）：各级雇员和雇主、合同方雇员； (8)、其它（Other）：企业形象，企业声誉、客户关系等。

信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化分析。

三、信息系统安全事件及分类

信息系统安全事件是指信息网络的计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行，或已经发现的有可能造成上述现象的安全隐患。例如：非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏；信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏；拒绝服务，正常用户不能正常访问服务器提供的相关服务；系统性能严重下降，有不明的进程运行并占用大量的CPU处理时间；在系统日志中发现非法登录者；发现系统感染计算机病毒；发现有人在不断强行尝试登录系统；系统中出现不明的新用户账号；管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁；文件的访问权限被修改；因安全漏洞导致的系统问题；发现网络侦察行为；其它的入侵行为。

安全事件主要分为两大类：物理安全事件和逻辑安全事件。无目标脚本（Non-Targeted Script）、可疑行为（Suspicious Activity）、网络侦查、扫描（Reconnaissance Probe）、有目标的攻击（Targeted Exploit）、 非关键系统入侵（Compromise-NonCore System）、 关键系统入侵（Compromise-Core System）。

(1)、无目标脚本事件是随机出现的信息收集行为，通过通用的脚本无目标地搜索不设防或者明显有漏洞的主机和服务器。通常由网络和主机IDS告警：低或中优先级告警。通过统计和分析也可以发现。

(2)、可疑行为是通过审计或者监控发现的目的不明的连接、源IP、端口号、连接失败尝试等，由于无法确定是否攻击，因此定义为可疑行为，通常来自外部IP的可疑行为更应加以注意。通常由IDS告警：低或中优先级告警。通过统计和分析也可以发现。

(3)、网络侦查、扫描是侦察和扫描的目标集中在某个特定的主机上或者具有共同特征的一组主机上面。通常包括通过SNMP获取信息，在较短时间内进行不同层次和方式的扫描、欺骗等行为。通常由IDS告警：低或中优先级告警。通过统计和分析也可以发现。

(4)、有目标的攻击是攻击集中在某一台主机或者几台主机上，不断进行以中断系统服务、窃取数据或者资源的行为，例如：进行漏洞尝试、口令猜测、暴利破解等攻击；试图提升权限；采用DOS/DDOS攻击，试图中断服务。

(5)、非关键系统入侵是资产价值较低的设备受到入侵。

(6)、关键系统入侵是资产价值较高的设备例如：营业、客服、网管、应用、数据库服务器、骨干网络设备、不允许连续中断24小时的系统等受到入侵。

四、信息系统安全事件的分级

根据事件危害程度和天津电力业务的特点，将安全事件主要分为：

(1)、安全事故包括由于安全原因造成的网络通信物理或逻辑中断的事故；由于安全原因系统重要业务运行停止造成的事故；系统重要业务数据损坏；已经证实系统遭受入侵，机密数据外泄；因安全隐患可能会造成事故的现象。安全事故通常包括非关键系统入侵和 关键

系统入侵。

(2)、严重安全事件包括由于有目的或者无目的的行为导致网络资源不足，业务部分不能提供服务；已经证实有攻击行为持续发生；在内部网络上进行扫描和口令猜测等行为；大规模的病毒爆发和传染。严重安全事件通常包括网络侦查、扫描和有目标的攻击。

(3)、一般安全事件包括由于安全隐患或系统遭受入侵、尝试性入侵但未造成不良后果的网络通信或系统业务运行中出现的一般故障，或利用本网发起的对其它网络的攻击。一般安全事件通常包括无目标脚本和可疑行为。

五、不同等级安全事件处理流程

天津电力在信息系统安全建设过程中，不断摸索和研究信息安全事件的流程化处理，保证所有安全事件在进行等级处理的基础上，能够及时、准确的处理。总结出下面的安全事件处理流程： < …… 此处隐藏：1833字，全部文档内容请下载后查看。喜欢就下载吧 ……