目前网络安全已成为教育信息化发展的关键要素。近年来,许多高校针对国家在等保合规性方面的要求建立了覆盖物理安全、网络安全、系统安全、应用安全、数据安全、安全管理等比较全面的安全防护体系,但由于缺乏能够适应安全风险动态变化的系统化方法,仍然不能有效抑制校园网络风险、安全运行管理工作仍难免陷于“救火队”的困境中。
因此需要进一步研究校园网风险管理的方法,建立更能适应校园网现状的网络安全风险管理体系。本文结合Gartner最新提出的自适应风险管理框架CARTA,探讨如何更加有效地实现校园网风险管理。
CARTA简介
2017年6月召开的Gartner安全与风险管理峰会首次提出了CARTA(Continuous Adaptive Risk and Trust Assessment持续自适应的风险与信任评估)框架,以提高企业网络安全风险管理水平。
CARTA的自适应防护过程
CARTA的本质是基于风险的弱点管理,主要包括外部性和动态性两大特征。
外部性是指CARTA实现了对外持续威胁评估,主要考虑的是外部事件。这对应于ISCM,后者是NIST推出的信息安全持续监控框架,旨在组织内进行监控活动和根据特征检测已知威胁。
动态性是指CARTA通过不断迭代来实现能力提升,包括弱点发现、弱点优先级排序、弱点补偿控制三个阶段,其中安全在任何地方、任何时冋都是自适应的。
持续、自适应、风险、信任、权衡,这五个短语构成了CARTA的关键要素。
持续是指风险和信任的判断过程是持续不断、反复多次进行的。
自适应指在判定风险时,不能仅仅依靠阻止措施,还要对网络进行细致的监测与响应,根据上下文动态调整权限。
风险指判定网络中的安全风险,包括判定攻击、漏洞、违规、异常等。
信任指判定身份,进行访问控制。
权衡指不要求零风险也不追求完全的信任,而是根据弱点评估结果,在两者之间动态调整。
CARTA的应用模型
具体实施时,CARTA框架从运行、构建和规划三个维度来定义组织的业务系统如何进行弱点管理。其中,运行指运行时自适应访问和自适应保护,构建指开发与合作,规划指治理与评价。
“等保”制度与校园网
我国在网络安全领域的主要依据是网络安全等级保护制度。2007年和2008年首先颁布实施的《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》等一系列文件被统称为“等保1.0”。
近期,国家已经将云计算、移动互联、物联网、大数据等新兴系统和应用纳入了等级保护范畴,并对原有等保制度进行了完善,提出了“等保2.0”。
在系统运维管理方面(管理要求项),“等保2.0”在设备维护管理(基本要求子类)中删除了原监控管理和安全管理中心的内容,并增加了2项新要求,即漏洞和风险管理。
等保制度通过对校园网信息系统实行分等级的安全保护、对校园网信息安全产品实行按等级的管理、对校园网安全事件实行分等级的响应和处置,有效地提高了国内高校信息系统的安全水平。
但是等级保护仅仅是对网络整体安全提出的基本要求,对于实现校园网有效风险管理的目标,仍存在一些不足。
第一,等保没有细化对安全管理过程的要求,各单位在落实网络安全等级保护制度时,仍然存在“重建设、堆设备”而疏于建设风险管理机制的问题,导致校园网安全防护体系过得了等保测评却难于建立应对校园网内外威胁的安全管理机制。
第二,等保对信息系统运维管理方面提出了基本安全要求,但其中没有指导如何开展安全风险管理。许多高校采用面向等保测评合规化的思路开展校园网安全风险管理,缺乏细致的风险识别机制,缺少动态的风险评估过程,在测评时对风险仅作一次性研判,即将这次风险评估结果作为跨越整个等保工作周期的基础,难于适应校园网安全风险的动态变化。
近年来,国防科技大学全面铺开了智慧校园的建设。原数据中心全面升级为采用云服务模式管理的云数据处理中心,新数据机房面积达1200平方米,数据中心SDN控制器分别配备了100多个网络设备管理授权节点和100多个终端设备管理授权节点、提供RESTful API标准北向接口。
数据中心云服务可用率达到99.99%,能够同时管理200台以上计算服务器,可服务于多个应用的动态云资源占比率超过75%。园区主干链路全面升级至万兆,均支持OpenFlow、NETCONF、SNMP等协议,构建了SDN网络。
图1 基于CARTA的校园网弱点管理架构
在前期建设完成得如此丰富而完善的,基于SDN的校园网云平台资源基础上,我们围绕CARTA定义的“运行-构建-规划”的三个维度,设计提出了基于CARTA的校园网弱点管理框架,如图1所示,并基于该框架开展了对智慧校园的自适应运维与保障实践。
基于CARTA的校园网弱点管理平台的运行
在校园网中应用CARTA框架时,我们从以下三个环节入手来构建运行时的自适应弱点管理。
1.资产发现
该环节旨在收集、管理一个完整、最新的校园网用户资产目录,用于风险分析、防御、恢复。
本阶段的工作首先是高危资产主动发现。校园网络安全需要保障成千上万台计算机、交换机和服务器等终端设备的运行,这些设备分布在校园的各个位置,用途也不尽相同。
我们建设了信息设备资产管理系统,所有资产必须录入系统,将资产按风险等级分类管理,追溯到资产采购、入库、出库、维修、报废等生命周期阶段的责任人,实现对所有资产的主动发现和有效管控。
我们还建设了可视化、自动化的运维系统,对资产设备运行状态进行实时监测,实现了对信息化资产存在的风险情形的全面、及时掌握。
其次是身份识别。校园网中不同资产的操作用户大多不同。这对建立运行完整的安全视图是个挑战,无法明确哪个用户在何时何地访问什么以及用户行为如何跨越多个安全方案和平台,就会严重影响风险评估效果。
我们的校园网身份识别过程实现了对所有校园网用户的持续性发现,包括特权用户、隐蔽管理员、过时账号、学员、教员、职员、服务账号等,该过程以掌控匿名账号为重点。
2.纵深分析
该环节旨在通过分析来强化检测效果,从而提高校园网风险防护能力。纵深分析需要对每个安全域所产生的大量数据进行分析判断,动态地去进行风险与信任评估,同时还要将不同纵深的数据进行融合分析。
本阶段的工作首先是实时威胁监测。我们基于SDN控制器统一采集网络设备、安全设备、业务系统的日志,应用大数据关联分析,发现单点设备难于发现的攻击和威胁,实现安全态势智能感知。
具体讲,我们具备如下多种能力。
一是能够对用户/实体行为进行建模,包括对网络中的每个用户/设备进行风险评级,对实时流量进行身份、行为分析。
二是能够实时检测多种典型威胁类型,包括高风险用户行为、恶意内部组件、异常行为、权限滥用、被攻陷的账号/设备、横向移动、提权、对内部基础架构的攻击等。
三是能够深度检测攻击工具(Mimikatz、PowerShell、PsExec、BloodHound等)和认证协议(NTLM、DCE/RCP、Kerberos、LDAP等)的使用。目前,学校的终端行为审计覆盖率已达99%。
其次是上下文敏感的大数据分析。以大数据智能分析实现精准检测,保持对全网安全态势的实时感知和监测,精确分析威胁渗透。采用了业界比较成熟的经典异常检测技术和新兴机器学习方法。
在这方面,国防科技大学具有自己的技术力量和人才优势,通过整合校内的网络安全攻防团队和人工智能科研团队,提高了风险分析和防范能力。信息中心还与互联网公司和安全厂商合作解决校园网实际安全问题。
国防科技大学
3.信任管理
该环节旨在管理校园网中不同设备、软件、使用人员间的信任关系,并且理解、监控、管理其交互过程。
本阶段的工作首先是评估。我们根据CARTA框架的要求,通过观察时序模式、上下文等来持续、动态地构建信任和风险模型。
当上述纵深分析过程发现受保护对象的环境变化后,我们将重新基于异常检测模型对其存在的风险情况进行判定,并对异常检测模型进行增量式重训练、对异常事件样本库进行更新。当某个设备或用户的风险分高于信任分时,及时采取措施降低风险分或提高信任分。
其次是控制。我们从信任的角度去进行访问控制,以实现CARTA所要求的持续自适应访问控制,该阶段可以细分为业务隔离和策略实施两个子阶段。
在业务隔离子阶段,我们依据业务风险级别对东西向校园网流量进行细粒度分级隔离。利用SDN控制器的微分段技术,将校园网按照不同风险等级的分组规则划分子网,具有相同安全保护需求并相互信任的实例被分为一组,使得数据报文仅能在约定的节点之间相互发送;通过安全组规则来授权两个不同级别安全组之间的可控互访。这种基于精细分组的安全隔离,可以实现不同风险级别服务间的业务隔离。
在策略实施子阶段,根据评估结果生成安全策略,以业务为中心进行权限管控。利用SDN控制器的安全策略智能调优、安全策略随业务实时迁移能力,从传统一刀切的“拦截/允许”的访问控制策略转向弹性实时响应策略,以避免干扰业务的正常运行。基于大数据安全分析系统的分析结果,通过SDN控制器可以调度边界-用户-虚拟机三重安全防护设备,实现了超过99%的终端安全策略实施率。
平台构建
基于CARTA框架,我们通过着力于以下两大环节,加强了现有模式下校园云服务开发和运维过程中的风险管理能力。
1.全生命周期持续测评
我们借鉴了DevSecOps开发管理模式和阿里云的产品生命周期模式,将安全责任赋予整个开发(Dev)、运维(Ops)及安全(Sec)团队中每个人。
我们将安全融入整个校园网云服务开发生命周期中,在应用架构审核、开发、测试审核等环节都有完整的,以等保2.0测评为核心的安全审核机制。
在立项阶段,根据业务内容、业务流程、技术框架建立功能需求文档、绘制详细架构图,并在等保2.0的所有安全要求中确认属于应用范围的安全基线要求。
在安全架构审核阶段,在前述文档的基础上对应用进行针对性的安全架构评估,对应用中每一个需要保护的资产、资产的安全需求、可能的被攻击场景提出详细的威胁建模和对应的安全解决方案,最终确认对于该应用的所有安全要求。
在安全开发阶段,开发人员根据安全要求在产品开发中遵守安全编码规范、实现应用的相关安全功能和要求,通过自评安全要求合规性并提供对应的测试信息来保证云产品快速、持续、安全的开发、发布与部署。
在安全测试审核阶段,根据产品的安全要求对其进行架构、设计、云环境等全方位的安全复核,并对产品的代码进行代码审核和渗透测试,对发现的问题及时进行修复和加固。
在应用发布阶段,只有经过安全复核并且得到安全审批许可后,应用才能通过标准发布系统部署到生产环境。
在新模式下,我们开发或重构了多个关键校园网云端业务系统,如个性化综合服务平台、数字迎新、人员车辆信息管理系统等,取得了不错的效果。
我们还搭建了云服务API管理模块,可视化地展现每个接入的服务所提供的接口、参数格式和类型、需要的访问权限和角色等,通过统一管理解决接口使用混乱、接口暴露等问题,也为前端开发和安全测试提供了便利。
2.弱点评估与权衡
在应急响应阶段,运维团队会利用等保测评工具等风险评估工具,不断监控校园网云平台、云应用、校园用户数据等可能存在的安全问题。
在发现漏洞后,团队会对安全漏洞进行快速、持续性的弱点评估和排序,以确定安全漏洞的紧急程度和修复排期,从而合理分配资源,做到快速并合理的安全漏洞修复。例如,对于远程执行漏洞利用攻击(RCE)等高危风险,我们会赋予其相对更高的优先级并快速做出应急响应。
平台规划
在规划维度,校园网风险管理过程在应用CARTA方法时,核心要点是实现在此维度的自适应决策过程,包括项目组织层次的自适应的决策、风险和信任评估等。在实践中,我们主要关注以下两大环节。
1.安全监管
根据CARTA对此阶段的定义,我们在项目组织层次按“持续监控->风险的业务描述->风险/信任排序->风险-收益权衡决策”来开展校园网监管运维流程。
我们依托自主研发的可视化、自动化运维系统,实时记录资产运行状况,为管理层提供决策依据和效果反馈。
当风险发生时,云端提前主动响应,避免安全人员介入或干扰合法校园网用户;风险响应后,允许校园用户参与评价访问的合法性和风险程度;风险评估后,根据上下文信息进行自适应访问控制策略调整;每月或者每季度,根据变化的安全情况,对风险级进行重新评估。
在项目组织层次,我们同样采用权衡式访问控制决策而不是非黑即白的决策,避免过度保守损失的业务和性能机会。
例如,传统基于口令复杂度和变换规则的认证机制存在较大风险,信息中心在发现风险后,不是强迫校园网用户定期修改口令,而是进行自适应、持续性的风险评估,利用在用户主页可视化地展示和量化风险,由用户自己在和低强度口令的记忆便利与风险之间进行权衡。
2.新厂商评估
学校的网络平台、应用系统和网络安防系统,大多是由信息中心的资源建设开发团队或其他多家不同的外包服务商各自独立建设。相比前者在开发过程上的可控性,外包厂商的安全可控性难以得到保证,可以说服务商的水平直接决定了网络安全的水平。
在服务采购阶段,我们要求负责校园网资源建设、开发和运维的核心人员都必须参与评审。在评估所采购厂商服务时,主要综合考虑五大要素:是否支持公开API、是否提供对云、容器等最新IT技术的支持、技术上能否支撑CARTA的自适应策略、能否会在没有前提条件下就获得对数据的全权访问、是否提供多种安全检测手段。在采购完成后,前述人员需密切跟踪厂商的整个服务过程。
此外,对于各学院系所和机关单位为推动其部门具体业务开展而独立开发的信息系统,学校信息中心在对其进行分解落实责任的同时,也会将其纳入全局的安全过程控制。
近年来,各大高校积极开展了基于云计算、移动互联、物联网、大数据的智慧校园建设。国家最新提出的等保2.0制度在整体安全性方面为智慧校园建设提供了更加强力的安全保障,但由于其仍然沿用了等保1.0在风险管理方面所采用的静态、一刀切的传统思路,高校在落实等保2.0制度、实现智慧校园风险管理时仍存在不足。
依托Gartner最新提出的CARTA框架,我们在智慧校园的运维工作中实现了对等保2.0的弱点管理和安全测评内容的覆盖,并改进了等保在风险管理方面的不足,有效地提升了风险管理能力,为智慧校园建设保驾护航。