安全管理平臺在企業網絡安全管理中的應用

文/劉洋

隨著網絡技術的快速發展，企業越來越依賴網絡技術的應用來提升企業自身的競爭優勢和運轉效率，借助網絡實現無紙化辦公，通過互聯網快速了解市場信息，掌握市場動態，制定出符合企業發展的戰略規劃，方便了企業管理，提高了工作效率，并節省成本。不斷擴大的網絡規模，以及不斷融合的各類應用，使得我們正處于一個非常繁榮而又危機四伏信息社會。每年數以千計的系統安全漏洞被發現，惡意攻擊、計算機病毒、內部人員資源濫用、系統和應用軟件遭到破壞，企業重要信息資產被盜取等行為越演越烈，加強企業信息安全建設刻不容緩。一方面是企業業務發展對信息系統的依賴，另一方面是不斷出現的網絡安全事件對企業管理層的困擾，怎樣平衡業務系統的可用性與信息資產的安全性是企業信息管理部門面臨的重要難題。

1 企業網絡安全管理現狀分析

現代企業，尤其是大型企業的業務分布于全國各地甚至許多國家，往往通過設立分公司、子公司等形式的分支機構或附屬機構直接從事業務，而在企業信息化層面，往往由總公司負責統一的建設并在公司內推廣，但為適應各分公司的具體情況，各分公司也有一定的靈活性，根據需求建設特有的信息化系統并進行網絡安全管理。為了維護企業信息安全，企業已經分別建設了防火墻、入侵檢測系統、安全配置核查等網絡安全設備，并分別由總公司和分公司進行管理。在信息安全的管理上存在以下問題和需求：

1.1 安全信息孤島

企業在不同時期、不同部門分別購置了各種網絡安全設備，如防火墻、入侵檢測系統、配置核查系統、漏洞掃描系統等設備，各設備間相互獨立，分別在不同的側面保護網絡系統的安全；各個安全設備間沒有信息交互，所以無法利用其它安全設備發現的風險，實時改進安全策略；網絡系統中的服務器、交換機等設備，以及數據庫等應用軟件也記錄了大量安全相關的事件，而這些事件都是孤立的存在于各系統中，無法被充分利用起來，與網絡安全設備發現的安全事件進行綜合分析；對于總公司、分公司類型的企業，在某一公司發現了安全事件，因缺少統一的管理平臺，往往不能及時將告警信息傳遞給總公司和其它分公司，無法做好防范工作避免更大損失。

1.2 管理維護復雜

網絡安全設備多樣且數量多，各設備都有獨立的管理工具，安全管理員維護多個設備就需要學習使用不同的設備管理工具，由于平臺不同，很難做到安全策略的統一配置，加大了安全管理員的工作復雜度。

大型企業的各分公司的安全管理工作一般由分公司的安全管理人員完成，總公司對分公司的網絡安全進行監管，但往往因缺少統一的安全管理平臺，造成總公司無法實時掌握各分公司的整體安全情況，也無法及時對分公司落實安全政策進行整體評價，加大了管理難度，也增加了安全風險。

1.3 缺少預警能力，喪失了提前處置的最佳時機

網絡安全事件常常不是孤立存在的，一次網絡入侵行為往往需要先進行掃描、嘗試連接等環節，這些在時間和空間上孤立的網絡事件，會被不同的網絡安全設備、服務器等設備記錄下來，孤立的看待這些事件，均是低等級或正常的網絡事件，被淹沒在海量的網絡事件中，無法識別其中隱藏的風險。

1.4 缺乏網絡整體安全風險評價

企業設備資產多，網絡復雜，面對層出不窮的網絡安全問題，雖配置了多種網絡安全設備，如防火墻、入侵檢測系統等，這些安全設備從不同的側面保護著網絡的安全，但對網絡的整體安全狀態仍缺少有效的評價。按照“木桶原理”理解，網絡系統的安全性是由安全最薄弱的環節決定的，所以有效評價整體安全，發現系統弱點成為大型企業網絡安全建設的重要工作。

1.5 安規要求

2016年《網絡安全法》的頒布，將網絡安全等級保護制度上升到法律層面，并對能源、交通、公共服務等重要行業和領域，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。《信息系統安全等級保護基本要求》中“關于信息系統整體安全保護能力的要求”明確指出，為了保證分散于各個層面的安全功能在同一策略的指導下實現，各個安全控制組件在可控情況下發揮各自的作用，應建立安全管理中心，集中管理信息系統中的各個安全控制組件，支持統一安全管理。

2 網絡安全管理平臺設計

針對大型企業面對的網絡安全風險、網絡安全管理等方面的問題，需要建設一套以網絡安全管理平臺為核心的安全管理中心，通過此平臺實現統一管理安全策略、統一管理系統和安全設備的安全配置、統一管理網絡系統安全事件、統一管理安全設備協同工作、統一管理安全事故的應急響應過程；通過此平臺收集系統日志、應用日志、網絡安全事件、系統漏洞、配置缺陷等信息，將收集到的數據做歸一化處理并存儲，采用大數據分析技術，從海量數據中挖掘出在時間、空間等均不同的各類事件之間的聯系，發現低風險事件中隱藏的高危風險，并提前預警；通過此平臺，結合防火墻、入侵檢測系統等對網絡安全實時的檢測與報警，結合漏洞掃描、配置核查、系統日志、資產信息，可以對網絡安全進行態勢評估，發現網絡整體變化規律和趨勢。

2.1 平臺特性

為解決企業網絡安全管理面臨的問題，網絡安全管理平臺作為安全管理的統一平臺，需具有數據采集、存儲、查詢、分析、可視化展示的功能，同時應具有如下特性：

2.1.1 可擴展性

平臺能夠自動適應或極少量配置調整，就可以滿足企業資產不斷增長、網絡結構調整的需要。

2.1.2 開放性

平臺應具有接入各類網絡安全設備、系統、網絡設備的能力，能夠提供豐富的接口接收其它設備提供的數據，并支持二次開發能力，以適應特定的接口接入需求。

2.1.3 分布式部署與管理

大型企業的分公司往往遍布各地，相應的，網絡安全管理平臺，也應支持分布式部署。對本地即可完成的管理工作，由本地管理平臺完成即可，或者由本地平臺完成預處理，再由中心平臺進行統一處理。

2.1.4 安全性

平臺的加入不應導致安全漏洞，平臺本身要提供安全措施保障平臺以及被管安全設備的安全性。

2.1.5 平臺適應性

圖1：網絡安全管理平臺總體架構圖

網絡安全管理平臺是一套管理軟件，不同企業所能提供的平臺環境可能是不同的平臺（物理機、虛擬機、容器）、不同的操作系統，因此網絡安全管理平臺應具備一定的平臺適應性。

2.2 架構設計

網絡安全管理平臺總體架構如圖1所示。

網絡安全管理平臺架構從邏輯上可分為安全要素提取層、集群化的數據資源存儲服務層、數據引擎分析引擎資源池層、系統功能資源池層、以及系統基礎服務支撐模塊集合，同時平臺支持對物理主機及云平臺等虛擬化平臺資源。

安全要素提取層：該層負責對流量數據、系統日志、應用日志、安全事件、系統漏洞等信息的采集、預處理，并將預處理后的數據傳遞給數據資源存儲服務層。該層采取資源池架構管理，各功能模塊間耦合性低，并可根據業務需要擴展自定義的功能模塊。

集群化的數據資源存儲服務：該層負責接收安全要素提取層、系統功能資源池層、數據分析引擎池層產生的各類數據并存儲，并為它們提供數據查詢等服務。該層采取大數據存儲架構與傳統關系數據庫并存的存儲模式，以滿足不同業務服務的需要。

數據分析引擎池層：該層負責對對海量安全相關數據進行深度分析挖掘，形成知識化數據，為業務應用層提供數據結果支撐。數據分析引擎微服務架構管理方式，各引擎間相對獨立，支持自定義方式擴展，以滿足系統應用層功能的數據分析要求。

系統功能資源池層：該層負責提供面向用戶具體業務功能、UI界面操作等，根據項目建設的不同，功能組件可以選配組合，以定制最貼近企業需要的功能平臺。

系統服務支撐模塊集合：該模塊集合包含了一系列支撐平臺功能的基礎服務和安全措施，包括權限管理、數據備份、硬件監控、升級管理、授權管理、兼容性、完整性等等。

2.3 關鍵技術

隨著網絡規模的擴大，網絡接入終端越來越多，數據流量也不斷增大，網絡安全管理平臺也需要能夠接入海量、異構的數據。隨著網絡入侵和攻擊正在向規模化、復雜化的趨勢發展，網絡安全管理平臺需要具備從海量異構數據中挖掘有用信息的能力，準確掌握網絡整體安全態勢狀況。主要包括以下4個關鍵技術：

2.3.1 多源數據接入技術

在平臺設計中，安全要素提取層負責采集與安全相關的海量異構數據，為提高管理平臺安全識別能力，需完整收集安全相關要素的數據。可將安全要素數據分為三種類型：

（1）高頻數據：也就是通常所說的大數據，以海量、高速、異構為特征，主要有外部流、運行狀態和性能數據、日志和事件、原始流量鏡像包和Flow流數據等，通過高速數據總線采集；

（2）中頻數據：通過在網絡關鍵位置部署相應的探測器采集引擎，對全網安全威脅包括業務系統漏洞、應用配置問題、安全事件、病毒木馬等安全威脅進行監測；

（3）低頻數據：包括常見的資產信息、配置信息、弱點信息、身份信息和威脅情報等，通過低頻數據總線進行采集。

針對每種類型的數據需采取不同的數據采集技術進行數據收集，平臺提出全要素數據適應性采集技術，用于實現高頻、中頻、低頻數據的匯集接入。

2.3.2 基于機器學習的日志模式識別與可視化范化技術

網絡安全管理平臺接入了多種異構安全設備，如防火墻、入侵檢測系統、漏洞掃描系統、操作系統日志等，各類安全設備大都采用自定義的告警傳輸及交換格式，這給告警信息處理帶來實現難度。

（1）定義方式缺乏規范性，各系統定義的事件格式僅在各自系統內部有效，系統間缺乏互操作性；

（2）對同一類事件，各系統采用的表達和描述方式不一致，從而導致一個系統內定義的事件，在沒有人工參與的情況下，不被其它系統理解。

傳統的日志范式化技術一般采用正則表達式來編寫，日志格式稍一改變，正則表達式可能就會失效，造成無法識別和范化。而采用機器學習技術對海量日志進行學習和識別，通過分析日志語法結構和聚類算法，自動化對日志進行聚類合并，形成一個個包含相似數據內容的日志集。另外，采用可視化范化技術，針對范化需求，運維人員可在頁面編寫正則表達式后直接顯示提取結果，并可將提取內容通過鼠標將內容拖曳至相應的范化字段，直接完成字段對應，系統會根據運維人員的操作自動生成范式化解析腳本并開始生效工作，可視化范化技術大幅降低范化工作復雜度，提升日志范化的效率，使平臺變得更易用高效。

2.3.3 海量數據融合技術

按信息抽象程度的高低，可將數據融合從低到高分為三個層次：數據級融合、特征級融合與決策級融合。數據級融合是對采集的、未經處理的數據進行綜合分析；特征級融合是對采集到的原始數據進行預處理，然后對預處理后的數據提取特征信息的一種綜合分析和處理過程；決策級融合是對不同類型的傳感器進行本地化處理，包括預處理、特征抽取、識別或判決，以建立對所觀察目標的初步結論，然后通過關聯過程做出決策層融合，最終獲得聯合推斷結果。決策級融合相比其它兩種融合方法，是基于一定的準則和決策可信度做最優決策，具有良好的實時性和容錯性。

目前，在大規模網絡中，網絡安全數據和日志數據由多種類、大量設備或應用系統產生，且這些安全數據和日志數據缺乏統一標準與關聯；另外異構安全設備輸出的告警事件往往存在很大的冗余，表現在同一安全設備對同一事件的重復告警，不同安全設備對同一事件的告警。因此網絡安全管理平臺綜合分析所有安全要素數據時，要打破傳統的單一模式，打破表與表、行與行之間的孤立特性，把數據融合成一個整體，從整體上進行全局的關聯分析，對數據整體進行高性能的處理，以互動的形式對數據進行多維度的裁剪和可視化。

2.3.4 多層次智能安全分析技術

隨著信息化的發展，網絡安全形勢越來越嚴峻，網絡攻擊的形式多樣，有顯式的破壞性行為，如DDoS攻擊、暴力破解等；也有針對特定政府或企業的高級持續性威脅（Advanced Persistent Threat, APT），發動APT攻擊的黑客或組織不為短時間獲利，而是把被控主機或系統當成跳板，持續隱蔽攻擊，攻擊周期可以持續長達數年。不斷演化的攻擊手段也使得傳統防御系統效果越來越差。

針對復雜的網絡安全環境，網絡安全管理平臺應提供多層次的安全事件分析技術。對于已知安全風險，通過對安全事件的分析，在系統內置多種安全分析場景規則，也可以通過可視化方法編輯關聯規則，關聯分析引擎實時分析采集的安全日志和流量元數據，結合各類情境數據，及時發現已知的攻擊和威脅；針對未知威脅，平臺采用基于機器學習的異常行為檢測方法，從海量日志和流量元數據中選擇屬性特征進行學習，構建實體的行為基線模型，通過實際值與預測值的偏差分析識別異常行為，并通過對置信度的進一步計算，超出置信度閾值的將被判斷為安全事件；針對攻擊鏈行為，采取深度分析技術，探索整個攻擊鏈過程中的不同階段的攻擊，構建攻擊行為鏈和影響性分析。

3 平臺應用實踐

不同企業網絡具體情況不同，安全管理制度有差異，網絡安全管理平臺的具體應用場景也會有差異。對于典型的總公司、分公司管理模式的大型企業，一般將網絡安全管理平臺部署在公司總部，通過syslog、JDBC等方式獲取總部及各分公司所有被監控服務接待的系統日志、應用日志、數據庫日志，經過對日志的粗慮、日志泛化、日志歸并等處理后，被統一納入總部數據存儲節點統一存儲，日志泛化管理列表如圖2所示；通過SNMP Trap、syslog等方式獲取入侵檢測系統、防火墻等設備產生的網絡安全事件；另外，納入對配置核查系統的管理，自動調度并載入漏洞掃描系統提供的漏掃結果。從而通過對網絡安全管理平臺的建設，實現對多數量、多種類安全管理設備的統一管理，實現對多種安全要素信息的綜合分析，并做到對安全事件告警的統一管理與態勢感知。資產態勢監控界面如圖3所示。

4 總結展望

網絡安全管理平臺通過為政府、企業等提供數據分析結果和全網的安全風險情況，輔助管理者做安全戰略決策，并根據最終結果對網絡安全防護策略進行調整，其應用方興未艾。但是，現階段網絡安全管理平臺普遍存在大數據分析技術與態勢感知雖有應用結合但仍不夠緊密、深度學習技術還有廣泛的應用空間、網絡安全態勢的預測能力還不夠成熟等現象。

圖2：日志泛化管理列表

圖3：資產態勢監控界面

隨著整個社會對網絡安全的重視，以及大數據、人工智能技術的不斷成熟，深度融合大數據和人工智能技術必將在網絡安全管理平臺中得到更深入的應用。通過在平臺中融合使用深度學習、知識圖譜等大數據分析算法和人工智能模型，從而在整體上把握網絡空間安全狀態，實現對關鍵信息基礎設施和重要信息系統的網絡攻擊和重大網絡安全威脅實現看得見、防得住、可追溯，做到及時發現提前預警，并提供有效處置建議。