網絡安全運營管理平臺關鍵技術研究

蔣旭東

（北京許繼電氣有限公司，北京，100085）

1 網絡安全運營問題分析

在監測預警方面，目前網絡安全監測預警主要采用人工的方式開展監測預警工作，在運的安全平臺數據相互獨立，每個角色需同時面向多個界面，網絡安全運維工作量大；不同類型的安全設備、系統產生了大量冗余、誤報的安全數據，安全人員難以實時處理；安全事件獨立分散，無法有效的反映真實的網絡威脅。

在響應處置方面，目前各類安全事件主要依賴于人工進行事件響應，包含查看數據、封禁IP、電話反饋、郵件通報等，一次完整的應急響應需在10個以上的場景間切換。現有的應急響應方式已經不能滿足網絡安全對抗日趨頻繁的現實需求，應急響應自動化的需求已經迫在眉睫。

在技術分析方面，對安全告警的深度技術分析主要依賴技術人員的個人能力與經驗，且依賴人工的深度分析、溯源反制效率較低，一旦發生分析重心出錯的情況，可能遺漏真正具有價值的攻擊威脅。

在協同指揮方面，目前網絡安全設備和系統自動化程度在不斷提高，但事實上還存在多個信息孤島，設備、系統之間缺乏有效的交互，使得內部多個自動化模塊是割裂的、局部的、孤立的，不能構成一個實時的有機統一平臺，導致信息沒有充分共享，進而降低協同聯動效率，無法實現統一的指揮決策。

在流程管理方面，目前重點的安全管理流程仍以線下管理為主。常態化安全工作中排查發現的系統漏洞需要人工導出清單，完成漏洞預警單編制后下發排查整改，以表格形式匯總和跟蹤漏洞整改情況；系統上線測試缺乏統一平臺管理測試過程文檔和測試情況，復測驗證需要專人跟蹤閉環，整體工作效率和管控精益度有待提升。

2 網絡安全管理平臺的能力需求

通過網絡安全管理平臺的建設將設備、流程和技術進行有機的結合，實現網絡安全集中監控、預警、運維、管理，滿足網絡安全平協同指揮的工作要求，以全局視角統籌協調網絡安全工作。

一是網絡安全事件管理集中化，通過對各種網絡設備和安全組件的集中統一管理，將原本一個個分離的信息安全孤島連接成一個有機協作的整體，實現對企業安全策略的制定、設備的統一配置、安全事件的集中管理、安全事故的應急響應以及安全策略的重構，從而有效提高用戶網絡的可管理性和安全水平。

二是網絡安全業務流程數字化，以數字化手段建設網絡安全管理體系，滲透到網絡安全業務鏈各個環節和各個層級，實現網絡安全管理流程線上流轉和業務線上管理，實現網絡安全信息高度集成和實時共享。

三是網絡安全運營維護自動化，通過安全設備、安全系統數據的批量采集和關聯分析，借助自動化事務調度、自動化安全編排等技術，實現安全態勢自動化監控、運行維護自動化作業、風險隱患自動化預警以及安全事件自動化響應。

3 安全運營管理平臺的建設現狀

國內安全廠商在自主研究開發基礎上不斷對國外廠商的SOC 產品分析和研究，推出了多種網絡安全管理的概念和產品[1]。安全運營管理平臺建設利用安全智能、機器學習和深度學習等技術，依托SIEM+大數據平臺，實現警報自動分級與資產自動排查、威脅高度可視和智能定位、風險深度挖掘、安全態勢整體感知，打破安全防御孤島，將各個分散的信息源匯聚后進行統一管理，通過關聯分析對風險進行有效的防控。

在技術架構體系方面，基于最新的安全運營架構體系構建，實現以SIEM為核心并集成全流量分析模塊、威脅情報模塊和機器學習模塊的新一代SOC架構，提升架構的適應性與靈活性。

在安全場景分析方面，在傳統基于規則的設計方法之上，引入了用戶行為分析技術，通過算法引擎深度挖掘用戶的各種異常行為，為識別高級持續威脅攻擊、社會工程等提供有力支撐。

在提高安全運營工作效率方面，借鑒SOAR理念，通過SIEM平臺并集成腳本技術，實現安全分析操作與多個工具的自動編排和高度可視化，以及安全處置操作和流程的自動化，提升安全分析人員效率。

在協同管理方面，形成多級管理模式，適應集團型安全管理工作的開展，例如：總部、分支機構的架構模式。

在可視化方面，通過大數據分析技術，將日常工作匯總，對安全數據進行統一的可視化展現，從全局視角監測安全態勢。

4 關鍵技術

4.1 平臺架構

網絡安全運營管理平臺作為網絡運營管理的支撐平臺，可將整個安全管理體系納入管理，但其核心還是綜合分析和響應處置兩個功能，其基本架構如圖1所示。

圖1 網絡安全運營管理平臺基本架構

平臺的數據采集對象包括網絡設備、安全設備、主機設備、應用/服務等，通過不同的采集方式進行全要素信息采集。分析引擎主要是對大數據分析技術和人工智能技術的應用，對原始數據進行統計分析和學習建模，從網絡安全威脅、用戶行為、脆弱性三個方面發現網絡面臨的風險。對于發現告警事件、應急響應事件，以及活動保障期間事件、作業任務處置流程進行全程閉環管理。

4.2 數據采集

網絡安全運營管理平臺建立在各種網絡設備、安全設備、服務器設備、和應用系統所產生的安全數據及事件的基礎上。從各種數據源高效靈活的采集安全數據是進行網絡安全管理的一項重要的基礎工作。安全數據根據涉及的網絡架構、協議、流量、設備、人員、管理機制等因素進行分類[2]，網絡安全數據類型見表1。

表1 網絡安全數據類型

安全數據的類型、內容、格式各不相同，針對每種數據需要有針對性的采集方式對其進行采集，數據采集方式包括主動采集、被動采集、鏡像模式采集等。

當原始數據以文件、數據庫等形式存儲在數據數據產生地，通過在數據產生地部署采集代理的方式，對指定目錄下的文件進行監聽、進行增量讀取，或通過ODBC/JDBC等通信協議獲取數據庫存儲的原始數據。

對于支持主動向第三方系統發送數據的數據源，采用Syslog、SNMP、Webservice等方式發送給指定的數據接收者。

通過網絡交換設備的鏡像端口，接收來自網絡中傳輸的任何網絡訪問流量。

4.3 安全事件綜合分析

網絡安全事件綜合分析通過分析多個事件的之間的聯系，將不同來源的數據、知識關聯起來，發現孤立的事件無法揭示的問題本質，發現攻擊者的真正目的，準確定位攻擊意圖。一些典型的關聯操作如表2所示。事件綜合分析的實現主要依托分析算法與高效的分析引擎設計[3]。

表2 網絡安全事件關聯操作

4.4 事件響應

當網絡安全事件分析產生告警事件后，就進入到事件的響應處置環節。需要采取有效措施阻止網絡安全事件的進一步擴散，防止網絡內基礎設施破壞和數據篡改、泄露，保障網絡內業務系統安全、穩定和高效地運行。

有效的事件響應需要設計合理的事件響應結構，規劃好響應過程中所需要的資源、計劃好實用的技術、編制規范的事件響應流程、并協調好組織中各部門的關系等[4]。事件響應框架如圖2所示。

圖2 網絡安全事件響應框架

事件響應流程按照PDCERF響應模型可分為準備（prepare）、檢 測（detect）、抑 制（control）、 根 除（eradicate）、恢復（recover）和跟蹤（follow）6個階段。6個階段是循環有序的，每個階段到的工作均是為下一階段做準備[5]。事件類型的不同，采用的處置流程、涉及的人員和設備也不相同。

事件的響應可以通過人工的方式，也可以根據預設的響應流程自動執行。網絡安全運營中的事件自動化響應通過事先定義好的流程化框架對系統進行監控，一旦達到觸發條件，可以按照預先設置流程，通過多個設備或者服務間的事件協同，實現事件的自動化處置。

5 總結與展望

網絡安全運營管理平臺是在原有安全產品的基礎上構建的一體化技術支撐平臺，以綜合分析、響應處置為核心的網絡安全防護能力，在網絡安全運營管理中發揮關鍵作用。而隨著安全數據、應用、場景量的激增，網絡安全運營管理平臺的技術能力也需要不斷的提升。對于用戶而言，網絡安全防護的目標是保障IT資產所承載的業務的可用性、連續性、以及安全性，因此網絡安全運營管理平臺應從以事件核心逐漸向保障業務安全為核心轉變，通過業務建模、分析業務風險，構建面向業務的能力體系。另外，網絡安全運營管理平臺應以更智能的方式處理日益龐大的安全數據、以自動化的響應方式減少人員的工作強度，通過機器學習、人工智能等技術發現數據背后的原因，通過SOAR技術進行編排和自動化響應。