企业网络安全监测预警体系研究

2018-02-26卢晓梅郭永和李显旭

网络安全技术与应用 2018年2期

◆王婵李静胡威程杰刘安卢晓梅郭永和李显旭

企业网络安全监测预警体系研究

◆王婵李静胡威程杰刘安卢晓梅郭永和李显旭

（国家电网公司信息通信分公司北京 100761）

随着网络技术的不断发展，企业网络安全面临着更严峻的挑战，加强关键信息基础设施安全防护、提升网络安全防范水平成为各企业的焦点。为解决这个问题，本文提出一种企业网络安全监测预警体系建设思路。此体系通过建立总网络安全监测预警中心、分网络安全监测处置中心两级网络安全运营中心，统筹公司人才、技术和装备力量，构建了“总部-分公司”纵向网络安全协作和资源共享机制，是推动大型企业提升整体风险管控及态势感知能力、网络安全风险实时响应及应急处置能力的有益尝试。

网络安全；监测预警体系；纵向网络安全协作；资源共享

0 引言

随着网络技术的不断发展，网络空间安全态势呈现新特点、新趋势，也面临严峻的技术挑战[1,2]。在此背景下，党中央、国务院高度重视网络安全工作。2016年4月，习近平总书记在网络安全和信息化工作座谈会上提出要全天候全方位感知网络安全态势，做好风险防范。12月，国家互联网信息办公室发布《国家网络空间安全战略》，强调保护关键信息基础设施及其重要数据的重要性：“坚持技术和管理并重、保护和震慑并举，着眼识别、防护、检测、预警、响应、处置等环节，建立实施关键信息基础设施保护制度，从管理、技术、人才、资金等方面加大投入，依法综合施策，切实加强关键信息基础设施安全防护。” 2017年6月1日，《网络安全法》在我国正式施行，全面规范网络空间安全管理问题，强化了网络运营者的主体责任，标志着网络安全工作上升至国家法律高度。

因此，加强关键信息基础设施安全防护、提升网络安全防范水平成为各企业的焦点。特别是大型企业，因其信息系统多、影响范围广、商业价值大等众多因素更易成为网络攻击的攻击对象，网络安全责任也更加重大。为此，大型企业均根据自身特点积极搭建安全防护体系，开展网络安全工作，但往往存在以下问题：

（1）过度信赖安全防护设备。企业往往购买大量安全防护设备，简单堆砌形成安全防护体系。而网络安全技术人员在日常网络安全工作参与度不够，导致隐藏在海量攻击日志中的网络安全威胁事件无法发现。

（2）安全防护体系存在短板。大型企业下属各公司的网络安全队伍建设进度不一，技术实力存在差距，并且技术装备配备不同，导致企业整体安全防护体系的短板问题。

（3）安全情报碎片化。各分公司网络安全工作处于单打独斗状态，独立掌握自身的安全情报，缺乏安全情报共享渠道，无法做到企业网络安全态势整体感知，缺乏企业总部与分公司之间的纵向协作通道，无法做到企业各功能共同面对安全事件，实现联合防御。

（4）安全事件处理过程存在环节弱化或缺失的问题。企业往往未实现对安全事件处理流程的明确和固化，存在安全监测、分析研判等环节弱化，或者存在事件溯源取证、预警指挥等环节缺失的情况。长期以往，对企业整体网络安全工作不利。

目前，国内外已涌现众多针对如何组织开展网络安全监测预警工作的研究成果。但是研究成果多为对工作机制的探讨，并未针对企业日常网络安全监测预警工作流程进行梳理明确，未提出具体的工作落地方案[3-5]。针对以上现状和难题，本文提出一种企业网络安全监测预警体系的设计思路，梳理出一套完整的网络安全监测预警工作流程：网络安全事件监测、分析研判、应急处置、事件上报、溯源取证、漏洞消缺、预警指挥。此体系统筹企业人才、技术和装备力量，构建“总部-分公司”纵向网络安全协作和资源共享机制，最终实现企业的主动防御和联防联守。

1 企业网络安全监测预警体系建设思路

网络安全监测预警体系定位于面对企业整体的网络安全威胁监测、分析和处置中心。大型企业总部设立总网络安全监测预警中心，分公司设立分网络安全监测处置中心，形成“总-分”两级纵向网络安全协作和资源共享通道。

总网络安全监测预警中心负责企业整体的态势感知，及安全事件的预警指挥。其主要任务是实时监测企业整体的网络安全威胁情况；针对严重安全威胁事件开展溯源取证和预警通报工作；指挥安全威胁事件的处置，实现企业整体态势感知和联动防御。严重安全威胁事件来源包括：总网络安全监测预警中心监测发现的严重安全威胁事件，以及分网络安全监测处置中心上报的严重安全威胁事件。

分网络安全监测处置中心负责分公司的态势感知，运管范围内的安全威胁事件的上报和处置。其主要任务是实时监测、分析和处置运管范围内的各类安全威胁事件，并将严重安全事件上报至总网络安全监测预警中心；按照总网络安全监测预警中心的漏洞整改和风险预警处置要求，制定具体的落地整改方案并按期完成安全威胁事件的修复和处置。

依托网络安全监测分析预警体系，可以实现：

（1）固化网络安全监测预警流程，明确各责任主体在应对网络安全威胁时的职责分工。

（2）实现纵向网络安全协作和联防联守，总网络安全监测预警中心统一指挥严重安全威胁事件的处置工作，各分网络安全监测处置中心积极响应并落实处置工作，共同应对网络安全威胁。

（3）打通总部与分公司、分公司与分公司之间的资源共享通道。一是总网络安全监测预警中心牵头建立威胁情报库，收集外部威胁情报和内部漏洞整改知识，提升各分公司预控能力，防患于未然，实现情报共享；二是充分融合各单位网络安全人员、技术、设备等各方面的优势力量，形成安全威胁分析典型工作经验并进行企业内部分享，实现经验共享；三是总网络安全监测预警中心组织各分公司进行培训交流、攻防实训，促进跨公司的交流与培养，加强网络安全人才团队建设，并选取企业优秀技术人才，组建网络安全专家库，必要时采取现场或者远程技术支持的方式进行事件处置，实现人才和技术共享。

2 企业网络安全监测预警体系建设内容

2.1装备设置

传统安全设备无法整合各分网络安全监测处置中心的设备告警信息，为监测企业整体网络安全威胁，企业需要建立一套网络安全事件监测预警系统，利用网络态势感知、大数据分析技术将各分网络安全监测处置中心分散的、孤立的网络安全监测数据组织起来并进行深度关联和分类，提炼出有价值的安全威胁告警信息展示给总网络安全监测预警中心安全分析人员，从而作为传统防护措施上的重要补充手段，提升企业整体风险管控及态势感知能力。

目前，已有相关研究成果。网络安全事件监测预警系统一般包含三个组成部分：数据采集层、数据分析层和数据展示层[6]。具体见图1。每个组成部分的功能是：

（1）数据采集层负责将各分网络安全监测处置中心的安全监测数据进行采集、去噪、标准化等预处理，转变成容易处理、格式标准的数据集合，作为分析层的数据来源。

（2）数据分析层负责采用大数据挖掘等技术对海量安全监测数据进行关联分析，提炼出安全威胁事件，并确认安全威胁事件影响范围、危害程度。

（3）数据展示层实现对数据分析结果进行展现与操作的界面，实现了安全监测管理的可视化全景展现。

图1 网络安全事件监测预警系统实现框架

2.2人才培养

网络安全人才培养是企业建设网络安全监测预警体系的重要保证。中网办发文[2016]4号提到“人才是网络安全第一资源。各地方、各部门要认识到网络安全学科建设和人才培养的极端重要性，增强责任感使命感，将网络安全人才培养工作提到重要议事日程。”总网络安全监测预警中心应牵头组织各分网络安全监测处置中心共同开展网络安全人员培养，进行安全人才共建。人才培养包括安全意识培训和安全技能培训。

（1）安全意识培训

企业致命的网络安全隐患往往存在于很多看起来不起眼的细节上，而从业人员则是其中最易被攻破的一环。在所有的网络安全事件中，由于社会黑客入侵或其他外部原因造成的安全事件只占20%-30%，而内部员工的疏忽或有意泄露是造成70%-80%安全事件的主要元凶[7]。现有高端安全防护产品构建的防护体系无法做到完全杜绝网络安全风险，而提升企业员工的网络安全意识，让企业员工建立保卫企业网络安全的责任感，是企业面对安全威胁最有效的防护措施之一。网络安全意识培训可以遵守以下原则：

①树立危机意识，明确企业发生网路安全事件的后果和责任。企业应建立健全适用的信息安全管理规章制度和操作流程规范员工行为，并组织针对公司信息安全相关制度、处罚条例的学习和宣传，使员工明白不规范操作给企业带来的损害以及要承担的后果。

②结合企业文化、企业网络安全相关要求，提升员工网络安全意识。结合企业的文化、具体情况和要求，定期采用网络安全培训、安全意识考试、安全画报、视频、安全手册宣传等多种方式，在企业员工日常工作中进行网络安全意识普及。同时可以根据企业具体情况，集合国家、社会上的网络安全事件，举办专题学习讨论，强化员工网络安全意识。

（2）安全技能培训

网络攻防的对抗本质上在于人的对抗，网络安全人员的分析研判能力、指挥能力以及处置执行能力，直接决定企业网络安全风险和突发网络安全风险应对能力。

企业深入开展网络安全技能培训和认证，培养具备高网络安全技能的人才、建设一流网络安全队伍。总网络安全监测预警中心牵头搭建攻防模拟仿真环境作为支撑手段，采取专业技能培训取证、技术交流、攻防演练实训、竞赛比武等多种形式，定期组织各分网络安全监测处置中心网络安全技术人员到总网络安全监测预警中心进行轮岗锻炼、培训交流和攻防实训，促进各分网络安全监测处置中心间的交流与培养，实现企业安全人才技能水平共同提升的目的。

2.3工作流程

网络安全监测预警工作流程包含安全监测、分析研判、应急处置、事件上报、溯源取证、漏洞消缺、预警指挥等环节，流程图详见图2。各环节具体工作内容如下：

（1）安全监测

对网络、边界、终端、系统、安全5个层面进行全天候网络安全威胁事件监测工作，一旦发现网络攻击行为，第一时间形成网络攻击信息。总部和分公司分别使用的监测工具和监测内容如下：

表1 安全监测工具和范围

（2）分析研判

分网络安全监测处置中心对监测内容进行安全风险分析、攻击行为判断、事件影响分析等工作，并根据应急处置规范提出应急处置建议。

（3）应急处置

各分网络安全监测处置中心根据攻击信息分析研判结果，开展应急处置工作。常见攻击场景及应急处置措施如下：

①发生信息系统遭受恶意攻击事件，通过入侵防御系统、防火墙等安全防护设备对攻击源进行网络阻断。

②发生严重DDOS攻击事件，联合运营商共同开展应急处置工作，或利用流量自动清洗设备进行攻击流量清洗。

③发生信息系统被篡改事件，通过防火墙关闭被篡改系统的外网访问，如果防火墙策略未生效，可通过拔网线等方式进行物理断网，第一时间消除信息系统被篡改带来的社会影响。同时快速完成备用系统或者静态页面切换，恢复正常页面。

如果分析研判为一般网络安全攻击行为，应急处置完毕后进行归档工作。归档内容应包括事件发现时间、事件影响、处置人及应急处置过程等。如果分析研判为严重攻击行为，则开展事件上报环节。

（4）事件上报

分网络安全监测处置中心分析研判为严重网络攻击行为，尽快编制安全事件专项分析报告并上报至总网络安全监测预警中心，报告应明确事件发生时间、事件类型、监测日志、事件影响程度等内容。

（5）溯源取证

针对分网络安全监测处置中心上报的安全事件专项报告及总部监测到的严重攻击事件，总网络安全监测预警中心追踪安全事件发起的源头，深度挖掘相关安全监测日志、被攻击系统日志和网络流量，明确攻击源、攻击者使用工具、攻击手段、攻击利用的系统漏洞等攻击事件特征，还原出完整的攻击路径，并确定攻击行为对业务系统损害程度，形成事件分析报告。针对排查出的系统漏洞，提出修补方案，形成漏洞通知单并下发至责任分公司，并督促其尽快整改。

（6）漏洞消缺

责任分公司接收漏洞通知单，在信息系统测试环境中开展修复方式验证工作，制定切实可行的修复方案并尽快落实。举一反三，责任分公司可开展对同类安全漏洞的排查及整改工作，形成整改报告并反馈至总网络安全监测预警中心。

（7）预警指挥

基于溯源取证结果，总网络安全监测预警中心对事件影响范围和程度进行深度分析，如果攻击影响程度及影响范围扩大到其他分公司，或者涉及漏洞具有普遍性，则总网络安全监测预警中心根据事件等级提出预警处置建议，形成预警通知单。并通过 “总-分”纵向网络安全协作通道进行全企业预警，各分网络安全监测处置中心服从总网络安全监测预警中心统一指挥，共同应对网络安全事件。

网络安全监测预警工作流程图详见图2。

3 结论

随着网络技术的不断发展，国内外信息安全形势日益严峻，各企业面临着过度信赖安全防护设备、安全防护体系存在短板、安全情报碎片化、安全事件处理过程存在环节弱化或缺失等问题。《网络安全法》的正式施行，标志着网络安全工作上升至国家法律高度，进一步加大了企业网络安全工作压力。本文提出一种企业网络安全监测预警体系建设思路，可以统筹公司人才、技术和装备力量，建立总网络安全监测预警中心、分网络安全监测处置中心两级网络安全运营中心。此体系的成效包括：一是明确网络安全事件监测、分析研判、应急处置、事件上报、溯源取证、漏洞消缺、预警指挥等安全事件处理环节和详细工作内容；二是实现纵向两级网络安全协作和联防联守；三是打通总部与分公司、分公司与分公司之间的资源共享通道，实现情报共享、经验共享以及人才和技术共享。该体系进一步夯实了企业网络安全风险的防御基础，极大提升了企业整体安全防护水平，是推动大型集团公司提升企业整体风险管控及态势感知能力、网络安全风险实时响应及应急处置能力的有益尝试。