文/刘洋

随着网络技术的快速发展，企业越来越依赖网络技术的应用来提升企业自身的竞争优势和运转效率，借助网络实现无纸化办公，通过互联网快速了解市场信息，掌握市场动态，制定出符合企业发展的战略规划，方便了企业管理，提高了工作效率，并节省成本。不断扩大的网络规模，以及不断融合的各类应用，使得我们正处于一个非常繁荣而又危机四伏信息社会。每年数以千计的系统安全漏洞被发现，恶意攻击、计算机病毒、内部人员资源滥用、系统和应用软件遭到破坏，企业重要信息资产被盗取等行为越演越烈，加强企业信息安全建设刻不容缓。一方面是企业业务发展对信息系统的依赖，另一方面是不断出现的网络安全事件对企业管理层的困扰，怎样平衡业务系统的可用性与信息资产的安全性是企业信息管理部门面临的重要难题。

1 企业网络安全管理现状分析

现代企业，尤其是大型企业的业务分布于全国各地甚至许多国家，往往通过设立分公司、子公司等形式的分支机构或附属机构直接从事业务，而在企业信息化层面，往往由总公司负责统一的建设并在公司内推广，但为适应各分公司的具体情况，各分公司也有一定的灵活性，根据需求建设特有的信息化系统并进行网络安全管理。为了维护企业信息安全，企业已经分别建设了防火墙、入侵检测系统、安全配置核查等网络安全设备，并分别由总公司和分公司进行管理。在信息安全的管理上存在以下问题和需求：

1.1 安全信息孤岛

企业在不同时期、不同部门分别购置了各种网络安全设备，如防火墙、入侵检测系统、配置核查系统、漏洞扫描系统等设备，各设备间相互独立，分别在不同的侧面保护网络系统的安全；各个安全设备间没有信息交互，所以无法利用其它安全设备发现的风险，实时改进安全策略；网络系统中的服务器、交换机等设备，以及数据库等应用软件也记录了大量安全相关的事件，而这些事件都是孤立的存在于各系统中，无法被充分利用起来，与网络安全设备发现的安全事件进行综合分析；对于总公司、分公司类型的企业，在某一公司发现了安全事件，因缺少统一的管理平台，往往不能及时将告警信息传递给总公司和其它分公司，无法做好防范工作避免更大损失。

1.2 管理维护复杂

网络安全设备多样且数量多，各设备都有独立的管理工具，安全管理员维护多个设备就需要学习使用不同的设备管理工具，由于平台不同，很难做到安全策略的统一配置，加大了安全管理员的工作复杂度。

大型企业的各分公司的安全管理工作一般由分公司的安全管理人员完成，总公司对分公司的网络安全进行监管，但往往因缺少统一的安全管理平台，造成总公司无法实时掌握各分公司的整体安全情况，也无法及时对分公司落实安全政策进行整体评价，加大了管理难度，也增加了安全风险。

1.3 缺少预警能力，丧失了提前处置的最佳时机

网络安全事件常常不是孤立存在的，一次网络入侵行为往往需要先进行扫描、尝试连接等环节，这些在时间和空间上孤立的网络事件，会被不同的网络安全设备、服务器等设备记录下来，孤立的看待这些事件，均是低等级或正常的网络事件，被淹没在海量的网络事件中，无法识别其中隐藏的风险。

1.4 缺乏网络整体安全风险评价

企业设备资产多，网络复杂，面对层出不穷的网络安全问题，虽配置了多种网络安全设备，如防火墙、入侵检测系统等，这些安全设备从不同的侧面保护着网络的安全，但对网络的整体安全状态仍缺少有效的评价。按照“木桶原理”理解，网络系统的安全性是由安全最薄弱的环节决定的，所以有效评价整体安全，发现系统弱点成为大型企业网络安全建设的重要工作。

1.5 安规要求

2016年《网络安全法》的颁布，将网络安全等级保护制度上升到法律层面，并对能源、交通、公共服务等重要行业和领域，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。《信息系统安全等级保护基本要求》中“关于信息系统整体安全保护能力的要求”明确指出，为了保证分散于各个层面的安全功能在同一策略的指导下实现，各个安全控制组件在可控情况下发挥各自的作用，应建立安全管理中心，集中管理信息系统中的各个安全控制组件，支持统一安全管理。

2 网络安全管理平台设计

针对大型企业面对的网络安全风险、网络安全管理等方面的问题，需要建设一套以网络安全管理平台为核心的安全管理中心，通过此平台实现统一管理安全策略、统一管理系统和安全设备的安全配置、统一管理网络系统安全事件、统一管理安全设备协同工作、统一管理安全事故的应急响应过程；通过此平台收集系统日志、应用日志、网络安全事件、系统漏洞、配置缺陷等信息，将收集到的数据做归一化处理并存储，采用大数据分析技术，从海量数据中挖掘出在时间、空间等均不同的各类事件之间的联系，发现低风险事件中隐藏的高危风险，并提前预警；通过此平台，结合防火墙、入侵检测系统等对网络安全实时的检测与报警，结合漏洞扫描、配置核查、系统日志、资产信息，可以对网络安全进行态势评估，发现网络整体变化规律和趋势。

2.1 平台特性

为解决企业网络安全管理面临的问题，网络安全管理平台作为安全管理的统一平台，需具有数据采集、存储、查询、分析、可视化展示的功能，同时应具有如下特性：

2.1.1 可扩展性

平台能够自动适应或极少量配置调整，就可以满足企业资产不断增长、网络结构调整的需要。

2.1.2 开放性

平台应具有接入各类网络安全设备、系统、网络设备的能力，能够提供丰富的接口接收其它设备提供的数据，并支持二次开发能力，以适应特定的接口接入需求。

2.1.3 分布式部署与管理

大型企业的分公司往往遍布各地，相应的，网络安全管理平台，也应支持分布式部署。对本地即可完成的管理工作，由本地管理平台完成即可，或者由本地平台完成预处理，再由中心平台进行统一处理。

2.1.4 安全性

平台的加入不应导致安全漏洞，平台本身要提供安全措施保障平台以及被管安全设备的安全性。

2.1.5 平台适应性

图1：网络安全管理平台总体架构图

网络安全管理平台是一套管理软件，不同企业所能提供的平台环境可能是不同的平台（物理机、虚拟机、容器）、不同的操作系统，因此网络安全管理平台应具备一定的平台适应性。

2.2 架构设计

网络安全管理平台总体架构如图1所示。

网络安全管理平台架构从逻辑上可分为安全要素提取层、集群化的数据资源存储服务层、数据引擎分析引擎资源池层、系统功能资源池层、以及系统基础服务支撑模块集合，同时平台支持对物理主机及云平台等虚拟化平台资源。

安全要素提取层：该层负责对流量数据、系统日志、应用日志、安全事件、系统漏洞等信息的采集、预处理，并将预处理后的数据传递给数据资源存储服务层。该层采取资源池架构管理，各功能模块间耦合性低，并可根据业务需要扩展自定义的功能模块。

集群化的数据资源存储服务：该层负责接收安全要素提取层、系统功能资源池层、数据分析引擎池层产生的各类数据并存储，并为它们提供数据查询等服务。该层采取大数据存储架构与传统关系数据库并存的存储模式，以满足不同业务服务的需要。

数据分析引擎池层：该层负责对对海量安全相关数据进行深度分析挖掘，形成知识化数据，为业务应用层提供数据结果支撑。数据分析引擎微服务架构管理方式，各引擎间相对独立，支持自定义方式扩展，以满足系统应用层功能的数据分析要求。

系统功能资源池层：该层负责提供面向用户具体业务功能、UI界面操作等，根据项目建设的不同，功能组件可以选配组合，以定制最贴近企业需要的功能平台。

系统服务支撑模块集合：该模块集合包含了一系列支撑平台功能的基础服务和安全措施，包括权限管理、数据备份、硬件监控、升级管理、授权管理、兼容性、完整性等等。

2.3 关键技术

随着网络规模的扩大，网络接入终端越来越多，数据流量也不断增大，网络安全管理平台也需要能够接入海量、异构的数据。随着网络入侵和攻击正在向规模化、复杂化的趋势发展，网络安全管理平台需要具备从海量异构数据中挖掘有用信息的能力，准确掌握网络整体安全态势状况。主要包括以下4个关键技术：

2.3.1 多源数据接入技术

在平台设计中，安全要素提取层负责采集与安全相关的海量异构数据，为提高管理平台安全识别能力，需完整收集安全相关要素的数据。可将安全要素数据分为三种类型：

（1）高频数据：也就是通常所说的大数据，以海量、高速、异构为特征，主要有外部流、运行状态和性能数据、日志和事件、原始流量镜像包和Flow流数据等，通过高速数据总线采集；

（2）中频数据：通过在网络关键位置部署相应的探测器采集引擎，对全网安全威胁包括业务系统漏洞、应用配置问题、安全事件、病毒木马等安全威胁进行监测；

（3）低频数据：包括常见的资产信息、配置信息、弱点信息、身份信息和威胁情报等，通过低频数据总线进行采集。

针对每种类型的数据需采取不同的数据采集技术进行数据收集，平台提出全要素数据适应性采集技术，用于实现高频、中频、低频数据的汇集接入。

2.3.2 基于机器学习的日志模式识别与可视化范化技术

网络安全管理平台接入了多种异构安全设备，如防火墙、入侵检测系统、漏洞扫描系统、操作系统日志等，各类安全设备大都采用自定义的告警传输及交换格式，这给告警信息处理带来实现难度。

（1）定义方式缺乏规范性，各系统定义的事件格式仅在各自系统内部有效，系统间缺乏互操作性；

（2）对同一类事件，各系统采用的表达和描述方式不一致，从而导致一个系统内定义的事件，在没有人工参与的情况下，不被其它系统理解。

传统的日志范式化技术一般采用正则表达式来编写，日志格式稍一改变，正则表达式可能就会失效，造成无法识别和范化。而采用机器学习技术对海量日志进行学习和识别，通过分析日志语法结构和聚类算法，自动化对日志进行聚类合并，形成一个个包含相似数据内容的日志集。另外，采用可视化范化技术，针对范化需求，运维人员可在页面编写正则表达式后直接显示提取结果，并可将提取内容通过鼠标将内容拖曳至相应的范化字段，直接完成字段对应，系统会根据运维人员的操作自动生成范式化解析脚本并开始生效工作，可视化范化技术大幅降低范化工作复杂度，提升日志范化的效率，使平台变得更易用高效。

2.3.3 海量数据融合技术

按信息抽象程度的高低，可将数据融合从低到高分为三个层次：数据级融合、特征级融合与决策级融合。数据级融合是对采集的、未经处理的数据进行综合分析；特征级融合是对采集到的原始数据进行预处理，然后对预处理后的数据提取特征信息的一种综合分析和处理过程；决策级融合是对不同类型的传感器进行本地化处理，包括预处理、特征抽取、识别或判决，以建立对所观察目标的初步结论，然后通过关联过程做出决策层融合，最终获得联合推断结果。决策级融合相比其它两种融合方法，是基于一定的准则和决策可信度做最优决策，具有良好的实时性和容错性。

目前，在大规模网络中，网络安全数据和日志数据由多种类、大量设备或应用系统产生，且这些安全数据和日志数据缺乏统一标准与关联；另外异构安全设备输出的告警事件往往存在很大的冗余，表现在同一安全设备对同一事件的重复告警，不同安全设备对同一事件的告警。因此网络安全管理平台综合分析所有安全要素数据时，要打破传统的单一模式，打破表与表、行与行之间的孤立特性，把数据融合成一个整体，从整体上进行全局的关联分析，对数据整体进行高性能的处理，以互动的形式对数据进行多维度的裁剪和可视化。

2.3.4 多层次智能安全分析技术

随着信息化的发展，网络安全形势越来越严峻，网络攻击的形式多样，有显式的破坏性行为，如DDoS攻击、暴力破解等；也有针对特定政府或企业的高级持续性威胁（Advanced Persistent Threat, APT），发动APT攻击的黑客或组织不为短时间获利，而是把被控主机或系统当成跳板，持续隐蔽攻击，攻击周期可以持续长达数年。不断演化的攻击手段也使得传统防御系统效果越来越差。

针对复杂的网络安全环境，网络安全管理平台应提供多层次的安全事件分析技术。对于已知安全风险，通过对安全事件的分析，在系统内置多种安全分析场景规则，也可以通过可视化方法编辑关联规则，关联分析引擎实时分析采集的安全日志和流量元数据，结合各类情境数据，及时发现已知的攻击和威胁；针对未知威胁，平台采用基于机器学习的异常行为检测方法，从海量日志和流量元数据中选择属性特征进行学习，构建实体的行为基线模型，通过实际值与预测值的偏差分析识别异常行为，并通过对置信度的进一步计算，超出置信度阈值的将被判断为安全事件；针对攻击链行为，采取深度分析技术，探索整个攻击链过程中的不同阶段的攻击，构建攻击行为链和影响性分析。

3 平台应用实践

不同企业网络具体情况不同，安全管理制度有差异，网络安全管理平台的具体应用场景也会有差异。对于典型的总公司、分公司管理模式的大型企业，一般将网络安全管理平台部署在公司总部，通过syslog、JDBC等方式获取总部及各分公司所有被监控服务接待的系统日志、应用日志、数据库日志，经过对日志的粗虑、日志泛化、日志归并等处理后，被统一纳入总部数据存储节点统一存储，日志泛化管理列表如图2所示；通过SNMP Trap、syslog等方式获取入侵检测系统、防火墙等设备产生的网络安全事件；另外，纳入对配置核查系统的管理，自动调度并载入漏洞扫描系统提供的漏扫结果。从而通过对网络安全管理平台的建设，实现对多数量、多种类安全管理设备的统一管理，实现对多种安全要素信息的综合分析，并做到对安全事件告警的统一管理与态势感知。资产态势监控界面如图3所示。

4 总结展望

网络安全管理平台通过为政府、企业等提供数据分析结果和全网的安全风险情况，辅助管理者做安全战略决策，并根据最终结果对网络安全防护策略进行调整，其应用方兴未艾。但是，现阶段网络安全管理平台普遍存在大数据分析技术与态势感知虽有应用结合但仍不够紧密、深度学习技术还有广泛的应用空间、网络安全态势的预测能力还不够成熟等现象。

图2：日志泛化管理列表

图3：资产态势监控界面

随着整个社会对网络安全的重视，以及大数据、人工智能技术的不断成熟，深度融合大数据和人工智能技术必将在网络安全管理平台中得到更深入的应用。通过在平台中融合使用深度学习、知识图谱等大数据分析算法和人工智能模型，从而在整体上把握网络空间安全状态，实现对关键信息基础设施和重要信息系统的网络攻击和重大网络安全威胁实现看得见、防得住、可追溯，做到及时发现提前预警，并提供有效处置建议。