蒋旭东

（北京许继电气有限公司，北京，100085）

1 网络安全运营问题分析

在监测预警方面，目前网络安全监测预警主要采用人工的方式开展监测预警工作，在运的安全平台数据相互独立，每个角色需同时面向多个界面，网络安全运维工作量大；不同类型的安全设备、系统产生了大量冗余、误报的安全数据，安全人员难以实时处理；安全事件独立分散，无法有效的反映真实的网络威胁。

在响应处置方面，目前各类安全事件主要依赖于人工进行事件响应，包含查看数据、封禁IP、电话反馈、邮件通报等，一次完整的应急响应需在10个以上的场景间切换。现有的应急响应方式已经不能满足网络安全对抗日趋频繁的现实需求，应急响应自动化的需求已经迫在眉睫。

在技术分析方面，对安全告警的深度技术分析主要依赖技术人员的个人能力与经验，且依赖人工的深度分析、溯源反制效率较低，一旦发生分析重心出错的情况，可能遗漏真正具有价值的攻击威胁。

在协同指挥方面，目前网络安全设备和系统自动化程度在不断提高，但事实上还存在多个信息孤岛，设备、系统之间缺乏有效的交互，使得内部多个自动化模块是割裂的、局部的、孤立的，不能构成一个实时的有机统一平台，导致信息没有充分共享，进而降低协同联动效率，无法实现统一的指挥决策。

在流程管理方面，目前重点的安全管理流程仍以线下管理为主。常态化安全工作中排查发现的系统漏洞需要人工导出清单，完成漏洞预警单编制后下发排查整改，以表格形式汇总和跟踪漏洞整改情况；系统上线测试缺乏统一平台管理测试过程文档和测试情况，复测验证需要专人跟踪闭环，整体工作效率和管控精益度有待提升。

2 网络安全管理平台的能力需求

通过网络安全管理平台的建设将设备、流程和技术进行有机的结合，实现网络安全集中监控、预警、运维、管理，满足网络安全平协同指挥的工作要求，以全局视角统筹协调网络安全工作。

一是网络安全事件管理集中化，通过对各种网络设备和安全组件的集中统一管理，将原本一个个分离的信息安全孤岛连接成一个有机协作的整体，实现对企业安全策略的制定、设备的统一配置、安全事件的集中管理、安全事故的应急响应以及安全策略的重构，从而有效提高用户网络的可管理性和安全水平。

二是网络安全业务流程数字化，以数字化手段建设网络安全管理体系，渗透到网络安全业务链各个环节和各个层级，实现网络安全管理流程线上流转和业务线上管理，实现网络安全信息高度集成和实时共享。

三是网络安全运营维护自动化，通过安全设备、安全系统数据的批量采集和关联分析，借助自动化事务调度、自动化安全编排等技术，实现安全态势自动化监控、运行维护自动化作业、风险隐患自动化预警以及安全事件自动化响应。

3 安全运营管理平台的建设现状

国内安全厂商在自主研究开发基础上不断对国外厂商的SOC 产品分析和研究，推出了多种网络安全管理的概念和产品[1]。安全运营管理平台建设利用安全智能、机器学习和深度学习等技术，依托SIEM+大数据平台，实现警报自动分级与资产自动排查、威胁高度可视和智能定位、风险深度挖掘、安全态势整体感知，打破安全防御孤岛，将各个分散的信息源汇聚后进行统一管理，通过关联分析对风险进行有效的防控。

在技术架构体系方面，基于最新的安全运营架构体系构建，实现以SIEM为核心并集成全流量分析模块、威胁情报模块和机器学习模块的新一代SOC架构，提升架构的适应性与灵活性。

在安全场景分析方面，在传统基于规则的设计方法之上，引入了用户行为分析技术，通过算法引擎深度挖掘用户的各种异常行为，为识别高级持续威胁攻击、社会工程等提供有力支撑。

在提高安全运营工作效率方面，借鉴SOAR理念，通过SIEM平台并集成脚本技术，实现安全分析操作与多个工具的自动编排和高度可视化，以及安全处置操作和流程的自动化，提升安全分析人员效率。

在协同管理方面，形成多级管理模式，适应集团型安全管理工作的开展，例如：总部、分支机构的架构模式。

在可视化方面，通过大数据分析技术，将日常工作汇总，对安全数据进行统一的可视化展现，从全局视角监测安全态势。

4 关键技术

4.1 平台架构

网络安全运营管理平台作为网络运营管理的支撑平台，可将整个安全管理体系纳入管理，但其核心还是综合分析和响应处置两个功能，其基本架构如图1所示。

图1 网络安全运营管理平台基本架构

平台的数据采集对象包括网络设备、安全设备、主机设备、应用/服务等，通过不同的采集方式进行全要素信息采集。分析引擎主要是对大数据分析技术和人工智能技术的应用，对原始数据进行统计分析和学习建模，从网络安全威胁、用户行为、脆弱性三个方面发现网络面临的风险。对于发现告警事件、应急响应事件，以及活动保障期间事件、作业任务处置流程进行全程闭环管理。

4.2 数据采集

网络安全运营管理平台建立在各种网络设备、安全设备、服务器设备、和应用系统所产生的安全数据及事件的基础上。从各种数据源高效灵活的采集安全数据是进行网络安全管理的一项重要的基础工作。安全数据根据涉及的网络架构、协议、流量、设备、人员、管理机制等因素进行分类[2]，网络安全数据类型见表1。

表1 网络安全数据类型

安全数据的类型、内容、格式各不相同，针对每种数据需要有针对性的采集方式对其进行采集，数据采集方式包括主动采集、被动采集、镜像模式采集等。

当原始数据以文件、数据库等形式存储在数据数据产生地，通过在数据产生地部署采集代理的方式，对指定目录下的文件进行监听、进行增量读取，或通过ODBC/JDBC等通信协议获取数据库存储的原始数据。

对于支持主动向第三方系统发送数据的数据源，采用Syslog、SNMP、Webservice等方式发送给指定的数据接收者。

通过网络交换设备的镜像端口，接收来自网络中传输的任何网络访问流量。

4.3 安全事件综合分析

网络安全事件综合分析通过分析多个事件的之间的联系，将不同来源的数据、知识关联起来，发现孤立的事件无法揭示的问题本质，发现攻击者的真正目的，准确定位攻击意图。一些典型的关联操作如表2所示。事件综合分析的实现主要依托分析算法与高效的分析引擎设计[3]。

表2 网络安全事件关联操作

4.4 事件响应

当网络安全事件分析产生告警事件后，就进入到事件的响应处置环节。需要采取有效措施阻止网络安全事件的进一步扩散，防止网络内基础设施破坏和数据篡改、泄露，保障网络内业务系统安全、稳定和高效地运行。

有效的事件响应需要设计合理的事件响应结构，规划好响应过程中所需要的资源、计划好实用的技术、编制规范的事件响应流程、并协调好组织中各部门的关系等[4]。事件响应框架如图2所示。

图2 网络安全事件响应框架

事件响应流程按照PDCERF响应模型可分为准备（prepare）、检 测（detect）、抑 制（control）、 根 除（eradicate）、恢复（recover）和跟踪（follow）6个阶段。6个阶段是循环有序的，每个阶段到的工作均是为下一阶段做准备[5]。事件类型的不同，采用的处置流程、涉及的人员和设备也不相同。

事件的响应可以通过人工的方式，也可以根据预设的响应流程自动执行。网络安全运营中的事件自动化响应通过事先定义好的流程化框架对系统进行监控，一旦达到触发条件，可以按照预先设置流程，通过多个设备或者服务间的事件协同，实现事件的自动化处置。

5 总结与展望

网络安全运营管理平台是在原有安全产品的基础上构建的一体化技术支撑平台，以综合分析、响应处置为核心的网络安全防护能力，在网络安全运营管理中发挥关键作用。而随着安全数据、应用、场景量的激增，网络安全运营管理平台的技术能力也需要不断的提升。对于用户而言，网络安全防护的目标是保障IT资产所承载的业务的可用性、连续性、以及安全性，因此网络安全运营管理平台应从以事件核心逐渐向保障业务安全为核心转变，通过业务建模、分析业务风险，构建面向业务的能力体系。另外，网络安全运营管理平台应以更智能的方式处理日益庞大的安全数据、以自动化的响应方式减少人员的工作强度，通过机器学习、人工智能等技术发现数据背后的原因，通过SOAR技术进行编排和自动化响应。