文/劉洋

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，企業(yè)越來越依賴網(wǎng)絡(luò)技術(shù)的應(yīng)用來提升企業(yè)自身的競爭優(yōu)勢和運轉(zhuǎn)效率，借助網(wǎng)絡(luò)實現(xiàn)無紙化辦公，通過互聯(lián)網(wǎng)快速了解市場信息，掌握市場動態(tài)，制定出符合企業(yè)發(fā)展的戰(zhàn)略規(guī)劃，方便了企業(yè)管理，提高了工作效率，并節(jié)省成本。不斷擴大的網(wǎng)絡(luò)規(guī)模，以及不斷融合的各類應(yīng)用，使得我們正處于一個非常繁榮而又危機四伏信息社會。每年數(shù)以千計的系統(tǒng)安全漏洞被發(fā)現(xiàn)，惡意攻擊、計算機病毒、內(nèi)部人員資源濫用、系統(tǒng)和應(yīng)用軟件遭到破壞，企業(yè)重要信息資產(chǎn)被盜取等行為越演越烈，加強企業(yè)信息安全建設(shè)刻不容緩。一方面是企業(yè)業(yè)務(wù)發(fā)展對信息系統(tǒng)的依賴，另一方面是不斷出現(xiàn)的網(wǎng)絡(luò)安全事件對企業(yè)管理層的困擾，怎樣平衡業(yè)務(wù)系統(tǒng)的可用性與信息資產(chǎn)的安全性是企業(yè)信息管理部門面臨的重要難題。

1 企業(yè)網(wǎng)絡(luò)安全管理現(xiàn)狀分析

現(xiàn)代企業(yè)，尤其是大型企業(yè)的業(yè)務(wù)分布于全國各地甚至許多國家，往往通過設(shè)立分公司、子公司等形式的分支機構(gòu)或附屬機構(gòu)直接從事業(yè)務(wù)，而在企業(yè)信息化層面，往往由總公司負(fù)責(zé)統(tǒng)一的建設(shè)并在公司內(nèi)推廣，但為適應(yīng)各分公司的具體情況，各分公司也有一定的靈活性，根據(jù)需求建設(shè)特有的信息化系統(tǒng)并進行網(wǎng)絡(luò)安全管理。為了維護企業(yè)信息安全，企業(yè)已經(jīng)分別建設(shè)了防火墻、入侵檢測系統(tǒng)、安全配置核查等網(wǎng)絡(luò)安全設(shè)備，并分別由總公司和分公司進行管理。在信息安全的管理上存在以下問題和需求：

1.1 安全信息孤島

企業(yè)在不同時期、不同部門分別購置了各種網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測系統(tǒng)、配置核查系統(tǒng)、漏洞掃描系統(tǒng)等設(shè)備，各設(shè)備間相互獨立，分別在不同的側(cè)面保護網(wǎng)絡(luò)系統(tǒng)的安全；各個安全設(shè)備間沒有信息交互，所以無法利用其它安全設(shè)備發(fā)現(xiàn)的風(fēng)險，實時改進安全策略；網(wǎng)絡(luò)系統(tǒng)中的服務(wù)器、交換機等設(shè)備，以及數(shù)據(jù)庫等應(yīng)用軟件也記錄了大量安全相關(guān)的事件，而這些事件都是孤立的存在于各系統(tǒng)中，無法被充分利用起來，與網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn)的安全事件進行綜合分析；對于總公司、分公司類型的企業(yè)，在某一公司發(fā)現(xiàn)了安全事件，因缺少統(tǒng)一的管理平臺，往往不能及時將告警信息傳遞給總公司和其它分公司，無法做好防范工作避免更大損失。

1.2 管理維護復(fù)雜

網(wǎng)絡(luò)安全設(shè)備多樣且數(shù)量多，各設(shè)備都有獨立的管理工具，安全管理員維護多個設(shè)備就需要學(xué)習(xí)使用不同的設(shè)備管理工具，由于平臺不同，很難做到安全策略的統(tǒng)一配置，加大了安全管理員的工作復(fù)雜度。

大型企業(yè)的各分公司的安全管理工作一般由分公司的安全管理人員完成，總公司對分公司的網(wǎng)絡(luò)安全進行監(jiān)管，但往往因缺少統(tǒng)一的安全管理平臺，造成總公司無法實時掌握各分公司的整體安全情況，也無法及時對分公司落實安全政策進行整體評價，加大了管理難度，也增加了安全風(fēng)險。

1.3 缺少預(yù)警能力，喪失了提前處置的最佳時機

網(wǎng)絡(luò)安全事件常常不是孤立存在的，一次網(wǎng)絡(luò)入侵行為往往需要先進行掃描、嘗試連接等環(huán)節(jié)，這些在時間和空間上孤立的網(wǎng)絡(luò)事件，會被不同的網(wǎng)絡(luò)安全設(shè)備、服務(wù)器等設(shè)備記錄下來，孤立的看待這些事件，均是低等級或正常的網(wǎng)絡(luò)事件，被淹沒在海量的網(wǎng)絡(luò)事件中，無法識別其中隱藏的風(fēng)險。

1.4 缺乏網(wǎng)絡(luò)整體安全風(fēng)險評價

企業(yè)設(shè)備資產(chǎn)多，網(wǎng)絡(luò)復(fù)雜，面對層出不窮的網(wǎng)絡(luò)安全問題，雖配置了多種網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測系統(tǒng)等，這些安全設(shè)備從不同的側(cè)面保護著網(wǎng)絡(luò)的安全，但對網(wǎng)絡(luò)的整體安全狀態(tài)仍缺少有效的評價。按照“木桶原理”理解，網(wǎng)絡(luò)系統(tǒng)的安全性是由安全最薄弱的環(huán)節(jié)決定的，所以有效評價整體安全，發(fā)現(xiàn)系統(tǒng)弱點成為大型企業(yè)網(wǎng)絡(luò)安全建設(shè)的重要工作。

1.5 安規(guī)要求

2016年《網(wǎng)絡(luò)安全法》的頒布，將網(wǎng)絡(luò)安全等級保護制度上升到法律層面，并對能源、交通、公共服務(wù)等重要行業(yè)和領(lǐng)域，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護?！缎畔⑾到y(tǒng)安全等級保護基本要求》中“關(guān)于信息系統(tǒng)整體安全保護能力的要求”明確指出，為了保證分散于各個層面的安全功能在同一策略的指導(dǎo)下實現(xiàn)，各個安全控制組件在可控情況下發(fā)揮各自的作用，應(yīng)建立安全管理中心，集中管理信息系統(tǒng)中的各個安全控制組件，支持統(tǒng)一安全管理。

2 網(wǎng)絡(luò)安全管理平臺設(shè)計

針對大型企業(yè)面對的網(wǎng)絡(luò)安全風(fēng)險、網(wǎng)絡(luò)安全管理等方面的問題，需要建設(shè)一套以網(wǎng)絡(luò)安全管理平臺為核心的安全管理中心，通過此平臺實現(xiàn)統(tǒng)一管理安全策略、統(tǒng)一管理系統(tǒng)和安全設(shè)備的安全配置、統(tǒng)一管理網(wǎng)絡(luò)系統(tǒng)安全事件、統(tǒng)一管理安全設(shè)備協(xié)同工作、統(tǒng)一管理安全事故的應(yīng)急響應(yīng)過程；通過此平臺收集系統(tǒng)日志、應(yīng)用日志、網(wǎng)絡(luò)安全事件、系統(tǒng)漏洞、配置缺陷等信息，將收集到的數(shù)據(jù)做歸一化處理并存儲，采用大數(shù)據(jù)分析技術(shù)，從海量數(shù)據(jù)中挖掘出在時間、空間等均不同的各類事件之間的聯(lián)系，發(fā)現(xiàn)低風(fēng)險事件中隱藏的高危風(fēng)險，并提前預(yù)警；通過此平臺，結(jié)合防火墻、入侵檢測系統(tǒng)等對網(wǎng)絡(luò)安全實時的檢測與報警，結(jié)合漏洞掃描、配置核查、系統(tǒng)日志、資產(chǎn)信息，可以對網(wǎng)絡(luò)安全進行態(tài)勢評估，發(fā)現(xiàn)網(wǎng)絡(luò)整體變化規(guī)律和趨勢。

2.1 平臺特性

為解決企業(yè)網(wǎng)絡(luò)安全管理面臨的問題，網(wǎng)絡(luò)安全管理平臺作為安全管理的統(tǒng)一平臺，需具有數(shù)據(jù)采集、存儲、查詢、分析、可視化展示的功能，同時應(yīng)具有如下特性：

2.1.1 可擴展性

平臺能夠自動適應(yīng)或極少量配置調(diào)整，就可以滿足企業(yè)資產(chǎn)不斷增長、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整的需要。

2.1.2 開放性

平臺應(yīng)具有接入各類網(wǎng)絡(luò)安全設(shè)備、系統(tǒng)、網(wǎng)絡(luò)設(shè)備的能力，能夠提供豐富的接口接收其它設(shè)備提供的數(shù)據(jù)，并支持二次開發(fā)能力，以適應(yīng)特定的接口接入需求。

2.1.3 分布式部署與管理

大型企業(yè)的分公司往往遍布各地，相應(yīng)的，網(wǎng)絡(luò)安全管理平臺，也應(yīng)支持分布式部署。對本地即可完成的管理工作，由本地管理平臺完成即可，或者由本地平臺完成預(yù)處理，再由中心平臺進行統(tǒng)一處理。

2.1.4 安全性

平臺的加入不應(yīng)導(dǎo)致安全漏洞，平臺本身要提供安全措施保障平臺以及被管安全設(shè)備的安全性。

2.1.5 平臺適應(yīng)性

圖1：網(wǎng)絡(luò)安全管理平臺總體架構(gòu)圖

網(wǎng)絡(luò)安全管理平臺是一套管理軟件，不同企業(yè)所能提供的平臺環(huán)境可能是不同的平臺（物理機、虛擬機、容器）、不同的操作系統(tǒng)，因此網(wǎng)絡(luò)安全管理平臺應(yīng)具備一定的平臺適應(yīng)性。

2.2 架構(gòu)設(shè)計

網(wǎng)絡(luò)安全管理平臺總體架構(gòu)如圖1所示。

網(wǎng)絡(luò)安全管理平臺架構(gòu)從邏輯上可分為安全要素提取層、集群化的數(shù)據(jù)資源存儲服務(wù)層、數(shù)據(jù)引擎分析引擎資源池層、系統(tǒng)功能資源池層、以及系統(tǒng)基礎(chǔ)服務(wù)支撐模塊集合，同時平臺支持對物理主機及云平臺等虛擬化平臺資源。

安全要素提取層：該層負(fù)責(zé)對流量數(shù)據(jù)、系統(tǒng)日志、應(yīng)用日志、安全事件、系統(tǒng)漏洞等信息的采集、預(yù)處理，并將預(yù)處理后的數(shù)據(jù)傳遞給數(shù)據(jù)資源存儲服務(wù)層。該層采取資源池架構(gòu)管理，各功能模塊間耦合性低，并可根據(jù)業(yè)務(wù)需要擴展自定義的功能模塊。

集群化的數(shù)據(jù)資源存儲服務(wù)：該層負(fù)責(zé)接收安全要素提取層、系統(tǒng)功能資源池層、數(shù)據(jù)分析引擎池層產(chǎn)生的各類數(shù)據(jù)并存儲，并為它們提供數(shù)據(jù)查詢等服務(wù)。該層采取大數(shù)據(jù)存儲架構(gòu)與傳統(tǒng)關(guān)系數(shù)據(jù)庫并存的存儲模式，以滿足不同業(yè)務(wù)服務(wù)的需要。

數(shù)據(jù)分析引擎池層：該層負(fù)責(zé)對對海量安全相關(guān)數(shù)據(jù)進行深度分析挖掘，形成知識化數(shù)據(jù)，為業(yè)務(wù)應(yīng)用層提供數(shù)據(jù)結(jié)果支撐。數(shù)據(jù)分析引擎微服務(wù)架構(gòu)管理方式，各引擎間相對獨立，支持自定義方式擴展，以滿足系統(tǒng)應(yīng)用層功能的數(shù)據(jù)分析要求。

系統(tǒng)功能資源池層：該層負(fù)責(zé)提供面向用戶具體業(yè)務(wù)功能、UI界面操作等，根據(jù)項目建設(shè)的不同，功能組件可以選配組合，以定制最貼近企業(yè)需要的功能平臺。

系統(tǒng)服務(wù)支撐模塊集合：該模塊集合包含了一系列支撐平臺功能的基礎(chǔ)服務(wù)和安全措施，包括權(quán)限管理、數(shù)據(jù)備份、硬件監(jiān)控、升級管理、授權(quán)管理、兼容性、完整性等等。

2.3 關(guān)鍵技術(shù)

隨著網(wǎng)絡(luò)規(guī)模的擴大，網(wǎng)絡(luò)接入終端越來越多，數(shù)據(jù)流量也不斷增大，網(wǎng)絡(luò)安全管理平臺也需要能夠接入海量、異構(gòu)的數(shù)據(jù)。隨著網(wǎng)絡(luò)入侵和攻擊正在向規(guī)?；?、復(fù)雜化的趨勢發(fā)展，網(wǎng)絡(luò)安全管理平臺需要具備從海量異構(gòu)數(shù)據(jù)中挖掘有用信息的能力，準(zhǔn)確掌握網(wǎng)絡(luò)整體安全態(tài)勢狀況。主要包括以下4個關(guān)鍵技術(shù)：

2.3.1 多源數(shù)據(jù)接入技術(shù)

在平臺設(shè)計中，安全要素提取層負(fù)責(zé)采集與安全相關(guān)的海量異構(gòu)數(shù)據(jù)，為提高管理平臺安全識別能力，需完整收集安全相關(guān)要素的數(shù)據(jù)?？蓪踩財?shù)據(jù)分為三種類型：

（1）高頻數(shù)據(jù)：也就是通常所說的大數(shù)據(jù)，以海量、高速、異構(gòu)為特征，主要有外部流、運行狀態(tài)和性能數(shù)據(jù)、日志和事件、原始流量鏡像包和Flow流數(shù)據(jù)等，通過高速數(shù)據(jù)總線采集；

（2）中頻數(shù)據(jù)：通過在網(wǎng)絡(luò)關(guān)鍵位置部署相應(yīng)的探測器采集引擎，對全網(wǎng)安全威脅包括業(yè)務(wù)系統(tǒng)漏洞、應(yīng)用配置問題、安全事件、病毒木馬等安全威脅進行監(jiān)測；

（3）低頻數(shù)據(jù)：包括常見的資產(chǎn)信息、配置信息、弱點信息、身份信息和威脅情報等，通過低頻數(shù)據(jù)總線進行采集。

針對每種類型的數(shù)據(jù)需采取不同的數(shù)據(jù)采集技術(shù)進行數(shù)據(jù)收集，平臺提出全要素數(shù)據(jù)適應(yīng)性采集技術(shù)，用于實現(xiàn)高頻、中頻、低頻數(shù)據(jù)的匯集接入。

2.3.2 基于機器學(xué)習(xí)的日志模式識別與可視化范化技術(shù)

網(wǎng)絡(luò)安全管理平臺接入了多種異構(gòu)安全設(shè)備，如防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、操作系統(tǒng)日志等，各類安全設(shè)備大都采用自定義的告警傳輸及交換格式，這給告警信息處理帶來實現(xiàn)難度。

（1）定義方式缺乏規(guī)范性，各系統(tǒng)定義的事件格式僅在各自系統(tǒng)內(nèi)部有效，系統(tǒng)間缺乏互操作性；

（2）對同一類事件，各系統(tǒng)采用的表達(dá)和描述方式不一致，從而導(dǎo)致一個系統(tǒng)內(nèi)定義的事件，在沒有人工參與的情況下，不被其它系統(tǒng)理解。

傳統(tǒng)的日志范式化技術(shù)一般采用正則表達(dá)式來編寫，日志格式稍一改變，正則表達(dá)式可能就會失效，造成無法識別和范化。而采用機器學(xué)習(xí)技術(shù)對海量日志進行學(xué)習(xí)和識別，通過分析日志語法結(jié)構(gòu)和聚類算法，自動化對日志進行聚類合并，形成一個個包含相似數(shù)據(jù)內(nèi)容的日志集。另外，采用可視化范化技術(shù)，針對范化需求，運維人員可在頁面編寫正則表達(dá)式后直接顯示提取結(jié)果，并可將提取內(nèi)容通過鼠標(biāo)將內(nèi)容拖曳至相應(yīng)的范化字段，直接完成字段對應(yīng)，系統(tǒng)會根據(jù)運維人員的操作自動生成范式化解析腳本并開始生效工作，可視化范化技術(shù)大幅降低范化工作復(fù)雜度，提升日志范化的效率，使平臺變得更易用高效。

2.3.3 海量數(shù)據(jù)融合技術(shù)

按信息抽象程度的高低，可將數(shù)據(jù)融合從低到高分為三個層次：數(shù)據(jù)級融合、特征級融合與決策級融合。數(shù)據(jù)級融合是對采集的、未經(jīng)處理的數(shù)據(jù)進行綜合分析；特征級融合是對采集到的原始數(shù)據(jù)進行預(yù)處理，然后對預(yù)處理后的數(shù)據(jù)提取特征信息的一種綜合分析和處理過程；決策級融合是對不同類型的傳感器進行本地化處理，包括預(yù)處理、特征抽取、識別或判決，以建立對所觀察目標(biāo)的初步結(jié)論，然后通過關(guān)聯(lián)過程做出決策層融合，最終獲得聯(lián)合推斷結(jié)果。決策級融合相比其它兩種融合方法，是基于一定的準(zhǔn)則和決策可信度做最優(yōu)決策，具有良好的實時性和容錯性。

目前，在大規(guī)模網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全數(shù)據(jù)和日志數(shù)據(jù)由多種類、大量設(shè)備或應(yīng)用系統(tǒng)產(chǎn)生，且這些安全數(shù)據(jù)和日志數(shù)據(jù)缺乏統(tǒng)一標(biāo)準(zhǔn)與關(guān)聯(lián)；另外異構(gòu)安全設(shè)備輸出的告警事件往往存在很大的冗余，表現(xiàn)在同一安全設(shè)備對同一事件的重復(fù)告警，不同安全設(shè)備對同一事件的告警。因此網(wǎng)絡(luò)安全管理平臺綜合分析所有安全要素數(shù)據(jù)時，要打破傳統(tǒng)的單一模式，打破表與表、行與行之間的孤立特性，把數(shù)據(jù)融合成一個整體，從整體上進行全局的關(guān)聯(lián)分析，對數(shù)據(jù)整體進行高性能的處理，以互動的形式對數(shù)據(jù)進行多維度的裁剪和可視化。

2.3.4 多層次智能安全分析技術(shù)

隨著信息化的發(fā)展，網(wǎng)絡(luò)安全形勢越來越嚴(yán)峻，網(wǎng)絡(luò)攻擊的形式多樣，有顯式的破壞性行為，如DDoS攻擊、暴力破解等；也有針對特定政府或企業(yè)的高級持續(xù)性威脅（Advanced Persistent Threat, APT），發(fā)動APT攻擊的黑客或組織不為短時間獲利，而是把被控主機或系統(tǒng)當(dāng)成跳板，持續(xù)隱蔽攻擊，攻擊周期可以持續(xù)長達(dá)數(shù)年。不斷演化的攻擊手段也使得傳統(tǒng)防御系統(tǒng)效果越來越差。

針對復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，網(wǎng)絡(luò)安全管理平臺應(yīng)提供多層次的安全事件分析技術(shù)。對于已知安全風(fēng)險，通過對安全事件的分析，在系統(tǒng)內(nèi)置多種安全分析場景規(guī)則，也可以通過可視化方法編輯關(guān)聯(lián)規(guī)則，關(guān)聯(lián)分析引擎實時分析采集的安全日志和流量元數(shù)據(jù)，結(jié)合各類情境數(shù)據(jù)，及時發(fā)現(xiàn)已知的攻擊和威脅；針對未知威脅，平臺采用基于機器學(xué)習(xí)的異常行為檢測方法，從海量日志和流量元數(shù)據(jù)中選擇屬性特征進行學(xué)習(xí)，構(gòu)建實體的行為基線模型，通過實際值與預(yù)測值的偏差分析識別異常行為，并通過對置信度的進一步計算，超出置信度閾值的將被判斷為安全事件；針對攻擊鏈行為，采取深度分析技術(shù)，探索整個攻擊鏈過程中的不同階段的攻擊，構(gòu)建攻擊行為鏈和影響性分析。

3 平臺應(yīng)用實踐

不同企業(yè)網(wǎng)絡(luò)具體情況不同，安全管理制度有差異，網(wǎng)絡(luò)安全管理平臺的具體應(yīng)用場景也會有差異。對于典型的總公司、分公司管理模式的大型企業(yè)，一般將網(wǎng)絡(luò)安全管理平臺部署在公司總部，通過syslog、JDBC等方式獲取總部及各分公司所有被監(jiān)控服務(wù)接待的系統(tǒng)日志、應(yīng)用日志、數(shù)據(jù)庫日志，經(jīng)過對日志的粗慮、日志泛化、日志歸并等處理后，被統(tǒng)一納入總部數(shù)據(jù)存儲節(jié)點統(tǒng)一存儲，日志泛化管理列表如圖2所示；通過SNMP Trap、syslog等方式獲取入侵檢測系統(tǒng)、防火墻等設(shè)備產(chǎn)生的網(wǎng)絡(luò)安全事件；另外，納入對配置核查系統(tǒng)的管理，自動調(diào)度并載入漏洞掃描系統(tǒng)提供的漏掃結(jié)果。從而通過對網(wǎng)絡(luò)安全管理平臺的建設(shè)，實現(xiàn)對多數(shù)量、多種類安全管理設(shè)備的統(tǒng)一管理，實現(xiàn)對多種安全要素信息的綜合分析，并做到對安全事件告警的統(tǒng)一管理與態(tài)勢感知。資產(chǎn)態(tài)勢監(jiān)控界面如圖3所示。

4 總結(jié)展望

網(wǎng)絡(luò)安全管理平臺通過為政府、企業(yè)等提供數(shù)據(jù)分析結(jié)果和全網(wǎng)的安全風(fēng)險情況，輔助管理者做安全戰(zhàn)略決策，并根據(jù)最終結(jié)果對網(wǎng)絡(luò)安全防護策略進行調(diào)整，其應(yīng)用方興未艾。但是，現(xiàn)階段網(wǎng)絡(luò)安全管理平臺普遍存在大數(shù)據(jù)分析技術(shù)與態(tài)勢感知雖有應(yīng)用結(jié)合但仍不夠緊密、深度學(xué)習(xí)技術(shù)還有廣泛的應(yīng)用空間、網(wǎng)絡(luò)安全態(tài)勢的預(yù)測能力還不夠成熟等現(xiàn)象。

圖2：日志泛化管理列表

圖3：資產(chǎn)態(tài)勢監(jiān)控界面

隨著整個社會對網(wǎng)絡(luò)安全的重視，以及大數(shù)據(jù)、人工智能技術(shù)的不斷成熟，深度融合大數(shù)據(jù)和人工智能技術(shù)必將在網(wǎng)絡(luò)安全管理平臺中得到更深入的應(yīng)用。通過在平臺中融合使用深度學(xué)習(xí)、知識圖譜等大數(shù)據(jù)分析算法和人工智能模型，從而在整體上把握網(wǎng)絡(luò)空間安全狀態(tài)，實現(xiàn)對關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的網(wǎng)絡(luò)攻擊和重大網(wǎng)絡(luò)安全威脅實現(xiàn)看得見、防得住、可追溯，做到及時發(fā)現(xiàn)提前預(yù)警，并提供有效處置建議。