趙奕霖，沈濤，宋齊軍，杜鋒，馬朝暾（.中訊郵電咨詢設(shè)計院有限公司鄭州分公司，河南 鄭州 450007；.中訊郵電咨詢設(shè)計院有限公司，北京 00048）

0 前言

“十四五”以來，數(shù)字經(jīng)濟蓬勃發(fā)展，各行各業(yè)迎來了數(shù)字化轉(zhuǎn)型新機遇，越來越多的數(shù)字化生產(chǎn)類、管理類、創(chuàng)新類業(yè)務(wù)平臺應(yīng)運而生，隨之而來的網(wǎng)絡(luò)安全風(fēng)險和問題逐漸成為企業(yè)發(fā)展的重大威脅［1，2］。作為建設(shè)網(wǎng)絡(luò)強國、發(fā)展數(shù)字經(jīng)濟的基石，網(wǎng)絡(luò)安全關(guān)乎著企業(yè)發(fā)展、國家安全、人民幸福。鑒于此，提升網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行安全保障能力，構(gòu)筑網(wǎng)絡(luò)空間安全可信的第1 道防線，成為企業(yè)網(wǎng)絡(luò)安全防護工作的重中之重。隨著來自網(wǎng)絡(luò)空間的安全威脅與安全攻擊日益劇增，傳統(tǒng)企業(yè)網(wǎng)絡(luò)信息安全防護模式面臨著越來越多困難和挑戰(zhàn)，探索一種能降低企業(yè)安全管理成本同時提高安全管理可靠性的網(wǎng)絡(luò)信息安全自動化、智能化防護方案勢在必行。

1 企業(yè)網(wǎng)絡(luò)信息安全防護現(xiàn)狀與不足

隨著網(wǎng)絡(luò)和信息技術(shù)的高速發(fā)展和普及，信息化已經(jīng)成為現(xiàn)代企業(yè)生存和發(fā)展的必備條件。通過建立企業(yè)局域網(wǎng)［3］（內(nèi)網(wǎng)），并在其基礎(chǔ)上開發(fā)與應(yīng)用各種基礎(chǔ)專業(yè)軟件，可有效地實現(xiàn)企業(yè)內(nèi)部的資源共享、信息發(fā)布、技術(shù)交流、生產(chǎn)組織。此外，通過互聯(lián)網(wǎng)出口與外網(wǎng)相連，企業(yè)可方便地實現(xiàn)內(nèi)外部信息雙向交互。然而，信息的雙向交互在為企業(yè)信息化、數(shù)字化發(fā)展提供便利的同時，也給企業(yè)帶來了來自外部網(wǎng)絡(luò)世界的安全威脅和安全攻擊。為有效應(yīng)對威脅和攻擊，企業(yè)通常會采購諸如邊界防火墻、IDS、態(tài)勢感知系統(tǒng)、防病毒網(wǎng)關(guān)等安全管理設(shè)備，并安排專職安全管理人員、安全技術(shù)人員運用這些設(shè)備或系統(tǒng)進行手工安全防護［4-6］。隨著來自網(wǎng)絡(luò)空間的安全威脅與安全攻擊日益劇增，傳統(tǒng)的手工安全防護模式面臨越來越多的挑戰(zhàn)和困難，主要包括以下方面。

a）安全防護任務(wù)繁重，安全管理人工成本高。企業(yè)網(wǎng)絡(luò)安全管理及安全技術(shù)人員除要應(yīng)對來自網(wǎng)絡(luò)空間的日常安全攻擊外，往往還要承擔(dān)著特殊時期的安全重保工作，隨著企業(yè)互聯(lián)網(wǎng)暴露面系統(tǒng)不斷增多，安全防護任務(wù)越發(fā)沉重，企業(yè)用于投入安全工作的人力成本直線上升，這給企業(yè)生產(chǎn)經(jīng)營帶來了一定負(fù)擔(dān)。

b）安全防護系統(tǒng)與設(shè)備種類繁多，統(tǒng)一管理難度大。企業(yè)往往會根據(jù)自身安全防護需要采購多家安全公司的、不同種類不同功能的安全防護系統(tǒng)和設(shè)備。在未統(tǒng)一拉通管理的前提下，如此繁多的安全系統(tǒng)與設(shè)備給安全管理和技術(shù)人員帶來了更高的學(xué)習(xí)成本，也給企業(yè)統(tǒng)一安全管理造成了很大的困難。

c）重復(fù)勞動量大，耗時耗力且易出錯。在日常網(wǎng)絡(luò)信息安全防護工作中，存在著大量人工重復(fù)勞動的工作場景。例如，日常辦公網(wǎng)威脅告警監(jiān)測、攻擊IP封堵處置、業(yè)務(wù)系統(tǒng)安全漏掃等。這些重復(fù)工作占據(jù)了安全管理員大量時間，且易出錯，這很大程度上制約了安全管理工作效率和質(zhì)量的提升。

d）安全防護工作臺賬管理不善。目前大部分企業(yè)安全管理工作依靠線下方式（微信、釘釘、郵件、excel等）進行，安全防護工作信息留痕不充分、臺賬記錄往往較為隨意、不系統(tǒng)，這給后續(xù)安全事件復(fù)盤和總結(jié)帶來了很大困難，從而一定程度上制約了企業(yè)網(wǎng)絡(luò)信息安全防護工作的持續(xù)改進。

2 企業(yè)網(wǎng)絡(luò)信息安全自動化防護解決方案

近年來，為解決傳統(tǒng)手工安全防護工作存在的問題和不足，業(yè)內(nèi)對網(wǎng)絡(luò)安全自動化防護技術(shù)進行了研究，但大都停留在理論層面，且應(yīng)用場景有限［7-9］。針對這些問題，本文提出了一種可落地應(yīng)用的基于企業(yè)內(nèi)部統(tǒng)一安全管控平臺（以下簡稱平臺）的自動化安全防護解決方案。平臺主要包括數(shù)字化資產(chǎn)統(tǒng)一管理、數(shù)字化安全工作臺賬管理、自動化安全大腦情報與威脅告警信息統(tǒng)一收集、自動化安全研判分析與防御處置調(diào)度、自動化安全防御處置執(zhí)行五大基礎(chǔ)模塊。其中，數(shù)字化資產(chǎn)統(tǒng)一管理模塊負(fù)責(zé)對企業(yè)基礎(chǔ)網(wǎng)絡(luò)設(shè)備（防火墻、路由器、交換機等）、業(yè)務(wù)系統(tǒng)資產(chǎn)（IP 資產(chǎn)、Web 資產(chǎn)、中間件、數(shù)據(jù)庫等）進行統(tǒng)一線上化管理以替代傳統(tǒng)線下資產(chǎn)管理模式；數(shù)字化安全工作臺賬管理模塊負(fù)責(zé)對各項安全管理或防護工作進行全生命周期自動化、系統(tǒng)化記錄，并永久存儲。以上2個模塊是平臺的基礎(chǔ)服務(wù)提供模塊。下邊具體介紹平臺的三大業(yè)務(wù)模塊。

2.1 自動化安全大腦情報與威脅告警信息統(tǒng)一收集

該模塊是平臺的“哨兵”、“千里眼”。安全情報主要來自于外部收集（上級指揮調(diào)度平臺或安全大腦情報中心）與內(nèi)部監(jiān)測（IDS、態(tài)勢感知等）2 種渠道。如圖1 所示，基于自動化技術(shù)的企業(yè)安全情報收集機器人（以下簡稱情報收集機器人）拉通了企業(yè)各級安全情報和威脅監(jiān)測系統(tǒng)，實現(xiàn)全自動內(nèi)外部情報、威脅收集功能，能有效解決傳統(tǒng)情報收集方式成本高、效率低的問題。

圖1 基于自動化技術(shù)的企業(yè)安全情報收集機器人

該情報接收機器人包括定時任務(wù)管理、后臺API調(diào)用、Web-driver、OCR 文字識別、數(shù)據(jù)處理與存儲模塊。

定時任務(wù)管理模塊負(fù)責(zé)統(tǒng)一調(diào)度管理各平臺的情報收集任務(wù)。安全管理員可定制化調(diào)整各平臺的任務(wù)執(zhí)行策略。

情報機器人通過向各平臺主動發(fā)送Web API請求（數(shù)據(jù)爬蟲）收集各平臺情報數(shù)據(jù)?；贏PI請求的情報收集速度通常較快（單次毫秒級）。然而部分網(wǎng)站出于安全考慮會通過技術(shù)手段限制后臺API 接口爬蟲，基于Web-driver 的數(shù)據(jù)抓取則不受此影響。其原理是通過程序自動操作瀏覽器，模擬人進行頁面操作，達到信息收集的效果。其缺點則是操作速度慢［10］。表1 為2 種數(shù)據(jù)抓取模式的詳細(xì)對比，通常建議優(yōu)先使用API 接口調(diào)用獲取數(shù)據(jù)，當(dāng)API 調(diào)用受限時，使用Web-driver作為替代方案。

表1 安全情報數(shù)據(jù)抓取方案對比

部分網(wǎng)站會使用驗證碼校驗技術(shù)，這給信息自動抓取帶來了很大的困難。OCR 文字識別模塊負(fù)責(zé)情報抓取過程中驗證碼的智能識別。具體步驟為先保存驗證碼截圖，再進行智能去噪點，最后完成OCR 智能文字識別。對經(jīng)常識別出錯的字符，可以運用機器學(xué)習(xí)技術(shù)進行有針對性的樣本訓(xùn)練［11］，在訓(xùn)練得當(dāng)?shù)那闆r下識別成功率可顯著提升。

完成情報信息收集后，需要對威脅告警信息進行自動分析、整合、存儲，為后續(xù)安全防護工作提供情報信息支持。

2.2 自動化安全研判分析與防御處置調(diào)度

在傳統(tǒng)的安全防護體系中，接收到情報或威脅（以下間稱安全事件）后，由安全專家進行研判分析，安全管理員負(fù)責(zé)處置調(diào)度。在處理過程中，大量的數(shù)據(jù)取證（日志、會話、告警記錄）工作和處置調(diào)度均依靠純手工操作，耗時耗力且效率低下。

自動化安全研判分析與防御處置調(diào)度機器人可有效實現(xiàn)關(guān)鍵信息提取、研判分析數(shù)據(jù)預(yù)收集以及防御處置自動調(diào)度。其主要有兩大類應(yīng)用場景。

2.2.1 常態(tài)化安全防護工作全自動化研判分析與防御處置（場景1）

諸如每日漏洞預(yù)警處置、IP 封堵、終端掃描等此類常態(tài)化安全工作可實現(xiàn)全自動化研判分析與防御處置。以每日漏洞預(yù)警處置為例，傳統(tǒng)的漏洞預(yù)警完全依靠人工管理，這種管理模式耗時耗力且無法實現(xiàn)漏洞影響面的精準(zhǔn)管理。如圖2 所示，基于漏洞特征值-資產(chǎn)臺賬關(guān)聯(lián)的漏洞精準(zhǔn)化預(yù)警可有效解決上述問題，其實現(xiàn)步驟如下：

圖2 每日漏洞預(yù)警自動分發(fā)處置機器人

步驟1：開啟定時任務(wù)，查詢最新漏洞預(yù)警工單并進行關(guān)鍵信息提取，包括名稱、級別、受影響的服務(wù)、防護或修復(fù)建議等。例如，接收到“Spring RCE 漏洞”，級別為高危，JDK9 及以上版本會受此漏洞影響，防護建議為接入WAF并啟動*.class過濾。

步驟2：通過漏洞特征值匹配技術(shù)將漏洞影響面與業(yè)務(wù)系統(tǒng)資產(chǎn)臺賬進行關(guān)聯(lián)，精準(zhǔn)匹配出受漏洞影響的業(yè)務(wù)系統(tǒng)。例如，A 業(yè)務(wù)系統(tǒng)采用JDK9，與該漏洞的特征信息匹配，故A系統(tǒng)會受此漏洞影響，需要進行重點預(yù)警通告。

步驟3：向受影響的業(yè)務(wù)系統(tǒng)負(fù)責(zé)人或安全管理員發(fā)送漏洞警報并記錄系統(tǒng)臺賬便于后續(xù)管理。

2.2.2 突發(fā)安全事件關(guān)鍵信息智能提取與研判數(shù)據(jù)取證（場景2）

在安全日常管理工作中，例如某IP 攻擊內(nèi)網(wǎng)、某終端染毒、某釣魚郵件被轉(zhuǎn)發(fā)等突發(fā)安全事件也時有發(fā)生。這類事件場景中，自動化安全研判分析與防御處置調(diào)度機器人可實現(xiàn)關(guān)鍵信息智能提取與研判數(shù)據(jù)取證，為專家研判提供依據(jù)。

以公網(wǎng)IP 攻擊行為排查（見圖3）處置為例，假定企業(yè)接收到安全事件工單——“近日情報中心發(fā)現(xiàn)192.168.124.162 曾出安全攻擊事件，請核查近一個月內(nèi)是否存在與該地址的交互記錄，并研判影響?！保ㄒ韵潞喎QIP攻擊排查工單），該方案的執(zhí)行步驟如下：

圖3 IP攻擊排查事件研判數(shù)據(jù)取證機器人

步驟1：開啟定時任務(wù)，查詢到該IP 攻擊排查工單。

步驟2：對該工單進行包含“源—行為動作—目的—處置操作—時間窗口”的關(guān)鍵信息提取，對應(yīng)上例，即源（192.168.124.162）—行為動作（安全攻擊）—目的（公司內(nèi)網(wǎng)）—時間窗口（1 個月）—排查內(nèi)容（訪問記錄）。

步驟3：根據(jù)關(guān)鍵信息，自動匹配防御處置調(diào)度策略，在本例中，機器人將自動查詢最近1 個月192.168.124.162 的會話記錄（全流程系統(tǒng)）、訪問告警日志（IDS、態(tài)勢感知），并將結(jié)果整合、導(dǎo)出為文件，為專家研判分析提供數(shù)據(jù)支持。

為提高安全事件關(guān)鍵信息提取成功率，可對同一類事件內(nèi)置多個特征標(biāo)簽描述。除此之外，還可考慮使用自然語言處理技術(shù)（NLP）改進關(guān)鍵描述信息識別能力［12］，以實現(xiàn)更加智能的網(wǎng)絡(luò)安全研判分析與防御處置調(diào)度。

2.3 自動化安全防御處置執(zhí)行

安全防御處置大都遵循標(biāo)準(zhǔn)化模式，因此其適于軟件工具自動化、批量化處理。相比傳統(tǒng)人工方式，自動化技術(shù)的引入讓處置效率顯著提升，人為出錯概率也大大降低。

下面就2個典型的自動化防御處置應(yīng)用場景舉例說明。

2.3.1 自動化威脅IP封堵機器人（場景1）

如圖4所示，自動化威脅IP封堵機器人（以下簡稱封堵機器人）可用于攻擊IP 全自動收集、解析、封堵、通知。具體實現(xiàn)步驟如下：

圖4 自動化威脅IP封堵機器人

步驟1：平臺接收到IP封堵處置工單，將待封堵IP列表存入數(shù)據(jù)庫中。

步驟2：封堵處置調(diào)度器定時啟動，從數(shù)據(jù)庫中加載待封堵IP列表。

步驟3：依次登錄公司各地防火墻，執(zhí)行IP 封堵操作。需要注意的是，各安全廠商防火墻封堵處置操作步驟不同，需要定制化編寫封堵腳本。

步驟4：封堵成功后，同步修改至數(shù)據(jù)庫中，并自動將消息推送給安全管理人員。

步驟5：若封堵失敗，記錄異常日志信息，并推送給安全管理人員，人工介入排查，完成線下修復(fù)后，重新執(zhí)行封堵，直至成功。

2.3.2 自動化安全漏掃調(diào)度執(zhí)行機器人（場景2）

如圖5所示，自動化安全漏掃調(diào)度執(zhí)行機器人（以下簡稱漏掃機器人）可實現(xiàn)對指定業(yè)務(wù)系統(tǒng)的全自動安全漏掃檢查。具體實現(xiàn)步驟如下：

圖5 自動化安全漏掃調(diào)度執(zhí)行機器人

步驟1：平臺接收到關(guān)于某業(yè)務(wù)系統(tǒng)的攻擊事件，安全團隊決定對該系統(tǒng)進行安全漏掃檢查，放入待執(zhí)行隊列中。

步驟2：漏掃機器人定時啟動，依次調(diào)用各漏掃工具執(zhí)行安全檢查。需要注意的是，各漏掃工具操作步驟不同，需要定制化編寫漏掃執(zhí)行腳本。

步驟3：調(diào)度器定期監(jiān)測漏掃任務(wù)的執(zhí)行情況，并將漏掃結(jié)果整合成最終報告，發(fā)送至相關(guān)安全管理人員處。

步驟4：若漏掃工作執(zhí)行失敗，記錄異常日志信息，并推送給安全管理人員，人工介入排查、完成線下修復(fù)后，重新執(zhí)行漏掃，直至成功。

3 應(yīng)用效果

目前，本文提出的自動化防護解決方案已經(jīng)在某企業(yè)安全防護中得到了實際部署與應(yīng)用，經(jīng)過了多輪安全專項檢查的驗證，取得了良好效果，相較于傳統(tǒng)手工安全防護，其存在如下顯著優(yōu)勢。

a）人員配置更加合理。以應(yīng)用該方案的企業(yè)為例，在采用該方案前，該企業(yè)投入了多名技術(shù)人員參與日常安全防護工作，這些技術(shù)人員需要花費大量精力忙于日常安全情報收集、防御處置執(zhí)行等重復(fù)性勞動，導(dǎo)致人手緊張；采用該方案后，安全情報收集與防御處置執(zhí)行實現(xiàn)了全流程自動化，僅需安排1～2 名專職人員值班即可，其余人員可專注于研判分析和安全方案研究等高精技術(shù)工作。相較于傳統(tǒng)的手工安全防護，該方案緩解了技術(shù)人員緊張的問題，提升了防護效率。

b）安全事件響應(yīng)、處置速度快。相較于人工處理，基于自動化程序的安全事件響應(yīng)與處置速度大大提高。以該企業(yè)為例，在采用該方案前，單個安全情報、威脅告警的收集時間、單次IP 封堵、安全策略配置、終端殺毒的執(zhí)行時間平均為30 min；采用該方案后，平均響應(yīng)與處置時間降到3 min 以內(nèi)（經(jīng)過多輪安全專項檢查驗證），閉環(huán)時間提升一個數(shù)量級。

c）安全防護可靠性高。本文提出的安全防御處置是基于全自動化工具的，可有效避免人為誤操作導(dǎo)致的安全事故發(fā)生。以該企業(yè)為例，在采用該方案前，諸如IP 誤封堵、漏封堵、安全策略誤配置等安全事故時有發(fā)生，采用該方案后，此類安全防御處置都采用全自動化實現(xiàn)，通過應(yīng)用程序內(nèi)置的狀態(tài)監(jiān)測、異常處理與故障恢復(fù)機制，使安全防護可靠性得到了顯著提高，至今未發(fā)生具有影響力的安全事故。

4 結(jié)束語

隨著信息技術(shù)不斷發(fā)展，企業(yè)面臨越來越多來自網(wǎng)絡(luò)空間的安全威脅與安全攻擊。本文分析總結(jié)了當(dāng)前企業(yè)網(wǎng)絡(luò)信息安全防護模式所面臨的困難和挑戰(zhàn)，并根據(jù)網(wǎng)絡(luò)信息安全管理要求，提出了一種基于內(nèi)部統(tǒng)一安全管控平臺的企業(yè)網(wǎng)絡(luò)安全自動化防護解決方案。該方案可以實現(xiàn)企業(yè)安全防護主要流程、工作自動化，并為企業(yè)系統(tǒng)化、科學(xué)化、智能化安全防護提供實際的指導(dǎo)幫助。不僅可以有效降低企業(yè)安全管理成本，還能顯著提高企業(yè)安全管理可靠性。目前，需要注意的是，網(wǎng)絡(luò)安全防護不是一勞永逸的事情，本文提供的方案對未來可能面臨的新的安全問題難免會有遺漏之處，安全防護人員需要根據(jù)新的問題不斷改進防護策略和技術(shù)手段，筑牢企業(yè)網(wǎng)絡(luò)安全防線。