◆張 磊

?

網(wǎng)絡安全態(tài)勢感知平臺數(shù)據(jù)采集規(guī)范研究與應用

◆張 磊

（核工業(yè)計算機應用研究所安全運維中心 北京 100048）

隨著信息化建設步伐的加快，如何有效化解安全風險，應對各種突發(fā)性安全事件已成為不容忽視的問題。由于集團型企業(yè)的網(wǎng)絡安全體系復雜，涉及范圍廣，安全防護系統(tǒng)部署地域分散，并且與業(yè)務系統(tǒng)耦合度較高，如何將現(xiàn)有分類眾多且具有不同品牌型號的安全防護系統(tǒng)納入統(tǒng)一的網(wǎng)絡安全態(tài)勢感知平臺，實現(xiàn)網(wǎng)絡安全態(tài)勢全局分析和動態(tài)監(jiān)控已成為各級網(wǎng)絡系統(tǒng)安全管理、運營部門面臨的主要問題。本文以某大型央企集團總部網(wǎng)絡安全態(tài)勢感知平臺建設為例，結合其安全要求和業(yè)務特點，利用統(tǒng)一的數(shù)據(jù)接口規(guī)范實現(xiàn)不同種類、品牌的安全防護系統(tǒng)數(shù)據(jù)采集，為集團公司后續(xù)各成員單位的下級網(wǎng)絡安全態(tài)勢感知平臺接入奠定基礎。

網(wǎng)絡安全態(tài)勢感知平臺；數(shù)據(jù)采集；接口；規(guī)范

0 引言

網(wǎng)絡安全態(tài)勢感知平臺是以IT資產(chǎn)為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，通過建立一套實時的資產(chǎn)風險模型，協(xié)助網(wǎng)絡安全管理員進行事件分析、風險分析、預警管理、應急響應處置等的集中管理系統(tǒng)。文獻[1]通過建設網(wǎng)絡安全態(tài)勢感知平臺可以實現(xiàn)安全事件監(jiān)控、安全風險集中管理及宏觀態(tài)勢展示，能夠?qū)W(wǎng)絡安全建設基線進行合規(guī)性檢查與綜合審計等。

某大型集團企業(yè)辦公網(wǎng)絡的網(wǎng)絡安全態(tài)勢感知平臺建設，以落實集團公司網(wǎng)絡安全管理核心職能，如檢查評估、應急響應處置、風險態(tài)勢感知為根本目標，以安全風險態(tài)勢感知為導向、以安全合規(guī)評估為核心。通過采集網(wǎng)內(nèi)的各類安全日志、告警、配置、漏洞、性能與可用性等信息，并進行安全風險分析、檢查評估分析、通告反饋、威脅情報導入，從而實現(xiàn)全網(wǎng)的風險態(tài)勢感知、合規(guī)檢查能力實現(xiàn)，動態(tài)的標準與策略、公告反饋機制實現(xiàn)，并通過與安全運維能力結合實現(xiàn)應急響應與處置能力，從而實現(xiàn)基于PDCA理念的安全能力循環(huán)提升，逐步提高集團公司網(wǎng)絡安全防護體系的完善程度。

1 現(xiàn)狀及需求分析

集團辦公網(wǎng)絡具有規(guī)模大、容量大、覆蓋面廣的特點，覆蓋約100余家成員單位，3萬余終端，整體網(wǎng)絡參照國家等級保護三級標準要求進行設計和建設，網(wǎng)絡內(nèi)部署有大量不同種類、品牌、型號的安全防護設備和系統(tǒng)，如防火墻、防病毒系統(tǒng)、主機監(jiān)控與審計系統(tǒng)、身份認證系統(tǒng)等。

為實現(xiàn)統(tǒng)一安全管理，其網(wǎng)絡安全態(tài)勢感知平臺規(guī)劃采取分級管理的模式，構建“集團總部一級平臺+二級平臺+三級平臺或分布式采集”的三級架構，集團安全態(tài)勢感知平臺與二級安全態(tài)勢感知平臺之間通過數(shù)據(jù)接口實現(xiàn)互通，二級安全態(tài)勢感知平臺的管理范圍可延伸到三級單位層級，實現(xiàn)本板塊區(qū)域的網(wǎng)絡安全態(tài)勢感知能力，從而形成“兩級中心，三級監(jiān)控”的全局網(wǎng)絡安全態(tài)勢感知能力。

集團總部一級安全態(tài)勢感知平臺與下級安全態(tài)勢感知平臺之間為松耦合的架構關系，各級安全態(tài)勢感知平臺具備相應的數(shù)據(jù)接口，需按照統(tǒng)一的數(shù)據(jù)格式和規(guī)范傳輸數(shù)據(jù)。網(wǎng)絡安全態(tài)勢感知平臺整體規(guī)劃架構如圖1所示。

文獻[2]實現(xiàn)安全數(shù)據(jù)采集是網(wǎng)絡安全態(tài)勢感知平臺建設的基礎，其將通過各類主動、被動的手段實現(xiàn)資產(chǎn)信息、風險分析、合規(guī)檢查所需要的資產(chǎn)信息、配置信息、安全漏洞和安全事件、威脅情報等信息的采集，文獻[3]并提交給數(shù)據(jù)分析引擎進行具體的分析、關聯(lián)等處理操作。

通常在建設網(wǎng)絡安全態(tài)勢感知平臺時，主要通過標準SYSLOG協(xié)議進行各類安全設備的安全數(shù)據(jù)采集，由于集團辦公網(wǎng)絡覆蓋單位廣，安全產(chǎn)品種類和品牌眾多，按照規(guī)劃要求進行集團三級網(wǎng)絡安全態(tài)勢感知平臺建設時，如利用SYSLOG協(xié)議對各單位的安全設備進行數(shù)據(jù)采集，并在完成本級安全數(shù)據(jù)采集后逐級進行數(shù)據(jù)上報，將面臨如下問題：

圖1 網(wǎng)絡安全態(tài)勢感知平臺整體規(guī)劃架構示意圖

（1）集團各單位全部利用SYSLOG采集到的安全數(shù)據(jù)數(shù)量龐大，集團總部一級管理平臺進行數(shù)據(jù)實時匯總時壓力大，辦公網(wǎng)絡帶寬難以承受。

（2）SYSLOG協(xié)議采集到的安全數(shù)據(jù)可讀性差，必須對所有品牌，所有類型的安全設備數(shù)據(jù)信息進行范式化，將其轉(zhuǎn)換為通用格式才可利用安全態(tài)勢感知平臺進行內(nèi)容分析，整體范式化工作量大，且必須不斷伴隨安全設備的更新、調(diào)整開展數(shù)據(jù)信息范式化工作。

（3）難以針對各類安全設備設定統(tǒng)一的采集基線和要求，SYSLOG協(xié)議發(fā)送的安全數(shù)據(jù)內(nèi)容復雜且數(shù)據(jù)字段繁多，實際工作中無須關注安全設備的所有數(shù)據(jù)信息，僅需結合網(wǎng)絡安全標準規(guī)范要求和自身管理要求進行部分重點關注的數(shù)據(jù)內(nèi)容抽取。

為解決上述問題并實現(xiàn)各類安全數(shù)據(jù)的統(tǒng)一收集、分析，綜合呈現(xiàn)全集團的安全態(tài)勢，需制定一套統(tǒng)一的集團網(wǎng)絡安全態(tài)勢感知平臺數(shù)據(jù)采集規(guī)范，并約定數(shù)據(jù)采集內(nèi)容、采集要求、采集頻率、上報內(nèi)容、對接方式等，文獻[4]提高態(tài)勢分析效率。集團各級網(wǎng)絡安全態(tài)勢感知平臺的安全數(shù)據(jù)采集均需遵從此規(guī)范，通過標準數(shù)據(jù)接口將各級單位平臺采集到的本級安全數(shù)據(jù)發(fā)送至上級管理平臺。

2 數(shù)據(jù)采集規(guī)范設計

集團辦公網(wǎng)絡中各類安全設備產(chǎn)生的數(shù)據(jù)信息需要通過標準數(shù)據(jù)接口進行采集和傳輸，傳輸方式為三級平臺將收集到的數(shù)據(jù)信息傳輸至二級平臺，二級平臺將數(shù)據(jù)信息傳輸至一級平臺，最后由一級平臺進行安全態(tài)勢綜合呈現(xiàn)。在數(shù)據(jù)采集和傳輸過程中，無須收集所有的安全數(shù)據(jù)信息，僅對重點關注內(nèi)容進行采集，同時下級平臺上報內(nèi)容均為相關統(tǒng)計分析結果，無須上報所有內(nèi)容。

為統(tǒng)一網(wǎng)絡安全態(tài)勢感知平臺數(shù)據(jù)采集規(guī)范，首先需確認安全數(shù)據(jù)采集的內(nèi)容和分類，其次需要進行數(shù)據(jù)采集接口約定，最后由安全態(tài)勢感知平臺廠商會同各安全產(chǎn)品廠商進行數(shù)據(jù)對接，最終實現(xiàn)數(shù)據(jù)統(tǒng)一采集。

2.1 安全數(shù)據(jù)采集要求

依據(jù)國家網(wǎng)絡安全相關標準規(guī)范要求，結合集團公司自身網(wǎng)絡安全態(tài)勢感知需要，文獻[5]主要從終端IT資產(chǎn)信息、安全產(chǎn)品數(shù)據(jù)信息、應用系統(tǒng)安全數(shù)據(jù)信息、安全通報等方面進行數(shù)據(jù)采集，具體數(shù)據(jù)采集內(nèi)容和來源如下：

（1）終端IT資產(chǎn)信息

終端信息：利用網(wǎng)絡中部署的主機監(jiān)控與審計系統(tǒng)、終端安全登錄系統(tǒng)進行終端信息收集。

終端安全產(chǎn)品信息：利用部署的主機監(jiān)控與審計系統(tǒng)、終端安全登錄系統(tǒng)、防病毒系統(tǒng)分別采集各自的安全產(chǎn)品統(tǒng)計信息，如防病毒系統(tǒng)安裝率、身份認證USB-KEY安裝數(shù)量等。

（2）安全產(chǎn)品數(shù)據(jù)信息

漏洞信息：利用漏洞掃描設備開展漏洞掃描工作，并在完成掃描任務后將網(wǎng)絡中的漏洞信息發(fā)送至平臺。

安全審計信息：利用主機監(jiān)控與審計系統(tǒng)對終端的主要違規(guī)行為（接入非授權介質(zhì)、違規(guī)外聯(lián)、違規(guī)訪問互聯(lián)網(wǎng)等）告警信息進行采集。

病毒感染信息：利用防病毒系統(tǒng)對網(wǎng)絡中存在的病毒種類、感染病毒主機的數(shù)量進行采集。

攻擊事件：采集防火墻、入侵防御系統(tǒng)（IPS）、通過Web應用防火墻（WAF）等安全設備出現(xiàn)的攻擊和告警事件數(shù)量。

（3）應用系統(tǒng)安全數(shù)據(jù)信息

網(wǎng)站安全：通過Web應用防火墻（WAF）設備單獨進行網(wǎng)站攻擊數(shù)量和種類采集；采集網(wǎng)站管理員登錄信息（如登錄賬戶、時間、登錄狀態(tài)等）。

郵件安全：采集郵件安全網(wǎng)關數(shù)據(jù)信息，如垃圾郵件數(shù)量、種類等；采集郵件系統(tǒng)弱口令賬戶數(shù)量、用戶異常登錄信息等。

（4）安全通報信息

安全通報：利用平臺中的安全通報功能進行安全通報信息采集，包括通報時間、通報單位、通報摘要等。

2.2 數(shù)據(jù)采集接口實現(xiàn)

網(wǎng)絡安全態(tài)勢感知平臺統(tǒng)一數(shù)據(jù)采集接口由安全態(tài)勢感知平臺廠商進行開發(fā)，其他安全廠商、應用廠商按照統(tǒng)一的規(guī)范要求進行平臺數(shù)據(jù)采集接口調(diào)用，分別將各自的數(shù)據(jù)信息傳輸至平臺，避免由于安全產(chǎn)品種類品牌眾多，導致安全態(tài)勢感知平臺不斷進行數(shù)據(jù)接口調(diào)整。

此次的數(shù)據(jù)采集接口利用WEBSERVICE進行技術實現(xiàn)，采用SOAP協(xié)議進行Web數(shù)據(jù)信息交互，集團網(wǎng)絡安全態(tài)勢感知平臺數(shù)據(jù)采集規(guī)范中共包含14類數(shù)據(jù)采集接口，同時定義了集團各單位的部門編碼以及各類IT設備的類型映射表。以下以病毒信息采集接口為例進行說明。

（1）請求方法及路徑說明

表1 請求方法及路徑說明

（2）請求參數(shù)說明

按照病毒數(shù)據(jù)采集內(nèi)容要求，對所需的數(shù)據(jù)字段進行命名，同時約定該字段的數(shù)據(jù)類型并說明字段意義，考慮到后續(xù)數(shù)據(jù)內(nèi)容擴展，預留4個備用字段。

表2 請求參數(shù)說明

（3）請求及應答示例

請求示例：

http://${ip}:${port} /getVirusInfo?str=[{"deviceIP":"192.168.1.1","deviceType":"臺式機","virusName":"熊貓燒香病毒"," infectedMachines":"1200","deptCode":"100010","intervalTime":"300000","startTime":"1532939228608","endTime":"1532939228608"}]

應答示例：

[{"result":"插入數(shù)據(jù)成功","reason":"","startTime":"0","endTime":"0"}]

[{"result":"時間不匹配","reason":"","startTime":"0","endTime":"300000"}]

[{"result":"插入數(shù)據(jù)失敗","reason":"異常原因： net.sf.json.JSONException:JSONObject["infectedMachines"] is not a number.","startTime":"300000","endTime": "600000"}]

[{"result":"插入數(shù)據(jù)失敗","reason":"異常原因：java.lang.NullPointerException","startTime":"300000","endTime":"600000"}]

3 數(shù)據(jù)采集規(guī)范應用

目前，集團總部已完成一級網(wǎng)絡安全態(tài)勢感知平臺建設，數(shù)據(jù)采集規(guī)范的具體應用如下：

（1）實現(xiàn)安全數(shù)據(jù)統(tǒng)一采集

集團總部一級平臺建設過程中按照數(shù)據(jù)采集規(guī)范要求內(nèi)容開展了數(shù)據(jù)對接工作，一方面由平臺建設方進行所有數(shù)據(jù)采集接口的統(tǒng)一開發(fā)，便于不同類型安全設備進行接口調(diào)用，另一方面由應用系統(tǒng)、安全產(chǎn)品廠商等按照數(shù)據(jù)采集規(guī)范要求生成平臺所需的數(shù)據(jù)內(nèi)容，并利用標準接口傳輸至平臺中。目前，集團總部一級平臺已按照數(shù)據(jù)采集規(guī)范要求完成了各類數(shù)據(jù)采集，所需數(shù)據(jù)內(nèi)容均可正常傳輸至安全態(tài)勢感知平臺，并由平臺進行后續(xù)安全處理和分析。

（2）實現(xiàn)安全態(tài)勢綜合呈現(xiàn)

集團總部一級網(wǎng)絡安全態(tài)勢感知平臺在進行安全態(tài)勢展示大屏建設時，參照數(shù)據(jù)采集規(guī)范要求進行開發(fā)，展示大屏中的內(nèi)容與數(shù)據(jù)采集內(nèi)容保持一致，能夠從漏洞掃描、病毒信息、網(wǎng)站攻擊等不同維度進行安全態(tài)勢展示。

（3）為下級網(wǎng)絡安全態(tài)勢感知平臺建設提供指導和依據(jù)

集團總部一級網(wǎng)絡安全態(tài)勢感知平臺項目建設時，同步開展了下級單位試點建設工作，在明確了數(shù)據(jù)采集規(guī)范要求后，下級平臺建設時可依據(jù)此要求開展有針對性的數(shù)據(jù)采集和上傳工作。且由于各單位通過標準數(shù)據(jù)采集接口采集到的數(shù)據(jù)格式、類型相同，使得網(wǎng)絡安全態(tài)勢感知平臺能夠?qū)Ω鲉挝坏陌踩珨?shù)據(jù)信息進行統(tǒng)計和分析，從而呈現(xiàn)出集團整體安全態(tài)勢。

4 結束語

本文以某集團網(wǎng)絡安全態(tài)勢感知平臺建設過程遇到的問題為例，提出了數(shù)據(jù)采集規(guī)范設計內(nèi)容，通過制定統(tǒng)一的數(shù)據(jù)采集接口規(guī)范，約定了安全數(shù)據(jù)采集內(nèi)容、要求、來源等，實現(xiàn)了集團總部一級網(wǎng)絡安全態(tài)勢感知平臺的數(shù)據(jù)采集，結合網(wǎng)絡安全態(tài)勢感知平臺安全態(tài)勢展示大屏對集團總部網(wǎng)絡安全態(tài)勢進行了分析和呈現(xiàn)，同時為后續(xù)下級安全態(tài)勢感知平臺建設、接入提供依據(jù)并奠定基礎。

[1]盧慶，文衛(wèi)疆，陳新.大數(shù)據(jù)技術支持下的網(wǎng)絡安全態(tài)勢感知技術探究[J].網(wǎng)絡安全技術與應用，2017.

[2]陶源，黃濤，張墨涵，黎水林.網(wǎng)絡安全態(tài)勢感知關鍵技術研究及發(fā)展趨勢分析[J].信息網(wǎng)絡安全，2018.

[3]陳興蜀，曾雪梅，王文賢，邵國林.基于大數(shù)據(jù)的網(wǎng)絡安全與情報分析[J].工程科學與技術，2017.

[4]張淑英.網(wǎng)絡安全事件關聯(lián)分析與態(tài)勢評測技術研究[D].吉林大學，2012.

[5]宋進，唐光亮.網(wǎng)絡安全態(tài)勢感知技術研究與應用[J].通信技術，2018.