王 猛

內(nèi)蒙古廣播電視臺 內(nèi)蒙古 呼和浩特市 010050

引 言

隨著內(nèi)蒙古廣播電視臺信息化建設(shè)的跨越式發(fā)展，信息系統(tǒng)數(shù)量不斷增長，網(wǎng)絡(luò)安全防護(hù)壓力日益增大。內(nèi)蒙古廣播電視臺為建立可信網(wǎng)絡(luò)空間，應(yīng)對越來越嚴(yán)峻的網(wǎng)絡(luò)安全威脅形勢，推動網(wǎng)絡(luò)安全防護(hù)能力從“被動防御明確攻擊”向“主動發(fā)現(xiàn)安全威脅”轉(zhuǎn)變，需要利用網(wǎng)絡(luò)安全態(tài)勢感知支撐手段建設(shè)安全告警運(yùn)營平臺。針對已經(jīng)部署運(yùn)行的安全設(shè)備的告警信息進(jìn)行集中分析，結(jié)合部署實施的安全設(shè)備進(jìn)行告警關(guān)聯(lián)分析落地，能夠切實加強(qiáng)網(wǎng)絡(luò)安全分析室監(jiān)測預(yù)警的工作能力與快速響應(yīng)能力，真正可視化展現(xiàn)具備危害性的威脅，預(yù)警存在較大威脅和破壞力的風(fēng)險，處置可能發(fā)生或者已經(jīng)存在的安全事件，加固重點(diǎn)防御對象和薄弱環(huán)節(jié)，提升工作效能，進(jìn)而實現(xiàn)信息安全內(nèi)控的“統(tǒng)一監(jiān)控、統(tǒng)一預(yù)警、統(tǒng)一調(diào)度”，亟需完善網(wǎng)絡(luò)安全態(tài)勢實時監(jiān)控工具，提升網(wǎng)絡(luò)安全監(jiān)控自動化水平，提高分析研判精準(zhǔn)度，加快事件處置速度，實現(xiàn)聯(lián)動、快速響應(yīng)的主動防御，本文主要從內(nèi)蒙古廣播電視臺網(wǎng)絡(luò)安全告警運(yùn)營平臺建設(shè)過程中需要解決的難點(diǎn)與創(chuàng)新設(shè)計等方面進(jìn)行論述。

1 建設(shè)安全告警運(yùn)營平臺需要解決的問題

現(xiàn)有的網(wǎng)絡(luò)安全運(yùn)維工作中，安全類設(shè)備的告警非常多，但運(yùn)維人員真正要關(guān)心和處理的告警沒有明確，運(yùn)維人員只有進(jìn)行深入的數(shù)據(jù)分析才能判斷真正的威脅行為，這對運(yùn)維人員的技能水平要求非常高，往往需要登錄眾多設(shè)備進(jìn)行人工驗證，工作繁復(fù)且容易漏掉關(guān)鍵信息。在這種情況下，我們亟需從眾多告警數(shù)據(jù)中精準(zhǔn)定位網(wǎng)絡(luò)威脅，從技術(shù)上構(gòu)建工具系統(tǒng)對告警數(shù)據(jù)進(jìn)行集中，通過規(guī)則和場景自動化進(jìn)行分析，從而展示給運(yùn)維人員有限數(shù)量的明確告警，通過可視化的大屏將威脅告警明確地展示出來，讓技能水平一般的運(yùn)維人員也可以及時發(fā)現(xiàn)威脅并上報處理。

2 安全告警運(yùn)營平臺建設(shè)內(nèi)容分析

安全告警運(yùn)營平臺通過多樣化的安全資產(chǎn)數(shù)據(jù)采集，以可適配數(shù)據(jù)源的方式對各類安全設(shè)備、系統(tǒng)數(shù)據(jù)進(jìn)行采集、清洗、標(biāo)準(zhǔn)化、存儲，具備離線、實時、全文檢索等多種數(shù)據(jù)訂閱及分析等功能，對內(nèi)蒙古廣播電視臺所有網(wǎng)絡(luò)安全行為和軌跡進(jìn)行持續(xù)監(jiān)控和記錄，并可以追溯到源頭，彌補(bǔ)傳統(tǒng)審計手段的不足。同時，一旦發(fā)生網(wǎng)絡(luò)安全事件，可以對事件進(jìn)行追蹤、溯源、取證，還原事件發(fā)生過程，了解事件嚴(yán)重程度和影響范圍，做出正確有力的響應(yīng)，并采取防御措施。

安全告警運(yùn)營平臺通過網(wǎng)絡(luò)安全告警數(shù)據(jù)采集與集中分析，實現(xiàn)安全監(jiān)測與防御系統(tǒng)的威脅告警數(shù)據(jù)集中，進(jìn)行威脅風(fēng)險的深度分析、關(guān)聯(lián)分析、精準(zhǔn)驗證，以數(shù)據(jù)為支撐提升安全運(yùn)維能力和系統(tǒng)安全防護(hù)效果，同時通過威脅數(shù)據(jù)分析與威脅人工挖掘，形成基于攻擊與防御的運(yùn)營隊伍，既有專業(yè)骨干人員，又有日常數(shù)據(jù)分析人員，建立內(nèi)蒙古廣播電視臺網(wǎng)絡(luò)安全人才培養(yǎng)與提升機(jī)制，真正將安全數(shù)據(jù)、人工智能、人作為安全運(yùn)維的三要素，提升以數(shù)據(jù)為核心的深入精準(zhǔn)威脅挖掘能力、人工智能的自動化規(guī)則與場景分析能力、明晰安全事件的響應(yīng)處置能力。

3 安全告警運(yùn)營平臺框架設(shè)計

3.1 主要功能

（1）構(gòu)建安全數(shù)據(jù)中心，實現(xiàn)安全數(shù)據(jù)的集中采集、存儲、檢索。歸集各類安全設(shè)備的安全數(shù)據(jù)，不限于FW、IPS、WAF、IDS、抗DDOS、終端安全、服務(wù)器安全、天眼等，實現(xiàn)對安全數(shù)據(jù)的清洗、標(biāo)準(zhǔn)化、分析、存儲，提供實時、全文檢索及數(shù)據(jù)接口等多種數(shù)據(jù)查詢和采集方式，形成安全威脅數(shù)據(jù)。

（2）搭建安全分析中心，實現(xiàn)安全威脅的有效監(jiān)測、分析。通過規(guī)則編輯器工具、SparkMLlib工具、ScikitLearn數(shù)據(jù)挖掘和數(shù)據(jù)分析工具對安全事件進(jìn)行有效監(jiān)控、過濾、歸并和分析，包括普通規(guī)則、關(guān)聯(lián)規(guī)則、分組規(guī)則和串行規(guī)則等。同時結(jié)合威脅情報，利用大數(shù)據(jù)分析技術(shù)對安全數(shù)據(jù)進(jìn)行統(tǒng)計分析、關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等，實現(xiàn)安全威脅事件的有效監(jiān)測、分析和預(yù)警。

（3）具備安全威脅告警及預(yù)警過濾、歸并和輸出的能力。告警展示內(nèi)外部威脅分析后的有效告警，包括網(wǎng)絡(luò)威脅告警、系統(tǒng)脆弱性告警、異常流程告警和有害程序告警等。對高、中、低3個級別的告警進(jìn)行篩選、過濾和歸并，將高危、中危的告警過濾出來關(guān)聯(lián)分析。預(yù)警展示基于外部威脅情況預(yù)警、外部漏洞預(yù)警、網(wǎng)絡(luò)安全預(yù)警、DDos異常流量預(yù)警等。以表格滾動的方式進(jìn)行監(jiān)控和展示，為安全分析人員提供方便。

（4）實現(xiàn)安全告警的可視化展示。使用ECharts、TWaver可視化工具提供網(wǎng)絡(luò)安全威脅告警可視化和分析的入口，通過實時安全威脅告警分析以及對態(tài)勢發(fā)展情況的預(yù)測評估，全面描述全網(wǎng)的安全情況、影響評估和態(tài)勢演化，通過大屏展示實時安全態(tài)勢指數(shù)、告警監(jiān)控、網(wǎng)絡(luò)攻擊態(tài)勢、異常流量態(tài)勢、有害程序態(tài)勢、脆弱性態(tài)勢以及重要業(yè)務(wù)系統(tǒng)安全等態(tài)勢信息，可以進(jìn)行大屏幕展示視圖設(shè)置。

（5）加固安全配置，修復(fù)漏洞，消除缺陷隱患。針對集中數(shù)據(jù)以及分析結(jié)果，明確整體安全狀況，對比階段安全變化，預(yù)警可能存在的安全風(fēng)險，并基于確切的安全事件開展網(wǎng)絡(luò)層和主機(jī)層的安全加固工作，主要針對配置、策略、訪問控制、漏洞管控、防止違規(guī)等。通過數(shù)據(jù)分析得出安全風(fēng)險結(jié)論，后續(xù)結(jié)合網(wǎng)絡(luò)和主機(jī)的狀況開展加固工作，主要針對網(wǎng)絡(luò)設(shè)備、服務(wù)器（含中間件和數(shù)據(jù)庫）的身份認(rèn)證、授權(quán)、服務(wù)、端口。

內(nèi)蒙古廣播電視臺結(jié)合安全告警運(yùn)營平臺，修訂臺安全配置規(guī)范要求，全面梳理不合規(guī)主機(jī)隱患，修復(fù)遺留的未整改的漏洞，根據(jù)黑客的攻擊手段調(diào)整或優(yōu)化安全設(shè)備的配置策略，制定安全配置加固方案與指導(dǎo)書，從而完成當(dāng)前存在的所有漏洞和不合規(guī)配置修復(fù)工作。

（6）構(gòu)建威脅情報中心，實時提供和更新威脅情報庫。威脅情報中心能夠與國內(nèi)外主流情報中心進(jìn)行定期交互，并且具備實時提供并更新威脅情報庫能力。威脅情報中心具有惡意IP、惡意ULR、惡意域名、漏洞庫、惡意文件、惡意郵箱等情報信息采集、管理及更新的能力。

（7）以數(shù)據(jù)分析帶動人才培養(yǎng)。結(jié)合網(wǎng)絡(luò)安全規(guī)則、場景調(diào)研與優(yōu)化，以攻防專家的深入人工驗證、溯源為經(jīng)驗，架構(gòu)起能夠應(yīng)對大規(guī)模安全事件的運(yùn)維隊伍，形成骨干、安全運(yùn)維、日常監(jiān)控等各個層次的傳幫帶人才培養(yǎng)體系。

3.2 技術(shù)指標(biāo)

安全告警運(yùn)營平臺以威脅告警數(shù)據(jù)為基礎(chǔ)，以人工智能和場景化分析為依托，利用專業(yè)的安全運(yùn)維能力，精確定位威脅，快速響應(yīng)處置，主要技術(shù)指標(biāo)如下：

（1）明確處置事件。集中未知威脅檢測、攻擊溯源及其他安全設(shè)備的告警數(shù)據(jù)，通過深入分析、關(guān)聯(lián)分析、溯源分析，明確真正的安全事件，判斷事件的危害性和危害程度。

（2）告警事件調(diào)查。對威脅事件和可疑事件進(jìn)行人工調(diào)查分析，通過人工調(diào)查分析確定威脅以及威脅的嚴(yán)重程度和影響范圍，通過建立調(diào)查任務(wù)實現(xiàn)日志、關(guān)聯(lián)事件、告警、漏洞威脅調(diào)查。

（3）攻擊鏈分析。對調(diào)查任務(wù)中的數(shù)據(jù)做統(tǒng)計分析（如攻擊者和受害者情況），能夠從攻擊鏈角度分析威脅事件，攻擊鏈可以從時間維度和攻擊階段維度兩個視角對其進(jìn)行展示。

（4）聯(lián)動響應(yīng)。當(dāng)發(fā)現(xiàn)失陷主機(jī)、惡意域名等威脅事件后，可以及時給相關(guān)設(shè)備發(fā)送聯(lián)動消息，遏制威脅事態(tài)升級。

（5）關(guān)聯(lián)分析。包括安全日志、網(wǎng)絡(luò)流量日志、服務(wù)器日志、中間件日志和其他安全日志等。

（6）威脅情報匹配。與失陷類威脅情報匹配，可以發(fā)現(xiàn)僵尸網(wǎng)絡(luò)、勒索軟件、APT事件和遠(yuǎn)控木馬等較為嚴(yán)重的威脅事件。

（7）加固對象。網(wǎng)絡(luò)設(shè)備、安全設(shè)備（配置和策略）、服務(wù)器操作系統(tǒng)、通用中間件、通用數(shù)據(jù)庫。

（8）加固內(nèi)容。安全補(bǔ)丁、安全配置、日志配置、服務(wù)、自身脆弱性等。

（9）威脅情報升級。具備威脅情報庫升級能力，情報類型包含：定向攻擊、僵尸網(wǎng)絡(luò)、勒索軟件、黑市工具、遠(yuǎn)控木馬、竊密木馬、網(wǎng)絡(luò)蠕蟲、流氓推廣、其他事件。

（10）規(guī)則建模。對時間范圍內(nèi)符合過濾條件的日志出現(xiàn)的次數(shù)進(jìn)行計數(shù)，實現(xiàn)統(tǒng)計規(guī)則建模。例如，對暴力破解場景下，登錄日志中賬號登錄失敗的次數(shù)進(jìn)行統(tǒng)計以觸發(fā)告警，對多種日志類型進(jìn)行序列規(guī)則建模，結(jié)合2-5個“日志過濾”計算單元輸出事件發(fā)生的順序進(jìn)行判斷，發(fā)現(xiàn)復(fù)雜場景下的威脅事件。對“永恒之藍(lán)”勒索病毒攻擊的一系列先后發(fā)生的事件進(jìn)行判斷，觸發(fā)威脅告警。

（11）關(guān)聯(lián)建模。根據(jù)時間范圍內(nèi)2個“日志過濾”計算單元進(jìn)行關(guān)聯(lián)建模，發(fā)現(xiàn)可信度更高的威脅告警。例如，當(dāng)IPS日志和防火墻日志基于相同源IP地址產(chǎn)生一條日志記錄，認(rèn)為此時應(yīng)該產(chǎn)生一條威脅告警。

（12）規(guī)則庫。通過高級數(shù)據(jù)分析和威脅分析，構(gòu)建預(yù)置規(guī)則，提升威脅告警數(shù)據(jù)精準(zhǔn)分析能力。

（13）威脅、風(fēng)險、事件的可視化展示。集中歸集的威脅數(shù)據(jù)，并依據(jù)數(shù)據(jù)進(jìn)行風(fēng)險判斷，結(jié)合外部的風(fēng)險預(yù)警情況進(jìn)行風(fēng)險指數(shù)判斷，并將威脅分析、人工智能規(guī)則和場景化結(jié)果等進(jìn)行綜合可視化展示，動態(tài)描述威脅和風(fēng)險變化，展示告警事件的來源與目標(biāo)，以及告警事件的擴(kuò)散變化。展示包括資產(chǎn)風(fēng)險告警、外部威脅告警、安全運(yùn)維告警等，并支持統(tǒng)計、類比、排名等數(shù)據(jù)和圖形化展示模式。

（14）數(shù)據(jù)深入分析與攻防技術(shù)能力提升。通過智能的數(shù)據(jù)篩選，并結(jié)合專業(yè)威脅分析人員的深入分析、關(guān)聯(lián)分析、溯源分析，以及廠商的攻防經(jīng)驗和數(shù)據(jù)建模經(jīng)驗，形成專業(yè)的安全威脅分析和處置團(tuán)隊，提升安全運(yùn)維能力。

（15）安全管控，形成威脅的快速響應(yīng)處置機(jī)制。以威脅深入分析和安全事件定位為抓手，將安全精準(zhǔn)告警、安全事件驗證和判斷、風(fēng)險快速響應(yīng)處置作為完整響應(yīng)管理機(jī)制，從而將安全監(jiān)控與預(yù)警處置工作打通，從安全管控的角度大幅提升安全運(yùn)維標(biāo)準(zhǔn)化能力，減小安全運(yùn)維工作難度，提升運(yùn)維效果。

（16）智能可視化展示。具備數(shù)據(jù)結(jié)果與響應(yīng)處置的可視化展示能力，能夠基于大屏展示結(jié)果，定制化展示內(nèi)容與方式。

結(jié)束語

本次內(nèi)蒙古廣播電視臺網(wǎng)絡(luò)安全告警運(yùn)營平臺的建設(shè)打通了目前所有安全檢測與防護(hù)類設(shè)備之間的壁壘，將未知威脅檢測、沙箱、溯源、終端安全、服務(wù)器安全、防火墻、IDS、IPS、WAF等安全軟硬設(shè)備告警數(shù)據(jù)統(tǒng)一歸集，實現(xiàn)集中分析并得出明確的安全分析和威脅告警事件，基于風(fēng)險和告警進(jìn)行綜合可視化展示，對數(shù)據(jù)采用可定制的規(guī)則和場景自動化分析，結(jié)合深入的數(shù)據(jù)分析、關(guān)聯(lián)分析等安全分析模型，明確威脅和風(fēng)險，將網(wǎng)絡(luò)安全保障中出現(xiàn)的入侵、破壞、竊取、擴(kuò)散等危害行為明確化，形成威脅和風(fēng)險的直觀可視。

針對安全運(yùn)維工作中發(fā)現(xiàn)的漏洞、補(bǔ)丁、違規(guī)、脆弱性、入侵、不當(dāng)配置與策略、病毒傳播、數(shù)據(jù)竊密等開展安全加固工作，進(jìn)行病毒防護(hù)、漏洞修復(fù)、攻擊防護(hù)、配置優(yōu)化、違規(guī)防護(hù)、端口和服務(wù)防護(hù)等。

內(nèi)蒙古廣播電視臺通過數(shù)據(jù)的深入分析和場景化建設(shè)，培養(yǎng)和建設(shè)安全攻防的優(yōu)秀人才隊伍，以實際的安全數(shù)據(jù)和威脅處置作為工作的核心內(nèi)容，通過安全培訓(xùn)，實現(xiàn)網(wǎng)絡(luò)安全防護(hù)能力從“被動防御明確攻擊”向“主動發(fā)現(xiàn)安全威脅”轉(zhuǎn)變，建成廠商專家、安全骨干、日常運(yùn)維的多方運(yùn)維團(tuán)隊，具備攻防理念和知識儲備，做到安全問題及時發(fā)現(xiàn)，安全事件快速處置，安全檢測及時優(yōu)化，安全工作標(biāo)準(zhǔn)有效。