汪銳 徐吉輝 鐘曉歌

摘要：隨著網(wǎng)絡(luò)規(guī)模與信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域緊前工作已經(jīng)從裝備建設(shè)進(jìn)入體系優(yōu)化階段，安全運營中心（Security Operation Center，SOC）應(yīng)運而生。針對某企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系現(xiàn)狀進(jìn)行了需求挖掘，分析了構(gòu)建網(wǎng)絡(luò)SOC的必要性，研究提出了SOC的構(gòu)建目標(biāo)，提出了以企業(yè)核心業(yè)務(wù)保障為關(guān)鍵、網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運行維護(hù)管理一體化的SOC建設(shè)思路，針對性設(shè)計了安全管理平臺功能架構(gòu)，并從技術(shù)層面給出了可行的實施方案。網(wǎng)絡(luò)SOC通過采集各類基礎(chǔ)信息，能夠?qū)崿F(xiàn)對全網(wǎng)安全防護(hù)裝備態(tài)勢的實時監(jiān)測；能夠?qū)Π踩录?、威脅告警等關(guān)聯(lián)分析，提供全網(wǎng)態(tài)勢感知能力；智能識別未知網(wǎng)絡(luò)攻擊行為，進(jìn)行分析預(yù)警；以資產(chǎn)數(shù)據(jù)與安管系統(tǒng)作為基礎(chǔ)，對企業(yè)核心業(yè)務(wù)系統(tǒng)及防護(hù)體系進(jìn)行安全風(fēng)險評估，支撐構(gòu)建具有主動防御能力的安全防護(hù)體系。

關(guān)鍵詞：安全運營中心；主動防御；安全態(tài)勢感知

中圖分類號：TN91文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2022）19-58-06

0引言

伴隨網(wǎng)絡(luò)和信息化技術(shù)的不斷發(fā)展，各行業(yè)信息化加速，信息系統(tǒng)集成化、規(guī)?；?，隨之帶來的網(wǎng)絡(luò)安全風(fēng)險也逐漸增多。近年來，國內(nèi)企業(yè)加大安全體系建設(shè)力度，部署以防火墻、入侵檢測等為代表的各類網(wǎng)絡(luò)安全防護(hù)裝備，但是裝備的簡單堆砌僅針對性解決邊界、主機等單方面面臨的威脅，無法實現(xiàn)安全防護(hù)系統(tǒng)策略、響應(yīng)等全生命周期整體聯(lián)動。面對海量告警信息，安全運維崗位人員難以從中提取有效數(shù)據(jù)，整體安全態(tài)勢和運行情況呈黑盒，無法支撐網(wǎng)絡(luò)態(tài)勢感知及預(yù)測決策，難以及時發(fā)現(xiàn)和有效應(yīng)對隱患，人力資源浪費，運維難度較大。大型復(fù)雜信息系統(tǒng)的網(wǎng)絡(luò)安全問題是一項系統(tǒng)工程，需要用系統(tǒng)工程思維去解決風(fēng)險問題，迫切需要一個集運行維護(hù)、態(tài)勢感知、應(yīng)急響應(yīng)三位一體的機構(gòu)，網(wǎng)絡(luò)安全運營中心（Security Operation Center，SOC）概念應(yīng)運而生。本文針對某企業(yè)網(wǎng)絡(luò)安全管理需求現(xiàn)狀，結(jié)合國內(nèi)外SOC系統(tǒng)的研究情況，對該企業(yè)SOC的建設(shè)提出技術(shù)解決方案。

1安全運營中心建設(shè)需求分析

1.1安全運營中心概念

Security Operation Center，SOC[1]是指為保證企業(yè)信息系統(tǒng)的安全、穩(wěn)定運行，統(tǒng)一運維管理多型網(wǎng)絡(luò)安防裝備，集中管理設(shè)備相關(guān)安全信息。同時，高效整合技術(shù)、服務(wù)、流程和人員等要素，通過機器學(xué)習(xí)、數(shù)據(jù)挖掘、人工智能、安全自動化編排與響應(yīng)等工具和技術(shù)，實時采集各類安全告警信息與網(wǎng)絡(luò)威脅，并進(jìn)行統(tǒng)計整理和動態(tài)分析，實時更新信息系統(tǒng)安全基線，快速定位安全問題；依據(jù)網(wǎng)絡(luò)安全事件應(yīng)對方案預(yù)案等進(jìn)行影響域分析、網(wǎng)絡(luò)攻擊取證、攻擊追蹤溯源、現(xiàn)場應(yīng)急處置、針對性加固及總結(jié)評估。其核心功能是，向上利用安全產(chǎn)品的采集器或傳感器，將安全事件、安全告警、設(shè)備性能、系統(tǒng)運行狀態(tài)等信息收集到安全管理中心；向下對安全防護(hù)裝備統(tǒng)一分發(fā)配置策略，實現(xiàn)網(wǎng)絡(luò)基礎(chǔ)資源、安全防護(hù)資源的集中監(jiān)控與統(tǒng)一安全管理。面對網(wǎng)絡(luò)安全事件，不同防護(hù)設(shè)備能夠?qū)崿F(xiàn)一體化策略協(xié)同聯(lián)動，實現(xiàn)企業(yè)對網(wǎng)絡(luò)安全的實時動態(tài)監(jiān)測、安全威脅預(yù)警、統(tǒng)計報表導(dǎo)出、數(shù)據(jù)聯(lián)動分析、應(yīng)急處置響應(yīng)等功能，提高企業(yè)網(wǎng)絡(luò)安全整體運維能力。

1.2網(wǎng)絡(luò)安全管理現(xiàn)狀

某企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)裝備體系自建成以來，在網(wǎng)絡(luò)態(tài)勢研判及各網(wǎng)絡(luò)安全防護(hù)分系統(tǒng)的統(tǒng)一運行維護(hù)方面存在較大差距：一方面，依托網(wǎng)絡(luò)管理中心進(jìn)行網(wǎng)絡(luò)安全運營與態(tài)勢研判，主要通過手動管理和人工分析，無自動化工具進(jìn)行輔助決策，缺乏一套智能化統(tǒng)一運維管理與態(tài)勢分析研判系統(tǒng)，導(dǎo)致問題難以及時定位，處理進(jìn)度無法實時跟蹤，處置結(jié)果不能動態(tài)反饋；另一方面，隨著后續(xù)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的增量建設(shè)和更新?lián)Q代，病毒防護(hù)、入侵檢測、漏洞掃描、主機管控等增加或更新的網(wǎng)絡(luò)安防子系統(tǒng)無法納入現(xiàn)有統(tǒng)一安全管理系統(tǒng)，不能實現(xiàn)分系統(tǒng)間的一體聯(lián)動。因此，在網(wǎng)絡(luò)安全防護(hù)系統(tǒng)增量建設(shè)的同時，亟需同步建設(shè)一個能夠?qū)崿F(xiàn)對全網(wǎng)各安全分系統(tǒng)統(tǒng)一管理、綜合收集統(tǒng)計安全信息、智能分析研判并實時呈現(xiàn)全網(wǎng)網(wǎng)絡(luò)安全態(tài)勢的網(wǎng)絡(luò)態(tài)勢研判與運營中心，提高網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)運維管理與安全防護(hù)水平。

1.3 SOC建設(shè)目標(biāo)

SOC要從組織管理制度、方案預(yù)案體系、技術(shù)平臺架構(gòu)和運維崗位人員等多方面進(jìn)行統(tǒng)籌考量，在現(xiàn)有網(wǎng)絡(luò)安全防護(hù)裝備體系的基礎(chǔ)上，建立一套安全管理信息平臺（Security Management Information Platform，SMIP），為安全管理工作提供決策支撐[2][3]。該平臺建設(shè)目標(biāo)主要有以下幾點：

①能夠協(xié)助運行維護(hù)人員進(jìn)行常態(tài)化的安全管控與統(tǒng)一運維。

②能夠?qū)崿F(xiàn)對海量分散的安全基礎(chǔ)數(shù)據(jù)進(jìn)行全面地采集、過濾、分析、審核，并借助智能化的分析方法提取出真實安全問題，進(jìn)行全維度功能及性能監(jiān)測、告警研判和溯源定位。

③能夠進(jìn)行安全問題事前管理，在網(wǎng)絡(luò)攻擊未發(fā)生前就感知網(wǎng)絡(luò)運行態(tài)勢[4]；借助分析算法和量化模型預(yù)知企業(yè)網(wǎng)絡(luò)安全風(fēng)險。

④能夠從企業(yè)核心業(yè)務(wù)安全運行的維度出發(fā)，主動適配業(yè)務(wù)運行安全需求，使安全防護(hù)能力與業(yè)務(wù)穩(wěn)定運行高度耦合，覆蓋業(yè)務(wù)系統(tǒng)的建設(shè)、使用、管理、運維等全生命周期。

2安全管理中心建設(shè)思路

2.1面向核心業(yè)務(wù)

對于企業(yè)而言，網(wǎng)絡(luò)安全不是狹義主機終端安全、網(wǎng)元設(shè)備安全、業(yè)務(wù)數(shù)據(jù)安全或信息資產(chǎn)安全，而是要保障關(guān)鍵業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行。安全管理的目標(biāo)不再是網(wǎng)絡(luò)基礎(chǔ)設(shè)施本身不會遭受網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)攻擊風(fēng)險降低，而是要求從業(yè)務(wù)的角度看待網(wǎng)絡(luò)安全體系架構(gòu)，需要建立一套以企業(yè)關(guān)鍵業(yè)務(wù)為核心的安全管理體系，最終達(dá)到對網(wǎng)絡(luò)承載的關(guān)鍵業(yè)務(wù)的可用性、連續(xù)性以及穩(wěn)定性保障的目標(biāo)。

一個面向核心業(yè)務(wù)、一體聯(lián)動的安全管理系統(tǒng)，應(yīng)該從網(wǎng)絡(luò)承載業(yè)務(wù)本身考慮，通過對業(yè)務(wù)進(jìn)行需求挖掘、數(shù)學(xué)建模、連貫運行監(jiān)測、價值估計、風(fēng)險評估、可視化呈現(xiàn)[6]、安全域管理和基礎(chǔ)資產(chǎn)安全管理等各個環(huán)節(jié)，同步利用主動監(jiān)控、被動掃描2種手段，自主采集承載網(wǎng)中構(gòu)成業(yè)務(wù)系統(tǒng)的各種基礎(chǔ)信息化設(shè)施的安全信息，從業(yè)務(wù)運行的角度進(jìn)行歸一化，開展監(jiān)控、分析、審計、告警、響應(yīng)、存儲和報告。

通過建立SOC，消除煙囪效應(yīng)，將一個個單點設(shè)備形成的安全防御孤島真正連結(jié)起來，形成圍繞企業(yè)核心業(yè)務(wù)為主體的統(tǒng)一信息管理平臺，實現(xiàn)對業(yè)務(wù)連貫性的監(jiān)測、業(yè)務(wù)安全性的審計和業(yè)務(wù)風(fēng)險性的量化。

2.2安管網(wǎng)管一體化

隨著各類業(yè)務(wù)對信息系統(tǒng)依賴性的不斷增強，對系統(tǒng)安全提出了更高的要求。以前更多強調(diào)終端病毒感染、木馬外聯(lián)控制、漏洞挖掘利用等具體問題怎么辦，但對于一個對時效性、連續(xù)性要求較高的業(yè)務(wù)系統(tǒng)來說，更重視的是業(yè)務(wù)的可用性，因此網(wǎng)絡(luò)運行維護(hù)與安全運行維護(hù)相互影響，同時大多數(shù)網(wǎng)絡(luò)安全問題是由網(wǎng)絡(luò)可用性問題引發(fā)，最重要的是大多數(shù)安全事件的發(fā)生都是以承載網(wǎng)為傳播載體。網(wǎng)絡(luò)管理和安全管理技術(shù)、制度、策略等融合，進(jìn)行統(tǒng)一運維，集中管理網(wǎng)絡(luò)基礎(chǔ)資源環(huán)境，共同監(jiān)控泛終端、網(wǎng)元裝備、安防裝備、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)服務(wù)和物理環(huán)境，做到全維度的集中監(jiān)控和故障告警，保障基礎(chǔ)網(wǎng)絡(luò)設(shè)施穩(wěn)定運行；同時，SOC將網(wǎng)管與安管采集的各類日志、告警、事件等信息關(guān)聯(lián)分析[7]，能夠快速定位安全事件和網(wǎng)絡(luò)故障，解放部分人力資源，提高運維效率。

3 SMIP設(shè)計

SMIP是一套配合安全管理體系的技術(shù)支撐平臺[8]，將安全有關(guān)產(chǎn)品、方案進(jìn)行整合，提供一個統(tǒng)一的安全管理界面。面向決策人員，可以通過安管平臺對全網(wǎng)或相關(guān)業(yè)務(wù)信息系統(tǒng)的整體安全運行狀況有一個直觀的了解、清晰的掌控；對于運維人員，可以通過安管平臺的管理界面，對網(wǎng)絡(luò)和業(yè)務(wù)信息系統(tǒng)實施有計劃、持續(xù)地監(jiān)視、檢測、審計、分析、評估、預(yù)警、響應(yīng)和報告，并能夠?qū)崿F(xiàn)相互之間的協(xié)同工作。

按照邏輯架構(gòu)，SMIP自下而上可分為基礎(chǔ)資源層、協(xié)議轉(zhuǎn)換層、數(shù)據(jù)采集層、核心功能層、數(shù)據(jù)庫層以及UI展示層[9][10]，如圖1所示。

3.1基礎(chǔ)資源層

基礎(chǔ)資源層主要是安全管理的硬件實體及軟件系統(tǒng)，是SMIP管理的主要資產(chǎn)，包括安防裝備、網(wǎng)元裝備、泛終端主機、中間件，特別需要指出的是云平臺下的虛擬設(shè)備與虛擬云資源。

3.2數(shù)據(jù)采集與協(xié)議服務(wù)層

協(xié)議服務(wù)層與數(shù)據(jù)采集層共同作用，向上傳遞基礎(chǔ)資源信息，向下分發(fā)核心處理單元指令。協(xié)議服務(wù)層為數(shù)據(jù)采集層提供多種網(wǎng)絡(luò)接口，數(shù)據(jù)采集層負(fù)責(zé)通過各類傳感器和采集器，獲取網(wǎng)絡(luò)基礎(chǔ)資源、網(wǎng)元設(shè)備、安元設(shè)備等重要配置信息、日志信息、告警信息等，并將所有信息通過歸一化處理為標(biāo)準(zhǔn)的數(shù)據(jù)格式，送往核心功能層。

3.3核心功能層

功能層是整個安全管理系統(tǒng)的核心，主要包括運維管理、安全審計、態(tài)勢研判和風(fēng)險管理4個功能模塊。

3.3.1運維管理

（1）監(jiān)控

能夠?qū)崟r監(jiān)控承載網(wǎng)南北向和東西向流量峰值、均值、帶寬占有率及異常流量等情況；能夠?qū)崟r監(jiān)控基礎(chǔ)資源池中多種類、多型號、多品牌網(wǎng)元裝備、安防裝備、泛在終端、信息系統(tǒng)及各種應(yīng)用系統(tǒng)的運行狀態(tài)和性能指標(biāo)；能夠及時從多個維度分析監(jiān)控對象指標(biāo)要素，計算設(shè)置告警閾值，并通過聲光告警輔助運維人員工作。

（2）告警處理

實時采集各類安防裝備告警信息，通過告警時間、告警等級、告警詳細(xì)內(nèi)容，進(jìn)行過濾歸并處理與智能分析，并按照不同告警類型，開展相應(yīng)處置管理流程。對各類告警信息相互印證，最終提取形成安全事件，觸發(fā)對應(yīng)的應(yīng)急響應(yīng)流程；并行開展網(wǎng)絡(luò)安全風(fēng)險分析和威脅情報分析，按照識別的企業(yè)安全風(fēng)險要素，定量化評估當(dāng)前網(wǎng)絡(luò)態(tài)勢。

（3）應(yīng)急響應(yīng)

根據(jù)網(wǎng)絡(luò)安全事件本身、影響域、危害等級及業(yè)務(wù)價值，依照相關(guān)應(yīng)急預(yù)案與處置流程，安全運維人員協(xié)同網(wǎng)絡(luò)運維人員、業(yè)務(wù)技術(shù)人員、應(yīng)急處置領(lǐng)導(dǎo)小組等，按照“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)”的原則，進(jìn)行突發(fā)事件橫向通報、現(xiàn)場處置、查證溯源、總結(jié)評估等工作。

（4）故障診斷

由于SMIP集成了網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運行管理雙重功能，因此應(yīng)具備常態(tài)故障診斷定位及處置功能。借助數(shù)據(jù)庫中相關(guān)資產(chǎn)、配置等，按照“故障出現(xiàn)、區(qū)域定位、診斷排查、故障清除、重現(xiàn)驗證、復(fù)盤總結(jié)”等步驟，最終達(dá)到定位準(zhǔn)確、機理清楚、處置有效的故障診斷目標(biāo)。

3.3.2態(tài)勢研判

網(wǎng)絡(luò)與安全的態(tài)勢從認(rèn)知到感知，需要將安全事件、安全威脅、異常流量分析結(jié)果指標(biāo)化，并通過可視化技術(shù)展示。

（1）事件管理

事件采集模塊實現(xiàn)了不同設(shè)備海量安全事件的采集、歸一化、過濾，通過智能化關(guān)聯(lián)分析，結(jié)合歷史信息，提取真正的安全事件，進(jìn)行預(yù)警，為下一步研判提供支撐。

（2）威脅管理

按照專項與常態(tài)化2種模式，對企業(yè)承載網(wǎng)發(fā)布網(wǎng)絡(luò)安全威脅指數(shù)：一是發(fā)生具體網(wǎng)絡(luò)安全事件后，形成專項威脅評估報告；二是形成機制化的安全威脅指數(shù)分析與評估，結(jié)合網(wǎng)絡(luò)威脅情報，定期對重點網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)安全威脅狀態(tài)及其發(fā)展趨勢進(jìn)行研究分析，為下一步研判提供支撐。

（3）流量管理

在承載網(wǎng)核心、匯聚等節(jié)點及關(guān)鍵業(yè)務(wù)系統(tǒng)部署盡可能多的流量采集裝備，使得SMIP能夠?qū)Ａ繑?shù)據(jù)進(jìn)行全面分析；通過態(tài)勢分系統(tǒng)實時展示承載網(wǎng)關(guān)鍵業(yè)務(wù)流量統(tǒng)計圖，便于動態(tài)調(diào)配網(wǎng)絡(luò)資源，優(yōu)化帶寬分配，實現(xiàn)網(wǎng)絡(luò)服務(wù)質(zhì)量保證，確保業(yè)務(wù)穩(wěn)定安全運行。梳理分析企業(yè)業(yè)務(wù)運行流量特點，形成流量白名單，實現(xiàn)流量精細(xì)化管控，快速、準(zhǔn)確識別異常流量，達(dá)到對未知網(wǎng)絡(luò)攻擊行為檢測的目標(biāo)。

（4）業(yè)務(wù)管理

按照面向核心業(yè)務(wù)的原則，重點關(guān)注業(yè)務(wù)運行的信息系統(tǒng)、用戶數(shù)據(jù)、運行流程和業(yè)務(wù)操作人員身份認(rèn)證及權(quán)限分配等，形成業(yè)務(wù)數(shù)據(jù)流資產(chǎn)，配套構(gòu)建業(yè)務(wù)健康管理系統(tǒng)，監(jiān)控業(yè)務(wù)可用性、連續(xù)性與穩(wěn)定性。

（5）預(yù)警管理

預(yù)警信息是指信息系統(tǒng)可能遭受的攻擊和潛在的安全隱患。在已知特征的情況下，通過預(yù)置研判規(guī)則，支持攻擊預(yù)警、漏洞預(yù)警和病毒預(yù)警。

（6）安全策略

面對不同類型的網(wǎng)絡(luò)安全防護(hù)裝備，下發(fā)相應(yīng)的信息安全策略。面向突發(fā)安全事件，可以統(tǒng)一管控安全防護(hù)設(shè)備（系統(tǒng)），制定聯(lián)動安全策略，并通過SMIP直接下發(fā)。

3.3.3安全審計

安全審計的核心工作是按照一定的安全策略，利用記錄的系統(tǒng)活動日志和用戶操作日志等信息，檢查、審查和檢驗操作事件的環(huán)境及活動，進(jìn)行關(guān)聯(lián)性分析，從而發(fā)現(xiàn)系統(tǒng)漏洞、外部入侵和內(nèi)部違規(guī)行為或改善系統(tǒng)性能。

3.3.4風(fēng)險管理

參考《GB/T 31509信息安全技術(shù)信息安全風(fēng)險評估實施指南》，風(fēng)險管理模塊通過識別企業(yè)安全風(fēng)險，對資產(chǎn)價值、弱點度量值與威脅度量建立數(shù)學(xué)模型，采用層次分析法等常見的風(fēng)險計算方法，獲得可衡量的安全風(fēng)險，實現(xiàn)對網(wǎng)絡(luò)安全風(fēng)險的定量化計算，以便網(wǎng)絡(luò)安全管理人員研究提出風(fēng)險預(yù)案和響應(yīng)對策。具體的計算方法和評估方案還應(yīng)通過識別的安全風(fēng)險因素進(jìn)一步進(jìn)行權(quán)重等針對性建模分析。

3.4 UI展示層

系統(tǒng)通過友好的交互界面，直觀、生動、多角度、多維度地呈現(xiàn)網(wǎng)絡(luò)安全運行態(tài)勢和資源監(jiān)測統(tǒng)計情況。系統(tǒng)的交互界面可利用最新的網(wǎng)絡(luò)空間測繪及可視化技術(shù)，以3D立體化及多元素統(tǒng)計方式進(jìn)行呈現(xiàn)，對網(wǎng)絡(luò)安全事件能夠展示出行為分析圖、IP空間圖、動態(tài)事件圖等。實現(xiàn)從認(rèn)知到具體直觀的感知轉(zhuǎn)變，提升全網(wǎng)安全態(tài)勢監(jiān)控的效率。

3.5數(shù)據(jù)庫層

該層存儲了SOC所有關(guān)鍵數(shù)據(jù)，包括資產(chǎn)、基線、策略、網(wǎng)絡(luò)拓?fù)?、?guī)則、告警、威脅情報、漏洞、設(shè)備配置、知識庫及系統(tǒng)自身的配置維護(hù)信息等，是SMIP底層支撐和核心資產(chǎn)，同時是驅(qū)動SMIP運轉(zhuǎn)的重要動力之一。

4關(guān)鍵技術(shù)及解決途徑

建立SMIP，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知，需要在網(wǎng)絡(luò)環(huán)境中部署大量不同類型的安全防護(hù)裝備（或軟件信息系統(tǒng)）及Agent代理等，監(jiān)測網(wǎng)絡(luò)的運行狀態(tài)。通過采集這些傳感器提供的安全告警事件信息，加以分析，處理成量化的指標(biāo)，準(zhǔn)確地描述網(wǎng)絡(luò)的安全狀態(tài)，通過可視化手段顯示給安全管理員及高層決策者，從而支持應(yīng)急響應(yīng)、日常運維及對安全態(tài)勢的全局理解。

4.1安全事件分析

網(wǎng)絡(luò)安全事件是指業(yè)務(wù)承載網(wǎng)遭受非法入侵或設(shè)備監(jiān)控信息超過閾值門限時，從網(wǎng)絡(luò)安全防護(hù)裝備產(chǎn)生的告警信息中提取的事件，是企業(yè)日常安全態(tài)勢研判的主要對象[12]。這些告警信息可以從網(wǎng)絡(luò)安全設(shè)備嵌入的Agent程序中采集到。由于廠商不同、功能不同，不同網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的安全事件原始信息格式不一致。因此，SMIP首先要提取采集到的安全事件原始信息中的核心要素，將原始數(shù)據(jù)進(jìn)行范式化處理。格式用一個元組表示如下：E= {detectTime，detectSystem， eventLevel，eventType，credibility，sourceIP，destIP，sourcePort，destPort， protocol}，（sourceIP，destIP，sourcePort，destPort，protocol）是常規(guī)構(gòu)成網(wǎng)絡(luò)流量五元組，分別表示告警源地址、目的地址、源端口、目的端口及傳輸協(xié)議，detectTime表示事件檢測時間，detectSystem表示告警設(shè)備，eventLevel表示安全事件告警等級，eventType表示安全事件類型，credibility表示告警可信度。對提取后的安全事件按圖2所示流程進(jìn)行處理。

步驟一：事件過濾。將海量安全事件中關(guān)鍵要素不全，或不屬于預(yù)置規(guī)則的信息進(jìn)行清洗、剔除。

步驟二：冗余合并。從時、空2個維度上，對具有重復(fù)關(guān)系或冗余告警的安全事件進(jìn)行歸一化合并。

步驟三：事件融合。進(jìn)一步解決告警沖突、告警歸并等問題，通過統(tǒng)計、D-S證據(jù)等理論，進(jìn)行安全事件融合，降低系統(tǒng)的誤告警和虛警。

步驟四：關(guān)聯(lián)分析。采用基于知識學(xué)習(xí)、基于預(yù)置規(guī)則、基于因果關(guān)系、基于相似度等多種算法，進(jìn)行大數(shù)據(jù)挖掘，識別安全事件之間真實聯(lián)系，輔助分析網(wǎng)絡(luò)威脅和攻擊樣式。

步驟五：事件評估。以業(yè)務(wù)價值為中心，通過安全事件的溯源取證和機理分析，以及對網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)速率的基礎(chǔ)IT資源的影響程度，從多個角度進(jìn)行網(wǎng)絡(luò)威脅指數(shù)分析和網(wǎng)絡(luò)安全評估。

4.2網(wǎng)絡(luò)安全態(tài)勢指標(biāo)

按照SOC安全管理和網(wǎng)絡(luò)管理一體化設(shè)計思路，SMIP將從網(wǎng)絡(luò)運行性能和網(wǎng)絡(luò)安全信息來構(gòu)建網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系[13]，通過對以下4個指標(biāo)進(jìn)行審計，得出整個系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)：①對網(wǎng)絡(luò)運維情況的審計，收集一段時間業(yè)務(wù)內(nèi)持續(xù)性、網(wǎng)絡(luò)總流量、資源占用率、負(fù)載分布情況等系統(tǒng)運行的數(shù)據(jù)進(jìn)行量化計算，這個數(shù)值體現(xiàn)網(wǎng)絡(luò)系統(tǒng)當(dāng)前的運行狀態(tài)，數(shù)值越大，代表網(wǎng)絡(luò)系統(tǒng)運行狀況越差；②對網(wǎng)絡(luò)脆性的審計，收集一段時間內(nèi)網(wǎng)絡(luò)漏洞、病毒感染數(shù)目等信息，計算得出網(wǎng)絡(luò)脆弱性指數(shù)，可以從整體上衡量網(wǎng)絡(luò)面臨攻擊時可能對系統(tǒng)造成的損失程度；③對網(wǎng)絡(luò)風(fēng)險的審計，收集一定時間段內(nèi)網(wǎng)絡(luò)發(fā)生的各種由于網(wǎng)絡(luò)攻擊引發(fā)的安全事件的發(fā)生頻率和危害等級進(jìn)行量化計算，表示了由網(wǎng)絡(luò)攻擊引發(fā)的網(wǎng)絡(luò)安全事件給網(wǎng)絡(luò)系統(tǒng)造成的危害程度的大??；④對安全威脅的審計，收集一定時間段內(nèi)由內(nèi)部用戶違規(guī)或設(shè)備運行引發(fā)的安全事件，包括數(shù)據(jù)非法拷貝、身份認(rèn)證系統(tǒng)無效等事件統(tǒng)計計算，數(shù)值越大，說明此類安全事件對網(wǎng)絡(luò)安全運行造成的威脅也就越大。將這4個指標(biāo)按照權(quán)重分析計算，可以得出一段時間內(nèi)全網(wǎng)的綜合態(tài)勢指標(biāo)。

4.3態(tài)勢感知可視化解決方案

參考地理信息系統(tǒng)（GIS）理念[14]，首先根據(jù)業(yè)務(wù)系統(tǒng)、通信系統(tǒng)資產(chǎn)的實際地理位置，建立資產(chǎn)地圖；在資產(chǎn)地圖的基礎(chǔ)上，對業(yè)務(wù)邏輯、業(yè)務(wù)信息建立不同的圖層，形成基于GIS的網(wǎng)絡(luò)流量地圖，并對業(yè)務(wù)流量地圖中各節(jié)點網(wǎng)絡(luò)資源使用情況進(jìn)行統(tǒng)計，建立資源網(wǎng)格；按照網(wǎng)絡(luò)安全體系架構(gòu)，采集安全防護(hù)設(shè)備部署信息、安全策略影響域等關(guān)鍵信息構(gòu)建安全資源地圖，在安全資源地圖的基礎(chǔ)上，按照安全事件核心要素中攻擊來源、攻擊目標(biāo)等信息建立安全事件信息地圖。將所有資源以物理或虛擬的地理位置信息進(jìn)行展示，并對整個網(wǎng)格中的資源信息進(jìn)行統(tǒng)計分析，在地理位置的基礎(chǔ)上，加上時間維度信息，呈現(xiàn)出HT業(yè)務(wù)網(wǎng)整體態(tài)勢視圖。

在技術(shù)手段層面，“網(wǎng)絡(luò)空間測繪”也是網(wǎng)絡(luò)態(tài)勢感知的必然趨勢，網(wǎng)絡(luò)空間測繪的地圖繪制是對網(wǎng)絡(luò)GIS的進(jìn)一步延伸，通過可視化表達(dá)和可視化分析應(yīng)用場景，不局限于對資產(chǎn)數(shù)據(jù)的簡單可視化展現(xiàn)，而是對內(nèi)網(wǎng)甚至全球互聯(lián)網(wǎng)進(jìn)行探測和測繪，對網(wǎng)絡(luò)空間全要素進(jìn)行數(shù)字映射，并且可方便地結(jié)合網(wǎng)絡(luò)攻防演練和實訓(xùn)靶場平臺，進(jìn)一步對企業(yè)進(jìn)行附帶業(yè)務(wù)系統(tǒng)模擬的超逼真仿真，最終探測建立以網(wǎng)絡(luò)拓?fù)錅y繪為基礎(chǔ)的、結(jié)合企業(yè)核心業(yè)務(wù)運行及外部模擬滲透攻擊的真實網(wǎng)絡(luò)環(huán)境。

5結(jié)束語

SOC是網(wǎng)絡(luò)安全防護(hù)體系從設(shè)備部署到系統(tǒng)建設(shè)，再到統(tǒng)一管理這一發(fā)展過程的自然產(chǎn)物。新一代SOC區(qū)別于傳統(tǒng)SOC的地方主要在于底層開放的接口、核心層大數(shù)據(jù)分析能力、應(yīng)用層智慧協(xié)同聯(lián)動。建立一套高效的安全管理平臺，從監(jiān)控運維、安全審計、風(fēng)險度量、態(tài)勢研判4個維度提供一個全網(wǎng)統(tǒng)一的業(yè)務(wù)支撐，使得安全可見、可查、可度量，建立標(biāo)準(zhǔn)化、例行化、常態(tài)化的安全流程管控，提供面向業(yè)務(wù)的主動化、智能化安全管理，形成企業(yè)業(yè)務(wù)網(wǎng)主動防御能力，保障業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運營。

參考文獻(xiàn)

[1]周鐵.電力行業(yè)安全事件處理系統(tǒng)的設(shè)計與實現(xiàn)[D].成都：電子科技大學(xué)，2014.

[2]馬帥.企業(yè)安全運營中心管理系統(tǒng)的設(shè)計與實現(xiàn)[D].北京：北京交通大學(xué)，2019.

[3]王偉，覃曉寧.新一代安全運營中心（SOC）平臺[J].信息與電腦（理論版），2017（3）：68-74.

[4]梁國光，祁繼鋒，林飛，等.關(guān)于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)標(biāo)準(zhǔn)架構(gòu)模式與應(yīng)用探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（1）：1-2.

[5]毛輝，曹龍全，吳啟星，等.監(jiān)測預(yù)警處置一體化網(wǎng)絡(luò)安全管理平臺研究[J].信息網(wǎng)絡(luò)安全，2020（S1）：122-126.

[6]張秀成.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的構(gòu)建與應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（10）：1-2.

[7]楊洋.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（8）：14.

[8]衛(wèi)劍釩，雷東生.安全運營平臺SOC建設(shè)思考與實踐[J].中國金融電腦，2020（9）：61-63.

[9]彭聰留，訾然.深信服安全運營中心解決方案[J].信息安全與通信保密，2020（S1）：88-92.

[10]張衛(wèi)軍.鐵路通信網(wǎng)絡(luò)安全管理中心技術(shù)方案研究[J].中國安全科學(xué)學(xué)報，2019，29（S2）：88-92.

[11]殷亞玲.基于態(tài)勢感知系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)與應(yīng)用[J].科技風(fēng)，2020（33）：102-103.

[12]琚安康，郭淵博，朱泰銘，等.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)與工具研究[J].計算機科學(xué)，2017，44（2）：38-45.

[13]柴軍，徐瑋，馮慷.網(wǎng)絡(luò)安全分析管理平臺建設(shè)與規(guī)劃[C]//中國計算機用戶協(xié)會網(wǎng)絡(luò)應(yīng)用分會2021年第二十五屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會論文集.北京：《計算機科學(xué)》編輯部，2021：298-302.

[14]陳丹暉.構(gòu)建鐵路數(shù)據(jù)通信網(wǎng)骨干網(wǎng)的網(wǎng)絡(luò)安全管理中心[J].鐵道通信信號，2020，56（4）：69-72.