近年来,国内外网络安全形势日趋复杂,关系国民经济命脉的关键信息基础设施无法保障在传统模式下得到有效保护。网络安全运维服务着力打造“专业安全”的关键信息基础设施整体防御能力,但随着人工智能、大数据、云计算、5G、物联网、边缘计算等新技术的应用,大量隐藏在海量数据中的关键信息难以被发现和有效利用。因此,以人工智能为切入点,研究人工智能赋能的网络安全运维服务,开创智能运维新思路,解决实际运维服务过程中的智能化、自动化等问题。习总书记在“4.19”讲话中明确指出,“要树立正确的网络安全观念,加快构建关键信息基础设施安全体系”。等级保护2.0在保护对象、保护内容、标准体系等方面也进行了升级,符合我国网络安全形势的不断发展。大数据技术的应用,使数字资产成为企业乃至国家新的增长引擎,也成为全世界“兵家必争之地”,网络安全保障将成为数字经济的“基石”,“基石”建设是否可靠,对网络安全整体运维服务提出了新的要求,随着人工智能、云计算、大数据、边缘计算等新技术的不断发展和应用,网络攻击种类繁多,呈现出智能化、自动化的特点,攻击目标有从纯粹的个人“技术力量”到追求经济和政治利益。这对传统的“交付产品”模式提出了挑战,对“采购安全目标”提出了新的要求。随着5G的应用,万物互联成为现实,网络入侵不仅影响数字世界,也对万物互联设备、媒体和社交平台等产生深远影响。企业信息化系统导致网络入侵由点到面迅速蔓延。因此,急需从单点防护扩展到点面结合、综合防护。综上所述,从数字化驱动的重要性、技术发展的多样性、协会的广泛影响力等方面分析,传统的线下交付产品完成建设的模式已经不足以支撑信息化的快速发展。社会,适应新时代交付能力和目标基于网络安全的整体运维服务模式成为趋势。只有构建全方位、多层次、全方位的网络安全运维服务体系,才能保障企业的网络安全。01网络安全运维服务隐患网络安全运维服务和能力建设以系统全生命周期为主线,从业务安全需求入手,在前端根据需求进行安全规划设计企业安全需求,按规划、测试、评估同步进行安全开发建设。通过进入实际运维服务阶段,评估将开展安全事件监控、安全事件处理、安全事件分析预测、安全审计跟踪等,同时开展安全技术认证培训企业安全技术人员提高安全技能和安全意识。在上述网络安全运维服务架构中,运维阶段会有大量需要人工处理的工作,海量安全数据需要及时分析处理。如果单纯依靠技术人员进行人工分析处理,将错失绝佳的防御机会,攻防博弈的天平将全面向入侵者一方倾斜,对企业关键信息造成严重威胁基础设施。下面从三个方面分析网络安全运维服务面临的一些挑战。(1)传统的网络安全防护模式是购买网络安全产品,由安全厂商完成建设和交付。单点网络安全设备的主要用途是实现离线安全防护。安全策略配置、系统升级、故障排除等过于依赖安全厂商技术人员和用户技术人员由于设备自适应程度低,过于机械化,无法及时处理。面对日益复杂的安全环境,不仅面临未知威胁,而且面临已知威胁也难以做到有效及时防御。(二)企业有自己的主体责任和主营业务。安全一般属于信息部门。专业安全人员只占信息维护人员的一小部分,企业难以投入全能型安全人才队伍建设。因此,企业中安全技术人员的数量和水平是有限的,只能在某一点上解决一些特定的安全问题。点对点的系统化做法显得力不从心,无法实现全生命周期、全维度的运维管理。(3)海量的内外流量数据隐藏着大量有用的安全信息。人工数据分析显然是不现实的。在数据特征提取完成之前,可能会有一波新的攻击来袭。可见,攻防博弈在与时间赛跑,缺乏对安全数据的高效挖掘、分析和利用,无法敏锐地把握数据流量异常,无法有效预测、评估、预警和防范。防范安全风险。综上所述,一是技术人员的过渡依赖;二是水平垂直运维全覆盖;三是应对动态威胁的及时性;四是海量安全数据的分析利用。人工智能弥补了人类的不足,模仿人类思维进行自我优化学习。与人工操作相比,它可以秒级处理许多数据问题。本文研究人工智能赋能网络安全运维服务,开启智能化运营新局面。02人工智能赋能网络安全运维服务人工智能技术架构如图1所示,分为基础、技术、应用三层。基础层包括计算能力和数据资源,是整个人工智能的核心;技术层包括算法、模型、知识库、特征库等;应用层是人工智能结合网络安全服务,不局限于特定的应用场景。解决运维服务中因人为因素等缺陷导致的问题。图1 人工智能架构一个大集团包括很多下属单元,如何垂直延伸,以集中运维为思路,用公有云或私有云负载计算单元,完全实现全局运维。下面详细分析网络安全运维服务在事前检测、事中运维、事后分析三个阶段需要完成的重点工作。围绕这一点,我们将研究人工智能如何在这些任务中发挥作用,实现智能化运营。如图2所示。图2 网络安全运维服务架构2.1数据资产态势感知企业数据资产是其核心资产。利用人工智能构建企业安全数据学习系统,自动采集企业各类设备、软硬件系统、应用系统、业务系统、管理系统等数据,多维度关联数据,构建态势感知企业安全数据资产平台,实时动态展示企业相关资产使用情况,根据安全情况动态部署安全产品和安全流程,强化安全管控流程,提高网络灵活性,实时动态分析安全数据,对相关安全告警进行优先级排序和建议处理,自动生成企业全方位安全报告,供安全领导参考和决策。2.2软件模块自动走查随着软件工程的发展和开源社区代码的丰富,企业级模块化开发在提高效率的同时也带来了潜在的风险。开源代码存在逻辑和完整性问题,非专业公司没有精力和能力去分析几万甚至几十万行代码。人工智能技术的使用可以帮助识别和分析代码中的错误,减少未被发现的漏洞,提高现有软硬件的防御水平。2.3应对APT高级持续性威胁企业面临的严重威胁是有组织、有目的、有计划的APT攻击。对于已知漏洞,有防火墙、IDS等成熟产品进行处理;对于未知的漏洞,显然靠人工数据分析是靠不住的。APT攻击的复杂性加上攻击者的隐蔽性,需要获取海量的内外流量数据,通过数据挖掘和关联分析,找到攻击者的蛛丝马迹,溯源。同时,网络安全运维工程师可以利用人工智能技术,利用逆向工程对系统进行改进,防止类似事件再次发生。2.4系统动态加固基础设施信息化程度越高,攻击范围越广,面临人员短缺和技术受限的困境。利用人工智能自动识别技术,检测信息系统和软件运行过程中存在的漏洞和缺陷,设计、生成、运行补丁,实时修复漏洞,实现系统中的自动防御功能真正意义上实现系统的动态加固。2.5异常动态检测和攻击快速响应攻防博弈是一个动态过程,网络攻击手段也越来越多样化。安全运维团队只能不断优化和调整相关技术,以应对持续不断的异常和威胁。然而,袭击者就像潜伏在黑暗中的剑客。他不知道自己会在什么时候、什么“动作”进攻,充满了不确定性,攻防在时间上是失衡的。利用人工智能和机器学习,通过算法和历史数据建立合理化的模型,对各种异常事件进行可靠的分析。通过不断的学习和训练,可以知道操作者最想要的是什么信息,可以在攻击中置身事外。及时提供相关重要信息,阻断攻击,为运维工程师应对异常事件提供参考,大大缩短攻击响应流程,将损失降到最低。2.6故障自动处理以某大型集团公司为例,总部各部门、子公司及下属机构每天都会产生大量的业务数据和安全数据,各种故障时有发生。如果一般性故障需要大量的维护人员去分析处理,不利于运维的集中化,也没有大量的人力物力去支撑。此时,可以对企业每天产生的各类网络安全故障数据和解决方案数据进行分析存储,建立故障事件特征库,形成规则库和知识库,自动选择合适的解决方案网络告警数据,保障通信网络和业务系统的正常运行。利用人工智能技术进行逻辑推理,分析判断潜在的安全威胁,从而进行预警。2.7安全大局持续呈现和预测企业的通信网络、硬件、软件、系统应用、业务应用、安全应用等,造成大量数据结构和相关关联不一致的安全数据。无论是多么有经验的安全运维专家,也不可能持续不断地分析和呈现安全数据,发现安全数据之间的关系。利用人工智能算法对安全数据进行关联分析,生成对当前状态的综合评估和趋势预测,实现持续态势监控,预测未知漏洞风险。03结语本文从数据资产的重要性、新技术的多样性、系统耦合的脆弱性出发,分析网络安全运维服务的重要性和必要性,从运维服务中分析人的局限性以社会工程学的视角,创新探索人工智能在运维服务中的应用,形成智能高效的网络安全运维新思路,改变攻防博弈中被动防御的不利局面,保障重要行业的关键基础设施安全。下一步将重点研究算法和建立模型,分析和解决具体问题。
