国内生态网络安全事件运维技术研究[1]的大规模推广。长期以来,外部网络攻击、内部威胁等网络安全事件不断发生。对于国货生态构建的网络,如何充分整合自主可控的产业链优势,提升网络安全运维和事件处理能力,是网络安全运营的关键问题。维护人员关心的热点问题。针对基于国产产品建设的网络,本文采用先进的自动化网络运维技术,构建网络安全运维[2]和事件自动处理机制[3]。基础软硬件与国产网络安全产品相互协同,可实现网络全景一体化安全数据融合管理[4],完成对网络安全事件的快速高效自动响应和处置。一、网络安全运维与事件自动处理简介目前,国内生态产业链中的网络安全产品日趋完善,涌现出多种防护产品和设备监控运维管理系统,为了解网络安全状况提供数据依据。网络安全运维[5][6]和事件处理旨在利用多源数据及时发现网络中的各种安全威胁和漏洞,形成网络安全事件,并通过对网络安全事件的综合分析采取有效措施.采取措施防止网络安全事件进一步蔓延,防止网络中基础设施损坏和数据篡改泄露,确保业务系统在网络中安全、稳定、高效运行。网络安全运维中的事件自动处理[7]通过预先定义好的流程框架对系统进行监控。一旦达到触发条件,就可以按照预先设定的流程,通过多个设备或服务之间的事件协调来协调事件。自动处置。网络安全运维和事件自动化技术经历了安全信息和事件管理(SIEM)和安全编排、自动化和响应平台(securityorchestration,automationandresponse,SOAR)两个重要阶段。安全信息和事件管理[8]SIEM最初是从日志管理技术发展而来的。它结合安全事件管理和安全信息管理技术,收集、存储、分析、调查和报告数据,实现事件响应和取证。2017年,Gartner提出安全编排、自动化和事件响应[9],通过综合数据收集、案例管理、标准化、工作流和分析的组合定义事件响应流程,最终实现事件响应活动的自动化。为确保基于国货生态链构建的网络健康稳定运行,需要深刻认识基于国货生态链的网络运维面临的新机遇和新挑战,充分利用发挥产品生态链独立可控的优势,采用先进的网络安全运维和事件自动处置技术,针对不同的风险建立细粒度的处置机制,打破各种安全产品和系统相互独立、互不关联的局面相互衔接,形成全面系统的一体化运维管理体系。2.国内产品生态网络安全事件高效管控运营关键技术2.1技术架构网络安全运维及事件自动处置平台从网络安全产品中获取日志和告警事件数据信息,自动对网络安全事件进行综合分析和整理核心平台。并最终达到安全事件自动处理和响应的目的。网络安全运维与事件自动化处理框架如图1所示。图1网络安全运维与事件自动处置框架2.2基于SOAR的网络安全事件管理与处置引擎该引擎实现事件研判与自动响应[10].图2给出了网络安全事件管理和处置引擎的流程图。网络安全运维人员可以结合国产产品生态构建的网络特点,通过持续感知网络合规风险等隐藏的内部威胁和网络攻击行为,构建专属的运维事件库。该系统采用业务流程建模和表示法[11](businessprocessmodelandnotation,BPMN)技术进行灵活、可配置的脚本布局[12],将人员、流程、设备整合为一个统一的整体,并根据操作和需求进行定制。维护场景一个有效的脚本完成事件研判和自动响应。当脚本涉及的告警事件发生时,网络安全事件管理与处置引擎可以根据脚本进行(半)自动响应,实现人员、流程、设备的无缝集成。网络安全事件管理与处置引擎可与部分??特种设备的主动防御系统有机结合,形成贯穿安全事件触发、分析、处置、恢复全生命周期的自动化防御机制。图2网络安全事件管理与处理引擎流程架构图2.3网络安全事件分类结合网络安全防护的不同需求,网络安全运维人员需要构建网络安全事件类型库。当触发新的告警日志时,网络安全事件管理与处置引擎将根据告警事件的多维属性,实现(半)自动网络安全事件类型判定。网络安全事件通常分为内部事件和外部事件。图3给出了一个典型的网络安全事件分类场景图。图3网络安全事件分类场景图2.4国货生态多源数据融合管理国货生态产业链包括监控审计产品、防病毒系统、身份认证系统、运维系统等网络安全产品;某些高安全性网络对安全防护能力要求较高,针对信息输入输出控制、可信软件安装卸载控制等,也出现了配套的网络安全防护产品。上述产品为网络安全运维人员提供了大量告警日志,同时也给运维人员带来了数据碎片化和高误报率。因此,需要对不同类型告警事件关联的网络安全产品进行梳理,通过生态系统中各种网络安全产品接口之间的交互,按照预定义格式的要求,进行数据融合。多源告警日志,生成设备、应用系统/软件、信息资源、网络攻击方式、漏洞等全方位的安全事件描述信息。2.5安全事件趋势分析及处置结果推荐的攻击链常用于分析事件发生的原因和评估事件的发展趋势。攻击链[13]是攻击高级持续威胁(APT)的过程。每个攻击阶段和网络攻击生命周期的描述。结合外部情报、事件链中的相关事件以及这些事件的组合,将事件链中的事件映射到攻击链中的不同阶段[14],形成可解释的安全事件链。图4显示了事件链方向。攻击链映射示例。网络运维人员结合攻击行为的现阶段和攻击的未来发展趋势,充分利用人员、设备、应用系统/软件、信息资源、网络攻击方式、漏洞等全方位信息综合分析类似的历史安全事件。分析,自动为网络安全事件管理和处理引擎推荐合理的处置方案,引导引擎完成事件的快速处置和响应[15]。图4事件链-攻击链信息映射图3.总结本文基于先进的自动化网络运维技术,探讨网络安全运维和事件自动化处置机制的关键技术,构建国产化的网络安全事件管理生态借助自动化引擎,集成网络安全事件分类、多源数据融合管理、安全事件趋势分析和处置结果推荐等能力。通过国内产品生态中产品间的协同,解决了运维长期以来面临的数据碎片化和突发事件。应对效率低下等问题,实现对网络安全事件的全面分析和快速高效的自动响应处置,提升国货生态的网络安全运维能力。注:本文发表于《信息安全研究》第10期参考文献[1]胡志强。基于自主可控技术的国产化备选方案综述[J].网络空间安全,2018,9(8):1-1[2]刘雪.新形势下网络信息安全运维[J].网络安全技术与应用2020(1):7-8[3]王立祥,符锐.网络自动化运维管理技术研究[J].数字用户,2019,25(10):24,26[4]孙立磊.网络安全管理平台中的数据融合技术[J].电子技术与软件工程,2018,133(11):225-225[5]MiloslavskayaNG.用于信息安全事件管理的安全运营中心[C]//IEEEIntConfonFutureInternetofThings&Cloud的Proc。新泽西州皮斯卡塔韦:IEEE,2016年:131-136[6]CichonskiP、MillarT、GranceT等。计算机安全事件处理指南[OL].[2020-09-09]。https://nvlpubs。尼斯特。gov/nistpubs/SpecialPublications/NIST。sp。800-61r2。pdf[7]CarverM、DiValentinLW、LefebvreML等人。自动化事件响应的方法和系统:US,9807120[P].2017-10-31[8]BhattS,ManadhataPK,ZomlotL.安全信息和事件管理系统的运行作用[J].IEEESecurity&Privacy,2014,12(5):35-41[9]Gartner表示检测和响应是2017年组织的首要安全优先事项[OL]。[2020-05-15]。https://www.加特纳。com/en/newsroom/press-releases/2017-03-14-gartner-says-detection-and-response-is-top-security-priority-for-organizations-in-2017[10]OhmoriM。关于自动化和OrchestrationofanInitialComputerSecurityIncidentResponsebyIntroducingCentralizedIncidentTrackingSystem[J]。信息处理杂志,2019,27:564-73[11]KocbekM,Jo?tG,Heri?koM,etal。业务流程模型和符号:现状[J]。计算机科学与信息系统,2015,12(2):509-539[12]LuoS,SalemMB。软件定义安全服务编排[C]//Procof2016IEEEIntConfonCommunicationsWorkshops(ICC)。Piscataway,NJ:IEEE,2016:436-441[13]Martin。Thecyberkillchain[OL]。[2020-04-22]。https://www。lockheedmartin。com/en-us/capabilities/cyber/cyber-kill-chain。html[14]MilajerdiSM,GjomemoR,EsheteB,etal。Holmes:通过关联可疑信息流进行实时apt检测[C]//2019IEEESymponSecurityandPrivacy(SP)Proc。Piscataway,NJ:IEEE,2019:1137-1152[15]ChenZhong,YenJ,PengLiu,etal.一种用于跟踪网络攻击分析过程的集成计算机辅助认知任务分析方法[C]//2015年Sympand安全科学训练营(HotSoS'15)的过程。NewYork:ACM,2015:1–11【本文为《中国保密协会科技分会》专栏作者原创稿件,转载请联系原作者】点此阅读更多该作者好文章
