基于聯(lián)合處置與智能分析的網(wǎng)絡(luò)安全防護(hù)平臺(tái)應(yīng)用實(shí)踐

文/李罡、王德超、邱燁、閆洪利、喬慶學(xué)， 濟(jì)南軌道交通集團(tuán)有限公司

一、安全防護(hù)平臺(tái)總體情況

為滿足國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略要求及應(yīng)對(duì)當(dāng)前愈演愈烈的各類已知、未知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及APT類攻擊，濟(jì)南軌道交通集團(tuán)在內(nèi)部管理網(wǎng)數(shù)據(jù)中心建立了以下一代防火墻為核心的網(wǎng)端一體化聯(lián)合處置平臺(tái)，同步聯(lián)合WAF、上網(wǎng)行為管理、終端殺毒等手段對(duì)集團(tuán)網(wǎng)絡(luò)及信息系統(tǒng)進(jìn)行事前、事中、事后的全生命周期安全防護(hù)；同時(shí)，部署了基于大數(shù)據(jù)和人工智能算法的智能安全中心進(jìn)行全網(wǎng)安全運(yùn)營(yíng)，該中心主要包含智能威脅感知、態(tài)勢(shì)感知研判及安全運(yùn)營(yíng)響應(yīng)等三個(gè)功能模塊。初步搭建了基于聯(lián)合處置和智能分析的網(wǎng)絡(luò)安全防護(hù)平臺(tái)，為集團(tuán)內(nèi)部管理網(wǎng)絡(luò)安全保駕護(hù)航。

二、安全防護(hù)平臺(tái)建設(shè)背景

在當(dāng)前復(fù)雜多變的信息安全形勢(shì)下，無(wú)論是外部黑客入侵、內(nèi)部惡意使用，還是軟硬件、協(xié)議在生命周期的各個(gè)階段中產(chǎn)生的網(wǎng)絡(luò)安全隱患問(wèn)題，安全管理手段都正在變得越來(lái)越不夠用，安全問(wèn)題難以及時(shí)發(fā)現(xiàn)；當(dāng)攻防演練逐漸成為集團(tuán)所需要面對(duì)的常態(tài)業(yè)務(wù)，如何確保系統(tǒng)安全成為了亟需解決的問(wèn)題；同時(shí)，業(yè)務(wù)系統(tǒng)集成關(guān)系越來(lái)越復(fù)雜，數(shù)據(jù)安全性、應(yīng)用安全性等問(wèn)題越來(lái)越凸顯。

集團(tuán)內(nèi)部管理網(wǎng)已上線和正在建設(shè)的業(yè)務(wù)系統(tǒng)達(dá)二十余個(gè)，基本覆蓋了企業(yè)管理、工程建設(shè)、運(yùn)營(yíng)管理和資源開(kāi)發(fā)等核心業(yè)務(wù)，信息系統(tǒng)的正常運(yùn)轉(zhuǎn)以成為保障集團(tuán)員工辦公的必要條件。為此，集團(tuán)數(shù)據(jù)中心設(shè)置安全控制中心，實(shí)現(xiàn)安全業(yè)務(wù)編排和策略統(tǒng)一管理，覆蓋安全服務(wù)配置、運(yùn)維兩大場(chǎng)景，與安全態(tài)勢(shì)感知系統(tǒng)、安全設(shè)備構(gòu)成全面威脅感知、分析和響應(yīng)的整網(wǎng)主動(dòng)防御、多維安全防護(hù)體系，保障信息系統(tǒng)安全、穩(wěn)定運(yùn)行。

圖1 安全控制中心實(shí)景圖

三、主要內(nèi)容及關(guān)鍵技術(shù)

（一）主要內(nèi)容

1.網(wǎng)端一體化聯(lián)合處置平臺(tái)

集團(tuán)根據(jù)可能面臨的所有網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)漏洞，在安全控制中心內(nèi)部署了網(wǎng)端一體化聯(lián)合處置平臺(tái)（圖2），以技術(shù)配合管理，管理銜接技術(shù)，打通網(wǎng)絡(luò)安全管理中的人、技術(shù)和操作過(guò)程等環(huán)節(jié)，形成統(tǒng)一的安全聯(lián)合處置平臺(tái)；平臺(tái)具有通信網(wǎng)絡(luò)、安全區(qū)域邊界、計(jì)算環(huán)境等網(wǎng)絡(luò)側(cè)的強(qiáng)大識(shí)別和安全防御能力，幫助集團(tuán)內(nèi)部管理網(wǎng)從橫向到縱向構(gòu)建立體縱深的安全防護(hù)架構(gòu)；平臺(tái)包含傳統(tǒng)防火墻、下一代防火墻、WAF、上網(wǎng)行為管理、終端安全系統(tǒng)等，實(shí)現(xiàn)全方位的安全防護(hù)；平臺(tái)統(tǒng)一展示來(lái)自外部入侵行為觸發(fā)的網(wǎng)絡(luò)安全告警信息，并自動(dòng)阻斷黑客非法攻擊。

圖2 網(wǎng)端一體化聯(lián)合處置平臺(tái)

2.大數(shù)據(jù)智能安全中心

根據(jù)一個(gè)安全管理中心，三重防護(hù)的思想，集團(tuán)在安全控制中心內(nèi)部署還部署大數(shù)據(jù)智能安全中心。通過(guò)收集探針、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)等安全軟硬件日志信息，實(shí)時(shí)報(bào)警、阻攔、定位攻擊源、實(shí)現(xiàn)安全體系整體聯(lián)動(dòng)，多維防御。安全管理中心的內(nèi)容如圖3所示。

圖3 安全管理中心功能架構(gòu)圖

大數(shù)據(jù)智能安全中心依據(jù)核心功能分為智能威脅感知中心、攻擊態(tài)勢(shì)感知研判中心及安全運(yùn)營(yíng)響應(yīng)中心三個(gè)模塊。智能威脅感知中心依靠安全實(shí)時(shí)分析和深度感知智能引擎對(duì)平臺(tái)采集的內(nèi)網(wǎng)流量數(shù)據(jù)、日志數(shù)據(jù)及資產(chǎn)數(shù)據(jù)進(jìn)行威脅分析檢測(cè)，如圖4所示。

圖4 智能威脅感知中心

攻擊態(tài)勢(shì)感知研判中心則從多維態(tài)勢(shì)感知、威脅情報(bào)、安全追蹤溯源及分析報(bào)告等四個(gè)層面為集團(tuán)提供內(nèi)外部安全態(tài)勢(shì)感知研判，如圖5所示。

圖5 態(tài)勢(shì)感知研判中心

安全運(yùn)營(yíng)響應(yīng)中心為集團(tuán)提供了日常安全運(yùn)營(yíng)管理的載體，從技術(shù)角度完善了集團(tuán)安全運(yùn)營(yíng)能力與流程。安全運(yùn)營(yíng)工作臺(tái)對(duì)收集到的有代表性的網(wǎng)絡(luò)攻擊行為、新產(chǎn)生的網(wǎng)絡(luò)安全威脅情報(bào)、網(wǎng)絡(luò)安全整體分析報(bào)告和各部門(mén)單位的應(yīng)急處置狀況進(jìn)行統(tǒng)一發(fā)布，提高統(tǒng)一調(diào)度和指揮能力。減少安全事件對(duì)人工的依賴，流程化完成事件管理，提高了協(xié)作溝通效率，如圖6所示。

圖6 安全運(yùn)營(yíng)響應(yīng)中心

（二）關(guān)鍵技術(shù)

1.安全矩陣全域覆蓋

集團(tuán)在網(wǎng)絡(luò)邊界和終端環(huán)境進(jìn)行網(wǎng)絡(luò)安全能力全域覆蓋，網(wǎng)絡(luò)流量層分析威脅的特征結(jié)合終端層的行為分析，降低來(lái)自不同介入點(diǎn)的風(fēng)險(xiǎn)，可實(shí)時(shí)定位本地?zé)o法檢出的威脅。當(dāng)邊界安全設(shè)備識(shí)別外來(lái)網(wǎng)絡(luò)攻擊和異常網(wǎng)絡(luò)流量時(shí)，集團(tuán)網(wǎng)端一體化聯(lián)合處置平臺(tái)可通過(guò)黑名單的方式過(guò)濾外部攻擊行為，保障內(nèi)網(wǎng)網(wǎng)絡(luò)安全。

2.智能協(xié)同閉環(huán)處置

集團(tuán)在流量及終端側(cè)構(gòu)建基于AI的檢測(cè)與防御能力，通過(guò)實(shí)時(shí)流量分析，安全技術(shù)聯(lián)動(dòng)抵御來(lái)自網(wǎng)絡(luò)側(cè)的攻擊，流量層溯源定位被攻擊主機(jī)，聯(lián)動(dòng)終端殺毒發(fā)起對(duì)被攻擊主機(jī)的全面的掃描，該平臺(tái)可快速定位網(wǎng)絡(luò)內(nèi)的攻擊主機(jī)，確定是惡意攻擊或者主機(jī)感染病毒，進(jìn)行隔離，完成取證操作，保障集團(tuán)網(wǎng)絡(luò)安全閉環(huán)管理。

3.未知病毒精準(zhǔn)防御

集團(tuán)通過(guò)AI提煉病毒特征，對(duì)可能遭受的木馬變種病毒進(jìn)行防范；當(dāng)終端感染變種病毒時(shí)，可自行啟用網(wǎng)端一體化聯(lián)合處置平臺(tái)的微隔離策略，限制傳染面在單個(gè)主機(jī)上，保障集團(tuán)網(wǎng)絡(luò)的安全以及核心業(yè)務(wù)和服務(wù)器區(qū)域不受木馬變種病毒干擾。

4.安全運(yùn)營(yíng)威脅預(yù)知

全網(wǎng)安全日志統(tǒng)一分析結(jié)合后臺(tái)專家分析，給出最佳策略配置建議、每日巡檢及安全播報(bào)、全網(wǎng)高危事件等，全天候安全運(yùn)營(yíng)，通過(guò)智能安全中心提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警能力，保障集團(tuán)網(wǎng)絡(luò)安全。

四、主要應(yīng)用場(chǎng)景

（一）網(wǎng)絡(luò)威脅追蹤溯源

基于安全事件的攻擊手法來(lái)源等，結(jié)合威脅情報(bào)追溯類似的攻擊事件，深挖攻擊事件背后的團(tuán)伙和實(shí)際的攻擊者，集團(tuán)通過(guò)安全設(shè)備的日志可以回溯攻擊源，分析非法攻擊行為，并進(jìn)行安全防范，提高安全防御機(jī)制，防患于未然。

（二）安全態(tài)勢(shì)全局總攬

通過(guò)態(tài)勢(shì)感知大屏、分析報(bào)告、安全日志在海量的安全告警中，分析提煉出關(guān)鍵的事件，為集團(tuán)提供決策處理，完成僅憑把人工不可能完成的工作量任務(wù)變成輕松完成，規(guī)避了重要的安全事件不被海量告警淹沒(méi)。

（三）網(wǎng)絡(luò)風(fēng)險(xiǎn)及時(shí)發(fā)現(xiàn)

內(nèi)部的惡意主機(jī)或進(jìn)程對(duì)外攻擊可能涉嫌違法，對(duì)集團(tuán)內(nèi)部攻擊風(fēng)險(xiǎn)不可估量，基于智能安全中心中對(duì)流量的深度檢測(cè)，實(shí)現(xiàn)及時(shí)發(fā)現(xiàn)和處置集團(tuán)內(nèi)部惡意資產(chǎn)。

（四）安全處置聯(lián)動(dòng)防御

大數(shù)據(jù)智能安全中心發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，預(yù)測(cè)即將發(fā)生的安全事件并與安全防護(hù)設(shè)備形成聯(lián)動(dòng)能力，自動(dòng)安全調(diào)整訪問(wèn)控制策略下發(fā)至防御設(shè)備，第一時(shí)間通過(guò)聯(lián)動(dòng)防御設(shè)備阻斷攻擊者的連接。集團(tuán)存在大量核心業(yè)務(wù)數(shù)據(jù)，通過(guò)智能安全中心杜絕終端感染導(dǎo)致的整個(gè)網(wǎng)絡(luò)被勒索或者被非法控制，實(shí)時(shí)保障集團(tuán)網(wǎng)絡(luò)不被外界非法攻擊行為入侵。

五、經(jīng)驗(yàn)總結(jié)

通過(guò)集團(tuán)網(wǎng)端一體化聯(lián)合處置平臺(tái)和大數(shù)據(jù)智能安全中心的建設(shè)，一方面有效提升了集團(tuán)的信息安全管理水平，協(xié)助集團(tuán)統(tǒng)一監(jiān)管全網(wǎng)環(huán)境安全風(fēng)險(xiǎn)，整合安全要素，打破數(shù)據(jù)孤島、能力孤島；另一方面實(shí)現(xiàn)了安全監(jiān)測(cè)自動(dòng)化運(yùn)營(yíng)流程和安全事件自動(dòng)化響應(yīng)，形成威脅發(fā)現(xiàn)、智能研判和響應(yīng)處置的安全運(yùn)營(yíng)閉環(huán)處置流程，釋放安全管理人員手動(dòng)處置威脅負(fù)擔(dān)，解決了威脅發(fā)現(xiàn)不及時(shí)、安全響應(yīng)滯后等安全運(yùn)維過(guò)程中的通病問(wèn)題。

該平臺(tái)提升了體系化縱深聯(lián)動(dòng)防御能力，平臺(tái)發(fā)現(xiàn)潛伏威脅和高隱蔽性攻擊后，可以預(yù)測(cè)即將發(fā)生的安全事件，能夠與安全防護(hù)設(shè)備形成聯(lián)動(dòng)形成安全閉環(huán)，從而保障集團(tuán)網(wǎng)絡(luò)安全。