基于态势感知的信息安全运行监测平台项目建议书

基于态势感知的信息安全运行监测平台

项目建议书

目录

1.        背景与现状        

2.        建设必要性        

3.        建设地点        

4.        建设规模        

5.        主要技术思路与建设内容        

6.        主要工程量        

7.        投资估算与效益预测        

8.        项目实施进度建议        

1.                      背景与现状

随着公司信息化建设的不断发展，网络规模逐步扩大，信息化设备数量日益庞大，信息安全管理工作难度越来越大。512网络攻击事件、613网络攻击事件以及平均每周受到集团公司通报的公司内部信息安全风险，都能反映出公司所处的信息安全形式十分严峻。虽然我们通过办公网出口迁移接入到集团公司网络，我们的出口边界变了，但公司内网规模之大，边界之广，我们90%的安全风险均是从内网产生，然而我们针对内网安全防护却还停留在“十二五”阶段，已经无法满足公司信息化建设安全保障需求。结合当今世界信息安全最新实践指出，想要营造一个绝对的网络安全环境是不可能的，而且成本的投入更是不可限量，如何在一个不安全的环境下保障我们信息资产安全、数据安全、应用安全变得尤为重要。

从传统网络安全建设看，多年来我们一直偏重于架构安全(基线管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设，虽取得了一定的成果，也遇到发展瓶颈。单点防御体系能够识别攻击现象，但不能有效识别攻击事件；对攻击事件追踪溯源无从下手；各种信息设备产生的海量安全日志靠人工无法关联分析；针对高可持续性攻击ATP攻击更是无能为力。

要解当今环境下的安全问题，亟需使用新的技术手段来掌控全局的安全态势，从而优化安全运营过程，将网络的安全风险控制在合理的区间内。建立以态势感知安全运营平台为核心的安全体系是企业新的安全形势下的提升安全能力的必由之路。习总书记在“419讲话”中，提出要“全天候全方位感知网络安全态势”；《“十三五”国家信息化规划》中“态势感知”做为信息安全建设的一项最为重要的内容，已经列入国家计划；新疆自治区经信委、网信办、公安厅均已完成态势感知监测平台一期建设，并在2019年自治区网络安全培训班中做功能介绍；集团公司2018年信息化工作会议中，喻宝才副总经理关于信息安全建设计划中提出：要综合运用大数据、人工智能等技术，实现信息安全的态势感知。

2.                      建设必要性

网络安全与战争一样，本质是攻防双方的对抗，攻防之战，速度为王，作为防守方的目标是缩短攻击者的自由攻击时间。但是随着外部和内部网络安全势态的新变化，网络应用越来越复杂、开放，网络攻击越来越隐蔽、多变，安全事件发生的趋向也越来越频繁，造成我们获取的日志信息越来越大，但是现在没有哪个业务部门或者运维团队有足够的能力和精力将公司所有信息系统安全日志包括（网络设备、应用系统、数据库、安全设备等）进行关联分析，往往业务都已经受到影响了才能发现异常。另外，已有安全设备的孤立运行缺乏关联性，网络入侵的行为无法通过某一台设备的告警日志得出整个攻击流程，各安全类设备无法通过一个综合分析和展示平台去体现攻击的全部过程，针对海量的安全事件告警日志无法从中筛选出有价值的日志作为判断公司的网络安全运维状态。在新安全形势下的信息安全监控深度、层度及时性的不足，造成目前信息安全监控不能形成完整的安全事件闭环管理。

态势感知系统的作用就是引用大数据技术，分析安全环境信息、快速判断当前及未来形势，以作出正确响应，并且有效改善传统安全手段无法有效适应当今安全形式的现状，变被动防御为主动，让看不见的安全威胁和安全攻击可视化，为公司信息安全治理提供决策依据，全面提升公司信息安全防护水平。

3.                      建设地点

全公司范围内

4.                      建设规模

覆盖公司办公网内所有信息系统，包括公司网络，应用系统、终端计算机、安全设备、范终端设备等。

5.                      主要技术思路与建设内容

以大数据框架为基础，结合威胁情报系统、数据挖掘、人工智能和机器学习等先进技术，通过攻防场景模型的大数据分析及可视化展示等手段建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力。通过自适应的体系架构，高效地结合情境上下文分析，协助安全管理人员和决策人员快速发现和分析安全问题，并能通过实际的运维手段实现信息安全事件闭环管理。

平台组建均采取旁路部署的模式，组成一个独立的网络。关联规则引擎通过对本地的设备日志、全网流量、本地的安全规则和云端威胁情报进行自动化关联分析，可有效发现本地威胁和异常。威胁情报采取单向推送的方式传给部署在用户本地的分析平台，另外，分析平台可采用在线或离线两种模式获取威胁情报升级包，即便再与互联网隔离的环境下也能实现威胁情报的手动更新。各组件支持分布式或者集群的扩容方式，满足不同规模网络的性能需求。 

建设内容包括以下功能模块：

IT资产管理模块：建设应以IP作为资产管理的重点参考，通过持续监控的手段，对现有资产进行梳理、对新上线资产进行扫描发现，对未报备资产上线进行有效稽查和管理，并责令属地单位报备整改，实现对公司信息资产的有效管理。

脆弱性管理模块：实现自动化快速检查资产安全基线以及安全漏洞，并提供详细的优化配置建议和补丁分发功能，并对修补过程进行全程监督，同时记录每个资产的脆弱性的发现情况、确认情况、修复情况等，进行资产脆弱性全生命周期管理。通过自有安全漏洞情报库与系统管理的资产属性进行数据关联，通过情报与系统的资产数据融合分析，快速发现和预知资产存在的脆弱性风险，加快检测速度和精准度，缩短风险停留时间。

服务器安全管理模块：实现自动化快速检查服务器安全基线以及安全漏洞，并提供详细的优化配置建议和补丁分发功能，增强服务器安全防护能力；平台化集中管理，全面掌握服务器安全运行状况。

流量分析模块：通过对网内Flow数据的采集，利用大数据分析技术，分析异常流量，发现网络攻击，并对事件进行告警、可视化。

日志分析模块：大数据框架，通过主/被动想结合的获取手段，实时地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志信息，并将这些信息汇集到中心平台，进行集中化的存储、备份、查询、审计、告警、和分析，并出具相应的日志报告，实现日志的全生命周期管理。

安全事件关联分析模块：具备完善的基于规则的关联分析引擎，能够提供逻辑关联、统计关联和情境关联三种关联分析能力；关联规则能够引用外部资源，包括地址资源、时间资源、端口资源，以及用户自定义资源；关联规则能够引用活动列表，从而实现两个规则的联动，进而实现对复杂的和长周期的攻击行为的描述和刻画；关联规则支持规则嵌套和引用，通过多规则联合，可精确识别复杂安全事件和场景；具备单事件关联和多事件关联，能够针对多个不同类型不同来源的安全事件进行综合关联分析；具备实时关联和历史关联能力，既能够对正在发生的事件进行近实时关联分析，也能对去过发生的历史安全事件进行回溯关联分析；

网络入侵和威胁情报分析模块：针对公司信息系统在网络入侵防护上的风险，以及针对APT攻击、未知威胁情报等防护手段上的缺失，通过该模块对网络入侵行为进行防御和监控，对APT攻击进行检测能和阻断，对威胁情报进行收集和分析，对0day攻击进行监测和防御。

安全态势展示模块：对采集的各类安全数据、态势要素进行综合分析评判，从多维度和指标化的形式来呈现公司全网整体安全运行态势和资产、漏洞、攻击以及管理等专题态势，并进行可视化展示，帮助管理层辅助决策和执行层运维指导。安全态势展示包括综合态势展示、资产态势展示、攻击威胁态势展示、脆弱性态势展示、风险态势展示和安全管理态势展示。

6.                      主要工程量

机房及运行环境建设、硬件建设、软件开发（含接口开发）、系统联调、部分功能模块应用推广等。

7.                      效益预测

1.发现信息化建设遗留的安全隐患，完善企业信息安全防护体系

现阶段使用的安全产品基本上都是单兵作战，只能对自己所负责的区域的流量信息进行分析处理，只能对已知的威胁进行有效防护，但是对于未知威胁的处理能力则非常弱。本方案有效利用云端威胁情报数据，通告人工智能和机器学习等先进技术，结合国际多种威胁情报系统，发掘和分析攻击线索，极大提升未知威胁和APT攻击的检出效率。

2.弥补现有被动防御方式的不足，提升企业安全防护水平

传统安全防御体系的重要思想是防御，这就决定了能够越早解决攻击问题的物理位置就变得越重要。在这种思想下，处于攻击最前沿的网端始终是安全建设的重点，大量的检测与防御设备都部署在网端，如：IDS、IPS、UTM、FW、Audit、网闸等等。这种情况下，传统的安全防御体系就如同一个硬壳软糖，将安全性全部寄托于硬壳之上，一旦硬壳被砸碎，那么内部是毫无二次抵御攻击的能力，而事实证明，天下不存在无坚不摧的管道硬壳。因此单纯靠检测与防御解决网络安全问题已经不切实际，需要采用一种新的思路，在检测与防御系统被绕过或失效，已经被攻陷的情况下，仍然能尽快发现入侵事件，并快速追踪溯源，清晰掌握攻击过程全貌，为迅速采取动作，遏制攻击扩散提供技术基础。而态势感知方案通过引入威胁情报和规则链技术的引入，形成了监听-主动回溯、研判-主动监测的检测体系，大大提升了企业积极防御的能力，弥补了企业现有被动防御方式的不足。

3.基于公司信息化业务环境进行场景化威胁监测，提升异常行为检测能力

传统安全防护设备进行监测时一般使用通用的监测规则，这种规则库对于与公司业务关联性较强的个性化安全异常识别能力较弱。态势感知系统独有的场景化威胁检测技术，能够基于公司的业务环境构建威胁检测和响应模型，及时发现公司内部的业务安全风险。

4.帮助公司建设协同防御体系，提高应急响应效率

传统的安全防御体系由于安全设备是独立运行的，所以响应速度较慢。攻击者仅需花费较低的成本就可以攻入企业内网，且有充裕的时间寻找并获取其感兴趣的数据。态势感知系统通过终端检测响应（EDR）和网络检测响应（NDR）技术可以和企业配置的其他安全设备进行联动，形成协调防御体系，可以大大缩短攻击者的攻击时间窗口并提高攻击者的攻击成本。

5.帮助公司搭建数据可视化平台，使企业内网安全态势一目了然

数据可视化是大数据应用领域里非常重要的技术手段，数据可视化是研究如何将数据之间的关联关系以及蕴含的意义，并通过可视化方式进行展现，便于分析人员的深度分析的技术，是整个大数据技术领域中的重要组成部分。尤其对于情报分析领域，可以极大的提升情报分析的效率和效果。在企业安全方面，一方面可通过可视化技术的利用，将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化，形成高维度的可视化方案，以便于用户理解；另一方面可以通过可视化技术将威胁事件与企业业务进行有机结合，通过态势感知大屏将内网全局的安全态势以图形化的方式直观呈现，将安全由不可见变为可见。

8.                      项目实施进度建议

10个月内完成。