深信服安全運(yùn)營(yíng)中心解決方案

深信服安全運(yùn)營(yíng)中心解決方案引用本彭聰留,訾然.深信服安全運(yùn)營(yíng)中心解決方案[J].信息安全與通信保密,2020(

增刊1):88-92.

摘要隨著網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻以及新技術(shù)、新基建不斷應(yīng)用發(fā)展帶來(lái)的網(wǎng)絡(luò)安全新威脅，網(wǎng)絡(luò)安全運(yùn)營(yíng)者面臨新的安全挑戰(zhàn)。在國(guó)家監(jiān)管層面，國(guó)務(wù)院辦公廳、網(wǎng)信辦、公安部等部門出臺(tái)的網(wǎng)絡(luò)安全相關(guān)政策標(biāo)準(zhǔn)在安全運(yùn)營(yíng)和管理方面也提出了明確的要求。為應(yīng)對(duì)上述網(wǎng)絡(luò)安全挑戰(zhàn)和政策要求，打造具有“威脅感知、分析定位、智能決策、響應(yīng)處置（OODA）”快速安全閉環(huán)能力的安全運(yùn)營(yíng)中心，不斷提升組織機(jī)構(gòu)安全建設(shè)綜合效能，應(yīng)對(duì)各類安全挑戰(zhàn)和解決安全運(yùn)營(yíng)工作遇到的問(wèn)題，確保網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)持續(xù)穩(wěn)定安全運(yùn)行。關(guān)鍵詞：安全運(yùn)營(yíng)中心；安全運(yùn)營(yíng)體系；網(wǎng)絡(luò)安全；態(tài)勢(shì)感知內(nèi)容目錄：0

引言１網(wǎng)絡(luò)運(yùn)營(yíng)現(xiàn)狀與挑戰(zhàn)2網(wǎng)絡(luò)安全運(yùn)營(yíng)中心總體設(shè)計(jì)2.1

網(wǎng)絡(luò)安全運(yùn)營(yíng)中心建設(shè)目標(biāo)2.2安全運(yùn)營(yíng)中心建設(shè)思路

2.3安全運(yùn)營(yíng)中心整體框架3安全運(yùn)營(yíng)中心建設(shè)價(jià)值收益4結(jié)語(yǔ)0引言隨著組織信息化建設(shè)規(guī)模的不斷擴(kuò)大以及大物移云等新技術(shù)不斷應(yīng)用，導(dǎo)致風(fēng)險(xiǎn)暴露面越來(lái)越大；另外，隨著單位內(nèi)業(yè)務(wù)深度融合，敏感資源越來(lái)越集中，攻擊目標(biāo)價(jià)值擴(kuò)大。如果缺乏統(tǒng)一、全網(wǎng)的安全隱患和安全事件運(yùn)營(yíng)管理機(jī)制，將會(huì)導(dǎo)致安全隱患發(fā)現(xiàn)不及時(shí)甚至無(wú)法發(fā)現(xiàn)，安全事件難定位、應(yīng)急不及時(shí)、安全投資成效低。尤其在出現(xiàn)嚴(yán)重安全事件時(shí)，傳統(tǒng)的定期風(fēng)險(xiǎn)評(píng)估會(huì)通過(guò)電話、即時(shí)通訊軟件層層上報(bào)，層層決策，經(jīng)常貽誤對(duì)安全事件進(jìn)行處置的最佳時(shí)機(jī)，造成安全事件大范圍蔓延，事件等級(jí)擴(kuò)大的嚴(yán)重后果。隨著單位的信息化發(fā)展，數(shù)據(jù)越來(lái)越集中、業(yè)務(wù)對(duì)IT基礎(chǔ)設(shè)施的依賴度越來(lái)越大，一旦出現(xiàn)較大安全風(fēng)險(xiǎn)將會(huì)對(duì)單位造成一定的影響。因此，需要通過(guò)有效的安全威脅發(fā)現(xiàn)和事件處置機(jī)制，快速定位和處置安全風(fēng)險(xiǎn)。安全運(yùn)營(yíng)中心能夠有效提高組織的整體安全能力、提升運(yùn)維效率、體現(xiàn)安全效果和價(jià)值。為在組織機(jī)構(gòu)內(nèi)建立有效易落地的安全運(yùn)營(yíng)中心，本文針對(duì)安全運(yùn)營(yíng)中心建設(shè)所解決的問(wèn)題、面臨挑戰(zhàn)、應(yīng)對(duì)思路機(jī)制、建設(shè)價(jià)值進(jìn)行論述。１安全運(yùn)營(yíng)的現(xiàn)狀與挑戰(zhàn)（1）

安全不是一次性投入，需要持續(xù)優(yōu)化升級(jí)第一個(gè)現(xiàn)狀和挑戰(zhàn)是安全不是一次性投入，需要持續(xù)優(yōu)化升級(jí)，主要的原因是現(xiàn)有安全建設(shè)由于缺乏有效的安全運(yùn)營(yíng)，導(dǎo)致安全效果不理想。具體體現(xiàn)在三個(gè)方面：一是網(wǎng)絡(luò)攻擊快速演進(jìn)，傳統(tǒng)基于靜態(tài)特征庫(kù)檢測(cè)、靜態(tài)策略防御手段失效，APT、0day等未知威脅難以檢測(cè)，對(duì)于新型的攻擊手段和威脅惡意程序等難以檢測(cè)。二是新技術(shù)如大物移云智等應(yīng)用及新業(yè)務(wù)上線帶來(lái)新型的威脅，包括無(wú)法及時(shí)掌握資產(chǎn)變化情況，漏洞、威脅無(wú)法全面檢測(cè)等問(wèn)題，使原有防護(hù)出現(xiàn)疏漏。三是各類安全設(shè)備各自為戰(zhàn)不能形成合力、安全策略有效性難驗(yàn)證難優(yōu)化、缺乏聯(lián)動(dòng)響應(yīng)能力等，導(dǎo)致安全割裂，無(wú)法形成整體合力。（2）

安全運(yùn)維壓力大，處置不及時(shí)、不徹底第二個(gè)現(xiàn)狀和挑戰(zhàn)是安全運(yùn)維壓力大，導(dǎo)致安全事件處置不及時(shí)、不徹底。包括三個(gè)方面的原因：安全運(yùn)維工作量大：大量重復(fù)性工作如日志分析、事件處理，各類報(bào)表報(bào)告如病毒統(tǒng)計(jì)報(bào)告、攻擊報(bào)告等費(fèi)時(shí)費(fèi)力難處理，以及大量重要資產(chǎn)、核心系統(tǒng)日常巡檢也要消耗大量的時(shí)間和精力。人力資源不足，基礎(chǔ)薄弱：比如安全人員編制少，身兼多職難應(yīng)對(duì)，對(duì)于復(fù)雜的問(wèn)題安全分析能力不足，對(duì)于安全漏洞該不該處置、應(yīng)該如何處置缺乏經(jīng)驗(yàn)和知識(shí)積累。安全運(yùn)維工作效率低：各類事件處置高度依賴人，且無(wú)工具進(jìn)行輔助決策，問(wèn)題難于處置，對(duì)于安全問(wèn)題的處理進(jìn)度難跟蹤，處理結(jié)果無(wú)反饋。（3）

工作價(jià)值難體現(xiàn)，出事不認(rèn)可、不出事也不認(rèn)可第三個(gè)內(nèi)部因素就是安全工作價(jià)值和績(jī)效難體現(xiàn)，對(duì)于安全部門或者負(fù)責(zé)安全工作的人員來(lái)說(shuō)，如何體現(xiàn)安全工作的價(jià)值成為經(jīng)常被困擾的問(wèn)題。而且安全部門被認(rèn)為是花錢的部門，不像業(yè)務(wù)部門大家能看到其價(jià)值。因此安全工作經(jīng)常出現(xiàn)“出了事不認(rèn)可、不出事也不認(rèn)可”的情況，具體來(lái)講主要就是：成果說(shuō)不清、績(jī)效難衡量、工作難推進(jìn)。（4）

政策監(jiān)管愈加嚴(yán)格，通報(bào)、扣分的情況時(shí)有發(fā)生網(wǎng)絡(luò)安全法、等保2.0

等法律法規(guī)不斷完善，要求越來(lái)越嚴(yán)。公安、主管、監(jiān)管單位的安全監(jiān)測(cè)檢查趨于常態(tài)化，重大網(wǎng)絡(luò)安全保障的壓力也越來(lái)越大，如攻防演練、HW、兩會(huì)、國(guó)慶等需要重點(diǎn)保障，需要避免被通報(bào)扣分，但很多運(yùn)營(yíng)者缺乏有效的技術(shù)和人員支撐。２網(wǎng)絡(luò)安全運(yùn)營(yíng)中心總體設(shè)計(jì)2.1網(wǎng)絡(luò)安全運(yùn)營(yíng)中心建設(shè)目標(biāo)基于企業(yè)或組織的實(shí)際業(yè)務(wù)需求，當(dāng)前的建設(shè)現(xiàn)狀，網(wǎng)絡(luò)安全運(yùn)營(yíng)體系的建設(shè)是一種在已有安全基礎(chǔ)上，重構(gòu)一種新的安全效能倍增模式。組織網(wǎng)絡(luò)安全運(yùn)營(yíng)體系的建設(shè)目標(biāo)有以下幾點(diǎn)：（1）

從組織的實(shí)際業(yè)務(wù)發(fā)展目標(biāo)和安全運(yùn)營(yíng)需求的角度出發(fā)，打造匹配業(yè)務(wù)需求的網(wǎng)絡(luò)安全能力，使安全能力與業(yè)務(wù)高度融合，貫穿業(yè)務(wù)的建設(shè)、使用、管理、運(yùn)維等全周期。（2）

構(gòu)建實(shí)現(xiàn)從被動(dòng)、靜態(tài)、單點(diǎn)的網(wǎng)絡(luò)防御體系到主動(dòng)、動(dòng)態(tài)、整體的網(wǎng)絡(luò)防護(hù)體系的轉(zhuǎn)變，以保障業(yè)務(wù)安全可靠為前提，持續(xù)提升整體安全防御、檢測(cè)、響應(yīng)能力，并具備一定的威脅溯源反制能力。（3）

高效整合技術(shù)、工具、服務(wù)、流程、人員等全要素，打通網(wǎng)絡(luò)安全預(yù)防、保障、監(jiān)控、應(yīng)急等全流程，實(shí)現(xiàn)已有安全能力和未來(lái)安全能力的統(tǒng)籌中心，通過(guò)自動(dòng)化機(jī)制落地，面向業(yè)務(wù)和用戶的體系化安全運(yùn)營(yíng)能力。（4）

基于安全運(yùn)營(yíng)體系的構(gòu)建，探索組織網(wǎng)絡(luò)安全架構(gòu)的建設(shè)路徑。安全運(yùn)營(yíng)體系作為整體安全架構(gòu)的重要組成部分，是安全能力和需求演進(jìn)到一定階段的必然選擇。整體安全架構(gòu)的演進(jìn)，依賴于安全運(yùn)營(yíng)體系的有效落地。未來(lái)的安全運(yùn)營(yíng)體系將更多實(shí)踐以防御、檢測(cè)、響應(yīng)和預(yù)測(cè)為主的自適應(yīng)安全架構(gòu)，并不斷融合新的網(wǎng)絡(luò)安全理念，豐富和完善組織網(wǎng)絡(luò)安全架構(gòu)的實(shí)踐。2.2安全運(yùn)營(yíng)中心建設(shè)思路建設(shè)安全運(yùn)營(yíng)體系的核心目標(biāo)是提高組織的整體安全能力、提升運(yùn)維效率、體現(xiàn)安全效果和價(jià)值，即“能力、效率、效果”三角形。而安全運(yùn)營(yíng)體系的建設(shè)是基于“人員、工具、流程”的三大基礎(chǔ)能力，也就是下放的三角形?！叭藛T、工具、流程”能力的結(jié)合，打造從“感知、分析、決策、響應(yīng)”四個(gè)維度出發(fā)，具備OODA循環(huán)的自動(dòng)安全處置閉環(huán)能力?！案兄⒎治?、決策、響應(yīng)”四個(gè)維度也是發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、評(píng)估問(wèn)題、處置問(wèn)題的完整閉環(huán)過(guò)程。因此安全運(yùn)營(yíng)體系的整體思路和理念是：安全運(yùn)營(yíng)體系通過(guò)大數(shù)據(jù)、機(jī)器學(xué)習(xí)、UEBA、SOAR、威脅情報(bào)等技術(shù)和工具，結(jié)合自動(dòng)化流程和安全運(yùn)營(yíng)專家服務(wù)，打造“威脅感知、分析定位、智能決策、響應(yīng)處置（OODA）”的快速安全閉環(huán)能力，幫助客戶不斷提升安全效果、提升安全運(yùn)維和安全管理效率、展現(xiàn)安全成果，最終實(shí)現(xiàn)“自動(dòng)響應(yīng)閉環(huán)、持續(xù)安全運(yùn)營(yíng)”的目標(biāo)。2.3安全運(yùn)營(yíng)中心整體框架安全運(yùn)營(yíng)體系整體架構(gòu)包括安全運(yùn)營(yíng)人員、安全運(yùn)營(yíng)平臺(tái)、安全運(yùn)營(yíng)流程三部分組成。安全運(yùn)營(yíng)平臺(tái)通過(guò)SOAR、UEBA、機(jī)器學(xué)習(xí)、威脅情報(bào)等技術(shù)實(shí)現(xiàn)安全事件的自動(dòng)閉環(huán)與持續(xù)威脅對(duì)抗。安全運(yùn)營(yíng)人員明確組織結(jié)構(gòu)與安全運(yùn)營(yíng)權(quán)責(zé)，安全運(yùn)營(yíng)流程制定各類安全運(yùn)維制度和事件處置流程。同時(shí)，依托云端安全能力和安全云腦，提供威脅情報(bào)、云端監(jiān)測(cè)、算法更新等云端服務(wù)，結(jié)合本地第三方安全服務(wù)專家，構(gòu)建7*24小時(shí)服務(wù)保障團(tuán)隊(duì)。３安全運(yùn)營(yíng)中心建設(shè)價(jià)值收益（1）

提升安全運(yùn)維效率。安全運(yùn)營(yíng)平臺(tái)可提供智能分析能力輔助安全決策，包括通過(guò)人機(jī)交互的界面簡(jiǎn)化安全運(yùn)維、以及自定義安全響應(yīng)策略實(shí)現(xiàn)自動(dòng)分析處置，同時(shí)通過(guò)安全運(yùn)營(yíng)專家提供當(dāng)前安全策略的有效性驗(yàn)證。除此以外，還具備各類安全日志、告警的消減去重、運(yùn)維與事件處置的協(xié)同。（2）

提升安全建設(shè)效果。安全運(yùn)營(yíng)過(guò)程是一個(gè)持續(xù)發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、處理問(wèn)題的動(dòng)態(tài)過(guò)程。隨著時(shí)間的推移，安全運(yùn)營(yíng)中心的運(yùn)行成熟度將會(huì)越來(lái)越高，安全運(yùn)營(yíng)單位將能夠更加熟練地發(fā)揮“人、工具、流程”三者之間交互能力，通過(guò)主動(dòng)和被動(dòng)學(xué)習(xí)，持續(xù)優(yōu)化提升產(chǎn)品和人員的專業(yè)能力，不斷積累完善問(wèn)題知識(shí)庫(kù)，持續(xù)優(yōu)化運(yùn)營(yíng)機(jī)制，持續(xù)簡(jiǎn)化操作流程。（3）

安全運(yùn)營(yíng)過(guò)程就是安全價(jià)值展現(xiàn)的過(guò)程，內(nèi)外網(wǎng)安全事件的可視化展示、攻擊攔截有效率的展現(xiàn)、安全事件處置效率的展現(xiàn)、安全事件的同期對(duì)比以及整體安全風(fēng)險(xiǎn)報(bào)告的輸出均是需要安全運(yùn)營(yíng)中心的重要職能。（4）

建設(shè)滿足國(guó)家網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范中對(duì)網(wǎng)絡(luò)安全運(yùn)維、安全監(jiān)測(cè)及管理制度等相關(guān)方面的要求。４結(jié)語(yǔ)在當(dāng)前嚴(yán)峻的國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)下，針對(duì)有組織的網(wǎng)絡(luò)犯罪和攻擊手段日益多樣化、復(fù)雜化和隱蔽化，各類網(wǎng)絡(luò)信息系統(tǒng)面臨外部攻擊、內(nèi)部入侵、信息竊取破壞、系統(tǒng)運(yùn)行中斷等風(fēng)險(xiǎn)