央企在網(wǎng)絡(luò)安全新形勢(shì)下的動(dòng)態(tài)防御體系研究與應(yīng)用

我國央企信息化經(jīng)過數(shù)十年的發(fā)展，在國家基礎(chǔ)民生領(lǐng)域占有舉足輕重的地位。隨著經(jīng)濟(jì)的高速發(fā)展，結(jié)合國有企業(yè)各行業(yè)趨勢(shì)和現(xiàn)狀，構(gòu)建數(shù)字驅(qū)動(dòng)的智慧化生產(chǎn)運(yùn)營(yíng)能力，打造央企業(yè)務(wù)的智慧化、自動(dòng)化成為大勢(shì)所趨。伴隨著央企的業(yè)務(wù)發(fā)展，大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)得到廣泛應(yīng)用，提高了智能化、自動(dòng)化的發(fā)展程度，但同時(shí)也為網(wǎng)絡(luò)安全工作帶來了新的挑戰(zhàn)。首先，物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)的廣泛應(yīng)用模糊了網(wǎng)絡(luò)邊界，打破了信息系統(tǒng)原有的網(wǎng)絡(luò)防護(hù)體系，攻擊者可以更加方便接觸到終端設(shè)備，甚至可以利用終端設(shè)備對(duì)信息系統(tǒng)進(jìn)行攻擊；其次，大數(shù)據(jù)和人工智能技術(shù)的應(yīng)用使得數(shù)據(jù)高度集中，帶來了更高的數(shù)據(jù)安全風(fēng)險(xiǎn)；最后，伴隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊也變得更加迅速和隱蔽，高級(jí)威脅、網(wǎng)絡(luò)勒索、數(shù)據(jù)竊取及內(nèi)部攻擊等多種網(wǎng)絡(luò)攻擊行為，給當(dāng)前的網(wǎng)絡(luò)安全體系和安全運(yùn)營(yíng)帶來了更大的挑戰(zhàn)。網(wǎng)絡(luò)安全是沒有硝煙的高科技數(shù)字戰(zhàn)場(chǎng)，為適應(yīng)新形勢(shì)下業(yè)務(wù)系統(tǒng)快速迭代所帶來的安全風(fēng)險(xiǎn)和威脅，央企應(yīng)提高主動(dòng)防御能力，適時(shí)地對(duì)網(wǎng)絡(luò)安全體系進(jìn)行維護(hù)和加固，使防御技術(shù)能夠適應(yīng)攻擊技術(shù)的快速變化。因此，需要網(wǎng)絡(luò)安全能力體系從傳統(tǒng)的被動(dòng)防護(hù)發(fā)展為具有精確識(shí)別有價(jià)值資產(chǎn)、快速調(diào)整和塑造網(wǎng)絡(luò)環(huán)境、準(zhǔn)確檢測(cè)安全威脅、積極主動(dòng)進(jìn)行防御、及時(shí)響應(yīng)和處置的能力，能夠更加智能、快速、彈性地應(yīng)對(duì)突發(fā)的安全威脅，并在威脅處置過程中不斷進(jìn)行防御策略的優(yōu)化、網(wǎng)絡(luò)空間環(huán)境的塑造，形成統(tǒng)一、閉環(huán)并且能夠自我優(yōu)化疊加演進(jìn)的網(wǎng)絡(luò)與信息安全動(dòng)態(tài)防御體系。1網(wǎng)絡(luò)安全背景及現(xiàn)狀分析1.1背景描述1.1.1整體形勢(shì)對(duì)網(wǎng)絡(luò)安全防護(hù)提出新挑戰(zhàn)隨著信息化對(duì)整個(gè)經(jīng)濟(jì)社會(huì)發(fā)展的融合、驅(qū)動(dòng)作用日益明顯，其所帶來的風(fēng)險(xiǎn)挑戰(zhàn)也不斷增大，網(wǎng)絡(luò)空間威脅和風(fēng)險(xiǎn)日益增多。網(wǎng)絡(luò)空間安全已成為關(guān)系國家安全、社會(huì)穩(wěn)定和廣大人民群眾切身利益的重要問題。當(dāng)前，全球大部分國家步入網(wǎng)絡(luò)空間規(guī)劃的建設(shè)階段，全球網(wǎng)絡(luò)空間治理領(lǐng)域出現(xiàn)變革契機(jī)，同時(shí)網(wǎng)絡(luò)空間威脅的規(guī)模不斷擴(kuò)大與發(fā)展，網(wǎng)絡(luò)空間安全的問題愈加艱巨復(fù)雜。歐美等發(fā)達(dá)國家圍繞網(wǎng)絡(luò)安全治理工作出臺(tái)了多項(xiàng)法律法規(guī)進(jìn)行保障，組成了覆蓋網(wǎng)絡(luò)與信息安全各個(gè)方面的管理和技術(shù)體系，伴隨著各國網(wǎng)絡(luò)安全意識(shí)的不斷增強(qiáng)，提升網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警、防御阻斷、處置響應(yīng)和追蹤溯源的能力成為緊迫需求，各國均投入研究以促進(jìn)網(wǎng)絡(luò)安全技術(shù)發(fā)展。1.1.2央企發(fā)展對(duì)網(wǎng)絡(luò)安全防護(hù)提出新目標(biāo)各央企采用多種新技術(shù)為行業(yè)用戶及公眾提供了優(yōu)質(zhì)的服務(wù)，同時(shí)信息系統(tǒng)的建設(shè)嚴(yán)格遵照國家網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，基本實(shí)現(xiàn)了以網(wǎng)絡(luò)安全等級(jí)保護(hù)為基礎(chǔ)的安全防護(hù)，以關(guān)鍵業(yè)務(wù)為核心的整體防控，以信息共享為基礎(chǔ)的協(xié)同聯(lián)控能力，并且通過嚴(yán)格的安全管理方法和制度來保證安全穩(wěn)定運(yùn)行，明確安全管理工作中的相關(guān)責(zé)任。但面對(duì)不斷變化的網(wǎng)絡(luò)威脅，尚需優(yōu)化和提升現(xiàn)有網(wǎng)絡(luò)安全防護(hù)能力，改進(jìn)威脅對(duì)抗手段，規(guī)范網(wǎng)絡(luò)安全管理制度，以應(yīng)對(duì)日趨復(fù)雜的網(wǎng)絡(luò)攻擊行為。1.2現(xiàn)狀分析1.2.1國外網(wǎng)絡(luò)安全現(xiàn)狀分析美國是第一個(gè)制定網(wǎng)絡(luò)空間安全戰(zhàn)略的國家，在高安全等級(jí)網(wǎng)絡(luò)防護(hù)技術(shù)與標(biāo)準(zhǔn)化措施建設(shè)、研究方面已基本形成比較完備的網(wǎng)絡(luò)安全框架體系結(jié)構(gòu)，以支撐其國家層面的信息安全保密建設(shè)工作。隨著美國網(wǎng)絡(luò)安全觀念的不斷深化，高度重視關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和核心供應(yīng)鏈安全，提升國家抵御網(wǎng)絡(luò)空間新威脅的能力已成為美國網(wǎng)絡(luò)安全的重點(diǎn)戰(zhàn)略，同時(shí)，提升網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警、防御阻斷、處置響應(yīng)和追蹤溯源的能力已成為緊迫需求。1.2.2國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀分析我國網(wǎng)絡(luò)安全水平尚處于發(fā)展階段，近年來，《中華人民共和國網(wǎng)絡(luò)安全法》、GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國密碼法》、GB/T39786—2021《信息系統(tǒng)密碼應(yīng)用基本要求》等法律法規(guī)和規(guī)章制度不斷出臺(tái)和完善，已成為網(wǎng)絡(luò)安全能力建設(shè)的基本依據(jù)。當(dāng)前，以魚叉攻擊、水坑攻擊為代表的攻擊手段使得信息泄密事件頻發(fā)，為信息系統(tǒng)帶來巨大威脅。但由于國內(nèi)大部分組織和個(gè)人對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)認(rèn)知有限，尚未形成完善的技術(shù)手段和管理體系，導(dǎo)致我國網(wǎng)絡(luò)信息系統(tǒng)安全機(jī)制的完備性、安全防護(hù)強(qiáng)度和動(dòng)態(tài)適應(yīng)能力無法滿足強(qiáng)對(duì)抗環(huán)境和高安全的運(yùn)行需求。如今，信息化和數(shù)字化已成為政務(wù)、各企事業(yè)單位業(yè)務(wù)發(fā)展的重要手段，尤其對(duì)于具有大量重要信息化系統(tǒng)的央企來說，一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)空間是業(yè)務(wù)運(yùn)行和規(guī)模增長(zhǎng)的重要基礎(chǔ)，而網(wǎng)絡(luò)空間安全也正在成為構(gòu)建良好健康的網(wǎng)絡(luò)環(huán)境的關(guān)鍵一步。因此，我國亟須加強(qiáng)網(wǎng)絡(luò)安全管理，強(qiáng)化技術(shù)防護(hù)手段，以應(yīng)對(duì)當(dāng)今嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，保障我國的網(wǎng)絡(luò)安全。2央企動(dòng)態(tài)防御體系設(shè)計(jì)央企的重要業(yè)務(wù)系統(tǒng)面臨著更高的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，面對(duì)當(dāng)前不斷發(fā)展的攻擊手段，亟須采用更為先進(jìn)的安全設(shè)計(jì)理念，對(duì)央企現(xiàn)有傳統(tǒng)安全防護(hù)體系進(jìn)行升級(jí)優(yōu)化，使系統(tǒng)安全防護(hù)能力、安全運(yùn)營(yíng)能力、安全技術(shù)疊加演進(jìn)能力、威脅分析響應(yīng)和處置能力等方面均得到相應(yīng)提升，增強(qiáng)現(xiàn)有業(yè)務(wù)系統(tǒng)在應(yīng)對(duì)網(wǎng)絡(luò)攻擊和高級(jí)持續(xù)性威脅（AdvancedPersistentThreat，APT）時(shí)的容錯(cuò)性，真正實(shí)現(xiàn)從識(shí)別、防護(hù)、檢測(cè)、響應(yīng)到分析方面的動(dòng)態(tài)安全防護(hù)能力，并具備不斷疊加演進(jìn)的閉環(huán)安全防御和運(yùn)營(yíng)能力。央企動(dòng)態(tài)防御體系架構(gòu)如圖1所示。圖1央企動(dòng)態(tài)防御體系架構(gòu)央企動(dòng)態(tài)防御體系由基礎(chǔ)環(huán)境層、能力建設(shè)層、安全防護(hù)層和運(yùn)營(yíng)管控層4個(gè)層面組成。（1）基礎(chǔ)環(huán)境層：通過基礎(chǔ)環(huán)境層識(shí)別具有保護(hù)價(jià)值的軟硬件資產(chǎn)，優(yōu)化網(wǎng)絡(luò)架構(gòu)，使之具有縱深防御能力，并且塑造欺騙式網(wǎng)絡(luò)空間環(huán)境，進(jìn)一步增強(qiáng)系統(tǒng)受到攻擊后的容錯(cuò)性能。（2）能力建設(shè)層：基于防御框架的安全動(dòng)作和技術(shù)措施，從識(shí)別、檢測(cè)、防護(hù)、響應(yīng)、分析5個(gè)方面建設(shè)系統(tǒng)整體安全防御能力，優(yōu)化并更新安全防護(hù)產(chǎn)品，并使之能夠應(yīng)對(duì)對(duì)抗性戰(zhàn)術(shù)、技術(shù)以及公共知識(shí)庫（AdversarialTactics,Techniques,andCommonKnowledge，ATT&CK）威脅框架的各個(gè)攻擊技術(shù)點(diǎn)。（3）安全防護(hù)層：將防御框架的技術(shù)措施和安全策略按照業(yè)務(wù)場(chǎng)景進(jìn)行配置，并通過對(duì)抗式威脅評(píng)估、自動(dòng)防御效能驗(yàn)證、安全防御基準(zhǔn)檢測(cè)等能力不斷驗(yàn)證安全防御性能，不斷完善和疊加演進(jìn)系統(tǒng)整體防御能力。（4）運(yùn)營(yíng)管控層：通過完善原有態(tài)勢(shì)感知平臺(tái)的分析和響應(yīng)處置能力，增加以威脅情報(bào)驅(qū)動(dòng)的安全分析能力，并結(jié)合人工分析研判以及威脅獵殺的能力，從而形成閉環(huán)完善的安全運(yùn)營(yíng)體系。央企動(dòng)態(tài)防御體系以網(wǎng)絡(luò)空間安全威脅防護(hù)為基礎(chǔ)，以閉環(huán)的安全運(yùn)營(yíng)能力為核心，面向央企業(yè)務(wù)場(chǎng)景及流程，有效增強(qiáng)主動(dòng)防御能力，提升防御措施疊加演進(jìn)能力，擴(kuò)大網(wǎng)絡(luò)空間欺騙環(huán)境塑造能力，配合威脅情報(bào)驅(qū)動(dòng)分析，基于威脅分析的安全理念對(duì)可能受到攻擊的資產(chǎn)進(jìn)行全面梳理，并從攻擊源、攻擊手段、攻擊技術(shù)、產(chǎn)生影響等多個(gè)方面進(jìn)行詳細(xì)分析，通過安全防御動(dòng)作和技術(shù)措施對(duì)威脅點(diǎn)進(jìn)行覆蓋，從而全面分析央企當(dāng)前所需的全部安全防護(hù)能力，并將能力組裝到系統(tǒng)中。同時(shí)，采用ATT&CK威脅框架的攻擊技術(shù)對(duì)系統(tǒng)防御效能進(jìn)行測(cè)試驗(yàn)證，不斷優(yōu)化央企安全防御能力，實(shí)現(xiàn)多維度、多層次的威脅對(duì)抗能力，形成全面的動(dòng)態(tài)防御體系以及可閉環(huán)的運(yùn)營(yíng)體系，并構(gòu)建面向日常安全運(yùn)營(yíng)工作的觀察、判斷、決策、執(zhí)行（Observe,Orient,Decide,Act，OODA）循環(huán)和面向安全治理、策略調(diào)整的計(jì)劃、執(zhí)行、檢查、處理（Plan,Do,Check,Act，PDCA）循環(huán)的雙安全驅(qū)動(dòng)引擎。閉環(huán)運(yùn)營(yíng)體系架構(gòu)如圖2所示。圖2閉環(huán)運(yùn)營(yíng)體系架構(gòu)通過PDCA循環(huán)過程，持續(xù)不斷地對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)環(huán)境進(jìn)行威脅評(píng)估、防御效能驗(yàn)證，不斷發(fā)現(xiàn)問題、疊加演進(jìn)安全措施、提升防御能力、刻畫高容錯(cuò)性網(wǎng)絡(luò)空間環(huán)境，持續(xù)驅(qū)動(dòng)安全能力建設(shè)得到不斷提升；通過OODA循環(huán)過程，及時(shí)發(fā)現(xiàn)安全威脅，進(jìn)行深度分析和響應(yīng)處置，并通過威脅情報(bào)驅(qū)動(dòng)的方式對(duì)威脅進(jìn)行有效獵殺和溯源，持續(xù)修復(fù)相關(guān)漏洞，驅(qū)動(dòng)技術(shù)措施的更新調(diào)整和運(yùn)營(yíng)能力的提升。3央企動(dòng)態(tài)防御體系構(gòu)成3.1建立對(duì)抗式威脅評(píng)估能力央企信息系統(tǒng)種類多、數(shù)據(jù)量大，包括各類業(yè)務(wù)、辦公、經(jīng)營(yíng)、管理等應(yīng)用和數(shù)據(jù)。在面對(duì)不斷變化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，需要采用模擬對(duì)抗式的評(píng)估方式，利用安全威脅分析作為央企重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的基本防范依據(jù)，梳理業(yè)務(wù)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值，構(gòu)建場(chǎng)景化威脅響應(yīng)，分析威脅影響的資產(chǎn)并結(jié)合資產(chǎn)價(jià)值對(duì)風(fēng)險(xiǎn)后果進(jìn)行預(yù)判，以威脅對(duì)抗為核心梳理威脅點(diǎn)，對(duì)網(wǎng)絡(luò)攻擊影響進(jìn)行模擬分析，增強(qiáng)網(wǎng)絡(luò)安全規(guī)劃、安全能力疊加演進(jìn)以及安全推演的能力。通過推演工具驗(yàn)證防御措施的有效性，從而發(fā)現(xiàn)在高對(duì)抗場(chǎng)景下系統(tǒng)的風(fēng)險(xiǎn)點(diǎn)以及當(dāng)前安全防御措施的不足或亟待改進(jìn)優(yōu)化的地方。3.2建立安全防御效能驗(yàn)證能力目前，各央企基于網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求建立自身安全防護(hù)體系。在面對(duì)不斷變化的網(wǎng)絡(luò)威脅時(shí)，需要對(duì)現(xiàn)有安全技術(shù)能力進(jìn)行持續(xù)的有效性驗(yàn)證，以保證現(xiàn)有安全手段能夠有效覆蓋絕大部分網(wǎng)絡(luò)威脅?；贏TT&CK威脅框架各項(xiàng)攻擊技術(shù)點(diǎn)，掃描并收集主機(jī)信息、匹配漏洞、建立會(huì)話、收集信息、提權(quán)、跳板等，模仿攻擊技術(shù)實(shí)現(xiàn)對(duì)央企內(nèi)部網(wǎng)絡(luò)中各項(xiàng)資產(chǎn)安全防御能力的驗(yàn)證。針對(duì)系統(tǒng)主機(jī)、網(wǎng)絡(luò)設(shè)備、物聯(lián)網(wǎng)設(shè)備等進(jìn)行防御效能驗(yàn)證，驗(yàn)證過程完全匹配ATT&CK威脅框架攻擊技術(shù)點(diǎn)，模擬真實(shí)攻擊過程，對(duì)網(wǎng)絡(luò)目標(biāo)進(jìn)行漏洞攻擊、缺陷攻擊及網(wǎng)絡(luò)釣魚攻擊等。3.3建立安全防御基準(zhǔn)檢測(cè)能力針對(duì)業(yè)務(wù)系統(tǒng)的防護(hù)需求和基礎(chǔ)安全能力，各央企積極建設(shè)自身安全基線，用于指導(dǎo)后續(xù)安全配置或變更。在面對(duì)業(yè)務(wù)應(yīng)用的發(fā)展以及網(wǎng)絡(luò)威脅的變化時(shí)，需要通過總結(jié)各類關(guān)鍵安全防御動(dòng)作和技術(shù)措施，形成防御能力體系，基于此體系形成防御效能驗(yàn)證功能，用于檢驗(yàn)央企各業(yè)務(wù)系統(tǒng)防御能力覆蓋情況，從識(shí)別、防護(hù)、檢測(cè)、響應(yīng)和分析等方面對(duì)安全動(dòng)作與技術(shù)措施進(jìn)行逐一枚舉和驗(yàn)證，支撐安全能力檢驗(yàn)、提升防御能力，實(shí)現(xiàn)通過體系化安全能力建設(shè)達(dá)成檢測(cè)、干擾、阻斷和呈現(xiàn)攻擊者殺傷鏈的目標(biāo)。并且，通過增強(qiáng)欺騙式網(wǎng)絡(luò)環(huán)境構(gòu)造環(huán)節(jié)，加大防御縱深、構(gòu)筑欺騙環(huán)境，大大提高系統(tǒng)整體容錯(cuò)能力。3.4建立欺騙式防御能力目前，各央企基于網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求建設(shè)了分區(qū)分域的網(wǎng)絡(luò)架構(gòu)，形成了縱深防御能力。但面對(duì)不斷變化的網(wǎng)絡(luò)攻擊時(shí)，仍無法避免網(wǎng)絡(luò)入侵、遠(yuǎn)程控制等安全威脅，因此應(yīng)提升自身網(wǎng)絡(luò)空間的塑造能力。通過建設(shè)蜜罐等欺騙式防御系統(tǒng)，增強(qiáng)央企網(wǎng)絡(luò)空間環(huán)境的可塑性，形成主動(dòng)的威脅捕獲能力，提供包括網(wǎng)絡(luò)設(shè)備仿真、Web仿真、數(shù)據(jù)庫仿真、操作系統(tǒng)仿真、系統(tǒng)服務(wù)仿真、應(yīng)用服務(wù)仿真等持續(xù)豐富的仿真能力，能夠生成威脅事件、攻擊鏈等溯源信息。采用高低交互結(jié)合的方式進(jìn)行仿真，高交互仿真資產(chǎn)為真實(shí)的服務(wù)，擅長(zhǎng)深度偽裝、捕獲深度攻擊；低交互仿真資產(chǎn)為仿真的服務(wù)，擅長(zhǎng)廣度偽裝，覆蓋多種類的服務(wù)類型且性能要求較低，高低交互結(jié)合不僅覆蓋了仿真深度，也覆蓋了廣度，從而實(shí)現(xiàn)仿真程度最大化。3.5建立安全態(tài)勢(shì)分析處置能力安全管理中心是各央企網(wǎng)絡(luò)安全能力建設(shè)中必不可少的一環(huán)。目前，安全管理中心基本具備安全監(jiān)測(cè)、實(shí)時(shí)告警的能力，但面對(duì)重要業(yè)務(wù)系統(tǒng)安全告警時(shí)，需要及時(shí)發(fā)現(xiàn)并完善央企當(dāng)前安全態(tài)勢(shì)感知的深度分析和響應(yīng)處置功能，利用安全威脅深度分析、漏洞挖掘、響應(yīng)處置等能力，實(shí)現(xiàn)從威脅檢測(cè)、分析、處置、追溯，到優(yōu)化調(diào)整的閉環(huán)處置流程。通過對(duì)網(wǎng)絡(luò)流量的捕獲、還原與分析，實(shí)現(xiàn)對(duì)文件的深度分析和鑒定，全方位地展示網(wǎng)絡(luò)中惡意事件和惡意代碼的傳播態(tài)勢(shì)。通過對(duì)安全威脅進(jìn)行綜合分析，在原有安全態(tài)勢(shì)全面感知和及時(shí)預(yù)警的基礎(chǔ)上，實(shí)現(xiàn)對(duì)威脅的深度分析、精準(zhǔn)溯源和快速處置，降低系統(tǒng)安全風(fēng)險(xiǎn)。3.5.1深度分析通過對(duì)多渠道匯聚的數(shù)據(jù)信息進(jìn)行分析、挖掘、關(guān)聯(lián)，確定網(wǎng)絡(luò)攻擊的種類、數(shù)量，追蹤攻擊來源、目標(biāo)等。同時(shí)，針對(duì)分析結(jié)果進(jìn)行功能性的統(tǒng)計(jì)，并以清晰、直觀、形象的視圖與表格進(jìn)行展示。3.5.2精準(zhǔn)溯源通過數(shù)據(jù)監(jiān)測(cè)與分析，實(shí)時(shí)掌握系統(tǒng)監(jiān)測(cè)能力覆蓋范圍內(nèi)的安全態(tài)勢(shì)，基于監(jiān)測(cè)數(shù)據(jù)，同時(shí)配合威脅情報(bào)驅(qū)動(dòng)威脅分析，針對(duì)攻擊者的攻擊工具、攻擊資源、攻擊手段進(jìn)行全面揭示，形成精準(zhǔn)追蹤溯源的能力。3.5.3快速處置通過安全監(jiān)測(cè)、關(guān)聯(lián)分析、情報(bào)驅(qū)動(dòng)等過程對(duì)安全趨勢(shì)、威脅、攻擊等情況進(jìn)行深度分析、研判，對(duì)威脅進(jìn)行預(yù)警并生成處置方案，創(chuàng)建相應(yīng)的處置任務(wù)，結(jié)合自動(dòng)化分析和人工研判，進(jìn)行威脅快速處置。3.6建立情報(bào)驅(qū)動(dòng)分析能力央企作為我國重要經(jīng)濟(jì)支柱，每日都會(huì)面對(duì)大量來自境內(nèi)外的、具有針對(duì)性的網(wǎng)絡(luò)探測(cè)、攻擊等情況，為有效應(yīng)對(duì)央企內(nèi)部重要業(yè)務(wù)系統(tǒng)在高對(duì)抗場(chǎng)景下的威脅，通過向量級(jí)的威脅情報(bào)能夠?qū)ν{進(jìn)行有效理解和預(yù)測(cè)。通過深入研究威脅信息，實(shí)現(xiàn)多源數(shù)據(jù)綜合研究，從而達(dá)到對(duì)風(fēng)險(xiǎn)的有效認(rèn)識(shí)。同時(shí)，通過具體的威脅分析、攻擊利用方法以及攻擊者數(shù)據(jù)幫助研究機(jī)構(gòu)預(yù)防攻擊行為。通過威脅信息驅(qū)動(dòng)研究可以有效支持安全事件深度研究，針對(duì)攻擊者的威脅手段、攻擊來源、攻擊方式做出充分闡述，實(shí)現(xiàn)跟蹤溯源的功能，并在很大程度上減少搜集情報(bào)和威脅分析時(shí)間，在關(guān)鍵系統(tǒng)和數(shù)據(jù)受損之前最大限度地縮短事件響應(yīng)時(shí)間并中斷殺傷鏈。在戰(zhàn)略層面全面了解攻擊對(duì)手，為及時(shí)做出決策和采取行動(dòng)提供重要的支撐。3.7建立威脅獵殺能力構(gòu)建一個(gè)完善的安全防護(hù)體系需要將技術(shù)能力與運(yùn)營(yíng)能力相結(jié)合。各央企經(jīng)過多年的網(wǎng)絡(luò)安全能力發(fā)展，目前已建成穩(wěn)定的安全防護(hù)技術(shù)能力，并具備經(jīng)驗(yàn)豐富的維護(hù)人員，通過自動(dòng)化檢測(cè)配合人工分析研判的方式，能夠?qū)ρ肫笾匾獦I(yè)務(wù)系統(tǒng)面臨的安全威脅進(jìn)行深度分析和有效獵殺。在處置威脅過程中，配合人工進(jìn)行取證分析、事件定性、深度關(guān)聯(lián)分析、溯源分析等工作，補(bǔ)充和修正自動(dòng)威脅分析的結(jié)果。人工分析研判流程：首先，對(duì)網(wǎng)絡(luò)安全設(shè)備日志、系統(tǒng)日志、Web日志、用戶日志等原始數(shù)據(jù)進(jìn)行收集、處理及分析研究，對(duì)異常流量進(jìn)行分析，通過逆向工程對(duì)樣本代碼語義及功能展開分析等；其次，將各個(gè)威脅事件之間進(jìn)行有效關(guān)聯(lián)，通過過濾、聚合、去偽存真，發(fā)掘事件之間的真實(shí)聯(lián)系；最后，綜合分析結(jié)果給出相應(yīng)的威脅處置方案。同時(shí)，以數(shù)據(jù)為采集和處理的對(duì)象，通過自動(dòng)化威脅獵殺工具實(shí)現(xiàn)知識(shí)與情報(bào)驅(qū)動(dòng)的自動(dòng)化關(guān)聯(lián)分析，從而對(duì)系統(tǒng)中的未知威脅、高級(jí)威脅等進(jìn)行清除。4央企動(dòng)態(tài)防護(hù)技術(shù)組成4.1基于關(guān)鍵安全動(dòng)作的防御效能驗(yàn)證分析技術(shù)在央企的防護(hù)能力建設(shè)中，安全動(dòng)作是針對(duì)網(wǎng)絡(luò)攻擊的防護(hù)和處置的關(guān)鍵操作，對(duì)安全動(dòng)作有效性的驗(yàn)證直接影響央企的安全防御能力。將央企所需的關(guān)鍵安全動(dòng)作作為防御能力定義的核心，從識(shí)別、防護(hù)、檢測(cè)、響應(yīng)和分析等方面對(duì)安全動(dòng)作與技術(shù)措施進(jìn)行枚舉，聚合關(guān)鍵安全動(dòng)作形成矩陣化描述，支撐安全能力檢驗(yàn)，提升防御能力，通過體系化安全能力的建設(shè)實(shí)現(xiàn)檢測(cè)、干擾、阻斷和呈現(xiàn)網(wǎng)絡(luò)攻擊的目標(biāo)。4.2多維、多層的人機(jī)結(jié)合分析技術(shù)目前，各央企已建設(shè)了大量應(yīng)用系統(tǒng)，面對(duì)每日安全監(jiān)測(cè)中出現(xiàn)的大量告警，需圍繞業(yè)務(wù)分析層、日志分析層、情報(bào)分析層3個(gè)層面，對(duì)央企業(yè)務(wù)系統(tǒng)的安全告警進(jìn)行威脅、脆弱性、異常、安全狀態(tài)等多方面的分析，并結(jié)合多種關(guān)聯(lián)要素將具備相關(guān)性的安全告警進(jìn)行歸并。同時(shí)，結(jié)合自動(dòng)化分析和人工分析研判手段，對(duì)分析、處置狀態(tài)進(jìn)行持續(xù)監(jiān)測(cè)，持續(xù)更新事件庫，生成分析結(jié)果并完善自動(dòng)分析檢測(cè)能力，形成完整的閉環(huán)，減少誤報(bào)，有效定位威脅，提升網(wǎng)絡(luò)安全事件分析效率。首先，基于威脅告警信息上報(bào)的結(jié)果日志，自動(dòng)抽取攻擊來源、攻擊載荷、受害者、目標(biāo)載荷，采用關(guān)聯(lián)分析技術(shù)，將威脅告警日志關(guān)聯(lián)對(duì)應(yīng)的威脅情報(bào)信息，將分散的告警信息形成基于ATT&CK的攻擊圖譜分析。其次，基于自動(dòng)分析的結(jié)果，由系統(tǒng)提供流程式、向?qū)降娜藱C(jī)交互分析方法，通過自動(dòng)化信標(biāo)關(guān)聯(lián)分析、人工數(shù)據(jù)探索排查分析、人工聚合分析三步，補(bǔ)充和修正自動(dòng)威脅分析的結(jié)果，實(shí)現(xiàn)威脅告警事件鏈的明晰化，從而對(duì)威脅告警實(shí)施定性判定。最后，基于自動(dòng)化分析、人工分析研判以及持續(xù)追蹤監(jiān)測(cè)的結(jié)果進(jìn)行綜合的威脅評(píng)估，通過對(duì)威脅事件所形成的攻擊技術(shù)、攻擊階段、資產(chǎn)失陷狀態(tài)、業(yè)務(wù)影響情況、攻擊者/攻擊組織等多維度進(jìn)行綜合評(píng)估，完善對(duì)威脅的理解。4.3面向海量異構(gòu)的威脅情報(bào)知識(shí)圖譜構(gòu)建技術(shù)央企具有業(yè)務(wù)種類多、重要程度高等特點(diǎn)，并且易遭受APT攻擊。在面對(duì)此類安全風(fēng)險(xiǎn)時(shí)，應(yīng)利用多元化、智能化、體系化的分析方法，對(duì)惡意代碼進(jìn)行深度的多維基因（特征）向量提取、多源異構(gòu)數(shù)據(jù)融合、關(guān)聯(lián)同源分析等操作，構(gòu)建央企海量異構(gòu)的威脅大數(shù)據(jù)、多源的威脅情報(bào)數(shù)據(jù)、碎片化的威脅知識(shí)圖譜，實(shí)現(xiàn)對(duì)特定場(chǎng)景下全量威脅數(shù)據(jù)的融合分析與深度挖掘，達(dá)到全面揭示威脅事件的攻擊工具、攻擊技術(shù)、攻擊資源、攻擊組織的目的。該技術(shù)為安全事件監(jiān)測(cè)預(yù)警與人工分析研判提供高價(jià)值樣本數(shù)據(jù)，為追蹤溯源提供更加全面的數(shù)據(jù)支撐。利用