随着国家网络安全建设及监督实施力度的不断加强,行业内控与合规要求的不断增强,重庆机场网络安全态势感知系统建设需要从物理安全、数据安全、应用安全等多个层面切入,涉及区域边界安全、互联网安全、终端安全、数据安全、云安全、工控安全、物联网安全、安全管理等多个安全防范着力点。通过基于大数据的安全管理系统将传统互相独立的分散防御技术进行整合、关联分析,以数据驱动安全为导向,建设一套立体化全方位的、集中的统一网络安全态势感知系统,构筑重庆机场整体网络安全体系、把控机场整体网络安全态势。
1、网络安全态势感知系统技术架构
由于态势感知系统涉及的网络安全信息大、种类多、结构复杂,又对数据处理的实时性、准确性和高效性等要求很高,因此需要具备大数据级别的数据综合处理技术。把大数据技术应用到态势感知系统建设中,借助大数据采集、处理、存储、分析等相关技术,对海量网络安全信息进行自动分析处理和深度挖掘,对网络的安全状态进行分析评价,感知安全威胁和网络趋势。基于大数据技术,网络安全态势感知主要由安全要素采集、安全态势分析、态势感知展示3部分组成,其技术架构如图1所示。
图1 网络安全态势感知系统技术架构
1.1 安全要素采集
网络安全数据采集要尽可能的广泛、全面和完整, 包括镜像流量、安全日志(防火墙、防毒墙、IPS、IDS、WAF、VPN、agile controller、EDR、堡垒机、上网行为管理、防病毒、漏洞平台、4A系统日志等全数据)、IT资源的资产信息、威胁情报、互联网出口流量全存储。数据采集方式常见的有syslog、SNMP、NetFlow 、agent等技术,对于大量多源异构数据,可采用分布式安全探针的方式,对数据进行集中采集,网络安全态势感知系统日志采集数据如图2所示。
图2 网络安全态势感知系统日志采集
1.2 安全态势分析
网络安全态势分析是态势感知系统的核心,主要功能是负责对接收来自安全要素采集中心的数据,根据超强大的分析引擎比如流式计算引擎、全文检索引擎,事件分析引擎,挖掘分析引擎,关联分析等进行威胁源分析、威胁目标分析、攻击步骤过程分析、影响及程度分析、风险分析。通过综合运用大数据挖掘与大数据融合、机器学习以及人机结合技术相结合进行信息监控、制定合规检测策略、发现网络攻击的蛛丝马迹并“看见”攻击行为的异常流量及应用行为、进行流信息全存储,从而保证网络空间的正常、有序。
1.3 态势感知展示
安全态势感知展示中心是态势感知系统的统一人机交互平台,对数据进行综合处理和关联分析,最终通过大量的态势呈现可视化技术,以web的方式为重庆机场展示面向全网业务资产防护的全局安全态势及包括漏洞、风险、异常行为等维度的安全态势信息,帮助用户感知隐患和威胁,进而提供决策支撑。
2、网络安全态势感知系统建设思路
网络安全态势感知系统建设对提升网络安全防护能力至关重要,要建好用好网络安全态势感知系统,离不开有效的技术平台、安全运营管理和安全人员能力建设。通过网络安全态势感知系统建设实现全面监测、动态分析预警、实现资产保护和业务连续性管理,并进行可视化展示;通过网络安全运营管理建设,建立健全各项安全管理制度、安全预警机制等,实现有效的安全决策和应急响应;通过技术人员能力建设,提高网络安全工作能力和安全事件处置能力,达到网络安全威胁事前防范、事中阻断、事后溯源。
2.1 引入威胁情报中心的建设
在网络安全态势感知系统建设中需重点关注安全数据中心和威胁情报中心的建设,本地安全数据中心建设,应覆盖全网安全信息源,建立相应数据采集点,尽可能多的采集网络中的各类流量数据、安全威胁和告警数据以及安全管理类数据信息,经过数据预处理后存储在安全数据中心。在安全数据中心的基础上,建设威胁情报分析中心,将威胁情报和本地的安全规则和安全数据中心的数据进行关联分析,从而发现网络中的威胁和异常,实现网络安全态势的评估和预测。为提升整体网络安全运营水平,提高态势预测的准确性和全面性,高质量的威胁情报数据必不可少,因此威胁情报中心在采集平台内部威胁情报数据的同时,还应收集融合外部的威胁情报数据(含第三方威胁情报库、CNDV漏洞库、CVE公共库、民航情报库、交通情报库、公安情报库、云情报库、沙箱等),建成全面的威胁情报采集及内部的威胁情报利用机制。
2.2 加强网络安全运营管理
态势感知平台建设完成后,若要充分发挥其作用,就需要加强网络安全运营管理,建立起相适应的网络安全管理机构和网络与信息安全管理制度。安全管理机构需要承担网络与信息安全管理工作,要制定网络与信息安全管理制度,提高监测发现和快速处置能力,因此需进一步明确定义管理机构的管理层次、角色、职责、权限、技能要求等,并配备专职的人员;在网络安全运营体系建设中,可结合实际从数据管理、漏洞管理、网络管理、终端管理、运维管理、流程管理、备份管理、资产管理、人员管理、风险管理、安全事件处置、应急响应等方面制定相应的安全管理制度和操作规程,并要求相关人员严格遵守。
2.3 加强网络安全人员队伍建设
面对网络安全威胁,其防护策略调整、响应处置等需要人来落实,高效及时的响应和处置,对运用网络安全最关键的因素“人”提出了很高的要求。因此,在网络态势感知建设中,安全人员队伍建设同平台建设、安全运营管理建设同等重要。一方面,加强安全人员网络安全意识教育、技能学习和团队建设,提高网络安全工作能力;另一方面,网络安全的本质是攻防对抗,应该以攻防视角看待网络安全,认清安全威胁,找准安全对手,借助安全厂商为安全人员提供模拟真实网络环境攻防训练和攻防竞赛的实战对抗,实现以练促学、以赛促学,实现安全人员攻防实战技能提升。
3、总结
近年来,随着重庆机场信息系统与网络的建设规模不断扩大以及日益增长的信息安全需求,传统的单一边界控制防护手段来保障重庆机场信息系统整体安全性已经无法满足要求,所以本文针对T3B即将要建设的网络安全态势系统的技术架构和建设进行了探讨。网络安全态势感知是一项复杂的系统工程,它是多项技术的复合与增强,不可能一步建设到位,因此要充分考虑信息化建设每一阶段的切实的安全需求,制定符合信息系统发展需求的阶段性安全规划,保证网络安全态势系统建设的合理性与可持续性。
来源:重庆机场信息通信网络有限公司,图、文:张松林
