大唐清苑热电有限公司 河北保定 07100
摘要:本文针对传统的网络安全管理方式进行了简要介绍,指出了存在的问题;对新形势下利用大数据进行分析的态势感知系统的原理进行了分析,并描述了在电厂中的应用及解决的问题,同时对未来研究方向提出了展望。
关键词:网络安全 态势感知
目前,网络已成为陆、海、空和太空后的第五空间,也是成为大国之间最有可能发生对抗的空间。全球网络安全形势异常严峻,个人信息与商业数据遭遇大规模泄露与违规利用,同时针对关键信息基础设施的恶意网络攻击频发,各国在网络空间对抗态势进一步加剧。2010年10月影响了伊朗核离心机的震网病毒事件;2017年全球爆发勒索病毒;2019年3月黑客攻击委内瑞拉电网大范围的停电事件,损失惨重。面对新情况,如何加强网络安全建设,更好地应对网络安全威胁,更有力地保障国家安全,成为各国刻不容缓的重要课题。
一、传统网络安全防护模式
传统的网络安全防护,利用防火墙在出口做了访问控制,利用终端准入解决了接入问题,利用杀毒软件解决终端杀毒问题。虽然在一定程度上可以解决网络安全隐患,但随着日益发展的新形势,传统模式存在如下问题:
1.1网络情况不清楚,网络安全不安全不知道
网络的运行情况如何,不得而知;安全设备如果没有警告,不能保证网络没有问题。如果网络有问题,属于“敌暗我明”,不是看不到问题就没有问题!
1.2、哪里不安全不清楚
即使存在黑客渗透、内部员工不安全行为、终端或服务器感染了等不安全的行为,不能定位,网络安全隐患存在进一步扩大的风险。
1.3、造成了什么危害不清楚
办公服务器被黑了,修复好了问题就得到解决了吗?答案是否定的,修复的得到解决了,那被感染了的呢?防不胜防的跳板攻击核心业务,信息泄露而不自知。
基于传统模式存在如上问题,新形势下的态势感知平台系统应运而生。
二、态势感知系统的基本原理
态势感知可以看作为企业的网络安全大脑,它是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。
态势感知系统将传统安全设备或系统的安全告警作为参考数据,充分利用原始的网络流量、主机行为日志等数据对原始行为进行记录和分类;利用互联网威胁情报,通过大数据技术进行分析和研判,提升安全事件挖掘准确率。通过态势感知系统的部署,能够将原有各业务系统相互独立的网络安全信息进行整体管控,能够直观地了解到全网当前的网络信息安全状态以及发展趋势,将原有的“亡羊补牢”式的补漏工作转化为“主动防御”式的网络信息安全规范处理流程。
态势感知系统主要从两个方面实现网络信息安全的主动防御:信息安全状态的预警监控和数据分析;根据情报数据库和大数据分析结果,辅助网络安全运维人员进行安全问题分析和处置
三、态势感知平台在电厂的应用
公司在2019年初内外网分离后,从互联网的网络安全威胁大大降低,但同时,内部的网络安全风险不断严峻,于是在2019年9月份,部署了态势感知系统,公司的态势感知系统的应用状况如下。
3.1 监控中心
监控中心是系统的展示平台,通过监控中心,网络管理者可以对网络情况总体把握。监控中心包括了综合安全感知、业务安全感知、威胁感知、资产感知、潜伏威胁黄金眼、风险服务器、风险终端、安全事件统计、EBA行为画像等,每个模块均可点进去查看详细信息。
3.2 处置中心
处置中心包括风险业务视角、风险终端视角、风险安全域视角、安全事件视角。其中风险业务视角主要是对应用服务器进行风险展示,并汇总了已处置服务器的记录,方便管理者对服务器进行整体把握处置。
3.3分析中心
分析中心包括三部分,第一部分范围分析包括外部威胁分析、横向威胁分析、外联威胁分析、文件威胁分析、邮件威胁分析等;第二部分为日志分析、第三部分为情报分析。因篇幅关系,不做详细介绍。
3.4 报告中心
报告中心为系统的结果分析中心,其包括综合安全风险分析报告、摘要报告、主机安全风险行为报告、脆弱性感知报告、外部威胁分析报告。根据管理者的不同需要,比如安全分析分析报告可以再细分为安全感知总览、安全事件分析、脆弱性分析等,管理者可以根据需要对报表导出,方便分析及汇报使用。
3.5 应用处置案例
公司自2019年9月在部署了态势感知系统后,迄今一年,共发现处理低等危险千余次,中等威胁百余次,高等危险数十次,其主要异常行为均在系统部署初期,目前网络运行正常。下面描述最近的一次中等威胁的处置案例,2020年4月9日,一台长期搁置计算机重新接入了厂网后,被网络巡视人员第一时间发现,网络管理人员快速定位,第一时间进行断网处理。
.png)
图3.3 案例信息
经过查询分析,本次异常行为属于内网试图扩散阶段已被管理者发现并处置,阻止了异常行为的扩散。
.png)
图3.4 阶段分析
自态势感知系统上线以来,我们制作了巡视表,并专门安排人员每日定时巡视,目前公司的网络安全得分长期在95分以上的优异成绩,有效地保障了公司的网络安全,同时也间接了为公司向社会供应稳定电力能源奉献了自己一份绵力。
四 总结与展望
态势感知系统的出现,使传统的被动防御转变到主动防御的改变,使得网络管理者可以及时掌握网络内部的不利因素及时消除,大大消除了网络隐患能力。同时,态势感知是检测发现威胁,处理异常还需管理者手动处理威胁,态势感知智能化发现并处置,可以作为态势感知下一步的研究方向。
作者简介:
赵洪波(1982-),硕士研究生,研究方向:网络安全、信息化。