SCI论文(www.lunwensci.com):
摘要:本文对目前企业数字化转型升级过程中面临的信息安全问题进行了分析,并结合态势感知技术的优势,提出构建基于态势感知的主动防御体系,以满足企业信息安全建设要求和等保合规要求,提升企业网络安全风险发现能力和应急处置能力,最终提升企业网络安全防御能力。
关键词:数字化;风险;态势感知;防御
Research on Constructing Enterprise Active Defense System with Situational Awareness Technology
Bi Xiaodong
(Zhejiang Technical Institute of Economics,Hangzhou Zhejiang,310018)
Abstract:Through the analysis of the enterprise digital transformation and upgrading in the process of information security problems,and combined with the advantages of situational awareness technology,put forward to build active defense system based on situational awareness,meet the requirements of enterprise information security construction and compliance requirements,improve enterprise network security risk discovery ability and emergency disposal ability.Finally,improve the enterprise network security defense ability.
Key words:digital;risk;situational awareness;defense
一、企业在数字化转型升级过程中的信息安全问题
随着国家数字化转型升级的不断推进,大多数企业为了满足业务发展需要,建立了信息系统。在信息化、数字化水平不断提升的同时,企业面临的信息安全问题也日渐突出。
全球新一轮科技革命和产业变革正在加速演进,世界经济数字化转型成为大势所趋。5G、人工智能、云计算等新技术不断涌现,互联网行业涌入新动能的同时,网络安全风险问题也日益凸显[1]。以往被动的、机械式的防御技术已经难以满足我国企业信息安全建设的需要,安全防御策略也逐渐由被动防御向主动防御转变。
二、目前企业信息安全建设存在的问题
(一)以传统的被动防御策略为主
随着企业信息化程度的不断提升,网络安全事件频发,外部威胁变化加快。部分企业的网络安全架构是基于P2DR安全模型构建的,其本质是以策略为中心的静态、被动、防御性思维,缺乏对未知威胁和新型威胁的应对手段[2]。
而网络安全事件频发的本质是攻守双方能力的不对等。黑客作为攻击方可以做到速战速决,而防守方(企业)为了及时发现外部入侵并控制安全事件带来的不利影响,通常需要耗费大量的时间成本和人力成本。在外部威胁变化越来越快的今天,企业仅依靠自身的安全能力已经难以有效应对安全风险。
(二)企业资产数量多、风险不可视
随着企业信息化程度不断提升,企业的信息资产规模日益扩大。大量企业的信息管理人员对自己公司的信息资产分布不清楚,给网络安全管理造成了一定的困难。由于缺乏自动化的感知手段,部分企业需要靠人工操作,企业对变更资产和新增资产也缺乏有效管理。若工作人员不能及时发现“僵尸”信息资产和未知信息资产,企业在护网期间则极易被攻击。此外,由于缺少可视化工具,不能明确受到攻击的资产系统有没有漏洞,因此管理人员不能掌握企业面临的安全风险情况。
(三)安全事件溯源难度大、处置效率低
目前,部分企业的相关设备之间相互独立,缺乏联动,网络事件处置仍需厂商上门排查。企业设备每天产生海量的安全告警,设备关联程度低、误报严重、可读性差,由于自动化程度低,因此需要专业网络安全人员干预。而人员有限,各部门成员要承担大量的日常安全管理工作,根本无暇顾及安全事件的溯源工作。
(四)数字化转型升级给企业网络安全带来了新的挑战
当前,数字化转型升级在各行各业迅速展开。作为重要的经济主体之一,数千万家中小企业的数字化转型备受关注。在数字时代,网络安全无疑发挥着“基石”的作用。在企业数字化建设过程中,企业网络安全问题和风险问题尤为突出,网络攻击、勒索病毒、数据窃取等全球范围内的网络安全重大事件频发。对企业而言,网络攻击已经成为吞噬企业利润的最大威胁,加强网络安全保护成为企业发展的重中之重。
除了来自网络攻击者的挑战,企业在数字化转型和全面上云过程中,尤其是在多云环境和混合云环境下,企业传统云端网络边界消失,传统业务和IT运营模式不断被颠覆,网络安全问题因此也不断加剧[3]。从用户层面来看,近年来,分散的办公模式越来越明显,并且混合办公模式将长期存在,用户则希望能够随时随地用任意设备进行网络连接;从安全威胁层面来看,目前网络攻击威胁来自不同的攻击者,包括高级持续性威胁团体、内部威胁等,并且他们的共通点在于布局的全球化;从企业应用程序来看,过去企业将自身应用程序部署在总部或者是一到两个大的数据中心,但如今企业的应用程序存在于多个云位置中。
因此,如何构建企业内部的主动防御平台,自动实时发现、识别威胁,进而进行相应的应急处理变得非常重要。
三、基于态势感知的主动防御体系构建
(一)JDL(JointDirectorsofLaboratories)模型
JDL模型是面向数据融合的模型,如图1JDL模型所示,其处理过程为先对来自信息源的数据进行预处理,包括各种操作系统和不同应用程序的日志、企业防火墙日志、入侵检测系统警报、弱点扫描分析系统结果等的数据预处理;而后对数据进行一级处理,主要是对数据进行分类、校准、关联、融合,并对提炼后的数据进行规范化处理;提炼后的数据进入二级处理,主要是对融合后的数据信息进行态势评估,评估当前的安全状况;三级处理主要是对存在的各种威胁进行安全评估,评估当前、未来可能发生的各种攻击及威胁变化趋势;四级处理是对整个过程进行提炼,通过实时动态监控信息的反馈不断优化过程;五级处理是对认知进行提炼升华,并根据监控结果不断改善人机交互方式,提高人机交互能力和效率,让网络安全人员更加直观地了解网络中发生的事件。
(二)基于JDL模型的态势感知平台工作流程
近年来,以网络安全态势感知技术为核心的产品得到迅速发展。国内各大主流安全厂商均推出了自己的网络安全态势感知产品,而网络安全态势感知技术也带动了企业整个安全防护体系和防护理念的再次升级,提升了企业的信息安全防护能力[4]。网络态势感知主要以实现企业网络安全建设为目标,从以前的满足合规需要向聚焦增强企业网络安全防御和威慑能力转变,并且更加注重对抗性,能为更强大的威胁分析做技术支撑,且对攻击检测的对象也从已知威胁转变为未知威胁。网络态势感知主要通过大态势感知、数据分析、异常检测、机器学习等技术实现对高级位置威胁的检测和识别,从而对威胁预警[5]。此外,网络态势感知对安全威胁的响应已从早期人工分析和处置转为自动响应。
通过对JDL模型的分析,设计态势感知平台的工作流程如下。
1.数据采集处理
态势感知平台通过采集企业整个网络设备(防火墙、IDS等安全设备)的流量及各种服务器操作系统产生的日志、各种中间件的日志数据作为安全态势感知平台的源数据。
2.资产风险梳理
态势感知平台通过主动探测、流量分析、安全代理和文档导入,对企业网络中的各种信息资产分布及存在的安全风险进行全面梳理,并在梳理过程中把企业核心信息资产作为重中之重。
3.威胁建模分析
威胁建模能帮助平台识别风险,减少风险敞口,指导安全测试,并降低因安全漏洞造成的损失。威胁建模通过对安全威胁进行持续监测分析(包括外部安全威胁、内部横向的威胁与异常行为),全方位保护企业的网络资产。
图 1 JDL 模型处理流程 4.态势展示
以可视化图形方式对企业的整个网络安全情况进行全态势、全方位展示,能够让企业相关人员实时了解当前网络的安全情况及具体原因。
5.溯源取证
溯源取证能明确具体攻击是如何进来的,当前的危害程度如何,对内外网造成了什么影响,攻击入口点是哪里,便于网络安全人员及时溯源、应急处理。
6.自动应急响应
自动应急响应能对发生的安全事件做到自动化编排响应,并根据不同类型的资产、事件的风险等级采用不同响应处置策略。
(三)基于主动防御的态势感知平台模块构成
态势感知系统架构由多层组成,包括采集探针、数据中心、数据分析、态势应用。系统的数据来源支持互联网数据、专网数据及第三方数据。系统融合多种数据检测手段,包括网络资产探测系统、终端检测防护系统、网站检测系统、流量类检测系统、独立日志采集等。态势感知平台包括以下模块。
1.智能监控管理
实现对IT基础层的路由交换设备、防火墙等安全设备、windows等企业服务器、数据库等及资源关联的端口、系统服务、日志等的全面监管,能够帮助企业网络安全运维人员及时了解企业IT资产的运行情况,统一监控企业信息资产。
2.安全运维服务管理
安全运维服务管理是安全管理、日常工作和服务管理的有机结合。运维服务管理子系统依托运维管理最佳实践和实际管理需求,能为企业提供服务流程管理、业务资源管理、网络安全管理为主的综合性管理,保障企业运维管理的规范化与标准化,从而提升企业日常运维管理效率,降低运维的难度。
3.信息采集与分析
该子系统将采集不同厂商、不同设备的日志信息,并针对采集的各类安全要素信息,实现性能与可用性分析、脆弱性分析、宏观态势分析。该系统可以根据前期从各种网络设备、服务器、应用等对象收集的各种安全资源、安全事件、配置、漏洞、资产信息等数据进行规范化处理,把各种不同表达方式的日志转换成统一的形式。
4.安全隐患预警与处置
相关人员采用主动管理方式,能够在威胁发生之前进行相应的安全管理。该方式主要提供安全威胁预警管理、主动漏洞扫描管理、主动攻击测试等,能配合企业进行全方位网络安全核查。
5.分级预警管理
系统提供所有事件预警的统一管理。预警消息能按照应用类别、消息种类、消息级别和对应岗位进行分类分级处理。实现积极防御、综合防范是加强预警网络安全的重要方面。
6.风险管理
风险管理是指在网络安全信息分析与处理的基础上进行网络信息安全风险评估、整改等工作。信息安全风险评估需要根据网络安全信息分析结果开展风险评估。将风险评估结果形成丰富而详细的可视化报表,方便企业相关人员查看。
四、结语
本文通过对目前企业数字化转型升级过程中,企业面临的种类繁多的网络安全风险进行分析,进而提出借助JDL模型构建企业态势感知主动防御平台,解决目前企业安全管理中IT资产不清、风险点容易遗漏、网络安全人才缺失、应急处置能力不足等问题。态势感知平台能促使企业网络管理和运维人员从全局视角提升安全威胁识别、分析和处理的能力,协助企业网络安全管理工作落地。此平台还能帮企业形成行业网络安全监测预警、通报中心、安全应急处置中心,提升整个企业、行业的态势感知能力,增强企业网络安全防御和威慑能力,提升企业网络安全防护能力,助力和加快企业的数字化转型升级。
【参考文献】
[1]王慧强,赖积保,朱亮.网络态势感知系统研究综述[J].计算机科学,2006(10).
[2]张勇,谭小彬,崔孝林,奚宏生.基于Markov博弈模型的网络安全态势感知方法[J].软件学报,2011(03).
[3]杨胜春,汤必强,姚建国,李峰,於益军,冯树海.基于态势感知的电网自动智能调度架构及关键技术[J].电网技术,2014(01).
[4]席荣荣,云晓春,金舒原,张永铮.网络安全态势感知研究综述[J].计算机应用,2012(01).
[5]杜嘉薇,周颖,郭荣华,等.网络安全态势感知:提取、理解和预测[M].北京:机械工业出版社,2018.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/43713.html
