现阶段繁杂艰巨的国际局势急需解决在我国发展趋势自主可控的基本硬件软件商品以及绿色生态全产业链,日趋健全的全产业链促进了网络国产化替代工程项目[1]的大范畴营销推广。一直以来,外界网络进攻及其内部结构危害等网络安全性事件不断产生,对于国内商品绿色生态搭建的网络,怎样全面融合自主可控全产业链的优点,提高网络安全运维与事件处置的工作能力,是网络安全运维工作人员关心的热点话题。
文中对于根据国内商品搭建的网络,选用专业的自动化网络运维管理方式方法,搭建网络安全运维[2]与事件自动化处置体制[3],根据搭建绿色生态内商品的多源数据预处理管理水平、国内基本硬件软件及其国内网络网络安全产品间互相协作的工作能力,完成网络全景图一体化安全性数据预处理管理方法[4],并进行网络内安全性事件迅速有效的自动化回应、处置。
1.网络安全运维与事件自动化处置详细介绍
现阶段国内绿色生态全产业链中网络网络安全产品日趋健全,已发生了多种多样安全防护设备及其设备监控与运维管理系统,为掌握网络安全性情况给出的数据基本。
网络安全运维[5][6]与事件处置致力于根据运用多源数据信息及时处理网络中具有的各种各样安全性影响和易损性,产生网络安全性事件,根据对网络安全性事件的综合分析,采取相应对策阻拦网络安全性事件的进一步蔓延,避免网络内基础设施建设毁坏和数据信息伪造、泄漏,确保网络内业务流程系统优化、平稳和高效率地运作。
网络安全运维中的事件自动化处置[7]根据事前界定好的系统化架构系统对开展监管,一旦做到开启标准,可以根据事先设定步骤,根据好几个机器设备或服务项目间的事件协作,完成事件的自动化处置。
网络安全运维与事件自动化处置技术性经历了2个关键的环节:安全信息及事件管理方法(security information and event management, SIEM)和安全性编辑、自动化及回应服务平台(security orchestration, automation and response, SOAR)。
安全信息及事件管理方法[8]SIEM最开始由日志管理方法技术性发展趋势而成,将安全性事件管理方法与安全性信息技术管理融合到一起对数据资料开展搜集、储存、剖析、调研和报告单来完成事件回应和调查取证。2017年Gartner明确提出了安全性编辑、自动化与事件回应[9],根据综合性数据采集、实例管理方法、规范化、工作流引擎和剖析紧密结合,界定事件回应步骤,最后完成自动化事件回应主题活动。
为了确保根据国内商品生态圈所搭建网络的身心健康、平稳运作,必须深入了解根据国内商品绿色生态所构建网络运维管理面对的新机遇和挑战,灵活运用商品生态圈的自主可控的优点,选用专业的网络安全运维与事件自动化处置技术性,设定朝向不一样风险性的粗粒度处置体制,摆脱每个网络安全产品及其系统软件各行其是、彼此之间不关系不连动的局势,产生全方位系統的一体化运维服务管理体系。
2.对于国内商品环境的网络安全性事件高效率管理方法运维管理核心技术
2.1 技术性架构
网络安全运维与事件自动化处置服务平台从网络网络安全产品获得日志和报警事件数据信息,在关键服务平台上全自动开展综合分析梳理,并最后做到安全性事件的自动化处置回应的目地。网络安全运维与事件自动化处置架构如下图1所显示。
图1 网络安全运维与事件自动化处置架构
2.2 根据SOAR的网络安全性事件管理方法与处置模块
网络安全性事件管理方法与处置模块根据专用型运维管理事件库,对接受的运维管理事件开展归类与储存,最终由SOAR模块完成事件判断与自动化回应[10],图2展现了网络安全性事件管理方法与处置模块的步骤架构图。网络安全运维工作人员可以融合国内商品绿色生态搭建的网络特性,根据不断认知网络的合规风险性及其别的隐敝的內部危害和网络攻击性行为,搭建专用型运维管理事件库。
系统软件根据工作流程模型与标明[11](business process model and notation, BPMN)技术性开展灵便、可配备的台本编辑[12],将工作人员、步骤、机器设备融合成统一的总体,依据运维管理情景订制高效的台本,进行事件判断与自动化回应,当有台本涉及到的报警事件产生时,网络安全性事件管理方法与处置模块便可以依照剧情开展(半)自动化回应,完成工作人员、步骤、机器设备无缝拼接结合。网络安全性事件管理方法与处置模块可以与一些专业设备的病毒防护管理体系开展有机结合,产生围绕安全性事件开启、判断剖析、处置、修复项目生命周期的自动化自我防御机制。
图2 网络安全性事件管理方法与处置模块步骤架构图
2.3 网络安全性事件归类
融合网络安全防护的差异要求,网络安全运维工作人员必须搭建网络内安全性事件种类库。当新的报警日志开启后,网络安全性事件管理方法与处置模块将依据报警事件的多层次特性,完成(半)自动化的网络安全性事件种类判断。网络安全性事件通常分成内部结构和外界事件,图3展现了一个非常典型的网络安全性事件归类场景图。
图3 网络安全性事件归类场景图
2.4 国内商品环境的多源数据预处理管理方法
国内绿色生态全产业链已包括监管与财务审计产品、病毒防护系统软件、真实身份辨别系统软件、运维系统等多种多样网络网络安全产品;为达到一些高安全级别网络较高的安全防护工作能力规定,对于信息内容I/O监管、可靠程序安装卸载掉监管等,也出現了配套设施的网络安全防护商品。以上商品为网络安全运维工作人员保证了大批量的报警日志的与此同时,也为运维管理工作人员提供了数据信息泛娱乐化、漏报率高的难点。因而,必须应对不一样报警事件种类,整理与其说密切相关的网络网络安全产品,根据绿色生态内多种多样网络网络安全产品插口间的互动,依照预订义文件格式规定,对多源报警日志开展数据预处理,转化成包括工作人员、机器设备、软件系统/手机软件、信息资源、网络进攻方式、系统漏洞等多方位的安全性事件叙述信息内容。
2.5 安全性事件的变化趋势与处置結果强烈推荐
攻击链常常被用来对事件形成原因剖析及其事件发展趋向的评定,攻击链[13]是对高級可持续性危害进攻(Advanced Persistent Threat, APT) 的攻击流程中每个进攻环节及其网络进攻生命期的描绘。融合外界情报信息、事件链之中的有关事件及其这种事件的搭配关联,将事件链中的事件投射成攻击链之中的差异的环节[14],产生可解读的安全性事件链,图4为事件链向攻击链投射的一个事例。
网络运维管理工作人员融合现阶段攻击性行为所在的环节和进攻未来发展发展趋势,灵活运用工作人员、机器设备、软件系统/手机软件、信息资源、网络进攻方式、系统漏洞等多方位信息内容,对历史时间类似安全性事件开展综合分析,为网络安全性事件管理方法与解决模块全自动强烈推荐有效的处置计划方案,具体指导模块进行事件的迅速处置回应[15]。
图4 事件链-攻击链信息内容投射图
3.总 结
文中根据专业的自动化网络运维管理方式方法,对网络安全运维与事件自动化处置体制核心技术开展讨论,根据搭建对于国内商品环境的网络安全性事件管理方法与自动化模块,结合网络安全性事件归类、多源数据预处理管理方法及其安全性事件变化趋势与处置結果强烈推荐的工作能力,根据国内商品绿色生态内设备间的协作,处理一直以来运维管理所遭遇的数据信息泛娱乐化、事件处置高效率不高等问题,完成网络内安全性事件的综合分析及其迅速有效的自动化回应、处置,提高国内商品环境的网络安全运维工作能力。
注:该文章发表于《信息安全研究》,第10期
论文参考文献
[1]胡志强。根据自主可控技术性的国产化替代具体描述[J]。网络室内空间安全性, 2018, 9(8): 1-1
[2]刘学。新时期的网络信息内容安全运维[J]。网络安全生产技术与运用 2020(1):7-8
[3]王理想化, 符睿。网络自动化运维服务技术性科学研究[J]。数字化用户, 2019, 25(10):24,26
[4]孙立雷。网络安全性管理系统中的数据预处理技术性[J]。电子信息技术与软件开发, 2018, 133(11):225-225
[5]Miloslavskaya N G 。Security operations centers for information security incident management[C]//Proc of IEEE Int Conf on Future Internet of Things & Cloud。Piscataway, NJ: IEEE, 2016:131-136
[6]Cichonski P, Millar T, Grance T, et al。Computer security incident handling guide[OL]。[2020-09-09]。https://nvlpubs。nist。gov/nistpubs/SpecialPublications/NIST。SP。800-61r2。pdf
[7]Carver M, DiValentin L W, Lefebvre M L, et al。Method and system for automated incident response: US, 9807120[P]。2017-10-31
[8]Bhatt S, Manadhata P K, Zomlot L。The operational role of security information and event management systems[J]。IEEE Security & Privacy, 2014, 12(5): 35-41
[9]Gartner says detection and response is top security priority for organizations in 2017[OL]。[2020-05-15]。https://www。gartner。com/en/newsroom/press-releases/2017-03-14-gartner-says-detection-and-response-is-top-security-priority-for-organizations-in-2017
[10]Ohmori M。On Automation and Orchestration of an Initial Computer Security Incident Response by Introducing Centralized Incident Tracking System[J]。Journal of Information Processing,2019,27:564-73
[11]Kocbek M, Jošt G, Heričko M, et al。Business process model and notation: The current state of affairs[J]。Computer Science and Information Systems, 2015, 12(2): 509-539
[12]Luo S, Salem M B。Orchestration of software-defined security services[C]//Proc of 2016 IEEE Int Conf on Communications Workshops (ICC)。Piscataway, NJ: IEEE, 2016: 436-441
[13]Martin。The cyber kill chain[OL]。[2020-04-22]。 https://www。lockheedmartin。com/en-us/capabilities/cyber/cyber-kill-chain。html
[14]Milajerdi S M, Gjomemo R, Eshete B, et al。Holmes: real-time apt detection through correlation of suspicious information flows[C]//Proc of 2019 IEEE Symp on Security and Privacy (SP)。Piscataway, NJ: IEEE, 2019: 1137-1152
[15]Chen Zhong, Yen J, Peng Liu, et al。An integrated computer-aided cognitive task analysis method for tracing cyber-attack analysis processes[C]//Proc of the 2015 Sympand Bootcamp on the Science of Security (HotSoS '15)。New York:ACM, 2015:1–11
【文中为51CTO栏目创作者“我国信息保密研究会科技进步联合会”原创设计文稿,转截请联络创作者】
戳这儿,看该创作者大量好文章
