互聯網的應用極大的便利了人們的生產生活，很多企業在如火如荼的開展數字化轉型。伴隨而來的是形勢日益嚴重的網絡安全。安全態勢感知的研發和部署，極大的提升了企業保障網絡安全的技術能力。但是經過對多個企業用戶的觀察發現，安全態勢感知發揮的作用大小取決于是否進行了有效的安全運營。本文主要探討面向安全態勢感知的安全運營技術方案，以期提供參考。

1 研究背景

近年來，網絡攻擊手段不斷升級，網絡攻擊目標不斷擴大，網絡安全事故層出不窮，給人們的生產生活造成了極大的威脅，迫使人們不得不對網絡安全給予足夠的重視[1]，同時隨著國家對網絡安全前瞻性的布局，把網絡安全提升為國家戰略，頒布實施了多種網絡安全法律法規的，使得網絡安全在國內得到了快速的發展[2]。為了滿足人們對越發高漲的網絡安全的需求，安全態勢感知平臺應運而生[3] [4]。很多用戶在實際網絡中部署了安全態勢感知平臺，用戶通過綜合利用安全態勢感知平臺，實施安全運營，轉被動防御為主動防御，極大的提升了用戶的網絡安全建設水平，有利的保障了用戶的網絡安全[5][6]。

在實際網絡安全建設實踐中，通過對多家用戶的觀察，同樣部署了網絡安全態勢感知平臺，有的用戶網絡安全建設的很好，能有效保障用戶的網絡安全，避免了網絡安全事故發生，而對有的用戶卻沒有發揮作用，網絡安全事件仍然持續發生，網絡安全沒有得到很好的保障，整體的網絡安全建設水平比較低下。通過分析發現網絡安全建設需要持續的安全運營，而不是一次性建設。網絡安全建設的好壞取決于安全運營工作的好壞，而安全運營的好壞取決于安全態勢感知平臺的安全人員是否真正有效利用安全態勢感知平臺進行安全事件分析，處置[7]。SANS在《2021年度SOC調研報告》中指出，SOC完全用起來最大的挑戰來自于缺乏有技能的人員[8]，反映出安全態勢感知發揮作用的大小與有效的安全運營息息相關。

通過進一步分析，發現當前的網絡安全運營均局限在了單個用戶內，比較封閉，網絡安全建設的工作，安全人員的工作均沒有有效的參考對比，這就造成了用戶孤島效應。網絡安全建設的怎么樣，建設的好不好，哪里還可以提升，這些問題都無法有效回答，因此出現了用戶的網絡安全水平隨著安全人員的主觀，能力水平波動的現象。

當前階段，網絡安全持續運營最大的挑戰來自于讓安全人員充分利用安全態勢感知平臺對用戶的網絡安全進行持續不斷的分析，處置。如何利用產品和工具來保障安全運營落到實處，如何衡量用戶網絡安全建設水平，如何衡量安全人員的工作成效，是網絡安全廠商和用戶共同面對的難題，也是業界研究的重點課題。

2 統一運營方案的技術研究

為破解安全運營發展難題，提升產品對用戶安全運營的衡量和監控，促進安全運營的良性開展，經過多年的網絡安全運營的實踐積累和技術創新，我們逐漸摸索出一套面向安全態勢感知的統一安全運營的新思路，新方法，新平臺。自主研發了統一安全事件運營平臺，可以對多個用戶統一跟蹤分析，量化安全服務人員的安全事件處置能力，衡量用戶安全運營健康狀態，掌握網絡安全運營基線，改善和提升用戶的安全運營水平，實現可持續安全運營的理念。

2.1 總體設計

如圖1所示，態勢感知安全事件統一運營平臺整體分為3層，分別為數據采集層、模型評估層、意見提升層，層層遞進，構建了完整的運營流程，幫助用戶提升安全態勢感知的運營能力，加強網絡安全建設的水平。

2.2 解決方案

1）數據采集

數據采集層主要負責從各個用戶采集預先定義好的數據，以固定格式經過加密后發送到統一運營平臺。這個環節需要注意保護用戶的隱私數據。

2）模型評估

統一運營平臺在確認用戶運營數據收到以后，開始構建指標評估，并構建魔力象限成熟度模型和歷史基線成熟度模型。

a、評估指標

根據用戶上報的運營數據，構建各個基礎評估指標項，用于下一步的模型評估。

b、魔力象限模型

魔力象限成熟度模型實現了不同用戶之間的橫向對比，對用戶的實際運營數據進行分析，分別從安全事件查準、安全事件查全、安全事件誤報忽略、風險殘留四個維度進行計算，構建X軸為事件查全和事件查準能力打分，構建Y軸為殘留風險可控能力打分。構建的魔力象限成熟度模型如圖2所示，其中，使用聚類算法，講成熟度相似的用戶使用相同顏色、形狀標記。整體上看，越靠右，威脅發現和處置安全事件能力越強，越靠上，殘余風險越低。從宏觀上，使安全人員對自身的安全運營情況一目了然。

c、歷史基線模型

歷史基線成熟度模型從4個維度指標，3種狀態評價來刻畫了用戶的歷史安全運營水平的變化趨勢，衡量和指導用戶的網絡安全運營能力和提升方向。通過對歷史數據點，使用最小二乘法進行線性擬合，得到歷史數據變化趨勢折線，斜率的絕對值越大，表示越不穩定，表現在用戶上一般為運營建設初期，斜率絕對值越小，表示越穩定，表現在用戶上一般為運營建設后期。用戶的安全人員，可以根據歷史基線模型，判斷態勢感知平臺運營是否持續健康，是否偏離最低安全運營基線。圖3所示為某運營相對優秀的用戶累計運營14周所生成的歷史成熟度模型。圖4所示為某運營相對較差的用戶累計運營13周的歷史基線成熟度模型。

3）意見提升

用戶的安全人員在安全態勢感知平臺上可以從魔力象限成熟度模型和歷史基線成熟度模型看到自身所處的象限以及基線偏離。安全態勢感知平臺會根據模型給出用戶安全運營的提升意見。

a、魔力象限成熟度模型解讀

如圖2所示，所有用戶的殘余風險均偏弱了，并且中毒事件絕大多數都被處置，安全運營工作有成效。其中，在第一象限內的局點，又存在3個梯度，用不同的顏色和形狀表示，越靠近右上角的局點，安全事件運營能力越強。圖2中第二象限的用戶安全事件的處置能力和查全能力不足，需要安全管理人員關注，檢查平臺模塊是否正常運行，日志接入數量是否正常，配置是否正確合理，特征庫是否及時升級等，可使用安全態勢感知平臺運營健康體檢工具輔助自動化分析。圖2第四象限殘余風險很高，需要重點關注，保持態勢感知平臺健康穩定運行，加強安全事件分析和處置?！拔业奈恢谩敝攸c標識了當前用戶所處位置，在圖2中處于第一象限靠后位置，可以理解為安全事件運營能力較強，但仍存在提升空間，表現合格。

b、歷史基線成熟度模型解讀

在圖3所示的用戶歷史基線成熟度模型可以看出：該用戶整體表現良好，4項指標全部符合安全事件運營基線要求，事件查全率穩定，事件查準率穩定，誤報逐漸降低，殘余風險逐漸下降。而從圖4所示的某用戶累計運營13周的歷史基線成熟度模型可以看出，事件查全逐漸上升，事件查準逐漸下降，前期沒有進行誤報處置，當前誤報事件較多，殘余風險逐漸上升，且多次超過運營基線要求。需要及時分析處置安全事件，將風險控制在合理范圍之內。

3 結語

實踐證明，面向安全態勢感知的統一運營平臺能有效衡量和評估用戶的安全運營能力，并很好指導安全服務人員有針對性的提升網絡安全運營能力，進而有效推動用戶的網絡安全建設健康有序發展。

1）隨勢而變

隨著用戶網絡安全運營能力的提升，現有的衡量指標和衡量方法未必能繼續適應統一安全運營的形勢，后續統一安全運營將繼續摸索和實踐更加合乎用戶實際情況的衡量指標和衡量方法，繼續推動客戶的網絡安全建設。

2）更加注重隱私保護

隨著隱私保護的重要性提升，后續將混合多種隱私保護技術和安全訪問技術，確保用戶隱私保密。

3）支持涉密用戶的安全運營工作

探索通過部署本地化的形式和其他技術來滿足無互聯網絡場景，數據只進不出等涉密保密單位的安全運營的需要。

參考文獻：

[1] 國家互聯網應急中心CNCERT. 2020年中國互聯網網絡安全報告[EB/OL].
http://www.cac.gov.cn/2021-07/21/c_1628454189500041.htm.
[3] 繆煬. 網絡態勢感知風生水起[J]. 中國信息安全, 2011年02期.

[4] 范絮妍,吳小倩,馮立勝,王欣. 電子政務數據安全態勢感知平臺建設實踐探索[J]. 信息安全研究, 2021, 7(10):
954-.

[5] 崔光耀. 安全運營為安全賦能[J]. 中國信息安全, 2019 (8): 3-3.

[6] 何丹寧,洪增榮. “人機共智”做好安全運營工作[J]. 中國信息安全;2019年08期

[7] 呂毅. 從信息安全運維向信息安全運營進化的探討[A].2018第七屆全國安全等級保護技術大會論文集[C],2018年

[8] Christopher Crowley, John Pescatore. A SANS 2021 Survey: Security
Operations Center (SOC)
[EB/OL].https://www.sans.org/white-papers/sans-2021-survey-security-operations-center-soc/

總結

以上是生活随笔為你收集整理的面向安全态势感知的统一运营技术研究的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。