电子政务 网络管理 网络技术

安全态势感知

来源:网络部发布时间:2018-01-05 字体:[] [][关闭][打印]

安全态势感知

态势感知是以安全大数据为基础,对能够引起网络态势发生变化的要素进行获取、理解、评估、呈现以及对未来发展趋势预测的一个过程;是从全局视角提升对安全威胁的发现识别、理解分析、响应处置的一种能力;是通过智能分析和联动响应,结合机器学习和人工智能,实现“安全大脑”的闭环决策,并在云端实现安全能力的落地实践。

http://newitnavi.h3c.com/cn/res/201712/18/20171218_3298216_029_1051799_233453_0.JPG

图1 态势感知的定义

安全态势感知将围绕风险、资产、业务应用等对象,从安全日志、终端行为、网络流量、业务运营数据、资产管理和故障诊断等多源数据采集着手,通对全局安全状态评价、外部攻击评级、系统自身状态合规自检等手段,实现“事态可评估”;通过对攻击趋势分析、异常流量趋势判断和终端行为异常检测,实现“趋势可预测”;通过对未知威胁的检测识别、流量/行为/资产的状态监控和多维度风险分析和可视化呈现,实现“风险可感应”;通过对攻击溯源取证、云网端的协同联动、工单流程的闭环处理、以及设备策略的自适应调整,实现“知行可管控”。围绕态势感知的定义和内涵进行落地实践,才能实现用户对于安全态势的全面掌控。

安全态势感知是一个系统性工程,需要从技术支撑、组织保障、运行维护、外部合作等方面进行协同联动,才有可能真正发挥价值。从技术支撑的角度看,安全态势感知需要涵盖以下六个方面的内容。

● 攻击态势感知

通过对各种网络安全设备、服务器中间件和主机安全日志等信息采集分析,实现对整网安全攻击情况的可视化呈现和趋势预测。除了攻击类型、攻击趋势,攻击源和攻击目的TOP分析呈现外,对于二次攻击的模型分析和数据挖掘、攻击路径分析和追踪溯源等方面进行突破,为后续的安全策略生成和联动响应提供必要的技术支撑。

● 威胁态势感知

威胁态势主要涉及的是针对安全漏洞利用、病毒、蠕虫、木马和恶意代码等风险检测情况,针对入侵防御、防病毒网关、WEB安全网关、email安全网关、沙箱等多种设备进行信息采集和分析预测,从多个维度对这些威胁形势进行呈现,同时结合外部情报信息实现对未知安全风险进行分析判断和预警,为后续的响应决策赢得时间。

● 流量态势感知

流量分析是态势感知的重要内容,围绕用户、业务、关键链路和互联网访问等多个维度的流量分析,一方面可以实现对用户和业务访问的精细化管理,建立网络流量的多种流量基线,从而为后续的链路、带宽和服务器扩容提供技术支撑。另一方面,通过对多维度实时流量的监控,可以有效发现网络中的异常攻击流量,用户访问异常行为,以及诸如DDOS攻击和病毒蠕虫攻击的信息,提升对于流量攻击的风险把控和防御。

● 行为态势感知

用户行为态势分析,是提升内网安全合规的重要手段,通过分析监控用户终端的进程、终端外部媒介的使用行为、互联网出口用户的流量访问、以及用户主机的各种email/FTP/HTTP等外发行为,结合机器学习和人工智能算法,准确找到用户行为之间的关联,一方面可以为用户进行画像,对其访问轨迹、互联网访问的内容和关注重点等进行分析,同时通过数据挖掘找到其兴趣爱好,为后续的信息推送等服务提供支撑。另一方面,对用户的外部文件传送、HTTP访问、以及诸如email邮件发送等行为进行安全审计,通过机器学习的算法找到其不同行为之间的关联,对潜在的用户异常行为进行挖掘和判断,确保安全合规和信息泄露防护的需求。

● 运维态势感知

围绕着用户、资产、和业务的关联,聚焦资产或业务的状态监控、性能监控、配置基线管理、运维告警和故障诊断,结合大数据的分析方法,全面感知和监控资产的运营状态和安全指数,为运维决策和联动响应提供可视化的呈现和简易化的操作;同时也可以实现对用户的远程代维代管,为后续的安全云运维增值业务的开展提供帮助。

● 合规态势感知

在当前强调等保合规的情况下,企业安全合规检查一直是用户感兴趣的话题。通过安全合规自检平台,内置专业等保工具箱,针对业务和应用层面,全面评估系统在业务流转、业务逻辑、业务交付等环节的安全风险,深度挖掘和识别网络各层存在的安全漏洞,提升系统和业务的可控性可靠性和合规性。