開啟網絡安全建設的下一站—網絡安全數據中臺建設與實踐

1 網絡安全數字化轉型也勢在必行

傳統網絡安全建設方式下，企業的各種網絡安全系統大多是獨立采購或獨立建設的，不同品牌不同類型的產品或系統，無法做到設備之間的協同聯動縱深防御，導致企業內部形成很多安全孤島。互聯網、移動互聯網和物聯網等新技術的發展帶來很多新的業務模式，例如云防護系統、移動安全防護系統、物聯網安全平臺等，新的模式需要新的安全系統去做支撐，這進一步加劇了網絡安全孤島的問題。分散的各個安全孤島存儲了大量安全數據，發生安全事件需要通過多個系統數據去做分析研判，沒有統一分析攻擊效率極低，導致這些安全數據無法分析或者只能采用簡單規則進行分析。在合規監管力度不斷加大，網絡中常常部署大量監測類安全系統，對流量和日志等數據重復采集，造成大量IT資產重復投資和運維成本倍增。讓企業管理者來說，網絡安全工作是看不見也看不懂的，導致無法很好對企業的網絡安全決策，跟不上應對日益嚴峻的網絡安全新形勢。  

因此需要一套機制整合分散的各個安全孤島的數據，快速構建網絡安全能力，為企業網絡安全決策、常態化安全運營和網絡安全應急保障提供支撐，這就是網絡安全數據中臺。

網絡安全數據中臺（以下簡稱“安全中臺”）是一套可持續“讓安全數據用起來”的機制，是一種網絡安全建設新的模式，實現網絡安全工作可見、可用和可運營，既能提升安全管理、決策水平、又能支撐網絡安全運營。

2 “安全中臺”五大組成

“安全中臺”構建思路是通過大數據技術，將多元分散異構的安全數據通過采集匯聚、整合加工、智能分析、可視化和價值變現五個組成部分，讓企業高層、信息化部門、網絡安全運營部門和業務部門可以方便使用安全數據。

采集匯聚

企業往往部署大量的IT資產和安全設備，”安全中臺”需要對這些多元異構數據進行統一采集和整合，需要采集數據可分為資產類、漏洞類、威脅情報類、日志類、告警類和流量類等，針對不同廠商采用通過KAFKA、API和syslog等多種方式。

整合加工

采集的數據就樹木，經過加工成木材才能方便使用。同樣安全數據在分析前需要進行預加工處理，需要對數據解析、數據歸一化、數據過濾、數據補全、數據清洗等操作。為保障數據的完整性、可用性，從而實現數據的資產化，還需要如下操作。

質量監測：通過建立不同維度的數據質量指標，來描述整體數據治理質量程度，對數據全生命周期質量監控結果進行展示。

血緣分析：是指搞清楚數據的來龍去脈，就是我們這個數據是從那來的，經過了哪些過程和階段，通過血緣分析實現數據融合處理的可追溯。大數據

安全分析

隨著攻擊手段多樣化和智能化，單個的安全設備已經很難發現的復雜安全問題，需要安全數據結合起來分析才能發現那些潛在的威脅。大數據技術以及高難度識別、機器學習等人工智能技術的快速發展，推動了網絡安全技術的不斷升級。

采用機器學習、人工智能技術和威脅情報進行安全數據的挖掘和預測，通過安全建模和高級威脅分析，能夠快速、準確的取證調查和威脅追溯，持續監測與分析，部分場景的自動化提升安全運營效率。

可視化

為了讓安全數據用起來，“安全中臺”需要提供便捷快速的數據服務能力，支持場景化快速輸出。

基于合規監管：具有等級保護、風險評估、密碼評估、數據安全和個人信息保護等合規態勢分析。

基于攻防實戰：具有攻擊態勢、資產態勢、漏洞態勢、威脅態勢、橫向威脅、安全事件等多維度建模分析結果。

基于業務保障：具有業務系統安全監測狀態、用戶行為畫像、業務資產檔案、人員安全考核、業務數據泄露和業務場景分析態勢分析。

價值變現

云計算、大數據和人工智能等新技術的快速發展和網絡安全應用場景不斷融合，通過“安全中臺”，可以海量收集企業歷史安全數據，利用這些數據可以發現高級復雜的安全威脅，也可以快速感知網絡安全威脅并作出反應，實現安全工作自動化和智能化。同時為上層安全應用系統提供數據資產共享，避免重復數據收集存儲。通過安全數據分析客觀全面反應現有安全問題，科學評價安全建設成效，公正評價相關部門和人員安全工作情況。

企業的網絡安全現狀不同，對安全能力訴求也不盡相同，網絡安全數據中臺的建設側重點也不完全相同。“安全中臺”實施不是一套標準化安全產品，而是一套解決企業網絡安全管理難題的新方案。站在企業角度，“安全中臺”為安全運營和上層安全應用做支撐，能幫助企業沉淀網絡安全知識，提升安全管理效率，最終完成網絡安全能力構建。

3 五步法構建“安全中臺”

“安全中臺”通過五個步驟完成。

調研現狀、確定架構、構建資產、使用數據和安全運營。

• 調研現狀 ：詳細調研企業目前IT建設、安全設備和運維使用等情況，對每個安全設備存儲那些類安全數據，存儲數據量大小，數據字段、數據接口和目前沉淀情況。
• 確定架構 ：根據調研現狀，確定業務架構、技術架構、應用架構和數據架構。業務架構：面向企業高層、安全管理人員、安全運維人員、安全監管人員、安全評價人員，確保中臺能適用企業內部安全管理制度和流程。技術架構：對數據采集、存儲、計算等環節技術進行選型。應用架構：是指數據中臺應用架構，對上層應用的支撐。數據架構：是企業安全系統之間共同語言，在數據層面保證安全業務和安全技術的一致性。
• 構建資產 ：企業構建符合安全場景需求又滿足數據架構要求的數據資產體系并實施，包括數據匯聚、數據倉庫建設、標簽體系建設等。標簽體系是對安全對象構建數據標簽，可以通過標簽方便支撐上層應用。
• 使用數據 ：將構建的數字資產通過服務化方式，應用到具體安全應用中，同時要考慮數據安全問題，那些人可以使用數據，可以使用什么類型服務，都需要嚴格認證授權，這樣才能發揮安全數據價值。
• 數據運營 ：安全數據被應用到安全管理系統，例如安全管理平臺、態勢感知等，產生的價值是通過安全運營呈現，讓人感知到安全數據的價值。“安全中臺”建設運營是一個持續建設和優化過程，不斷挖掘數據在安全場景使用模式。

4 總 結

什么樣企業適合上網絡安全數據中臺？這和企業安全現狀、安全建設投入、人員能力和投入產出比等息息相關。如果一個企業具備一定網絡安全建設基礎，例如通過等級保護三級測評，部署了態勢感知、威脅情報、安全管理平臺、UEBA等安全管理系統，沉淀了一些安全數據，業務場景復雜對網絡安全保障要求較高，要滿足持續應對攻防實戰需求，滿足以上特征企業可以考慮。企業對安全數據應用能力成熟度越高，說明安全數據對安全管理的支撐能力越強，讓數據驅動網絡安全決策和管理，而不是僅憑安全管理人員的經驗，這才是網絡安全數據平臺建設最終目標，真正的讓安全大數據用起來，開啟網絡安全建設下一站。