项目背景
随着信息安全相关法律、法规和规范越来越多,国家和教育行业对信息安全的监管日益严格,当前,XX高校已经完成校内所有信息系统的等级保护定级备案和测评工作,在测评工作中发现了一些问题,XX高校为了贯彻和落实国家和行业信息安全等级保护、网络安全法等相关政策文件要求,构建整体、严密、有效的信息安全威胁分析溯源体系。
为深入贯彻落实党的十九大精神,积极推进“互联网+教育”发展,加快教育现代化和教育强国建设。教育部研究制定了《教育信息化2.0行动计划》。在此形势下,如何促进构建“互联网+教育”条件下确保XX高校网络在安全的情况下的运营,就成了当务之急。近几年来,XX高校检测到的黑客攻击、网络病毒成几何级数增加,对网络安全造成的威胁越来越大。网络安全防护体系已经成为网络建设、改造的关键环节。
同时,网络安全法的实施,也对网络XX高校的网络安全工作提出了更高的要求,作为数字化信息的最重要传输载体,让校园网在一套整体的防护体系的防护之下正常运行,是校园信息化基础设施建设的关键环节。当前,XX高校已经建立了一套传统的网络安全防护体系,但是,随着网络技术的发展,攻击手段进化得针对性和隐蔽性越来越强,传统的防护体系缺乏对未知攻击的检测能力,同时传统防护体系特征匹配跟不上威胁变化,缺乏对流量的深度分析能力。同时,目前的防护体系对网络安全的智能感知能力确实,不能预判相关的威胁,不能进行有效数据取证与责任判定。
基于此,XX高校迫切需要对现有的网络安全防护体系进行升级,建设一套全流量智能感知与分析平台,运用智能分析技术,实现网络和应用系统的运行态势感知和综合分析。为XX高校的信息化校园建设和应用提供网络安全保障,全面防护XX高校的基础网络、信息系统、数据安全;同时可以提前感知并有效处理隐患;并能第一时间实现网络安全事件和网络舆情的应急响应。
需求分析
合规性需求
《中华人民共和国网络安全法》以及《网络安全等级保护条例2.0》都明确要求加强关键信息基础设施等级保护安全防护能力建设,落实国家网络与信息安全信息通报工作规范和信息化考核要求,本项目需满足相关合规性要求。
网络安全建设需求
主流的信息安全方案为部署大量的基于单点工作机制的网络安全防护、审计产品,通常为防火墙(FW)、WEB应用防火墙(WAF)、入侵检测/防御设备(IDS/IPS)、日志审计、数据库审计、访问控制等传统产品。这些产品都是基于单点的工作机制,并且分析规则更新较慢,无法应对持续性的高级安全威胁和关联大量安全事件进行综合分析,发现隐蔽的安全事件等。总的来说:
高级安全威胁检测需求。一些高危的恶意代码通常杀毒软件是无法处理的,一旦进入内网影响较大,比如一些包含shellcode、勒索病毒的样本,需要结合APT产品的告警信息快速预警这些攻击,基于机器学习提供安全态势感知能力;
精细化访问控制需求。需要对核心位置,如数据中心等边界防护设备进行访问控制策略梳理,对进出网络的流量信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP等重点协议进行分析,通过自学习提供策略优化和调整方案,增强防护能力和效率;
边界防护扩展需求。传统防护设备的防护能力依赖于内置策略和机器性能,极为容易出现漏掉的攻击,需要发现并分析攻击的数据包特征,持续完善当前安全防护策略。
内部网络异常行为审计需求。内部网络安全异常行为通常会造成较为严重的后果,但由于缺乏内网异常行为审计和发现能力,缺乏针对内网的分析数据并生成审计报告的能力。
应用安全需求。针对校内的重要业务系统,如特定业务系统、数据系统等,其应用安全防护主要为内容过滤、防控控制、信息保密、数据完整和安全审计等方面的体现,这些方法通常为使用各类单点防控设备,无法建立体系化的应用安全防护和审计,需要对应用系统具备重要信息资源设置敏感标记、需要综合考虑数据的权限设置等,从体系化上建设应安全防控。
主机安全需求。主机安全防护除了部署杀毒软件、开启操作系统的默认防火墙之外,还应该具备对主机进程防护、账户异常监测、操作行为审计以及入侵行为防控等,需对主机对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的一系列主机防控措施。
运维安全与管理需求
安全运维工作是个学校进行安全体系建设的重中之重,学校应该建立具备智能安全分析能力的安全事件运维管理平台,将运维管理科学化,解放安全管理人员的职能,减轻安全管理人员的工作负担,提供运维工作的效率。总体来说学校需建设将信息系统的日志、业务操作日志、相关人员登录/访问操作日志。通过统计分析、机器学习、人工智能、关联分析发现威胁动态和安全态势,并对异常行为和事件进行告警和预警的能力。
安全要素集中管理需求。应对采集、识别和获取到的安全要素,包括主机、应用、数据、脆弱性等一些列复杂安全要素进行集中管理和友好的安全可视化。同时针对一些重要资产,用户可以通过自定义的方式添加各种资产详细信息,比如资产名、资产类型、资产责任人、资产权重、资产位置等信息,方便运维人员快速定位安全事件的影响范围。
集中的告警响应中心需求。由于学校内安全事件较多,告警的频道多样,反而让安全管理员无从下手。需通过告警响应中心,安全管理员可将多个不同维度的数据进行关联后再做研判,这样可大大减少有效告警数量,提升安全管理效率。在告警响应中心,安全管理员可将潜在的威胁的判定逻辑做成关联规则,实时的发现符合威胁判定逻辑的内网行为,并产生告警。所有的告警的分类和优先级通过大数据中心分析预制,支持实际使用人员进行自定义微调。并在发现关联告警后,安全管理员可将告警内容和响应建议通过邮件、短信等方式发送给指定的安全事件处置人员。
可视化的事件溯源分析需求。应用具备调查分析功能,该功能可以以告警、日志或线下事件为触发点,进行包括搜索、统计、可视化关联分析等多种调查分析手段,在海量日志中拓展与事件相关的各种日志信息,并将相关信息形成一个完整的事件链条,通过时间轴、时序图、关系图等方式直观的呈现给用户一个事件的发生过程。相关结果也可以作为报告导出形成调查结论。
大数据分析大屏展示需求。态势感知大屏提供多种面向不同安全场景的态势监控界面。全国范围内IP及流量态势感知界面、核心业务系统(网络)逻辑安全域实时安全风险态势感知界面、核心系统外部安全态势感知界面。
便捷的安全信息建设功能需求。需要提供快捷的日志检索应用。该应用支持针对日志类型、日志字段、日志时间等多种内容的过滤检索。同时提供了各种快捷的搜索字段联想、时间轴拖拽、搜索下钻、字段筛选手段帮助用户快速的进行分析工作。所有的日志都可以被加入到调查任务中,以保证能够将各种分析结果固化到分析报告当中。
灵活的威胁情报利用需求。需支持通过从云端获取(在线查询、云端推送或离线拷贝)可机读威胁情报,本地系统可自动创建分析规则,对本地网络中采集的数据进行实时比对比对,发现可疑的连接行为;同时,可利用威胁情报对历史数据进行比对,以发现曾经发生过的APT攻击行为或本地网络中的Botnet主机,并可利用情报对安全事件进行溯源分析。
学校网络安全要素复杂,网络安全业务需求多样,使得学校在网络安全整体建设上面临较大困难。针对这些无论是合规还是网络安全防护和运维的需求,都指明学校应构建基于大数据技术的具备智能安全分析能力的综合安全事件管理平台,对学校的整体安全要素进行集中管控,将网络安全工作由“被动防御,人工阻断”,升级到“主动防御,自动阻断”的新阶段,为学校信息化建设保驾护航。
规划建议
部署架构说明:
本平台的硬件部署架构如图所示,上图画出一个采集节点的部署情况,其他采集节点类似部署,设备部署要求和位置如下:
l在核心机房部署态势感知平台:用于分析流量采集探针和日志采集探针的分析结果;
l部署日志采集探针:用于收集各种类型的资产日志信息,包括但不限于网络安全产品、服务器、数据库、中间件等;
部署流量采集探针:在每个机房的网络出口(包括互联网出口和内网出口)部署一台流量探针,其中包含全流量分析和APT设备。APT设备包含沙箱功能,可用于与SOC设备的联动采集。
建设规划:
1、日志源资产重识别
学校内存在大量的日资源收集设备,并且存储较多的网络隔离,通常需要采用分布式日志采集的方式进行复杂异构数据采集。日志源资产重识别指的是通过资产识别技术实现对日志信息中包含的资产信息进行识别和处理。主要解决在不同的网络环境中,存在原资产直接发送日志或者间接通过日志平台中转日志等多种途径和方法,并且不同的传输方式通常采用不同的协议,甚至可能同一类型的资产位于不同的网络环境中。通过提出双栈协议识别技术实现不同网络环境的发送协议识别,实现对不同资产的识别和归类,有效的解决了复杂网络环境中的审计日志资产识别的技术难题。
2、复杂数据的异构识别
复杂网络存在大量异构设备,产生大量的结构化和非结构化日志数据,在部分环境中存在压缩传输和压缩存储等现象,导致这部分数据无法解析和分词针对大量复杂的异构日志,针对大量复杂的异构日志,实现对复杂异构的非结构和半结构日志数据的解析和处理,日志解析系统包括日志分词处理模块和日志解析模块。
实现对不同类型的日志数据的解析,并提供人机交互的二次解析功能,实现更准确、更充分的日志的解析方法。
3、智能化自适应学习的异常行为捕获
智能化自适应学习的异常行为捕获与传统的异常行为分析技术的区别在于考虑了更加全面的攻击者行为特征,结合内部发现的异常行为以及外部威胁情报信息、并通过长时间窗口的攻击者行为特征分析、攻击者相似度以及攻击信誉度分析,将这些分析的结果综合关联分析,并根据关联分析的结果自动更新不同攻击者特征行为的权重,最终达到具有智能自学习能力的异常行为分析捕获模型。
4、基于AI的高级持续威胁发掘
高级异常APT威胁发现要求系统能够根据时间关联、空间关联、行为关联以及业务关联综合检测判断出复杂异常行为。以传统安全设备的告警信息为线索,结合上节所描述的智能自学习的异常行为检测技术,发现有价值和真实有效的攻击行为线索。本创新点从以下几个方面研究挖掘高级安全威胁。
数据驱动安全威胁分析。通过对这量化指标的判定识别,最终获知数列之间的相位的差的方向是否与预计方向相同,判断这些行为是否具有连续性和相似性,从而挖掘具有明显相似的机器行为;
用户行为特征提取与自动更新。将异常访问、操作事件识别可看成是一个分类问题,基于行业经验和专家知识从训练样本中提取与异常事件相关的各类特征。最后,基于分类错误代价矩阵,采用代价敏感学习算法训练分类器,解决部分特征不在明显的问题;
安全事件溯源取证。通过建立异常行为库,持续性的跟踪和关联分析多个异常行为,分析多个攻击行为的关联分析,分析攻击之间的关联性,还原真实攻击路线,并以直观的形式展示分析结果;
网络安全态势等级动态评估。构建态势等级评估决策表,将态势因子作为条件属性,取证类型包括离散型和连续型,得到属性约简集,最终利用约简集进行网络安全态势等级评估。
预期成果
1、提升学校的信息化管理水平
通过对全网段进行存活资产识别,端口识别技术,确保所有资产可控,对业务系统进行安全事件关联分析,建设AI风险模型,发现异常点和残余风险。
通过每季度定期报告,及时发现最新的的安全漏洞隐患,及时处置,能够保证将安全事件的影响降到最低。通过人员安全培训,结合项目实践,能够切实提高运维人员安全能力。平台致力于完成如下安全使命:
帮助学校贯穿落实《网络安全法》对日志数据的存储,满足至少180天原始日志数据的存储要求;
帮助监管单位建立安全通报预计机制,实时快速发现安全威胁,及时通知各被管单位整改;
为重大活动提供专项检测、实时监测、应急处置等能力,协作安全服务人员完成重点单位和应用网络安全保障使命。
2、提升安全应急处置能力
通过《深度威胁分析报告》、《攻击者取证报告》、《全局分析报告》在海量的安全告警中,分析提炼出关键的事件给用户决策处理,把人工不可能完成的工作任务变成轻松完成,规避了重要的安全事件不被海量告警淹没。并提供安全事件溯源、处置工作台等集中的安全事件管理和处置功能,提高安全运维人员工作效率。
3、提升体系化纵深联动防御
大数据智能安全发现潜在的入侵和高隐蔽性攻击,预测即将发生的安全事件并与安全防护设备形成联动能力,自动安全调整访问控制策略下发至防御设备,第一时间阻断(通过联动防御设备进行安全阻断,如WAF、IPS、防火墙等)攻击者的连接,形成安全闭环,提升信息安全风险管理和应对能力。
4、提升学校社会级经济价值
近些年由于信息安全事件给学校带来的社会信誉和经济损失事件频发,同时国家对于关键基础设施的保护要求越来越严格,通过开展信息安全态势分析、及时发现安全事件,处理安全风险可以减少或降低信息安全事件的发生,同时也降低了造成国家关键基础设施破坏和社会及经济效益损失的可能性。