在8月23日举办的2019北京网络安全大会上,中华人民共和国科技部高级工程师吕艳丽做多源异构数据环境下态势感知体系构建主题演讲。

网络安全管理中的难点

吕艳丽提到,态势感知系统构建的难点之一就是多源异构数据的收集、整合、校验与协同处置。数据的多源异构性一方面来自于产生数据的设备和系统不同,以及数据类型本身的不同;另一方面也来自于不同安全服务商的监测技术或数据输出标准的不同。二者相互叠加,就形成了复杂的异构数据体系,往往很难“互联互通”,造成了很多态势感知系统的落地困难。另外,安全管理跟信息系统运维在实际工作中也存在一些脱节现象,如补丁更新和漏洞修复周期、信息系统版本更新管理等都给网络安全管理带来隐患和风险。

多源异构数据环境下态势感知体系

针对上面的这些问题,科技部一方面着力提高网络安全管理的效率,利用技术手段从海量的日志、告警中,攫取真正具有危害的事件,利用数据融合技术,提取整个网络安全态势及网络安全状态的变化情况。另外一方面利用技术手段打通信息系统运维和网络安全管理,把信息系统运维反映到网络安全状态的变化中,反向把安全漏洞补丁传导给信息系统运维。 基于此,科技部近期构建了多源异构数据环境下的态势感知体系。

多源异构数据环境下的态势感知体系采用分层的设计思路。第一层,把所有网络安全设备、终端、信息系统日志、网络流量这些原始数据,进行统一采集,形成数据库。在这个构建的过程中,将被采集的原始的日志、流量等进行统一初始化、格式化、对比分析,形成安全数据湖,作为下一步分析的基础。第二层,在安全数据湖上层建立多源异构数据分析平台,对不同的安全监测、检测、分析技术进行集成集成,交叉验证,提高安全检测和分析的深度和广度,并进行网络安全态势的统一呈现。第三层,对数据分析平台的输出数据进行关联融合分析,得出对网络安全真正会造成影响的安全事件,评估安全事件的危害和影响,发布相应的处置策略。

通过安全态势感知体系,一是形成了所有的安全事件的统一出口,降低了管理成本。二是利用资产库和知识库之间的碰撞,找到真正对网内资产构成威胁的事件,三是通过资产库的建立,打通了网络安全管理和信息系统运维。

安全态势感知体系运行主要有四个环节,数据采集、资产探查、融合分析、应急处置。在实战演习中,利用这种思路,高质量的完成了科技部信息系统的网络安全保障,取得了优异的成绩,确保在体系监控范围内的所有资产没有被攻击成功。

据悉,北京网络安全大会于8月21日至23日在国家会议中心举行,本届大会主题为“聚合应变,内生安全”,旨在通过打造世界级的网络安全产业交流平台,多位国际政要、顶级信息安全专家齐聚大会并发表演讲,此外还汇聚了上千位各行业IT决策者、学术界领军人物、优秀企业代表等,共同探讨网络安全的前瞻技术和产业发展趋势。