基于未知威胁识别与主动防御的企业信息安全研究与实践

2016年以来，我国加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。2019年12月1日，等级保护2.0标准正式施行，新标准注重从被动防御到主动防御的转变，做到事前、事中、事后全流程的安全态势可视化和平台化，能够及时发现信息安全实践并采取主动防御措施。

本文以企业未知威胁识别与主动防御课题研究为例，阐述了基于网络安全法和等级保护2.0的态势感知平台的建设内容，为加强企业未知威胁识别与主动防御提供可靠的方案。

以下为文章节选：

随着云计算、大数据、物联网、工控网、移动互联的蓬勃发展，企业信息化建设更多地使用新技术和新应用，伴随而来的是新技术带来的新的安全问题。随着安全运营中心（SOC）、电子商务和CRM系统等业务系统的集中统一建设及推广，以及信息化建设和应用的不断深入，信息系统的规模越来越庞大和复杂。截至目前，笔者单位的生产系统已达200余套。信息系统的作用和重要性日益凸显，网络与信息系统安全风险、数据安全性等信息安全问题也越来越受到关注与重视。

目前，单位已部署了防火墙、IPS、Web应用防火墙等传统安全产品，为保障单位网络与信息系统安全运行发挥了有效作用。然而，由于部署的安全产品缺少统一的标准，相互间没有信息关联，不能实现联动，并没有发挥出综合的、整体的安全防护效能。信息系统及信息安全设备在日常运行过程中产生了大量的日志数据，由于这些数据以“孤岛”形式存在，没有集中存储，格式也不统一，分散的、割裂的数据无法全面地、直观地反映单位整体的信息安全态势。随着网络攻击手段的不断提升，攻击方式的不断变换，单位迫切需要有一种技术手段和技术平台，能实时感知信息安全整体态势，监测和评估信息安全风险，通报预警重大网络安全威胁，变被动防御为主动防御。

以下介绍通过基于大数据的安全管理系统，将传统互相独立的分散防御技术进行整合和关联分析，以数据驱动安全为导向，建设一套立体化全方位的信息安全防御系统，把控整体信息安全态势。

1.态势感知定义

ESG对态势感知的阐述如图1所示。可以看出，态势感知平台需要具备安全信息和事件管理、事故响应平台、网络流量分析、反恶意软件沙箱、威胁情报、安全资产管理等功能。

为实现安全运作和分析平台描述的功能，态势感知系统架构由平台和探针两部分组成，网络流量分析和反恶意软件沙箱部署在探针上，用于分析网络流量和抓取恶意攻击行为。态势感知平台是整体安全建设的中枢和大脑，平台收集所有安全产品的日志和告警，并保存6个月，符合等级保护关于日志存储的要求。态势感知平台收集探针分析结果，同时收集其他安全设备上报的告警，结合威胁情报，运用大数据汇总分析，及时发现并上报安全事件，为实现安全主动防御打下良好的基础。

态势感知平台系统架构如图2所示。

2.研究目的

在网络安全法和网络安全等级保护制度的指引下，如何开展新形式下的企业信息安全，构建基于大数据情景下的威胁建模、态势感知、预警分析、协同处理的综合防御体系，同时建立基于大数据分析的安全态势感知系统，将互相独立的安全设备产生的信息进行关联分析并展示安全事件，及时掌握单位整体信息安全态势，是本次课题的研究目的。

在单位网络系统中部署，验证网络态势感知平台的可行性。通过利用目前对已知攻击行为的检测技术手段以及对未知威胁检测分析技术的应用，结合大数据分析能力，形成对已知及未知威胁检测发现的网络安全态势感知能力，并通过安全设备联动实现安全威胁防御。通过态势感知平台应用，可帮助单位提升网络安全事件的检测、分析、处置、安全预警等方面能力，实现网络安全状态实时可视化，安全事件处置标准化、流程化，可利用态势感知平台减少管理员运维压力，提升运维效率。

3.实际部署

……

（订阅2023年第2期杂志，阅读全文！）

4.实践结果

……

态势感知平台的部署应用增强了单位对网络攻击行为检测、安全事件集中采集分析的能力，在国家网络安全攻防演练及重大活动保障期间也发挥了重要作用。态势感知平台能够提高网络安全保障能力，创新的安全联动设计和应用，使信息安全进入主动防御阶段，提升整体安全防护水平；同时提高了运维工作效率，大大降低了运维工作量和管理成本，节省了运维费用，增强了企业信息安全能力，值得在其他类似企业中复制推广。

来源：《网络安全和信息化》杂志 2023年第2期

作者：艾华届