安全运营自动化助力中国农业大学打造实战化网络空间安全

点击箭头处“蓝色字”，关注我们哦！！

近年来，随着网络安全技术迅猛发展，网络攻击呈现出自动化、智能化、复杂化等特征，这也导致传统人工被动响应安全威胁的方式已无法满足快速发展的威胁格局，安全运营自动化也逐渐成为保障组织信息系统安全的必然选择。自动化技术的引入能够加强安全决策和响应速度，提高整体安全水平，并有效应对来自网络的各种威胁。

为确保学校各类应用安全、稳定、持续提供服务，中国农业大学构建了以SOAR与态势感知深度融合的安全运营自动化体系，实现网络安全运营中管理、技术、人员、流程的“多方协同”，打造学校面向安全实战的持续、动态、主动的安全防御能力。

在教育数字化战略行动中，教育部提出“应用为王、服务至上、简洁高效、安全运行”的要求。我校积极响应教育部要求，打造一站式综合服务平台（网上办事大厅），实现校园业务一网通办、全程网办，让师生共享智慧校园生活，同时也为学校高质量发展带来新的创新点与体验点。各职能部门也针对各自的业务特点，上线了各类业务系统，全校信息化平台和应用都在不断增加。

当大量的业务、教学、科研等都集中在网上时，网络安全就显得尤为重要，一旦出现网络安全事件，将严重影响学校正常的管理和教学科研秩序。随着网络空间安全对抗持续升级，新型攻击手法、攻击技术层出不穷，隐秘高效的自动化攻击也越来越多。为应对外部网络安全形势变化，学校推动网络安全体系向立体化、主动化、自动化升级，建立了横纵结合，上下一体的全方位动态安全防护体系，将学校网络安全工作从“被动响应”转变为“主动运营”。

图：安全运营自动化架构图

建立资产与管理员对应关系，为事件闭环奠定基础

学校数据中心应用资产庞大，涉及WEB资产、中间件资产、数据库资产等，并且各学院、职能部门的服务器也部署在学校网络技术中心，网络技术中心常常因资产属性不清晰，导致对资产相关弱口令、漏洞、安全事件等问题的闭环管理难度增大。

在学校各单位的配合下，网络技术中心借助资产管理平台建立了清晰的资产、漏洞、安全事件管理流程，以流程促闭环。资产属性明确后，当监测到安全脆弱性或安全事件时，学校能够找得到人，找得对人；同时也为网络安全工作跨部门协作奠定基础。 

图：应用资产属性管理

感知校园网络安全态势，构建统一安全入口

为确保学校数字化应用的网络和数据安全，学校目前已部署较多的网络安全设备如防火墙、WEB防火墙、终端EDR、玄武盾等，且来自不同品牌；安全日志分布在这些安全设备中，在复杂的安全形势下，学校安全管理员很难获得一个全网安全的综合视图，无法掌握学校整体的网络安全态势。

网络技术中心部署校园态势感知平台，将流量数据、日志数据与学校已有的安全设备数据统一采集，对采集数据标准化和丰富化处理，利用检测规则、数据挖掘、统计模型算法、深度学习等技术对校园网内各类威胁分析、研判、识别、预警，补齐高级威胁检测能力，完成校园网安全态势感知能力建设。

图：校园安全告警状态

除此之外，针对校园网内的各类脆弱性与威胁，学校也会结合资产管理平台内的管理流程完成闭环。例如针对资产弱口令，网络技术中心通过管理流程将该脆弱性整改下发至具体的资产联系人，并设定处置时效，完成整改闭环；其他威胁也按照管理流程标准化处置。

安全威胁自动化响应，安全运营更高效

随着网络空间安全对抗持续升级，针对学校的恶意攻击数量、种类也呈指数级增加，并且其中夹杂着大量的自动化攻击。这些攻击不断变化恶意IP，仅依靠人员手动封堵，耗时耗力，网络技术中心处理这类攻击非常头疼；且随着生成式AI广泛应用，可以预见未来自动化恶意攻击将会愈加泛滥。

网络技术中心部署SOAR平台，与校园网态势感知平台深度融合，将各类事件处置过程、经验、管理固化为安全剧本，并将剧本流程抽象成不同的组件，组件类型涵盖人工、脚本、联动设备所需的动作（告警、阻断）和决策等等。当监测到选中的事件发生时，自动触发剧本，自动响应，真正形成一体化的协同联动、联防联控机制。目前网络技术中心结合管理需要，已完成数十个安全剧本编排，响应时间从一天、数小时降低到分钟级别。

图：学校邮件系统暴力破解剧本编排示例

网络安全对于国家安全来说具有“牵一发而动全身”的地位，习近平总书记多次强调网络安全的重要性，明确指出，没有网络安全就没有国家安全。中国农业大学建设安全运营自动化体系，不仅是学校网络安全保障工作的基本要求，更是教育数字化战略行动下支撑学校数字化应用的生动实践。

文章来源：中国农业大学