周利均
(中国电子科技网络信息安全有限公司,四川 成都 610041)
习近平总书记在“4.19”讲话中明确指出,“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系”“我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护”。等级保护2.0也从保护对象、保护内容、标准体系等方面进行了相应升级,契合我国网络安全形势的不断发展[1]。
数字经济的飞速发展,大数据技术的深化应用,促使数字资产成为企业乃至国家新的增长引擎,也成为世界各国“兵家必争之地”。网安安全保障将是数字经济的“基石”,“基石”搭建是否可靠对网络安全整体运维服务提出了新的需求。
随着人工智能、云计算、大数据以及边缘计算等新技术的不断发展和应用,网络攻击方式多样,呈现智能化、自动化等特点,且攻击目标已从纯粹的个人“秀技术肌肉”转变成谋取经济利益和政治利益。这对传统“交付产品”模式提出了挑战,对“购买安全目标”提出了新的需求。
随着5G应用,万物互联成为现实,网络入侵不仅影响数字世界,而且对万物互联的设备、媒体社交平台等均有深入影响。企业信息化系统强关联性、耦合性导致网络入侵由点及面地快速扩散影响。因此,从单点防护扩展到点面结合以及全面防护十分紧迫。
以上从数字驱动重要性、技术发展多样性、关联影响广泛性等方面进行分析,传统以交付产品完成建设的线下模式已不足以支撑高速发展的信息化社会,适应新时期以交付能力和目标为主的整体运维服务模式成为趋势,只有搭建全方位、多层次、全维度的网络安全运维服务体系[2],才能保护企业的网络安全。
网络安全运维服务及能力建设以系统全生命周期为主线,以业务安全需求为起点,前端根据企业安全需求开展安全规划设计,同步根据规划开展安全开发、建设、测试以及测评等。测评通过进入实际运维服务阶段,进行安全事件监测、安全事件处理、安全事件分析预测以及安全审计追踪等,同时对企业安全技术人员开展安全技术认证培训,提升其安全技能和安全意识。
上述网络安全运维服务体系架构中,运营维护阶段会有大量需要人为处理的工作,且海量安全数据需要及时进行分析处理。如果纯粹依靠技术人员进行人工分析、处理,会错失最佳的防御时机,攻防博弈的天平会全面倒向入侵者一方,导致企业关键信息基础设施遭受严重威胁[3]。
以下从3方面分析网络安全运维服务面临的一些挑战。
(1)传统网络安全保护模式是购买网络安全产品,安全厂商完成建设交付即可,主要使用单点的网络安全设备在线下实现安全防护,安全策略配置、系统升级、故障排查等过多依赖安全厂商技术人员,用户技术人员因设备自适应程度较低、过于机械,无法及时做出相应处置。在面对日趋复杂的安全环境,不仅是面对未知威胁,面对已知威胁也难以做到有效的及时防御[4]。
(2)企业有自己的主责主业,安全一般归属信息化部门,专业安全人才只占信息化维护人员的很小一部分,企业也难以投入进行全方位安全人才队伍建设。因此,企业的安全技术人员数量和水平有限,只能解决一些具体到某点的安全问题,系统性的由点及面显得力不从心,达不到全生命周期、全维度的运维管理。
(3)内外部海量流量数据隐藏了大量有用的安全信息,人工数据分析显然不现实,还未待完成数据特征提取,一波新的攻击可能就来了。由此可见,攻防博弈争分夺秒,缺乏对安全数据高效挖掘、分析、利用环节,不能敏锐抓住数据流量中的异常,从而不能有效预测、评估、预警和防御安全风险。
总结来看,一是技术人员的过渡依赖性问题;二是横向和纵向运维的全覆盖问题;三是处理动态变化的威胁时效性问题;四是对海量安全数据的分析利用问题。
人工智能弥补人的不足,以模仿人类思维开展自我优化学习,相比人为操作,可以以秒为单位处理很多数据问题。本文研究人工智能赋能网络安全运维服务,打开智慧运营新局面[5-6]。
人工智能技术架构如图1所示,分为基础、技术、应用3层。基础层包含计算能力和数据资源,是整个人工智能的核心;技术层包含算法、模型、知识库、特征库等;应用层为人工智能结合网络安全服务,不局限于某个具体应用场景,重点解决运维服务中人为因素等不足造成的问题。
一个大型集团包含很多下级单位,如何纵向延伸,以中心化运维为思路,以公有或私有云加载计算单元,充分实现全域运维[7]。
下面具体分析网络安全运维服务事前检测、事中运维、事后分析3个阶段需要做的重点工作,并以此为重点,研究人工智能如何在这些工作中发挥作用,从而实现智慧化运营,如图2所示。
图1 人工智能架构
图2 网络安全运维服务体系架构
企业的数据资产是其核心资产,利用人工智能搭建企业安全数据的学习系统,自动采集企业各类设备、软硬件系统、应用系统、业务系统以及管理系统等数据,以多种维度关联数据,打造企业安全数据资产的态势感知平台,实时动态展现企业相关资产的使用情况,根据安全态势对安全产品和安全流程进行动态部署,强化安全控制流程,提升网络弹性,并对安全数据进行实时动态分析,对相关安全警报进行优先级排序及建议处理,自动生成企业全维度安全报告,供安全负责领导参考决策。
随着软件工程化的发展和开源社区代码的丰富,企业级模块化开发提高效率的同时,也带来了潜在风险。开源代码存在逻辑性、完整性等问题,而非专业公司并没有精力和能力去分析动辄几万行甚至几十万行的代码。利用人工智能技术可帮助识别和分析代码中的错误,降低未被发现的漏洞,以提高现有软硬件的防御水平。
企业面对严重的威胁就是有组织、有目的、经过精心策划实施的APT攻击。针对已知漏洞,已有防火墙、IDS等成熟产品应对;针对未知漏洞威胁,显然不能依靠人工进行数据分析。APT攻击的复杂性结合攻击者的隐蔽性,需要获取海量的内外部流量数据,并对数据进行挖掘和关联分析,发现攻击者线索并进行追踪溯源。同时,网络安全运维工程师可利用人工智能技术,利用逆向工程改进系统,防止再次发生类似事件。
信息化程度越高的基础设施,遭受攻击的面更宽,面临人员短缺、技术局限的窘境。利用人工智能的自动识别技术,检测信息系统、软件等运行过程中的漏洞、缺陷等,设计、生成、运行补丁程序,对漏洞进行实时修复,实现真正意义上的自动防御功能,实现系统动态加固。
攻防博弈是一个动态过程,网络攻击方式日趋多样化,安全运维团队只有以不断优化调整相关技术来应对持续不断的异常和威胁。但是,攻击者犹如潜伏在黑暗中的剑客,不知他什么时间以什么“招式”攻击,充满了不确定性,而攻防双方从时间上就已失衡。利用人工智能和机器学习,通过算法和历史数据搭建合理化模型,以一种可靠的方法解析各类异常事件,通过不断学习、训练知道运维者最想要的信息是什么,就能在攻击发生时及时提供相关重要情报来阻击攻击,并给运维工程师响应异常事件提供解决参考,大大缩短了攻击的响应流程,将损失减少到最小。
以一个大型集团公司为例,总部各部门、各分子公司等下属机构每天会产生大量业务数据和安全数据,各类故障频发。通用性故障若大量耗费维护人员进行分析处理,既不利于运维中心化,也没有诸多的人力物力来支撑。此时,可将企业每天产生的各类型网络安全方面的故障数据及解决措施数据进行分析存储,建立故障事件特征库,形成规则库和知识库,针对网络告警数据自动选择最优解决方案,保障通信网络和业务系统的正常运转。利用人工智能技术进行逻辑推理,分析研判潜在安全威胁,从而提前预警。
企业的通信网络、硬件、软件、系统应用、业务应用以及安全应用等,产生大量数据结构不一致且具备相关关联性的安全数据。安全运维专家经验再丰富也不可能实现安全数据的持续分析呈现,以及发现安全数据之间的关系。利用人工智能算法对安全数据进行关联分析,生成当前状态的综合评估和趋势预判,可实现持续态势监控,并预测未知漏洞风险等。
本文从数据资产重要性、新技术多样性、系统耦合脆弱性出发,分析网络安全运维服务的重要性和必要性,站在社会工程学角度,分析了人在运维服务中的局限性,创新性地探索人工智能在运维服务中的应用,形成了智能高效的网络安全运维新思路,改变攻防博弈中被动防御的不利局面,保护重要行业关键基础设施安全。下一步工作将重点研究算法和搭建模型,分析解决具体的问题。