网络安全告警运营平台在内蒙古广播电视台的建设应用

王 猛

内蒙古广播电视台 内蒙古 呼和浩特市 010050

引 言

随着内蒙古广播电视台信息化建设的跨越式发展，信息系统数量不断增长，网络安全防护压力日益增大。内蒙古广播电视台为建立可信网络空间，应对越来越严峻的网络安全威胁形势，推动网络安全防护能力从“被动防御明确攻击”向“主动发现安全威胁”转变，需要利用网络安全态势感知支撑手段建设安全告警运营平台。针对已经部署运行的安全设备的告警信息进行集中分析，结合部署实施的安全设备进行告警关联分析落地，能够切实加强网络安全分析室监测预警的工作能力与快速响应能力，真正可视化展现具备危害性的威胁，预警存在较大威胁和破坏力的风险，处置可能发生或者已经存在的安全事件，加固重点防御对象和薄弱环节，提升工作效能，进而实现信息安全内控的“统一监控、统一预警、统一调度”，亟需完善网络安全态势实时监控工具，提升网络安全监控自动化水平，提高分析研判精准度，加快事件处置速度，实现联动、快速响应的主动防御，本文主要从内蒙古广播电视台网络安全告警运营平台建设过程中需要解决的难点与创新设计等方面进行论述。

1 建设安全告警运营平台需要解决的问题

现有的网络安全运维工作中，安全类设备的告警非常多，但运维人员真正要关心和处理的告警没有明确，运维人员只有进行深入的数据分析才能判断真正的威胁行为，这对运维人员的技能水平要求非常高，往往需要登录众多设备进行人工验证，工作繁复且容易漏掉关键信息。在这种情况下，我们亟需从众多告警数据中精准定位网络威胁，从技术上构建工具系统对告警数据进行集中，通过规则和场景自动化进行分析，从而展示给运维人员有限数量的明确告警，通过可视化的大屏将威胁告警明确地展示出来，让技能水平一般的运维人员也可以及时发现威胁并上报处理。

2 安全告警运营平台建设内容分析

安全告警运营平台通过多样化的安全资产数据采集，以可适配数据源的方式对各类安全设备、系统数据进行采集、清洗、标准化、存储，具备离线、实时、全文检索等多种数据订阅及分析等功能，对内蒙古广播电视台所有网络安全行为和轨迹进行持续监控和记录，并可以追溯到源头，弥补传统审计手段的不足。同时，一旦发生网络安全事件，可以对事件进行追踪、溯源、取证，还原事件发生过程，了解事件严重程度和影响范围，做出正确有力的响应，并采取防御措施。

安全告警运营平台通过网络安全告警数据采集与集中分析，实现安全监测与防御系统的威胁告警数据集中，进行威胁风险的深度分析、关联分析、精准验证，以数据为支撑提升安全运维能力和系统安全防护效果，同时通过威胁数据分析与威胁人工挖掘，形成基于攻击与防御的运营队伍，既有专业骨干人员，又有日常数据分析人员，建立内蒙古广播电视台网络安全人才培养与提升机制，真正将安全数据、人工智能、人作为安全运维的三要素，提升以数据为核心的深入精准威胁挖掘能力、人工智能的自动化规则与场景分析能力、明晰安全事件的响应处置能力。

3 安全告警运营平台框架设计

3.1 主要功能

（1）构建安全数据中心，实现安全数据的集中采集、存储、检索。归集各类安全设备的安全数据，不限于FW、IPS、WAF、IDS、抗DDOS、终端安全、服务器安全、天眼等，实现对安全数据的清洗、标准化、分析、存储，提供实时、全文检索及数据接口等多种数据查询和采集方式，形成安全威胁数据。

（2）搭建安全分析中心，实现安全威胁的有效监测、分析。通过规则编辑器工具、SparkMLlib工具、ScikitLearn数据挖掘和数据分析工具对安全事件进行有效监控、过滤、归并和分析，包括普通规则、关联规则、分组规则和串行规则等。同时结合威胁情报，利用大数据分析技术对安全数据进行统计分析、关联分析、机器学习等，实现安全威胁事件的有效监测、分析和预警。

（3）具备安全威胁告警及预警过滤、归并和输出的能力。告警展示内外部威胁分析后的有效告警，包括网络威胁告警、系统脆弱性告警、异常流程告警和有害程序告警等。对高、中、低3个级别的告警进行筛选、过滤和归并，将高危、中危的告警过滤出来关联分析。预警展示基于外部威胁情况预警、外部漏洞预警、网络安全预警、DDos异常流量预警等。以表格滚动的方式进行监控和展示，为安全分析人员提供方便。

（4）实现安全告警的可视化展示。使用ECharts、TWaver可视化工具提供网络安全威胁告警可视化和分析的入口，通过实时安全威胁告警分析以及对态势发展情况的预测评估，全面描述全网的安全情况、影响评估和态势演化，通过大屏展示实时安全态势指数、告警监控、网络攻击态势、异常流量态势、有害程序态势、脆弱性态势以及重要业务系统安全等态势信息，可以进行大屏幕展示视图设置。

（5）加固安全配置，修复漏洞，消除缺陷隐患。针对集中数据以及分析结果，明确整体安全状况，对比阶段安全变化，预警可能存在的安全风险，并基于确切的安全事件开展网络层和主机层的安全加固工作，主要针对配置、策略、访问控制、漏洞管控、防止违规等。通过数据分析得出安全风险结论，后续结合网络和主机的状况开展加固工作，主要针对网络设备、服务器（含中间件和数据库）的身份认证、授权、服务、端口。

内蒙古广播电视台结合安全告警运营平台，修订台安全配置规范要求，全面梳理不合规主机隐患，修复遗留的未整改的漏洞，根据黑客的攻击手段调整或优化安全设备的配置策略，制定安全配置加固方案与指导书，从而完成当前存在的所有漏洞和不合规配置修复工作。

（6）构建威胁情报中心，实时提供和更新威胁情报库。威胁情报中心能够与国内外主流情报中心进行定期交互，并且具备实时提供并更新威胁情报库能力。威胁情报中心具有恶意IP、恶意ULR、恶意域名、漏洞库、恶意文件、恶意邮箱等情报信息采集、管理及更新的能力。

（7）以数据分析带动人才培养。结合网络安全规则、场景调研与优化，以攻防专家的深入人工验证、溯源为经验，架构起能够应对大规模安全事件的运维队伍，形成骨干、安全运维、日常监控等各个层次的传帮带人才培养体系。

3.2 技术指标

安全告警运营平台以威胁告警数据为基础，以人工智能和场景化分析为依托，利用专业的安全运维能力，精确定位威胁，快速响应处置，主要技术指标如下：

（1）明确处置事件。集中未知威胁检测、攻击溯源及其他安全设备的告警数据，通过深入分析、关联分析、溯源分析，明确真正的安全事件，判断事件的危害性和危害程度。

（2）告警事件调查。对威胁事件和可疑事件进行人工调查分析，通过人工调查分析确定威胁以及威胁的严重程度和影响范围，通过建立调查任务实现日志、关联事件、告警、漏洞威胁调查。

（3）攻击链分析。对调查任务中的数据做统计分析（如攻击者和受害者情况），能够从攻击链角度分析威胁事件，攻击链可以从时间维度和攻击阶段维度两个视角对其进行展示。

（4）联动响应。当发现失陷主机、恶意域名等威胁事件后，可以及时给相关设备发送联动消息，遏制威胁事态升级。

（5）关联分析。包括安全日志、网络流量日志、服务器日志、中间件日志和其他安全日志等。

（6）威胁情报匹配。与失陷类威胁情报匹配，可以发现僵尸网络、勒索软件、APT事件和远控木马等较为严重的威胁事件。

（7）加固对象。网络设备、安全设备（配置和策略）、服务器操作系统、通用中间件、通用数据库。

（8）加固内容。安全补丁、安全配置、日志配置、服务、自身脆弱性等。

（9）威胁情报升级。具备威胁情报库升级能力，情报类型包含：定向攻击、僵尸网络、勒索软件、黑市工具、远控木马、窃密木马、网络蠕虫、流氓推广、其他事件。

（10）规则建模。对时间范围内符合过滤条件的日志出现的次数进行计数，实现统计规则建模。例如，对暴力破解场景下，登录日志中账号登录失败的次数进行统计以触发告警，对多种日志类型进行序列规则建模，结合2-5个“日志过滤”计算单元输出事件发生的顺序进行判断，发现复杂场景下的威胁事件。对“永恒之蓝”勒索病毒攻击的一系列先后发生的事件进行判断，触发威胁告警。

（11）关联建模。根据时间范围内2个“日志过滤”计算单元进行关联建模，发现可信度更高的威胁告警。例如，当IPS日志和防火墙日志基于相同源IP地址产生一条日志记录，认为此时应该产生一条威胁告警。

（12）规则库。通过高级数据分析和威胁分析，构建预置规则，提升威胁告警数据精准分析能力。

（13）威胁、风险、事件的可视化展示。集中归集的威胁数据，并依据数据进行风险判断，结合外部的风险预警情况进行风险指数判断，并将威胁分析、人工智能规则和场景化结果等进行综合可视化展示，动态描述威胁和风险变化，展示告警事件的来源与目标，以及告警事件的扩散变化。展示包括资产风险告警、外部威胁告警、安全运维告警等，并支持统计、类比、排名等数据和图形化展示模式。

（14）数据深入分析与攻防技术能力提升。通过智能的数据筛选，并结合专业威胁分析人员的深入分析、关联分析、溯源分析，以及厂商的攻防经验和数据建模经验，形成专业的安全威胁分析和处置团队，提升安全运维能力。

（15）安全管控，形成威胁的快速响应处置机制。以威胁深入分析和安全事件定位为抓手，将安全精准告警、安全事件验证和判断、风险快速响应处置作为完整响应管理机制，从而将安全监控与预警处置工作打通，从安全管控的角度大幅提升安全运维标准化能力，减小安全运维工作难度，提升运维效果。

（16）智能可视化展示。具备数据结果与响应处置的可视化展示能力，能够基于大屏展示结果，定制化展示内容与方式。

结束语

本次内蒙古广播电视台网络安全告警运营平台的建设打通了目前所有安全检测与防护类设备之间的壁垒，将未知威胁检测、沙箱、溯源、终端安全、服务器安全、防火墙、IDS、IPS、WAF等安全软硬设备告警数据统一归集，实现集中分析并得出明确的安全分析和威胁告警事件，基于风险和告警进行综合可视化展示，对数据采用可定制的规则和场景自动化分析，结合深入的数据分析、关联分析等安全分析模型，明确威胁和风险，将网络安全保障中出现的入侵、破坏、窃取、扩散等危害行为明确化，形成威胁和风险的直观可视。

针对安全运维工作中发现的漏洞、补丁、违规、脆弱性、入侵、不当配置与策略、病毒传播、数据窃密等开展安全加固工作，进行病毒防护、漏洞修复、攻击防护、配置优化、违规防护、端口和服务防护等。

内蒙古广播电视台通过数据的深入分析和场景化建设，培养和建设安全攻防的优秀人才队伍，以实际的安全数据和威胁处置作为工作的核心内容，通过安全培训，实现网络安全防护能力从“被动防御明确攻击”向“主动发现安全威胁”转变，建成厂商专家、安全骨干、日常运维的多方运维团队，具备攻防理念和知识储备，做到安全问题及时发现，安全事件快速处置，安全检测及时优化，安全工作标准有效。