面向安全态势感知的统一运营技术研究

互联网的应用极大的便利了人们的生产生活，很多企业在如火如荼的开展数字化转型。伴随而来的是形势日益严重的网络安全。安全态势感知的研发和部署，极大的提升了企业保障网络安全的技术能力。但是经过对多个企业用户的观察发现，安全态势感知发挥的作用大小取决于是否进行了有效的安全运营。本文主要探讨面向安全态势感知的安全运营技术方案，以期提供参考。

1 研究背景

近年来，网络攻击手段不断升级，网络攻击目标不断扩大，网络安全事故层出不穷，给人们的生产生活造成了极大的威胁，迫使人们不得不对网络安全给予足够的重视[1]，同时随着国家对网络安全前瞻性的布局，把网络安全提升为国家战略，颁布实施了多种网络安全法律法规的，使得网络安全在国内得到了快速的发展[2]。为了满足人们对越发高涨的网络安全的需求，安全态势感知平台应运而生[3] [4]。很多用户在实际网络中部署了安全态势感知平台，用户通过综合利用安全态势感知平台，实施安全运营，转被动防御为主动防御，极大的提升了用户的网络安全建设水平，有利的保障了用户的网络安全[5][6]。

在实际网络安全建设实践中，通过对多家用户的观察，同样部署了网络安全态势感知平台，有的用户网络安全建设的很好，能有效保障用户的网络安全，避免了网络安全事故发生，而对有的用户却没有发挥作用，网络安全事件仍然持续发生，网络安全没有得到很好的保障，整体的网络安全建设水平比较低下。通过分析发现网络安全建设需要持续的安全运营，而不是一次性建设。网络安全建设的好坏取决于安全运营工作的好坏，而安全运营的好坏取决于安全态势感知平台的安全人员是否真正有效利用安全态势感知平台进行安全事件分析，处置[7]。SANS在《2021年度SOC调研报告》中指出，SOC完全用起来最大的挑战来自于缺乏有技能的人员[8]，反映出安全态势感知发挥作用的大小与有效的安全运营息息相关。

通过进一步分析，发现当前的网络安全运营均局限在了单个用户内，比较封闭，网络安全建设的工作，安全人员的工作均没有有效的参考对比，这就造成了用户孤岛效应。网络安全建设的怎么样，建设的好不好，哪里还可以提升，这些问题都无法有效回答，因此出现了用户的网络安全水平随着安全人员的主观，能力水平波动的现象。

当前阶段，网络安全持续运营最大的挑战来自于让安全人员充分利用安全态势感知平台对用户的网络安全进行持续不断的分析，处置。如何利用产品和工具来保障安全运营落到实处，如何衡量用户网络安全建设水平，如何衡量安全人员的工作成效，是网络安全厂商和用户共同面对的难题，也是业界研究的重点课题。

2 统一运营方案的技术研究

为破解安全运营发展难题，提升产品对用户安全运营的衡量和监控，促进安全运营的良性开展，经过多年的网络安全运营的实践积累和技术创新，我们逐渐摸索出一套面向安全态势感知的统一安全运营的新思路，新方法，新平台。自主研发了统一安全事件运营平台，可以对多个用户统一跟踪分析，量化安全服务人员的安全事件处置能力，衡量用户安全运营健康状态，掌握网络安全运营基线，改善和提升用户的安全运营水平，实现可持续安全运营的理念。

2.1 总体设计

如图1所示，态势感知安全事件统一运营平台整体分为3层，分别为数据采集层、模型评估层、意见提升层，层层递进，构建了完整的运营流程，帮助用户提升安全态势感知的运营能力，加强网络安全建设的水平。

2.2 解决方案

1）数据采集

数据采集层主要负责从各个用户采集预先定义好的数据，以固定格式经过加密后发送到统一运营平台。这个环节需要注意保护用户的隐私数据。

2）模型评估

统一运营平台在确认用户运营数据收到以后，开始构建指标评估，并构建魔力象限成熟度模型和历史基线成熟度模型。

a、评估指标

根据用户上报的运营数据，构建各个基础评估指标项，用于下一步的模型评估。

b、魔力象限模型

魔力象限成熟度模型实现了不同用户之间的横向对比，对用户的实际运营数据进行分析，分别从安全事件查准、安全事件查全、安全事件误报忽略、风险残留四个维度进行计算，构建X轴为事件查全和事件查准能力打分，构建Y轴为残留风险可控能力打分。构建的魔力象限成熟度模型如图2所示，其中，使用聚类算法，讲成熟度相似的用户使用相同颜色、形状标记。整体上看，越靠右，威胁发现和处置安全事件能力越强，越靠上，残余风险越低。从宏观上，使安全人员对自身的安全运营情况一目了然。

c、历史基线模型

历史基线成熟度模型从4个维度指标，3种状态评价来刻画了用户的历史安全运营水平的变化趋势，衡量和指导用户的网络安全运营能力和提升方向。通过对历史数据点，使用最小二乘法进行线性拟合，得到历史数据变化趋势折线，斜率的绝对值越大，表示越不稳定，表现在用户上一般为运营建设初期，斜率绝对值越小，表示越稳定，表现在用户上一般为运营建设后期。用户的安全人员，可以根据历史基线模型，判断态势感知平台运营是否持续健康，是否偏离最低安全运营基线。图3所示为某运营相对优秀的用户累计运营14周所生成的历史成熟度模型。图4所示为某运营相对较差的用户累计运营13周的历史基线成熟度模型。

3）意见提升

用户的安全人员在安全态势感知平台上可以从魔力象限成熟度模型和历史基线成熟度模型看到自身所处的象限以及基线偏离。安全态势感知平台会根据模型给出用户安全运营的提升意见。

a、魔力象限成熟度模型解读

如图2所示，所有用户的残余风险均偏弱了，并且中毒事件绝大多数都被处置，安全运营工作有成效。其中，在第一象限内的局点，又存在3个梯度，用不同的颜色和形状表示，越靠近右上角的局点，安全事件运营能力越强。图2中第二象限的用户安全事件的处置能力和查全能力不足，需要安全管理人员关注，检查平台模块是否正常运行，日志接入数量是否正常，配置是否正确合理，特征库是否及时升级等，可使用安全态势感知平台运营健康体检工具辅助自动化分析。图2第四象限残余风险很高，需要重点关注，保持态势感知平台健康稳定运行，加强安全事件分析和处置。“我的位置”重点标识了当前用户所处位置，在图2中处于第一象限靠后位置，可以理解为安全事件运营能力较强，但仍存在提升空间，表现合格。

b、历史基线成熟度模型解读

在图3所示的用户历史基线成熟度模型可以看出：该用户整体表现良好，4项指标全部符合安全事件运营基线要求，事件查全率稳定，事件查准率稳定，误报逐渐降低，残余风险逐渐下降。而从图4所示的某用户累计运营13周的历史基线成熟度模型可以看出，事件查全逐渐上升，事件查准逐渐下降，前期没有进行误报处置，当前误报事件较多，残余风险逐渐上升，且多次超过运营基线要求。需要及时分析处置安全事件，将风险控制在合理范围之内。

3 结语

实践证明，面向安全态势感知的统一运营平台能有效衡量和评估用户的安全运营能力，并很好指导安全服务人员有针对性的提升网络安全运营能力，进而有效推动用户的网络安全建设健康有序发展。

1）随势而变

随着用户网络安全运营能力的提升，现有的衡量指标和衡量方法未必能继续适应统一安全运营的形势，后续统一安全运营将继续摸索和实践更加合乎用户实际情况的衡量指标和衡量方法，继续推动客户的网络安全建设。

2）更加注重隐私保护

随着隐私保护的重要性提升，后续将混合多种隐私保护技术和安全访问技术，确保用户隐私保密。

3）支持涉密用户的安全运营工作

探索通过部署本地化的形式和其他技术来满足无互联网络场景，数据只进不出等涉密保密单位的安全运营的需要。

参考文献：

[1] 国家互联网应急中心CNCERT. 2020年中国互联网网络安全报告[EB/OL].
http://www.cac.gov.cn/2021-07/21/c_1628454189500041.htm.
[3] 缪炀. 网络态势感知风生水起[J]. 中国信息安全, 2011年02期.

[4] 范絮妍,吴小倩,冯立胜,王欣. 电子政务数据安全态势感知平台建设实践探索[J]. 信息安全研究, 2021, 7(10):
954-.

[5] 崔光耀. 安全运营为安全赋能[J]. 中国信息安全, 2019 (8): 3-3.

[6] 何丹宁,洪增荣. “人机共智”做好安全运营工作[J]. 中国信息安全;2019年08期

[7] 吕毅. 从信息安全运维向信息安全运营进化的探讨[A].2018第七届全国安全等级保护技术大会论文集[C],2018年

[8] Christopher Crowley, John Pescatore. A SANS 2021 Survey: Security
Operations Center (SOC)
[EB/OL].https://www.sans.org/white-papers/sans-2021-survey-security-operations-center-soc/