湖北武汉MSS“人机共智”安全运营服务

1.1项目背景

随着网络空间战竞争越来激烈，2014年习近平主席提出“没有网络安全就没有国家安全”的重要思想，将网络安全提到国家战略层面。 这一战略的层面给我们信息化安全工作带来了多方面改变，也使得单位的被监管压力与日俱增，越来越多监管以及重点时期保障行为着重强调实际安全防护效果。其次，当前外部威胁变化过快，存在安全攻防不对等的情况，本质原因是以往的建设思路无法满足当前监管形势以及安全变化趋势的要求，单位内部也无法高精尖的安全人才持续保驾护航。因此希望通过本次项目的建设，发挥现有安全技术体系和管理体系的安全效果，并在此基础上构建以安全效果为目标的持续化安全运营体系。

为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发[2003]27号）提出的“积极防御、综合治理”的安全战略方针，创建安全健康的网络环境，保护公司利益，促进公司信息系统的深入发展，需要借助专业的安全管理和服务工作提供对信息安全保障建设的方法、工具、产品及服务，以整体安全防护的视角，实现公司信息系统从网络、流量、设备、系统、业务、安全的整体建设。同时，由于信息安全的复杂性、全面性、动态性和主动性等特性，对安全专业技术人员提出了非常高的要求，对公司信息中心本身来说，也成为一种挑战，因此，中心考虑采用网络安全服务外包的方式，来进一步夯实网络安全能力，并借助专业的安全能力，在突发安全事件上，能够快速响应并解决。

1.2 项目建设必要性和功效

（1）信息系统安全的需要性

公司信息化建设目前已采购一定数量的安全硬件设备，但对于单位现存的信息化业务系统，其本身存在的安全风险点在哪里，安全设备的策略是否匹配其风险等问题，依然模糊。同时，《中华人名共和国网络安全法》第三十九条也指出：国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。

（2）突发网络安全问题的应急预案

新一代威胁不仅传播速度更快，其所利用的攻击面也越来越宽广，可以覆盖移动、桌面、网络、Web和各种应用、社交网络等。考虑到单位技术实力有限，在当前的大环境下，一方面留给应急响应的时间窗口越来越小，另一方面应急响应所需的威胁知识、专业技能、技术手段等却不断增加。专业化、系统化的快速反应服务可以帮助单位在关键时刻减少损失，保障信息系统安全运行。《中华人名共和国网络安全法》第五十五条相关条例：发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

（3）统一监测和管理的需要

单位的网络安全问题，将在多个维度的业务关系中引起连锁反应。所以，单位内部的信息收集和分析以及提前预警显得十分重要。统一安全管理平台的构建和单位全网数据流量的分析，可以实现单位内部网络安全信息的统一管理，达到建立公司内部统一安全体系的作用，满足《中华人名共和国网络安全法》第五十二条的相关号召负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

1.3 项目目标

 

1.4 项目内容一览表

 

2                      安全现状分析与挑战

2.1 网络安全现状分析

2.1.1外部监管要求越来越严格，自身无法独立应对

随着网络空间战竞争越来激烈，2014年习近平主席提出“没有网络安全就没有国家安全”的重要思想，将网络安全提到国家战略层面。 这一战略的层面给我们信息化安全工作带来了多方面改变：

一、大量的法律、法规不断完善，要求越来越严

《网络安全法》已于2017年6月1日正式实施，针对违法行为可直接处罚相关单位和相关人员，目前已有不少单位受到实质性处罚。《等保2.0标准》已正式发布，从以前的业务到现在的云大物移工，该标准相较于《等保1.0标准》细化了很多条款，要求越来越严格。

二、安全检查方式不断升级，频率越来越密，力度越来越大

鉴于当前网络安全态势，相关监管单位正在积极履行监管职责，下发各类安全检查要求。从单位自查、技术检测、现场访谈检查以及攻防演习，安全检查方式不断升级。今年正值“70周年”大庆，相关监管单位均有意加强监管力度，各类监管技术均有使用，对单位日常安全工作造成较大压力。

三、重保时期网络安全保障压力越来越大

今年HW行动的演习范围有增无减，攻击方和防守方数量均属空前。HW行动的本质是以实战性的检验方法检验单位的信息安全防护水平。大量被攻破的案例告诉我们，安全防护水平的提升不单单依靠现有产品，更重要的是查漏补缺，以及具备高阶的安全专家用好现有的防护体系，目前单位内部安全保障压力较大。

2.1.2 安全攻防不对等，外部威胁变化过快

目前根据单位当前安全建设情况，存在以下两个问题：

一、安全攻防不对等导致安全事件频发

根据verizon 2018年数据泄露调查报告，黑客往往在数分钟内就攻击成功，而作为防守方发现攻击事件往往需要数周，甚至数月。造成这种情况的本质是攻防双方知识积累不对等。作为安全部门，每天需要面对可随时调集互联网上资源的黑客，这些黑客很有可能借助庞大的地下黑产链条对单位业务系统实施网络攻击，且大部分黑客均由兴趣和利益驱动，催生很多攻击高手，攻击手法多变。而安全部门能够调集的资源有限，威胁情报来源不足，日常工作以单位业务为目标，难以一直集中精力研究攻防技术，导致现阶段安全攻防不对等。目前单位边界防火墙每天收到的攻击日志高达几千次，可见当前业务系统面对的安全压力巨大。

二、外部威胁变化过快，难以及时响应

2018 年，CNCERT 捕获勒索软件近 14 万个，全年总体呈现增长趋势！勒索软件 GandCrab 一年时间内就出现了约 19 个版本，还一直快速更新迭代。其次伴随“勒索软件即服务”产业的兴起，活跃勒索软件数量呈现快速增长势头，且更新频率和威胁广度都大幅度增加。一切迹象表明外部威胁变化过快，作为安全部门，当前缺乏最新威胁的监测以及及时响应能力。

2.2 网络安全现状根因分析

2.2.1现有建设思路无法达到安全效果的预期

以往信息化工作一直存在着“重业务，轻安全”的情况，随着《网络安全法》相关法律、法规的颁发和实施，网络安全的重要性有了显著提高，但于此同时，网络安全的建设工作依然存在误区。在这些误区中，“重建设、轻运营”最为明显。“重建设”是指安全建设集中在安全设备采购，部署后缺乏专人运转，导致发生安全事件时不能及时发现以及动态防护。“轻运营”是指当前日常安全工作受限于人力、技术资源，安全运营经验不足，导致安全效果无法达到预期。

2.2.2 高阶人才稀缺，安全事件无法有效处置

网络安全表面看起来是攻防之间的博弈关系，但实际是海量攻击手法和海量防御手法之间较量。意味着企业或组织要想拥有较多的防御手法，就必须了解攻击的各个阶段，并根据各个攻击阶段评估下一阶段攻击手法，制定防御措施。如网络攻击生命周期（Cyber Attack Life Cycle）中，在执行攻击（Execute）前，往往有侦察（Recon）和利用（Exploit）、控制（Control）阶段。

这就对单位安全人员提出了很高技术要求，既要了解攻击手法、又要精通防御手段以及安全数据分析和高执行力。在现实情况下，单位内部培养高阶安全专家成本太高，培养时间过长，即使培养出了个别高阶网络安全人才也极因各种原因造成人员流动，造成了单位的网络安全领域高阶人才缺失。

其次，由于当前高阶安全专家的缺失，导致安全事件无法有效处置。单位内部现有安全事件的识别基于安全设备，安全设备上只会给出描述疑似安全事件的安全日志，这会导致两个问题：大量的安全日志需要进行研判，判断是否真实存在安全信息；安全设备上只有安全日志，并无描述真实可行的处置建议，导致组织在面对安全事件时无法闭环处置，也无法持续跟进安全事件处置情况。

2.2.3 现有服务无法满足网络安全需求

在现有安全措施无法保障该有的安全效果情况下，尝试外购一些安全服务来保障安全效果。但以往的安全服务服务水平参差不齐，服务效果不达预期，并无法满足我方网络安全需求，主要存在以下问题：

一、服务过程不可视

以往的安全服务无法及时掌握第三方服务人员的工作过程，服务价值感知度低。虽然设立了相应的服务沟通机制，但有时服务过程中存在感降低，导致当发生服务效果偏移时，单位没办法第一时间介入、指导调整，整体服务交付效果较差。

二、服务周期不持续

以往的安全服务均为周期性服务，且服务间隔过大，无法应对持续性的安全威胁；从自身单位的安全事件统计来看，业务系统遭受尝试性入侵的时间普遍集中在晚间，现有缺乏应对措施。其次，服务周期过大还存在着另外一个安全隐患。2018年共计发现了超过15000个新漏洞，平均每天41个漏洞，服务周期一旦过大，会导致单位内部的业务系统存在较多漏洞以及较长的漏洞利用时间。

三、服务质量不稳定

以往的安全服务现场服务人员能力水平参差不齐，存在一个项目辗转多人交付的情况，交付质量不稳定。

四、缺乏安全能力沉淀

服务提供商难以在服务过程中将知识转移给单位，无法帮助单位沉淀安全能力。

3 解决思路

3.1发挥现有安全技术体系和管理体系的安全效果

单位的安全建设已进行多年，期间技术体系和管理体系均有相应的措施和制度。从目前看，现有安全技术体系和管理体系设计的安全效果还没有真正发挥，发挥安全效果首先就要发挥现有安全技术体系和管理体系的效果。其有两个好处，保护现有技术投资，平滑过渡，逐步优化。其次，现有管理体系已实行多年，管理体系现阶段不宜大规模变动，只能做少量优化并认真审视贯彻结果。

 

<图3.1-1安全运营有助于安全技术和安全管理落地>

 

3.2 构建以安全效果为目标的持续化安全运营体系

以安全效果为目标的安全运营体系需要持续化进行，也就是需要贯穿日常安全工作中。安全工作本身是风险管控的过程，在信息安全领域，风险主要存在有4个控制要素：资产、漏洞、威胁、事件，只有将上述4个控制要素管控好，才有可能管控好风险，最终实现安全合规，安全风险可控，安全能力可量化。深信服在业界首创“人机共智”模式，构建持续、主动、闭环的安全运营体系。

“人机共智”模式与“设备+人员”的传统模式的区别：传统的模式“设备+人员”是松耦合的配合模式：人员在设备上面配置策略，由设备产生一定的安全信息，再由人员做判断，输出相应的服务报告。深信服“人机共智”模式，在于“人员和机器”是强耦合的配合模式，安全专家长时间的经验可以固化到机器中，提高效率与效果；机器检测到的安全信息再由安全专家进行确认，此过程等同是机器训练的过程。同时，“人机共智”不单单体现在安全问题检测上，在安全问题的处置上，安全专家固化出每一类安全事件的操作规范，在持续服务的过程中持续校验、审视操作规范，确保每个事件可被专业处置，最终实现检测效率越来越高，处置程度越来越专业，人和机器高效融合。 

构建安全运营体系最有效的方法就是以“人机共智”的方式高效整合技术、人员、流程。

4安全运营建设方法设计

4.1参考标准

《中华人民共和国网络安全法》

《信息安全技术 信息系统安全等级保护基本要求》

《信息安全技术 网络安全等级保护设计技术要求》

《信息安全技术 网络安全事件应急演练通用指南》

《信息安全技术 网络安全威胁信息表达模型》

《信息安全技术 网络产品和服务安全通用要求》

《信息安全技术 网络攻击定义及描述规范》

《信息安全技术 安全漏洞分类》

《信息安全技术 安全漏洞等级划分指南》

《信息安全技术 信息安全漏洞管理规范》

《国家网络安全事件应急预案》

《信息安全技术 信息安全事件分类分级指南》

《信息安全技术 网络安全事件应急演练通用指南》

《信息安全技术 信息安全应急响应计划规范》

《信息技术 安全技术 信息安全事件管理》

《信息安全技术 大数据服务安全能力要求》

4.2  国内外安全体系

4.2.1 IATF框架

IATF，《信息保障技术框架》（IATF：Information Assurance [ə'ʃuərəns] Technical Framework )是美国国家安全局（NSA）National Security Agency 制定，用于描述其信息保障的指导性文件。2002年，我们国家973“信息与网络安全体系研究”课题组将IATF3.0版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。

　IATF提出的信息保障的核心思想是纵深防御战略（Defense in Depth）。在纵深防御战略中指出，人、技术和操作（operations 也可以译为流程）是三个主要核心因素，要保障信息及信息系统的安全，三者缺一不可。人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系核心。

安全运营中心旨在构建一个面向运营的安全保障体系，安全运营的目的是使“保障安全手段（产品+技术）的应用”能够达到预期的良好效果（Effect）和提高效率（Efficiency），其本质就是“人、技术、流程”的有效结合，IATF对于安全运营中心的建设具有重要的参考价值。

4.2.2 自适应安全框架

自适应安全框架（ASA）是Gartner于2014年提出的面向下一代的安全体系框架，以应对云大物移智时代所面临的安全形势。自适应安全框架（ASA）从预测、防御、检测、响应四个维度，强调安全防护是一个持续处理的、循环的过程，细粒度、多角度、持续化的对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制。

 

相对于PDR模型，自适应安全框架（ASA）框架增加了安全威胁“预测”的环节，其目的在于通过主动学习并识别未知的异常事件来嗅探潜在的、未暴露的安全威胁，更深入的诠释了“主动防御”的思想理念，