如何建设检察工作网态势感知与安全运营平台

时间:2019-04-04 16:32:00作者:新闻来源:正义网

评论投稿打印转发复制链接||字号

  在2016年习主席“419讲话”、《中华人民共和国网络安全法》、《“十三五”国家信息化规划》、等保2.0等相关法律政策,以及近几年网络严峻的网络安全形式的影响下,态势感知建设如临大潮。最高人民检察院贯彻中央部署要求,向全国检察院印发《检察工作网安全保障系统建设指导意见》文件中要求,高检院和省级院分别建设协同防御、积极响应的安全管理中心,包括安全管理平台和态势感知平台,实现安全系统协同联动防御,全网统一安全管理及整体安全态势的掌控、呈现和响应。

  检察院在网络安全保障工作中,检察院安全管理者随时了解全局的安全态势,准确发现、分析、处置安全事件,将安全风险控制在合理的区间内,需要构建完善的安全运营体系,在安全运营体系的建设过程中有诸多挑战:

  资产管理基础弱,安全问题定位难:对于攻击者而言不被发现就意味着安全,但是对于安全管理者无法发现网络内的资产就以为着安全失控。检察工作网不具备完善的资产信息库,就无法了解网内资产状况与风险,发生安全事件就无法快速定位。因此有效资产管理是安全运营工作的重要基础。

  安全数据太分散,整体态势难掌控:检察工作网承载的业务越来越复杂,各种审计信息、告警信息独立存放,基于单一视角安全管理员无法及时准确掌握网络的整体安全态势。因此,需要各类数据统一采集起来进行安全分析并按照检察工作网的网络结构、业务逻辑实时呈现出来,才能准确掌握检察工作网安全状态。

  攻击检测较滞后,威胁发现能力弱:传统的安全技术手段主要是利用检测设备的特征库、规则等进行模式匹配,对发现已知威胁较为有效,对于高级持续性威胁,无论是在安全威胁的检测还是响应、溯源等方面都存在严重不足。因此需要引入大数据、威胁情报、机器学习等新技术,通过多维的威胁检测技术才能有效监测高级持续性威胁。

  人员配置较精简,响应处置不及时:检察工作网规模日益庞大的同时安全事件也在不断增加,安全管理人员数量及专业技能无法跟上技术的发展,往往都一人身兼多职,在实际安全运营中没有专岗,导致大多数安全告警无法及时有效的处置。要满足国家政策规划及日常安全运营需求,检察院需要构建完善安全运营保障体系。

  安全体系未完善,合规落实有欠缺:按照网络安全法与检察院网络安全保障等相关规定,检察院应依据等保三级标准建立和完善检察工作网网络安全保障系统,在检院和省级院分别建设协同防御、积极响应的安全管理中心,实现安全系统协同联动防御。

  态势感知平台与安全运营平台解决方案

  根据《检察工作网安全保障系统建设意见》建设总体思路和设计指导原则,以支撑检察工作网业务应用为目标,以保护重要数据资产为核心。把360多年的网络安全攻防对抗经验和在公安、法院、部委、央企等行业态势感知建设经验相结合,建设检察工作网以态势感知平台为基础的安全运营体系,构建检察工作网安全保障的“大脑”。通过以数据驱动的自适应体系,建设威胁预测能力、威胁防御能力、威胁检测能力、威胁响应能力,实现安全运营闭环管理。

  根据检察工作网结构态势感知与安全运营平台采用分级模式部署运行,在省级检察院和有条件的市级检察院部署态势感知与安全运营平台,通过统一收集外部威胁情报、身份信息、资产信息,省检察院态势感知与安全运营平台上至最高检下至所辖市、县级检察院基于分级分布管理,实现集成联通、服务联动、一体化应用。

  建设思路

  1)理资产:梳理检察工作网IT资产信息,建立完整资产档案和网络底图,清楚定义需要保护的目标资产,为态势感知平台与安全运营工作打下基础。

  2)搭平台:建设态势感知与安全运营平台,为安全运营人员提供威胁发现、分析调查及响应处置安全运营平台。

  3)采数据:接入各类日志数据、流量数据、资产数据、漏洞数据和威胁情报,形成统一的数据池,为后续的检测、分析和态势感知提供基础支撑。

  4)建模型:根据检察工作网网络特征与业务场景构建安全分析模型,对检察工作网持续检测,发现攻击和异常行为,同时自动化智能化的计算网络风险。

  5)展态势:将安全分析结果与风险计算结果按照检察工作网的网络结构、业务逻辑实时呈现出来,帮助安全管理者实时准确的掌握安全态势。

  6)快处置:建立高效的闭环安全事件处置体系,协同安全运营人员及防御设备快速处置安全事件。

  7)重运营:建立完善的安全运营体系,包括安全运营组织、安全运营流程、安全服务能力。持续安全运营工作,构建完善的安全保障体系。

  应用价值

  1)持续监测检察工作网,直观掌控安全态势

  全面收集检察工作网资产数据、漏洞数据、日志数据、流量数据和威胁情报,通过分析检察工作网安全事件和风险指标,帮助检察院的安全管理者持续监控网络安全态势,为安全管理者提供安全态势、风险评估和应急响应的决策支撑。

  2)多维度威胁检测,增强威胁发现能力

  传统的威胁检测手段由于检测维度单一,经常会出现产生大量误报的情况。大量的告警会超出人能够处置的范围,导致系统本质上难以真正应用并产生价值。为了解决这一问题,系统将360在威胁检测方面积累的大量能力内化,通过检测引擎、威胁情报、场景化检测规则、机器学习和关联规则等多维度进行威胁的研判。从而给用户带来最精准有效的威胁告警。

  3)构建协同体系,提升事件响应效率

  实现自适应安全架构(ASA)是安全运营的最终目标,360态势感知与安全运营平台是安全运营的基础平台,通过协同威胁情报、安全运营人员、安全检测/防御设备构建系统体系,能够大量降低安全管理者的重复工作,提升工作效率。真正的成为检察工作网安全保障的“大脑”。

  4)专业安全运营服务,提高安全运营质量

  360在业界首个提供“三线”的专业安全运营服务:

  一线:帮助客户使用平台,提供日常的平台运维及告警分析处置服务;

  二线:提供运营二线支持,包括告警深入分析、事件应急响应及运营方案咨询;

  三线:提供威胁检测场景的研究及持续更新,建立平台攻防知识体系;

  5)完善安全保障体系,落实上级合规政策

  通过高检院和省级院分别建设协同防御、积极响应的安全管理中心,满足国家政策和检察院行业规划要求,完善检察工作网安全保障系统,增强精确感知的安全预警能力和快速响应的应急处置能力,实现网络安全由边界防护、被动防御向全域联动、主动防御转变,提高检察工作网整体防护水平,形成与智慧检务相适应的智能化网络安全保障系统。

[责任编辑:高航]
下一篇文章:智慧检务篇--深信服检察工作网安全保障系统解决方案