企業(yè)網(wǎng)絡(luò)信息安全自動(dòng)化防護(hù)方案淺析

趙奕霖，沈濤，宋齊軍，杜鋒，馬朝暾（.中訊郵電咨詢?cè)O(shè)計(jì)院有限公司鄭州分公司，河南 鄭州 450007；.中訊郵電咨詢?cè)O(shè)計(jì)院有限公司，北京 00048）

0 前言

“十四五”以來(lái)，數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，各行各業(yè)迎來(lái)了數(shù)字化轉(zhuǎn)型新機(jī)遇，越來(lái)越多的數(shù)字化生產(chǎn)類、管理類、創(chuàng)新類業(yè)務(wù)平臺(tái)應(yīng)運(yùn)而生，隨之而來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和問(wèn)題逐漸成為企業(yè)發(fā)展的重大威脅［1，2］。作為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、發(fā)展數(shù)字經(jīng)濟(jì)的基石，網(wǎng)絡(luò)安全關(guān)乎著企業(yè)發(fā)展、國(guó)家安全、人民幸福。鑒于此，提升網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行安全保障能力，構(gòu)筑網(wǎng)絡(luò)空間安全可信的第1 道防線，成為企業(yè)網(wǎng)絡(luò)安全防護(hù)工作的重中之重。隨著來(lái)自網(wǎng)絡(luò)空間的安全威脅與安全攻擊日益劇增，傳統(tǒng)企業(yè)網(wǎng)絡(luò)信息安全防護(hù)模式面臨著越來(lái)越多困難和挑戰(zhàn)，探索一種能降低企業(yè)安全管理成本同時(shí)提高安全管理可靠性的網(wǎng)絡(luò)信息安全自動(dòng)化、智能化防護(hù)方案勢(shì)在必行。

1 企業(yè)網(wǎng)絡(luò)信息安全防護(hù)現(xiàn)狀與不足

隨著網(wǎng)絡(luò)和信息技術(shù)的高速發(fā)展和普及，信息化已經(jīng)成為現(xiàn)代企業(yè)生存和發(fā)展的必備條件。通過(guò)建立企業(yè)局域網(wǎng)［3］（內(nèi)網(wǎng)），并在其基礎(chǔ)上開(kāi)發(fā)與應(yīng)用各種基礎(chǔ)專業(yè)軟件，可有效地實(shí)現(xiàn)企業(yè)內(nèi)部的資源共享、信息發(fā)布、技術(shù)交流、生產(chǎn)組織。此外，通過(guò)互聯(lián)網(wǎng)出口與外網(wǎng)相連，企業(yè)可方便地實(shí)現(xiàn)內(nèi)外部信息雙向交互。然而，信息的雙向交互在為企業(yè)信息化、數(shù)字化發(fā)展提供便利的同時(shí)，也給企業(yè)帶來(lái)了來(lái)自外部網(wǎng)絡(luò)世界的安全威脅和安全攻擊。為有效應(yīng)對(duì)威脅和攻擊，企業(yè)通常會(huì)采購(gòu)諸如邊界防火墻、IDS、態(tài)勢(shì)感知系統(tǒng)、防病毒網(wǎng)關(guān)等安全管理設(shè)備，并安排專職安全管理人員、安全技術(shù)人員運(yùn)用這些設(shè)備或系統(tǒng)進(jìn)行手工安全防護(hù)［4-6］。隨著來(lái)自網(wǎng)絡(luò)空間的安全威脅與安全攻擊日益劇增，傳統(tǒng)的手工安全防護(hù)模式面臨越來(lái)越多的挑戰(zhàn)和困難，主要包括以下方面。

a）安全防護(hù)任務(wù)繁重，安全管理人工成本高。企業(yè)網(wǎng)絡(luò)安全管理及安全技術(shù)人員除要應(yīng)對(duì)來(lái)自網(wǎng)絡(luò)空間的日常安全攻擊外，往往還要承擔(dān)著特殊時(shí)期的安全重保工作，隨著企業(yè)互聯(lián)網(wǎng)暴露面系統(tǒng)不斷增多，安全防護(hù)任務(wù)越發(fā)沉重，企業(yè)用于投入安全工作的人力成本直線上升，這給企業(yè)生產(chǎn)經(jīng)營(yíng)帶來(lái)了一定負(fù)擔(dān)。

b）安全防護(hù)系統(tǒng)與設(shè)備種類繁多，統(tǒng)一管理難度大。企業(yè)往往會(huì)根據(jù)自身安全防護(hù)需要采購(gòu)多家安全公司的、不同種類不同功能的安全防護(hù)系統(tǒng)和設(shè)備。在未統(tǒng)一拉通管理的前提下，如此繁多的安全系統(tǒng)與設(shè)備給安全管理和技術(shù)人員帶來(lái)了更高的學(xué)習(xí)成本，也給企業(yè)統(tǒng)一安全管理造成了很大的困難。

c）重復(fù)勞動(dòng)量大，耗時(shí)耗力且易出錯(cuò)。在日常網(wǎng)絡(luò)信息安全防護(hù)工作中，存在著大量人工重復(fù)勞動(dòng)的工作場(chǎng)景。例如，日常辦公網(wǎng)威脅告警監(jiān)測(cè)、攻擊IP封堵處置、業(yè)務(wù)系統(tǒng)安全漏掃等。這些重復(fù)工作占據(jù)了安全管理員大量時(shí)間，且易出錯(cuò)，這很大程度上制約了安全管理工作效率和質(zhì)量的提升。

d）安全防護(hù)工作臺(tái)賬管理不善。目前大部分企業(yè)安全管理工作依靠線下方式（微信、釘釘、郵件、excel等）進(jìn)行，安全防護(hù)工作信息留痕不充分、臺(tái)賬記錄往往較為隨意、不系統(tǒng)，這給后續(xù)安全事件復(fù)盤和總結(jié)帶來(lái)了很大困難，從而一定程度上制約了企業(yè)網(wǎng)絡(luò)信息安全防護(hù)工作的持續(xù)改進(jìn)。

2 企業(yè)網(wǎng)絡(luò)信息安全自動(dòng)化防護(hù)解決方案

近年來(lái)，為解決傳統(tǒng)手工安全防護(hù)工作存在的問(wèn)題和不足，業(yè)內(nèi)對(duì)網(wǎng)絡(luò)安全自動(dòng)化防護(hù)技術(shù)進(jìn)行了研究，但大都停留在理論層面，且應(yīng)用場(chǎng)景有限［7-9］。針對(duì)這些問(wèn)題，本文提出了一種可落地應(yīng)用的基于企業(yè)內(nèi)部統(tǒng)一安全管控平臺(tái)（以下簡(jiǎn)稱平臺(tái)）的自動(dòng)化安全防護(hù)解決方案。平臺(tái)主要包括數(shù)字化資產(chǎn)統(tǒng)一管理、數(shù)字化安全工作臺(tái)賬管理、自動(dòng)化安全大腦情報(bào)與威脅告警信息統(tǒng)一收集、自動(dòng)化安全研判分析與防御處置調(diào)度、自動(dòng)化安全防御處置執(zhí)行五大基礎(chǔ)模塊。其中，數(shù)字化資產(chǎn)統(tǒng)一管理模塊負(fù)責(zé)對(duì)企業(yè)基礎(chǔ)網(wǎng)絡(luò)設(shè)備（防火墻、路由器、交換機(jī)等）、業(yè)務(wù)系統(tǒng)資產(chǎn)（IP 資產(chǎn)、Web 資產(chǎn)、中間件、數(shù)據(jù)庫(kù)等）進(jìn)行統(tǒng)一線上化管理以替代傳統(tǒng)線下資產(chǎn)管理模式；數(shù)字化安全工作臺(tái)賬管理模塊負(fù)責(zé)對(duì)各項(xiàng)安全管理或防護(hù)工作進(jìn)行全生命周期自動(dòng)化、系統(tǒng)化記錄，并永久存儲(chǔ)。以上2個(gè)模塊是平臺(tái)的基礎(chǔ)服務(wù)提供模塊。下邊具體介紹平臺(tái)的三大業(yè)務(wù)模塊。

2.1 自動(dòng)化安全大腦情報(bào)與威脅告警信息統(tǒng)一收集

該模塊是平臺(tái)的“哨兵”、“千里眼”。安全情報(bào)主要來(lái)自于外部收集（上級(jí)指揮調(diào)度平臺(tái)或安全大腦情報(bào)中心）與內(nèi)部監(jiān)測(cè)（IDS、態(tài)勢(shì)感知等）2 種渠道。如圖1 所示，基于自動(dòng)化技術(shù)的企業(yè)安全情報(bào)收集機(jī)器人（以下簡(jiǎn)稱情報(bào)收集機(jī)器人）拉通了企業(yè)各級(jí)安全情報(bào)和威脅監(jiān)測(cè)系統(tǒng)，實(shí)現(xiàn)全自動(dòng)內(nèi)外部情報(bào)、威脅收集功能，能有效解決傳統(tǒng)情報(bào)收集方式成本高、效率低的問(wèn)題。

圖1 基于自動(dòng)化技術(shù)的企業(yè)安全情報(bào)收集機(jī)器人

該情報(bào)接收機(jī)器人包括定時(shí)任務(wù)管理、后臺(tái)API調(diào)用、Web-driver、OCR 文字識(shí)別、數(shù)據(jù)處理與存儲(chǔ)模塊。

定時(shí)任務(wù)管理模塊負(fù)責(zé)統(tǒng)一調(diào)度管理各平臺(tái)的情報(bào)收集任務(wù)。安全管理員可定制化調(diào)整各平臺(tái)的任務(wù)執(zhí)行策略。

情報(bào)機(jī)器人通過(guò)向各平臺(tái)主動(dòng)發(fā)送Web API請(qǐng)求（數(shù)據(jù)爬蟲(chóng)）收集各平臺(tái)情報(bào)數(shù)據(jù)?；贏PI請(qǐng)求的情報(bào)收集速度通常較快（單次毫秒級(jí)）。然而部分網(wǎng)站出于安全考慮會(huì)通過(guò)技術(shù)手段限制后臺(tái)API 接口爬蟲(chóng)，基于Web-driver 的數(shù)據(jù)抓取則不受此影響。其原理是通過(guò)程序自動(dòng)操作瀏覽器，模擬人進(jìn)行頁(yè)面操作，達(dá)到信息收集的效果。其缺點(diǎn)則是操作速度慢［10］。表1 為2 種數(shù)據(jù)抓取模式的詳細(xì)對(duì)比，通常建議優(yōu)先使用API 接口調(diào)用獲取數(shù)據(jù)，當(dāng)API 調(diào)用受限時(shí)，使用Web-driver作為替代方案。

表1 安全情報(bào)數(shù)據(jù)抓取方案對(duì)比

部分網(wǎng)站會(huì)使用驗(yàn)證碼校驗(yàn)技術(shù)，這給信息自動(dòng)抓取帶來(lái)了很大的困難。OCR 文字識(shí)別模塊負(fù)責(zé)情報(bào)抓取過(guò)程中驗(yàn)證碼的智能識(shí)別。具體步驟為先保存驗(yàn)證碼截圖，再進(jìn)行智能去噪點(diǎn)，最后完成OCR 智能文字識(shí)別。對(duì)經(jīng)常識(shí)別出錯(cuò)的字符，可以運(yùn)用機(jī)器學(xué)習(xí)技術(shù)進(jìn)行有針對(duì)性的樣本訓(xùn)練［11］，在訓(xùn)練得當(dāng)?shù)那闆r下識(shí)別成功率可顯著提升。

完成情報(bào)信息收集后，需要對(duì)威脅告警信息進(jìn)行自動(dòng)分析、整合、存儲(chǔ)，為后續(xù)安全防護(hù)工作提供情報(bào)信息支持。

2.2 自動(dòng)化安全研判分析與防御處置調(diào)度

在傳統(tǒng)的安全防護(hù)體系中，接收到情報(bào)或威脅（以下間稱安全事件）后，由安全專家進(jìn)行研判分析，安全管理員負(fù)責(zé)處置調(diào)度。在處理過(guò)程中，大量的數(shù)據(jù)取證（日志、會(huì)話、告警記錄）工作和處置調(diào)度均依靠純手工操作，耗時(shí)耗力且效率低下。

自動(dòng)化安全研判分析與防御處置調(diào)度機(jī)器人可有效實(shí)現(xiàn)關(guān)鍵信息提取、研判分析數(shù)據(jù)預(yù)收集以及防御處置自動(dòng)調(diào)度。其主要有兩大類應(yīng)用場(chǎng)景。

2.2.1 常態(tài)化安全防護(hù)工作全自動(dòng)化研判分析與防御處置（場(chǎng)景1）

諸如每日漏洞預(yù)警處置、IP 封堵、終端掃描等此類常態(tài)化安全工作可實(shí)現(xiàn)全自動(dòng)化研判分析與防御處置。以每日漏洞預(yù)警處置為例，傳統(tǒng)的漏洞預(yù)警完全依靠人工管理，這種管理模式耗時(shí)耗力且無(wú)法實(shí)現(xiàn)漏洞影響面的精準(zhǔn)管理。如圖2 所示，基于漏洞特征值-資產(chǎn)臺(tái)賬關(guān)聯(lián)的漏洞精準(zhǔn)化預(yù)警可有效解決上述問(wèn)題，其實(shí)現(xiàn)步驟如下：

圖2 每日漏洞預(yù)警自動(dòng)分發(fā)處置機(jī)器人

步驟1：開(kāi)啟定時(shí)任務(wù)，查詢最新漏洞預(yù)警工單并進(jìn)行關(guān)鍵信息提取，包括名稱、級(jí)別、受影響的服務(wù)、防護(hù)或修復(fù)建議等。例如，接收到“Spring RCE 漏洞”，級(jí)別為高危，JDK9 及以上版本會(huì)受此漏洞影響，防護(hù)建議為接入WAF并啟動(dòng)*.class過(guò)濾。

步驟2：通過(guò)漏洞特征值匹配技術(shù)將漏洞影響面與業(yè)務(wù)系統(tǒng)資產(chǎn)臺(tái)賬進(jìn)行關(guān)聯(lián)，精準(zhǔn)匹配出受漏洞影響的業(yè)務(wù)系統(tǒng)。例如，A 業(yè)務(wù)系統(tǒng)采用JDK9，與該漏洞的特征信息匹配，故A系統(tǒng)會(huì)受此漏洞影響，需要進(jìn)行重點(diǎn)預(yù)警通告。

步驟3：向受影響的業(yè)務(wù)系統(tǒng)負(fù)責(zé)人或安全管理員發(fā)送漏洞警報(bào)并記錄系統(tǒng)臺(tái)賬便于后續(xù)管理。

2.2.2 突發(fā)安全事件關(guān)鍵信息智能提取與研判數(shù)據(jù)取證（場(chǎng)景2）

在安全日常管理工作中，例如某IP 攻擊內(nèi)網(wǎng)、某終端染毒、某釣魚(yú)郵件被轉(zhuǎn)發(fā)等突發(fā)安全事件也時(shí)有發(fā)生。這類事件場(chǎng)景中，自動(dòng)化安全研判分析與防御處置調(diào)度機(jī)器人可實(shí)現(xiàn)關(guān)鍵信息智能提取與研判數(shù)據(jù)取證，為專家研判提供依據(jù)。

以公網(wǎng)IP 攻擊行為排查（見(jiàn)圖3）處置為例，假定企業(yè)接收到安全事件工單——“近日情報(bào)中心發(fā)現(xiàn)192.168.124.162 曾出安全攻擊事件，請(qǐng)核查近一個(gè)月內(nèi)是否存在與該地址的交互記錄，并研判影響?！保ㄒ韵潞?jiǎn)稱IP攻擊排查工單），該方案的執(zhí)行步驟如下：

圖3 IP攻擊排查事件研判數(shù)據(jù)取證機(jī)器人

步驟1：開(kāi)啟定時(shí)任務(wù)，查詢到該IP 攻擊排查工單。

步驟2：對(duì)該工單進(jìn)行包含“源—行為動(dòng)作—目的—處置操作—時(shí)間窗口”的關(guān)鍵信息提取，對(duì)應(yīng)上例，即源（192.168.124.162）—行為動(dòng)作（安全攻擊）—目的（公司內(nèi)網(wǎng)）—時(shí)間窗口（1 個(gè)月）—排查內(nèi)容（訪問(wèn)記錄）。

步驟3：根據(jù)關(guān)鍵信息，自動(dòng)匹配防御處置調(diào)度策略，在本例中，機(jī)器人將自動(dòng)查詢最近1 個(gè)月192.168.124.162 的會(huì)話記錄（全流程系統(tǒng)）、訪問(wèn)告警日志（IDS、態(tài)勢(shì)感知），并將結(jié)果整合、導(dǎo)出為文件，為專家研判分析提供數(shù)據(jù)支持。

為提高安全事件關(guān)鍵信息提取成功率，可對(duì)同一類事件內(nèi)置多個(gè)特征標(biāo)簽描述。除此之外，還可考慮使用自然語(yǔ)言處理技術(shù)（NLP）改進(jìn)關(guān)鍵描述信息識(shí)別能力［12］，以實(shí)現(xiàn)更加智能的網(wǎng)絡(luò)安全研判分析與防御處置調(diào)度。

2.3 自動(dòng)化安全防御處置執(zhí)行

安全防御處置大都遵循標(biāo)準(zhǔn)化模式，因此其適于軟件工具自動(dòng)化、批量化處理。相比傳統(tǒng)人工方式，自動(dòng)化技術(shù)的引入讓處置效率顯著提升，人為出錯(cuò)概率也大大降低。

下面就2個(gè)典型的自動(dòng)化防御處置應(yīng)用場(chǎng)景舉例說(shuō)明。

2.3.1 自動(dòng)化威脅IP封堵機(jī)器人（場(chǎng)景1）

如圖4所示，自動(dòng)化威脅IP封堵機(jī)器人（以下簡(jiǎn)稱封堵機(jī)器人）可用于攻擊IP 全自動(dòng)收集、解析、封堵、通知。具體實(shí)現(xiàn)步驟如下：

圖4 自動(dòng)化威脅IP封堵機(jī)器人

步驟1：平臺(tái)接收到IP封堵處置工單，將待封堵IP列表存入數(shù)據(jù)庫(kù)中。

步驟2：封堵處置調(diào)度器定時(shí)啟動(dòng)，從數(shù)據(jù)庫(kù)中加載待封堵IP列表。

步驟3：依次登錄公司各地防火墻，執(zhí)行IP 封堵操作。需要注意的是，各安全廠商防火墻封堵處置操作步驟不同，需要定制化編寫封堵腳本。

步驟4：封堵成功后，同步修改至數(shù)據(jù)庫(kù)中，并自動(dòng)將消息推送給安全管理人員。

步驟5：若封堵失敗，記錄異常日志信息，并推送給安全管理人員，人工介入排查，完成線下修復(fù)后，重新執(zhí)行封堵，直至成功。

2.3.2 自動(dòng)化安全漏掃調(diào)度執(zhí)行機(jī)器人（場(chǎng)景2）

如圖5所示，自動(dòng)化安全漏掃調(diào)度執(zhí)行機(jī)器人（以下簡(jiǎn)稱漏掃機(jī)器人）可實(shí)現(xiàn)對(duì)指定業(yè)務(wù)系統(tǒng)的全自動(dòng)安全漏掃檢查。具體實(shí)現(xiàn)步驟如下：

圖5 自動(dòng)化安全漏掃調(diào)度執(zhí)行機(jī)器人

步驟1：平臺(tái)接收到關(guān)于某業(yè)務(wù)系統(tǒng)的攻擊事件，安全團(tuán)隊(duì)決定對(duì)該系統(tǒng)進(jìn)行安全漏掃檢查，放入待執(zhí)行隊(duì)列中。

步驟2：漏掃機(jī)器人定時(shí)啟動(dòng)，依次調(diào)用各漏掃工具執(zhí)行安全檢查。需要注意的是，各漏掃工具操作步驟不同，需要定制化編寫漏掃執(zhí)行腳本。

步驟3：調(diào)度器定期監(jiān)測(cè)漏掃任務(wù)的執(zhí)行情況，并將漏掃結(jié)果整合成最終報(bào)告，發(fā)送至相關(guān)安全管理人員處。

步驟4：若漏掃工作執(zhí)行失敗，記錄異常日志信息，并推送給安全管理人員，人工介入排查、完成線下修復(fù)后，重新執(zhí)行漏掃，直至成功。

3 應(yīng)用效果

目前，本文提出的自動(dòng)化防護(hù)解決方案已經(jīng)在某企業(yè)安全防護(hù)中得到了實(shí)際部署與應(yīng)用，經(jīng)過(guò)了多輪安全專項(xiàng)檢查的驗(yàn)證，取得了良好效果，相較于傳統(tǒng)手工安全防護(hù)，其存在如下顯著優(yōu)勢(shì)。

a）人員配置更加合理。以應(yīng)用該方案的企業(yè)為例，在采用該方案前，該企業(yè)投入了多名技術(shù)人員參與日常安全防護(hù)工作，這些技術(shù)人員需要花費(fèi)大量精力忙于日常安全情報(bào)收集、防御處置執(zhí)行等重復(fù)性勞動(dòng)，導(dǎo)致人手緊張；采用該方案后，安全情報(bào)收集與防御處置執(zhí)行實(shí)現(xiàn)了全流程自動(dòng)化，僅需安排1～2 名專職人員值班即可，其余人員可專注于研判分析和安全方案研究等高精技術(shù)工作。相較于傳統(tǒng)的手工安全防護(hù)，該方案緩解了技術(shù)人員緊張的問(wèn)題，提升了防護(hù)效率。

b）安全事件響應(yīng)、處置速度快。相較于人工處理，基于自動(dòng)化程序的安全事件響應(yīng)與處置速度大大提高。以該企業(yè)為例，在采用該方案前，單個(gè)安全情報(bào)、威脅告警的收集時(shí)間、單次IP 封堵、安全策略配置、終端殺毒的執(zhí)行時(shí)間平均為30 min；采用該方案后，平均響應(yīng)與處置時(shí)間降到3 min 以內(nèi)（經(jīng)過(guò)多輪安全專項(xiàng)檢查驗(yàn)證），閉環(huán)時(shí)間提升一個(gè)數(shù)量級(jí)。

c）安全防護(hù)可靠性高。本文提出的安全防御處置是基于全自動(dòng)化工具的，可有效避免人為誤操作導(dǎo)致的安全事故發(fā)生。以該企業(yè)為例，在采用該方案前，諸如IP 誤封堵、漏封堵、安全策略誤配置等安全事故時(shí)有發(fā)生，采用該方案后，此類安全防御處置都采用全自動(dòng)化實(shí)現(xiàn)，通過(guò)應(yīng)用程序內(nèi)置的狀態(tài)監(jiān)測(cè)、異常處理與故障恢復(fù)機(jī)制，使安全防護(hù)可靠性得到了顯著提高，至今未發(fā)生具有影響力的安全事故。

4 結(jié)束語(yǔ)

隨著信息技術(shù)不斷發(fā)展，企業(yè)面臨越來(lái)越多來(lái)自網(wǎng)絡(luò)空間的安全威脅與安全攻擊。本文分析總結(jié)了當(dāng)前企業(yè)網(wǎng)絡(luò)信息安全防護(hù)模式所面臨的困難和挑戰(zhàn)，并根據(jù)網(wǎng)絡(luò)信息安全管理要求，提出了一種基于內(nèi)部統(tǒng)一安全管控平臺(tái)的企業(yè)網(wǎng)絡(luò)安全自動(dòng)化防護(hù)解決方案。該方案可以實(shí)現(xiàn)企業(yè)安全防護(hù)主要流程、工作自動(dòng)化，并為企業(yè)系統(tǒng)化、科學(xué)化、智能化安全防護(hù)提供實(shí)際的指導(dǎo)幫助。不僅可以有效降低企業(yè)安全管理成本，還能顯著提高企業(yè)安全管理可靠性。目前，需要注意的是，網(wǎng)絡(luò)安全防護(hù)不是一勞永逸的事情，本文提供的方案對(duì)未來(lái)可能面臨的新的安全問(wèn)題難免會(huì)有遺漏之處，安全防護(hù)人員需要根據(jù)新的問(wèn)題不斷改進(jìn)防護(hù)策略和技術(shù)手段，筑牢企業(yè)網(wǎng)絡(luò)安全防線。