1  網絡安全數(shù)字化轉型也勢在必行

傳統(tǒng)網絡安全建設方式下，企業(yè)的各種網絡安全系統(tǒng)大多是獨立采購或獨立建設的，不同品牌不同類型的產品或系統(tǒng)，無法做到設備之間的協(xié)同聯(lián)動縱深防御，導致企業(yè)內部形成很多安全孤島?；ヂ?lián)網、移動互聯(lián)網和物聯(lián)網等新技術的發(fā)展帶來很多新的業(yè)務模式，例如云防護系統(tǒng)、移動安全防護系統(tǒng)、物聯(lián)網安全平臺等，新的模式需要新的安全系統(tǒng)去做支撐，這進一步加劇了網絡安全孤島的問題。分散的各個安全孤島存儲了大量安全數(shù)據(jù)，發(fā)生安全事件需要通過多個系統(tǒng)數(shù)據(jù)去做分析研判，沒有統(tǒng)一分析攻擊效率極低，導致這些安全數(shù)據(jù)無法分析或者只能采用簡單規(guī)則進行分析。在合規(guī)監(jiān)管力度不斷加大，網絡中常常部署大量監(jiān)測類安全系統(tǒng)，對流量和日志等數(shù)據(jù)重復采集，造成大量IT資產重復投資和運維成本倍增。讓企業(yè)管理者來說，網絡安全工作是看不見也看不懂的，導致無法很好對企業(yè)的網絡安全決策，跟不上應對日益嚴峻的網絡安全新形勢。

因此需要一套機制整合分散的各個安全孤島的數(shù)據(jù)，快速構建網絡安全能力，為企業(yè)網絡安全決策、常態(tài)化安全運營和網絡安全應急保障提供支撐，這就是網絡安全數(shù)據(jù)中臺。

網絡安全數(shù)據(jù)中臺(以下簡稱“安全中臺”)是一套可持續(xù)“讓安全數(shù)據(jù)用起來”的機制，是一種網絡安全建設新的模式，實現(xiàn)網絡安全工作可見、可用和可運營，既能提升安全管理、決策水平、又能支撐網絡安全運營。

2 “安全中臺”五大組成

“安全中臺”構建思路是通過大數(shù)據(jù)技術，將多元分散異構的安全數(shù)據(jù)通過采集匯聚、整合加工、智能分析、可視化和價值變現(xiàn)五個組成部分，讓企業(yè)高層、信息化部門、網絡安全運營部門和業(yè)務部門可以方便使用安全數(shù)據(jù)。

采集匯聚

企業(yè)往往部署大量的IT資產和安全設備，”安全中臺”需要對這些多元異構數(shù)據(jù)進行統(tǒng)一采集和整合，需要采集數(shù)據(jù)可分為資產類、漏洞類、威脅情報類、日志類、告警類和流量類等，針對不同廠商采用通過KAFKA、API和syslog等多種方式。

整合加工

采集的數(shù)據(jù)就樹木，經過加工成木材才能方便使用。同樣安全數(shù)據(jù)在分析前需要進行預加工處理，需要對數(shù)據(jù)解析、數(shù)據(jù)歸一化、數(shù)據(jù)過濾、數(shù)據(jù)補全、數(shù)據(jù)清洗等操作。為保障數(shù)據(jù)的完整性、可用性，從而實現(xiàn)數(shù)據(jù)的資產化，還需要如下操作。

質量監(jiān)測：通過建立不同維度的數(shù)據(jù)質量指標，來描述整體數(shù)據(jù)治理質量程度，對數(shù)據(jù)全生命周期質量監(jiān)控結果進行展示。

血緣分析：是指搞清楚數(shù)據(jù)的來龍去脈，就是我們這個數(shù)據(jù)是從那來的，經過了哪些過程和階段，通過血緣分析實現(xiàn)數(shù)據(jù)融合處理的可追溯。大數(shù)據(jù)

安全分析

隨著攻擊手段多樣化和智能化，單個的安全設備已經很難發(fā)現(xiàn)的復雜安全問題，需要安全數(shù)據(jù)結合起來分析才能發(fā)現(xiàn)那些潛在的威脅。大數(shù)據(jù)技術以及高難度識別、機器學習等人工智能技術的快速發(fā)展，推動了網絡安全技術的不斷升級。

采用機器學習、人工智能技術和威脅情報進行安全數(shù)據(jù)的挖掘和預測，通過安全建模和高級威脅分析，能夠快速、準確的取證調查和威脅追溯，持續(xù)監(jiān)測與分析，部分場景的自動化提升安全運營效率。

可視化

為了讓安全數(shù)據(jù)用起來，“安全中臺”需要提供便捷快速的數(shù)據(jù)服務能力，支持場景化快速輸出。

基于合規(guī)監(jiān)管：具有等級保護、風險評估、密碼評估、數(shù)據(jù)安全和個人信息保護等合規(guī)態(tài)勢分析。

基于攻防實戰(zhàn)：具有攻擊態(tài)勢、資產態(tài)勢、漏洞態(tài)勢、威脅態(tài)勢、橫向威脅、安全事件等多維度建模分析結果。

基于業(yè)務保障：具有業(yè)務系統(tǒng)安全監(jiān)測狀態(tài)、用戶行為畫像、業(yè)務資產檔案、人員安全考核、業(yè)務數(shù)據(jù)泄露和業(yè)務場景分析態(tài)勢分析。

價值變現(xiàn)

云計算、大數(shù)據(jù)和人工智能等新技術的快速發(fā)展和網絡安全應用場景不斷融合，通過“安全中臺”，可以海量收集企業(yè)歷史安全數(shù)據(jù)，利用這些數(shù)據(jù)可以發(fā)現(xiàn)高級復雜的安全威脅，也可以快速感知網絡安全威脅并作出反應，實現(xiàn)安全工作自動化和智能化。同時為上層安全應用系統(tǒng)提供數(shù)據(jù)資產共享，避免重復數(shù)據(jù)收集存儲。通過安全數(shù)據(jù)分析客觀全面反應現(xiàn)有安全問題，科學評價安全建設成效，公正評價相關部門和人員安全工作情況。

企業(yè)的網絡安全現(xiàn)狀不同，對安全能力訴求也不盡相同，網絡安全數(shù)據(jù)中臺的建設側重點也不完全相同。“安全中臺”實施不是一套標準化安全產品，而是一套解決企業(yè)網絡安全管理難題的新方案。站在企業(yè)角度，“安全中臺”為安全運營和上層安全應用做支撐，能幫助企業(yè)沉淀網絡安全知識，提升安全管理效率，最終完成網絡安全能力構建。

3  五步法構建“安全中臺”

“安全中臺”通過五個步驟完成。

調研現(xiàn)狀、確定架構、構建資產、使用數(shù)據(jù)和安全運營。

● 調研現(xiàn)狀：詳細調研企業(yè)目前IT建設、安全設備和運維使用等情況，對每個安全設備存儲那些類安全數(shù)據(jù)，存儲數(shù)據(jù)量大小，數(shù)據(jù)字段、數(shù)據(jù)接口和目前沉淀情況。

● 確定架構：根據(jù)調研現(xiàn)狀，確定業(yè)務架構、技術架構、應用架構和數(shù)據(jù)架構。業(yè)務架構：面向企業(yè)高層、安全管理人員、安全運維人員、安全監(jiān)管人員、安全評價人員，確保中臺能適用企業(yè)內部安全管理制度和流程。技術架構：對數(shù)據(jù)采集、存儲、計算等環(huán)節(jié)技術進行選型。應用架構：是指數(shù)據(jù)中臺應用架構，對上層應用的支撐。數(shù)據(jù)架構：是企業(yè)安全系統(tǒng)之間共同語言，在數(shù)據(jù)層面保證安全業(yè)務和安全技術的一致性。

● 構建資產：企業(yè)構建符合安全場景需求又滿足數(shù)據(jù)架構要求的數(shù)據(jù)資產體系并實施，包括數(shù)據(jù)匯聚、數(shù)據(jù)倉庫建設、標簽體系建設等。標簽體系是對安全對象構建數(shù)據(jù)標簽，可以通過標簽方便支撐上層應用。

● 使用數(shù)據(jù)：將構建的數(shù)字資產通過服務化方式，應用到具體安全應用中，同時要考慮數(shù)據(jù)安全問題，那些人可以使用數(shù)據(jù)，可以使用什么類型服務，都需要嚴格認證授權，這樣才能發(fā)揮安全數(shù)據(jù)價值。

● 數(shù)據(jù)運營：安全數(shù)據(jù)被應用到安全管理系統(tǒng)，例如安全管理平臺、態(tài)勢感知等，產生的價值是通過安全運營呈現(xiàn)，讓人感知到安全數(shù)據(jù)的價值?！鞍踩信_”建設運營是一個持續(xù)建設和優(yōu)化過程，不斷挖掘數(shù)據(jù)在安全場景使用模式。

4  總 結

什么樣企業(yè)適合上網絡安全數(shù)據(jù)中臺?這和企業(yè)安全現(xiàn)狀、安全建設投入、人員能力和投入產出比等息息相關。如果一個企業(yè)具備一定網絡安全建設基礎，例如通過等級保護三級測評，部署了態(tài)勢感知、威脅情報、安全管理平臺、UEBA等安全管理系統(tǒng)，沉淀了一些安全數(shù)據(jù)，業(yè)務場景復雜對網絡安全保障要求較高，要滿足持續(xù)應對攻防實戰(zhàn)需求，滿足以上特征企業(yè)可以考慮。企業(yè)對安全數(shù)據(jù)應用能力成熟度越高，說明安全數(shù)據(jù)對安全管理的支撐能力越強，讓數(shù)據(jù)驅動網絡安全決策和管理，而不是僅憑安全管理人員的經驗，這才是網絡安全數(shù)據(jù)平臺建設最終目標，真正的讓安全大數(shù)據(jù)用起來，開啟網絡安全建設下一站。

原創(chuàng)丨空空

出品丨北京一等一技術咨詢有限公司

來源：等級保護測評