为应对日益复杂的网络安全形势,国网某省电力有限公司在2019年开展网络安全专项建设并建成网络安全分析室,由网络安全分析室开展国网某省电力有限公司网络安全监测、安全攻击研判分析、应急处置等相关安全工作。同时,为做好网络安全防护,网络安全分析室共计建设并装备各类网络安全设备三十余套,设备功能各异、种类繁多且互不兼容。安全防御能力得到提升的同时产生了大量安全告警,一个安全运维人员同时负责监测多台设备,同一攻击事件会被多台安全设备捕捉产生多次重复告警。按照国网某省电力有限公司7*24小时三班两运转常态化监测要求,共计需要投入18人开展网络安全监测,人力成本较高工作压力大,且大量重复告警严重消耗了监测人员的精力导致运维处置效率低下。
网络安全大数据监测与智能分析平台作为管理类系统,以友好直观的方式(可视化大屏)将复杂的系统内部数据抽取出运维人员最为关心的数据集中展现出来,并提供方便的操作方式给分析人员使用,同时通过资产配置管理将设备的更多管理属性可视化呈现出来,使得管理和溯源更方便迅速。集中告警大屏为用户提供全局监视面板,监控网络、资产整体运行态势。网络安全大数据监测与智能分析平台技术架构图如下:
网络安全大数据监测与智能分析平台项目具体建设任务包括:
(1) 对众多安全设备产生的告警日志进行集中收集和统一管理,对不同格式的安全告警日志进行范式化解析,生成统一日志属性的日志数据。
(2) 对重复告警进行合并处理,包括对单个安全事件在同一安全设备一定时间内的重复告警进行分析合并,以及对同一安全事件在不同安全设备的多次告警进行关联合并。
(3) 建立大数据安全分析引擎,支持自定义安全分析规则,将不同设备不同类型的安全数据进行集中关联分析。
(4) 从资产的角度进行资产安全评估,基于资产的流量、行为、漏洞、事件等进行多维度画像分析。
(5) 通过定制API接口,将网内的全流量分析系统、沙箱检测系统、威胁情报系统、终端安全EDR等安全组件进行有机组合,结合内置安全编排剧本库,各组件按照指定的编排剧本,独立完成分析任务,开发扩展检测和响应模块,负责威胁预防、检测和响应的互操作和协调,并提供响应工单。
