安全数据的集约管理及应用——安全数据中台的本地落地实践.pdf

1、 TECHNOLOGY AND INFORMATION信息化技术应用科学与信息化2023年9月上 89安全数据的集约管理及应用 安全数据中台的本地落地实践张迪中国电信股份有限公司上海分公司 上海 200126摘 要 中国电信通信网络和支撑系统是国家基础信息设施，从国家和企业自身业务的要求考虑，都迫切需要提高安全防护水平。随着中国电信整体网络的发展和业务的扩充，安全防护成为保障业务正常运行的重要环节，而安全数据作为安全威胁态势感知的基础，其重要性不言而喻。关键词 安全中台；数据采集；大数据能力；态势感知Intensive Management and Application of Secure

2、Data Local Implementation Practice of Secure Data Mid-EndZhang Di China Telecom Corporation Limited Shanghai Branch,Shanghai 200126,ChinaAbstract China Telecom communication network and support system are national basic information facilities,and it is urgent to improve the level of security protect

3、ion from the perspective of the requirements of the state and enterprises own business.With the development of China Telecom overall network and service expansion,security protection has become an important part of ensuring the normal operation of services,and the importance of secure data as the ba

4、sis for security threat situation awareness is self-evident.Key words secure mid-end;data acquisition;big data capabilities;situation awareness1 问题描述随着社会信息化发展的不断深入，国家对于信息数据安全的重视程度也日益增强，中华人民共和国数据安全法已于2021年9月1日正式施行，对于数据平台运营者而言，需要切实落实法律规定的各项要求，确保本地数据安全的可管可控。以实际安全运营经验，总结了以下运营过程中数据面临的风险1。1.1 存在针对运营商的数据安全

5、风险随着网络不断普及，目前针对数据的网络攻击也不断升级，呈现上升态势。运营商、教育机构、事业单位和政府的数据安全受到的威胁最多，存在数据外泄加剧的风险。1.2 日趋复杂的系统架构给数据流转带来安全问题由于数据源端的安全设备接口协议不统一、格式差异大，安全设备、系统在数据汇聚和流转层面缺乏云网安全一盘棋的统筹部署，阻碍了数据调用、系统间能力联动的目标实现。1.3 安全基础运营不够“智能智慧”在以往工作中，日常运营工作的自动化、智慧化程度较低，安全事件的分析、研判和处置主要通过人工方式开展，对运营人员的技术要求较高。人工方式往往会伴随效率低下甚至误判，如不另辟蹊径，势必会影响到整体运营的效果2。2

6、 当前现状与解决思路目前各省的安全能力平台大多分别采集安全数据，没有统一的采集措施。安全数据在各平台间流转，缺少统一存储和统一建模，导致安全数据分散在各安全能力平台，安全数据的共享也可能会经过多个平台的传输。根据目前的情况来看，省内缺乏对安全数据做统一存储和处理，一则浪费计算和存储资源，二则安全态势欠缺精准性，无法展示完整的攻击链。基于上述问题，将离散安全数据的统一接入、建模处理，以及高效输出也就成为治理安全数据的关键。上海电信响应集团部署，通过建设本地安全数据中心，利用电信优势的大数据底层基础能力搭建经验，完成多元数据的整合。基于中国电信的各种安全数据，提供大数据分析建模能力、资源服务能力、

7、运维监控能力，同时打造平台的安全数据开放能力、安全态势感知能力，为中国电信在本地的各个安全能力平台提供必要的数据支撑。安全数据中台旨在建设集中管理、集中运营机制，不同部门间可根据自身情况结合数据中台支持能力选择此项功能构建的方式方法。通过打通安全应用之间的壁垒和数据孤岛，促进数据资源融通共享，也可复用数据中台的能力，重点实现敏感科学与信息化23年9月上内文0907.indd 892023/9/8 17:33:59 TECHNOLOGY AND INFORMATION信息化技术应用90 科学与信息化2023年9月上数据检测识别、数据资产管理、威胁监测和事件处置能力3。此外，针对接入平台系统不匹配

8、中台规划的操作系统的情况，我们的思路是在空置机器上统一安装虚拟化组件，构建虚拟化环境，安装与对接平台相适配的操作系统，以完成业务平台接入中台的规程。3 解决方案：建设安全中台-安全数据中心，实现平台级数据治理与应用安全数据中心是安全中台的数据底座，它基于大数据技术进行搭建，应用现有大数据治理体系框架，以安全场景为驱动采集全网资产安全信息、服务器日志、DNS、Netflow等安全数据，实现安全数据的统一采集汇聚与管理。中心集成了大数据分析与大数据引擎组件，对集团和本地安全能力池中的各种安全设备、安全引擎的异构、异源安全数据提供集中化采集、数据标准化、关联回填、分层建模分析能力，将数据资源封装整合

9、，为安全能力中心及上层应用平台输出分析结果。各项安全法和网络空间战略的相继出台，让态势感知被提升到了战略高度，国内众多大行业、大型企业都开始倡导、建设和积极应用态势感知并对安全能力进行整合归并，以应对网络空间安全的严峻挑战。基于以上背景，上海电信承接集团指示，规划搭建的安全中台-安全数据中心对资产数据、脆弱性数据、安全告警数据、流量数据等进行信息收集，通过统计分析、数据挖掘、深度关联分析等方法，对网络安全要素进行全面的态势感知和告警，提升应对安全风险的能力。基于构建电信网络安全能力体系的需要，安全数据中心对安全威胁进行深度、全面的感知，提升安全威胁可看见的能力。基于全网安全运营智慧管控能力的需

10、要，安全数据中心从宏观视角可全局感知网络与信息安全风险态势，提供安全决策支撑；从微观视角，辅助安全运营人员，有效识别真实的安全风险/事件，降低对冗余告警的认知和处置压力，提升对安全风险/事件的主动响应能力。以下是对安全数据中心的功能介绍。安全数据中心按功能的设计架构可分为3个模块：安全数据采集与预处理模块：此模块负责全网数据采集配置、分层协同任务调度、统一监控与管理的总控端，对集团、专业公司和省公司进行数据采集预处理流程配置、任务调度、规则管理、数据稽核、数据分发管理、权限管控和运营监控的门户。通过复用大数据前置节点现有采集能力和通路，实现安全数据的统一采集、统一治理4。大数据基础能力模块：主

11、要提供对原始数据的分层建模、基于安全场景的分析、使用AI机器学习进行分析等能力；提供对分布式存储数据的关联分析、特征提取、AI计算分析、统计分析等安全事件挖掘能力；存储管理实现数据源管理，数据容灾备份，数据转储，数据访问，数据存储目录等；负责整个安全数据中心的权限、租户、集群、日志资源管理以及通知管理等；实现安全数据中台的计算功能，数据计算能够对所有已保存的数据进行计算，并且提供相应的计算调用接口，能够满足外部分析系统的调用。数据态势分析模块：实现网络安全分析、资产安全分析、用户行为分析、内容安全分析等及时发现网络的各类威胁。基于大数据分析技术和数据可视化技术，为网络安全态势、资产安全态势、用

12、户行为态势和其他安全态势实现态势视图的展示。图1 安全数据中心系统架构和各模块平台逻辑图科学与信息化23年9月上内文0907.indd 902023/9/8 17:33:59 TECHNOLOGY AND INFORMATION信息化技术应用科学与信息化2023年9月上 91安全数据中心系统架构和各模块平台逻辑：来自本地各能力平台基础设施产生的安全数据，依照源数据不同格式，按照数据规范通过相应的接口汇聚于安全中台的安全数据前置采集预处理模块，进行统一的数据预处理，再由大数据基础能力模块对数据进行分层建模，提供安全数据订阅和共享能力。再通过数据服务接口输送解析数据至业务部门，根据其业务场景进一步

13、分析，包括威胁情报、安全事件、攻击模型、攻击溯源、用户画像等。通过统一的安全数据治理，使数据分层，避免出现不同主题表的维度、业务域和指标的重复，从而减少重复计算，同时也可节约大量的计算资源和存储资源。各应用不会存在烟囱式使用数据的情况，可以有效提高数据共享的效率，避免重复建设。另外可做到区隔对内服务与对外服务的数据，保证数据使用的安全性。安全数据中心具备以下优势：据采集模块可提供实时数据处理和离线数据处理功能。在数据存储、规则管理、特征识别、数据标签关联回填、数据清洗过滤等方面有平台级的处理能力。有效提升安全中台运营能力，全面掌控安全数据质量。大数据基础能力模块可支持自定义安全建模，可支持包括

14、规则建模、关联、统计、威胁情报关联等安全威胁建模功能，更便捷的对接需求场景，便于安全建模策略的有效执行和快速部署5。PaaS层面提供多租户管理，对计算和存储资源做隔离，能够为不同的业务场景分配相应资源。有独立的使用空间和资源。下一步安全中台将规划从设备发送数据直接到安全数据中心，跳过前置汇聚节点去对原始数据做集采。需要调整的是安全数据中心需要具备解析对应设备日志的能力，比如syslog日志，可能会以流量数据等形式取代标准的json格式，需要针对不同格式场景开发相应的解析逻辑进行改造适配。4 结束语通过搭建安全中台构建安全数据主动防御体系，在“广度”和“深度”上持续演进，可以扩大平台侧数据安全能

15、力输出、夯实底层安全工具能力、提升安全应用前台体验。目前本地安全中台正在逐步推进安全数据接入，按需增改接入数据，逐步实现全量安全数据入湖。深入开展数据治理，减少冗余，有望做到统一使用安全中台数据作为数据源实现中台一点对外共享；目前中台已有统一底层能力，按照“数据集中、能力共享”原则，推进本地安全类应用统一使用安全中台，实现本地安全专业“中台化”。实现资产、数据质量、数据安全、生命周期的统一管理；实现数据加密、脱敏、分级分类、归档稽核等目标，在未来更有效支撑本地业务及应用场景。参考文献1 陈芳.安全数据的集约风险防范及对策研究J.企业改革与管理,2021(5):201-202.2 凌少鹰.企业数据集约管理问题及完善措施J.商讯,2021(7):100-101.3 黎家宇.浅析安全数据集约管理存在的问题及对策J.中国商论,2020(12):62-63.4 刘枫.电力企业物资管理中实现集约化管理的理念和方法J.现代经济信息,2013(3):31.5 刘致宇.国有企业资金集约管理体系构建研究J.当代会计,2021(16):100-102.科学与信息化23年9月上内文0907.indd 912023/9/8 17:34:00