大数据背景下网络安全资产管理应用.pdf

1、Information Security信息安全/责任编辑赵志远大数据背景下网络安全资产管理应用鹤壁职业技术学院李玉清刘俊如编者按：通过建立网络安全态势感知平台，实现网络资产扫描和漏洞排查，为电力企业的网络资产安全管理提供新的解决思路。随着我国电子信息技术的飞速发展，各行业的数据信息交易量呈现出爆炸式增长。以电力系统为例，随着信息量的不断增加，电力系统中各个部门之间的关系变得更加复杂，这就使得配电网规划数据中存在大量的异构数据，数据的安全性无法得到保障。这些异构数据如果无法进行有效的贯通，很容易变为数据孤岛，这就为配电网规划内部之间的数据交换带来严重影响。在此背景下，面对复杂的网络空间信息环境

2、，电力企业必须要对企业的网络资产进行统筹规划，整合现有的海量数据信息，时刻关注资产变动情况，及时感知可能存在的资产风险，做到安全、高效、稳定的管理运营。大数据背景下网络安全资产管理要求1.实时全面的监测体系在大数据背景下，需要对网络资产建立全面的监测系统，严查可能存在的网络威胁。通过从数据异常、网络外部攻击和网络环境脆弱性三方面建立监测体系，在这三方面的共同作用下，实现网络资产的安全管理。其中，网络环境脆弱性指暴露在业务资产以外的网络资产；网络外部攻击指根据系统的脆弱性，相应的布置网络防御措施；数据异常指现阶段的主机系统中已存在危险数据，为了降低对系统的损害，减少威胁数据进一步扩散，快速挖掘出

3、这类数据。2.攻击溯源攻击溯源是在网络安全事件的处理过程中所需要具备的重要能力。发生网络安全事件后，通过对日志的全面综合分析，及时发现一些安全事件中的问题，并基于该分析模式，分析与处理针对性的安全事件的发生路径等内容，对攻击者进行湖源和定位，并进行针对性防护。3.安全管理安全管理的目的是对系统的网络环境进行2 4h保护和监测，加强对基础资产信息、各类应用信息的管控，通过制定相关安全防护制度来确保网络资产的安全性，对潜在威胁进行及时预警。网络安全资产管理平台功能大数据背景下的网络安全资产管理平台功能主要分为六部分，分别为：网络安全可视化、网络资产梳理、资产脆弱性感知、文件威胁监测、日志关 202

4、3.8投稿信箱责任编辑赵志远Information Security信息安全联分析以及攻击行为态势感知。网络安全可视化1.网络安全可视化建立网络安全态势感知平台的主要目的是实现整个服务器系统的网络安全可视化，可以根据服务器安全态势感知，向管理人员发送安全分析报告，并向服务器使用者发出安全警告。网络安全可视化使得用户可以清晰地看到服务器中各类资产的分布、变化趋势以及资产排名，让管理者得到更加准确的网络资产安全分析报告，对潜在的威胁实现快速定位、精准排查。2.网络资产梳理通过对服务器资产布置探针，利用爬虫技术及扫描技术，实现服务器资产信息的整体检测，建立一个完备的知识库，从而进行后台管理、用户准入

5、，以及是否允许无线设备接入等操作。利用大数据整合分析各类信息，让管理者更加直观地了解到历史设备的接入情况以及在线设备的总量。3.资产脆弱性感知网络安全防护的主要对象是网络资产，对于承担企业主要业务的服务器资产，需要重点保护。而将保护对象再细化后，网络安全的实质保护对象为服务器脆弱性（服务器弱点）。因此，任何攻击都是以服务器的弱点为突破口。由此说明，对服务器的脆弱性进行加固和及时感知的重要性。整个脆弱性感知能力覆盖的范围较广，包括系统配置风险、弱口令和系统漏洞等方面。通过对IP地址的精准定位，运维人员可以很直观地看到服务器脆弱性风险情况、系统漏洞以及生产服务器脆弱性风险报告。无论是主动监测还是被

6、迫发出警告，工作人员都可以第一时间定位并及时处理问题，最大限度地确保网络资产的安全性。文件威励监测网络资产梳理网络安全资产关联平台功能资产晚弱性感知图1网络安全资产管理平台功能4.文件威胁监测在典型攻击链中，文件威胁往往是攻击者最善用的攻击手段，也是使用率最高的攻击方式。攻击者利用钓鱼邮件、网站挂马等方式，将负载病毒的文件发送到用户的邮箱，吸引用户点击浏览，从而控制用户的主机，盗取用户的数据。而网络安全态势感知平台会实时监测此类病毒软件，当服务器遇到攻击时，能够精准定位威胁，第一时间向用户发出警报。5.日志关联分析通过收集第三方产品syslog日志及操作系统的日志信息，实现对第三方安全信息和事

7、件日志的关联分析，用户可以很直观地看到关联规则统计、接入设备概况、安全事件统计、数据分布、日志传输趋势以及日志统计等信息，从而实时了解和掌握现阶段各个设备的工作状况。6.攻击行为态势感知近几年，随着大数据的发展，企业网络资产每天都面临着很多外来攻击。这些攻击的来源并不唯一，有些是自身系统存在的漏洞导致的，有些是网络攻击者的有意为之，而过多的系统警报会使得整个IT运维环境变得复杂化。因此，在对安全监测功能性进行分析时，需要对全网的攻击行为进行实时日志关联分析攻击行为态势感知投稿信箱 2023.8125Information Security信息安全/责任编辑赵志远监测、归纳、学习，并利用大数据分

8、析技术，实现对木马攻击行为的分析，并精准识别出真正的攻击行为，从而形成精准的分析模式和直观的展现方式。网络安全资产管理平台的应用基于大数据的网络安全资产管理平台主要分为三部分：摸清家底、动态拓扑以及智能运维。1.摸清家底平台通过分布式资产探测发现组件，以自动任务的形式，不间断地扫描全网资产，以发现防火墙、路由器、交换机、负载均衡等网络安全设备，以及感知设备状态和设备上下线等变更信息。该功能支持预定义资产分组，自动确定已发现资产的物理位置、网络层级等，具有“全、快、主动”的特点。全：主动发现全网网络安全设备，并与CMDB和网管平台的资产列表进行对比分析，找到游离在监管范围之外的设备。快：支持设置

9、定时发现任务，可在8 h内发现2 0 0 0 0 台设备；支持分区域发现，可在10 min内刷新设备的变化信息。主动：资产管理由被动变为主动，感知设备上下线等变更信息，让运维管理更加准确高效。2.动态拓扑平台采用SNMP、SSH、A PI等多种数据采集方式，获取设备配置、ARP表、MAC地址表、LLDP邻居关系表等信息，构建设备间的链路与关联关系。平台采用具有专利的创新性二、三层物理链路拓扑自动绘制算法，呈现高可读性的网络拓扑地图，以可视化技术展示设备资产及互联关系，可根据设备分组，自动生成分层分权的网络拓扑视图。例如，一层视图为全网网络拓扑，二层视图为总部和各分支机构的网络拓扑，逐层深入。该

10、功能具有“自动、准确、高效”的特点。自动：绘制区域内网络安全设备间的关联关系，实现物理拓扑的自动可视化。准确：用动态在线拓扑替代传统Visio图，减少维护成本，降低信息不准确的风险。高效：呈现分层分权的网络拓扑视图，包括全网概览图、区域（分支）概览图和区域详细图，有效提升总分结构网络环境下的故障排查效率。3.智能运维平台可与现有的网管、监控、CMDB等系统广泛对接获取信息，并直接感知设备配置信息的变化，动态展示相应的拓扑变化。当出现设备down、端口up/down或性能超出阅值等告警，能够在拓扑图上显示图标、连接状态等的变化。依托大数据分析和统计，满足用户自定义各类设备台账及监控告警报表报告的需求。在告警可视方面，通过广泛集成，增强网络运维系统间的横向联动，将监控告警可视化展示在拓扑视图中，准确定位告警位置。在变更可视方面，主动感知设备上下线、链路状态变化等变更信息，定位到相应拓扑图层，并提供拓扑调整建议。在报表报告方面，依托大数据分析和统计，输出各类用户所需的报表报告。结语大数据背景下的网络安全资产管理平台将可视化技术与安全策略相结合，并拥有提供存量策略精简优化、策略变更全流程一体化等能力；将可视化技术与流量分析相结合，实现链路黑管流量可视、全流量回溯取证等价值；应用于各类封堵场景，通过可视化技术，为智能化攻防检测和响应处置打造快速准确的工具。 2023.8投稿信箱