浅析降低网络安全态势感知平台预警次数的方法

浅析降低网络安全态势感知平台预警次数的方法

贺学焱

亳州市烟草专卖局（公司）信息中心， 安徽省亳州市  236800

摘要：当今网络安全已经从“信息安全”时代进入“大安全”的新时代，加强网络安全事件应急指挥能力建设，提升网络安全态势感知、事件分析、追踪溯源以及遭受攻击后的快速恢复能力。安全态势感知平台是基于企业大数据架构构建的新一代安全管理系统，定位为全省信息广域网络的安全控制中心，是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心，结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术，对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等，可以全方位地提供资产、风险、脆弱性的相关管理，并能提供对网络安全事件的事前预警、事中发现、事后回溯功能，帮助各地市局信息安全管理员在高级威胁入侵之后、损失发生之前及时发现安全威胁。

关键词：降低 感知平台 预警次数

一、背景介绍

省局（公司）对网络安全态势感知平台的使用标准提出了明确要求，各地市公司日均平台预警次数应在2%以内，按照亳州市局550台终端计算，预警应控制在11次/日，但从亳州市局使用情况来看，日均在30次预警左右，离省局标准还有较大的差距。因此，决定以降低网络安全态势感知平台预警次数为课题展开攻关。

统计收集了2021年3月-5月全省安全态势感知平台上亳州市局的预警次数， 从统计结果可以看出，在全省网络安全态势感知平台上，亳州市局（公司）日均预警次数在29次，说明网络中存在较多安全隐患及问题，急需解决。

为充分了解情况，对2021年3月-5月安全态势感知平台上亳州市局的预警分类进行了统计，可以看出平台预警类别主要是重复性故障预警、病毒攻击预警、访问高危网站预警，占到总预警数的88.66%，是影响平台预警次数的主要原因。

由统计数据可知，平台在3月19日、4月8日、5月4日预警次数曾经达到10次以下，最低为5次，这为我们设定目标值提供了依据。

根据全省月度网络安全通报中的平台预警情况进行对比分析，选取部分兄弟单位对比，由全省对比情况表可以看出，个别兄弟单位月度预警率曾达到省局标准2%以内。

重复性故障预警、病毒攻击预警、访问高危网站预警，占到亳州市局平台总预警数的88.66%，如果小组能解决主要症结的85%，测算如下：29-29*88.66%*85%=7.15次/日经测算能够达到历史最高水平，达到省局标准要求。

二、设定目标

因此根据以上分析我们将目标值设定为：网络安全态势感知平台预警次数≤8次/日。运用“头脑风暴法”，对造成网络安全态势感知平台发出预警信息的原因进行分析，电脑终端操作系统补丁未及时更新时，会存在大量网络漏洞，容易被黑客利用木马程序进行控制。现场抽查三十台电脑终端，检查是否开启系统自动更新功能，未安装系统补丁数量。经过现场检查及扫描报告分析，所有电脑均开启系统自动更新功能并安装补丁，绝大部分系统漏洞得到修复，符合网络安全要求。

经过调查统计，全员网络安全意识培训能够有效开展，员工在线学习时长达到省局要求人均4小时以上，未对网络安全预警发生造成影响。利用“送课下基层”活动，每年对基层员工开展信息化培训，并通过测试检验培训效果，可以有效提高员工的计算机操作水平，从而有效防止因个人操作原因导致的网络安全隐患。对三年来的信息化培训开展情况进行了调查。经过调查统计，全员信息化培训能够有效开展，培训后测试通过率达到100%，员工操作计算机水平较好，未对网络安全预警发生造成影响。

当平台发出预警信息时，市局信息安全管理人员第一时间通知兼职信息安全员，兼职安全员再通知当事人处置。处置完成后，市局平台管理人员在系统中点击“已处理”。对3-5月份预警信息处理情况进行了统计：经过调查统计和数据分析，平台预警信息平均处置时间在20小时左右，且在4小时以内处置完成的仅占比20%左右，大量未及时处置信息导致平台对重复性隐患多次发出预警。通过对以上末端因素的逐一确认，我们最终分析出省级安全态势感知平台发出预警信息的主要原因有以下三条：1、预警信息处置不及时；2、终端未安装统一杀毒软件；3、安全防护策略设置不当。

三、解决问题

因平台发出预警信息后，市局信息安全管理人员第一时间通知兼职信息安全员，兼职安全员再通知当事人处置。处置完成后，市局平台管理人员在系统中点击“已处理”。为了节省时间，决定采取人工电话直接催促方式进行测试。经过综合评估，从对策有效性、可实施性、时间性、经济性、可靠性等多维度进行比较，最终认为“使用信息系统进行处置全流程管理”、“安装统一的网络版杀毒软件”、“集中设置合适的网络安全策略进行管理”为执行对策。目标值：预警信息处置时间＜4小时/次，根据流程图，采用BS模式，使用ASP+SQL技术开发出“亳州烟草设备维修派单管理软件系统”。

系统经测试运行后，所有功能达到预期效果，2021年7月正式开始推广使用。由信息部门下发通知，对系统使用情况作出明确要求，并组织开展了系统操作培训。

经验证采用信息系统对预警信息处置流程进行管理后，处置时间有效缩短。对实施一效果进行连续10天的跟踪检查。对策实施后，预警信息处置时间均小于4小时，平均处置时间从20小时/次降低到2.6小时/次，完成了小组设定目标。根据网络安全产品国产化要求，选择亚信防毒墙网络版软件，并根据系统部署需要，搭设了一台8cpu+16G高性能虚拟化服务器。完成了亚信网络版服务器端的安装部署。亚信网络版服务器端部署完成后，信息中心在7月底下发通知，要求全员安装客户端程序。

从亚信系统管理后台可以看出，对策实施后，网络版杀毒软件安装率100%，且所有客户端病毒码全部更新到最新版本，完成了小组设定目标。目标：访问高危网站拦截率＞95%；不同网络区域间终端禁止互相访问根据横向连接和纵向连接两个维度对全市行业网络安全域进行划分，安全域之间部署防火墙并设置对应安全策略。

根据新划分的网络安全域，在市局机房重新部署了两台区域防火墙和一台上网行为管理设备。根据不同安全域之间的业务需求，对相关安全策略进行梳理优化，在上网行为管理设备上增加对所有高危网站访问的阻断策略并实时更新地址库。对防火墙和上网行为管理设备日志进行检查分析，判断安全策略是否正确和有效，从而进一步调整优化策略。为验证集中设置安全策略后网络更加稳定可靠，对实施三效果进行了跟踪调查。随机抽取5台计算机设备，访问100个高危网站情况进行了调查统计；随机抽取处于不同区域的设备各2台，对他们之间是否可以进行互访进行了验证，对策实施后，访问高危网站拦截率达到100%；不同网络区域间终端禁止互相访问，完成了小组设定目标。

对策实施后，对8-10月安全态势感知平台预警次数进行统计：所有对策实施完成后，对8-10月安全态势感知平台预警类别进行统计，活动后重复性故障预警、病毒攻击预警、访问高危网站预警已经不是主要预警类别，问题主要症结已解决。省级安全态势感知平台的预警次数从以前的29次/日降低到活动后的3.5次/日，达到了省局要求。通过自主研发信息系统、采购网络版杀毒软件、老旧防火墙再利用等措施，共节约开支约5.3万元。在取得可观的经济效益同时，安全态势感知平台预警次数多的问题得到了有效控制并达到目标值，网络安全隐患进一步减少，全市行业网络安全管理水平得到了有效提高。

四、参考文献

[1] 贾铁军. 网络安全技术及应用[J]. 机械工业出版社,2018,33(29):2317-2320.

[2] 石磊. 网络安全与管理[J]. 清华大学出版社,2019,36(22):3131-3133.

1