中国出口信用保险公司网络安全态势感知平台

“2018年度中国保险行业信息化建设典型案例优选示范活动”案例选编系列

综述

中国出口信用保险公司网络安全态势感知平台由中国出口信用保险公司（以下简称“中国信保”）自主规划设计并建设。该平台采集多种类型的数据、集成不同种类安全设备、关联公有云威胁情报并选取开源大数据技术做全面分析和统一展现。

本项目创新性的实现了全方位、多维度、深层次的网络安全态势感知：（一）感知外部威胁，研判公司正在遭受或已经遭受的外部攻击，精准溯源，及时发掘暗藏的网络威胁；（二）探知内部漏洞，评估资产的脆弱性并进行安全加固，降低信息泄露的风险；（三）认知安全态势，整合外部威胁情报与内部安全风险，获得全网安全视图，全方面指导安全工作。

本项目主要技术自主知识产权归属第三方，对技术理念的创新有如下三点：（一）全量数据采集与日志归档，通过网络和安全设备日志采集、流量传感器探测和终端计算机日志采集，将各网络区域的各类数据统一归档和分析。（二）混合安全云部署，引入外部关联性强、体系完整的威胁情报，与本地全量数据对接，为安全监测提供可靠数据支撑；（三）大数据平台建设，采用大数据存储技术、大数据搜索引擎技术和大数据关联分析引擎技术对海量数据进行存储分析，实现安全态势可视化呈现。

本平台采用合作开发方式，由中国信保与国内各主流安全服务商和大数据服务商做联合设计开发，关联分析规则主要由中国信保独立自主设计开发。本项目为非专项项目，可供保险行业通用。本项目数据存储由中国信保内部管理。

目前，本项目已落地并稳定运行12个月，发现非法访问行为、中间件漏洞、Web应用漏洞、挖矿木马和黑市工具等多种网络威胁，其中很多攻击事件被扼杀在萌芽阶段，尚未形成的攻击态势已被各个击破。今年6月，平台检测到一起远程控制木马攻击事件，结合威胁情报快速精准定位了攻击源，及时对攻击完成拦截，避免了公司内网病毒传播；今年8月，平台检测到某新上线主机的远程代码执行漏洞，及时通知相关负责人对漏洞进行处理，避免了公司生产服务器被劫持的风险；本平台提供的全网安全视图，将安全由不可见变为可见，使公司的网络安全管理水平进一步提升，风险防范能力进一步加强，有效保障了公司信息安全。

为落实《中华人民共和国网络安全法》（以下简称“网络安全法”）的相关规定，利用“互联网+大数据”模式保障公司网络与信息安全，中国信保规划并建设了基于大数据技术的网络安全态势感知平台。

（一）建设背景

2017年6月1日，我国正式施行《网络安全法》。作为我国网络安全领域的基础性法律，《网络安全法》明确了网络运营者对于网络安全保护的责任，支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。

云计算、大数据、人工智能等新技术的应用，给企业带来了新的问题和挑战。

一方面，新的网络安全威胁层出不穷，传统防火墙、IPS、杀毒软件等安全防护手段在面对特种木马、0day漏洞、水坑攻击、钓鱼攻击以及威胁更大的APT攻击时应对乏力。许多网络运营者的网络安全建设却十分被动，安全检测手段单一且效率低下，有效的安全分析工具严重缺失，安全工作过度依赖于安全人员的经验，往往在发现入侵时无法有效抵御，甚至可能正在遭受入侵却毫不知情。

另一方面，信息系统产生的数据大量增长，如果不能有效收集和利用这部分数据进行安全价值挖掘分析，网络运营者将很难发现隐藏在其中的安全威胁。

（二）建设目标

基于上述项目背景，中国信保规划并建设了一套基于大数据技术的网络安全态势感知平台，为公司管理层的决策、安全管理部门的网络安全态势评估以及网络安全管理员对网络安全事件的分析、发现、追溯等提供有力的技术支撑。

网络安全态势感知建设目标

系统设计遵循监测、发现、分析、处置、取证、研判的安全业务闭环设计，使得网络运营者完成威胁处置的全过程，并且在建设过程充分考虑企业决策者、管理者和执行者等多种角色的关心重点，全方位多角度提供安全态势信息。

传统安全防护技术主要通过防火墙等方式对攻击进行拦截，对于已攻破安全策略的攻击形式，除非已对信息系统造成了显著破坏，否则难以被网络运营者感知。本平台则创新性的通过采集内网全要素数据，混合安全云对接外部威胁情报和建设大数据平台，实现内网异常的及时检测发现和攻击行为的精准溯源，达成网络安全态势感知。

（一）全量数据采集与日志归档

准确掌握整个网络的安全态势，首先需要运营者获得一个全网安全的综合视图。在复杂的网络环境下，许多企业只能做到单一区域、单一数据源的数据采集，本项目则创新性地提出来“全要素数据采集”的理念，通过日志采集探针、流量传感器和终端主机日志采集工具，将中国信保内网各网络区域的各类数据统一采集归档。采集的数据类型涵盖了网络中各类关注对象的安全日志、网络中的数据包、终端主机日志和业务日志等。

日志采集探针在日志解析后直接以归一化日志的形式实时的转发至上层大数据平台进行后续的分析、存储。

终端主机日志采集工具部署在需要监控的终端，与态势感知系统对接，将发生在终端上的各种主机行为日志发送至大数据平台，为终端行为和网络行为的关联、终端合规审计、结合威胁情报发现终端上的高级威胁实现强力支撑。

流量传感器完成流量采集工作，承担了将网络流量进行数据解析、还原、初步分析的工作，其功能主要包括流量还原、文件还原、IDS检测、WEB服务威胁检测四部分。

（二）混合安全云部署，威胁情报提升监测能力

传统感知安全威胁的方式主要是利用检测设备的特征库、分析规则等进行模式匹配，这种方式对发现已知威胁较为有效，但对于感知使用0Day、NDay漏洞的高级攻击者来说并不有效。为提高对这类高级威胁的感知能力，本平台创新性地构建了混合安全云，引入了关联性强、体系完整的威胁情报。

威胁情报数据来自于互联网安全厂商的云端安全大数据（包括代码样本库、主防库、DNS查询记录、Whois信息、IP/DNS/URL信誉等），对这些数据进行情报挖掘与云端关联分析，可以提前洞悉各种安全威胁，将云端的威胁情报信息推送到本地，与本地的原始数据做快速比对，及时发现隐藏在本地的安全威胁。

威胁情报采取单向推送的方式传给部署在本地的分析平台，不会造成本地数据的泄漏，分析平台可采用在线或离线模式获取威胁情报升级包。

（三）建设大数据平台，实时分析海量数据

为了有效存储与分析来自于本地和云端的数据，本平台必须具有强大的存储空间和高效的检索能力，传统的关系型数据库已经无法胜任相关工作。为解决该问题，本平台创新性地采用了大数据技术中的非关系型数据库技术来完成所有信息的存储，同时，为兼顾传统安全管理系统，本平台也保留了关系型数据库。

本次项目建设使用ElasticSearch（简称 ES，一个开源分布式全日志搜索引擎）作为平台基础，并进行了定制化修改，配套了大量的检索和分析软件以实现对数据的高效分析。ES将非关系型数据库的索引以多个分片和多个副本的形式存储于分布式系统当中，既提高了检索性能，又保证了数据的可靠性，其内存索引方式对近期录入的数据做到实时查询，对于存储于硬盘的TB级数据做到秒级查询。系统还通过可视化技术，将原本碎片化的威胁告警、异常行为告警等数据结构化，形成便于运营者理解的高维度可视化方案。

本平台的各个组件平台均采取旁路部署的模式，组成一个独立的网络，不会和本身的网络产生交集。系统充分考虑了性能和扩展性问题，采用灵活可水平扩展的分布式架构。数据采集使用分布式采集探针，可根据采集数据量和网络拓扑的需要增加探针数量。

态势感知系统覆盖安全管理与运营的各个环节，其主要功能如下。

在全要素数据采集的基础上，本平台以ES技术为核心设计了符合安全分析需要的大数据搜索引擎，实现在千亿日志规模下秒级查询速度，轻松应对海量数据情况下的各种安全分析需要。

本平台具备实时统计分析功能，可以快速反馈相关结果，为仪表板、调查分析等的使用提供了有力的帮助。同时为应对大时间范围数据的统计需要，本平台也支持批量定时的统计任务，生成相关报表。

本平台采用SecCEP作为实时关联分析引擎，内置多种分析规则，结合日志、流量数据等数据元分析数据流中的异常。通过这种自动化关联的方式，本平台可及时发现网内异常行为并告警，保证管理员及时监控并处理异常行为，减少可能的损失。

本平台定时提取下发本地的威胁情报，对新增网络数据进行关联分析，一旦发现有告警命中威胁情报，将调用威胁情报中的信息对告警进行全面说明。如有新增威胁情报，则对全量日志进行关联，以发现历史上曾经发生但被忽略的高级威胁。

全部攻击链威胁检测

在发现攻击行为后，网络运营者可以通过本平台完成事件溯源分析，复现攻击全过程，找到背后的攻击者，了解其攻击企图、常用工具、技术和攻击手法等，以评估来自特定攻击者的安全风险，有针对性地采取防范措施，并搜集相关证据，为向执法部门报案提供有效证据和侦破案件的数据支持。

将数据间的关联关系以及蕴含的意义，通过可视化方式展现，便于分析人员深度分析，可以极大的提升情报分析的效率和效果。本平台利用可视化技术，将原本碎片化的威胁告警、异常行为告警等数据结构化，形成高维度的可视化方案，提升了网络运营者对自身数据的认知力，使信息安全管理部门能够更容易地发现数据中隐藏的安全问题。

态势感知系统外部威胁态势感知

本平台架构分为：数据采集、数据存储、分析引擎、安全应用、态势感知、云端威胁情报等，如下图所示：

本平台的支持全要素的数据采集功能，通过日志采集探针、流量传感器、终端安全管理系统等多种软硬件产品对网内各种日志和网络信息进行全量采集。同时对采集到的多样数据进行归一化和富化，为数据分析和数据可视化提供条件。

针对不同源的数据格式差异、数据重复关联、非结构化数据存储空间大等问题，数据预处理层对各个数据源的原始数据提前完成一系列实时预处理，包括数据治理、日志解析、数据归一化和富化。

数据存储层对经过数据预处理后的数据进行集中存储、管理维护、支持数据缓存、数据存储、数据索引、数据分析等。

分析引擎支撑在其上运行应用服务，提供关联分析引擎、搜索引擎、统计引擎、行为分析引擎、可视分析引擎等。向下对接数据中心，为业务系统提供统一的支撑平台，统一的应用服务。

应用服务是建设统一的安全监测业务门户，将所有的应用进行统一管理，提供调查分析、预警处置、威胁管理、态势呈现等应用，实现高效的安全监测和响应。

态势呈现是业务应用层的扩展模块，基于系统大数据，进行专业的数据统计和算法分析，分析安全事件，感知高级威胁态势，分析安全策略合规性，实现一体化运维管控等，并可进行可视化展示。

互联网端的威胁情报数据来源于互联网威胁情报中心，目前包括超过100种未公开（首次发现）的APT攻击行为，并且每个月以不低于10个的速度在增长。依托互联网端对5亿PC终端和6亿移动终端实时保护产生的海量大数据，以及全球最大的IP、DNS、URL、文件黑白名单四大信誉数据库，同时可以对互联网上活跃的未被发现的攻击进行记录。

（二）系统建设

中国信保网络安全态势感知平台建设分成三个阶段。

第一阶段核心是通过引入安全产品和服务，采集外部威胁情报数据和内部数据，实现威胁情报的数据可视化；

第二阶段重点建立大数据分析平台，拓展安全设备的日志采集，进行数据建模，实现内外网威胁的态势感知；

第三阶段重点是利用威胁情报、大数据安全分析、建立情报共享，协同处置的工作模式。

中国信保网络安全态势感知平台建设的三个阶段

中国信保网络安全态势感知平台已稳定运行了12个月，发现非法访问行为、中间件漏洞、Web应用漏洞、挖矿木马和黑市工具等多种网络威胁，从多方面提升了网络安全保护水平。

（一）完善闭环流程，提升安全效率

落实了《网络安全法》对网络安全管理单位赋予的责任与义务，将所有威胁发现后的监管、通报、跟踪整改流程统一，将不同的业务按照符合工作逻辑的步骤进行分类处理，通过系统固定的方式进行威胁闭环处理，确保发现的问题处理有规章可依，有通报、整改、确认的全流程，提升对于威胁隐患处理的能力。

（二）统一风控平台，有效管理威胁

网络安全态势感知平台将目前部署在网络中的安全设备进行统一管理，将安全管理集成到信息化统一管理流程之中，有效的保障信息系统的安全。

（三）感知威胁事件，提升追溯能力

网络攻击事件通常都会在内网的各个角落留下蛛丝马迹。通过采用全流量采集的思路，所有的数据记录都会长时间存储下来，许多问题都能够安全事件都能够进行回溯，对检测、回溯安全事件提供有力的帮助。

本年8月，系统检测到攻击者利用中间件漏洞对业务系统发起攻击，攻击针对IP为10.*.*.17的主机，对默认后台登陆页面进行了异常探测，怀疑存在密码爆破行为。安全人员及时联系此业务系统管理员，将此登陆页面目录权限加以限制，使外网无法访问此页面，避免系统遭受可能存在的信息泄露风险。

攻击基本信息

攻击规则详情

网络安全态势感知平台可及时发现网内的异常行为和未知恶意程序，并进行告警，保证运营者可及时监控并处理这些安全问题，减少可能遭受的损失。

本年6月，通过日志检测，发现IP为10.*.*.87的主机存在持续向某危险域名发起请求，经过判断，此主机可能被植入木马，安全人员及时联系此主机管理员，提取木马样本并进行专业分析和查杀，成功清除威胁。

远控木马基本信息与威胁情报

远控木马详细威胁行为信息

网络安全态势感知平台使得安全由不可见变为可见，有效地提高了安全监控的效率。