他用两年的时间完成了网络部安全体系建设实现了网络安全、数据安全从零到体系化、服务化、自动化管理的飞跃;提出和建设“网络安全一键式智能应急平台”、“NFV化的全流量攻击监测系统”、“全网集中扫描平台”等一系列网络安全手段,带领团队获得了集团网络部组织的全国网络安全技能运维大赛一等奖;作为集团公司“泰山队”成员积极参与全网网络安全建设工作,获得了集团的高度赞扬。
一、概述
为解决传统网络安全应急过程中应急处置流程多、效率低、可靠性不高的问题,由中国移动集团网络部牵头,浙江移动、中国移动网络安全“泰山队”共同研发“网络安全一键式智能应急平台” 。
通过对应急响应方法学(PDCERF)六个阶段的研究和总结,平台重点覆盖较关键的准备、检测、抑制三个阶段功能,同时,通过场景化的设计,目前涵盖了主要的网络安全风险,并不断进行增加。平台实现应急工具、人员、流程从多到一的专业,实现了应急管理日常化,应急效率和可靠性都大幅度提升,如网页篡改应急,从原来的20几分钟下降至3分钟以内,效率提升极大。
二、平台主要功能
平台目前主要覆盖安全应急准备、安全事件监控、安全事件处置和应急量化评估四个环节
安全应急准备
是在安全事件未发生前对应急处置工作所做了一些列工作,之前的应急准备工作大多是文档化准备,例行化演练,久而久之就成为了一种形式化。为了改变这种局面,平台将应急资产、模拟封堵等应急准备工作平台化,应急准备从文档管理变走向平台化,实现应急管理日常化,提升应急处置的可靠性、及时性和有效性;
安全事件监控
是平台针对外部政企客户网站、内部重保网站开展网页篡改、域名劫持、入侵攻击、DDOS攻击等重要安全事件进行集中监控和分析,能够支持自动化监控任务运行,精准的分析策略配置,多维的综合判定机制,从告警中提炼出应急事件,并能将监控结果推送至处置模块进行一键封堵。
安全事件处置
是平台支持应急服务场景化功能,通过应急能力的整合与封装为用户提供场景化处置入口,目前已经支持网页篡改应急、入侵攻击应急、域名劫持应急、CDN应急、DDOS攻击应急等场景。
应急量化评估
网络安全工作可度量是网络安全工作的重中之重,因此在平台中,我们根据应急量化要求,结合应急处置的完成情况,选择影响处置效果的近20个指标,如指令下发时长、验证时长、总体时长、处置成功率等,通过引入BP神经网络算法建立智能评价模型,能够实现对安全事件应急处置效果的智能综合评价。
三、平台关键技术
1、异构系统的协同控制
对于运营商这样以烟囱式维护为主的企业主,网络处理能力的集中能力往往不足,通过调研我们发现现有场景的应急处置会存在10个接口、20个品牌、50多台设备,处置效率低、集中操作难度大,因此通过一键应急平台的引入实现统一接口、统一指令、统一管理,提升快速应急能力。
基于较优路径分析逻辑的应急处置,传统的应急处置中,以网页篡改为例,我们实际上可以在三至四处地方进行应急处置,如何选择呢?
我们平台中引入了基于较优路径分析逻辑应急处置原则,根据影响较小、效率较高、处置较准的三原则进行智能判断和路径选择。
当自有网站进行了NAT转换的网站,在防火墙上进行阻断;
对于本省移动接入的网站没有防火墙转换,在省网路由器上进行阻断;
其他情况发生篡改的,在本省DNS侧进行强制解析,实现本省移动用户无法访问;
该技术解决了当网页篡改事件发生时无法精准应急的问题。
2、近源旁路处置技术
传统的安全防护设备均采用串接模式实现防护和处置,容易引起业务故障。平台采用近源旁路处置技术,通过采集防火墙等网络设备配置后自动判断网站与应急设备对应关系,并联动分析模块采用NAT、ACL等方式实现近源封堵,此技术对业务影响较小,具备较好的实用性和创新性。
四、案例
平台在中国移动集团公司网络部的指导下陆续在浙江移动、北京移动、福建移动、山东移动等落地,顺利完成G20、、金砖五国、十九大、两会、上合峰会等重大活动保障任务,功能上也逐步成熟和完善。同时在日常工作中,平台已进行安全事件封堵百余次,封堵成功率100%。
五、下阶段目标
网络安全一键式智能应急平台是来自实践为实战而生的系统,下阶段将继续聚焦和解决网络安全事件处置方面存在的人员协同、数据协同、系统协同和运行协同等四个协同问题,进一步拓展网络安全事件处置场景并向自动化处置方向发展。提升网络安全事件处置的效率和质量。