开启网络安全建设的下一站—网络安全数据中台建设与实践

1 网络安全数字化转型也势在必行

传统网络安全建设方式下，企业的各种网络安全系统大多是独立采购或独立建设的，不同品牌不同类型的产品或系统，无法做到设备之间的协同联动纵深防御，导致企业内部形成很多安全孤岛。互联网、移动互联网和物联网等新技术的发展带来很多新的业务模式，例如云防护系统、移动安全防护系统、物联网安全平台等，新的模式需要新的安全系统去做支撑，这进一步加剧了网络安全孤岛的问题。分散的各个安全孤岛存储了大量安全数据，发生安全事件需要通过多个系统数据去做分析研判，没有统一分析攻击效率极低，导致这些安全数据无法分析或者只能采用简单规则进行分析。在合规监管力度不断加大，网络中常常部署大量监测类安全系统，对流量和日志等数据重复采集，造成大量IT资产重复投资和运维成本倍增。让企业管理者来说，网络安全工作是看不见也看不懂的，导致无法很好对企业的网络安全决策，跟不上应对日益严峻的网络安全新形势。  

因此需要一套机制整合分散的各个安全孤岛的数据，快速构建网络安全能力，为企业网络安全决策、常态化安全运营和网络安全应急保障提供支撑，这就是网络安全数据中台。

网络安全数据中台（以下简称“安全中台”）是一套可持续“让安全数据用起来”的机制，是一种网络安全建设新的模式，实现网络安全工作可见、可用和可运营，既能提升安全管理、决策水平、又能支撑网络安全运营。

2 “安全中台”五大组成

“安全中台”构建思路是通过大数据技术，将多元分散异构的安全数据通过采集汇聚、整合加工、智能分析、可视化和价值变现五个组成部分，让企业高层、信息化部门、网络安全运营部门和业务部门可以方便使用安全数据。

采集汇聚

企业往往部署大量的IT资产和安全设备，”安全中台”需要对这些多元异构数据进行统一采集和整合，需要采集数据可分为资产类、漏洞类、威胁情报类、日志类、告警类和流量类等，针对不同厂商采用通过KAFKA、API和syslog等多种方式。

整合加工

采集的数据就树木，经过加工成木材才能方便使用。同样安全数据在分析前需要进行预加工处理，需要对数据解析、数据归一化、数据过滤、数据补全、数据清洗等操作。为保障数据的完整性、可用性，从而实现数据的资产化，还需要如下操作。

质量监测：通过建立不同维度的数据质量指标，来描述整体数据治理质量程度，对数据全生命周期质量监控结果进行展示。

血缘分析：是指搞清楚数据的来龙去脉，就是我们这个数据是从那来的，经过了哪些过程和阶段，通过血缘分析实现数据融合处理的可追溯。大数据

安全分析

随着攻击手段多样化和智能化，单个的安全设备已经很难发现的复杂安全问题，需要安全数据结合起来分析才能发现那些潜在的威胁。大数据技术以及高难度识别、机器学习等人工智能技术的快速发展，推动了网络安全技术的不断升级。

采用机器学习、人工智能技术和威胁情报进行安全数据的挖掘和预测，通过安全建模和高级威胁分析，能够快速、准确的取证调查和威胁追溯，持续监测与分析，部分场景的自动化提升安全运营效率。

可视化

为了让安全数据用起来，“安全中台”需要提供便捷快速的数据服务能力，支持场景化快速输出。

基于合规监管：具有等级保护、风险评估、密码评估、数据安全和个人信息保护等合规态势分析。

基于攻防实战：具有攻击态势、资产态势、漏洞态势、威胁态势、横向威胁、安全事件等多维度建模分析结果。

基于业务保障：具有业务系统安全监测状态、用户行为画像、业务资产档案、人员安全考核、业务数据泄露和业务场景分析态势分析。

价值变现

云计算、大数据和人工智能等新技术的快速发展和网络安全应用场景不断融合，通过“安全中台”，可以海量收集企业历史安全数据，利用这些数据可以发现高级复杂的安全威胁，也可以快速感知网络安全威胁并作出反应，实现安全工作自动化和智能化。同时为上层安全应用系统提供数据资产共享，避免重复数据收集存储。通过安全数据分析客观全面反应现有安全问题，科学评价安全建设成效，公正评价相关部门和人员安全工作情况。

企业的网络安全现状不同，对安全能力诉求也不尽相同，网络安全数据中台的建设侧重点也不完全相同。“安全中台”实施不是一套标准化安全产品，而是一套解决企业网络安全管理难题的新方案。站在企业角度，“安全中台”为安全运营和上层安全应用做支撑，能帮助企业沉淀网络安全知识，提升安全管理效率，最终完成网络安全能力构建。

3 五步法构建“安全中台”

“安全中台”通过五个步骤完成。

调研现状、确定架构、构建资产、使用数据和安全运营。

• 调研现状 ：详细调研企业目前IT建设、安全设备和运维使用等情况，对每个安全设备存储那些类安全数据，存储数据量大小，数据字段、数据接口和目前沉淀情况。
• 确定架构 ：根据调研现状，确定业务架构、技术架构、应用架构和数据架构。业务架构：面向企业高层、安全管理人员、安全运维人员、安全监管人员、安全评价人员，确保中台能适用企业内部安全管理制度和流程。技术架构：对数据采集、存储、计算等环节技术进行选型。应用架构：是指数据中台应用架构，对上层应用的支撑。数据架构：是企业安全系统之间共同语言，在数据层面保证安全业务和安全技术的一致性。
• 构建资产 ：企业构建符合安全场景需求又满足数据架构要求的数据资产体系并实施，包括数据汇聚、数据仓库建设、标签体系建设等。标签体系是对安全对象构建数据标签，可以通过标签方便支撑上层应用。
• 使用数据 ：将构建的数字资产通过服务化方式，应用到具体安全应用中，同时要考虑数据安全问题，那些人可以使用数据，可以使用什么类型服务，都需要严格认证授权，这样才能发挥安全数据价值。
• 数据运营 ：安全数据被应用到安全管理系统，例如安全管理平台、态势感知等，产生的价值是通过安全运营呈现，让人感知到安全数据的价值。“安全中台”建设运营是一个持续建设和优化过程，不断挖掘数据在安全场景使用模式。

4 总 结

什么样企业适合上网络安全数据中台？这和企业安全现状、安全建设投入、人员能力和投入产出比等息息相关。如果一个企业具备一定网络安全建设基础，例如通过等级保护三级测评，部署了态势感知、威胁情报、安全管理平台、UEBA等安全管理系统，沉淀了一些安全数据，业务场景复杂对网络安全保障要求较高，要满足持续应对攻防实战需求，满足以上特征企业可以考虑。企业对安全数据应用能力成熟度越高，说明安全数据对安全管理的支撑能力越强，让数据驱动网络安全决策和管理，而不是仅凭安全管理人员的经验，这才是网络安全数据平台建设最终目标，真正的让安全大数据用起来，开启网络安全建设下一站。