Hinton预言的「AI将拥有常识」如何实现？

2.3 网络安全事件分类

结合网络安全防护的不同需求，网络安全运维人员需要构建网络内安全事件类型库。当新的告警日志触发后，网络安全事件管理与处置引擎将根据告警事件的多维度属性，实现(半)自动化的网络安全事件类型判定。网络安全事件通常分为内部和外部事件，图3展示了一个典型的网络安全事件分类场景图。
 

2.2 基于SOAR的网络安全事件管理与处置引擎

网络安全事件管理与处置引擎依据专用运维事件库，对接收的运维事件进行分类与存储，最后由SOAR引擎实现事件研判与自动化响应[10]，图2展示了网络安全事件管理与处置引擎的流程架构图。网络安全运维人员可以结合国产产品生态构建的网络特点，通过持续感知网络的合规性风险以及其他隐蔽的内部威胁和网络攻击行为，构建专用运维事件库。

系统通过业务流程建模与标注[11](business process model and notation, BPMN)技术进行灵活、可配置的剧本编排[12]，将人员、流程、设备结合成统一的整体，根据运维场景定制有效的剧本，完成事件研判与自动化响应，当有剧本涉及的告警事件发生时，网络安全事件管理与处置引擎便可以按照剧本进行(半)自动化响应，实现人员、流程、设备无缝融合。网络安全事件管理与处置引擎可以与某些专用设备的主动防御体系进行有机结合，形成贯穿安全事件触发、研判分析、处置、恢复全生命周期的自动化防御机制。
 

本文针对基于国产产品构建的网络，采用先进的自动化网络运维技术手段，构建网络安全运维[2]与事件自动化处置机制[3]，通过构建生态内产品的多源数据融合管理能力、国产基础软硬件以及国产网络安全产品间相互协同的能力，实现网络全景一体化安全数据融合管理[4]，并完成网络内安全事件快速高效的自动化响应、处置。

1.网络安全运维与事件自动化处置介绍

目前国产生态产业链中网络安全产品日趋完善，已出现了多种防护产品以及设备监控与运维管理系统，为了解网络安全状态提供数据基础。

网络安全运维[5][6]与事件处置旨在通过利用多源数据及时发现网络中存在的各种安全威胁和脆弱性，形成网络安全事件，通过对网络安全事件的综合分析，采取有效措施阻止网络安全事件的进一步扩散，防止网络内基础设施破坏和数据篡改、泄露，保障网络内业务系统安全、稳定和高效地运行。

网络安全运维中的事件自动化处置[7]通过事先定义好的流程化框架对系统进行监控，一旦达到触发条件，可以按照预先设置流程，通过多个设备或者服务间的事件协同，实现事件的自动化处置。

网络安全运维与事件自动化处置技术经历了2个重要的阶段：安全信息及事件管理(security information and event management, SIEM)和安全编排、自动化及响应平台(security orchestration, automation and response, SOAR)。

安全信息及事件管理[8]SIEM最初由日志管理技术发展而来，将安全事件管理与安全信息管理技术结合到一起对数据进行收集、存储、分析、调查和报告来实现事件响应和取证。2017年Gartner提出了安全编排、自动化与事件响应[9]，通过综合数据收集、案例管理、标准化、工作流和分析相结合，定义事件响应流程，最终实现自动化事件响应活动。

为了保证基于国产产品生态链所构建网络的健康、稳定运行，需要深入了解基于国产产品生态所搭建网络运维面临的新机遇和挑战，充分利用产品生态链的自主可控的优势，采用先进的网络安全运维与事件自动化处置技术，设置面向不同风险的细粒度处置机制，打破各个安全产品以及系统各自为政、相互之间不关联不联动的局面，形成全面系统的一体化运维管理体系。

2.针对国产产品生态的网络安全事件高效管理运维关键技术

2.1 技术框架

网络安全运维与事件自动化处置平台从网络安全产品获取日志和告警事件数据信息，在核心平台上自动进行综合分析整理，并最终达到安全事件的自动化处置响应的目的。网络安全运维与事件自动化处置框架如图1所示。

（编辑：阜阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!