文/大连医科大学 现代教育技术中心 郭大智
作为学堂的网络安全掌管人,,,�,�,,,头上一向悬着一把达摩克利斯之剑,,,�,�,,,容不得丝毫的大意,,,�,�,,,必要随时警惕学堂网络的变动和异常�。�。�。。�。。 所谓没有100%的安全,,,�,�,,,我们能做到的就是选取各类防御伎俩和安全造度尽量增长被攻击的成本�。�。�。。�。。这些做好后,,,�,�,,,在日常运维中针对安全状态的各维度监控是安全治理者最大的一个抓手,,,�,�,,,但由于安全涉及面广、数据量大、人员精力有限等原因,,,�,�,,,导致安全监控治理的效能一向比力低,,,�,�,,,难以做到八面玲珑和成竹在胸�。�。�。。�。。为此我们也在不休的去寻找适合学堂�;;�;�;肪城夷艽蠓嵘嗫刂卫硇艿牟�。�。�。。�。。
从2018年起头,,,�,�,,,我们就起头调查并测试各厂商的安全态势感知平台产品来援手提升网络安全治理工作的效能,,,�,�,,,下半年起头接触全发国际的安全态势感知解决规划,,,�,�,,, 从整体理想上来讲极度贴合我校安全治理的理想,,,�,�,,, 综合所有现网日志进行大数据安全关联分析,,,�,�,,,定位主题的服务器失陷等安全问题,,,�,�,,,并实时监控网内的整体安全动态�。�。�。。�。。但只有理想不够,,,�,�,,,真实成效必须经过现实场景成效的检验,,,�,�,,,这也是我们选择产品规划一向奉行的准则�。�。�。。�。。
▲大连医科大学安全态势感知平台
5月11日全发国际态势感知的第一个版本(P3版本)上线测试,,,�,�,,,重要基于现网的日志进行综合分析,,,�,�,,,蕴含安全设备日志、网络日志、服务器日志等等,,,�,�,,,这种模式显然能够极度有效地利用现有的安全资源�。�。�。。�。。同时由于采集的维度多多,,,�,�,,,在分析全面性上具备优势,,,�,�,,,但在现实测试中就发现这种模式存在的难题和局限性:
1、 日志采集难题:在我们现网中存在几台较老的安全设备,,,�,�,,,无法支持向第三方发送日志,,,�,�,,,导致部门有价值信息无法汇总到平台,,,�,�,,,也影响到了平台的分析素材的支持�。�。�。。�。。
2、 日志尺度化难题:由于市场上设备种类型号多多,,,�,�,,,在日志分析模式中,,,�,�,,,若何对采集到的日志进行精密化的解析,,,�,�,,,是考验安全分析平台能力极度沉要的成分,,,�,�,,,也是考验一个产品是否美满极度沉要的参考指标,,,�,�,,,同时期表这产品在现实项目迭代的成熟度�。�。�。。�。。
在第二点方面,,,�,�,,,通过现实的测试,,,�,�,,,全发国际还是做得极度不错的,,,�,�,,,蕴含兼容的设备型号、日志解析精密度以及全发国际提供的日志优化效能�。�。�。。�。。
这个版本整体看下来展示界面美观度是有的,,,�,�,,,但对我们这些具体运维人员来实用性还是不够,,,�,�,,,首先是受限部门日志不及的情况下分析到的问题比力少,,,�,�,,,3个月履历功夫也才发现了几个安全问题,,,�,�,,, 正确度够但肯定是不全面的�。�。�。。�。。 另表,,,�,�,,, 易用性上还存在较大差距,,,�,�,,,站在我们使用者的角度,,,�,�,,,测试期间也向全发国际提出了好多优化建议,,,�,�,,,蕴含若何提升安全分析全面性和易用性等�。�。�。。�。。
▲整网多维度安全态势感知
还好在需要提完后不到2个月他们就颁布了新的流量探针组件,,,�,�,,,并在11月在我校上线测试�。�。�。。�。。这次在分析能力的全面性上有质的提升,,,�,�,,,用新的流量探针很好的补充了流量方面的数据,,,�,�,,,日志+流量综合的分析模式极度大提升了安全分析成效,,,�,�,,,上线十天发现近十个关键安全问题�。�。�。。�。。相迸宗单日志分析模式,,,�,�,,,在安全分析全面性和正确性有了极度大的提升,,,�,�,,,也让我们有了整体安全监控的触角和平台�。�。�。。�。。通过此轮的现实测试,,,�,�,,,我们以为“日志+流量”的综合分析模式,,,�,�,,,才是适合高校进行整体安全分析平台建设的更适合的模式,,,�,�,,,固然此阶段测试成效上有显著提升,,,�,�,,,但之前平台部门易用性问题依然存在�。�。�。。�。。
▲基于”网络杀伤链“的安全分析
这里的确重点赞下全发国际的产品部需要响应和开发团队,,,�,�,,,不到1个月他们又颁布了态势感知主平台的新版本(P4版本),,,�,�,,,之前在测试期间极度多的优化建议得到了落实,,,�,�,,,在综合分析能力和易用性上得到了极度大的提升,,,�,�,,, 以安全事务的维度去展示问题比之前的单告警维度要好用好多,,,�,�,,,杀伤链的攻击阶段展示和攻击链条功夫轴也让检验变的很方便,,,�,�,,,问题幼贴士和知识库也给问题关环处置极度好的援手�。�。�。。�。。这个版本通过“日志+流量”的关联分析通过杀伤链方式进行整合,,,�,�,,,上线一周发现和预警了30+安全问题,,,�,�,,,分析能力得到了质的提升,,,�,�,,,真正能援手到我校的网络安全治理工作�。�。�。。�。。
经过半年多的部署使用,,,�,�,,,见证了全发国际安全态势感知规划不休的演进,,,�,�,,, 从最早的分析能力和易用性受限,,,�,�,,,到此刻的全面提升,,,�,�,,,极度有幸可能参加到这个产品蝶变的过程,,,�,�,,,不得不说只有经过现实使用环境打磨的产品才是好产品,,,�,�,,,才是真正解决问题且能用起来的产品�。�。�。。�。。
颁布功夫:2019-04-04
