文/李罡、王德超、邱烨、闫洪利、乔庆学， 济南轨道交通集团有限公司

一、安全防护平台总体情况

为满足国家网络安全战略要求及应对当前愈演愈烈的各类已知、未知网络安全风险及APT类攻击，济南轨道交通集团在内部管理网数据中心建立了以下一代防火墙为核心的网端一体化联合处置平台，同步联合WAF、上网行为管理、终端杀毒等手段对集团网络及信息系统进行事前、事中、事后的全生命周期安全防护；同时，部署了基于大数据和人工智能算法的智能安全中心进行全网安全运营，该中心主要包含智能威胁感知、态势感知研判及安全运营响应等三个功能模块。初步搭建了基于联合处置和智能分析的网络安全防护平台，为集团内部管理网络安全保驾护航。

二、安全防护平台建设背景

在当前复杂多变的信息安全形势下，无论是外部黑客入侵、内部恶意使用，还是软硬件、协议在生命周期的各个阶段中产生的网络安全隐患问题，安全管理手段都正在变得越来越不够用，安全问题难以及时发现；当攻防演练逐渐成为集团所需要面对的常态业务，如何确保系统安全成为了亟需解决的问题；同时，业务系统集成关系越来越复杂，数据安全性、应用安全性等问题越来越凸显。

集团内部管理网已上线和正在建设的业务系统达二十余个，基本覆盖了企业管理、工程建设、运营管理和资源开发等核心业务，信息系统的正常运转以成为保障集团员工办公的必要条件。为此，集团数据中心设置安全控制中心，实现安全业务编排和策略统一管理，覆盖安全服务配置、运维两大场景，与安全态势感知系统、安全设备构成全面威胁感知、分析和响应的整网主动防御、多维安全防护体系，保障信息系统安全、稳定运行。

图1 安全控制中心实景图

三、主要内容及关键技术

（一）主要内容

1.网端一体化联合处置平台

集团根据可能面临的所有网络安全威胁和风险漏洞，在安全控制中心内部署了网端一体化联合处置平台（图2），以技术配合管理，管理衔接技术，打通网络安全管理中的人、技术和操作过程等环节，形成统一的安全联合处置平台；平台具有通信网络、安全区域边界、计算环境等网络侧的强大识别和安全防御能力，帮助集团内部管理网从横向到纵向构建立体纵深的安全防护架构；平台包含传统防火墙、下一代防火墙、WAF、上网行为管理、终端安全系统等，实现全方位的安全防护；平台统一展示来自外部入侵行为触发的网络安全告警信息，并自动阻断黑客非法攻击。

图2 网端一体化联合处置平台

2.大数据智能安全中心

根据一个安全管理中心，三重防护的思想，集团在安全控制中心内部署还部署大数据智能安全中心。通过收集探针、日志审计、数据库审计等安全软硬件日志信息，实时报警、阻拦、定位攻击源、实现安全体系整体联动，多维防御。安全管理中心的内容如图3所示。

图3 安全管理中心功能架构图

大数据智能安全中心依据核心功能分为智能威胁感知中心、攻击态势感知研判中心及安全运营响应中心三个模块。智能威胁感知中心依靠安全实时分析和深度感知智能引擎对平台采集的内网流量数据、日志数据及资产数据进行威胁分析检测，如图4所示。

图4 智能威胁感知中心

攻击态势感知研判中心则从多维态势感知、威胁情报、安全追踪溯源及分析报告等四个层面为集团提供内外部安全态势感知研判，如图5所示。

图5 态势感知研判中心

安全运营响应中心为集团提供了日常安全运营管理的载体，从技术角度完善了集团安全运营能力与流程。安全运营工作台对收集到的有代表性的网络攻击行为、新产生的网络安全威胁情报、网络安全整体分析报告和各部门单位的应急处置状况进行统一发布，提高统一调度和指挥能力。减少安全事件对人工的依赖，流程化完成事件管理，提高了协作沟通效率，如图6所示。

图6 安全运营响应中心

（二）关键技术

1.安全矩阵全域覆盖

集团在网络边界和终端环境进行网络安全能力全域覆盖，网络流量层分析威胁的特征结合终端层的行为分析，降低来自不同介入点的风险，可实时定位本地无法检出的威胁。当边界安全设备识别外来网络攻击和异常网络流量时，集团网端一体化联合处置平台可通过黑名单的方式过滤外部攻击行为，保障内网网络安全。

2.智能协同闭环处置

集团在流量及终端侧构建基于AI的检测与防御能力，通过实时流量分析，安全技术联动抵御来自网络侧的攻击，流量层溯源定位被攻击主机，联动终端杀毒发起对被攻击主机的全面的扫描，该平台可快速定位网络内的攻击主机，确定是恶意攻击或者主机感染病毒，进行隔离，完成取证操作，保障集团网络安全闭环管理。

3.未知病毒精准防御

集团通过AI提炼病毒特征，对可能遭受的木马变种病毒进行防范；当终端感染变种病毒时，可自行启用网端一体化联合处置平台的微隔离策略，限制传染面在单个主机上，保障集团网络的安全以及核心业务和服务器区域不受木马变种病毒干扰。

4.安全运营威胁预知

全网安全日志统一分析结合后台专家分析，给出最佳策略配置建议、每日巡检及安全播报、全网高危事件等，全天候安全运营，通过智能安全中心提高网络安全风险预警能力，保障集团网络安全。

四、主要应用场景

（一）网络威胁追踪溯源

基于安全事件的攻击手法来源等，结合威胁情报追溯类似的攻击事件，深挖攻击事件背后的团伙和实际的攻击者，集团通过安全设备的日志可以回溯攻击源，分析非法攻击行为，并进行安全防范，提高安全防御机制，防患于未然。

（二）安全态势全局总揽

通过态势感知大屏、分析报告、安全日志在海量的安全告警中，分析提炼出关键的事件，为集团提供决策处理，完成仅凭把人工不可能完成的工作量任务变成轻松完成，规避了重要的安全事件不被海量告警淹没。

（三）网络风险及时发现

内部的恶意主机或进程对外攻击可能涉嫌违法，对集团内部攻击风险不可估量，基于智能安全中心中对流量的深度检测，实现及时发现和处置集团内部恶意资产。

（四）安全处置联动防御

大数据智能安全中心发现潜在的入侵和高隐蔽性攻击，预测即将发生的安全事件并与安全防护设备形成联动能力，自动安全调整访问控制策略下发至防御设备，第一时间通过联动防御设备阻断攻击者的连接。集团存在大量核心业务数据，通过智能安全中心杜绝终端感染导致的整个网络被勒索或者被非法控制，实时保障集团网络不被外界非法攻击行为入侵。

五、经验总结

通过集团网端一体化联合处置平台和大数据智能安全中心的建设，一方面有效提升了集团的信息安全管理水平，协助集团统一监管全网环境安全风险，整合安全要素，打破数据孤岛、能力孤岛；另一方面实现了安全监测自动化运营流程和安全事件自动化响应，形成威胁发现、智能研判和响应处置的安全运营闭环处置流程，释放安全管理人员手动处置威胁负担，解决了威胁发现不及时、安全响应滞后等安全运维过程中的通病问题。

该平台提升了体系化纵深联动防御能力，平台发现潜伏威胁和高隐蔽性攻击后，可以预测即将发生的安全事件，能够与安全防护设备形成联动形成安全闭环，从而保障集团网络安全。