一、解决方案介绍

（一）背景

随着“三法一条例”的落地实施，网络安全已经上升为国家战略，是国家安全的重要组成部分，使网络空间法治化有章可循，确保网络安全是国家赋予电信及互联网运营企业的重大责任。但当前网络安全仍面临多样化的挑战，从安全趋势与运营商内部两方面情况分析如下：

1）从安全大趋势看：近年来，整体安全趋势日益活跃，随着新技术高速发展与新业务爆发式诞生，安全威胁愈加复杂。随着业务转型与技术发展并行，安全需求已逐渐从传统机械型向灵活发散型转变。

安全环境层面：随着互联网与各产业的充分融合，外部威胁变得更加突出，自动化攻击与黑色产业链日臻完善，原来以策略和产品防护为核心的理念已无法适应新的环境。

业务转型层面：运营商云网一体化深度融合所带来信息基础设施的深刻变革，使得传统上相对独立的云计算资源和网络设施融合形成一体化供给、一体化运营、一体化服务的体系，面对实时变化的计算、网络、存储资源，传统的安全手段无论是响应速度还是管理方式上都不再适用。

2）从省级运营商自身看：现网安全架构分域建设，安全系统及工具部分重复建设，存在系统竖井化、工具碎片化、服务单一化的情况。主要问题体现在：

管理个性化：由于各业务条线安全管理要求及对外接口要求的不同，分域管理存在一定的特殊性，主要表现在集团及相关部门的监管特性要求及自身的个性化需求，故需对不同业务条线进行个性化安全管理功能建设。

系统竖井化：全网安全平台及系统竖井化建设，每个系统均具备安全管理、安全能力、安全数据，同时部分系统内部整合安全基础能力工具。现网安全架构没有形成统一的安全体系，由多种竖井化安全系统构成。需进行安全管理及能力的整合、聚合，及安全系统的横向解耦。

工具碎片化：安全基础能力工具基本为多厂家、多标准建设，现网各个安全产品大多为独立系统，未形成功能联动及安全信息有效共用，造成一定有价值的安全信息浪费。需考虑安全能力的开放与聚合，形成统一的安全能力输出。

服务单一化：政企部门的安全主营业务为面向云、IDC、专线客户提供基于硬件设备堆叠的安全建设方式和输出模式，形式较为单一，缺乏市场竞争力，无法满足国家“三法一条例”相关政策要求及灵活多变的客户需求。

（二）方案框架

御安信息网络安全智慧治理平台结合可扩展威胁治理（XDR）理念构建网络安全防御体系，构建“安全合规、安全防护、态势感知、应急响应”四大能力中心，对已有安全能力基于标准化、复用化原则进行组件化，形成统一标准化接口，实现安全工具的集中纳管与安全能力的统一输出，从而满足内外部用户各类业务场景的安全需求。

御安信息网络安全智慧治理平台通过南向API接口，整合各类网络安全工具能力，集中企业安全运行数据，将零散分布的安全工具进行统一集中化管理。根据模型策略对安全数据进行关联分析，并通过识别、防护、检测、响应等策略对安全能力进行整合、调度与编排，将执行结果通过北向API接口反馈给安全业务平台。

（三）主要功能

御安信息网络安全智慧治理平台结合基于业务的定制开发设计，构建以通用组件及接口为枢纽、以四大安全中心为支撑，共享、开放、智能的安全能力平台，为前端网络安全运营平台提供各类安全能力支撑，实现网络安全能力服务的对外输出。

（1）通用组件及接口

提供统一安全服务总线，基于南向统一服务标准，实现安全工具云化集中管理；通过服务管理能力，实现安全组件的可视化管理；最终通过网络安全服务总线实现对外部各类系统的能力对接和输出。

构建为各个中心提供资源的基础通用组件，包括基础组件库与调度编排的服务能力，同时各个中心的基础数据库也能够被其他中心灵活消费。包含：基础资产组件、IP地理库组件、威胁情报库组件、服务注册、服务调度、服务编排等组件。

（2）安全合规中心

提供安全基线合规检测能力，底层适配驱动各类安全检测工具，对外提供合规检测策略与任务执行、脆弱性生命周期管理等能力。

根据等保、两部委、工信部、集团检查要求，对外提供以下服务：

提供漏洞库管理、基线库管理、弱口令库管理、知识库管理、漏洞梳理策略库管理、合规检查策略库管理、扫描原始结果管理、合规检查报告管理、策略管理等服务。

提供设备配置检查、设备漏洞检查、应用漏洞检查、弱口令检查等合规检查与检测作业执行服务。

（3）安全防护中心

提供防护策略统一管理能力，实现对主流安全防护工具的策略管理与组件管理，包含对DDOS、WAF、URL拦截系统、主机防护、虚拟化防火墙的策略采集、开通、管理。

（4）态势感知中心

提供全网安全分析展示能力，基于安全数据湖中的数据，依托大数据分析技术和安全分析策略，对外输出数据分析、安全威胁预警、多维度安全态势展示等能力。

主要根据安全业务需求，对外提供以下服务：

通过异常检测、统计分析等各类模型，对外提供恶意程序、WEB攻击、APT、异常流量检测服务。

集成IDS、WAF的规则能力，可以检测完善的七步骤攻击链（侦查、工具制作、投送、攻击渗透、安装工具、命令控制、恶意活动），扩展攻击业务场景，包括勒索病毒、肉机检测等。

安全事件库、多维态势视图、安全态势展示视图、大屏组件对接、安全态势报表、安全态势监测、安全态势预警、安全场景分析、等服务。

（5）应急响应中心

主要根据安全业务需求，对外提供以下服务：

根据应急场景需求，提供全网网络安全应急处置策略管理服务及处置服务。

提供应急人员管理、应急预案管理、应急演练管理等服务。

二、应用场景与成效

御安信息网络安全智慧治理平台完成安全合规、安全防态势感知、应急响应四大中心和通用组件及接口能力建设，实现某省级运营商网络安全保障体系的“两提升，一转变”。

（1）安全架构升级

安全数据集中化管理：御安信息网络安全智慧治理平台对某省级运营商安全设备和安全系统的异构、多源运行数据进行集中的采集、标准化、关联补齐和共享，综合考虑上层各个应用对数据的要求，为其提供高可用的数据支持。

安全平台组件化应用：基于御安信息网络安全智慧治理平台对安全能力可复用、按需扩展、灵活交付的要求。

统一服务标准输出：御安信息网络安全智慧治理平台采用与某运营商集团智慧平台一致的服务标准（微服务、服务总线、接口形式），并对安全设备进行集中化纳管，形成统一标准化接口。

基础安全工具软件化管理：现有的网络安全设备支持的安全能力与硬件设备解耦，以软件形态部署在IT资源池的虚拟机或容器中，并基于标准接口对外提供服务编排、策略控制和运行维护等能力。

（2）安全能力提升

构建全网安全态势感知：设计完成符合现网实际的全网态势感知架构体系。结合态势指标与态势管理，将全网数据服务于整体态势分析，利用态势感知智能分析算法、5G安全技术和应用，构建全网生态防护体系，对未知威胁探测发现并及时处置。

未知安全威胁发现：根据网络流量审计和分析功能，结合静态高速扫描技术、多沙箱动态检测技术、异常流量检测技术、威胁情报技术、大数据安全分析技术、安全态势感知技术以及丰富的安全事件报告功能，具备识别2万种攻击手段的策略，有效检测APT攻击等新型未知安全威胁，对传统安全防御系统的完善和补充，成为企业提升安全防御水平的有力武器和必要工具。

（3）安全服务输出

安全服务可编排：御安信息网络安全智慧治理平台通过对标准化安全组件进行编排、组装、调度，即可满足前端应用对安全能力多样化的需求。

安全服务一站式开通：无缝衔接各个安全服务以及数据流转，实现安全服务的一键开通及自动化部署功能。在开通安全服务时，用户可以自助选择服务的种类、性能规格、有效周期、开通数量等信息。订单提交后，实现产品的自动化部署、许可的自动导入、安全服务的自动激活，整个部署激活流程无需人工干预。

三、优势

（一）安全数据集中化管理，建设数据共享生态

汇聚全网各类安全数据构建统一化安全数据中心，搭建面向安全智能的生态开放合作框架，通过“能力解耦、融合共享”的方式引入优势安全分析能力，构建更加专业的智能分析场景赋能各类业务应用。

（二）云化池化基础安全组件，统一安全工具标准

提供统一的安全组件接口标准，通过插件逐步集成现网各类安全产品，以符合云化部署管理要求实现安全能力的云化适配、迁移，基于安全即服务，为安全管理人员、分析人员提供一个中央控制台。

（三）安全能力原子化改造，技术架构平台化演进

以微服务化方式，对安全能力进行解耦，改变传统“烟囱竖井式”安全系统架构，向“平台+应用”的新型安全架构转型，实现架构云化、能力平台化和应用互联网化。新的架构模式可以实现安全资源共享，提供统一的安全原子能力管控入口、统一安全能力开放出口。

（四）安全服务链动态编排，全量组件灵活调取

基于前端业务场景的安全需求，通过API与流量进行调度，对“安全资源池”中的虚拟安全设备、“安全能力池”中的安全能力组件进行可视化编排，快速输出对应的安全能力服务化响应；根据具体业务动态调整安全产品、防护对象的位置，从而定义网络的流量顺序及安全产品能力实现顺序。

（五）场景化定义剧本，自动化响应高效处置

通过场景化编排实现安全组件的精密联动，借助安全编排技术将人员、流程编入剧本，对剧本中的各个安全组件标准接口的自动化调用，实现对安全任务的自动化响应处置，革新事件响应效率。

四、应用案例

目前本产品已在某省运营商部署运行，上线时间达8个月，并在省公司及地市落地推广使用，已实现4大中心安全工具与能力的整合，4大类安全能力场景化的应用，各项安全能力涵盖网络安全90%基础面，风险监测、威胁分析、安全防护、响应处置能力开放至网络各专业使用，已应用于建党100年重保、世界互联网大会重保、“5G云安全”落地赋能、挖矿分析研判态势等场景，将事件处置效率从小时级提升至分钟级，整体安全威胁发现和处置效率获得显著提升。