1 项目背景
1.1 整体安全观
网络安全管理平台作为企业安全的大脑,也就是整个企业的安全运营中心,其数据接入的多少、好坏直接影响到安全运营的效果,如果以汽车来比喻的话,数据就是汽车的油箱或者电瓶,是保障汽车启动的动力。
1.2 安全现状
(一)数据接入不全面,告警结果不准确
企业IT资产的日志包括系统日志、中间件日志、数据库日志,安全设备日志、网络设备日志,其涉及的日志类型多、规模庞大,企业大部分未完成全部接入,存在监控死角;
(二)数据量呈现过多,重要信息难发现
以10Gbps流量的举例,大概每天会产生50000条左右的日志,但是真正有效的日志只有100条以内,想要在几万条的数据中发现几十条有用的数据,无异于是大海捞针;
(三)数据存在孤岛,数据无法串联
由于企业建设的阶段不同、要求不同,安全设备存在不同的安全厂商、安全设备之间能力未打通,因此无法进行关联分析,根据洛克希德马丁的杀伤链模型,攻击并不是凭空出现,安全设备的日志与系统的日志之间都是有关联的;
(四)能力建设缺失,未有统一规划
安全作为业务的附属,大多数企业在投资还是管理上都存在严重不足的情况,脑海中对安全的要求是不出事就可以,但是安全不同于业务,安全平常是不可见的,只有在被攻击的时候才会体现效果;