网络安全事件管理

一、背景

信息化技术的迅速发展已经极大地改变了人们的生活，网络安全威胁也日益多元化和复杂化。传统的网络安全防护手段难以应对当前繁杂的网络安全问题，构建主动防御的安全整体解决方案将更有利于防范未知的网络安全威胁。

国内外的安全事件在不断增长，安全信息管理市场也在不断发展。2018年12月，Gartner正式对外发布了2018年SIEM市场魔力象限分析报告。报告显示，SIEM目前属于成熟市场，并且竞争十分激烈。全球SIEM市场价值从2016年的20亿美元上升到了2017年的21.8亿美元（注：这些数字相较于2018年的预测有所下降，以最新的为准）。

SIEM市场的首要驱动力是威胁管理，其次是安全监控与合规管理。发展相对欠成熟的亚太和拉美地区的SIEM增长率远远高于北美和欧洲市场。由此可见，网络安全事件所带来的风险日趋严重，同时CISO对此的重视程度也在不断加强。

二、网络安全事件分类

在数字经济转型时代，信息作为当今时代的“矿产”和“石油”，对国家、社会和企业的快速发展具有重要的推动作用，在信息为人们生活创造了巨大便利的同时，网络安全在基础设施中造成的影响也日益严重。

随着信息化的不断推进，政府和企业对网络安全的防范意识在日益增强。在应对攻击时，市场上传统的网络安全产品相互独立，难以形成高效的闭环，整体的网络安全防护体系难以抵抗攻击者的多手段攻击。在海量的安全事件中，如何根据一定的流程进行响应，对各种安全事件进行挖掘和关联，发现真正的安全事故，是安全事件管理需要解决的问题。

网络安全事件是指多个事件及事件间的关系，安全事件之间的关联与网络管理中的关联相似，关联的目的在于综合单点的安全设备所发来的事件，以减少误报和漏报，帮助快速确认事故根源。网络安全事件由单个或一系列意外或有害的安全事态组成，可能危害业务运行和威胁网络安全。

对于网络安全事件的管理，国内外的研究一直在持续进行，制约安全事件管理产品发展的主要因素是事件关联关键技术的突破和安全事件格式的标准统一。网络安全事件管理应该是实时和动态的管理模型，人工智能在安全管理体系中应该有所体现。
使用结构严谨、规划周全的方式制定企业整体网络安全战略对网络安全事件管理非常重要。

安全事件管理的目标有以下几个：

• （1）对安全事件的整合和关联。以统一的格式对安全事件进行关联，系统可以发现与某种特定攻击相关的关键事件，或者了解其所产生的实际影响。
• （2）安全风险的动态呈现。以动态的方式对网络安全事件的风险进行量化，并进行实时呈现。
• （3）安全事件的及时响应。当出现安全事件时，需要按照一定的工作流程对安全事件进行跟进和实时响应。

网络安全事件可以分为以下几类。

• （1）有害程序事件：是指插入信息系统的一段程序，会对信息系统的完整性、保密性和可用性产生危害，甚至影响营销系统的正常运转。计算机病毒、蠕虫事件、混合攻击程序事件等都是有害程序，这类事件具有故意编写、传播有害程序的特点。
• （2）网络攻击事件：是指通过网络技术、利用系统漏洞和协议对信息系统实施攻击，对信息系统造成危害或造成系统异常的安全事件，如DDoS攻击、后门攻击、漏洞攻击等。
• （3）信息破坏事件：是指通过网络等其他手段，对系统中的信息进行篡改或窃取、泄露等的安全事件，主要包括信息篡改、信息泄露等。
• （4）信息内容安全事件：是指利用网络信息发布、传播危害国家安全、社会安全和公共利益安全的事件。
• （5）设备实施故障：是指因信息系统本身的故障或人为破坏信息系统设备而导致的网络安全事件。
• （6）灾害性事件：是指外界环境对系统造成物理破坏而导致的网络安全事件。