伴随着云计算技术的高速发展及应用,越来越多的组织将其业务迁移到云端,各综合型网络安全厂商通过其全球化的安全运营中心,为诸多用户提供 7*24 小时不停歇的远程网络安全托管服务。
近年来,国家信息中心(国家电子政务外网管理中心)先后印发了《关于加快推进全国政务外网安全监测平台建设工作的通知》(政务外网〔2020〕1 号)和《关于加快全国政务外网安全监测平台对接工作的通知》(政务外网〔2022〕4 号),推动全国政务外网建设和运行维护单位提升和完善网络安全监测预警和应急处置能力,逐步实现跨地区、跨层级的安全监测数据共享和业务协同,形成全国政务网络安全态势感知一张网。
01 政务安全托管服务(GMSS)准则
政务安全托管服务(以下简称“政务MSS”或“GMSS”)在标准MSS服务基础上,充分利用政务外网建设的网络安全监测基础设施,针对国内数字政府行业网络安全需求和特点,通过提供集约化服务方式有效解决了数字政府行业缺少专业安全技术人员、资金资源投入不足导致无法开展常态化安全保障的困难,为用户提供持续、有效、省心、便捷的安全托管服务。包括以下准则:
- 资产识别梳理:通过安全工具对用户资产进行全面发现和深度识别,并结合人工梳理成真实、可用的资产台账。
- 首次安全评估:从脆弱性评估、病毒类事件评估、攻击行为评估、失陷类事件评估等方面对用户的现有安全状况及问题进行客观评估。
- 安全问题处置:对安全分析发现的安全问题进行针对性处置和加固。
- 威胁管理:根据以往经验设定的安全用例(UseCase),结合大数据分析技术实时监测网络安全状态,对监测到的安全问题自动化生成工单,通知安全专家介入进行及时进行分析与定位、通告,同时依据由安全专家经验固化的事件响应指导(Playbook)高效地开展安全事件处置工作。
- 事件管理:对识别到的安全事件进行专业定位,及时响应并建立安全事件的全生命周期闭环管理机制,形成安全事件处置知识库,提升用户安全事件响应能力。
- 安全情报通告:结合威胁情报,服务专家排查是否对用户资产造成威胁并通知用户,协助及时进行安全加固。
02 AI大模型在GMSS中的应用
AI大模型在GMSS中的应用主要体现在作为数字化助理优化安全运营流程、提升高级威胁检测能力以及在实战中的应用效果等方面。安全GPT运营大模型基于场景化运营工作实践经验,将资产梳理、加固预防、监测研判、调查处置、联动处置、情报查询及溯源总结等方面的工作流程,转换为大模型的思维链提示工程,自动协同相应的组件、工具、人员和流程。
数字政府单位在日常安全防护以及实战攻防中,面对的攻击手段升级加快,如弱特征的高级威胁愈发主流、0day及高对抗漏洞迅速增多等,而自身存在海量告警难以定位真实攻击、安全事件难以准确研判攻击意图、安全人员精力瓶颈等痛点,应充分利用生成式人工智能大模型技术,构建针对高对抗、高隐蔽攻击的检测防御能力。
安全GPT能够减少92%的手动重复运营工作,让人员更聚焦于用户的高价值服务工作。以某客户服务过程中针对HTTP告警解读的辅助分析研判为例,安全GPT在HTTP告警数据方面,可以完成对数据包的攻击类型识别、攻击payload解释、混淆代码还原、攻击手法分析、攻击者意图判断、攻击结果分析等内容。
03 安全GPT检测大模型突破
GMSS高级威胁检测区分已知和未知威胁的方式主要是通过安全GPT检测大模型。安全GPT具备HTTP流量理解能力、代码理解能力、攻防对抗理解能力和安全常识理解能力。它能够通过识别代码中存在的危险类和函数调用,以及识别存在执行命令的攻击行为,从而精准完成0day漏洞的精准检测。即使是不同漏洞的攻击代码不同,只要它们的原理、攻击行为、攻击目的具备共同特征,GPT就能够完成识别。
首先,安全GPT助力GMSS提升检测能力,增强高级威胁检测能力,能检测高绕过未知威胁,如Web 0day漏洞利用检测,混淆、绕过型攻击检测等。通过安全GPT检测大模型精准检测0day的能力,例如识别OA协同办公管理系统中的命令执行漏洞。辅助政务MSS服务人员统计风险数据、提升运营效率,快速对单位近七天需要处置的高危漏洞和业务系统弱口令情况进行定位和自动化梳理。辅助事件定性,提升事件定性结果准确率。自动化通过云端大数据进行溯源分析,并给出详细举证信息,辅助政务MSS的安全事件响应过程。
其次,安全GPT在GMSS的诸多场景中运用,如安全GPT可以判断哪些主机存在漏洞、找出责任人信息、修复建议。安全GPT可以进行安全威胁与事件的智能响应,如处置建议、自动化联动处置、智能调查与溯源等。安全GPT进行告警、资产、攻击趋势的总结和展示;最需要关注的事件排序等等。
1. GMSS中安全GPT的主要功能
- 威胁检测与识别:通过自然语言处理和机器学习技术,安全GPT可以从文本数据中提取威胁信息,识别潜在的攻击行为。
- 事件分析与研判:安全GPT可以对安全事件进行深入分析,判断事件的性质、目的和影响范围,提供研判结果。
- 漏洞挖掘与修复建议:安全GPT可以根据漏洞的特征和危害程度,提供修复建议,并指导如何进行漏洞修复。
- 策略优化与建议:安全GPT可以根据安全事件的分析和研判结果,提供安全策略优化的建议,帮助用户提高安全防护水平。
2. 安全GPT与其他安全工具的协同工作
- 安全GPT可以与威胁情报平台结合,利用威胁情报数据训练模型,提高对未知威胁的检测能力。
- 安全GPT可以与安全事件管理系统(SIEM)集成,自动分析安全日志,生成告警信息,并提供初步的研判结果。
- 安全GPT可以与自动化响应系统(SOAR)结合,根据安全事件的特点自动触发相应的响应流程,如隔离受感染主机、阻止恶意流量等。
- 安全GPT可以与漏洞管理系统协同,自动分析漏洞扫描结果,提供修复建议,并跟踪漏洞的修复进度。
3. 安全GPT在GMSS中的实施步骤
- 数据收集:收集安全日志、威胁情报、漏洞信息等数据,为安全GPT的训练和分析提供数据支持。
- 模型训练:利用收集到的数据训练安全GPT模型,提高其对安全威胁的检测和分析能力。
- 威胁检测:将训练好的安全GPT模型应用于实际的安全环境中,对网络流量、日志数据等进行实时监测和分析,发现潜在的威胁。
- 事件响应:根据安全GPT提供的分析结果,自动触发相应的响应流程,如隔离受感染主机、阻止恶意流量等。
- 结果反馈:将安全GPT的分析结果和响应情况进行记录和反馈,不断优化模型的性能和准确性。
4. GMSS中安全GPT与传统GPT的区别
- 主题领域:安全GPT专注于网络安全领域,而传统GPT则广泛应用于各种自然语言处理任务。
- 数据来源:安全GPT主要处理和分析与安全相关的数据,如安全日志、威胁情报等;传统GPT则处理各种类型的文本数据。
- 功能目标:安全GPT的目标是提高网络安全威胁的检测和分析能力,提供安全事件响应和策略优化建议;传统GPT的目标是理解和生成自然语言文本,提供智能问答、文本生成等功能。
- 实施方式:安全GPT需要与特定的安全工具和系统进行集成,实现数据的收集、分析和响应;传统GPT则可以直接嵌入到各种应用和服务中,提供智能化的文本处理功能。
04 9大GMSS实例解析
以下实践案例展示了政务安全托管服务(GMSS)在不同场景下的应用和效果,通过综合运用先进的安全技术和运营机制,有效提升了政务网络安全防护能力,确保了政务数据的安全和政务服务的稳定运行。
1. 内蒙古自治区大数据中心 – 一体化安全运营场景
安全需求:云计算服务安全评估,确保GMSS云平台符合安全标准。
实践机制:通过安全运营服务资质、面向云计算的安全运营中心能力要求、等级保护测评等多方面的合规性建设,确保服务的高安全性和可控性。
实践效果:GMSS云平台获得“增强级”安全能力级别认证,通过了等级保护三级测评,有效提升了平台的安全性和可靠性。
2. 江苏省大数据管理中心 – 持续有效监管合规场景
安全需求:提升电子政务外网7*24小时威胁发现、分析和处置能力。
实践机制:通过全流量监测分析、平台与组件联动、云地人员协同等措施,构建全面有效的安全运营技术体系。
实践效果:实现了100%的威胁闭环,有效处置了1948次事件,推送了151个威胁情报,显著提升了安全运营效果。
3. 珠海市政务服务和数据管理局 – 安全效果提升场景
安全需求:强化电子政务外网全方位监测预警能力,应对高级攻击和APT攻击。
实践机制:通过分布式XDR平台对接现有市级政务外网互联网出口,构建全市政务外网安全运营中心。
实践效果:提升了资产、漏洞、策略、威胁、事件等防护效果,实现了100%的威胁闭环,保障了业务稳定运行。
4. 烟台市大数据中心 – 政务云、网一体化运营场景
安全需求:应对云化环境带来的新安全威胁和挑战,提升电子政务云平台的安全性。
实践机制:通过政务MSS的资产梳理与漏洞管理相结合,明确业务运行风险点并进行定向安全加固。
实践效果:完善了数据安全性体系,提升了安全态势全面感知能力,加强了监管力度,显著提升了安全保障整体水平。
5. 东莞市政务服务和数据管理局 – 一体化托管场景
安全需求:应对政务数据的高价值吸引黑客攻击,提升网络安全防护能力。
实践机制:通过“云地一体”、“三方一体”和“监管一体”的创新模式,构建动态适应当前数字政府安全新形势的安全运营体系。
实践效果:实现了实战有效的事件告警削减,提升了安全运营生产力,显著降低了安全运营人力成本。
6. 台州市大数据发展中心 – 安全托管扩展能力场景
安全需求:应对网络安全威胁来源和攻击手段的不断变化,提升网络安全事件的监测预警、追踪溯源分析和响应闭环服务。
实践机制:以XDR可扩展检测与响应为平台,构建市域网络安全监管平台,提供统一的人员、工具、服务三位一体的运营模式。
实践效果:提升了安全威胁主动发现和安全处置能力,实现了台州市政务外网网络安全运行的闭环。
7. 某省级大数据中心 – 7*24小时安全托管保障场景
安全需求:应对安全设备日志量大,缺乏足够安全专家资源进行告警分析的问题。
实践机制:基于“人机共智”模式,综合运用资深行业专家经验和丰富的威胁情报知识库,对不同安全设备的安全日志、流量进行关联分析。
实践效果:实现了7*24小时的安全托管服务,有效处置了119个安全事件,推送了37个威胁情报,发现脆弱性6个,帮助用户实现了100%的威胁闭环。
8. 某地市自然资源局 – 勒索病毒预防与响应场景
安全需求:应对勒索病毒的威胁,提前规划建设勒索病毒的预防与响应体系。
实践机制:基于GMSS服务健全安全防御体系,提前针对勒索病毒的攻击特点采取有效预防措施。
实践效果:实战有效事件告警减低,夜间有效值守,提升了勒索病毒的预防能力,有效处置了多起勒索攻击事件。
9. 某市市场监督管理局 – 重要时期安全保障场景
安全需求:应对重要时期的安全保障需求,如两会、国庆等,提升常态化的安全防护能力。
实践机制:利用线上7*24小时服务的云平台和专家池资源,构建大数据分析能力、威胁深度狩猎能力、安全事件自动化响应能力等。
实践效果:提升了常态化的领先的安全效果保障,实现了99%的准确率、100%的闭环率、平均5分钟响应,有效保障了重要时期的网络安全。
来源:政务安全托管服务(GMSS)实践指南,本篇针对全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
欢迎领取数字人才中国方案,一起产研内训、知识平台共建!请在我们的微信公众号“idtzed”对话框内,发送“入”添加老邪企业微信获取。
欢迎先注册,登录后即可下载检索数字政府等相关标准、白皮书及报告。更多高质量纯净资料下载,进入公众号菜单“治库”。
