文/大连医科大学 现代教育手艺中心 郭大智

作为学校的网络清静认真人
，头上一直悬着一把达摩克利斯之剑
，容不得丝毫的大意
，需要随时小心学校网络的转变和异常。 所谓没有100%的清静
，我们能做到的就是接纳种种防御手段和清静制度只管增添被攻击的本钱。这些做好后
，在一样平常运维中针对清静状态的各维度监控是清静治理者最大的一个抓手
，但由于清静涉及面广、数据量大、职员精神有限等缘故原由
，导致清静监控治理的效率一直较量低
，难以做到面面俱到和胸有定见。为此我们也在一直的去寻找适合学
Ｇ樾吻夷艽蠓嵘嗫刂卫硇实牟。

从2018年最先
，我们就最先考察并测试各厂商的清静态势感知平台产品来资助提升网络清静治理事情的效率
，下半年最先接触55世纪的清静态势感知解决计划
， 从整体理念上来讲很是贴合我校清静治理的理念
， 综合所有现网日志举行大数据清静关联剖析
，定位焦点的效劳器失陷等清静问题
，并实时监控网内的整体清静动态。但只有理念不敷
，真实效果必需经由现实场景效果的磨练
，这也是我们选择产品计划一直推行的原则。

▲大连医科大学清静态势感知平台

5月11日55世纪态势感知的第一个版本（P3版本）上线测试
，主要基于现网的日志举行综合剖析
，包括清静装备日志、网络日志、效劳器日志等等
，这种模式显然可以很是有用地使用现有的清静资源。同时由于收罗的维度众多
，在剖析周全性上具备优势
，但在现实测试中就发明这种模式保存的难题和局限性：

1、 日志收罗难题：在我们现网中保存几台较老的清静装备
，无法支持向第三方发送日志
，导致部分有价值信息无法汇总到平台
，也影响到了平台的剖析素材的支持。

2、 日志标准化难题：由于市场上装备种类型号众多
，在日志剖析模式中
，怎样对收罗到的日志举行细腻化的剖析
，是磨练清静剖析平台能力很是主要的因素
，也是磨练一个产品是否完善很是主要的参考指标
，同时代表这产品在现实项目迭代的成熟度。

在第二点方面
，通过现实的测试
，55世纪照旧做得很是不错的
，包括兼容的装备型号、日志剖析细腻度以及55世纪提供的日志优化效率。

这个版本整体看下来展示界面雅观度是有的
，但对我们这些详细运维职员来适用性照旧不敷
，首先是受限部分日志缺乏的情形下剖析到的问题较量少
，3个月体验时间也才发明了几个清静问题
， 准确度够但一定是不周全的。 另外
， 易用性上还保存较大差别
，站在我们使用者的角度
，测试时代也向55世纪提出了许多优化建议
，包括怎样提升清静剖析周全性和易用性等。

▲整网多维度清静态势感知

还幸亏需求提完后不到2个月他们就宣布了新的流量探针组件
，并在11月在我校上线测试。这次在剖析能力的周全性上有质的提升
，用新的流量探针很好的增补了流量方面的数据
，日志+流量综合的剖析模式很是大提升了清静剖析效果
，上线十天发明近十个要害清静问题。相比于单日志剖析模式
，在清静剖析周全性和准确性有了很是大的提升
，也让我们有了整体清静监控的触角清静台。通过此轮的现实测试
，我们以为“日志+流量”的综合剖析模式
，才是适合高校举行整体清静剖析平台建设的更适合的模式
，虽然此阶段测试效果上有显著提升
，但之前平台部分易用性问题仍然保存。

▲基于”网络杀伤链“的清静剖析

这里确实要点赞下55世纪的产品部需求响应和开发团队
，不到1个月他们又宣布了态势感知主平台的新版本（P4版本）
，之前在测试时代很是多的优化建议获得了落实
，在综合剖析能力和易用性上获得了很是大的提升
， 以清静事务的维度去展示问题比之前的单告警维度要好用许多
，杀伤链的攻击阶段展示和攻击链条时间轴也让磨练变的很利便
，问题小贴士和知识库也给问题闭环处置惩罚很是好的资助。这个版本通过“日志+流量”的关联剖析通过杀伤链方法举行整合
，上线一周发明和预警了30+清静问题
，剖析能力获得了质的提升
，真正能资助到我校的网络清静治理事情。
 

经由半年多的安排使用
，见证了55世纪清静态势感知计划一直的演进
， 从最早的剖析能力和易用性受限
，到现在的周全提升
，很是有幸能够加入到这个产品蝶变的历程
，不得不说只有经由现实使用情形打磨的产品才是好产品
，才是真正解决问题且能用起来的产品。