图3 PoC方案整体设计图

















            件响应人员等剧本最终使用者的需求，最终导致事件响应流程                          组合，创建包含多个操作步骤的剧本；编排产生的剧本或用于
            自动化后偏离安全策略的情况。                                       推动特定过程，或用于响应特定事件。SOAR平台中的编排通常
                在调研过程中发现，协同用户的安全团队应用本文的设计                        是基于可视化的、零代码的流程编排。
            思路改造了部分剧本，让安全团队可以更加容易地持续优化剧                              剧本：区别于解释性编程语言（Python、Shell等）的脚
            本。改造后的剧本运行效果，更加符合用户的期望效果。                            本，通常是Json或Yaml格式的结构化数据，是不可直接执行
                在实际工程中，不同企业用户的环境各不相同。例如，自                        的。但与脚本类似，剧本包含了一系列动作步骤和逻辑判断，
            动化响应系统的处理能力会受到事件响应流程/安全响应策略和                         相当于SOAR这类可编排平台专用的脚本。剧本是结合人、工
            下游系统（防火墙、IPS等）的制约，很难进行全面比较。因                         具、安全设备和工作流的数字化安全过程，或用于推动特定过
            此，选取了与上文剧本1最为接近的剧本，且运行环境与的PoC                        程，或用于响应特定事件。
            方案接近的企业方案进行比较。剧本1是有代表性安全事件响应
            流程的自动化实现。
                比较结果如表1所例，统计结果来自10000条模拟事件多次
            注入自动化响应系统后得出，其中约70%的事件会触发剧本1，
            且可以触发剧本的事件当中约50%的事件属于误报事件。所有剧                        参考文献：
            本中的响应部分（即需要对下游系统的配置进行更改的部分）
            用模拟请求代替，以避免因统计测试冲击调研用户的生产环                           [1]  许暖,韩志峰,郑瑞刚.基于分级分类的安全编排技术在网
            境。企业方案的统计结果取自多家企业的测试结果的平均值。                              络安全应急响应中的应用探索[J].网络空间安全,2021,12
                表1中的PoC初始方案是指将改造前的企业方案运行于PoC环                        （Z1）:45-53.
            境。从表1所例的对比结果可见，本文的设计方法可以实现更高                         [2]  陈家迁.网络安全防范体系及设计原理分析[J].网络空间安
            效率、更加可靠的自动化响应系统。                                         全,2011,2（1）:55-56+59.
                                                                 [3]  朱红新.基于网络安全技术及防御自动化研究[J].网络空间
                六．结束语                                                安全,2014,5（5）:47-49.
                在设计和实施自动化响应系统之前，探索和理解自动化响                        [4]  谢瑞璇.建立有效及时的网络安全应急响应体系[J].中国信
            应系统的特性和结构，是一项非常有价值的工作。抓住自动化                              息安全,2020,03.
            响应系统的本质和结构要点，有助于安全团队在实际工程中优                          [5]  伏晓,蔡圣闻,谢立.网络安全管理技术研究[J].计算机科
            化整体系统的设计，缩短实施周期，压缩实施成本，这在PoC方                            学, 2009,02:15-19,54.
            案中得到了证实。                                             [6]  张振山.利用界壳理论对网络风险评估的研究及应用[D].北
                本文成果也应用于多个连楹Andsec安全体系的SOAR项目，                       京:华北电力大学,2010,12.
            并获得了不错的反馈。在未来的工作中，将进一步探索可编排                          [7]  张永印.网络安全应急响应的创新与实践[J].中国信息安
            的自动化响应系统的研究，并进一步优化系统的并发性能、容                              全,2020,03.
            错能力等。                                                [8]  王刚,秦益飞,杨正权.基于可视化的安全策略链编排框架
                                                                     [J].中国信息化,2020,07
                七．术语                                             [9]  谢瑞璇.建立有效及时的网络安全应急响应体系[J].中国信
                安全编排自动化和响应（ S e c u r i t yOrchestration             息安全.2020,03.
            Automation  and  Response，SOAR)：根据预编排的安全策略剧          [10]  尤其,苗春雨,贾梦妮,郭婷婷.数据驱动的网络安全自动化
            本开展自动化应急响应，在响应过程中支持调度各种外部的安                              应急响应技术体系[J].电子技术与软件工程,2019,16.
            全能力、IT服务、网络设备甚至人力资源。                                 [11]  程俊,龚俭,杨望.臧小东.基于SDN技术的网络入侵追踪与
                编排：将复杂基础架构中一系列相互依赖的安全操作进行                            响应系统的研究[J].通信学报,2018,S1.


                                                      网络电信 二零二二年九，十月                                           17