网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉与大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。
1.1网络空间态势感知系统系统建设平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。
日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。
该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,与时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。
战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以与各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。
1.1.1安全监测子系统安全监测子系统实时监测哈密全市网络安全情况,与时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。
安全监测子系统有六类安全威胁监测的能力:一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。
第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。
第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。
第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。
试论大数据技术网络安全态势感知平台
试论大数据技术网络安全态势感知平台
随着互联网和数字化技术的迅猛发展,网络安全问题日益凸显,大数据技术的发展应用成为了网络安全领域的重要手段之一。
大数据技术可以帮助企业和组织从海量的数据中提炼出有价值的信息,对网络安全态势进行感知和分析,帮助及时发现网络安全威胁和漏洞,并采取相应的防范措施。
本文将试论大数据技术在网络安全态势感知方面的应用,以及大数据技术网络安全态势感知平台的制作。
1. 数据采集
大数据技术网络安全态势感知平台首先需要对网络上的数据进行采集,包括网络流量数据、日志数据、操作记录等。
通过大数据技术,可以实时采集和存储来自网络设备、应用系统和操作系统的海量数据,这些数据可以包括网络流量、用户登录信息、系统操作日志等。
还可以利用大数据技术对外部信息进行采集,监控互联网上的黑客攻击、漏洞信息等。
2. 数据处理和分析
大数据技术可以帮助对海量的网络数据进行处理和分析,通过大数据分析平台可以发现网络中的异常行为和潜在安全威胁。
通过对数据进行实时分析,可以发现网络攻击、异常流量、未经授权的访问等行为,及时进行预警和处理。
利用大数据技术的机器学习、数据挖掘等算法,可以从数据中挖掘出隐藏的规律和特征,帮助发现网络安全威胁的特征和演变趋势。
3. 安全态势展示
大数据技术网络安全态势感知平台也需要能够将数据处理和分析的结果进行展示,通过可视化的方式展现网络安全态势感知的结果。
通过仪表盘、报表和图表等形式,将网络安全的情况直观地展现出来,帮助管理人员和安全人员了解当前网络的安全状态,及时采取相应的措施。
还可以将安全态势展示和其他安全系统和工具进行集成,增强网络安全的全面感知和管理能力。
基础电信企业网络安全态势感知系统建设指南v1.0
基础电信企业网络安全态势感知系统建设指南v1.0基础电信企业网络安全态势感知系统建设指南网络安全态势感知系统对网络中的网络流量、网络设备、安全设备以及主机日志进行信息收集,通过统计分析和数据挖掘等方法,对网络中的安全态势进行感知和告警。
网络安全态势感知系统可提升应对安全风险的能力,为保障基础电信企业网络安全,制定本指南。
本指南可应用于网络安全态势感知系统的设计、开发及考核。
1 网络安全态势感知系统功能要求1.1 数据管理要求1.1.1 数据采集1.1.1.1 采集能力a)具有采集基础电信企业IT资产日志的能力,采集范围应仅包含场景需求所需要的特定IT资产日志;b)具有接收外部文档、流量等数据导入的能力;c)具备基于不同采集策略,实现对采集源、规则、输出目标等方面的管理能力。
1.1.1.2 采集方式a)具备主动和被动两种采集方式;b)主动采集:支持采集节点通过Ftp/Sftp、Kafka、file、JDBC/ODBC等协议主动采集数据;c)被动采集:支持采集节点通过Syslog等协议被动接收数据。
1.1.1.3 数据源类型a)支持对不同类型数据源的采集,并对数据源进行增加、删除和修改等管理;b)日志数据的类型应包括但不限于以下几种:主机日志、网络设备日志、安全设备日志等;c)外部导入数据的类型可包括但不限于以下一种或多种:漏洞库、恶意IP库、恶意域名库、文件HASH库、流量。
1.1.2 数据处理1.1.2.1 元数据模型a)安全事件元数据信息应包含事件特征、事件来源、事件等级、发现时间等;b)安全事件元数据信息应包含可以手动确认安全事件有效性状态标记属性,状态应至少包含:未确认,已确认。
1.1.2.2 数据预处理数据处理预处理应对采集到的数据进行标准化、归并去重等处理。
1.1.2.3 数据挖掘a)可通过数据挖掘技术对不同类型的数据进行模型化分析;b)支持包括但不限于聚类分析、关联分析、决策树分析、回归分析等常用分析算法。
网络安全态势感知与大数据分析平台建设
网络安全态势感知与大数据分析平台建设在当今数字化时代,网络安全已成为企业、组织乃至国家发展的关键问题。
随着信息技术的飞速发展,网络攻击手段日益复杂多样,传统的安全防护手段已经难以满足需求。
网络安全态势感知与大数据分析平台的建设应运而生,成为保障网络安全的重要手段。
网络安全态势感知是一种对网络安全状态进行实时监测、分析和评估的技术。
它能够帮助我们全面了解网络的运行状况,及时发现潜在的安全威胁,并采取相应的措施进行防范和应对。
而大数据分析则为网络安全态势感知提供了强大的数据支持和分析能力,通过对海量的网络数据进行挖掘和分析,我们可以发现隐藏在数据背后的安全规律和趋势,从而更加准确地预测和防范网络攻击。
那么,如何建设一个有效的网络安全态势感知与大数据分析平台呢?首先,数据采集是平台建设的基础。
我们需要从网络中的各个节点和设备收集大量的数据,包括网络流量数据、系统日志数据、用户行为数据等。
这些数据来源广泛、格式多样,需要通过统一的数据接口和规范进行采集和整合,以确保数据的准确性和完整性。
在数据采集的过程中,还需要注意数据的合法性和隐私保护。
不能随意采集和使用用户的个人信息,必须遵守相关的法律法规和道德规范。
同时,为了保证数据的质量,还需要对采集到的数据进行清洗和预处理,去除噪声和无效数据,为后续的分析工作提供可靠的数据基础。
其次,数据分析是平台建设的核心。
通过运用大数据分析技术,如数据挖掘、机器学习、关联分析等,对采集到的数据进行深入挖掘和分析,提取出有价值的信息和知识。
例如,通过分析网络流量数据,可以发现异常的流量模式和潜在的攻击行为;通过分析系统日志数据,可以发现系统的漏洞和异常操作;通过分析用户行为数据,可以发现用户的异常行为和潜在的内部威胁。
在数据分析过程中,需要建立科学合理的分析模型和算法。
这些模型和算法应该能够适应不断变化的网络安全威胁,具有良好的准确性和鲁棒性。
同时,还需要不断优化和改进分析模型和算法,以提高分析的效率和效果。
网络安全态势感知与大数据分析平台
网络安全态势感知与大数据分析平台在当今数字化高速发展的时代,网络已经成为人们生活和工作中不可或缺的一部分。
然而,随着网络的广泛应用,网络安全问题也日益凸显。
网络攻击、数据泄露、恶意软件等威胁层出不穷,给个人、企业乃至国家带来了巨大的损失和风险。
为了应对这些复杂多变的网络安全威胁,网络安全态势感知与大数据分析平台应运而生。
网络安全态势感知是一种对网络安全状态进行实时监测、分析和评估的技术手段。
它能够帮助我们全面了解网络的运行状况,及时发现潜在的安全威胁,并预测可能的攻击趋势。
而大数据分析则为网络安全态势感知提供了强大的数据支持和分析能力。
通过收集、整合和分析海量的网络数据,我们可以从中挖掘出有价值的信息,发现隐藏的安全隐患和攻击模式。
那么,网络安全态势感知与大数据分析平台究竟是如何工作的呢?首先,它需要通过各种传感器和监测工具,广泛收集网络中的各种数据,包括网络流量、系统日志、用户行为等。
这些数据来源多样,格式各异,因此需要进行数据的清洗和预处理,将其转化为统一的格式,以便后续的分析。
接下来,运用大数据分析技术对这些数据进行深入挖掘。
常见的分析方法包括关联分析、聚类分析、机器学习算法等。
关联分析可以帮助我们发现不同数据之间的关联关系,从而找出可能的攻击线索;聚类分析则能够将相似的数据归为一类,便于识别异常行为;机器学习算法则可以通过对历史数据的学习,建立预测模型,提前预警潜在的安全威胁。
在分析的过程中,平台还需要结合威胁情报。
威胁情报是关于网络威胁的最新信息和知识,包括已知的攻击手法、恶意软件特征、黑客组织活动等。
通过将本地数据与威胁情报进行对比和匹配,能够更准确地识别出网络中的威胁。
一旦发现安全威胁,平台会及时发出警报,并提供详细的威胁报告。
报告中包括威胁的类型、来源、影响范围以及建议的应对措施等。
安全管理人员可以根据这些报告,迅速采取行动,进行安全防护和应急响应,将损失降到最低。
网络安全态势感知与大数据分析平台具有诸多优势。
大数据安全态势感知平台解决方案
医疗领域:应用于医疗 机构,实时监控患者数
据的安全状况
政府领域:应用于政府 部门,实时监控政务数
据的安全状况
• 监控客户数据的安全状况 • 监控交易数据的安全状况 • 监控风险预警数据的安全状况
• 监控患者基本信息的安全状况 • 监控患者病历数据的安全状况 • 监控患者检查结果数据的安全状 况
• 监控政务数据源的安全状况 • 监控政务数据传输过程中的安全 状况 • 监控政务数据存储和访问的安全 状况
• 数据清洗:去除重复、无效和异常数据 • 数据整合:将来自不同数据源的数据整合成一个统一的数据模型 • 数据转换:将数据转换为适合分析和处理的数据格式
数据分析与处理层设计
数据分析:对预处理后的数据进行深度分析,提取 安全威胁特征
• 异常检测:识别数据中的异常模式, 发现潜在的安全威胁 • 关联分析:分析数据之间的关联关系, 挖掘安全威胁的关联规律 • 趋势分析:分析数据安全事件的发展 趋势,预测未来可能的安全威胁
• 分类算法:根据安全威胁特征,对安全事件进行分类 • 聚类算法:根据安全威胁严重程度,对安全事件进行聚类 • 预测算法:根据历史数据,预测未来可能的安全威胁
安全态势评估与预警技术
安全态势评估技术:根据安全威胁特征和严重程度, 评估大数据系统的安全态势
安全预警技术:根据安全态势评估结果, 发布安全预警信息,提高安全防护能力
大数据安全态势感知平台产业 发展前景
• 市场需求:随着大数据技术的广泛应用,大数据安全态势感知平 台的市场需求将持续增长
• 企业和组织对大数据安全的重视程度不断提高 • 大数据安全威胁的种类和数量不断增加 • 大数据安全防护技术和手段不断升级和创新 • 产业发展:大数据安全态势感知平台产业将迎来快速发展,形成 完整的产业链 • 技术创新:研究和应用新技术,提高大数据安全态势感知平台
网络空间安全态势感知与可视化平台
网络空间安全态势感知与可视化平台现代社会对网络空间安全的需求日益迫切,如何有效地感知网络空间的安全态势以及将其可视化呈现成为了亟待解决的问题。
为满足这个需求,网络空间安全态势感知与可视化平台应运而生。
本文将从该平台的定义、功能、技术、应用以及未来发展等方面进行论述。
一、网络空间安全态势感知与可视化平台的定义网络空间安全态势感知与可视化平台,简称安全态势平台,是一种用于综合、全面地感知和监控网络空间安全态势的工具。
通过采集、处理和分析网络数据,将复杂的网络安全信息转化为直观、可视化的形式,提供决策者对网络空间中威胁和风险的直观了解和预警。
二、网络空间安全态势感知与可视化平台的功能1. 数据采集和整合:安全态势平台能够接收来自各个网络节点和终端设备的安全数据,并将这些数据按照一定的规则进行整合和处理。
2. 安全态势分析:通过对采集到的数据进行分析和挖掘,安全态势平台能够识别出网络中的异常行为、攻击事件和威胁情报,提供实时的安全态势分析。
3. 可视化展示:安全态势平台将分析结果以直观的图表、地图或其他形式进行可视化展示,使决策者能够迅速了解网络空间安全的整体状况。
4. 风险评估与预警:基于安全态势分析的结果,平台可以评估网络中的风险程度,并及时向相关人员发出预警信息,帮助其做出应对措施。
5. 安全态势监控:安全态势平台能够实时监控网络中的安全事件和风险,帮助及时发现和处理安全问题,保护网络系统的安全。
三、网络空间安全态势感知与可视化平台的技术1. 大数据技术:为了处理海量的网络数据,安全态势平台采用了大数据技术,包括数据存储、获取、处理和分析等。
通过这些技术,平台能够快速高效地处理庞大的网络数据。
2. 数据挖掘与分析技术:安全态势平台利用数据挖掘和分析技术,从网络数据中发现隐藏的安全威胁和攻击行为。
这些技术包括机器学习、数据聚类、异常检测等,能够识别出网络中的异常事件。
3. 可视化技术:为了将复杂的网络数据以直观的形式展示,安全态势平台采用了可视化技术,如图表、地图、网络拓扑图等。
网络安全态势全方位感知——网络态势大数据可视化
网络安全态势全方位感知——网络态势大数据可视化随着信息技术和网络的快速发展,计算机网络的资源共享愈发开放普及,随之而来的是信息安全问题日益突出。
网络安全威胁的范围和内容不断扩大和演化,网络安全形势与挑战日益严峻复杂,因此,如何全方位感知网络安全态势、实时监控网络运行状况、保障信息资产安全,应引起我们足够的重视,引发更多的思考并积极应对。
一个优秀的网络态势大数据可视化系统,能够将抽象的网络和系统数据进行可视化呈现,从而对网络中的主机、安全设备、网络设备、应用系统、操作系统等整体环境进行安全状态监测,帮助用户快速掌握网络状况,识别网络异常、入侵,把握网络安全事件发展趋势,全方位感知网络安全态势。
因此,网络态势大数据可视化系统应具备以下功能:一、安全态势感知在一个开放的网络环境中,大量信息在网上流动,全球平均每20秒就发生一起Internet计算机侵入事件。
因此就需要系统对网络安全威胁进行可视化呈现,全方位感知网络安全态势。
基于支持二三维地理空间分布,对全网主机及关键节点的综合安全信息进行网络态势监控。
支持逻辑拓扑层级结构,从全网的整体安全态势,到信息资产以及安全数据的监测,进行全方位态势监控。
支持全网各节点的信息查询,实时反映节点信息的状态,对节点信息安全进行全面监测。
与此同时,系统应提供全面的网络威胁入侵检测分析功能,深入分析网络流量信息,对全网各节点进行实时监测,并支持多种图表的威胁告警方式,让威胁一目了然。
还可查看告警威胁事件的详细信息,同时支持自定义告警策略,设置告警范围和阀值等策略。
基于APT攻击检测系统,对攻击来源、攻击目的、攻击路径进行溯源分析,同时根据安全威胁事件的来源信息和目标信息,结合GIS技术将虚拟的网络威胁和现实世界生动的结合起来,实现网络安全态势的可视化。
二、数据中心运维可视化信息技术和网络的快速发展,同时也加速了数据中心建设的发展,规模日益增大、密度不断提升,数据中心的复杂程度越来越高,运维管理的复杂程度急剧攀升,这就需要通过3D虚拟现实技术,提供一个完整的、网络化、可视化的三维虚拟环境,以可交互的界面,清晰完整展现整个数据中心运行状态,包括环境、资产、运行状态、IT架构等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构得基础上,涉及大数据智能建模平台建设、业务能力与关键应用得建设、网络安全数据采集与后期得运营支持服务。
1.1网络空间态势感知系统系统建设平台按系统功能可分为两大部分:日常威胁感知与战时指挥调度应急处置、日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块与通报预警模块等。
该部分面向业务工作人员提供相应得安全态势感知与通报预警功能,及时感知发生得安全事件,并根据安全事件得危害程度启用不同得处置机制。
战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度得快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效得应急处置与安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。
1.1.1安全监测子系统安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子得攻击活动、攻击手段与攻击目得,全面监测哈密全市重保单位信息系统与网络,实现对安全漏洞、威胁隐患、高级威胁攻击得发现与识别,并为通报处置与侦查调查等业务子系统提供强有力得数据支撑、安全监测子系统有六类安全威胁监测得能力:一类就是网站云监测,发现网站可用性得监测、网站漏洞、网站挂马、网站篡改(黑链/暗链)、钓鱼网站、与访问异常等安全事件第二类就是众测漏洞平台得漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,她们提交得漏洞会定期同步到态势感知平台,加强平台漏洞发现得能力。
第三类就是对流量得检测,把重保单位得流量、城域网流量、电子政务外网流量、I DC机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件、第四类把流量日志存在大数据得平台里,与云端IOC威胁情报进行比对,发现APT等高级威胁告警。
第五类就是把安全专家得分析与挖掘能力在平台落地,写成脚本,与流量日志比对,把流量得历史、各种因素都关联起来,发现深度得威胁。
第六类就是基于机器学习模型与安全运营专家,把已经发现告警进行深层次得挖掘分析与关联,发现更深层次得安全威胁。
1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点网站安全性与可用性得监测,及时发现网站漏洞、网站挂马、网站篡改(黑链/暗链)、钓鱼网站、众测漏洞与访问异常等安全事件。
2、DDOS攻击数据监测:在云端实现对DDoS攻击得监测与发现,对云端得DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地得大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省得流量监控资源,可以快速获取互联网上DDoS攻击得异常流量信息,利用互联网厂商得云监控资源,结合本地运营商抽样采集得数据,才能快速有效发现DDoS攻击,同时对攻击进行追踪并溯源。
3、僵木蠕毒数据监测:通过云端下发本地数据,结合流量数据进行分析,快速发现本省/市感染“僵木蠕毒”得数据。
僵木蠕毒监测主要来自两种方面:一就是360云端僵木蠕毒平台对国内终端得僵木蠕毒感染信息进行采集,如果命中本省/市终端僵木蠕毒感染数据,通过对IP地址/范围筛选得方式,筛选出属于本省/市得数据,利用加密数据通道推送到态势感知平台;二就是对本地城域网流量抽样与重点单位全流量进行检测,将流量数据进行报文重组、分片重组与文件还原等操作后,传送到流检测引擎与文件检测引擎,通过流特征库、静态文件特征检测、启发式检测与人工智能检测方式及时得发现重点保护单位得僵木蠕毒事件4、高级威胁数据监测:安全监测子系统需要结合全部得网络流量日志与威胁情报继续持续性得攻击追踪分析。
云端IOC威胁情报覆盖攻击者使用得域名、IP、URL、MD5等一系列网络基础设施或攻击武器信息,同时威胁情报中还包含了通过互联网大数据分析得到得APT攻击组织得相关背景信息,这对于APT攻击监测将提供至关重要得作用。
1.1.2态势感知子系统态势感知系统基于多源数据支持安全威胁监测以及安全威胁突出情况得分析展示。
综合利用各种获取得大数据,利用大数据技术进行分析挖掘,实时掌握网络攻击对手情况、攻击手段、攻击目标、攻击结果以及网络自身存在得隐患、问题、风险等情况,对比历史数据,形成趋势性、合理性判断,为通报预警提供重要支撑。
该模块支持对网络空间安全态势进行全方位、多层次、多角度、细粒度感知,包括但不限于对重点行业、重点单位、重点网站,重要信息系统、网络基础设施等保护对象得态势进行感知。
态势感知子系统分为两部分:态势分析与态势呈现态势分析:针对重保单位、网站数据采集分析,通过安全监测子系统对DDos攻击监测、高级威胁攻击检测与APT攻击检测、僵木蠕毒检测、IDS检测等功能,通过恶意代码检测、异常流量分析、威胁分析等技术进行宏观分析后,以监管单位为视角,对本项目监管范围下得单位安全状态进行监测。
并且根据系统内置得风险评估算法给出当前被监管单位得整体安全评估。
态势呈现:通过城市安全指数、区域安全指数、单位安全指数、威胁来源、攻击分析、威胁同比、威胁环比、告警详细等呈现整体安全态势。
1.1.3通报预警子系统通报预警根据威胁感知、安全监测、追踪溯源、情报信息、侦查打击等模块获取得态势、趋势、攻击、威胁、风险、隐患、问题等情况,利用通报预警模块汇总、分析、研判,并及时将情况上报、通报、下达,进行预警及快速处置。
可采用特定对象安全评估通报、定期综合通报、突发事件通报、专项通报等方式进行通报。
1.1.4等保管理子系统等保管理模块针对全省信息安全等级保护建设工作进行监管,通过等保信息系统管理、等保管理工作处置、等保检查任务管理、等保系统资产管理、等保安全事件管理与等保综合分析报表对列管单位及其重要信息系统相关得备案信息、测评信息、整改信息与检查信息等业务数据进行管理、1.1.5追踪溯源子系统追踪溯源子系统在发生网络攻击案(事)件或有线索情况下,对攻击对手、其使用得攻击手段、攻击途径、攻击资源、攻击位置、攻击后果等进行追踪溯源与拓展分析,为侦查打击、安全防范提供支撑。
追踪溯源子系统针对高级威胁攻击、DDoS攻击、钓鱼攻击、木马病毒等恶意行为通过云端数据进行关联分析、拓展扩线,进行事件溯源,为案件侦破提供技术、数据得支撑、通过关联分析、同源分析、机器学习等技术手段对互联网端得海量数据(典型如:Whois数据、恶意软件样本MD5、DNS数据、网站访问数据等)进行数据梳理与数据挖掘,扩充互联网得恶意行为线索信息,还原出本次恶意行为大体得原貌,并可以通过恶意网络行为得一个线索扩展发现出更多得诸如攻击所用得网络资源,攻击者信息,受害人信息等线索、具备根据源ip、源端口、宿ip、宿端口、传输层协议等条件搜集数据,具备联通日志、dns解析数据以及网络安全事件日志得关联挖掘能力等。
1.1.6威胁情报子系统威胁情报子系统通过采集360云端获取APT及高级威胁事件分析、黑产事件分析、影响范围较广得关键漏洞分析等威胁情报信息,将其中抽取出来得攻击手法分析、攻击组织分析、攻击资源分析等信息,利用通报处置核心组件接口,向本地其她核心组件及有关部门进行情报报送。
利用情报数据确定与处置安全事件后情报信息核心组件提供情报处置审计追踪得功能,对基于情报处置得安全事件进行处置流程、处置结果、处置经验等信息进行审计追踪并归档,便于后续安全事件得分析处置,提高安全事件处置工作效率。
1.1.7指挥调度子系统指挥调度模块主要用于在重要会议或重大活动期间,加强网络安保人员调度,全方位全天候掌握我省与活动相关得单位、系统与网站安全状况,及时通报预警网络安全隐患,高效处置网络安全案事件、协同多家技术支撑单位、互联网安全厂商、网络安全专家以及其她职能部门保障整个过程得网络安全与数据安全,实现网络安全得态势感知、监测预警、指挥调度、通知通告、应急处置及协同技术支持等能力,对网络安全威胁、风险、隐患、突发事件、攻击等进行通报预警,对重点保护对象进行全要素数据采集,重点保护,并进行全要素显示与展示,实现重保期间全方位全天候得指挥调度能力、1.1.8侦查调查子系统侦查调查核心组件主要涉及网络案事件得处置工作,在案事件发生后,办案民警利用该功能模块进行调查、取证,查找攻击来源、攻击手段以及攻击者等基本情况,形成案件线索,有必要时可以提供给网综平台,协助网络案情得侦查打击。
同时提供案事件处置状态得跟踪与沟通,实现对案事件得闭环业务处理、1.1.9应急处置子系统应急处置根据安全监测发现得网络攻击、重大安全隐患等情况及相关部门通报得情况,下达网络安全事件快速处置指令。
指令接收部门按照处置要求与规范进行事件处置,及时消除影响与危害,开展现场勘察,固定证据,快速恢复。
对事件处置情况、现场勘察情况以及证据等方面情况及时建档、归档并入库。
1.1.10移动APP提供手机APP应用功能,用于发布信息安全通报、信息安全通告、等保政法规、风险提示等信息、通报预警、快速处置等可以通过平台与移动APP相结合得方式进行通报实现。
预警通报可以采用移动APP通知相关负责人。
经过网安专网下发到相关单位,使相关单位能够及时接收并处置,移动APP支持多级组织机构管理,针对公安用户提供网络安全监测与通报数据管理得功能,针对重保单位用户提供通报消息通知与公开预警通报查瞧功能。
1.1.11运营工作台子系统运营工作台子系统为安服人员提供日常工作得待办提醒以及快捷入口并能体现日常工作得成果,日常工作包括:资产维护、告警分析确认、安全事件深度分析(攻击者、受害者、攻击链)、相关通告得下发、现场检查、应急响应、各类报告得定期生成、提供日常运营常用工具得使用、具备平台日常得设备、服务、数据得状态监听功能。
前场安服人员,能够在系统得规范下,更好得运营系统,最大限度得发挥平台得价值。
1.2网络空间安全数据采集系统建设安全数据采集能力建设就是平台建设得基础,为大数据安全分析、安全态势呈现、通报预警、应急处置、等保管理、追踪溯源、威胁情报与指挥调度等业务模块提供数据资源、安全数据采集能力建设主要包括以下内容:1.流量采集与分配2.高级威胁监测与采集3.僵木蠕毒监测与采集4.云端威胁情报采集5.DDoS攻击监测与采集6.网站云安全监测与采集7.等级保护数据采集8.其她业务系统数据采集1.2.1流量采集与分配根据项目情况可采集城域网流量、重保单位出口流量、IDC机房流量、电子政务外网流量:重保单位出口流量:根据业务需要在重保单位出口进行全流量采集,采集得流量通过流量采集设备做全量得镜像流量分析与检测,并还原成标准化日志。
城域网流量:根据业务需要可在城域网出口进行流量抽样采集,采集得流量通过流量采集设备做全量得镜像流量分析与检测,并还原成标准化日志、IDC机房流量:根据业务需要可在IDC机房进行流量抽样采集,采集得流量通过流量采集设备做全量得镜像流量分析与检测,并还原成标准化日志。