网络空间安全态势感知与大数据分析平台建设方案V0
网络安全态势感知与大数据分析平台
网络安全态势感知与大数据分析平台在当今数字化高速发展的时代,网络已经成为人们生活和工作中不可或缺的一部分。
然而,随着网络的广泛应用,网络安全问题也日益凸显。
网络攻击、数据泄露、恶意软件等威胁层出不穷,给个人、企业乃至国家带来了巨大的损失和风险。
为了应对这些复杂多变的网络安全威胁,网络安全态势感知与大数据分析平台应运而生。
网络安全态势感知是一种对网络安全状态进行实时监测、分析和评估的技术手段。
它能够帮助我们全面了解网络的运行状况,及时发现潜在的安全威胁,并预测可能的攻击趋势。
而大数据分析则为网络安全态势感知提供了强大的数据支持和分析能力。
通过收集、整合和分析海量的网络数据,我们可以从中挖掘出有价值的信息,发现隐藏的安全隐患和攻击模式。
那么,网络安全态势感知与大数据分析平台究竟是如何工作的呢?首先,它需要通过各种传感器和监测工具,广泛收集网络中的各种数据,包括网络流量、系统日志、用户行为等。
这些数据来源多样,格式各异,因此需要进行数据的清洗和预处理,将其转化为统一的格式,以便后续的分析。
接下来,运用大数据分析技术对这些数据进行深入挖掘。
常见的分析方法包括关联分析、聚类分析、机器学习算法等。
关联分析可以帮助我们发现不同数据之间的关联关系,从而找出可能的攻击线索;聚类分析则能够将相似的数据归为一类,便于识别异常行为;机器学习算法则可以通过对历史数据的学习,建立预测模型,提前预警潜在的安全威胁。
在分析的过程中,平台还需要结合威胁情报。
威胁情报是关于网络威胁的最新信息和知识,包括已知的攻击手法、恶意软件特征、黑客组织活动等。
通过将本地数据与威胁情报进行对比和匹配,能够更准确地识别出网络中的威胁。
一旦发现安全威胁,平台会及时发出警报,并提供详细的威胁报告。
报告中包括威胁的类型、来源、影响范围以及建议的应对措施等。
安全管理人员可以根据这些报告,迅速采取行动,进行安全防护和应急响应,将损失降到最低。
网络安全态势感知与大数据分析平台具有诸多优势。
态势感知方案
XX单位安全感知平台项目建设方案目录1 项目概况 (1)1.1 项目名称 (1)1.2 编制依据 (1)1.3 项目立项依据 (2)1.4 项目建设的必要性 (3)1.5 项目建设目标 (4)1.6 总投资估算 (5)2 需求分析 (5)2.1 信息化和安全建设现状分析 (5)2.2 行业现状和攻防对抗需求分析 (6)2.2.1 传统威胁有增无减,新型威胁层出不穷 (6)2.2.2 已有检测技术难以应对新型威胁 (7)2.2.3 未知威胁检测能力已经成为标配 (8)2.3 现有安全体系的不足分析 (8)2.3.1 看不清自身业务逻辑 (9)2.3.2 看不见潜藏威胁隐患 (10)2.3.3 缺乏整体安全感知能力 (11)3 方案理念 (13)3.1 看清业务逻辑 (13)3.2 看见潜在威胁 (14)3.3 看懂安全风险 (15)3.4 辅助分析决策 (16)4 解决方案 (16)4.1 方案概述 (16)4.2 安全感知系统 (17)4.2.1 系统架构 (17)4.2.2 部署拓扑 (18)4.2.3 组件实现 (19)4.2.4 主要功能 (28)4.3 监测响应服务 (41)4.3.1 安全事件监测、预警和通报 (41)4.3.2 安全事件应急响应处置 (42)4.3.3 重要时期信息安全保障 (44)4.3.4 常规驻场值守服务 (44)5 方案价值和主要技术优势 (44)5.1 全网业务资产可视化 (44)5.2 全网访问关系可视化 (45)5.3 多维度威胁检测能力 (47)5.4 安全风险告警和分析 (48)5.5 全局视角态势可感知 (49)6 价格估算表..................................................... 错误!未定义书签。
1项目概况1.1项目名称XX市局网络安全态势感知项目1.2编制依据《中华人民共和国网络安全法》《“十三五”国家信息化规划》(国发〔2016〕73号)《信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006)《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》《国家信息化领导小组关于加强信息安全保障工作的意见》《市、县两级机关“云上、智能防控”第一战略建设第一批任务清单》(浙公办〔2017〕157号)1.3项目立项依据习总书记在2016年“419讲话”中提出“全天候全方位感知网络安全态势”,将网络安全的思维模式从单纯强调防护,转变到注重预警、检测、响应的格局,安全能力从“防范”为主转向“持续检测和快速响应”,实时防御将以威胁为中心,以数据为驱动解决安全问题。
基于大数据的网络安全态势感知与分析
基于大数据的网络安全态势感知与分析随着全球数字化进程的推进,网络已经成为人们日常工作和生活中不可或缺的一部分。
在数字经济时代,大数据已经成为了企业和政府决策的重要依据。
然而,随着数字化进行的同时,网络安全问题也日益严重。
因此,如何在海量数据中快速有效地找到安全隐患,成为数字时代最重要的一环。
基于大数据的网络安全态势感知与分析,便是在这一背景下得以迅速发展的。
一、网络安全态势感知的定义与原理网络安全态势感知是通过对网络数据的采集、整合、分析与挖掘,快速有效地对网络中潜在的安全威胁进行预警和感知的一种技术手段。
它依托大数据处理和人工智能技术,通过对网络海量数据进行深入分析,识别网络安全隐患和威胁,及时提供预警预测,为网络安全管理提供有力的支持和保障。
网络安全态势感知的原理可以概括为:数据采集、数据处理、威胁识别和应急响应。
首先,通过网络数据采集工具,采集网络数据并存储起来。
接着,通过大数据处理技术,对海量网络数据进行处理和分析,以便更好地发现相关信息。
然后,对数据进行威胁识别和安全评估,从而快速发现网络威胁事件。
最后,采取相应的紧急响应措施,以保障网络安全。
二、基于大数据的网络安全态势感知技术大数据的发展给网络安全态势感知带来了革命性的变化。
传统的安全技术往往是基于特定条件的检测和响应,而基于大数据的网络安全态势感知则提供了更全面的视角和更完整的安全态势感知能力。
下面分别介绍在大数据平台上的网络安全态势感知技术:1. 数据挖掘技术数据挖掘技术是基于大数据平台的网络安全态势感知的核心技术。
数据挖掘技术可以通过挖掘网络数据流量,发现网络漏洞以及对网络攻击进行预警等工作。
通过这种技术,可以快速而准确地发现网络的漏洞和脆点,防止网络攻击的发生。
2. 机器学习技术机器学习是一种用来让计算机自主学习的技术,可应用于各种大数据的分类、预测和模型构建。
在网络安全领域,机器学习技术可以用于对大规模网络攻击样本的训练和分类,提高网络攻击检测的准确度和及时性。
大数据安全态势感知平台解决方案
医疗领域:应用于医疗 机构,实时监控患者数
据的安全状况
政府领域:应用于政府 部门,实时监控政务数
据的安全状况
• 监控客户数据的安全状况 • 监控交易数据的安全状况 • 监控风险预警数据的安全状况
• 监控患者基本信息的安全状况 • 监控患者病历数据的安全状况 • 监控患者检查结果数据的安全状 况
• 监控政务数据源的安全状况 • 监控政务数据传输过程中的安全 状况 • 监控政务数据存储和访问的安全 状况
• 数据清洗:去除重复、无效和异常数据 • 数据整合:将来自不同数据源的数据整合成一个统一的数据模型 • 数据转换:将数据转换为适合分析和处理的数据格式
数据分析与处理层设计
数据分析:对预处理后的数据进行深度分析,提取 安全威胁特征
• 异常检测:识别数据中的异常模式, 发现潜在的安全威胁 • 关联分析:分析数据之间的关联关系, 挖掘安全威胁的关联规律 • 趋势分析:分析数据安全事件的发展 趋势,预测未来可能的安全威胁
• 分类算法:根据安全威胁特征,对安全事件进行分类 • 聚类算法:根据安全威胁严重程度,对安全事件进行聚类 • 预测算法:根据历史数据,预测未来可能的安全威胁
安全态势评估与预警技术
安全态势评估技术:根据安全威胁特征和严重程度, 评估大数据系统的安全态势
安全预警技术:根据安全态势评估结果, 发布安全预警信息,提高安全防护能力
大数据安全态势感知平台产业 发展前景
• 市场需求:随着大数据技术的广泛应用,大数据安全态势感知平 台的市场需求将持续增长
• 企业和组织对大数据安全的重视程度不断提高 • 大数据安全威胁的种类和数量不断增加 • 大数据安全防护技术和手段不断升级和创新 • 产业发展:大数据安全态势感知平台产业将迎来快速发展,形成 完整的产业链 • 技术创新:研究和应用新技术,提高大数据安全态势感知平台
态势感知建设方案
态势感知建设方案引言在当前信息化社会中,对于企业和组织来说,了解和掌握自身的态势情况至关重要。
态势感知是指通过收集、分析和处理大量的数据和信息,实时了解和监控企业/组织所处的环境、市场、竞争对手等各种情况,并及时采取相应的措施,以便更好地应对和规划未来的发展。
本文将介绍一个实施态势感知的建设方案,包括需求分析、系统设计和实施计划等内容。
需求分析在开始建设态势感知系统之前,首先需要进行需求分析,明确系统的功能和目标,以满足企业/组织的需求。
以下是一些常见的需求:1.实时数据监测:系统应能够实时收集和监测各种数据来源,如传感器数据、网络日志、市场信息等,并将其进行分析和处理。
2.情报分析:系统应能够分析收集到的数据,并从中提取出有用的情报,帮助管理层做出决策。
3.预警和预测:系统应能够根据分析结果提供相应的预警和预测,以及针对性的建议。
4.可视化展示:系统应能够将分析结果以直观的图形界面展示,并支持灵活的数据可视化功能,方便管理层对整体情况进行了解和分析。
5.安全保障:系统应具备数据加密、权限管理等安全机制,确保数据的保密性和完整性。
系统设计在需求分析的基础上,进行系统设计是建设态势感知系统的关键步骤。
下面是一个基本的系统设计框架:1.数据收集和存储:设计合适的数据收集模块,从不同的数据源获取数据,并进行存储,如数据库、数据仓库等。
2.数据处理和分析:设计数据处理模块,对收集到的数据进行清洗、整理和分析,提取有用的信息和情报。
3.预警和预测:设计预警和预测模块,根据分析结果进行预警和预测,并生成相应的建议。
4.可视化展示:设计可视化展示模块,将分析结果以图表、报表等形式直观展示,支持用户自定义查询和筛选。
5.安全保障:设计安全模块,包括数据加密、权限管理等机制,确保系统的安全性和数据的保密性完整性。
实施计划一旦系统设计完成,就需要进行具体的实施计划,确保系统能够按时投入使用。
以下是一个常见的实施计划:1.需求确认和准备:与用户确认需求,并准备相关的资源,包括硬件设备、软件工具等。
网络空间安全态势感知与可视化平台
网络空间安全态势感知与可视化平台现代社会对网络空间安全的需求日益迫切,如何有效地感知网络空间的安全态势以及将其可视化呈现成为了亟待解决的问题。
为满足这个需求,网络空间安全态势感知与可视化平台应运而生。
本文将从该平台的定义、功能、技术、应用以及未来发展等方面进行论述。
一、网络空间安全态势感知与可视化平台的定义网络空间安全态势感知与可视化平台,简称安全态势平台,是一种用于综合、全面地感知和监控网络空间安全态势的工具。
通过采集、处理和分析网络数据,将复杂的网络安全信息转化为直观、可视化的形式,提供决策者对网络空间中威胁和风险的直观了解和预警。
二、网络空间安全态势感知与可视化平台的功能1. 数据采集和整合:安全态势平台能够接收来自各个网络节点和终端设备的安全数据,并将这些数据按照一定的规则进行整合和处理。
2. 安全态势分析:通过对采集到的数据进行分析和挖掘,安全态势平台能够识别出网络中的异常行为、攻击事件和威胁情报,提供实时的安全态势分析。
3. 可视化展示:安全态势平台将分析结果以直观的图表、地图或其他形式进行可视化展示,使决策者能够迅速了解网络空间安全的整体状况。
4. 风险评估与预警:基于安全态势分析的结果,平台可以评估网络中的风险程度,并及时向相关人员发出预警信息,帮助其做出应对措施。
5. 安全态势监控:安全态势平台能够实时监控网络中的安全事件和风险,帮助及时发现和处理安全问题,保护网络系统的安全。
三、网络空间安全态势感知与可视化平台的技术1. 大数据技术:为了处理海量的网络数据,安全态势平台采用了大数据技术,包括数据存储、获取、处理和分析等。
通过这些技术,平台能够快速高效地处理庞大的网络数据。
2. 数据挖掘与分析技术:安全态势平台利用数据挖掘和分析技术,从网络数据中发现隐藏的安全威胁和攻击行为。
这些技术包括机器学习、数据聚类、异常检测等,能够识别出网络中的异常事件。
3. 可视化技术:为了将复杂的网络数据以直观的形式展示,安全态势平台采用了可视化技术,如图表、地图、网络拓扑图等。
基于大数据的网络安全态势感知系统的设计与实现
基于大数据的网络安全态势感知系统的设计与实现随着互联网的普及和信息化的发展,网络安全问题已经成为了我们面临的最大挑战之一。
黑客攻击、网络病毒、勒索软件等安全威胁不断出现,给我们的网络安全带来了极大的风险。
为了提高网络安全防护的能力,我们需要设计和实现一种基于大数据的网络安全态势感知系统。
一、网络安全态势感知系统的必要性网络安全态势感知系统是一种基于大数据和人工智能技术的复杂系统,对于提高网络的安全保护和预警能力具有重要的作用。
网络安全态势感知系统可以通过收集和分析网络流量、日志、操作记录等信息,实现网络安全态势的实时监测和感知,及时发现和定位网络安全威胁,为安全管理者提供全面的安全支持和管理。
在网络安全威胁日益增多的今天,网络安全态势感知系统已经成为企业和组织必备的一种安全管理工具。
二、基于大数据的网络安全态势感知系统的设计和构架1. 数据采集网络安全态势感知系统的核心是数据采集,数据的质量直接关系到系统的准确性和及时性。
在数据采集方面,我们需要收集网络和非网络的数据信息,包括网络流量、日志、操作记录、异常事件等等。
实现数据的自动化收集和纳入系统中,并对数据进行处理和分析,确保数据的准确性和完整性。
2. 数据分析通过对收集到的数据进行处理和分析,可以实现网络安全态势的感知和监测。
在数据分析方面,我们需要采用人工智能和机器学习的算法,对数据进行分类、聚类和关联分析,将数据转化为可视化的信息,为安全管理者提供有效的安全信息和决策支持。
3. 安全预警网络安全预警是网络安全态势感知系统的关键功能之一。
通过对数据的分析和监测,可以实现网络安全威胁的实时预警和定位,为安全管理者提供及时的警示信息和行动建议。
在安全预警方面,我们需要采用先进的算法和工具,实现对网络安全威胁的智能预测和预警。
三、基于大数据的网络安全态势感知系统的实现在实现网络安全态势感知系统时,我们需要采用先进的技术和工具,包括云计算、大数据、人工智能等等。
试论大数据技术网络安全态势感知平台
试论大数据技术网络安全态势感知平台1. 引言1.1 背景介绍网络安全一直是信息社会中的重要问题之一,在数字化时代网络攻击的形式越来越多样化和复杂化,网络安全形势日益严峻。
传统的安全防护手段已经难以满足对网络安全的要求,因此越来越多的研究者开始关注利用大数据技术来解决网络安全问题。
大数据技术以其强大的数据处理和分析能力,成为网络安全领域的研究热点之一。
本文将重点讨论大数据技术在网络安全中的应用,以及网络安全态势感知平台的作用和关键技术。
结合实际案例对试论大数据技术网络安全态势感知平台在实际应用中的效果进行分析,最终对网络安全态势感知平台的未来发展方向进行展望和探讨。
1.2 研究意义网络安全一直是信息社会中的重要问题之一,随着互联网的普及和信息化进程的加快,网络安全威胁也愈发严重。
传统的网络安全防护手段已经无法满足当前复杂多变的网络安全威胁,开发新型的网络安全态势感知平台成为势在必行的任务。
大数据技术的兴起为网络安全领域带来了新希望。
通过大数据技术的应用,可以更加高效地收集、存储、处理和分析海量的网络流量数据,从而实现对网络安全态势的实时感知和预警。
网络安全态势感知平台的研发不仅可以提高网络安全的响应速度和精准度,还可以帮助企业和组织更好地保护重要信息资产,保障网络安全。
研究开发大数据技术网络安全态势感知平台具有重要的意义。
这不仅可以推动网络安全技术的创新和发展,还可以提升网络安全防护的效能,进一步促进互联网信息化建设的健康发展。
1.3 研究现状目前,国内外已有许多研究机构和企业开始使用大数据技术构建网络安全态势感知平台,对网络安全态势进行深度分析和预测。
这些平台通过对海量网络数据的快速采集、处理和分析,能够实现对网络攻击、漏洞、恶意软件等安全事件的实时监测和分析,有效提升了网络安全防护的效果。
目前网络安全态势感知平台还存在一些挑战和问题,如数据采集的难点、数据处理和分析的复杂性、算法模型的不完善等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。
1.1网络空间态势感知系统系统建设平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。
日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。
该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。
战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。
1.1.1安全监测子系统安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。
安全监测子系统有六类安全威胁监测的能力:一类是网站云监测,发现网站可用性的监测、网站漏洞、网站挂马、网站篡改(黑链/暗链)、钓鱼网站、和访问异常等安全事件第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。
第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。
第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。
第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。
第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点网站安全性与可用性的监测,及时发现网站漏洞、网站挂马、网站篡改(黑链/暗链)、钓鱼网站、众测漏洞和访问异常等安全事件。
2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,利用互联网厂商的云监控资源,结合本地运营商抽样采集的数据,才能快速有效发现DDoS攻击,同时对攻击进行追踪并溯源。
3、僵木蠕毒数据监测:通过云端下发本地数据,结合流量数据进行分析,快速发现本省/市感染“僵木蠕毒”的数据。
僵木蠕毒监测主要来自两种方面:一是360云端僵木蠕毒平台对国内终端的僵木蠕毒感染信息进行采集,如果命中本省/市终端僵木蠕毒感染数据,通过对IP地址/范围筛选的方式,筛选出属于本省/市的数据,利用加密数据通道推送到态势感知平台;二是对本地城域网流量抽样和重点单位全流量进行检测,将流量数据进行报文重组、分片重组和文件还原等操作后,传送到流检测引擎和文件检测引擎,通过流特征库、静态文件特征检测、启发式检测和人工智能检测方式及时的发现重点保护单位的僵木蠕毒事件4、高级威胁数据监测:安全监测子系统需要结合全部的网络流量日志和威胁情报继续持续性的攻击追踪分析。
云端IOC威胁情报覆盖攻击者使用的域名、IP、URL、MD5等一系列网络基础设施或攻击武器信息,同时威胁情报中还包含了通过互联网大数据分析得到的APT攻击组织的相关背景信息,这对于APT攻击监测将提供至关重要的作用。
1.1.2态势感知子系统态势感知系统基于多源数据支持安全威胁监测以及安全威胁突出情况的分析展示。
综合利用各种获取的大数据,利用大数据技术进行分析挖掘,实时掌握网络攻击对手情况、攻击手段、攻击目标、攻击结果以及网络自身存在的隐患、问题、风险等情况,对比历史数据,形成趋势性、合理性判断,为通报预警提供重要支撑。
该模块支持对网络空间安全态势进行全方位、多层次、多角度、细粒度感知,包括但不限于对重点行业、重点单位、重点网站,重要信息系统、网络基础设施等保护对象的态势进行感知。
态势感知子系统分为两部分:态势分析和态势呈现态势分析:针对重保单位、网站数据采集分析,通过安全监测子系统对DDos攻击监测、高级威胁攻击检测与APT攻击检测、僵木蠕毒检测、IDS检测等功能,通过恶意代码检测、异常流量分析、威胁分析等技术进行宏观分析后,以监管单位为视角,对本项目监管范围下的单位安全状态进行监测。
并且根据系统内置的风险评估算法给出当前被监管单位的整体安全评估。
态势呈现:通过城市安全指数、区域安全指数、单位安全指数、威胁来源、攻击分析、威胁同比、威胁环比、告警详细等呈现整体安全态势。
1.1.3通报预警子系统通报预警根据威胁感知、安全监测、追踪溯源、情报信息、侦查打击等模块获取的态势、趋势、攻击、威胁、风险、隐患、问题等情况,利用通报预警模块汇总、分析、研判,并及时将情况上报、通报、下达,进行预警及快速处置。
可采用特定对象安全评估通报、定期综合通报、突发事件通报、专项通报等方式进行通报。
1.1.4等保管理子系统等保管理模块针对全省信息安全等级保护建设工作进行监管,通过等保信息系统管理、等保管理工作处置、等保检查任务管理、等保系统资产管理、等保安全事件管理和等保综合分析报表对列管单位及其重要信息系统相关的备案信息、测评信息、整改信息和检查信息等业务数据进行管理。
1.1.5追踪溯源子系统追踪溯源子系统在发生网络攻击案(事)件或有线索情况下,对攻击对手、其使用的攻击手段、攻击途径、攻击资源、攻击位置、攻击后果等进行追踪溯源和拓展分析,为侦查打击、安全防范提供支撑。
追踪溯源子系统针对高级威胁攻击、DDoS攻击、钓鱼攻击、木马病毒等恶意行为通过云端数据进行关联分析、拓展扩线,进行事件溯源,为案件侦破提供技术、数据的支撑。
通过关联分析、同源分析、机器学习等技术手段对互联网端的海量数据(典型如:Whois数据、恶意软件样本MD5、DNS数据、网站访问数据等)进行数据梳理与数据挖掘,扩充互联网的恶意行为线索信息,还原出本次恶意行为大体的原貌,并可以通过恶意网络行为的一个线索扩展发现出更多的诸如攻击所用的网络资源,攻击者信息,受害人信息等线索。
具备根据源ip、源端口、宿ip、宿端口、传输层协议等条件搜集数据,具备联通日志、dns解析数据以及网络安全事件日志的关联挖掘能力等。
1.1.6威胁情报子系统威胁情报子系统通过采集360云端获取APT及高级威胁事件分析、黑产事件分析、影响范围较广的关键漏洞分析等威胁情报信息,将其中抽取出来的攻击手法分析、攻击组织分析、攻击资源分析等信息,利用通报处置核心组件接口,向本地其他核心组件及有关部门进行情报报送。
利用情报数据确定和处置安全事件后情报信息核心组件提供情报处置审计追踪的功能,对基于情报处置的安全事件进行处置流程、处置结果、处置经验等信息进行审计追踪并归档,便于后续安全事件的分析处置,提高安全事件处置工作效率。
1.1.7指挥调度子系统指挥调度模块主要用于在重要会议或重大活动期间,加强网络安保人员调度,全方位全天候掌握我省与活动相关的单位、系统和网站安全状况,及时通报预警网络安全隐患,高效处置网络安全案事件。
协同多家技术支撑单位、互联网安全厂商、网络安全专家以及其他职能部门保障整个过程的网络安全和数据安全,实现网络安全的态势感知、监测预警、指挥调度、通知通告、应急处置及协同技术支持等能力,对网络安全威胁、风险、隐患、突发事件、攻击等进行通报预警,对重点保护对象进行全要素数据采集,重点保护,并进行全要素显示和展示,实现重保期间全方位全天候的指挥调度能力。
1.1.8侦查调查子系统侦查调查核心组件主要涉及网络案事件的处置工作,在案事件发生后,办案民警利用该功能模块进行调查、取证,查找攻击来源、攻击手段以及攻击者等基本情况,形成案件线索,有必要时可以提供给网综平台,协助网络案情的侦查打击。
同时提供案事件处置状态的跟踪与沟通,实现对案事件的闭环业务处理。
1.1.9应急处置子系统应急处置根据安全监测发现的网络攻击、重大安全隐患等情况及相关部门通报的情况,下达网络安全事件快速处置指令。
指令接收部门按照处置要求和规范进行事件处置,及时消除影响和危害,开展现场勘察,固定证据,快速恢复。
对事件处置情况、现场勘察情况以及证据等方面情况及时建档、归档并入库。
1.1.10移动APP提供手机APP应用功能,用于发布信息安全通报、信息安全通告、等保政法规、风险提示等信息。
通报预警、快速处置等可以通过平台与移动APP相结合的方式进行通报实现。
预警通报可以采用移动APP通知相关负责人。
经过网安专网下发到相关单位,使相关单位能够及时接收并处置,移动APP支持多级组织机构管理,针对公安用户提供网络安全监测和通报数据管理的功能,针对重保单位用户提供通报消息通知和公开预警通报查看功能。
1.1.11运营工作台子系统运营工作台子系统为安服人员提供日常工作的待办提醒以及快捷入口并能体现日常工作的成果,日常工作包括:资产维护、告警分析确认、安全事件深度分析(攻击者、受害者、攻击链)、相关通告的下发、现场检查、应急响应、各类报告的定期生成。
提供日常运营常用工具的使用。
具备平台日常的设备、服务、数据的状态监听功能。
前场安服人员,能够在系统的规范下,更好的运营系统,最大限度的发挥平台的价值。
1.2网络空间安全数据采集系统建设安全数据采集能力建设是平台建设的基础,为大数据安全分析、安全态势呈现、通报预警、应急处置、等保管理、追踪溯源、威胁情报和指挥调度等业务模块提供数据资源。
安全数据采集能力建设主要包括以下内容:1.流量采集与分配2.高级威胁监测与采集3.僵木蠕毒监测与采集4.云端威胁情报采集5.DDoS攻击监测与采集6.网站云安全监测与采集7.等级保护数据采集8.其他业务系统数据采集1.2.1流量采集与分配根据项目情况可采集城域网流量、重保单位出口流量、IDC机房流量、电子政务外网流量:重保单位出口流量:根据业务需要在重保单位出口进行全流量采集,采集的流量通过流量采集设备做全量的镜像流量分析和检测,并还原成标准化日志。
城域网流量:根据业务需要可在城域网出口进行流量抽样采集,采集的流量通过流量采集设备做全量的镜像流量分析和检测,并还原成标准化日志。