二级等保建设方案

1、乌鲁瓦提水利枢纽管理局机房系统安全建设解决方案深信服科技有限公司2019 年目录1背景概述21。1建设背景21.2文件要求21。3参考依据32阀门监控系统安全防护意义 33安全防护总体要求 33。1系统性43。2动态性43。3安全防护的目标及重点43.4安全防护总体策略43.5综合安全防护要求53。5。1安全区划分原则 53。 6综合安全防护基本要求63。6。1主机与网络设备加固63。6。2入侵检测63.6.3安全审计63。6.4恶意代码、病毒防范74需求分析74.1安全风险分析74。2安全威胁的来源 85设计方案95。1拓扑示意 95.2安全部署方案105。2.1下一代防火墙 105.2。2

2、终端安全检测响应系统（杀毒）115。2.3日志审计系统125。2.4运维审计系统155。2。5安全态势感知系统166方案优势与总结186。1安全可视186.2融合架构186.3运维简化191背景概述1.1建设背景随着我国信息化的大力发展，信息网络已经由几个孤立的网络发展成一个多 连接的信息共享的复杂网络，也正是由于网络的接入共享为不法黑客的入侵系统 带来机会,严重影响系统的正常稳定运行和输送.1.2文件要求根据中华人民共和国网络安全法，水利相关单位是国家关键信息基础 设施和网络安全重点保护单位。监控、数据调度系统网络空间大，涉及单位多, 安全隐患分布广，一旦被攻破将直接威胁安全生产.为进一步提

3、高阀门监控系 统及调度数据网的安全性，保障阀门监控系统安全，确保安全稳定运行，需满 足以下文件要求及原则。满足调度数据网已投运设备接入的要求? 满足生产调度各种业务安全防护的需要；? 满足责任到人、分组管理、联合防护的原则；? 提高信息安全管理水平 , 降低重要网络应用系统所面临的的安全风险威 胁，保证信息系统安全、 稳定的运行 ,使信息系统在等级保护测评环节基本符 合国家信息安全等级保护相应级别系统的安全要求 .1.3 参考依据本次网络安全保障体系的建设， 除了要满足系统安全可靠运行的需求， 还必 须符合国家相关法律要求 , 同时基于系统业务的特点，按照分区分域进行安全控 制计算机信息系统安

4、全保护等级划分准则 (GB17859 1999) 。2 阀门监控系统安全防护意义目前，随着国际形势的日趋复杂，网络空间已经成为继陆、海、空和太空之 后第五作战空间， 国际上已经围绕 “制网权” 展开了国家级别的博弈甚至局部网 络战争，为了加大网络安全的落实 , 国家出台了网络安全法进一步明确了业 务主体单位或个人的法律责任 ,并于 2017年 6月1日开始正式实施。为加强阀门监控系统安全防护， 抵御黑客及恶意代码等对阀门监控系统的恶 意破坏和攻击，以及非法操作间接影响到系统的安全稳定运行 . 作为系统的重要 组成部分， 其安全与系统安全运行密切相关， 积极做好阀门监控系统系统安全防 护既有利于

5、配合阀门监控系统安全防护工作的实施， 确保整个系统安全防护体系 的完整性，也有利于为公司提供安全生产和管理的保障措施。3 安全防护总体要求系统安全防护具有系统性和动态性的特点。3.1 系统性其中以不同的通信方式和通信协议承载着安全性要求各异的多种应用。 网络 采用分层分区的模式实现信息组织和管理 . 这些因素决定了系统的安全防护是一 个系统性的工程。 安全防护工作对内应做到细致全面， 清晰合理； 对外应积极配 合上级和调度机构的安全管理要求。3.2 动态性阀门监控系统安全防护的动态性由两方面决定。 一是通信技术、 计算机网络 技术的不断发展； 二是阀门监控系统系统自身内涵外延的变化。 在新的病

6、毒、 恶 意代码、网络攻击手段层出不穷的情况下 , 静止不变的安全防护策略不可能满足 阀门监控系统网络信息安全的要求 , 安全防护体系必须采用实时、动态、主动的 防护思想 .同时阀门监控系统内部也在不断更新、 扩充、结合, 安全要求也相应改 变。所以安全防护是一个长期的、循环的不断完善适应的过程。如图 31 所示 P2DR莫型是阀门监控系统安全防护动态性的形象表示。图 3 1 安全防护 P2DR 动态模型3.3 安全防护的目标及重点阀门监控系统安全防护是系统安全生产的重要组成部分 ,其目标是:1) 抵御黑客、病毒、恶意代码等通过各种形式对阀门监控系统发起的恶意 破坏和攻击，尤其是集团式攻击 .

7、2) 防止内部未授权用户访问系统或非法获取信息以及重大违规操作。3) 防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度 数据网的安全实施保护 , 防止阀门监控系统瘫痪和失控，并由此导致系统故障。3.4 安全防护总体策略? 安全分区根据系统中业务的重要性和对一次系统的影响程度进行分区 , 所有系统都必须置于相应的安全区内。? 网络专用安全区边界清晰明确，区内根据业务的重要性提出不同安全要求 , 制定强度 不同的安全防护措施。 特别强调， 为保护生产控制业务应建设调度数据网， 实现 与其它数据网络物理隔离，并以技术手段在专网上形成多个相互逻辑隔离的子 网，保障上下级各安全区的互联仅在相同

8、安全区进行，避免安全区纵向交叉 .? 综合防护综合防护是结合国家信息安全等级保护工作的相关要求对阀门监控系统从 主机、网络设备、恶意代码方案、应用安全控制、审计、备份等多个层面进行信 息安全防护的措施。3.5 综合安全防护要求3.5.1 安全区划分原则阀门监控系统系统划分为不同的安全工作区， 反映了各区中业务系统的重要 性的差别。 不同的安全区确定了不同的安全防护要求， 从而决定了不同的安全等 级和防护水平。根据阀门监控系统系统的特点、 目前状况和安全要求， 整个阀门监控系统分 为两个大区 : 监控大区和办公大区。阀门监控业务区 是指由具有实时监控功能、 纵向联接使用调度数据网的实时子网或专用

9、通道 的各业务系统构成的安全区域。控制区中的业务系统或其功能模块 （或子系统）的典型特征为 : 是生产的重要 环节, 直接实现对一次系统的实时监控，纵向使用调度数据网络或专用通道，是 安全防护的重点与核心。? 办公业务区办公业务区内部在不影响阀门监控业务区安全的前提下， 可以根据各企业不同安全要求划分安全区，安全区划分一般规定。3.6 综合安全防护基本要求3.6.1 主机与网络设备加固厂级信息监控系统等关键应用系统的主服务器 , 以及网络边界处的通用网关 机、Web服务器等,应当使用安全加固的操作系统。加固方式最好采用专用软件 强化操作系统访问控制能力以及配置安全的应用程序， 其中加固软件需采

10、用通过 国家权威部门检测的自主品牌。非控制区的网络设备与安全设备应当进行身份鉴别、 访问权限控制、 会话控 制等安全配置加固。可以应用调度数字证书，在网络设备和安全设备实现支持 HTTPS勺纵向安全Web服务，能够对浏览器客户端访问进行身份认证及加密传输 应当对外部存储器、打印机等外设的使用进行严格管理或直接封闭闲置端口。3.6.2 入侵检测阀门监控业务区需统一部署一套网络入侵检测系统 , 应当合理设置检测规 则，检测发现隐藏于流经网络边界正常信息流中的入侵行为 , 分析潜在威胁并进 行安全审计。3.6.3 安全审计阀门监控业务区的监控系统应当具备安全审计功能， 能够对操作系统、 数据 库、业

11、务应用的重要操作进行记录、 分析，及时发现各种违规行为以及病毒和黑 客的攻击行为 . 对于远程用户登录到本地系统中的操作行为，应该进行严格的安 全审计。同时可以采用安全审计功能，对网络运行日志、操作系统运行日志、数 据库访问日志、 业务应用系统运行日志、 安全设施运行日志等进行集中收集、 自 动分析 .364恶意代码、病毒防范应当及时更新特征码，查看查杀记录.恶意代码更新文件的安装应当经过测 试。禁止阀门监控业务区与办公业务区共用一套防恶意代码管理服务器.4需求分析4.1安全风险分析阀门监控系统系统面临的主要风险优先级风险说明/举例0旁路控制(Bypassing ControlS入侵者对发送非

12、法控制命令，导致系统事 故，甚至系统瓦解。1完整性破坏(IntegrityViolati on)非授权修改控制系统配置、程序、控制命 令;非授权修改交易中的敏感数据.2违反授权(AuthorizationViolatio n)控制系统工作人员利用授权身份或设备， 执行非授权的操作.3工作人员的随意行为(In discretio n)控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等.4拦截 / 篡改(In tercept/Alter)拦截或篡改调度数据广域网传输中的控制 命令、参数设置、交易报价等敏感数据。5非法使用(IIIegitimate Use)非授权使用计算机或网

13、络资源。6信息泄漏(InformationLeakage口令、证书等敏感信息泄密。7欺骗(Spoof)Web服务欺骗攻击；IP欺骗攻击。8伪装(Masquerade入侵者伪装合法身份，进入阀门监控系统。优先级9风险说明/举例拒绝服务(Availability, e。g。Denial of Service)向调度数据网络或通信网关发送大量雪崩数据，造成网络或监控系统瘫痪.10窃听(Eavesdropping, e.gData Con fide ntiality)黑客在调度数据网或专线通道上搭线窃听 明文传输的敏感信息，为后续攻击做准备4.2安全威胁的来源办公区等网络不是一个孤立的系统，是和互联网

14、连接，提供员工上网的需求 和对外信息发布的平台，那么来自外部威胁的可能性非常大例如应用系统遭受拒绝服务攻击，信息泄露等。内部威胁内部人员有意或无意的违规操作给信息系统造成的损害，没有建立健全安全管理机制使得内部人员的违规操作甚至犯罪行为给信息系统造成的损害等.病毒或恶意代码目前病毒的发展与传播途径之多、 速度之快、危害面之广、造成的损失之严 重,都已达到了非常惊人的程度。也是计算机信息系统不可忽略的一个重要安全 威胁源。病毒和恶意代码主要针对操作系统、数据库管理系统、应用系统等软件. 病毒和恶意代码的威胁主要来自内部网络、USE盘、光盘等介质。自然灾害主要的自然威胁是：地震、水灾、雷击；恶劣环

15、境，如不适宜的温度湿度，以及尘埃、静电；外电不稳定、电源设备故障等.管理层面的缺陷管理的脆弱性在安全管理方面的脆弱性主要表现在缺乏针对性的安全策略、安全技术规 范、安全事件应急计划，管理制度不完善，安全管理和运行维护组织不健全，对规 章、制度落实的检查不够等。安全组织建设风险信息系统安全体系的建设对组织保障提出了更高的要求 .安全管理风险安全管理制度的建设还不全面，如 : 缺乏统一的用户权限管理和访问控制策 略，用户、口令、权限的管理不严密 , 系统的安全配置一般都是缺省配置，风险 很大。对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合性的 评估制度不够完善 . 没有根据各类信息的

16、不同安全要求确定相应的安全级别，信 息安全管理范围不明确。 缺乏有效的安全监控措施和评估检查制度， 不利于在发 生安全事件后及时发现 , 并采取措施 . 缺乏完善的灾难应急计划和制度 , 对突发的 安全事件没有制定有效的应对措施 , 没有有效的机制和手段来发现和监控安全事 件，没有有效的对安全事件的处理流程和制度。人员管理风险人员对安全的认识相对较高， 但在具体执行和落实、 安全防范的技能等还有 待加强。5 设计方案本方案重点描述监控系统等与业务直接相关部分的安全防护 .方案实现的防 护目标是抵御黑客、 病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻 击,以及其它非法操作，防止阀门监控系

17、统系统瘫痪和失控，并由此导致的一次 系统事故。5.1 拓扑示意操作系统安全是计算机网络系统安全的基础 ,而服务器上的业务数据又是被 攻击的最终目标， 因此，加强对关键服务器的安全控制， 是增强系统总体安全性 的核心一环。 对阀门监控系统关键服务器实现主机加固， 合理配置检查规则。 强 制进行权限分配 ,保证对系统资源（包括数据和进程 ）的访问符合定义的主机安全 策略,防止主机权限被滥用。整个系统方案建成后如图：5.2 安全部署方案5.2.1 下一代防火墙(1)纵向安全在互联处部署下一代防火墙。 安全建设充分考虑到广域网组网、 运行过程中 潜在的安全问题及可靠性问题 ,通过下一代防火墙 NGAF

18、 融合安全，综合事前、 事中、时候一体化安全运营中心， 组成 L2-L7 层立体安全防御体系， 实现广域网 安全组网、广域网流量清洗的防护效果，确保广域网高安全和高可用。同时，通过下一代防火墙集成入侵防御、入侵检测、 WEB 应用防火墙、防 病毒网关功能，实现一体化安全的安全策略部署、 L2 L7 层的安全防护效果、 高效的广域网流量清洗 ,可视化的流量带宽保障、集中管理统一部署的价值 ,在有 效解决广域网安全问题的前提下，简化管理运维成本 ,实现了最优投资回报 .同时，给区域内网络构建立体的防护体系， 防止内部终端遭受各个层次的安 全威胁 .通过下一代防火墙虚拟补丁和病毒防护等功能 ,有效防

19、御各种攻击和内网 蠕虫病毒，防止僵尸网络形成 ,保证网络的安全稳定运行 .下一代防火墙内置僵尸 网络识别库，通过分析内网终端的异常行为(如连接恶意主机或URL )等机制准 确识别被黑客控制的僵尸终端，铲除各类攻击的土壤。全面的威胁识别能力，对事前 /事中/事后的各类威胁全面监测和防护 ; 精准的僵尸网络防护技术 ,从僵尸网络发展的各个阶段进行消除； 专业的 WEB 安全防护能力，提供了业务服务各个阶段的保护； 深入威胁事件关联分析能力，有效防止 APT 高级持续威胁； 相比传统设备，提供更加全面的威胁识别和防护； 主动发现安全隐患，改变传统被动应对局面； 可视化安全服务 ,让安全可以轻松看懂

20、;自助化安全运维，让安全从此更简单； 内置安全运营中心 , 提供一站式、智能化安全运维方法。5.2.2 终端安全检测响应系统 （杀毒）终端检测响应平台（EDR是深信服公司提供的一套终端安全解决方案，方案 由轻量级的端点安全软件和管理平台软件共同组成。EDR勺管理平台支持统一的终端资产管理、 终端安全体检、 终端合规检查， 支持微隔离的访问控制策略统一 管理,支持对安全事件的一键隔离处置，以及热点事件IOC的全网威胁定位，历史 行为数据的溯源分析， 远程协助取证调查分析。 端点软件支持防病毒功能、 入侵 防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。深信 服的EDR产品也支持

21、与NGAF AC SIP产品的联动协同响应，形成新一代的安全 防护体系 .终端上的安全检测是核心的技术，传统的病毒检测技术使用特征匹配 , 使得 病毒特征库越来越大，运行所占资源也越来越多。深信服的EDF产品使用多维度 轻量级的无特征检测技术,包含AI技术的SAVE引擎、行为引擎、云查引擎、全 网信誉库等，检测更智能、更精准，响应更快速 , 资源占用更低消耗。AI技术SAVE引擎深信服创新研究院的博士团队联合 EDR产品的安全专家，以及安全云脑 的大数据运营专家 , 共同打造人工智能的勒索病毒检测引擎 . 通过根据安 全领域专家的专业知识指导，利用深度学习训练数千维度的算法模型， 多维度的检测

22、技术，找出高检出率和低误报率的算法模型，并且使用线 上海量大数据的运营分析， 不断完善算法的特征训练 , 形成高效的检测引 擎.行为引擎独特的“虚拟沙盒” 技术， 基于虚拟执行引擎和操作系统环境仿真技术， 可以深度解析各类恶意代码的本质特征，有效地解决加密和混淆等代码 级恶意对抗。根据虚拟沙盒捕获到虚拟执行的行为，对病毒运行的恶意行为链进行检 测, 能检测到更多的恶意代码本质的行为内容。云查引擎针对最新未知的文件， 使用微特征的技术 , 进行云端查询。 云端的安全云 脑中心,使用大数据分析平台，多引擎扩展的检测技术， 秒级响应未知文 件的检测结果。全网信誉库在管理平台上构建企业全网的文件信誉库

23、， 对单台终端上的文件检测结果汇总到 平台, 做到一台发现威胁，全网威胁感知的效果。并且在企业网络中的检测重点 落到对未知文件的分析上 , 减少对已知文件重复检测的资源开消。深信服EDR产品能与NGAF AC SIP、安全云脑等进行产品进行协同联动响 应.EDR产品可与安全云脑协同响应，关联在线数十万台安全设备的云反馈威胁 情报数据，以及第三方合作伙伴交换的威胁情报数据 , 智能分析精准判断 , 超越传 统的黑白名单和静态特征库 , 为已知 / 未知威胁检测提供有力支持。可与防火墙 NGAF SIP产品进行关联检测、取证、响应、溯源等防护措施，与AC产品进行合规认证审查、安全事件响应等防护措施

24、 , 形成应对威胁的云管端立体化纵深防 护闭环体系。5.2.3 日志审计系统综合日志分析系统的主要功能包括如下模块 :采集管理：在接入各类日志和事件前，指定需要采集的目标、接入方式 以及相关参数（如数据库的各种连接参数）、选择标准化脚本和过滤归并 策略；事件分析：事件分析是综合日志分析系统的核心模块之一，它不仅可以 综合考量各种日志之间可能存在的关系 ,而且能够对日志中相关要素进 行分析；最终，异常事件的分析结果将以告警的形式呈现在系统中； 审计管理 :审计管理是综合日志分析系统的核心模块之一， 侧重于发现日 志中相关要素是否和预定的策略相符，如时间、地点、人员、方式等。 审计管理能够方便的自

25、定义审计人员、行为对象、审计类型、审计策略 等基本配置； 并能够自定义审计策略模板 ,审计管理内置了大量审计策略 模板，涵盖了常见的、 对企业非常实用的审计策略模板 ,如主机、防火墙、 数据库、萨班斯审计策略、等级保护策略模板等。对于根据审计策路所 产生的审计违规结果，系统以告警的形式在实时监控模块呈现给用户 , 用户可以对告警进行相关的处理。安全监控 :安全监控包括告警监控和实时监控。 所谓告警是指用户特别需 要关注的安全问题，这些问题来源于事件分析、审计分析的结果。所谓 实时监控是指对当前接入的事件日志的逐条、 实时显示 ,显示的日志内容 是可以根据用户的需求进行设置过滤条件来定制的。安全

26、概览：综合呈现当前接入系统的安全态势，如告警概况、系统运行 状态、事件分析统计、审计分析统计等 ,安全概览显示内容可根据需要自 定制。报表管理：系统提供丰富的报表，以满足用户不同的要求；资产管理 :与普通的综合日志分析系统不同， 综合日志分析系统提供资产 管理模块，以方便用户对被管对象的管理 ;知识库管理：系统提供日志发送配置(即如何对各种系统进行配置，使 其产生日志)、安全事件知识、 安全经验等，对日志审计提供相应的支撑；系统管理：系统的自身管理，包括如用户管理、日志管理、升级管理等 功能.以上功能 ,经过细化以后，可以形成如下结构 :1) 安全管理对象： 综合日志分析系统能够对各种安全风险

27、进行采集和汇总， 安全对象涵盖了人员、网络、安全设施、系统、终端、应用等 .2) 采集层 : 采集各种设备的事件日志 , 标准化为统一的格式， 然后进行过滤、 归并、关联和审计，从海量日志中分析潜在的安全问题，同时进行相关 数据的存储和管理。3) 分析处理层：系统通过分析引擎 ,对日志进行关联分析、 审计分析和统计 分析，并对异常事件告警策略进行管理。4) 业务功能层：业务功能层实现对企业信息安全业务的支撑，以及系统自身运行的管理。在此基础上，通过分析事件与资产的相互关系，产生告 警及报表等。5）与此同时，业务功能层提供资产管理、报表管理、采集管理、事件分析 和审计管理 , 分别支撑用户的相关

28、业务功能 .6）综合展现层 : 综合展现层是综合日志分析系统的展示层。 该层通过个人工 作台和安全概览，将整个系统收集、分析、管理的安全事件、告警概况 等信息多维度的展现在用户面前。采集是综合日志分析系统的重要功能模块 , 它承载了日志或事件采集标准 化、过滤、归并功能。 采集管理是系统进行分析的第一步，用户通过指定需要 采集的目标、相关采集参数（Syslog、SNMP Trap等被动方式无需指定）、相关 的过滤策略和归并策略等创建日志采集器，以收集相关设备或系统的日志 . 具体 如下：? 标准化不同的系统或设备所产生的日志格式是不尽相同的， 这就给分析和统计带了 巨大的麻烦 ,所以在综合日志

29、分析系统中内置了众多的标准化脚本以处理这种情 形；即便对于某些特殊的设备， 您没有发现相关的解析脚本， 综合日志分析系统 也提供了相应的定制方法以解决这些问题。? 过滤和归并为了对接收的日志数量进行压缩 , 综合日志分析系统还提供了过滤和归并功 能; 其中，过滤功能不仅仅是丢弃无用的日志，而且也可以将它们转发到外部系 统或对部分事件字段进行重新填充。? 事件分析综合日志分析系统的事件分析功能是系统中的核心功能之一 ; 其中关联分析 策略主要侧重于各类日志之间可能存在的逻辑关联关系。综合日志分析系统不仅支持以预定义规则的方式进行事件关联， 还支持基于 模式发现方式的关联；系统不仅支持短时间内的序

30、列关联 , 还支持长时间的关联 （最长可达 30 天 ） 。综合日志分析系统支持如下不同类型日志或事件 :网络攻击有害代码 漏洞用户访问存取系统运行设备故障配置状态网络连接数据库操作对于事件关联分析所产生的结果将在关联事件中呈现 , 如果符合关联策略 将以告警的形式在实时监控模块呈现给用户， 用户可以对告警进行相关的处 理。5.2.4 运维审计系统借助切实有效的技术手段， 通过对运维环境中人员、 设备、操作行为等诸多 要素的统筹管理和策略定义，建立一个具有完备控制和审计功能的运维管理系 统，为业务生产系统进一步的发展建立坚实基础。 该方案需要在技术层面完成如 下建设目标：实现单点登录：全部运维

31、人员集中通过运维管理系统 , 来管理后台的服务 器、网络设备等资源 , 同时对运维人员进行统一的身份认证； 实现统一授权：统一部署访问控制和权限控制等策略，保证操作者对后 台资源的合法使用，同时实现对高危操作过程的事中监控和实时告警 ; 快速定位问题：必须对操作人员原始的操作过程进行完整的记录，并提 供灵活的查询搜索机制，从而在操作故障发生时，快速的定位故障的原 因，还原操作的现场；简化密码管理 :实现账号密码的集中管理 , 在简化密码管理的同时提高账 号密码的安全性； 兼容操作习惯：尽量不改变运维环境中已有的网络架构、对操作者原有 的操作习惯不造成任何影响 ;集中管理是前提： 只有集中以后才

32、能够实现统一管理， 只有集中管理才能把 复杂问题简单化 ,分散是无法谈得上管理的，集中是运维管理发展的必然趋势,也是唯一的选择 .身份管理是基础： 身份管理解决的是维护操作者的身份问题。 身份是用来识 别和确认操作者的， 因为所有的操作都是用户发起的， 如果我们连操作的用户身 份都无法确认 ,那么不管我们怎么控制， 怎么审计都无法准确的定位操作责任人。 所以身份管理是基础。访问控制是手段 : 操作者身份确定后，下一个问题就是他能访问什么资源、 你能在目标资源上做什么操作。 如果操作者可以随心所欲访问任何资源、 在资源 上做任何操作，就等于没了控制， 所以需要通过访问控制这种手段去限制合法操 作

33、者合法访问资源，有效降低未授权访问所带来的风险 .操作审计是保证 : 操作审计要保证在出了事故以后快速定位操作者和事故原 因，还原事故现场和举证。 另外一个方面操作审计做为一种验证机制， 验证和保 证集中管理 ,身份管理，访问控制 ,权限控制策略的有效性 .自动运维是目标： 操作自动化是运维操作管理的终极目标，通过让该功能， 可让堡垒机自动帮助运维人员执行各种常规操作,从而达到降低运维复杂度、提高运维效率的目的 .5.2.5 安全态势感知系统交换层旁路部署 1 台潜伏威胁探针，通过网络流量镜像内部对用户到业务资 产、业务的访问关系进行识别， 基于捕捉到的网络流量对内部进行初步的攻击识 别、违规

34、行为检测与内网异常行为识别。 探针以旁路模式部署， 实施简单且完全 不影响原有的网络结构 , 降低了网络单点故障的发生率。此时探针获得的是链路 中数据的“拷贝”， 主要用于监听、 检测局域网中的数据流及用户或服务器的网 络行为，以及实现对用户或服务器的 TCP亍为的采集.在公司核心交换层旁路部署 1 套安全感知平台用于全网检测系统对各节点 安全检测探针的数据进行收集， 并通过可视化的形式为用户呈现数据中心内网关 键业务资产的攻击与潜在威胁。业务资产可视通过潜伏威胁探针可主动识别业务系统下属的所有业务资产 , 将已识别的资 产进行安全评估，将资产的配置信息与暴露面进行呈现 . 通过网络数据包分析 , 对未备案的新增资产进行实时告警，发现脱离 IT 部门管控的违规资产 .访问关系可视依托于可视化技术， 通过访问关系展示用户、 业务系统、 互联网之间访问关 系，基于全网业务对象的访问关系的图形化展示， 包括用户对业务、 业务对业务、 业务与互联网三者关系的完全展示，并提供快捷的搜索供IT人员在业务迁移和 梳理时直观的查看业务关系