企业安全态势感知平台建设方案

1、企业安全态势感知平台建设方案目录 TOC o 1-3 h z u HYPERLINK l _Toc55983896 1 概述 PAGEREF _Toc55983896 h 4 HYPERLINK l _Toc55983897 1.1. 项目背景介绍 PAGEREF _Toc55983897 h 4 HYPERLINK l _Toc55983898 1.2. 传统安全防御体系的风险与不足 PAGEREF _Toc55983898 h 7 HYPERLINK l _Toc55983899 1.3. 企业或组织网络安全现状分析 PAGEREF _Toc55983899 h 10 HYPERLINK

2、l _Toc55983900 第2章. 网络分析 PAGEREF _Toc55983900 h 12 HYPERLINK l _Toc55983901 2.1. XX企业网络现状 PAGEREF _Toc55983901 h 12 HYPERLINK l _Toc55983902 2.2. XX企业网络业务分析 PAGEREF _Toc55983902 h 12 HYPERLINK l _Toc55983903 2.3. XX企业面临的网络威胁分析 PAGEREF _Toc55983903 h 12 HYPERLINK l _Toc55983904 第3章. 企业安全态势感知解决方案 PAGE

3、REF _Toc55983904 h 13 HYPERLINK l _Toc55983905 3.1. XX企业安全态势感知系统整体方案 PAGEREF _Toc55983905 h 13 HYPERLINK l _Toc55983906 3.2. 安全态势感知解决方案总体架构 PAGEREF _Toc55983906 h 16 HYPERLINK l _Toc55983907 3.3. XX企业安全态势感知系统部署方案 PAGEREF _Toc55983907 h 20 HYPERLINK l _Toc55983908 第4章. 安全态势感知系统建设 PAGEREF _Toc55983908

4、 h 22 HYPERLINK l _Toc55983912 4.1. 数据采集建设方案 PAGEREF _Toc55983912 h 22 HYPERLINK l _Toc55983913 4.1.1. 日志采集 PAGEREF _Toc55983913 h 22 HYPERLINK l _Toc55983914 4.1.2. 流量采集 PAGEREF _Toc55983914 h 25 HYPERLINK l _Toc55983915 4.1.3. 资产探测信息采集 PAGEREF _Toc55983915 h 27 HYPERLINK l _Toc55983916 4.1.4. 漏洞发现

5、信息采集 PAGEREF _Toc55983916 h 30 HYPERLINK l _Toc55983917 4.2. 数据层建设方案 PAGEREF _Toc55983917 h 32 HYPERLINK l _Toc55983918 4.2.1. 数据治理 PAGEREF _Toc55983918 h 32 HYPERLINK l _Toc55983919 4.2.2. 安全数据库 PAGEREF _Toc55983919 h 33 HYPERLINK l _Toc55983920 4.3. 安全分析层建设方案 PAGEREF _Toc55983920 h 37 HYPERLINK l

6、_Toc55983921 4.3.1. 常规威胁检测 PAGEREF _Toc55983921 h 37 HYPERLINK l _Toc55983922 4.3.2. 未知威胁/高级威胁检测 PAGEREF _Toc55983922 h 40 HYPERLINK l _Toc55983923 4.3.3. 恶意文件检测 PAGEREF _Toc55983923 h 46 HYPERLINK l _Toc55983924 4.3.4. 关联分析 PAGEREF _Toc55983924 h 48 HYPERLINK l _Toc55983925 4.3.5. 威胁判定 PAGEREF _Toc

7、55983925 h 48 HYPERLINK l _Toc55983926 4.3.6. 诱捕 PAGEREF _Toc55983926 h 49 HYPERLINK l _Toc55983927 4.3.7. 威胁判定 PAGEREF _Toc55983927 h 52 HYPERLINK l _Toc55983928 4.4. 应用层建设方案 PAGEREF _Toc55983928 h 52 HYPERLINK l _Toc55983929 4.4.1. 智能检索 PAGEREF _Toc55983929 h 52 HYPERLINK l _Toc55983930 4.4.2. 态势呈

8、现 PAGEREF _Toc55983930 h 54 HYPERLINK l _Toc55983931 4.4.3. 事件管理 PAGEREF _Toc55983931 h 56 HYPERLINK l _Toc55983932 4.4.4. 资产风险管理 PAGEREF _Toc55983932 h 57 HYPERLINK l _Toc55983933 4.4.5. 专项分析 PAGEREF _Toc55983933 h 58 HYPERLINK l _Toc55983934 4.4.6. 威胁报告 PAGEREF _Toc55983934 h 59 HYPERLINK l _Toc55

9、983935 4.4.7. 业务配置 PAGEREF _Toc55983935 h 60 HYPERLINK l _Toc55983936 4.4.8. 系统管理 PAGEREF _Toc55983936 h 60 HYPERLINK l _Toc55983937 4.4.9. 安全响应 PAGEREF _Toc55983937 h 62 HYPERLINK l _Toc55983938 4.4.10. 北向接口 PAGEREF _Toc55983938 h 64 HYPERLINK l _Toc55983939 4.4.11. 系统监控 PAGEREF _Toc55983939 h 65 H

10、YPERLINK l _Toc55983940 4.4.12. 产品运维 PAGEREF _Toc55983940 h 65 HYPERLINK l _Toc55983941 第5章. 部署 PAGEREF _Toc55983941 h 67 HYPERLINK l _Toc55983942 6.1 网络规划 PAGEREF _Toc55983942 h 69 HYPERLINK l _Toc55983943 5.1. 升级方式 PAGEREF _Toc55983943 h 70 HYPERLINK l _Toc55983944 5.2. 硬件配置 PAGEREF _Toc55983944 h

11、 70 HYPERLINK l _Toc55983945 5.3. 软件配置 PAGEREF _Toc55983945 h 72 HYPERLINK l _Toc55983946 5.4. 结合客户场景提供配置建议 PAGEREF _Toc55983946 h 72 HYPERLINK l _Toc55983947 第6章. 服务 PAGEREF _Toc55983947 h 73 HYPERLINK l _Toc55983948 6.1. 服务价值 PAGEREF _Toc55983948 h 73 HYPERLINK l _Toc55983949 6.2. 服务内容 PAGEREF _To

12、c55983949 h 73概述项目背景介绍习近平总书记的“四个全面”战略布局、网络强国战略思想及国家相继出台国家网络空间安全战略和网络安全法的发布，把网络安全工作的重要程度提到了新的高度。同时，进入互联网+时代，网络安全的攻击面正以几何倍数增长和扩大，并且面对的网络安全威胁也日益猖獗和严峻，给网络安全主管部门和企事业带来了前所未有的压力和挑战。2016年4月，在国家网络安全和信息化工作座谈会上习近平总书记提出了“要大力推进网络安全主动防御体系建设，全天候全方位感知网络安全态势”要求。2017年6月，中华人民共和国网络安全法正式实施，我国网络安全迈入法治化新阶段，明确了各部门各单位的网络安全的

13、职责。2019年4月，习近平在全国网络安全和信息化工作会议上谈到：“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”各级政府和相关机构深入贯彻中央关于“建设网络强国”的战略部署，把网络安全纳入经济社会发展全局来统筹谋划部署，大力推进网络安全和网络信息保护工作，在增强全民网络安全意识、构建网络安全制度体系、保障网络运行安全、治理违法违规信息、加强个人信息保护、推进核心技术创新等领域取得了积极成效。在国内针对政府和重点行业单位的高级威胁攻击事件层出不穷。数据泄露、高危漏洞、网络攻击以及相关的网络犯罪呈现新的变化，未知威胁、高级威胁、0day漏洞等高级攻击技术不

14、断挑战企业、政府的安全防御体系，网络安全走向利益化加重了网络安全事件所带来的损失和影响。近两年国内发生的典型网络安全事件：上海社保系统被黑，系统瘫痪近4个小时2018年6月上海市医保系统故障瘫痪近4个小时，由于医保局服务器断线，对全市各医院医疗保险实时结算造成影响。病人无法使用医保卡挂号和结算。病人要么选择等待，要么就自费挂号并支付，现场各个窗口排起了长龙。某快递公司数据被盗，近亿客户信息泄露2018年5月“黑客”入侵快递公司后台盗近亿客户信息，中国公民信息泄露近1亿条，导致个人经常接到贷款、买房、工艺品等广告骚扰电话。境外黑客利用勒索病毒攻击我国部分政府和医院机构2019年3月13日，有消息

15、显示，我国部分政府部门和医院等公立机构遭遇到国外黑客攻击。此次攻击中，黑客组织利用勒索病毒对上述机构展开邮件攻击。从2019年3月11日起，境外不明黑客组织对我国部分政府部门开展勒索病毒邮件攻击。这些邮件的标题是“你必须在3月11日下午3点向警察局报到！”，这些邮件的发件者名为“Min,GapRyong”（部分部门反映还有其他的假冒发件人约70多个），另外这些邮件中无一例外都附有名为“03-11-19.rar”的压缩文件，而不明真相者一旦打开这些附件将会中招。物联网攻击事件2019年3月21日至22日，位于光谷总部国际的“微锋”(化名)科技有限公司的多台物联网终端设备出现故障：自助洗衣机、自助

16、充电桩、自助吹风机、按摩椅、摇摇车、抓娃娃机等均脱网无法正常运行。经统计，共100余台设备被恶意升级无法使用、10万台设备离线，造成了重大经济损失。某著名短视频公司千万级账号遭撞库攻击，牟利百万黑客被捕2019年2月，北京某著名短视频公司向海淀警方报案，其公司旗下APP，遭人拿千万级外部账号密码恶意撞库攻击，其中上百万账号密码与外部已泄露密码吻合。超2亿中国求职者简历疑泄露，数据“裸奔”将近一周2019年1月，Hacken Proof的网络安全人员Bob Diachenko在推特上爆料称，一个包含2.02亿中国求职者简历信息的数据库泄露，被称为中国有史以来最大的数据曝光之一。 某打车平台服务器

17、遭攻击，黑客勒索巨额比特币2019年5月26日，某打车平台官网瘫痪，App也无法正常使用。某打车平台官方发布微博称：“2019年5月26日凌晨，服务器遭到连续攻击，因此给用户使用带来严重的影响。攻击者索要巨额的比特币相要挟，攻击导致易到核心数据被加密，服务器宕机。我们的相关技术人员正在努力抢修。在过去的几年里，国外也同样不断有网络攻击、数据泄露事件发生，不安全的数据库暴露在internet上也是很严重的问题；零日漏洞可能在程序打补丁前在被利用；组织或个人可能成为国家资助的APT组织，拥有大量资源和工具。根据IBM最新的数据泄露年度成本研究，平均数据泄露成本现在高达392万美元。这些费用在过去五

18、年里增加了12%。2017年2月3日，攻击者在波兰金融监管机构的网站上植入了一种病毒，然后等待银行在访问该网站期间不经意地下载它。当名单上的银行访问该网站时，它们会被重定向至会试图下载恶意软件的网站。2019年1月，俄克拉荷马州证券部的一个服务器，包含数兆字节的政府机密数据，包括联邦调查局的调查记录和敏感的政府文件，暴露在互联网上。2019年3月， Globelmposter3.0（又称“生肖”勒索软件）肆虐医院，数据库文件被加密破坏，医院业务瘫痪2019年4月，GandCrab V5.2（侠盗病毒）预警，主要针对政府、企业、高校进行攻击2019年7月，万豪因泄漏3.83亿名客户信息被英国罚款

19、1.24亿美元。面对网络安全严峻的形势，亟需对应的安全解决方案来应对高级威胁攻击带来的影响，及时监控、定位发生的攻击事件，维护政府、企事业关键信息基础设施正常对外提供服务，做到监测全网整体安全、掌控全网资产安全、多维度的感知网络安全风险、定位威胁、追踪溯源、快速响应处置威胁的能力，解决“网络是否安全不知道、哪些是核心资产不知道、谁进来了不知道、进了哪里不知道、要做什么不知道”的问题，切实维护业务系统的正常运转，巩固业务系统的安全堤坝。传统安全防御体系的风险与不足传统的防御一般分为边界防护体系和纵深防御体系，最常见的防御体系是边界防护，包括防火墙、IPS、IDS、WAF等一系列的边界防护产品，这

20、类体系扮演着重要作用，可以很大程度上减少攻击面，作为基于的安全防御必不可少，这种防御体系强调在网络的边界解决安全问题。优势是部署简单，主要在网络边界部署安全设备；但是在高级威胁、威胁变种、0Day漏洞横行的情况下，这种防御体系一旦边界被黑客突破，即可长驱直入。另一种防御体系为纵深防御体系，强调的是任何防御措施都不是万能的，存在黑客突破防御措施的可能，于是进行多层次防御，黑客必须突破多层才能接触到核心资产。纵深防御体系在一段时间内都是成功的，可以增大黑客攻击的成本。而且大的企业一般都会采用纵深防御体系，在网络边界、网络层、服务器端、客户端部署不同的安全产品，攻击成本高，安全性较好，但是各个产品之

21、间缺乏有效的协同机制，各自为政，检测手段多是基于规则和黑白名单，对于0day以及可以绕过防御的抱有政治、经济目的的专业黑客或高级APT组织，攻克这种防御体系也只是时间问题。下面以2015年12月乌克兰电网遭受的APT攻击事件为例，介绍一下典型的APT攻击过程。乌克兰电网受到的APT攻击过程伪造钓鱼邮件（政府动员令），excel文件宏病毒（提示文件是高版本创建，需要启用宏），建立据点；加入系统自启文件，开机运行，注入系统进程实现躲避；在办公区长期潜伏扫描，横向拓展到其它主机，使用录屏方法获取到了VPN登录凭证、SCADA控制权限，跳入到生产控制区；利用SSH后门逐步把攻击工具（如KillDisk

22、）传入控制区；选择时间发起攻击（修改系统变电站参数，迫使自动断电）；使用KillDisk工具破坏SCADA控制主机的磁盘和引导区，无法通过远程自动恢复，同时无法获取上报信息判断哪些断电；同时对CallCenter的VoIP发起了DDoS攻击，占满线路。对于APT攻击企业和组织需要高度重视，正如看似固若金汤的马奇诺防线，德军只是改变了作战策略，法国人的整条防线便沦落成摆设。就APT攻击的危害而言，任何疏忽大意都可能为信息系统带来灾难性的破坏。传统的网络攻击与APT攻击行为到底有哪些异同，下面的表格或许能让您找到答案。传统威胁和APT威胁的区别不难看出APT攻击更像一支配备了精良武器的特种部队，这

23、些尖端武器会让用户网络环境中传统的IPS/IDS、防火墙、防病毒软件等安全防御体系失去应有的防御能力。无论是0day或者精心构造的恶意程序，传统的基于特征库的被动防御体系都无法抵御定向攻击的入侵。综上所述传统安全防御体系面临风险主要有以下几个方面：一、无法做到事前预测与防御：资产管理风险：无法对资产进行精准识别从而减少攻击面，无法全面了解网络资产现状，发现存活资产、资产风险状况。被动防御风险：无有效手段主动发现黑客恶意威胁行为，提前感知业务系统、终端主机、应用服务等可能遭受的攻击情况和趋势，进行提前防御，从而转被动防御为主动防御。无法感知全网安全态势：无法直观展示企业在全球范围内面的威胁和最近

24、发现的威胁事件，方便安全运维分析人员能及时发现威胁、预判全网安全走势。 二、 无法做到事中精准检测未知威胁及事后关联分析威胁事件不能精准检测风险：无法通过机器学习技术针对APT全攻击链中的每个步骤，渗透、驻点、提权、侦查、外发等各个阶段进行检测，建立文件异常、mail 异常、C&C异常检测、流量异常、日志关联、web 异常检测、隐蔽通道等检测模型并关联检测出高级威胁无法关联分析风险：无法通过挖掘事件之间的关联和时序关系，从而发现有效的攻击。三、威胁事件响应不及时防御不闭环：不具备事件处置和设备联动能力，发现威胁不能及时对防火墙、安全控制器、网络控制器和终端EDR等安全设备进行联动，下发阻断策略

25、。威胁判定不能自动响应处置：不能针对不同攻击场景编排自动化的调查取证和告警联动，实现安全事件的自动化处置闭环。企业或组织网络安全现状分析企业或组织通常已部署专业的防火墙、IPS、终端安全软件、SOC/SIEM等安全防护产品，能够针对传统或已知威胁实现防护。然而以安全策略、签名、日志分析为中心的传统安全防御手段只能识别已知威胁，且存在应对快速演进的威胁检出时间滞后的弱点。数据驱动安全协同，已在安全产业应对APT攻击方面达成了技术共识，尤其是针对高级威胁的发现，需要将多维度检测技术、大数据分析技术和威胁情报技术结合起来。华为APT防御解决方案针对网络行为进行分析，实现完整的网络可视化，借助机器学习

26、和人工智能技术洞察网络中的高级威胁，旨在帮助客户解决以下问题：根据对企业网络安全面临的实际情况选择填写资产管理风险：无法对资产进行精准识别从而减少攻击面，无法全面了解网络资产现状，发现存活资产、资产风险状况。被动防御风险：无有效手段主动发现黑客恶意威胁行为，提前感知业务系统、终端主机、应用服务等可能遭受的攻击情况和趋势，进行提前防御，从而转被动防御为主动防御。无法感知全网安全态势：无法直观展示企业在全球范围内面的威胁和最近发现的威胁事件，方便安全运维分析人员能及时发现威胁、预判全网安全走势。威胁事件不能精准检测风险：无法通过机器学习技术针对APT全攻击链中的每个步骤，渗透、驻点、提权、侦查、外

27、发等各个阶段进行检测，建立文件异常、mail 异常、C&C异常检测、流量异常、日志关联、web 异常检测、隐蔽通道等检测模型并关联检测出高级威胁无法关联分析风险：无法通过挖掘事件之间的关联和时序关系，从而发现有效的攻击。防御不闭环：不具备事件处置和设备联动能力，发现威胁不能及时对防火墙、安全控制器、网络控制器和终端EDR等安全设备进行联动，下发阻断策略。威胁判定不能自动响应处置：不能针对不同攻击场景编排自动化的调查取证和告警联动，实现安全事件的自动化处置闭环。网络分析通过与XX企业进行深入的交流，我们对其网络进行了充分的了解与分析。XX企业网络现状此部分主要包括两个部分：1XX企业内部组网图，

28、如果企业是新建网络，则提供没有HiSec Insight设备的组网图，用来进行组网方案的分析。2XX企业内部网络所承载的业务，主要是内部业务以及出口网络业务。XX企业网络业务分析给出现网的业务流分析图，使得客户对现有网络安全问题理解的更加清晰XX企业面临的网络威胁分析网络分析需要客户结合业务以及态势感知的核心价值给出具体分析：1XX企业或组织面向外网的Web Server、邮件服务器等被攻击后，无法感知到攻击者的下一步动作，如扫描内网其他服务器或桌面终端；2XX企业或组织现有的邮件过滤系统基于垃圾邮件地址库，而攻击者采用钓鱼邮件的方式攻击受害者，邮件正文中包含恶意URL、邮件附件中嵌入漏洞利用

29、代码，传统的邮件过滤检测难以奏效；3XX企业或组织目前的安全防御/检测设备无法识别0-Day、N-Day漏洞，未知恶意文件的攻击；4XX企业或组织现有安全设备无法分析攻击者控制受害机器的过程中，对于可疑连接的分析能力；5XX企业或组织现有安全设备是基于安全策略及特征库匹配的检测方式，无法分析被攻击者盗取的没有明显指纹特征的企业内部关键数据；6XX企业或组织现有安全防护体系不具有安全态势呈现、威胁分析与检测、溯源分析、情报与响应等多个安全运维能力，从而不能帮助企业从源头上解决安全防御问题；7XX企业或组织现有安全防护体系不具有使用大数据技术帮助企业提升海量数据存储、分析、检索能力。8. XX企业

30、或组织现有安全防护系统无法准确识别现网的网络资产，对资产存在高危漏洞以及脆弱性风险无法准确掌握，容易成为黑客入侵的突破口。9XX企业或组织现有防护体系在发现威胁之后无法快速联动防火墙、交换机、终端EDR等安全和网络设备，无法做到网络和安全联动协防，及时阻断威胁的进一步扩散。10. XX企业或组织现有防护体系不能针对不同攻击场景编排自动化的调查取证和告警联动，实现安全事件的自动化处置闭环，对于威胁事件的处置效率较低。企业安全态势感知解决方案XX企业安全态势感知系统整体方案：华为安全态势感知解决方案整体架构华为安全态势感知整体解决方案致力从软件定义防御，到软件定义检测、软件定义响应和智能运维的升级

31、。方案以安全分析器（安全态势感知系统HiSec Insight）为核心，横向使能“一整张网络”，南向使能全网多厂商安全设备和软件，北向开放对接主流云平台，实现以业务驱动的云、网络和安全的上下协同，并以“威胁入侵意图”学习为核心，动态定制采集和检测，基于AI的机器学习创新对恶意文件、C&C、内部流量异常的主动分析，使能全网神经末梢节点自动快速遏制威胁，帮助客户提升安全分析和运维的智能化、自动化程度，解放管理员简化安全运维，提升用户体验，减少专业安全人力投入和依赖，保护客户关键基础设施稳固，业务永续。安全分析器相当于“大脑”，以HiSec Insight安全态势感知系统为核心组件，该组件具备对包括

32、高级可持续威胁（APT）在内的各类安全威胁，可基于大数据技术进行精准检测、态势感知、Kill-Chain溯源等。辅助的分析器还包括FireHunter沙箱，能够实现50余种常见文件类型检测，基于动态行为的捕获和学习，可实现对“灰色”文件的判断，并联动执行器进行智能处置。安全控制器相当于“中枢神经”，以华为SecoManager安全控制器为核心组件。该组件定位于面向多租户的全生命周期安全策略管理、业务编排。可以获取SDN控制器拓扑和资源管理输入，结合分析器的智能检测结果，以及从采集器中收集的数据，对执行器进行业务管理和策略优化。安全执行器/采集器 相当于“四肢”，执行器/采集器主要负责安全防御动

33、作的采集上报和执行。上报的形式可能包括Syslog日志、事件、Metadata、NetFlow、漏洞、信誉等等，执行的动作可能包括告警、阻断、报表呈现、短信通知等等。执行器/采集器包括三种主要形态：以交换机、路由器为代表的网络设备，以防火墙为代表的专业安全设备，以及以探针为代表的第三方网元。安全态势感知系统在整体方案中的作用华为发布的安全态势感知整体解决方案以安全态势感知系统HiSec Insight为核心。相比传统防御方案，此方案通过全网监控，对网络行为数据进行深度钻取，及早发现威胁，及时闭环处置。其中华为安全态势感知系统HiSec Insight价值如下：首先，华为安全态势感知系统HiSe

34、c Insight将大数据分析能力引入到安全，采用基于AI的深度神经网络算法和机器学习技术，实现从被动防御向主动防御的转变。解决传统基于签名的静态分析手段无法有效地检测新型高级威胁的痛点。其次，华为安全态势感知系统HiSec Insight可以采集来自执行器各个网络设备、安全设备的日志信息，面对威胁在内网的横向传播，安全态势感知收集网络信息到大数据平台进行大数据挖掘、机器学习分析，如果发现威胁，将快速给网络和安全设备下发联动指令，防止内部横向扩散，实现从单点防御到全网防御的转变，达到“网络+安全”全网防御方案。最后，为应对大量的告警事件，企业网络安全人员需要执行一系列的取证、验证、处置、通知等

35、动作，态势感知系统的自动化响应编排功能通过已经编排好的剧本，可以帮助企业快速的自动化闭环事件，实现从人工运维到自动化处置安全事件的转变。安全态势感知解决方案总体架构 安全态势感知系统总体框架态势感知平台采用采集层、数据层、安全分析层和业务层的四层逻辑架构设计，以自动化平台运行维护系统和安全技术服务体系为保障。各层级以及模块之间的功能设计具有相对的独立性，使整个系统具有较高的扩展性。采集层为实现安全态势感知平台的价值，需要通过日志采集器对数据源包括网络设备日志、安全设备日志、终端设备日志、资产数据、情报数据、用户数据等相关的基础数据进行采集和归一化处理，上报给大数据平台。除了日志数据，同时需要通

36、过流量探针以镜像的方式对网络流量数据进行采集，包含对网络全流量的分析、协议深度解析、文件还原，将生成流量元数据、Netflow日志、基础告警日志上报给大数据平台，为后续的应用系统开发提供基础支撑。数据层数据层包括对采集的元数据和基础数据进行数据预处理、分布式存储和分布式索引，以及根据业务需求建立的黑客画像库、资产指纹库、威胁情报库，为上层业务应用提供服务。数据层存储xx企业的所有安全业务相关数据，以大数据集群的方式进行分布式存储。随着业务的不断扩展和数据的增长，大数据平台所存储数据自身的安全和大数据平台的扩展性将变的非常重要。因此大数据平台应采用商务的大数据平台保证数据的安全、稳定性、扩展性。

37、以免造成数据的丢失和业务扩展后的稳定性。大数据平台预处理负责对采集器上报的归一化日志和流量探针上报的流量元数据进行格式化处理，补充相关的上下文信息（包括用户数据、地理位置信息和区域信息等）。分布式存储负责将格式化后的日志、流量元数据进行存储，区分不同类型的异构数据（归一化日志、流量元数据、PCAP文件）进行分类存储，分布式存储的数据主要用于威胁分析与检测和威胁可视化。分布式索引负责对关键的格式化数据建立索引，为威胁调查分析提供基于关键字的快速检索服务。安全分析层安全分析层对多种数据源进行分析，流量元数据，通过基于AI的机器学习算法和大数据挖掘算法用于C&C检测、隐蔽通道检测、Mail检测等；日

38、志用于日志关联分析；netflow用于流量异常分析；在mail异常、隐蔽通道异常检测中，结合文件信息，帮助判断是否异常。以时间、空间、IP等信息为关联，安全态势感知系统将单点异常事件进行关联并综合评估，得出攻击链，并进行高级威胁判定。应用层应用层承载上层安全业务应用系统，为用户提供具体业务应用，包括态势感知、安全监测、调查取证、智能检索、专项分析、自动响应编排、资产风险管理、威胁报表等应用功能。应用层主要功能作用介绍如下。安全态势感知：通过威胁地图直观展示企业在全网范围内面临的威胁和最近发现的威胁事件，方便安全运维人员及时发现威胁。同时，安全运维人员可以从恶意文件/邮件、恶意/可疑域名和受威胁

39、主机等多个维度直观查看威胁分析的结果，从而帮助安全运维人员有效洞察企业面临的威胁。安全监测：安全监测将检测出的威胁事件根据攻击的各个阶段进行威胁等级占比、事件统计、攻击链分析、区域威胁分析等可视化汇总。当某些威胁事件频繁发作时，威胁事件详情列表中会出现大量相似信息。为了更清晰查看具体的威胁，应将威胁事件进行聚合。将短时间内发生的相关事件聚合为一条信息展示，方便安全管理员筛选查看。威胁事件的作用是展示网络中的威胁事件的详情和攻击路径。可以根据事件详情中提供的信息来进行威胁分析取证，并采取相应措施处理威胁。专项分析：从威胁事件、邮件和文件多个分析维度呈现攻击扩散路径和影响范围，有效呈现高级威胁的多

40、个攻击阶段，包括：外部渗透阶段、命令与控制阶段、内部扩散阶段、数据窃取阶段等。同时清晰呈现来自不同地区的外部攻击源/命令控制服务器和企业内部受到危害和影响的主机。智能检索：提供了一个基于关键字条件快速查询的页面，运维人员进行调查取证分析时，可通过输入的关键字条件快速检索到相关的日志数据和流量元数据，并可以进一步查看日志和流量元数据的详细信息。自动响应编排：针对不同攻击场景编排自动化的调查取证和告警联动，实现安全事件的自动化处置闭环。安全响应编排是将不同系统或一个系统中不同组件的安全能力通过Playbook按照一定的逻辑关系整合到一起，用以实现某个或某类威胁事件的自动化处置闭环的过程。威胁报表：

41、威胁报表包括：日报、周报和月报任务，定期生成前一自然天、前一自然周、前一自然月的威胁报告。对于要汇报或查看针对特定时间段内的网络安全状况，支持自定义时间段即时生成威胁报告。资产风险管理：资产管理模块可以自动的识别网络中存在的资产，同时将识别到的资产信息根据资产类型、资产价值、受威胁程度、接入时间等多维度管理。同时资产可以结合漏洞信息发现资产存在的高危漏洞、高危端口、弱口令等资产风险信息自动进行风险打分，呈现高风险资产以及资产特征画像。通过查看资产威胁度，随时关注这些资产的状态，及时消除关键资产面临的风险，降低资产的威胁度。云端服务威胁的判定需要借助云端的威胁情报和沙箱检测服务进行综合威胁分析和

42、判断。安全智能中心从全球采集恶意样本，分析转化形成安全特征库，为用户的网络安全保驾护航，形成积极主动的安全防御体系，定期及时的提供升级特征服务，如：IPS专业安全团队密切跟踪全球知名安全组织和软件厂商发布的安全公告，同时和业界专业安全研究厂商合作，对这些威胁进行分析和验证，生成保护各种软件系统（操作系统、应用程序、数据库）漏洞的特征库； AV和文件信誉特征库团队通过部署的信息搜集系统搜集样本，同时和业界顶尖的安全公司合作，交换丰富恶意样本，定时的生成病毒特征库。恶意域名签名库团队通过部署的沙箱环境和自动化的样本培植环境，自动获取C&C通信恶意域名，生成恶意域名特征库。XX企业安全态势感知系统部

43、署方案XX企业安全态势感知系统部署方案在总部，HiSec Insight安全态势感知集群及日志采集器探针部署在管理区，采集器负责采集总部的网络/安全设备上报的日志。流量探针部署在企业总部的核心区域、办公区域以及分支出口，负责监控/还原总部、分支互联网出口以及核心区的访问流量。沙箱部署在总部的核心区域、办公区域以及分支出口，负责对流量探针还原出的文件进行恶意行为检测，并将检测的结果上报至安全态势感知平台。部署在总部管理区的安全态势感知集群，基于总部/分支机构采集的日志和流量数据进行网络异常行为检测，将检出的高级和未知威胁通过可视化的方式呈现给企业安全运维人员。值得说明的是，沙箱可以与流量探针联动

44、，流量探针将还原出的文件送至沙箱检测，同时沙箱自身也具备流量还原及文件提取能力。结合项目规模，预算充足的情况下建议探针与沙箱成比例部署，预算有限的情况下多台探针对应单台沙箱部署，当然需要结合考虑客户网络的实际业务情况及流量带宽等因素。部署要点如下：在Internet边界、分支分别部署流量探针、沙箱，结合项目具体情况灵活配置沙箱及流量探针规模；在管理区部署HiSec Insight安全态势感知集群和日志采集器，企业网络中的SOC或网元可以将日志送至管理区的日志采集器，日志采集器也可以灵活部署在其他业务区域；在网络边界部署NGFW/NGIPS等安全设备；在办公区和核心区分别部署沙箱和流量探针，结合

45、项目具体情况灵活配置沙箱及流量探针规模；通过防火墙等安全设备检测已知威胁；通过HiSec Insight安全态势感知集群、流量探针、沙箱、日志采集器，检测未知威胁；HiSec Insight安全态势感知联动防火墙等执行组件阻断APT攻击；可视化呈现全网安全态势。安全态势感知系统建设安全态势感知系统采集丰富的网络数据，利用大数据分布式存储、索引、计算技术洞悉网络中异常行为的蛛丝马迹。检测能力涵盖基于网络流量的异常行为分析、基于文件的异常主机行为与网络行为检测、基于流日志的自适应基线检测以及基于日志的关联分析等。安全态势感知系统连接云端情报系统，作为客户针对威胁事件进行速快速调查取证的参考之一。同

46、时，安全态势感知系统可以同防火墙、交换机、终端EDR进行联动，使得系统具备发现威胁的同时具备阻断恶意流量的能力。多种技术相互融合，形成一个多维立体威胁防护体系，如图。安全态势感知系统工作流程数据采集建设方案日志采集功能介绍日志采集无码化态势感知系统在数据接入阶段要进行不同厂商、不同类型设备日志信息的适配和解析工作，传统的日志适配方法需要在每个版本中都需要投入大量的人力来做解析工作。随着接入的日志种类越来越多，配置文件缺乏统一的管理，无法现网及时升级，易用性差，更新周期长。安全态势感知系统采用无码化日志采集和适配，可以通过配置页面快速适配第三方日志，支持JSON、Syslog、CSV等数据格式。

47、并可以自定义输出数据格式，日志接入任务状态可见。采用页面规则配置，支持即时接入第三方日志，无需发布版本，做到日志快速适配，并且可以根据实际日志解析情况进行规则调整。采集器状态、各部分处理数据量页面可见，方便状态监控和问题的定位具备负载均衡功能，提高采集器设备资源利用率采集器兼并预处理部分功能，直接对接数据总线，降低了部署成本，避免了预处理没有高可用带来的数据丢失情况。支持页面规则的导入导出，使规则可复用 架构方案日志采集架构图功能指标日志采集方式 支持采集安全设备/软件上报的Syslog日志，Syslog接入协议支持Syslog UDP、Syslog TCP及Syslog TLS三种方式；支持

48、采集网络/安全设备上报的Netflow V9格式数据；支持采集第三方系统上报的Avro格式数据；支持通过Restful采集第三方系统的日志及漏扫结果数据；日志接入配置支持配置日志规则集，包括配置日志来源、采集方式、日志类型等；支持配置接入的日志源，包括配置TCP/UDP日志源、AVRO日志和REST日志源；采集日志采集器管理，包括日志采集的收发状态和为采集器划分区域。支持配置日志解析规则实现无码化日志对接，包括配置日志分类、字段提取规则等，方便运维人员通过界面快速适配第三方文本格式日志；流量采集功能介绍流量采集是对网络安全实时监测、恶意文件检测、恶意行为取证以及后续的大数据关联分析的重要基础数

49、据源。流量采集一般以端口镜像的方式通过流量探针完成，流量探针部署在企业总部的核心区域、办公区域以及分支出口，负责监控/还原总部、分支互联网出口以及核心区的访问流量。网络全流量的分析、协议深度解析、文件还原，将生成流量Metadata数据和日志数据发送到安全检测感知系统进行分析，其中Metadata分为三种：三四层Metadata、应用层Metadata和文件Metadata。信息包括但不限于：（1）三四层Metadata数据：解析流量统计信息，包括流量五元组信息、包长度信息和Payload信息。（2）应用层Metadata数据：主要包含各类应用协议解析信息，如下：HTTP协议解析：解析HTTP

50、 0.9, 1.0, 1.1版本的应用协议信息，包括请求主机名、应答码、Refer、User-Agent、请求URL、上传/下载的文件名；邮件协议解析：解析SMTP/POP3/IMAP4的应用协议信息，包括收件人、发件人、邮件主题、邮件附件名称、邮件正文；DNS协议解析：解析DNS流量的应用协议信息，包括请求的域名/IP、RR类、RR类型、资源记录缓存时间、响应延迟、资源记录中的IPV4/IPV6地址TLS协议解析：解析TLS流量的应用协议信息，包括TLS版本信息、TLS证书相关信息、客户端请求的服务名、TLS客户端/服务端的加密套件信息、TLS客户端/服务器端选择的extension列表。（

51、3）文件Metadata数据：报文样本：应用软件产生流量的协议识别与解析日志。PCAP包：按照抓包规则针对重点IP进行抓包，并保存成PCAP文件。IPS检测到攻击时捕获攻击会话报文并生成PCAP文件。（4）日志数据Netflow日志：带协议编号的通联日志，包含五元组信息和报文数量信息；恶意代码日志：接入流量中的恶意代码流量识别和感染、传播行为检测日志。处理流程流量采集模块处理流程原始数据接入之后通过流还原重组生成流数据，通过数据识别和协议识别生成被标记数据和指定种类数据；通过流数据和指定种类数据生成Metadata数据和日志信息，将以上日志转发至大数据中心；协议解析识别出文件协议数据进行文件还

52、原并生成文件还原日志，其中对被特定规则命中的数据pcap进行留存；性能指标支持不少于6000余类应用协议的识别和解析；应用协议有效识别率不低于95%。资产探测信息采集功能描述随着网络空间中资产的增多，要求态势感知系统能够迅速帮助用户探测到存活的资产，并发现存在且潜在的安全问题。这就要求系统可以快速检测目标范围、准确识别资产指纹信息，具备漏洞和脆弱性检测能力，并提供灵活的资产检索能力，可以快速了解资产属性、定义关键资产、明确资产风险。态势感知系统以高性能的检测引擎（资产探测引擎、指纹检测引擎、POC检测引擎）为基础，全面的资源库（资产指纹库、系统扫描规则库、POC规则库）为支撑，实现对网络中资产

53、识别发现与资产安全排查。节点探测节点探测指采取主动的方式，在获取探测目标范围后，基于探测识别引擎和专用探测载荷主要实现对IPv4网络的存活性普查、节点属性识别和脆弱性分析；探测过程中，通过构造数据包进行探测，分析响应数据，判断目标范围中资产及端口的存活状况、防护状况。 指纹探测节点探测发现的存活资产及端口中，可能存在很多潜在的安全问题，所以需要指纹信息与其匹配。指纹库包含设备类型、资产属性、网站类型、网站插件、地理信息等，通过指纹对其基本信息进行匹配；探测手段涵盖了当前所有的通用协议，能够针对不同的协议构造数据包，并分析其响应，确保了指纹信息的准确性。POC探测在资产发现过程中，漏洞的准确性、

54、覆盖率格外的重要，因此POC探测作为重要的功能之一，能够准确地对目标进行检测，发现其存在的漏洞。通过对资产指纹数据进行分析，发现其潜在风险，然后选择POC规则进行检测，确认漏洞是否真是存在。探测设备类型序号类型指纹1打印机打印机类型2物联网摄像头、监测装置等3操作系统操作系统类型4网站模块网站模块类型5安全软件反向代理服务器类型6编程语言编程语言类型7程序框架程序框架类型8重要应用程序分享模块类型9云应用云评论类型10统计模块统计模块类型11网络设备网络设备类型，包含交换机、路由器等设备12安全设备网络安全设备，包含防火墙、VPN、UTM等设备13数据库数据库及其国产数据库14工控设备工控设备

55、类型，15加密相关加密设备或者和加密模块，VPN16安全检测平台安全检测平台类型17项目管理类著名项目管理类型18服务器管理服务器管理类型19企业管理企业管理类型20中间件所有中间件相关指纹21应用层防护WAF、负载均衡等应用层防护设备22CMSCMS类型23IoT类视频监控类型及IoT类24邮件系统邮件系统类型25站长平台站长平台类型26OA系统OA系统类型27其他其他性能指标支持大于20类设备指纹，指纹库中包含指纹数量大于10万个网络设备：支持不少于6个品牌20以上种型号路由器/交换机，包含不限于Cisco、华为、Juniper、H3C、锐捷、中兴等厂商的主流路由器型号。安全设备：网络安全

56、设备支持80个品牌上百种以上指纹侦测，至少包含华为、Cisco、Juniper、天融信、启明星辰、网域星云、网神、F5、梭子鱼、Checkpoint、Redware等厂商。IOT设备：物联网设备支持至少80个品牌100种以上物联网设备指纹，包含摄像头、门禁卡、电梯系统、IP电话系统等，至少包含大华、海康等品牌的主流型号。工控设备：支持20多个品牌，20种以上工控厂商的指纹识别，包含西门子、ABB、Holeywell、MOXA、施耐德、亚控科技、研华、Rockwell、松下、GE、德国JANITZA、斯赫曼、SAMSUNG、艾默生EMERSON能源、COGENT、马来西亚ECAVA、资金桥、罗杰

57、康RUGGEDCOM、MEINBERG、PACT、思科等。漏洞发现信息采集系统功能漏洞发现功能从数据采集系统中获得资产信息和应用层协议的资源地址，以此对重要信息系统设备和系统本身进行漏洞的被动分析和主动探测，实现系统扫描、Web扫描、数据库扫描、基线扫描及弱口令等多项功能。利用被动采集对资源地址，对被保护网络内的设备采取主动方式进行深度漏洞分析，发现网络中的漏洞安全隐患。在重大高危漏洞爆发初期，实现对网络中漏洞威胁分布情况的快速发现，缩短应急响应时间，降低漏洞攻击对重要信息系统的安全威胁。系统流程 漏洞发现系统流程图数据处理流程根据扫描任务发送漏洞检测报文到被检测设备执行漏洞探测被检测设备回复

58、响应报文漏扫设备根据响应报文判断是否存在漏洞输出漏洞探测结果性能指标漏洞库特征库不少于60000条；特征库涵盖标准包含CVE、CVSS、CNVID、CNNVD、CNCVE、Bugtraq5种支持SSH、SMB、TELNET、POP、POP3、IMAP、FTP、RSH、REXEC、WSUS、SNMP、RDP的登录扫描。数据层建设方案数据治理数据预处理原理数据预处理负责对采集器上报的归一化日志和流探针上报的流量元数据进行格式化处理，补充相关的上下文信息（包括用户、地理位置和区域），并将格式化后的数据发布到分布式总线。对采集器/流探针上报的数据进行清洗、过滤、关联和富化，为日志/流量元数据补全上下文

59、相关信息（例如地理信息、用户信息、租户信息等），满足态势感知、调查取证和威胁检测对数据的要求。分布式存储原理分布式存储负责对格式化后的数据进行存储，针对不同类型的异构数据（归一化日志、流量元数据、PCAP文件）进行分类存储，分布式存储的数据主要用于威胁检测和威胁可视化。考虑到可靠性和高并发性能的要求，分布式存储的数据保存在多个检测/存储节点，并且可以按需扩展存储节点。分布式索引原理分布式索引负责对关键的格式化数据建立索引，为可视化调查分析提供基于关键字的快速检索服务。分布式索引采用了多实例自适应的索引技术和时间片抽取的分层索引结构，索引数据保存在多个检测/存储节点，提供了高可靠性和高并发索引能

60、力，支持按需弹性扩展索引。元数据管理元数据是描述数据的数据，数据采集、解析、预处理、存储以及分析过程都需要基于元数据开展。元数据配置负责不同类型安全数据集合的定义，支持元数据的新增和检索，运维人员可以针对不同数据处理场景定义不同类型的元数据。数据字典配置负责维护元数据的标准属性，标准属性用于描述元数据字段的相关信息，例如字段的类型、长度、描述信息等。通过字典属性字段的统一维护，提升元数据属性的复用性，支持元数据属性的横向扩展，运维人员可以根据新接入的日志数据扩展标准字段属性。数据源配置负责维护不同数据源的定义，用于设置元数据所描述数据的连接信息，支持的数据源包括Kafka、HDFS等Pipel