国家信息中心政务外网大数据安全分析技术方案

国家信息中心电子政务外网大数据安全分析与预警平台建设方案北京瀚思安信科技有限公司

目录1. 概述 61.1. 项目背景 61.2. 项目目标 62. 安全风险分析 72.1. 网络安全风险 72.1.1. 网络病毒威胁 72.1.2. 数据泄露的风险 82.1.3. 内部局域网的安全威胁 82.2. 主机安全风险 82.3. 应用系统安全风险 92.3.1. 数据库系统平台风险分析 92.3.2. 中间件系统平台风险分析 102.3.3. 网站系统平台风险分析 103. 方案设计原则 114. 参考标准 115. 安全模型 126. 技术方案设计 126.1. 平台架构 126.2. 不同网络区域的安全威胁应对之道 146.2.1. 互联网出口 166.2.2. 互联网区数据中心 196.2.3. 公共区数据中心 226.3. 大数据安全分析应用 256.3.1. 调查取证 266.3.2. 关联分析 306.3.3. 机器学习 326.4. 数据采集和预处理 336.4.1. 采集范围和方式 336.4.2. 数据预处理 366.4.3. 数据源要求 376.5. 数据存储 426.5.1. 数据底层存储架构设计 426.5.2. 数据逻辑架构设计 426.5.3. 对存储量及性能的设计 446.6. 资产管理 456.6.1. 资产管理功能设计 466.6.2. 基础信息 476.6.3. 安全域态势 486.6.4. 网络资产梳理 486.7. 统计分析 496.8. 知识库和威胁情报分析 506.9. 告警响应 516.10. 事件处置 536.10.1. 安全事件分类 536.10.2. 安全事件分级 546.10.3. 安全事件处理流程 556.10.4. 工单系统 556.11. 安全信息可视化 566.11.1. 领导视角 576.11.2. 安全分析人员视角 596.11.3. 运维管理员视角 657. 实施部署 687.1. 系统部署 687.2. 性能设计 697.3. 软硬件清单 697.4. 项目团队 707.5. 实施周期 707.6. 项目管理 718. 方案总结 718.1. 方案优势 718.2. 后续规划 72

概述项目背景电子政务外网是我国政府信息化建设的关键，随着政府部门信息化程度的提高，对信息系统的依赖程度越来越高。同时，整个电子政务外网的信息系统所面临的各种安全风险也日益严重，如何更好地为电子政务外网和电子政务信息系统提供安全保障，确保电子政务外网的安全运行和信息化的健康发展是国家信息中心电子政务网络和信息系统建设所面临的一个主要问题。根据电子政务外网的主要功能和独特的安全需求，结合国家相关政策，建立国家信息中心电子政务外网的安全管理平台，强化信息系统基础平台的安全管理，建设可信的信息系统环境，为国家信息中心的各类信息系统的安全、可靠、稳定、高效的运行提供良好的基础和强有力的保障。项目目标通过大数据安全分析和预警平台的建设，建立国家信息中心电子政务外网安全监控信息汇总枢纽和信息安全事件风险协调处理中心。大数据安全分析和预警平台负责监控区安全信息的收集、汇总、分析与展示，对电子政务外网的互联网出口、互联网区数据中心和公共区数据中心进行实时监控和威胁分析，以及对各相关部委的安全事件协调处置和统一指挥调度。深化已建设信息安全项目的持续提升、提高IT资源防护水平，有效弥补电子政务外网信息安全风险管理的全局可知、可辨、可控、可管与可视能力，提升信息安全风险事件处置水平与信息安全运维效率，提高对国家信息中心电子政务外网信息安全宏观态势的掌控、分析和评估水平。具体实现以下目标：整体和局部的安全状况可视可对国家信息中心电子政务外网的安全状况进行可视化的展现，包括整体、局部、不同区域、不同的单位、不同人员视角多维度。通过大数据安全分析平台可掌握安全状况如何。未知威胁和异常行为的检测分析支持从各种数据源产生的海量的告警、日志、其他数据中及时关联分析出重要紧急的安全事件，通过大数安全分析平台统一告警。对安全事件进行分类分级响应建立安全事件分类分级响应机制，通过大数据安全分析平台和工单系统对安全事件分类分级响应。安全事件的取证溯源当发生安全事件或进行检查时，通过大数据安全分析平台可快速的进行相关事件的长周期全文溯源取证。整体和部门的安全报表报告可提供整体和部门的安全报告报表，作为工作汇报总结和决策支撑的依据。安全风险分析网络安全风险由于和外网互连后，病毒、攻击者可以将攻击或病毒携带在EMAIL、网页里，P2P软件里，社交媒体里传播进入内部网，通过内部人员上网的正常过程来感染内部客户机，这样就会出现大量数据流量，内部访问速度变慢的情况，严重的会直接导致交换机崩溃，所有网络通讯停止。除了Internet，实际上外部的其它网络，由于不可控制，如果不注意安全防护，安全风险并不比Internet少，这也是种网络互联的风险。所以，将与外部网络互联的安全威胁列为国家信息中心信息系统网络中的头号风险。网络病毒威胁网络是病毒传播的最好、最快的途径之一，病毒程序可以通过网页浏览、网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。病毒的传播途径如此众多，传播速度如此之快，因此，病毒的危害是不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。国家信息中心信息系统的网络（现状）比较庞大，各级网络之间均存在路由可以相互访问。一旦有任何一个网络中的任何一台主机感染病毒，都将非常迅速地在整个网络中传播。数据泄露的风险各种信息资源的访问控制要建立在可靠的身份鉴别之上。国家信息中心信息系统的网络内未采用集中的证书认证系统，客户端对业务数据库的访问，几乎都是采用的用户名、口令方式，完全有可能因为口令泄漏、口令脆弱等各种原因导致身份假冒，从而使原有的访问控制措施失去效力。并且远程管理也通过明文传输协议TELNET，FTP，SMTP，POP3，这样任何一个人都可以在内部窃听数据，通过简单的软件还原数据包，从而获得机密资料以及管理员口令，威胁所有服务器安全。内部局域网的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络。如内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；内部不怀好意员工编写破坏程序在内部网上传播；内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都将对网络安全构成很大的威胁。从国家信息中心组织架构上看，既不可能有一个管理中心来保证所有各级网络的安全性，又不可能有效管理每一个员工的网络行为，因此，采用某种手段来防范来源于内部的风险就显得特别重要。主机安全风险国家信息中心信息系统中可能存在的主机安全风险如下：非法外联通过双网卡、WIFI、3G、蓝牙、红外等方法进行非法外联造成内外网联通的风险；木马病毒主机感染木马病毒的风险；系统漏洞主机存在被黑客利用的系统漏洞的风险；外设违规使用通过使用U盘、光盘等外接设备造成的安全风险；一机两用访问互联网的主机与访问内部网络的主机混用，造成信息安全风险；应用系统安全风险国家信息中心信息系统的应用系统由数据库系统平台、中间件系统平台和国家信息中心信息系统的网站系统平台组成等。因此，对应用系统安全风险的分析也就是对各种系统平台的安全风险分析。数据库系统平台风险分析数据库系统一般可以理解成两部分：一部分是数据库，按一定的方式存取数据；另一部分是数据库管理系统，为用户及应用程序提供数据访问，并具有对数据库进行管理、维护等多种功能。随着计算机在社会各个领域的广泛应用，信息系统中的数据库管理系统担负着集中处理大量信息的使命，但是数据库通常没有像操作系统和网络那样在安全性上受到重视。数据完整性和合法存取会受到很多方面的安全威胁，包括对数据库中信息的窃取、篡改和破坏，计算机病毒、特洛伊木马等对数据库系统的渗透、攻击，系统后门以及本身的安全缺陷等。数据库系统平台是应用系统的核心，其面临的安全风险包括：偶然的、无意的侵犯/或破坏。自然的或意外的事故。例如地震，水灾和火灾等导致的硬件损坏，进而导致数据的损坏和丢失。硬件或软件的故障/错误导致的数据丢失。硬件或软件的故障/错误导致可能导致系统内部的安全机制的失效，也可导致非法访问数据或系统拒绝提供数据服务。人为的失误。操作人员或系统的直接用户的错误输入、应用系统的不正确的使用。蓄意的侵犯或敌意的攻击。授权用户可能滥用他们的权限，蓄意窃取或破坏信息。病毒。病毒可以自我复制，永久的或通常是不可恢复的破坏自我复制的现场，到达破坏信息系统、取得信息甚至使系统瘫痪。特洛伊木马。一些隐藏在公开的程序内部收集环境的信息，可能是由授权用户安装（不经意的）的，利用用户的合法权限窃取数据。隐蔽通道。是隐藏在合法程序内部的一段代码，在特定的条件下启动，从而许可此时的攻击可以跳过系统设置的安全稽核机制进入系统，以达到窃取数据的目的。信息的非正常的扩散。对信息的非正常的修改，包括破坏数据一致性的非法修改以及删除。绕过DBMS直接对数据进行读写。中间件系统平台风险分析对于中间件的安全风险主要是在网络互连及数据通信过程中来自不速之客的非法性动作，主要有非法截取阅读或修改数据、假冒他人身份进行欺骗、未授权用户访问网络资源等。网站系统平台风险分析网站的常见风险包括：拒绝服务攻击；端口扫描；篡改网站主页；非授权用户访问；冒充合法用户的访问；Web服务器主机的详细信息被泄漏；Web服务器私人信息和保密信息被窃；利用Bug对Web站点进行破坏；方案设计原则易扩展性原则系统具备良好的可扩展性，支持未来随着用户容量的增加和业务扩容。系统具备灵活的体系架构，支持对新系统接入的快速响应。系统应考虑到升级、扩展以及与其它应用系统的接口能力。产品具有良好的扩展性，能够快速响应需求的扩展，满足买方的进一步需要。开放性，兼容性原则设计规范、技术指标及产品均要符合国际和工业标准，并可提供多厂家产品日志的支持能力。安全性原则系统开发、建设及维护的全过程中，在代码安全、数据保密、系统安全防护措施上采取较严格的措施，进行缜密的权限、身份、帐号与信息加密管理，以保证系统和数据的安全。管理、操作、易维护性随着信息系统建设规模的不断扩大，系统的可管理性已成为系统能否实施的关键，系统必须具有了友好的用户界面，操作简单、直观、灵活，易于学习和掌握。参考标准本方案制作过程中主要参考了以下标准：《国家电子政务外网安全等级保护实施指》GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》ISO27001（信息安全管理体系标准）GB/Z20986（信息安全技术信息安全事件分类分级指南）安全模型本方案采用以大数据安全分析平台为核心的新型安全模型，安全模型如下图：基于传统安全设备的纵深防御模型是基础；基于大数据技术的实时异常行为检测和持续监控是核心；外部安全威胁情报是重要组成部分；人员和流程是关键要素；技术方案设计平台架构大数据安全分析和预警平台采用业内先进的分布式文件系统和HadoopSpark大数据计算框架，通过采集国家信息中心所有IT基础设施数据，利用机器学习、数据建模、行为识别、关联分析等方法对企业内所有机器数据进行统一分析，实现对网络攻击行为、安全异常事件、未知威胁的发现和告警。系统采集网络设备、安全设备、主机、应用系统等日志数据存储到Elasticsearch中（Elasticsearch是一种基于分布式架构的文件系统，擅长存储海量文件，可以处理结构化和半结构化数据），Elasticsearch提供了数据的存储及全文检索，在此基础上通过HadoopSpark对长周期海量日志进行：关联分析、匹配规则、机器学习、数据建模、基线和模式识别等手段进行分析，同时将来结合瀚思的安全情报中心推送的威胁情报对企业内用户、网络和应用进行异常行为检测，从而发现隐藏的威胁和异常行为。系统架构如下图所示：具体建设思路如下：1、重点网站和重要信息系统安全监测功能，利用安全检查工具实现对互联网网站和信息系统的全方位安全监测。及时获取重点网站及信息系统的安全漏洞。2、重点网站网络安全防护管控功能，由政务网站单位将纳入管理的各个重点网站和系统的相关边界防护设备的状态和系统运行日志发送到本系统平台，对承载纳入管理的重点网站和重要信息系统IT计算环境中的相关网络设备、安全设备、主机和服务器、服务和应用系统，以及其它安全管理涉及的设备进行监控，对系统安全运行维护状况进行监测，对入侵和恶意访问数据进行采集分析。3、对政务外网进行防护数据采集分析功能，依托于互联网接入服务商现有设备的基础上，增设防护设备。对出入政务外网的恶意数据和恶意访问行为进行清洗采集分析。4、建立监管部门与被监管单位之间信息安全协同处理功能，通过电子和信息化手段，协同完成日常的安全事件的响应与应对，加强监管部门的监管力度和提高被监管单位的响应速度和执行力度，将信息安全监测发现的问题及时处理。5、大数据综合分析功能。通过重要系统安全防护设备、恶意访问行为数据的采集分析。判定危险源行为特征类型，立足对系统安全监测数据、运行数据的分析。及时通过协作平台下达安全运维指令，及时提升重要信息系统安全运维能力，消除安全漏洞隐患；立足系统对恶意设备渗透检测功能对恶意资产设备特征监测数据分析，判定恶意行为实施者，为打击网络犯罪提供数据证据支撑。6、建立可视化综合分析展示功能，综合以上两个系统和平台采集的全方位数据，通过数据分析挖掘技术，研报互联网网站或信息系统的漏洞和可能面临的系统安全风险，从当前状况和潜在风险两个方面进行信息系统日常安全监管和风险预警，并通过该系统对被监管系统及时提出风险预警和整改意见。不同网络区域的安全威胁应对之道各安全域有不同的数据来源，通过分析可以实现不同维度和角度的安全威胁分析。安全域威胁分析功能的核心由一系列的安全分析模块组成，完成安全分析工作，如关联分析、攻击威胁深度挖掘和基于目标出发的威胁分析等。整体框架采用分布式技术，根据调度算法，充分利用集群的资源。国家信息中心政务外网大数据安全分析平台基于对网络安全威胁监测和业务数据关联分析实现入侵攻击事件分析引擎、恶意域名网站专项分析引擎和攻击组织/攻击IP专项分析引擎等功能。在业务层面通过安全事件分析任务的形式调度各分析引擎作业，包括日常威胁分析任务、专项威胁分析任务、重要信息系统威胁分析任务、突发事件威胁分析任务等。通过上述分析任务分析得到攻击行为、欺诈/仿冒/钓鱼等网络安全威胁线索；分析得到攻击组织、攻击者IP或虚拟身份相关的网络攻击或恶意活动线索信息；分析得到重点单位、重要系统/网站、重要网络部位相关的网络安全线索数据。上述得到的数据在系统中以可视化组件的形式进行展示，遵循数据接口规范的导出和传输共享。从业务层面，追踪溯源以威胁分析任务驱动的形式完成各项威胁分析任务，主要包括：不同安全域的外网安全分析任务：面向联网重要信息系统和重点网站对可能遭受攻击情况进行监测和分析，及早发现针对性的攻击和破坏活动，防患于未然。网络安全日常威胁分析：即日常开展的网络安全威胁、重点网站/重要部位、以及重点关注人的关联分析。例如：仿冒网站、恶意代码、僵尸网络、流量攻击等安全威胁监测。突出情况威胁分析任务：即针对特定的网络安全威胁或网络安全事件（例如恐怖活动、分裂国家活动等）进行关联分析、发掘关键线索，为其它业务部门打击网络安全犯罪和攻击跟踪分析提供数据支持。互联网出口政务外网几乎所有的业务流量都要经过互联网出口与各业务单位和业务网产生数据交换，掌握互联网出口的数据可以有效地提高政务网安全水平，及时规避风险，互联网出口的流量和设备数据可以对如下风险做出应对，包括：网络病毒威胁、数据泄露风险、内部局域网安全威胁、主机安全风险、数据库系统安全风险、中间件系统安全风险、网站系统安全风险等。数据来源对互联网出口的设备日志和流量进行采集，设备包括：序号设备名称采集数据采集方式1防火墙日志Syslog协议2IPS告警日志Syslog协议3上网行为审计日志Syslog协议4抗DDOS系统告警日志Syslog协议5交换机流量摘要信息流量摘要信息协议6综合网关设备日志Syslog协议7核心数通设备全流量镜像以上设备支持标准syslog协议发送日志，在各设备上将日志服务器地址和端口配置为大数据安全分析平台的采集器地址和监听端口。交换机配置流量摘要信息功能，将流量摘要信息数据送至大数据安全分析平台安全威胁分析大数据安全分析对互联网出口面临威胁的分析方式和分析的数据如下：事件溯源定位威胁检测分析一级分类二级分类数据源数据源实时关联分析机器学习嗅探踩点来源于外部的端口扫描1.防火墙日志

2.IDS/IPS日志

3.交换机日志1.交换机日志1.利用多变量时间序列聚类算法识别异常端口扫描嗅探踩点来源于外部的漏洞扫描1.防火墙日志

2.IDS/IPS日志

3.服务器日志

4.流量摘要信息1.交换机日志

2.流量摘要信息1.利用基于事件和内容特征的聚类算法识别异常漏洞扫描网络入侵来源于外部的漏洞入侵主机1.IDS/IPS日志

2.防火墙日志

3.流量摘要信息1.流量摘要信息1.威胁情报关联分析（恶意代码特征）网络入侵外部弱口令入侵1.IDS/IPS日志

2.内网安全审计日志1.内网安全审计日志1.安全审计日志关联分析（暴力破解规则）感染病毒用户访问恶意网页而感染恶意软件1.上网行为审计日志

2.主机系统日志

3.杀毒软件日志1.上网行为审计日志

2.主机系统日志1.威胁情报关联分析（恶意URL，恶意文件MD5）感染病毒用户接收恶意邮件而感染恶意软件1.邮件服务器日志

2.上网行为审计日志

3.主机系统日志

4.杀毒软件日志1.邮件服务器日志

2.上网行为审计日志

3.主机系统日志1.威胁情报关联分析（恶意URL，恶意文件MD5）感染病毒用户使用U盘而感染恶意软件1.内网安全报警日志

2.主机系统日志

3.杀毒软件日志1.主机系统日志1.威胁情报关联分析（恶意文件MD5）感染病毒内网蠕虫爆发1.杀毒软件日志1.主机系统日志

2.交换机日志1.利用蠕虫爆发网络流量模型识别内网蠕虫爆发感染病毒已知病毒感染（蠕虫、木马，后门）1.杀毒软件日志

2.上网行为审计日志感染病毒未知病毒感染（蠕虫、木马、后门）1.上网行为审计日志

2.交换机日志

3.主机系统日志1.威胁情报关联分析（恶意URL、C&C主机IP，恶意文件MD5）违规行为内部非授权端口扫描1.防火墙日志

2.IDS/IPS日志1.交换机日志1.利用多变量时间序列聚类算法识别异常端口扫描违规行为内部非授权漏洞扫描1.防火墙日志

2.IDS/IPS日志

3.流量摘要信息1.交换机日志

2.流量摘要信息1.利用基于事件和内容特征的聚类算法识别异常漏洞扫描违规行为内部漏洞入侵1.IDS/IPS日志

2.防火墙日志

3.流量摘要信息1.流量摘要信息1.威胁情报关联分析（恶意代码特征）违规行为内部弱口令入侵1.IDS/IPS日志

2.内网安全审计日志1.内网安全审计日志1.安全审计日志关联分析（暴力破解规则）违规行为网络欺骗与劫持攻击1.交换机日志1.交换机日志

2.流量摘要信息1.异常网络行为模型分析（基于时间和流量的异常ARP包和DNS包检测）违规行为内部机器接收外部来源的网络连接1.防火墙日志

2.IDS/IPS日志1.交换机日志1.威胁情报关联分析（恶意IP）信息泄露用户访问恶意网页而泄露信息1.上网行为审计日志

2.流量摘要信息1.上网行为审计日志

2.交换机日志

3.流量摘要信息1.威胁情报关联分析（恶意URL）信息泄露机密信息外传1.上网行为审计日志

2.邮件服务器日志1.上网行为审计日志

2.邮件服务器日志

3.交换机日志

4.流量摘要信息1.威胁情报关联分析（恶意URL、C&C主机IP，恶意邮件地址）信息泄露跨境数据传输1.上网行为审计日志

2.邮件服务器日志1.上网行为审计日志

2.邮件服务器日志

3.交换机日志1.威胁情报关联分析（IP地址地理位置关联）DDOS攻击发起DDOS攻击1.交换机日志1.交换机日志1.异常网络行为模型分析（基于时间和流量的异常网络包检测）可识别异常系统漏洞1.漏洞扫描结果可识别异常设备掉电1.设备日志互联网区数据中心互联网区数据中心作为互联网和公共网络区之间的缓冲区，主要承载了门户网站类应用和各成员单位托管在国家信息中心的主机/虚拟主机，连接了用户和数据，该区域集中了大量WEB、APP、中间件数据，极易受到DDOS、SQL注入、跨站攻击、挂马、暴力破解等安全威胁，在该区域部署大数据安全分析系统可以有效应对网络病毒威胁、数据泄露风险、内部局域网安全威胁、主机安全风险、中间件系统安全风险、网站系统安全风险等。数据来源对互联网区数据中心以下设备的日志进行采集：序号设备名称采集数据采集方式1防火墙日志Syslog协议2IPS/IDS告警日志Syslog协议3抗DDOS系统告警日志Syslog协议4中间件日志Syslog或FTP5服务器操作系统日志安装代理6安全审计设备日志Syslog转发安全威胁分析大数据安全分析对互联网区数据中心面临威胁的分析方式和分析的数据如下：事件溯源定位威胁检测分析一级分类二级分类数据源数据源实时关联分析机器学习嗅探踩点来源于外部的端口扫描1.防火墙日志

2.IDS/IPS日志

3.交换机日志1.交换机日志1.利用多变量时间序列聚类算法识别异常端口扫描嗅探踩点来源于外部的漏洞扫描1.防火墙日志

2.IDS/IPS日志

3.服务器日志

4.流量摘要信息1.交换机日志

2.流量摘要信息1.利用基于事件和内容特征的聚类算法识别异常漏洞扫描网络入侵来源于外部的漏洞入侵主机1.IDS/IPS日志

2.防火墙日志

3.流量摘要信息1.流量摘要信息1.威胁情报关联分析（恶意代码特征）网络入侵来源于外部的漏洞入侵Web服务器1.IDS/IPS日志

2.防火墙日志

3.服务器日志

4.流量摘要信息1.流量摘要信息1.威胁情报关联分析（恶意代码特征）网络入侵外部弱口令入侵1.IDS/IPS日志

2.内网安全审计日志1.内网安全审计日志1.安全审计日志关联分析（暴力破解规则）网络入侵APT攻击1.防火墙日志

2.IDS/IPS日志

3.上网行为审计日志

4.内网安全审计日志

5.流量摘要信息网络入侵零日攻击1.防火墙日志

2.IDS/IPS日志

3.上网行为审计日志

4.流量摘要信息感染病毒用户使用U盘而感染恶意软件1.内网安全报警日志

2.主机系统日志

3.杀毒软件日志1.主机系统日志1.威胁情报关联分析（恶意文件MD5）感染病毒内网蠕虫爆发1.杀毒软件日志1.主机系统日志

2.交换机日志1.利用蠕虫爆发网络流量模型识别内网蠕虫爆发感染病毒已知病毒感染（蠕虫、木马，后门）1.杀毒软件日志

2.上网行为审计日志感染病毒未知病毒感染（蠕虫、木马、后门）1.上网行为审计日志

2.交换机日志

3.主机系统日志1.威胁情报关联分析（恶意URL、C&C主机IP，恶意文件MD5）违规行为内部非授权端口扫描1.防火墙日志

2.IDS/IPS日志1.交换机日志1.利用多变量时间序列聚类算法识别异常端口扫描违规行为内部非授权漏洞扫描1.防火墙日志

2.IDS/IPS日志

3.流量摘要信息1.交换机日志

2.流量摘要信息1.利用基于事件和内容特征的聚类算法识别异常漏洞扫描违规行为内部漏洞入侵1.IDS/IPS日志

2.防火墙日志

3.流量摘要信息1.流量摘要信息1.威胁情报关联分析（恶意代码特征）违规行为内部弱口令入侵1.IDS/IPS日志

2.内网安全审计日志1.内网安全审计日志1.安全审计日志关联分析（暴力破解规则）违规行为非法连接外部网络1.上网行为审计日志1.上网行为审计日志

2.交换机日志1.威胁情报关联分析（恶意URL、C&C主机IP）违规行为网络欺骗与劫持攻击1.交换机日志1.交换机日志

2.流量摘要信息1.异常网络行为模型分析（基于时间和流量的异常ARP包和DNS包检测）违规行为内部机器接收外部来源的网络连接1.防火墙日志

2.IDS/IPS日志1.交换机日志1.威胁情报关联分析（恶意IP）信息泄露机密信息外传1.上网行为审计日志

2.邮件服务器日志1.上网行为审计日志

2.邮件服务器日志

3.交换机日志

4.流量摘要信息1.威胁情报关联分析（恶意URL、C&C主机IP，恶意邮件地址）信息泄露跨境数据传输1.上网行为审计日志

2.邮件服务器日志1.上网行为审计日志

2.邮件服务器日志

3.交换机日志1.威胁情报关联分析（IP地址地理位置关联）DDOS攻击发起DDOS攻击1.交换机日志1.交换机日志1.异常网络行为模型分析（基于时间和流量的异常网络包检测）DDOS攻击遭受DDOS攻击1.抗DDOS系统日志1.交换机日志1.异常网络行为模型分析可识别异常系统漏洞1.漏洞扫描结果可识别异常设备掉电1.设备日志公共区数据中心公共网络区提供的大多是基础IT服务，有数据库、数据交换平台、存储服务、DNS服务、NTP服务、认证服务、安全管理等，本区域是国家信息中心数据资产的存放的核心区域，本区域一旦出现安全影响非同小可，若造成核心数据泄露、关键数据被篡改等情况，足可以构成安全事件分级中的“重大事件”甚至“特别重大事件”，威胁到国家安全，引起社会恐慌，对经济建设有重大的负面影响，或者损害到公众利益。所以在该区域部署安全分析平台十分必要，可以分析并应对的风险点包括：网络病毒威胁、数据泄露风险、内部局域网安全威胁、数据库系统安全风险等，不仅是提供传统的安全视角，还可以从内审与合规性帮助国家信息中心提升整体安全管控水平。数据来源对公共区数据中心的数据采集如下：序号设备名称采集数据采集方式1防火墙日志Syslog协议2IDS告警日志Syslog协议3抗DDOS系统告警日志Syslog协议4服务器操作系统日志安装代理5安全审计设备日志Syslog转发6IPS告警日志Syslog协议安全威胁分析大数据安全分析对公共区数据中心面临威胁的分析方式和分析的数据如下：事件溯源定位威胁检测分析一级分类二级分类数据源数据源实时关联分析机器学习嗅探踩点来源于外部的端口扫描1.防火墙日志

2.IDS/IPS日志

3.交换机日志1.交换机日志1.利用多变量时间序列聚类算法识别异常端口扫描嗅探踩点来源于外部的漏洞扫描1.防火墙日志

2.IDS/IPS日志

3.服务器日志

4.流量摘要信息1.交换机日志

2.流量摘要信息1.利用基于事件和内容特征的聚类算法识别异常漏洞扫描网络入侵来源于外部的漏洞入侵主机1.IDS/IPS日志

2.防火墙日志

3.流量摘要信息1.流量摘要信息1.威胁情报关联分析（恶意代码特征）网络入侵外部弱口令入侵1.IDS/IPS日志

2.内网安全审计日志1.内网安全审计日志1.安全审计日志关联分析（暴力破解规则）网络入侵APT攻击1.防火墙日志

2.IDS/IPS日志

3.上网行为审计日志

4.内网安全审计日志

5.流量摘要信息网络入侵零日攻击1.防火墙日志

2.IDS/IPS日志

3.上网行为审计日志

4.流量摘要信息感染病毒用户使用U盘而感染恶意软件1.内网安全报警日志

2.主机系统日志

3.杀毒软件日志1.主机系统日志1.威胁情报关联分析（恶意文件MD5）感染病毒内网蠕虫爆发1.杀毒软件日志1.主机系统日志

2.交换机日志1.利用蠕虫爆发网络流量模型识别内网蠕虫爆发感染病毒已知病毒感染（蠕虫、木马，后门）1.杀毒软件日志

2.上网行为审计日志感染病毒未知病毒感染（蠕虫、木马、后门）1.上网行为审计日志

2.交换机日志

3.主机系统日志1.威胁情报关联分析（恶意URL、C&C主机IP，恶意文件MD5）违规行为内部非授权端口扫描1.防火墙日志

2.IDS/IPS日志1.交换机日志1.利用多变量时间序列聚类算法识别异常端口扫描违规行为内部非授权漏洞扫描1.防火墙日志

2.IDS/IPS日志

3.流量摘要信息1.交换机日志

2.流量摘要信息1.利用基于事件和内容特征的聚类算法识别异常漏洞扫描违规行为内部漏洞入侵1.IDS/IPS日志

2.防火墙日志

3.流量摘要信息1.流量摘要信息1.威胁情报关联分析（恶意代码特征）违规行为内部弱口令入侵1.IDS/IPS日志

2.内网安全审计日志1.内网安全审计日志1.安全审计日志关联分析（暴力破解规则）违规行为非法连接外部网络1.上网行为审计日志1.上网行为审计日志

2.交换机日志1.威胁情报关联分析（恶意URL、C&C主机IP）违规行为网络欺骗与劫持攻击1.交换机日志1.交换机日志

2.流量摘要信息1.异常网络行为模型分析（基于时间和流量的异常ARP包和DNS包检测）违规行为内部机器接收外部来源的网络连接1.防火墙日志

2.IDS/IPS日志1.交换机日志1.威胁情报关联分析（恶意IP）信息泄露机密信息外传1.上网行为审计日志

2.邮件服务器日志1.上网行为审计日志

2.邮件服务器日志

3.交换机日志

4.流量摘要信息1.威胁情报关联分析（恶意URL、C&C主机IP，恶意邮件地址）信息泄露跨境数据传输1.上网行为审计日志

2.邮件服务器日志1.上网行为审计日志

2.邮件服务器日志

3.交换机日志1.威胁情报关联分析（IP地址地理位置关联）DDOS攻击发起DDOS攻击1.交换机日志1.交换机日志1.异常网络行为模型分析（基于时间和流量的异常网络包检测）可识别异常系统漏洞1.漏洞扫描结果可识别异常设备掉电1.设备日志大数据安全分析应用本方案主要采用大数据存储、分析技术，通过对国家信息中心可以掌握的全量日志和网络信息数据分析，从而感知和掌握网络整体的安全态势，打破各类设备之间的数据壁垒，提供以数据为基础的安全交互分析平台。本项目可以实现如下功能：调查取证为了便于安全分析人员对安全事件的分析，平台提供易用的交互分析功能帮助安全分析人员快速的对安全事件进行追溯定位和统计分析，安全分析人员通过对全局大数据的检索、分析、归纳来识别潜在的恶意行为威胁以及确认可能的存在的安全事件。事件和告警检索平台提供发生时间、源地址、目的地址、源端口、目的端口、协议、URL、事件类型等字段为条件的事件检索，检索的结果以列表的形式展示。告警检索支持的条件包括但不限于告警类型、名称、级别、源IP地址、源端口、目的IP地址、目的端口、协议、告警状态、聚合数量、设备类型、设备IP、时间、处理建议等条件。支持全文检索功能，能够通过模糊匹配的方式对已存储的海量事件进行全文检索；可以根据任意关键词(支持“与”和“或”，支持使用=、>、<等关系运算符)进行日志数据检索。关键词的字段名称可以由系统依据日志记录自动识别（不依赖应用配置信息）。对原始数据、元数据、分析结果等多类数据进行多条件组合快速搜索，搜索方式支持精确匹配，模糊匹配，统计等对可疑网络行为和各类安全事件进行线索展开，获取历史数据、来源等信息，结合黑客来源、攻击手法、使用工具等知识库进行威胁场景还原；根据洛克希德马丁公司的KillChain攻击链模型，将告警之间的时序关系、因果关系关联分析，通过当前告警可追溯攻击链中与其相关的各个阶段的告警时间，从而还原整个攻击链。对于每条告警信息，回溯产生告警的证据链，包括日志信息、流量摘要信息，并且提供接口，根据IP、时间范围等条件调用全流量检测设备存储的全流量数据。能够利用大数据安全日志检索分析系统展进行基于图数据库的安全事件关联分析，并对病毒爆发、人员足迹、机器使用、U盘使用等行为基于图数据库进行可视化展现；支持数据透视图的方式通过不同维度的安全信息钻取对安全事件进行分析；基于正则表达式及函数复杂查询可通正则表达式及函数（如AND、OR、NOT和()的组合）：对日志进行复杂过滤查询。高级关联查询支持快速关联查询功能，通过输入设备的IP信息，可使用该功能快速查询出该设备近期的整体安全状态，通过对大数据日志的检索，整体显示出各接入设备中与该设备相关的所有安全告警，为运维人员处理告警提供有力的数据依据。字段过滤支持字段过滤，可在字段列表中选择过滤，使用字段过滤可以快速添加搜索条件以缩小检索范围。关联分析大数据安全分析和预警平台通过基于SparkStreaming技术实现的强大的CEP引擎，对系统采集的实时数据流进行关联分析，包括网络流量安全事件、日志安全事件、资产、漏洞、安全配置、IP地址段、人员等信息之间采用基于规则、基于统计、基于资产的关联方法，综合分析安全告警，深度挖掘安全隐患、判断安全事件的严重程度。从而重构整个攻击场景，降低误报率，帮助安全运营人员分析出网络中潜在的安全隐患。横向关联支持安全事件的横向关联分析，即可以根据同一时间里，发生的安全事件进行聚合，实现基于基本事件、网络流量安全事件、基于资产和基于知识的关联分析。具体如下：提供安全事件、网络流量安全事件与漏洞信息的关联分析提供安全事件、网络流量安全事件与安全配置信息的关联分析根据攻击源进行信息关联分析；根据攻击目标进行信息关联分析；根据受攻击的设备类型进行信息关联分析；根据受攻击的操作系统类型及版本信息进行关联分析；根据安全事件类型进行关联分析；提供安全事件对资产的定位服务提供安全事件对人员的定位服务根据特定时间要求和用户策略进行横向事后关联分析。纵向关联支持安全事件的纵向关联分析，即可以根据安全事件发生的因果关系，进行逻辑上关联分析。具体要求如下：具备常见网络攻击行为分析，包括DDOS攻击、网络信息嗅探、漏洞扫描、网络蠕虫、木马攻击等常见网络攻击行为的纵向逻辑分析；具备自定义网络攻击行为功能，可以通过可视化的流程图的定义某种网络攻击行为；关联分析规则的管理提供良好的规则编辑管理人机界面，实现关联分析策略的规则化输入规则库管理应具有预先定义关联规则功能，同时也具有查询、删除、更新功能；关联规则表达式应该支持规则的多级嵌套，前一规则输出作为后一规则的输入，以及规则之间的并集和交集处理；规则库管理对关联规则应该具有良好的移植性，可以按照特定的文件格式，如XML、XLS，导入和导出。机器学习大数据分析平台可建立特定的网络威胁分析模型，定时的对网络中的APT攻击进行检测分析，如僵尸网络、低速扫描、恶意URL分析等。平台支持基于大数据技术的数据建模，提供基础数据建模算法和可配置的数据模型。归并算法模型提供归并算法模型，此数据模型可以将任意字段按照最长子序列进行归并处理，将海量日志归并成几类进行查看。偏离算法模型提供偏离算法模型，此数据模型通过统计某字段一段时间的正常模型，对偏离此基线的行为进行告警分析。聚类算法模型提供聚类算法模型，此数据模型可以基于数据模型和密度进行聚类计算，从而发现日志中某种模型小类和孤类。支持内置算法对历史数据进行机器学习，从而形成正常行为基线，并可利用学习结果对实时数据进行异常检测；支持的检测模型包括但不限于以下：序号模型名称说明输入输出1服务器访问发散度通过一段时间内服务器与其他资产的网络连接数据的学习，计算出本服务器连接的资产数量、范围和链接数量，结合资产类型流量摘要

防火墙日志相关资产数量、范围、链接数量2资产自动发现通过对一段时间内所有网络中产生网络行为的IP进行distinct，发现新增资产，同时绘制资产之间的聚合关系流量摘要

防火墙日志IP列表和资产关系图3恶意域名识别通过对域名的特征计算是否是恶意域名,whois注册时间变化上网行为审计

Proxy日志恶意域名列表4BotNet心跳连接从大量的连接数据中发现僵尸主机的心跳连接，版本更新信息，上下行流量比流量摘要

防火墙日志Botnet主机列表5低速扫描行为从长时间跨度的网络连接数据中发现低速扫描行为流量摘要

防火墙日志扫描事件6低速口令探测行为从长时间跨度的认证日志中发现弱口令探测行为认证日志弱口令探测事件数据采集和预处理采集范围和方式大数据安全分析和预警平台对电子政务外网的互联网出口、互联网区数据中心、公共区数据中心等3个区域中的网络设备、安全设备、主机、中间件、WEB、APP等服务安全数据进行采集。由采集集群与数据源组成，采集集群由管理节点，工作节点组成；数据源包括流量安全事件检测（专用设备）和非流量安全事件（服务器）组成。采集集群采用Master/Worker的分布式框架，Master的职责负责给Worker下达指令，同时Master支持Active/Standby的高可用性；Worker是实际采集工作节点,由多个Worker组成。工作节点接收服务器接收外部监测平台或系统的对接数据，如第三方漏洞平台数据、扫描监测平台、布点监测平台等符合平台分类数据规范的安全事件数据。主要功能包括：数据接收与数据解析数据接收以监听的模式监听来自外部平台的数据推送，监听到有数据推送请求时启动一个数据接收线程先进行数据接入认证，再循环进行数据接收，直至数据接收完毕。信息增强对数据解析得到的数据进行数据来源、数据种类、地理位置信息、监测时间等初步的数据标记，区分不同平台不同种类的数据。数据封装与转发对标记完成的数据进行传输前的封装，并将数据转发至基础数据平台数据存储访问组件处理。数据接入认证数据接入认证对既定的数据平台级接入策略进行管理与设置，包括数据接入设置和数据接入验证，前者可设置接入平台的IP、数据推送模式、推送数据类型、接入认证信息等；后者在监听到数据推送时启动对数据接入的单方认证。并发与负载均衡采集集群工作节点支持并发与负载均衡为服务器提供数据接收与处理操作，在数据接入时通过增加设备提升处理能力。采集的数据类型包括设备日志和全流量检测设备产生的告警和流量摘要信息。各区域采集的数据内容和方式如下：数据预处理解析和标准化大数据安全分析和预警平台的采集器将日志解析成不同的字段并命名，以便索引与查询。解析方式支持以下解析方式：标点符号拆分，根据指定的标点符号或系统自定的标点符号列表，提取标点号之间的内容作为命名字段的值。正则拆分，根据正则表达式匹配提取内容，并可配置命名。标准格式拆分，对于xml、json这种标准格式内容，自动拆分成kv形式。时间戳识别，日志是时间序列数据，所有数据均含有时间戳，要求对标准格式能够自动识别（ISO8601、rfc822、rfc2822等），对非标准时间戳要支持手动设置格式识别。日志标准化是从原始日志信息中解析出各个不同的日志属性信息，将原始日志转换为统一的标准化的日志，为后续分析处理提供统一的标准化日志结构。数据丰富化对数据解析得到的数据利用系统内的基础信息进行丰富化（数据来源、资产信息、数据种类、地理位置信息、组织人员信息、监测时间等）。通过数据增强，区分不同平台不同种类的数据和数据之间的关联关系，为安全分析提供高质量的数据内容。数据格式标准化是数据采集引擎将收集到的数据按照预定义好的数据格式，进行标准化处理。标准化后的数据包含如下属性。序号属性数据来源（设备IP地址／资产名）数据种类地理位置信息具体数据解析后字段信息事件名称事件类型事件等级源名称目的名称用户名设备类型发生时间资产ID入库时间更新时间事件状态处理状态多个保留字段数据源要求数据采集接口要求本次采集数据源支持采集接口及协议要求如下：序号设备类型支持采集接口及协议1网络设备流量摘要信息、Syslog、端口镜像2安全设备Syslog3Windows服务器WMI、Syslog、FTP、安装代理4Linux服务器Syslog、FTP、安装代理5应用系统FTP、安装代理6中间件FTP、安装代理7数据库JDBC数据内容要求本次采集数据源的数据内容要求如下：防火墙序号字段备注说明1时间戳2日志级别3日志类型4日志描述5源IP6源端口7目标IP8目标端口9协议10处理动作11接收数据包12发送数据包13触发规则IPS/IDS序号字段备注说明1时间戳2事件等级3攻击名称4攻击类型5源IP6源端口7目标IP8目标端口9协议10应用类型11攻击结果12触发规则抗DDOS序号字段备注说明1时间戳2事件等级3攻击名称4攻击类型5源IP6源端口7目标IP8目标端口9协议10应用类型11攻击结果12接收数据包13发送数据包14触发规则上网行为管理序号字段备注说明1时间戳2用户3源IP4源端口5目标IP6目标端口7协议8访问URL9URL类型10应用11应用类型12处理结果13触发规则终端防病毒序号字段备注说明1时间戳2用户3机器IP4病毒名称5病毒类型6扫描类型7感染文件8感染文件路径9处理结果10触发规则防病毒网关序号字段备注说明1时间戳2机器IP3病毒名称4病毒类型5扫描类型6访问URL7应用8处理结果9触发规则Linux主机序号内容备注说明1系统事件2系统服务启动信息3定时任务服务日志信息4用户认证信息5用户登录信息6su命令使用日志Windows主机序号内容备注说明1账号登陆事件2帐号管理事件3审核登录事件4对象访问事件5审核策略更改事件6权限使用事件7详细跟踪事件8面向审核系统事件的系统事件消息数据存储数据底层存储架构设计针对以上各采集点采集的数据集中发送至公共区大数据安全分析和预警系统中心进行集中存储和分析。数据存储采用Elasticsearch大数据分布式存储架构（ElasticSearch是一个基于Lucene的搜索服务器）它提供了一个分布式多用户能力的全文搜索引擎，基于RESTfulweb接口。Elasticsearch是用Java开发的，能够达到实时搜索、稳定、可靠、快速、安装使用方便。数据逻辑架构设计根据数据的类别和来源，将系统中的数据分为日志数据、网络全流量元数据、内部支持数据、外部情报数据4大类型。具体参见下图：上图列举了系统数据库的各数据实体，用树形结构展现了5大类数据下包含的各级数据关系。其中日志数据和流量数据（包括流量摘要信息和全流量摘要)是威胁发现的主要分析对象，内部支持数据和外部情报数据是威胁定位和响应的重要依据。下面将列举各类数据的具体数据项。1、日志数据，此类数据主要来自安全设备、网络设备、主机系统等安全相关的日志信息。包括：脆弱性数据、各类告警数据，以及综合脆弱性、告警和资产价值所计算出来的风险数据。2、网络全流量元数据，此类数据主要来自于全流量分析设备。全流量数据由于过于庞大，我们仅保存分析设备产生的元数据信息。元数据信息从经过流重组、报文重组、协议解析后的网络流量中提取，包含了网络流从第2层到第7层的全部描述信息，例如IP分片信息、TCP状态机、TCP/UDP重组、应用类型、应用层状态信息、应用协议关键元素等。全流量元数据约占全流量原始数据的6%空间。4、内部支持数据。系统会针对资源对象进行集中的存储、维护和管理，为网络中的所有资产建立安全档案卡，资产信息包括以下信息：基础信息：资产名称、IP地址、所属部门、安全域、设备类型、地理位置、负责人等；安全属性：可用性、完整性和保密性以及资产价值；弱点属性：资产漏洞信息、安全配置信息等；5、外部情报数据，也就是来自于外部的威胁情报信息，包括恶意IP、URL和域名库，DNS库，IP地理信息库、恶意代码MD5|SHA1、最新攻击行为、漏洞库等等。对存储量及性能的设计在上一节的5种数据种类中，主要影响存储量和性能的是前面3种，以下是每一种的计算公式：1.日志数据：一般按照每个网络设备1KByte/s，每个主机设备10Byte/s计算2.全流量数据摘要:一般按照网络流量的6%估计。以100台网络设备日志和1000台主机日志，1Gbps的网络流量进行测算，每秒数据量为1k*100+10*1000+1G/8*6%=7.79MB每天数据量为7.79MB*86400=673GB保存三份拷贝，留存半年，以及15%索引和冗余空间，则总容量测算为673GB*3*183*1.15=425TB对于每秒8MB的入库要求，不需要有性能上的特殊处理，但考虑所有设备和网络数据会实时不断发送到系统，为保证数据完整性和一致性，在前端用对入库数据进行缓存和一致性检查。由于本系统的数据特征为数据量大、查询操作多，因此对采集上来的数据存储逻辑进行优化，将存放数据的历史时序进行分区管理，按月分区将数据索引进一步划分。这样在查询历史数据时间跨度在一个月内时查询速度等效，同时将数据的三份拷贝分散到不同服务器上提高并发性能。资产管理资产管理是大数据安全分析管理的基础，要做到信息系统的安全分析，必须了解系统中资产情况及其状态。网络中各种设备、安全产品、应用都可以看作是资产。资产管理并不是为了简单的统计，而是在统计的基础上，对这些设备进行评估和安全检测，发现资产的安全状况，并纳入到平台的数据库中，来真正做到对资产进行统一的管理。大数据安全分析平台应包括完善的资产管理系统，该系统具备基础架构物理设备资产管理功能，支持灵活设置资产类别、目录结构和资产属性，支持按照统一编号进行资产信息查询和维护，可管理和配置的资产信息包括以下内容：基础信息：资产名称、IP地址、MAC地址、业务系统、所属部门、安全域、设备类型、地理位置、负责人、电话等；安全属性：可用性、完整性和保密性以及资产价值；弱点属性：资产漏洞信息、安全配置信息等；资产管理功能设计资产管理模块安全域资产管理能够支持多级树型的安全域（不小于10级），便于支持用户复杂的组织架构和网络架构

支持资产与安全域的多对多关系，同一个资产可以同时属于不同的安全域，一个安全域可以拥有多个资产。支持域资产的导入导出

用户可以在界面上方便的进行安全域属性、安全域与资产关系的查询和更改

关键服务器以及安全设备的基本信息的录入，与人员组织管理挂钩，能够落实责任人

对管理域内所有资产（包括主机系统）的导入、导出，以便定位受安全事件影响的资产和衡量整个系统风险。对资产的保密性、完整性、可用性分等级评估（CIA属性细颗粒评估），以便计算系统安全风险以及划分安全事件处理优先级；按照业务属性、设备类型、地域等方式进行安全（域）边界划分，并对相应资产权重赋值（权重就是重要性百分比），各子域权重赋值，得出整体安全域信息，以便计算系统安全风险以及划分安全事件处理优先级资产类型配置能够支持多种类型资产，并且可以手动配置资产的CIA属性自动发现配置可以基于安全事件，自动发现内部资产。自动生成发现资产的CIA属性、权重、所属域等信息地理位置配置可以配置地理位置，并且能在资产属性中配置资产所在地理位置资产与域的可视化通过仪表盘的形式进行宏观展示，实时展示资产总数量、资产风险TOP10等，支持电子地图等资产的显示方式基础信息为了增强安全事件的可读性和安全分析的准确性，系统会对以下基础信息进行采集资产信息序号属性资产编号资产名称资产IP所属安全域资产类型品牌型号重要程度开放端口漏洞信息地理位置信息所属应用系统资产所属部门资产负责人人员信息序号属性姓名账号所属部门职位IP地址MAC地址电话邮箱安全域信息网络拓扑各部位IP地址段以上信息提供人工录入和导入的功能。安全域态势系统提供网络拓扑管理，可直观看到资产在网络区域或者业务系统的位置可以网络区域或者业务系统的视角展示该区域或业务系统的安全事件和安全态势网络资产梳理通常情况下，网络当中存在很多游离于管理范围之外的资产，包括客户端和服务器，往往不在监管范围内的资产安全防护措施也相对弱一些，这些资产也是攻击者的重点目标。因此大数据安全分析平台提供对网络中所有的资产进行梳理，与资产库中的被管资产比对，以发现游离资产，将结果通知相关单位对信息进行补全和安全加固，从而降低安全风险。统计分析大数据安全分析平台可基于安全事件的属性进行统计，包括以下功能：支持基于采集日志源按天、小时或指定时间和事件类型／告警的日志数量统计；支持基于安全事件中源IP和目的IP按天、小时或指定时间和事件类型的日志数量统计；支持基于事件信息中部门、资产按天、小时或指定时间和事件类型／告警的日志数量统计按照指定时间范围统计连续一段时间的各级别事件数量趋势；采集对象源事件数量排名，展现当天采集对象日志数量排名，并在排名图表中直接查看事件列表详细信息，应包括事件名称、事件级别、事件类型及原始日志信息；按目标资产日志数量排名，展现当天按目标IP出现次数最多的事件排名，并在排名图表中直接查看事件列表详细信息，应包括事件名称、事件级别、事件类型及原始日志信息；知识库和威胁情报分析大数据分析平台提供大量的安全知识库和案件管理库，为安全分析对安全事件的响应处置提供理论依据，将处理后安全事件形成案件库，为后续发生类似案件提供处置建议。具备构建和维护安全威胁知识库的能力，知识库包括但不限于：全球IP地址库：能实现全球IP地址的归属地查询，属主查询，历史记录查询，背景查询等；全球DNS/IP黑白名单信息库：构建黑白名单库；网络空间安全威胁知识库：构建常规安全威胁知识库、特种安全威胁知识库和网络入侵行为知识库等多种安全威胁知识库。具有安全情报订阅分发接口，可为外部系统提供安全综合报告的分发；具有知识库查询服务接口，可为外部系统提供IP地址库、黑名单等安全知识共享服务；提供从告警事件的IP、URL、MD5/SHA-1等信息跳转至威胁情报模块查询对应的情报内容及关系；告警响应大数据分析平台可对系统检测分析出的安全事件，根据提前设置好的响应方式及时通知响应管理员对安全事件进行处置。告警响应作为安全管理中心系统的一个重要环节，与其它模块间有着丰富的数据交互，通过与安全监控、关联分析、安全预警等系统的接口，接收这些系统产生的预警信息，启动安全响应处理流程处理预警通知。在确认响应以后，通过响应接口－邮件、短信、图形界面、工单、snmptrap等方式通知到接收者。工单被接收者响应处理并经审批以后的历史工单可以导入到安全知识库的案例库中去。告警响应主要包括告警报表和工单管理两个主要模块。告警报表模块可对资产、风险、脆弱性、事件和设备的分布和趋势，以及用户使用平台情况形成或定制报表，以图表形式向用户直观地展现。主要有告警态势报表、工单处理报表、资产情况报表、通告信息报表等几类。工单管理模块可通过在用户特定规则下安全事件可以直接自动触发对应工单流程或手工自定义触发对应的工单流程的方式触发工单。处理过程中，派单人和责任人可以对现象描述、原因分析、处理意见、处理结果中增加内容，但不能修改以前人输入的内容。系统需记录增加的时间和增加人。在显示工单时，会显示所有的修改记录。告警响应方式可以支持以下方式：响应方式说明派发工单通过内置工单流转，实现了安全事故的记录从创建、处理到关闭的生命周期管理 发送一个工单到运维系统 例如发送给HPServiceDesk，或者BMC将攻击者或受害人添加到黑白名单中将产生该关联事件的重要原始属性添加到黑白名单中，供管理员重点观察。对于加入黑白名单的资产，管理员可以设定观察周期发送电子邮件发送一封带有告警关键信息的电子邮件给指定人 发送短消息发送一条带有告警关键信息的短消息指定人 带外响应指通过网络之外的方式进行告警响应，避免由于网络故障导致告警不可达。包括发送手机短消息声光电告警屏幕闪动、声音告警事件处置大数据分析平台可根据国家信息中心的安全事件的实际处理流程将流程固化到平台中，从而达到事件线上处理的目的，提高运维效率。事件处置主要包括安全审计和攻击定位两个功能。安全审计安全审计功能就是对大数据安全分析平台收集的各种事件信息进行深度分析，找出可疑的行为，同时生成详尽的统计和分析报表。审计分析的对象包括安全产品、应用系统、操作系统的事件信息。攻击定位大数据安全分析平台通过资产管理、关联分析、专家系统分析等有效手段，能检测到攻击，并定位攻击源，并会提示管理员查询知识库，最终对攻击源进行追踪控制。安全事件分类根据GB/Z20986《信息安全技术信息安全事件分类分级指南》可以将国家信息中心政务网安全事件分类为：操作记录事件、状态信息事件、有害程序事件、网络攻击事件、信息破坏事件、异常行为事件六大类，详见下表：安全事件分类描述说明操作记录事件记录各种操作事件，包括访问、配置变更、软件安装、申请、设备操作命令等；状态信息事件系统、应用、网络等日常运行、自身维护、管理资源产生的事件。如进程变化、服务启停、普通流量、CPU内存、硬件状态等。有害程序事件计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类。网络攻击事件拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类。信息破坏事件信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类。异常行为事件包括人、应用、网络发生的操作、访问等异常行为事件。根据安全事件分类和安全事件的影响可以分析得到安全事件分级，以便采取进一步的措施恢复生产，挽回所失。安全事件分级信息系统安全事件分级主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。事件分级系统损失社会影响特别重大事件（Ⅰ级）会使特别重要信息系统遭受特别严重的系统损失波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对经济建设有极其恶劣的负面影响，或者严重损害公众利益。重大事件（Ⅱ级）会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失；

波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对经济建设有重大的负面影响，或者损害到公众利益。较大事件（Ⅲ级）会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失；波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对经济建设有一定的负面影响，或者影响到公众利益。一般事件（Ⅳ级）会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失；波及到一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。安全事件处理流程安全事件处置可分为内部安全事件和外部安全事件，典型的处理流程分为接收、验证、隔离、整改、审核和通报六个环节，详细流程设计如下图：工单系统可根据国家信息中心的日志安全事件的日常通知通报流程，提供通知通报下发和处置功能安全信息可视化大数据分析平台将根据国家信息中心的网络结构和管控范围，通过不同维度和视角将安全信息准确的提供给不同层级的管理员。类型说明展示维度组织机构维度对所有部委产生的安全信息进行展示，实时掌握各部委的安全状况事件类型维度系统根据不同事件类型进行展示，安全分析人员可准确掌握当前网络中安全事件的类型和数量，从而做出准确的处置策略网络区域维度根据互联网出口、互联网区数据中心、公共区数据中心所承担的智能来区别性的展示各个网络区域的安全事件类型和数量，从而使运维人员及时的调整各网络区域的安全防护策略展示视角领导视角为领导提供国家电子政务外网的全局安全视图，从而掌握网络安全态势安全分析人员视角为安全分析人员提供方便快捷的分析界面，提高安全分析效率，准确掌握安全事件发展趋势运维管理员视角为不同网络区域或部委安全管理员提供本职责范围内网络安全视图，从而掌握安全态势，并提供相应的工作台，能够快速聚焦关注的事件类型能够支持多维度安全信息展示，包括但不限于组织机构、安全域、事件类型等维度；安全事件内容包括事件、组织机构、人员、事件内容等信息；支持多视角的安全态势展示，包括但限于全局安全态势、威胁场景还原、时间序列安全事件展示；支持信息安全拓扑图展示，要求能够清晰展示系统各安全域的划分，在安全域拓扑图上能清晰看到各安全域的整体态势，如安全日志数量，告警数量等；能够利用大数据安全日志检索分析系统展示实时攻击态势地图功能，在态势地图中实时动态展示各种攻击源到目的的地图展示；支持网络关系图、时间序列图、热力图、GIS、列表、事件河流图、力导向图等多种可视化展示方式；支持资产可视化，以及基于资产的安全态势展示；可视化形式包括但不限于：列表、统计图、拓扑图、机房图、地理分布图等；领导视角综合安全展示窗口是面向安全管理人员所设计的，即信息安全管理人员登录系统后的访问页面，综合安全展示窗口的设计原则如下：信息安全管理人员能够实时了解国家电子政务外网的信息安全态势；信息安全管理人员能够实时了解各区域／各单位的信息安全态势；信息安全管理人员能够利用平台的统计分析数据作为信息安全建设的指导依据；信息安全管理人员能够总体评价供应商的服务质量；信息安全管理人员能够了解平台的建设成效和工作能力。根据上述设计原则，综合安全展示能够实现如下功能：可视化展示国家电子政务外网信息系统的安全态势和健康度。实时显示国家电子政务外网高级别告警事件，以及相关的待处理工单情况。从工单类型、工单等级、工单来源等多个维度统计国家电子政务外网的工单处理情况，采用柱状、饼状和曲线等方式进行展示。从资产类型、资产等级、区域等多个层面对国家电子政务外网的资产进行安全展示，采用柱状、饼状和曲线等方式进行展示。实时统计和展示平台的数据处理能力。整体安全态势外部网络攻击态势图安全分析人员视角安全分析窗口是面向安全分析人员所设计的，即信息安全分析人员登录系统后的访问页面，安全分析窗口的设计原则如下：安全分析人员能够快速溯源到触发安全告警的安全事件和原始日志；安全分析人员可以灵活快速的对数据进行全文检索；安全分析人员可进行关联分析；安全分析人员可对数据进行归并分析，快速发现异常；安全分析人员可讲分析结果通过可视化图方式展现出来；安全分析人员可进行图分析。根据上述设计原则，安全分析窗口能够实现如下功能：能够对安全告警进行钻取溯源，对安全告警进行验证；能够对任意时间段数据进行全