一体化网络安全中枢管理平台建设需求

一体化网络安全中枢管理平台建设需求一、项目背景为进一步提升网络安全治理水平和保障能力，需要建设智能一体化网络安全中枢，实现覆盖全区网络安全多级联动一体化、看管监控一体化、智能化安全运营建设。二、主要建设内容本项目的主要建设内容分为软件开发服务和安全设备购置，软件开发服务部分包含数据融合层、能力支撑层、业务应用层、指挥运营层和系统对接。数据融合层：包括数字化资产关联基础库、动态信息风险基础库两大部分。数字化资产关联基础库：建立全量、动态的IT资产底账。动态风险信息基础库：多源风险情报数据整合、归并、降噪，建立风险情报数据合集。能力支撑层：包括数据分析、能力对接管控和安全分析规则管理。数据分析主要实现基础安全分析模型和高级关联分析模型的应用与管理；能力对接管控实现网络安全设备与软件的API对接，获取安全状态数据；安全分析规则管理能力实现不同维度安全规则的应用控制。业务应用层：包括网络安全日常运营管理、业务与资产识别、暴露面风险管理、数据安全监管、公共安全应用和技术实战支撑。网络安全日常运营管理支撑日常基础、流程化网络安全运营；业务与资产识别实现在线的业务与资产快速发现与管理；暴露面风险管理实现综合性暴露风险控制；数据安全监管实现数据处理、共享、交换等过程中的安全监管；公用安全应用完成与反诈系统衔接与综合应用等；网络安全技术实战支撑技术侧运营任务。指挥运营层：实现总览实时攻击、实时防御情况，网络安全态势等，满足不同层级、不同部门、不同角色的“看、管、监、控”需求。系统对接：包括对接系统和安全设备，系统对接包括市新型智慧城市网络安全态势感知和应急处置平台、圳智慧等平台；安全设备对接包括网络流量系统、服务器主机安全系统、终端安全系统、APT系统等。三、建设内容清单1.软件服务清单序号服务需求名称数量单位1数据融合层1.1数字化资产关联基础库1.1.1全量资产多维画像1项1.1.2单一资产详细画像1项1.1.3资产关联分析管理1项1.1.4资产数据综合信息大屏呈现1项1.1.5业务与资产信息底账管理1项1.1.6基础库基本配置管理1项1.1.7供应链综合信息管理1项1.1.8供应链基础信息管理1项1.2动态信息风险基础库1.2.1内外风险数据融合汇聚1项1.2.2风险数据分析1项1.2.3风险信息通报响应1项1.2.4风险数据应用1项1.2.5风险库专项配置1项2能力支撑层2.1安全能力管理2.1.1安全能力多维度信息呈现1项2.1.2安全能力出入库管理1项2.1.3能力态势与能力画像1项2.1.4能力信息应用管理1项2.1.5能力图谱管理1项2.1.6安全能力应用配置管理1项2.2综合能力编排2.2.1多类安全能力对接的自动化编排1项2.2.2安全编排自动化与响应（SOAR）数据关联分析1项2.2.3安全编排自动化与响应（SOAR）功能1项2.3安全数据集管理2.3.1安全数据专项采集1项2.3.2数据预处理强化1项2.3.3数据标签管理1项2.3.4数据精准降噪1项2.3.5数据处理能力1项2.3.6安全数据综合态势可视化1项2.4智能分析策略管理2.4.1基础配置管理1项2.4.2安全分析知识管理1项2.4.3安全分析场景及分析规则管理1项2.4.4安全分析结果应用与服务1项2.5关键分析场景与分析流程设计2.5.1流量安全分析场景与流程设计1项2.5.2攻击链分析场景与流程设计1项2.5.3主机安全分析场景与流程设计1项2.5.4威胁情报安全分析场景与流程设计1项2.5.5脆弱性安全分析场景设计1项2.5.6IP分析场景与流程设计1项2.5.7ID分析场景与流程设计1项2.5.8暴露面分析场景与流程设计1项2.5.9事件影响分析场景与流程设计1项2.5.10安全策略分析场景与流程设计1项2.6智能安全分析基础策略2.6.1攻击行为分析1项2.6.2安全事件分析1项2.6.3异常流量分析1项2.6.4威胁情报分析1项2.6.5业务数据异常分析1项2.6.6脆弱性分析1项2.7智能安全分析高级策略2.7.1高阶及深度数据关联分析1项3业务应用层3.1业务与资产分析识别3.1.1业务数据识别管理1项3.1.2资产数据识别管理1项3.1.3资产识别任务执行管理1项3.1.4资产清点与管理1项3.1.5业务安全态势1项3.1.6业务安全画像1项3.1.7整体业务安全监测1项3.1.8数据安全态势1项3.1.9数据安全画像1项3.1.10整体数据安全监测1项3.1.11部门安全态势1项3.2网络安全日常管理3.2.1待办工作1项3.2.2工作绩效管理1项3.2.3值班管理1项3.2.4任务编排控制1项3.2.5流程控制管理1项3.2.6综合通报管理1项3.2.7专项报表管理1项3.2.8专项工作流设置1项3.2.9知识库系统1项3.3网络安全工作检查与执行跟踪3.3.1安全工作移动办公1项3.3.2移动办公全局检索1项3.3.3移动办公工作提醒1项3.3.4移动办公信息安全通报1项3.3.5移动办公审批流1项3.3.6移动办公告警响应与跟踪1项3.3.7移动办公通报响应与跟踪处置1项3.3.8安全检查工作执行1项3.4网络安全综合管理3.4.1专题任务1项3.4.2关基安全工作管理1项3.4.3等级保护工作管理1项3.4.4供应链安全工作管理1项3.4.5重保特保工作管理1项3.4.6战时应急管理1项3.4.7绩效考核工作管理1项3.4.8培训工作管理1项3.4.9云平台安全工作管理1项3.5网络、业务与数据暴露面管理3.5.1综合暴露面态势1项3.5.2综合暴露面深度分析1项3.5.3综合暴露面管理1项3.5.4暴露面风险评估与处置跟踪1项3.5.5暴露面治理建议1项3.5.6监测信息汇聚1项3.5.7暴露面实时告警监测1项3.5.8暴露面安全风险监测1项3.6公共安全应用3.6.1电信诈骗防范保护子系统平台升级改造1项3.7网络安全日常管理基础配置管理3.7.1组织架构管理1项3.7.2账号管理1项3.7.3角色管理1项3.7.4权限管理1项3.7.5人员管理1项3.7.6工作发起及审批1项3.7.7自身安全管理1项3.8全维全域监测预警（基础类）3.8.1全网流量深度监测1项3.8.2主机&系统安全深度监测1项3.8.3策略安全监测1项3.8.4Web安全监测1项3.8.5威胁信息监测1项3.8.6可信系统安全监测1项3.8.7EDR终端安全监测1项3.9全维全域监测预警（应用类）3.9.1用户行为深度监测1项3.9.2深度邮件安全监测1项3.9.3深度网站安全监测1项3.9.4移动应用安全监测1项3.10快速响应事件处置优化3.10.1事件响应信息汇聚分析1项3.10.2安全通报功能优化1项3.10.3安全通报统计功能优化1项3.11精准研判分析预测3.11.1预测信息汇聚1项3.11.2ID分析1项3.11.3IP分析1项3.11.4情报命中分析1项3.11.5攻击方向分析1项3.11.6优先处置事件分析1项3.11.7疑似失陷主机分析1项3.12动态纵深主动防御3.12.1防御信息汇聚1项3.12.2IP封堵策略设置1项3.12.3自动封堵设置1项3.12.4自动封堵1项3.12.5自定义封堵1项3.12.6告警列表封堵1项3.12.7IP封堵记录表1项3.13数据安全监管3.13.1数据运行操作1项3.13.2统计报告管理1项3.13.3数据安全监管体系管理1项3.13.4数据全景视图1项3.13.5系统配置管理1项4指挥运营层4.1总体综合态势呈现4.1.1全维全域监测信息呈现1项4.1.2快速持续响应信息呈现1项4.1.3动态监测预警信息呈现1项4.1.4持续纵深防御信息呈现1项4.1.5资产与业务摸排信息可视化1项4.1.6风险识别数据可视化1项4.1.7分拨处置数据管理1项4.2实时攻击及防御全景分析与应用4.2.1总体攻击事件与告警态势分析与应用1项4.2.2单位/部门被攻击情况态势1项4.2.3业务系统受攻击情况1项4.2.4总体攻击趋势图1项4.2.5攻击关系图1项4.2.6动态防御数据分析及展示1项4.2.7攻击阻断路线动态回溯展示1项4.2.8攻击面管理信息分析与可视化1项4.3综合信息共享4.3.1运营职能划分信息管理及可视化1项4.3.2运营人员分工情况信息管理及可视化1项4.3.3运营管理制度信息管理及可视化1项4.3.4运营技术支撑信息可视化1项4.3.5运营团队组织信息管理及可视化1项4.3.6业务安全综合状信息管理及态可视化1项4.3.7资产安全综合状态信息管理及可视化1项4.3.8安全布防能力实效状态展示1项4.3.9综合攻击数据实时分析与跟踪展示1项4.3.10综合防御状态实时分析跟踪与展示1项4.4多级联合指挥协同4.4.1关键安全指标与场景关联管理1项4.4.2场景发布与共享控制管理1项4.4.3部门之间信息协同1项4.5安全运营、技术、作战状态协同4.5.1指挥运营场景库管理能力1项4.5.2指挥运营指标库管理能力1项4.5.3各类安全关键技术指标与场景定义与管理能力1项5系统对接5.1安全设备与软件系统对接5.1.1对接资产测绘探针1项5.1.2对接全流量分析系统1项5.1.3对接web攻击溯源系统1项5.1.4对接网络攻击溯源系统1项5.1.5对接蜜罐系统1项5.1.6对接WAF探针1项5.1.7对接K01探针1项5.1.8对接主机探针1项5.1.9对接数据库审计系统1项5.1.10对接VPN系统1项5.1.11对接威胁情报系统1项5.1.12对接APT攻击监测系统1项5.1.13对接终端安全系统1项5.2系统对接5.2.1对接市新型智慧城市网络安全态势感知和应急处置平台1项5.2.2对接智慧平台1项2.硬件设备清单序号货物名称数量单位1网络全流量检测设备3台2主机安全防护设备1台3攻击溯源检测设备1台4威胁情报检测分析设备1台5漏洞扫描管理设备1台6资产测绘设备1台7网络阻断器2台8网络安全设备策略管理设备1台四、项目技术要求（一）软件服务功能要求1、数据融合层1.1数字化资产关联基础库 1.1.1全量资产多维画像提供全量资产信息分层画像、管理员资产信息详细画像、单位/部门资产情况详细画像、业务系统资产情况画像等功能。全量资产信息分层画像提供机房地理位置信息、安全域分类信息、开放端口分类信息、操作系统分类信息、数据库分类信息、资产组件分类信息、信息系统分类信息等的管理与展示。管理员资产信息详细画像提供管理员基本权责信息、管理信息系统信息、信息系统信息统计、IP资产信息统计等的管理与展示。单位/部门资产情况详细画像提供单位/部门资产情况画像，对单位/部门信息系统基本信息、单位/部门信息系统详细信息、单位/部门IP资产基本信息、单位/部门IP资产分类信息进行管理与展示，并对资产进行活动状态与资产流量监控。业务系统资产情况画像提供信息系统基本信息、信息系统类型、信息系统权责关系、资产部署环境分布、主机防护情况等的管理与展示。1.1.2单一资产详细画像提供单一资产画像、单一资产分层关系图自动分析与绘制等功能。单一资产画像提供资产基本信息、资产权属信息、资产操作记录、资产分层信息、资产开放端口信息、资产组件分布、资产热度趋势、资产物理信息等的管理与展示。单一资产分层关系图自动分析与绘制提供物理层信息分析与定位、网络层信息、主机层信息、系统层信息、数据库层信息、支撑层信息、业务层信息等的分析与关联，自动生成并呈现关系图。1.1.3资产关联分析管理提供业务承载关联分析、资产与开放服务/组件关联分析、资产权责关联分析、资产操作系统关联分析、资产数据库关联分析、资产与人员关联分析等功能。业务承载关联分析包括业务系统数据管理、分析与统计、业务系统分类管理与资产关联分析、业务系统所包含资产信息的统计分析管理、资产与业务关联管理、资产与业务关联关系检索、关联结果导出等内容。资产与开放服务/组件关联分析包括全量资产组件信息管理、资产与组件关联管理与应用、全量资产开放服务信息管理、资产与开放服务关联管理与应用、资产中协议端口信息管理、资产与协议、端口关联管理与应用、动态关联关系检索与应用等内容。资产权责关联分析包括资产与权属单位/部门关联管理、资产与运维单位/部门关联管理、权属关联关系检索与应用、权属关联信息导出、一级单位权属关联扩展应用、二级单位权属关联扩展应用、三级单位权属关联扩展应用等内容。资产操作系统关联分析包括操作系统信息管理与应用、操作系统信息动态检索等内容。资产数据库关联分析包括数据库信息管理与应用、数据库信息动态检索等内容。资产与人员关联分析包括人员与资产信息管理与应用、人员资产信息动态检索等内容。1.1.4资产数据综合信息大屏呈现提供资产权属关系大屏视图、资产分层信息大屏视图、资产统计信息大屏视图、资产操作变更状态信息大屏视图等功能。资产权属关系大屏视图展示单位与部门信息、信息系统信息和信息系统中资产信息资产分层信息大屏视图提供业务层信息、支撑层信息、数据库层信息、系统层信息、主机层信息、网络层信息、物理层信息等的呈现。资产统计信息大屏视图展示资产发现总量、资产库总量、待出库资产总量、资产类型统计等信息资产操作变更状态信息大屏视图展示入库操作、入库审批、属性变更、出库操作、出库审批等信息。1.1.5业务与资产信息底账管理提供资产自动发现、资产手工入库管理、资产信息总览、业务信息管理、资产出库管理、资产报告管理、资产操作记录等功能。资产自动发现包括资产的自动发现任务管理与基础数据分析、资产发现数据集管理、资产技术类信息自动补齐、资产业务信息自动补齐、自定义自动发现任务与检测周期、关键区域资产实时监测、资产自动发现统计管理、资产信息确认与入库管理、资产自动发现后实时通知相关单位管理员等内容。资产手工入库管理包括按信息系统人工录入资产信息、单一信息资产人工录入、资产属性信息自定义管理、关键资产属性信息合规性检查、批量资产信息导入等内容。资产信息总览包括业务系统资产总览、部门资产信息总览、人员资产信息总览、多维度信息查询支撑等内容。业务信息管理包括业务信息入库管理、业务信息查询、业务信息可视化呈现、业务信息导出服务等内容。资产出库管理包括资产出库基线设定、资产出库策略匹配监测、出库判定与确认、出库资产信息管理等内容。资产报告管理包括自动生成报告任务设置、报告模板管理、报告生成管理与控制、报告使用情况跟踪管理、报告情况反馈管理等内容。资产操作记录包括入库操作记录、入库审批记录、属性变更记录、出库操作记录、出库审批记录、出库操作记录查询、出库操作记录导出等内容。1.1.6基础库基本配置管理提供部门信息管理、人员信息管理、账号权限设置、IP区域信息管理、IP段配发管理、机房信息管理、扫描区及任务设置、资产操作基本工作流程设置、资产发现探针设置等功能。部门信息管理包括第三方信息系统对接、第三方信息自动获取、部门信息比对、部门信息查看等内容。人员信息管理包括第三方信息系统对接、第三方信息自动获取、人员信息比对、人员信息查看等内容。账号权限设置包括账号权限授权、账号权限变更记录、账号权限信息查询等内容。IP区域信息管理包括IP段信息在线管理等内容。IP段配发管理包括基于组织架构进行配发、基于物理区域进行配发、基于业务域进行配发、基于人员ID进行配发等内容。机房信息管理包括机房信息管理、机房信息查询与应用等内容。扫描区及任务设置包括扫描区信息管理、扫描任务管理、扫描任务执行统计等内容。资产操作基本工作流程设置包括资产入库工作流、资产出库工作流、资产属性变更工作流、账号管理设置工作流、扫描任务设置工作流等内容。资产发现探针设置包括探针信息管理、探针资产数据集格式设计、探针应用情况统计与跟踪等内容。1.1.7供应链综合信息管理提供供应链企业总体情况管理、供应链全量产品服务管理等功能。供应链企业总体情况管理包括供应链企业信息统计、企业星级分布、重点企业概览、企业资质排行、重点资质概览、供应链合作统计、企业历史合作排行、企业地域分布等内容供应链全量产品服务管理包括供应链产品统计、产品状态分布、产品类型排行、供应链服务统计、服务状态分布、服务类型分布等内容。1.1.8供应链基础信息管理提供供应链企业信息管理、供应链产品信息管理、供应链服务信息管理、供应链人员信息管理、合同信息管理等功能。供应链企业信息管理包括供应链企业画像管理、供应链企业信息查询与检索、供应链企业信息管理等内容。供应链产品信息管理包括供应链产品信息查询与检索、运营记录新增、供应链产品信息管理等内容。供应链服务信息管理包括供应链服务信息检查与检索、运营记录信息管理、供应链服务信息管理等内容。供应链人员信息管理包括供应链人员信息查询与检索、供应链人员信息管理等内容。合同信息管理包括合同信息查询与检索、合同信息管理等内容。1.2动态信息风险基础库1.2.1内外风险数据融合汇聚提供风险基础数据统计与可视化、风险基础数据接入跟踪、风险数据动态管理等功能。风险基础数据统计与可视化包括风险基础数据管理与统计、风险基础数据概览等内容。风险基础数据接入跟踪包括风险基础数据接入跟踪、风险数据入库管理、威胁情报数据接入、数据自动入库验证、手动添加风险与威胁数据等内容。风险数据动态管理包括风险分级数据管理、风险分类管理、重点风险信取消关注管理等内容。1.2.2风险数据分析提供风险数据分析与研判、风险信息分布分析等功能。风险数据分析与研判包括风险数据分析与应用、多源风险数据标准化、风险与资产/业务系统关联分析等内容。风险信息分布分析包括各部门风险情况分析与分布情况通报、重要单位风险情况分析与分布情况通报、业务风险情况分析与分布情况通报、资产风险情况分析与分布情况通报等内容。1.2.3风险信息通报响应提供风险通报总览、风险通报处理与响应跟踪管理等功能。风险通报总览包括风险通报概览、风险通报来源、风险通报重要级别等内容。风险通报处理与响应跟踪管理包括风险通报下发趋势、风险通报结单情况管理、风险通报超时未响应管理、超时未处置完成风险通报管理等内容。1.2.4风险数据应用提供弱点及威胁情报信息画像、风险数据统计报告管理等功能。弱点及威胁情报信息画像包括风险管理视图、风险统计视图等内容。风险数据统计报告管理风险报告自动生成管理、风险报告应用、风险报告信息反馈等内容。1.2.5风险库专项配置提供风险信息出入库工作流程设置等功能。风险信息出入库工作流程设置包括风险入库工作流设置和风险出库工作流设置等内容。2、能力支撑层2.1安全能力管理 2.1.1安全能力多维度信息呈现提供能力分布视图、能力分层视图、能力影响视图等功能。能力分布视图包括能力物理分布视图、能力网络分布视图等内容。能力分层视图包括能力类型分布视图、能力层级分布视图等内容。能力影响视图包括能力影响信息系统视图、能力影响IP资产视图等内容。2.1.2安全能力出入库管理提供能力入库管理、能力出库管理等功能。能力入库管理包括能力分级分类、能力入库管理等内容。能力出库管理包括出库基线设定、能力出库管理等内容。2.1.3能力态势与能力画像提供能力整体态势信息输出、安全能力画像等功能。能力整体态势信息输出包括能力总量管理与可视化、安全能力厂商情况可视化、安全能力分类情况可视化、组织能力分布情况可视化、安全能力对接情况可视化等内容。安全能力画像包括能力基本画像、能力部署画像、能力对接画像等内容。2.1.4能力信息应用管理提供能力信息应用与输出、能力数据信息管理与应用、能力深度对接管理、能力API文档信息管理、安全能力管理报告管理等内容。能力信息应用与输出包括能力信息查询、能力信息输出、各单位安全能力管理等内容。能力数据信息管理与应用包括能力API数据管理、能力全量数据管理、能力SYSLOG数据管理、能力指令信息管理等内容。能力深度对接管理包括安全能力深度对接管理、安全能力指令深度关联管理等内容。能力API文档信息管理包括API文档在线应用、API文档管理、批量导入API文档等内容。安全能力管理报告管理包括报告信息管理、自定义报告任务管理、报告模板管理、报告下载管理、报告反馈管理等内容。2.1.5能力图谱管理提供能力图谱管理等功能。能力图谱管理包括能力接入统计、运行状态统计、能力调用统计、平台能力分布展示、平台能力调用展示、能力调用趋势、能力信息列表展示、条件查询、能力接入、能力编辑、查看详情、连通测试、能力删除、能力调用列表展示、条件查询、查看调用日志、重新调用等内容。2.1.6安全能力应用配置管理提供基本配置管理、工作流设置与管理等功能。基本配置管理包括能力分类配置管理、安全域配置等内容。工作流设置与管理包括能力入库工作流、能力出库工作流、能力属性变更工作流等内容。2.2综合能力编排 2.2.1多类安全能力对接的自动化编排提供安全编排自动化与响应(SOAR)自动化编排响应与处置跟踪、安全编排自动化与响应(SOAR)自动化编排剧本等功能。安全编排自动化与响应(SOAR)自动化编排响应与处置跟踪包括自动化编排工作信息总览、剧本数量统计与状态分布情况、剧本执行情况统计、剧本有效性检测事件统计等内容。安全编排自动化与响应(SOAR)自动化编排剧本包括剧本信息可视化管理、剧本可视化编辑管理、剧本基本信息设置、剧本执行节点选择、剧本执行节点关系编排、剧本执行节点条件设置、剧本复制管理、处置工作表单编排、流程与剧本分析处置条件设计、剧本运行管理等内容。2.2.2安全编排自动化与响应(SOAR)数据关联分析提供安全编排自动化与响应(SOAR)关联分析数据管理、安全编排自动化与响应(SOAR)执行指令调用管理等功能。安全编排自动化与响应(SOAR)关联分析数据管理包括数据与事件信息关联管理、剧本执行结果输出管理等内容。SOAR安全编排自动化与响应(SOAR)执行指令调用管理包括指令对接管理、指令调用统计等内容。2.2.3安全编排自动化与响应(SOAR)功能提供剧本复制与验证等功能。剧本复制与验证包括剧本导入管理、剧本在线验证管理等内容。2.3安全数据集管理 2.3.1安全数据专项采集提供数据来源管理、数据类型管理、数据采集强化管理、源数据查询与管理、数据采集监控等功能。数据来源管理包括数据源基础配置、数据源类型识别、数据源画像、数据源监测与统计等内容。数据类型管理包括数据类型分类管理、全流量数据类型设计、APT数据类型设计、主机安全数据类型设计、威胁情报数据类型设计、自定义数据类型设计等内容。数据采集强化管理包括采集方式管理、HTTP数据采集设计、SDK数据采集设计、WebService数据采集设计、数据库只读数据采集设计、Kafka消息队列数据采集设计、SYSLOG日志数据采集设计等内容。源数据查询与管理包括源数据综合查询与管理、结构化数据查询管理、非结构化数据查询管理、查询结果集管理、查询结果导出管理、查询结果存储管理、专项特定数据提取管理等内容。数据采集监控包括采集监控任务管理、数据采集进度跟踪、数据采集异常管理、采集异常处置跟踪管理、采集任务监控指标设计、采集数据配置管理、采集节点管理、采集节点监控、Kafka采集工作管理、监控指标优化设计与管理等内容。2.3.2数据预处理强化提供清洗过滤、归并关联、数据富化、数据标准化、元数据管理等内容。清洗过滤包括估算过滤规则管理与应用、整列删除过滤规则管理与应用、变量删除过滤规则管理与应用、成对删除过滤规则管理与应用、数据取值合理性验证设计、数据逻辑合理性验证设计、异常/被过滤数据统计与分析、过滤规则迭代管理、过滤效果审核与校验等内容。归并关联包括数据归并规则管理、归并效果验证、归并数据集输出、1：1数据归并规则设计、1：N数据归并规则设计、M：N数据归并规则设计、数据属性位置排序管理设计等内容。数据富化包括数据富化规则管理与控制、数据富化信息支撑与应用、数据富化字段源数据管理、威胁情报数据源引用管理、安全数据与威胁情报数据富化管理、数据富化效果分析与统计等内容。数据标准化包括数据标准化规则管理与控制、源数据依据标准规则转换设计、源数据标准化结果分析与统计、Min-max标准化设计、z-score标准化设计等内容。元数据管理包括元数据基础数据管理、业务元数据管理、技术元数据管理、角色元数据管理、操作元数据管理等内容。2.3.3数据标签管理提供标签管理、标签应用、标签生产、标签质量等功能。标签管理包括数据标签基础信息管理、数据标签自定义管理、数据标签分类管理、数据标签信息统计管理等内容。标签应用包括数据标签与数据对应关系检查设计、数据标签应用排名统计、多重数据标签应用检测设计、数据标签应用权限管理等内容。标签生产包括自动化数据标签生成与管理、自定义数据标签生成与管理、数据标签与数据类型自动匹配规则设计、数据标签与数据源类型识别规则管理等内容。标签质量包括数据标签质量分析等内容。2.3.4数据精准降噪提供降噪编排、降噪任务管理、单点特征去重、静态剥离降噪、多元合并降噪、冗余威胁降噪、可信白名单降噪、无效攻击降噪等功能。降噪编排包括数据降噪任务编辑与管理、数据降噪编排流程管理、数据降噪功能节点拖拽管理、数据降噪关键功能点管理、数据降噪编排权限管理、自定义降噪流程分组管理等内容。降噪任务管理包括降噪任务执行跟踪、降噪任务执行控制、降噪任务执行统计管理等内容。单点特征去重包括单点特征去重规则管理、自动去重规则设计、去重特征值命中与匹配统计、单一规则命中匹配统计等内容。静态剥离降噪包括告警数据频率分析、高频动态告警数据识别管理、告警级别管理、低频高等级告警信息识别、静态剥离降噪规则管理、静态剥离降噪执行结果统计等内容。多元合并降噪包括多源数据收集与合并管理、多源数据关键属性匹配管理、同IP源+同类告警合并规则设计、多源数据合并操作统计管理、多源数据合并执行权限管理、多源数据合并命中效果评价等内容。冗余威胁降噪包括威胁数据信息管理、冗余数据识别规则管理、冗余数据判断与分析设计、冗余数据合并命令统计等内容。可信白名单降噪包括白名单信息管理、白名单信息规则管理、白名单匹配规则流程控制、白名单命中匹配统计等内容。无效攻击降噪包括无效攻击数据规则管理、低质量告警数据源管理、无效告警数据动态跟踪等内容。2.3.5数据处理能力提供处理流编排、数据处理任务、泛化解析、插件管理、任务模板等功能。处理流编排包括处理流编排等内容，建立自动化编排能力，可视化配置数据处理任务。数据处理任务包括数据处理任务等内容，可对任务进行创建、编辑、删除和拷贝等操作，监控运行状态。泛化解析包括泛化规则设计、关键字段配置、数据映射配置、数据字典配置、网段管理与关联设计等内容。插件管理包括插件管理等内容，将通用化处理能力封装为插件，对插件状态进行控制。任务模板包括任务模板等内容，建立任务处理模板，可对任务处理模板进行管理。2.3.6安全数据综合态势可视化提供数据综合态势、数据采集态势、数据精准降噪态势等功能。数据综合态势包括数据综合态势等内容，对数据采集场景中的各类关键指标进行统一管理与呈现。数据采集态势包括数据采集态势等内容，对数据采集的相关指标进行统一管理与呈现。数据精准降噪态势包括数据精准降噪态势等内容，可对各类降噪规则下的关键指标进行统一管理与呈现。2.4智能分析策略管理 2.4.1基础配置管理提供策略分析与业务匹配规则管理、安全域配置管理、安全设备与分析策略匹配管理、数据集信息管理等功能。策略分析与业务匹配规则管理包括策略分析与业务匹配规则管理等内容，实现可视化的规则配置管理，验证匹配策略分析规则的有效性，对规则信息进行可视化的增删除查改操作。安全域配置管理包括安全域配置管理等内容，建立安全域边界信息集，实现数据与安全域的对应管理，呈现安全域与数据信息的对应关系，对安全域信息进行可视化的增删查改操作，对安全域内的数据进行分析策略匹配关联管理。安全设备与分析策略匹配管理包括安全设备与分析策略匹配管理等内容，对不同的安全设备建立数据分析规则匹配关系，建立相关安全设备的最佳数据分析匹配机制，自动与相关分析策略建立对应关系。数据集信息管理包括数据集信息管理等内容，对安全数据集内的各类数据信息进行呈现与对接管理，对策略分析结果所产生的数据集进行管理。2.4.2安全分析知识管理提供安全分析场景和分析规则知识管理、安全事件分析知识管理、安全攻防知识管理等功能。安全分析场景和分析规则知识管理包括知识管理、知识使用支撑等内容。安全事件分析知识管理包括安全事件分析知识管理等内容，建立安全事件历史信息管理与应用、安全事件响应最佳实践知识管理功能。安全攻防知识管理包括安全攻防知识管理等内容，建立安全攻防知识管理与应用、攻防对抗案例管理功能等功能。2.4.3安全分析场景及分析规则管理提供安全分析场景管理、安全分析规则配置、安全分析线索管理、生态安全能力综合分析设计、数据流式分析设计、分析规则管理等功能。安全分析场景管理包括安全分析场景管理等内容，建立安全分析场景管理、分析场景中关键性属性（时间节点、交换机制、数据接入、应急响应）编排能力、分析场景使用跟踪评价管理等功能。安全分析规则配置包括安全分析规则配置管理、安全分析规则应用管理等内容。安全分析线索管理包括安全分析线索管理等内容，建立安全分析线索管理功能，将分析线索与分析规划进行关联应用，将线索与分析规则关联后的规则模型导出为格式化数据，验证分析规则执行逻辑，对分析规则优化与迭代提供支撑。生态安全能力综合分析设计生态安全能力综合分析设计等内容，可将指定的各个不同品牌和型号的安全设备、安全产品、安全系统、各厂商的安全算法模型上报的海量安全告警通过大数据关联分析将聚合、归并、关联、统一，并进行归并去重优化、白名单优化、攻击场景优化。数据流式分析设计包括多属性流式分析设计、多源数据事件流式分析设计等内容。分析规则管理包括单一能力/数据来源分析规则管理、两级能力/数据来源分析规则管理、多级能力/数据来源分析规则管理、分析规则跟踪评估管理、规则模型测试管理、模型质量跟踪管理、第三方接口（自定义与第三方规则）等内容。2.4.4安全分析结果应用与服务提供分析结果详情信息支撑服务、分析结果信息集支撑服务、分析结果信息的自定义输出等功能。分析结果详情信息支撑服务包括分析结果详情信息支撑服务等内容，提供详细的事件信息服务支撑能力，包括事件等级、时间属性、关联规则、攻击源与目标、影响范围、处置建议、处置结果、关联数据信息等，利用API等统一接口对外服务。分析结果信息集支撑服务包括分析结果信息集支撑服务等内容，提供对安全分析事件的模糊搜索功能，对查询结果提供事件集信息的输出管理，将事件集信息通过API接口提供对外服务，对查询结果进行下钻操作。分析结果信息的自定义输出包括分析结果信息的自定义输出等内容，将分析结果信息进行自定义输出，对输出字段属性项、属性信息排序等进行自定义，在线查看结果信息并提供信息输出，通过API接口向其他系统提供信息服务，保存与管理自定义规则，在授权范围内管理自定义规则。2.5关键分析场景与分析流程设计 2.5.1流量安全分析场景与流程设计通过统计、特征值、畸形数据包、基线比对等方法识别安全域异常流量，分析异常流量的安全风险。1、对于流量的数据流、数据包、交互情况等，结合安全知识分析异常情况。2、流量与安全域、资产、告警、威胁情报等其他配置与数据的叠加关联。2.5.2攻击链分析场景与流程设计通过将所有安全能力告警信息基于时序、逻辑关联、顺序关联等进行攻击链梳理及绘制。1、异构告警信息综合分析，实现告警到事件到攻击链的梳理。2、实现以特定告警为起始点的，上下游攻击行为及攻击扩散过程的梳理与分析。2.5.3主机安全分析场景与流程设计通过将主机数据、资产数据与告警数据进行关联聚合，形成全网主机安全分析场景及配套流程。1、对于主机的端口开放情况、文件情况、服务进程启用等，结合安全知识分析异常情况。2、主机信息与安全域、资产、告警、威胁情报等其他配置与数据的叠加关联。2.5.4威胁情报安全分析场景与流程设计通过对威胁情报进行分类分层标记，优化当前情报源，提高威胁情报的使用效率效果，支撑监测、响应、预测、防护、策略调整、应急响应与指挥决策等操作。1、哈希值、IP、URL、域名等基础情报内容的匹配、查询、利用。2、威胁情报指导下的深入分析、策略应对和防护。2.5.5脆弱性安全分析场景设计通过将各类安全检测探针提供的漏洞信息、基线信息、弱口令信息等，与资产信息进行匹配，形成资产脆弱性分析结果。风险要素的核心是资产，资产存在脆弱性，威胁通过利用资产存在的脆弱性导致风险。在掌握资产集的基础上，收集、导入脆弱性相关信息是实现安全分析过程中风险评估的必要环节。2.5.6IP分析场景与流程设计以全网IP信息作为数据基础，实现IP的精准定位。通过关联分析，快速确定IP分类、权属运维关系及其存在的风险与威胁。1、以IP维度检索某个IP，该IP相关的所有信息可展示，不限于日志信息、资产信息等。2、以IP的维度分析该IP属于哪个信息系统，该IP关联的漏洞信息。2.5.7ID分析场景与流程设计以ID为基础，将现实用户与网络账号进行对应，通过关联分析，评估ID风险、识别危险账号。1、以ID维度进行检索，对所属该ID的所有账号信息进行可视化展示，包括用户基本信息与关联账号信息等。2、以ID、账号维度进行风险分析，基于脆弱性信息与告警信息，对账号风险进行评估，从而实现用户ID的风险评估。基于多维告警信息，识别危险账号。2.5.8暴露面分析场景与流程设计结合网络空间资产测绘能力与企业内部资产信息，分析资产在互联网暴露情况。以业务层、支撑层、组件层三个维度分析外网暴露面。2.5.9事件影响分析场景与流程设计针对安全告警，梳理其影响范围及可能存在的事件发展趋势。1、基于时间顺序，基于以发生的行为的逻辑顺序，梳理某一告警行为的影响范围。2、基于网络访问关系，针对已发生的告警，梳理其可能关联到的目标与攻击者可能会利用的攻击方式。2.5.10安全策略分析场景与流程设计以全网IP信息作为数据基础，实现IP的精准定位。通过关联分析，快速确定IP分类、权属运维关系及其存在的风险与威胁。1、以IP维度检索某个IP，该IP相关的所有信息可展示，不限于日志信息、资产信息等。2、以IP的维度分析该IP属于哪个信息系统，该IP关联的漏洞信息。2.6智能安全分析基础策略2.6.1攻击行为分析提供弱口令利用分析、APT攻击分析、扫描探测分析、后门攻击分析、网络钓鱼分析、网络诱捕分析等功能。弱口令利用分析包括弱口令利用分析、弱口令处置验证分析等内容。APT攻击分析包括APT攻击分析等内容，通过全网态势，结合APT模型，对利用APT攻击的行为进行检测与发现，主要包括攻击方式、攻击过程、攻击手段等信息，以提升对于APT攻击的响应，降低APT攻击。扫描探测分析包括扫描探测分析、扫描探测验证分析等内容。后门攻击分析包括后门攻击分析、后门处置验证分析等内容。网络钓鱼分析包括网络钓鱼分析等内容，对利用欺骗性的计算机网络技术，如钓鱼邮件，使用户泄漏重要信息而导致的网络安全事件进行分析，分析定位受网络钓鱼邮件攻击的终端，加强用户的安全意识。网络诱捕分析包括网络诱捕分析等内容，利用网络诱捕技术对攻击行为进行监测与分析，分析溯源其设备指纹、位置信息、社交指纹、反向探测-漏洞信息等内容，并可在白名单之外进行触发诱捕行为的特定条件自动处置，提升网络系统的自动防护能力。2.6.2安全事件分析提供web应用安全事件分析、策略安全事件分析、邮件系统安全事件分析、终端安全事件分析、信息泄露事件分析、特权用户安全事件分析、用户异常状态甄别与行为分析等功能。web应用安全事件分析包括web应用安全事件分析、WEB应用安全事件处置分析等内容。策略安全事件分析包括策略安全事件分析、策略安全事件处置分析等内容。邮件系统安全事件分析包括邮件系统安全事件分析等内容，从多维度对邮件安全进行梳理和分析，包括邮件威胁分类、邮件威胁分级、邮件威胁种类分布、邮件威胁方向分布、邮件威胁关键词、邮件威胁附件类型统计、攻击源统计、攻击源发起、攻击源分布等信息。终端安全事件分析包括终端安全事件分析、终端安全事件处置分析等内容。信息泄露事件分析包括信息泄露事件分析等内容，针对可能存在的重要、敏感的信息泄露情况进行安全分析，监测并分析主要的威胁来源、入侵的动机、采用的窃取方式、入侵的目标数据、可能失泄的信息范围等，加强数据安全防护措施，避免关键信息的外泄。特权用户安全事件分析包括特权用户安全事件分析、特权用户安全事件处置分析等内容。用户异常状态甄别与行为分析包括用户异常状态甄别与行为跟踪、用户异常状态处置结果分析等内容。2.6.3异常流量分析提供基于特征值的流量分析、异常流量数据包分析、流量基线异常分析、流量异常风险分析等功能。基于特征值的流量分析包括基于特征值的流量分析、命中特征值流量处置分析等内容。异常流量数据包分析包括异常流量数据包分析等内容，截取发生异常的流量数据包，分析异常流量的行为特点、传输内容等信息，从而快速判断异常流量突发的根本原因。流量基线异常分析包括流量基线异常分析、命中流量基线的异常状态处置分析等内容。流量异常风险分析包括流量异常风险分析等内容，根据全网流量监测基线，实时监测并分析网络中发生异常的数据流量段，针对全网异常流量数据包，分析产生异常流量的原因，研判此次异常流量可能产生的安全风险，并进行影响面评估，发现日常存在的安全弱点和盲点，并及时采取相应处置措施，阻止事态继续发展。2.6.4威胁情报分析提供黑IP匹配分析、黑URL匹配分析、黑域名匹配分析、威胁与业务匹配分析、多源情报关联分析、业务系统威胁变化分析、高级威胁预警分析、网内威胁利用分析等功能。黑IP匹配分析包括黑IP匹配分析、黑IP处置结果分析等内容。黑URL匹配分析包括黑URL匹配分析、黑URL处置结果分析等内容。黑域名匹配分析包括黑域名匹配分析、黑域名处置结果分析等内容。威胁与业务匹配分析包括威胁与业务匹配分析等内容，将威胁情报信息与业务系统进行关联分析，对命中的业务资产进行排名，评估该业务资产所遭受威胁情况。多源情报关联分析包括多源情报关联分析等内容，将第三方采购的威胁情报、自身收集的情报数据以及上级监管单位下发的情报通知等多来源的情报信息进行多维度、多层面的关联分析，寻找存在的共通点和差异性，进一步提高情报数据的质量和准确度。业务系统威胁变化分析包括业务系统威胁变化分析等内容，实时监测业务系统所遭受的威胁变化趋势，对业务系统遭受的威胁变化情况进行分析。高级威胁预警分析包括高级威胁预警分析等内容，通过感知网络安全风险与事件告警情况，对威胁告警级别进行排列，对于高级别的威胁告警信息进行多维度的关联分析，包括告警时间、告警来源、源IP、目的IP、关联的业务状况等。网内威胁利用分析包括网内威胁利用分析等内容，通过对内部威胁攻击者利用合法获得的访问权对信息系统造成负面影响的行为进行分析，定位内网中能存在的高风险漏洞，以及攻击者已经在网内利用相关漏洞进行攻击的行为踪迹和路径及关联性等。2.6.5业务数据异常分析提供数据流向异常分析、数据异常访问分析、数据策略变化分析、数据授权异常分析、异常数据源定位分析、数据安全失控分析、数据异常访问统计分析、数据体量异常分析等功能。数据流向异常分析包括数据流向异常分析等内容，通过对网络流量中信息包的抓取，对数据来源和去向进行多广度和多维度的分析，判断数据流量异常原因。包括流量流向分析、异常流量检测、异常流量控制、异常流量净化等。数据异常访问分析包括数据异常访问分析等内容，建立有效数据访问规则策略，利用策略监测系统，对重要数据资产的访问状态进行实时监测，监测数据系统的实时服务关系，对发生的异常访问行为进行分析与跟踪。数据策略变化分析包括数据策略变化分析等内容，对全网安全域间访问策略关系进行实时监测，统计分析重要数据系统的访问策略变化以及违规策略状态，提出数据策略变化风险提示。数据授权异常分析包括数据授权异常分析等内容，对重要数据资产的权属关系进行实时监测，包括数据权属负责人、权属单位、运维负责人、运维单位等信息，当数据授权访问的信息不匹配时，将对其进行异常行为分析与跟踪。异常数据源定位分析包括异常数据源定位分析等内容，通过流量探针、数据审计系统等，快速发现网内出现的未知或未管理的数据源，定位数据源所在，为数据非授权服务提供支撑。数据安全失控分析包括数据安全失控分析等内容，动态实时感知数据资产存在的漏洞情况和风险告警情况，防止所保护的数据资产的安全状况呈现失控状态。数据异常访问统计分析包括数据异常访问统计分析等内容，对重要数据资产不同时间维度的数据访问热度进行趋势统计和实时监测，当发现该数据的热度变化异常时，如某一时间段访问突增，对数据异常访问情况进行深度分析。数据体量异常分析包括数据体量异常分析等内容，对数据资产的整体存储情况进行实时监测，当某一数据的体量与日常平均体量存在较大偏差时，将对其异常变化进行深度分析。2.6.6脆弱性分析提供POC监测分析、POC信息关联分析、高危操作分析、暴露面分析、失陷系统分析等功能。POC监测分析包括POC监测分析等内容，通过对接互联网侧的资产测绘探针，发现暴露面可能存在的安全风险，并要求及时进行修复和完善。POC信息关联分析包括POC信息关联分析等内容，通过对POC监测与测试过程中产生的信息进行关联，判断所接入的安全能力的强壮度与风险状态，并对可能影响的业务系统进行评估，提供风险隐患提示。高危操作分析包括高危操作分析等内容，通过主机探针、堡垒机探针、VPN、IAM探针等，检测出现的各类高危操作行为，如带明文口令的命令行、非授权的提权操作等，有效发现安全风险并进行风险提示。暴露面分析包括暴露面分析等内容，从基础层、支撑层和业务层三层角度，分析在公网环境的暴露信息，包括暴露面的各个协议、IP、端口、组件、以及不同业务等相关信息，展示对外暴露攻击面情况。失陷系统分析包括失陷系统分析等内容，基于失陷系统的溯源分析，支持从失陷的各个阶段进行溯源查询和分析，还原攻击者的攻击路径，具体的安全事件和网络会话，综合分析系统的安全问题，分析结果帮助运营人员完成从聚焦安全事件到聚焦具体失陷设备的目的。2.7智能安全分析高级策略 2.7.1高阶及深度数据关联分析提供高阶及深度数据关联分析功能，包括攻击链分析、攻击溯源取证分析、资产深度安全分析、用户行为深度分析、事件影响范围分析、事件发展趋势分析、历史事件匹配分析、事件重放与验证、安全事件自动化分析、业务安全专项场景分析、数据安全专项场景分析、资产安全专项场景分析、Web攻击检测告警检测与分析、恶意扫描告警检测与分析、挖矿木马攻击告警检测与分析、历史攻击回溯告警检测与分析、日志破坏检测告警检测与分析、系统提权检测告警检测与分析、错误日志检测告警检测与分析、漏洞利用告警检测与分析、配置合规告警检测与分析、威胁狩猎告警检测与分析、防火墙策略核查与分析、告警加白分析与处置、高级邮件威胁检测与分析、自动化威胁猎捕溯源分析、日志关联分析等内容。攻击链分析包括攻击链分析设计、攻击链分析应用设计等内容。攻击溯源取证分析包括攻击溯源取证分析、攻击溯源取证分析应用等内容。资产深度安全分析包括资产深度安全分析等内容，用于资产攻击面的管理场景，除了对已知资产的常规漏洞管理外，重点已攻击者视角持续清点、分类、优先级排序和监控攻击面，包括未知资产、泄漏数据、流氓资产和供应商，专门针对攻击面建立修复更新策略、数据备份、最小化漏洞处理、监测指标与审计策略资产等角监控关注资产外部攻击面。用户行为深度分析包括用户行为深度分析、用户行为深度分析结果应用等内容。事件影响范围分析包括事件影响范围分析等内容，用于评估事件处理的优先级以及确定通报范围，通过多维度综合评估定义事件影响范围并得到评分，以可记录仪表盘形式表现影响范围的历史变化、当前范围以及潜在影响范围，辅助判定事件的紧急程度和通报影响范围内相关人员。事件发展趋势分析包括事件发展趋势分析等内容，用于支撑处置分析人员对处置策略以及防护加固的判断，结合对事件影响范围以及攻击链的分析，判断未来一定时间段内事件可能造成的关联影响和可能发展的下一攻击阶段，同时结合历史同类事件的平均响应处置周期、处置策略、处置人等信息，模拟事件的趋势发展时间线、潜在攻击路径。历史事件匹配分析包括历史事件匹配分析等内容，对安全事件历史信息进行匹配搜查，获取参考信息以及趋势分析的场景，通过对比被分析事件的属性参数与历史记录安全事件的相似性，生成事件参考信息，提供对该事件优先级定义、处置通报范围等相关辅助。事件重放与验证包括事件重放与验证等内容，提供静态场景构建、动态场景切片构建、发展时间轴构建以及文档式场景管理等功能。结合告警关联、命中威胁情报、POC等信息，以时空统计的形式展示事件发展时间轴上关键节点关联的要素，提供入侵及攻击的模拟路径，自动化生成事件分析报告及脚本。安全事件自动化分析包括安全事件自动化分析等内容，定位在已经突破到单位网络内部，产生安全影响的事件的监测、定位与分析功能，包括主机会话异常关联、主机关键连接异常分析、高危操作检测与分析等，并可将相关异常行为进行自动化的关联，形成基于时间轴、影响面的综合分析结果。0业务安全专项场景分析包括业务安全专项场景分析等内容，面向平时及战时场景对指定业务进行独立分析，通过抽取指定业务相关的历史安全事件信息、处置情况、相关日志信息、脆弱性信息、风险评估信息、威胁情报等，综合关联发现业务安全历史、当前隐患，生成针对性的安全影响评估以及安全加固、升级、处置建议。1数据安全专项场景分析包括数据安全专项场景分析等内容，面向平时及战时场景对指定类型数据/数据库进行独立分析，通过抽取指定数据/数据库相关的历史安全事件信息、处置情况、相关日志信息、脆弱性信息、风险评估信息、威胁情报等，综合关联发现数据/数据库安全历史、当前隐患，生成针对性的安全影响评估以及安全加固、升级、处置建议。2资产安全专项场景分析包括资产安全专项场景分析等内容，面向平时及战时场景对指定资产/资产集进行独立分析，通过抽取指定资产/资产集相关的历史安全事件信息、处置情况、相关日志信息、脆弱性信息、风险评估信息、威胁情报等，综合关联发现资产/资产集安全历史、当前隐患，生成针对性的安全影响评估以及安全加固、升级、处置建议。3Web攻击检测告警检测与分析包括Web攻击检测告警检测与分析、WEB攻击分析详细分析、WEB攻击结果分析等内容。4恶意扫描告警检测与分析包括恶意扫描告警检测与分析、恶意扫描分行为判定等内容。5挖矿木马攻击告警检测与分析包括挖矿木马攻击告警检测与分析、挖矿木马攻击结果判定等内容。6历史攻击回溯告警检测与分析包括历史攻击回溯告警检测与分析、历史攻击详细分析、恶意IP历史行为分析等内容。7日志破坏检测告警检测与分析包括日志破坏检测告警检测与分析、日志破坏行为分析与判定等内容。8系统提权检测告警检测与分析包括系统提权检测告警检测与分析等内容，通过重点监控资产账号权限加大的行为，识别发现账号被提权的恶意操作安全风险。具体对指定日志类型和日志ID或关键字来判断是否有修改针对特殊权限的操作行为。9错误日志检测告警检测与分析包括错误日志检测告警检测与分析等内容，通过对系统日志信息进行分析，识别及发现高级别日志（Error日志）。通过指定日志事件级别判断错误日志事件来源或对应事件ID，以此查询出相关全部错误日志，了解错误产生的原因和出现问题的位置。依据Windows、linux系统审核日志信息，通过筛选日志级别为“Error”或“Err”的事件日志，来判断高危事件的类型与事件内容。0漏洞利用告警检测与分析包括漏洞利用告警检测与分析、漏洞利用详细情跟踪等内容。1配置合规告警检测与分析包括配置合规告警检测与分析、配置违规判定与跟踪等内容。2威胁狩猎告警检测与分析包括威胁狩猎告警检测与分析等内容，以攻击源为维度综合展示攻击源的告警、事件等情况，支持综合查询，分析IP的攻击路径、攻击的攻击类型、风险级别、攻击对象特征，以图+表的形式展示攻击路径中每个节点的上下事件清单及被攻击时间线。3防火墙策略核查与分析包括防火墙策略核查与分析等内容，对各类型主流防火墙的策略进行自动化分析，对多类型防火墙策略进行标准化展示，从多个维度辅助管理员定位问题策略，加强对防火墙策略的管理，避免建立具有安全风险的策略。4告警加白分析与处置包括告警加白分析与处置等内容，对产生的告警进行统一过滤降噪，命中告警过滤规则的告警讲不会被展示。告警过滤维度包含关联分析规则名称、攻击者IP、受害者IP、URL、域名、客户端标识等，可使用类SQL语法进行规则配置，使用任意字段、and|or|not逻辑关系进行告警过滤，设定规则生效时长包括1天、7天、30天、永久等。5高级邮件威胁检测与分析包括高级邮件威胁检测与分析等内容，通过不断下钻的特征向量提取和聚类算法有效检出邮件威胁。实现对smtp、imap、pop3、webmail等邮件协议审计，提取邮件正文和附件中的流量，并对邮件附件、正文链接、邮件行为、发件人等多维度进行规则和机器学习检测，从而识别出钓鱼邮件、病毒邮件、垃圾邮件、鱼叉式钓鱼等恶意邮件。6自动化威胁猎捕溯源分析包括溯源分析、详细事件与过程分析、动态评估分析等内容。7日志关联分析包括日志关联分析等内容，实时采集、汇聚不同种类的安全设备、网络设备等产生的大量的安全日志进行日志标准化，将一条条晦涩难懂的日志信息转化为可以看得懂的安全事件，进行基于规则、基于情报、基于统计等的关联性分析。3、业务应用层3.1业务与资产分析识别 3.1.1业务数据识别管理提供业务数据识别、业务识别管理、业务识别周期设置、业务识别异常管理等功能。业务数据识别包括业务数据识别等内容，识别以信息系统为单位的业务以及其相关联的外部业务，以信息系统为主视角，梳理关键业务链，开展业务的识别获取。业务识别管理包括业务识别管理等内容，将通过自动化工具识别和人工录入识别的业务系统进行统一管理，将两者获取到的业务信息进行同步并双向确认，并可实时获取变更情况。业务识别周期设置包括业务识别周期设置等内容，支持业务识别周期设置，可对业务识别频率进行统一管理。设置固定频率的业务主动发现与识别机制，进行定期识别，快速感知业务变化。业务识别异常管理包括业务识别异常管理、异常识别规则自定义、异常识别有效性验证、异常识别规则执行跟踪等内容。3.1.2资产数据识别管理提供资产数据识别、资产识别管理、识别周期设置、资产识别异常管理等功能。资产数据识别包括资产数据自动识别、资产权属自动划分等内容。资产识别管理包括资产识别管理等内容，根据关基保护要求建立新型资产识别管理功能，对资产识别方式进行管理，包括单个识别录入资产和批量识别导入资产两种识别方式。识别周期设置包括识别周期设置、固定频率资产识别周期管理等内容。资产识别异常管理包括资产识别异常管理、异常识别规则自定义、异常识别有效性验证、异常识别规则执行跟踪等内容。3.1.3资产识别任务执行管理提供资产识别任务执行管理等功能。资产识别任务执行管理提供资产识别任务查询、任务查看、任务最新结果查看、任务执行记录查看、任务控制、任务复制、任务删除等功能。3.1.4资产清点与管理提供资产探测方式设计、清点综合管理、端口服务清点、中间件清点、数据库清点、WEB应用框架清点、WEB站点清点、开源软件清点、微服务清点、安装包和类库清点、系统环境信息清点、进程清点、系统账号清点、硬件清点等功能。资产探测方式设计包括主动探测设计、被动探测设计、第三方数据接入设备等内容。清点综合管理包括清点综合管理、清点数据展现、清点数据应用与下钻等内容。端口服务清点包括端口服务清点、清点数据展现、清点数据应用与下钻等内容。中间件清点包括中间件清点、清点数据展现、清点数据应用与下钻等内容。数据库清点包括数据库清点、清点数据展现、清点数据应用与下钻等内容。WEB应用框架清点包括WEB应用框架清点、清点数据展现、清点数据应用与下钻等内容。WEB站点清点包括WEB站点清点、清点数据展现、清点数据应用与下钻等内容。开源软件清点包括开源软件清点、清点数据展现、清点数据应用与下钻等内容。微服务清点包括微服务清点、清点数据展现、清点数据应用与下钻等内容。0安装包和类库清点包括安装包和类库清点、清点数据展现、清点数据应用与下钻等内容。1系统环境信息清点包括系统环境信息清点、清点数据展现、清点数据应用与下钻等内容。2进程清点包括进程清点、清点数据展现、清点数据应用与下钻等内容。3系统账号清点包括系统账号清点、清点数据展现、清点数据应用与下钻等内容。4硬件清点包括硬件清点、清点数据展现、清点数据应用与下钻等内容。3.1.5业务安全态势提供业务分类、业务分级、业务安全等级、业务热度、业务风险等级、业务漏洞数据跟踪、业务高危告警跟踪、业务策略违规路径跟踪、业务特权账号跟踪等功能。业务分类包括业务分类设计、业务分类数据呈现、业务分类异常处置跟踪等内容。业务分级包括业务分级设计、业务分级数据呈现、业务分类异常处置跟踪等内容。业务安全等级包括业务安全等级设计、业务安全等级数据呈现、业务安全等级信息异常处置跟踪等内容。业务热度包括业务热度信息设计、业务热度数据呈现、业务热度异常处置跟踪等内容。业务风险等级包括业务风险等级设计、业务风险等级情况呈现、业务风险等级异常处置跟踪等内容。业务漏洞数据跟踪包括业务漏洞数据实时跟踪、业务漏洞情况实时呈现、业务漏洞异常变化处置跟踪等内容。业务高危告警跟踪包括业务高危告警实时跟踪、业务高危告警情况实时呈现、业务高危告警异常变化处置跟踪等内容。业务策略违规路径跟踪包括业务策略违规跟踪、业务策略违规情况实时呈现、业务策略违规异常变化处置跟踪等内容。业务特权账号跟踪包括业务特权账号跟踪、业务特权账号情况实时呈现、业务特权账号异常变化处置跟踪等内容。3.1.6业务安全画像提供业务概览、业务权属视图、业务资产视图、业务风险视图、业务策略视图、业务热度趋势、业务访问统计、业务告警视图等功能。业务概览包括业务概览等内容，对该业务的属性信息进行整体概览，包括业务重要程度、安全等级、危险等级、风险数、漏洞数、特权账号数、告警数、安全运行天数等。业务权属视图包括业务权属视图等内容，获取该业务的权属信息，对该业务的权属关系进行可视化展示，包括业务权属负责人、权属单位、运维负责人、运维单位等。业务资产视图包括业务资产视图等内容，对该业务相关联的资产信息进行可视化展示，从业务应用和业务相关数据两个维度展示业务资产的分布情况，如资产名称、操作系统、IP信息等。业务风险视图包括业务风险视图等内容，感知承载该业务应用的主机资产所存在的风险，统计风险总数，按照高、中、低展示风险占比，可视化展现可能存在的风险的类型。业务策略视图包括业务策略视图等内容，对该业务所在安全域到其他安全域的访问策略关系进行展示，并统计适用于该业务的策略总数及违规策略路径数，对于违规策略路径进行标亮提示。业务热度趋势包括业务热度趋势等内容，展示该业务流量的交互情况，包括接收流量和发送流量的数量。对该业务不同时间维度的业务流量数据进行趋势统计，通过曲线图展示访问热度。业务访问统计包括业务访问统计等内容，对特权用户对该业务访问情况进行统计，支持展示近1天、3天、1周、1月等多个时间维度的统计。业务告警视图包括业务告警视图等内容，感知承载该业务应用的主机资产所存在的攻击，获取告警数据，统计告警总数，对高、中、低告警占比进行可视化展示，对攻击的分类进行统计与展示。3.1.7整体业务安全监测提供全网业务视图、全网业务风险视图、全网业务事件视图、业务安全监测自定义等功能。全网业务视图包括全网业务视图等内容，提供全局视角下的全网业务视图，统计并展示全网业务分布情况，涵盖统建系统、各部门自建系统等其他相关系统，同时支持各部门、各下属部门视角展示其管辖范围内的业务视图。全网业务风险视图包括全网业务风险视图等内容，提供全局视角下的全网业务风险视图，从业务出发，清楚统计并展示全网业务存在的风险情况，包括安全威胁、安全漏洞、安全风险等，同时支持各部门、各下级部门视角展示其管辖范围内的业务风险视图。全网业务事件视图包括全网业务事件视图等内容，提供全局视角下的全网业务事件视图，从业务出发，清楚统计并展示全网业务发生的各类安全事件及响应处置情况，同时支持各部门、各下级部门视角展示其管辖范围内的业务事件视图。业务安全监测自定义包括业务安全监测自定义等内容，可结合实际情况，自定义业务安全监测内容。3.1.8数据安全态势提供数据资产概览、数据风险概览、数据库类别分布、数据分布视图、数据热度等功能。数据资产概览包括数据资产概览等内容，梳理数据资产，按照核心、重要、一般，对数据进行重要程度的定义、统计与展示，展示数据资产总数以及每类数据的总数。数据风险概览包括数据风险概览等内容，感知数据资产存在的漏洞情况，统计已知漏洞的数量，对于高危漏洞进行重点关注；感知数据资产产生的事件告警情况，统计告警数量并进行展示。数据库类别分布包括数据库类别分布等内容，梳理数据资产所在数据库的类别，通过饼状图对数据库类型进行统计与多维展示。数据分布视图包括数据分布视图等内容，梳理数据资产，对数据资产进行逻辑域的划分，按照不同的逻辑域，分类、分级的展示在域中的数据资产信息，对于一般数据进行标灰展示，对于核心数据进行标红展示。数据热度包括数据热度等内容，感知数据资产的访问热度，并在数据分布视图上进行展示与监控。3.1.9数据安全画像提供数据基本信息概览、数据权属视图、数据访问权限视图、数据风险视图、数据策略视图、数据热度趋势、数据告警视图等功能。数据基本信息概览包括数据基本信息概览等内容，对该数据资产的属性信息进行概览，包括数据重要程度、数据库类型、数据库版本、IP和端口、漏洞数、特权账号数、告警数等。数据权属视图包括数据权属视图等内容，对该数据资产的权属关系进行可视化展示，包括数据权属负责人、权属单位、运维负责人、运维单位等。数据访问权限视图包括数据访问权限视图等内容，对具有承载该数据资产的主机资产特权权限的账号信息进行展示，包括root权限、可sudo权限、禁用账号等，展示特权权限的数量以及不同比例占比情况。数据风险视图包括数据风险视图等内容，获取承载该数据资产的主机资产存在的漏洞信息，包括高中低危漏洞数及占比情况、漏洞总数等，感知其风险情况，对风险进行分类统计，并展示top5排行。数据策略视图包括数据策略视图等内容，对该数据资产所在安全域到其他安全域的访问策略关系进行展示，对存在违规访问策略的路径进行标亮提示，并统计适用于该数据的策略总数及违规策略路径数。数据热度趋势包括数据热度趋势等内容，获取承载该数据资产的主机资产的流量数据，对该数据资产不同时间维度的数据访问热度进行统计，通过曲线图展示某一时间的数据热度趋势，并统计流量总数。数据告警视图包括数据告警视图等内容，感知承载该数据资产的主机资产所存在的攻击，获取告警数据，统计告警总数，对高、中、低告警占比进行可视化展示，对攻击的分类进行统计与展示。3.1.10整体数据安全监测提供全网数据视图、全网数据风险视图、全网数据事件视图、数据安全监测自定义等功能。全网数据视图包括全网数据视图等内容，提供全局视角下的全网数据视图，并展示全网数据分布情况，包括数据库类型、数据库版本以及数据库支撑的业务等，同时支持各部门、各下属部门视角展示其管辖范围内的数据视图。全网数据风险视图包括全网数据风险视图等内容，提供全局视角下的全网数据风险视图，从数据出发，统计并展示全网数据存在的风险情况，包括安全威胁、安全漏洞、安全风险等，同时支持各部门、各下属部门视角展示其管辖范围内的数据风险视图。全网数据事件视图包括全网数据事件视图等内容，提供全局视角下的全网数据事件视图，从数据出发，统计并展示全网数据发生的各类安全事件及响应处置情况，同时支持各部门、各下属部门视角展示其管辖范围内的数据事件视图。数据安全监测自定义包括数据安全监测自定义等内容，可结合实际情况，自定义数据安全监测内容。3.1.11部门安全态势提供部门整体安全状态、部门业务安全态势、部门数据安全态势、部门资产安全态势等功能。部门整体安全状态包括部门整体安全状态等内容，以某一部门为单位，整体展示该部门所属的业务资产及其数量、数据资产及其数量、IT资产及其数量，综合统计该部门现存告警情况、告警处置情况以及告警数量等信息。部门业务安全态势包括部门业务安全态势等内容，以某一部门为单位，从业务安全的维度出发，详细展示该部门权属业务情况，统计并展示该业务高危、中危、低危的告警数量，感知其可能存在的风险。部门数据安全态势包括部门数据安全态势等内容，以某一部门为单位，从数据安全的维度出发，详细展示该部门权属数据情况，包括所属数据资产的总数，数据的类别，各个数据库所占比例，数据的权责关系，数据的重要程度，数据的安全等级等信息，统计并展示该数据资产高危、中危、低危的告警数量，感知其可能存在的风险。部门资产安全态势包括部门资产安全态势等内容，以某一部门为单位，从IT资产安全的维度出发，详细展示该部门权属IT资产情况，统计并展示资产高危、中危、低危的告警数量，感知其可能存在的风险。3.2网络安全日常管理 3.2.1待办工作提供待办工作统一管理、未办工作快速响应等功能。待办工作统一管理包括待办工作统一管理等内容，按任务类别分类展示待办工作情况，对于亟需处理的待办任务进行置顶提示，可进行待办提醒，可直接进入相关工作进行操作。未办工作快速响应包括未办工作快速响应等内容，支持对未办任务进行快速处理响应，并添加处理过程描述。3.2.2工作绩效管理提供团队KPI指标设置、团队KPI可视展示、个人KPI指标设置、个人KPI可视展示等功能。团队KPI指标设置包括团队KPI指标设置等内容，设置团队KPI指标项，按列添加每个指标项，包括指标项描述、截止时间、完成的进度、配合的人员、分数占比等内容。团队KPI可视展示包括团队KPI可视展示等内容，根据指标设置情况，清晰化展示团队KPI绩效。可支持绩效的统一编辑和导出。个人KPI指标设置包括个人KPI指标设置等内容，在团队KPI绩效指标之下，设置个人KPI指标项，按列添加每个指标项，包括指标项描述、截止时间、完成的进度、分数占比等内容。个人KPI可视展示包括个人KPI可视展示等内容，根据指标设置情况，清晰化展示个人KPI绩效，展示团队与个人相关联的指标项。可支持绩效的统一编辑和导出。3.2.3值班管理提供值班日历管理、值班任务管理、值班计划管理、值班跟踪管理、值班考核管理、排班调整等功能。值班日历管理包括值班日历管理等内容，根据安全运营人员排班情况，制定安全运营值班日历，按日期对日常、战时、临时性的值班任务，通过可视化日历的方式直观展示排班信息。值班任务管理包括值班任务管理等内容，制定每日、每周、每月值班人员网络安全运营工作内容及目标，明确值班任务，有序、有效开展值班工作。值班计划管理包括值班计划管理等内容，为确保在值班期间工作顺利开展，可提前制定相关值班计划，明确值班要求、值班任务、注意事项等，定期对日常、战时的值班计划进行管理和维护。值班跟踪管理包括值班跟踪管理等内容，对于各项值班工作，建立跟踪状态信息，可按时间、关键工作要求进行状态跟踪，并进行相关提示。值班考核管理包括值班考核管理等内容，可对值班工作设计考核点，对具备考核要求的值班工作，根据考核节点自动或手工进行考核评价，可对评价进行汇总与统计，呈现值班工作TOP排名等。排班调整包括排班调整等内容，排班人员可对值班信息进行相应的调整。同时，值班人员亦可通过排班调整功能，进行临时值班日期的调整。3.2.4任务编排控制提供事件响应编排、风险处置编排、两级联动编排等功能。事件响应编排包括事件响应编排等内容，将不同类型的事件响应流程进行统一的响应编排控制，通过全局自动化编排，配置最优事件响应模式，使其可实现快速的预警通报响应处置。风险处置编排包括风险处置编排等内容，将不同类型的风险控制流程进行统一的响应编排控制，通过全局自动化编排，配置最优风险控制模式，使其可实现快速的预警通报响应处置。两级联动编排包括两级联动编排等内容，与各级单位网络安全管理及技术系统实现对接后，针对两级联动运营任务进行自动化的响应编排控制，实现上下级单位之间的预警通报及事件处置。3.2.5流程控制管理提供风险控制流程、异常跟踪流程、事件响应流程、重保运营流程、联动响应流程等功能。风险控制流程包括风险控制流程等内容，针对全网业务、数据、IT资产安全监测中产生的外部风险信息，以及在日常安全管理工作中发现的风险信息，结合实际风险运营机制，定义、配置风险控制全流程节点，并对风险控制流程进行动态管理。异常跟踪流程包括异常跟踪流程等内容，针对全网业务、数据、IT资产安全监测中产生的异常状态信息，结合实际异常运营响应机制，定义、配置异常跟踪全流程节点，并对异常跟踪流程进行动态管理。事件响应流程包括事件响应流程等内容，针对全网业务、数据、IT资产安全监测中发现可疑攻击事件，结合实际安全事件响应机制，定义、配置事件响应全流程节点，并对事件响应流程进行动态管理。重