垂直行业网络安全运营中心建设规划方案

网络安全运营中心中心 11.1编制说明 11.2术语定义 11.3编制依据 22项目背景、目标和必要性 32.1项目背景 32.2预期目标 3 4 53.1平台架构 5 63.3平台总体功能 7 74.1建设内容 74.2技术架构方案 8 84.2.2“网络威胁探针”技术架构 4.2.3“网络安全运营中心”级联部署技术架构 4.3技术建设方案 4.3.1功能架构设计 4.3.2“网络安全运营中心-安全监管可视化呈现”详细功能设计 4.3.3“网络安全运营中心-安全管理和态势感知”详细功能设计 4.3.4“网络威胁探针”详细功能设计 4.3.5“网络安全运营中心”非功能性设计 42 5实施计划 5.1实施团队及各方职责 5.2阶段划分、建设工期和工作量测算 6总投资预算 6.1建设费用估算 7效益和风险分析 7.1效益分析 7.2风险与对策 1.1编制说明1.2术语定义1.3编制依据2.1项目背景2.2预期目标2.3项目必要性分析1)无法准确识别/计算现有的各类风险5)专业安全人员不足3.1平台架构可视化呈现安全监管运维中心安全管理和态势感可视化呈现安全监管运维中心知3.2平台定位◆全网安全统一集中管理平台汇集全网安全要素信息，将原本零散、复杂、独立的网络安全运维工作有机整合，达到运维人员使用一套集中管理平台进行日常的安全运维工作。◆安全运维基础能力支撑平台通过平台内置的各项资产管理、性能监控、威胁分析、调查取证、日志告警、事件处置、系统管理模块，有效的支撑日常网络安全工作开展。◆网络安全监管可视化呈现和指挥平台从网络安全监管的视角出发，提炼省-市-区县三级单位(纵向到底)网络安全工作成果数据和核心监管数据进行可视化呈现，全省通过一个展示界面能有效的监管全省日常网络安全工作开展情况。采用协同工单、平台消息通知、短信通知、川检通通知等功能有效的将网络安全工作事件到人、通知到人；通过网络安全运营中心可以统筹指挥全省网络安全工作的开展。通过网络安全运营中心台(syslog,snmp协议等)。网络安全运营中心( 4.2技术架构方案可视化态势呈现可视化态势呈现态势总览各区县态势报告分析平台用户网络中可管理资产外部威胁情报对象基础信息回号平台中心源场景化分析“网络安全运营中心”技术架构图■安全要素采集层：提供开放式的信息采集接口，实现对用户环境内各类IT资产以及所采用的各厂商安全产品或安全系统进行统一的信息采集，并提供非结构化数据采集接口，可采集各类情境数据和威胁情报。■安全大数据存储层：实现海量安全大数据的分布式存储，提供结构化数据和非结构化数据的存储能力，并为上层的数据分析应用提供高效的数据库功能支撑；■安全模型层：平台综合数据处理分析的能力提供层，提供由大数据技术和架构支撑的快速检索和数据关联发掘功能。是支撑上层数据呈现和分析结果输出的计算引擎层，提供丰富的大数据统计、关联分析、数据挖掘以及态势分析能力，是系统的分析处理的核心。该层提供了基础数据处理引擎，包括流式计算引擎、复杂事件处理引擎、全文检索引擎、关联分析引擎等。基于这些计算引擎实现分析能力包括威胁目标分析、威胁源分析、攻击过程分析、影响及危害程度分析以及风险分析等。■场景分析层：通过下层所提供的数据采集和处理能力向用户输出场景化分析能力，包括资产中心，脆弱性中心，数据中心，威胁中心，响应中心，运行中心，情报中心，监管中心，报告中心及安全态势总揽，服务于全网的安全态势呈现，支撑用户全局的安全防护工作。■外部系统：平台通过级联或DaaS接口可以实现平台能力的扩展以及平台能力的延展示分析层存储层检测层采集层4.3技术建设方案“网络安全运营中心”作为整个xx单位工作网技术部分的安全管理技术(支撑)平1T源库信息的维护功能，例如资产维护功能，包括资产的增删改查等，又例如知识库的维护功安全战略，内控与合规，等级保护，安全制度外部AAA脆弱性审计合击合击软件架构元数蹙病毒拾元数蹙病毒拾资产管理性能监控管理全省/全市/本级单位管理模式下支持全省/全市/性能异常资产数显示，每个模块支持下钻，下钻后按省级单位监控数据、地市州/区县监控按条件进行自定义筛选。同时支持对本级(省级单位本级、市院本级、区县院)数据的独立近七日告警数显示，每个模块支持下钻，下钻后按省级单位监控数据、地市州/区县监控数据进行分类数显示，每个模块支持下钻，下钻后按省级单位监控数据、地市州/区县监控数据进行分类排列显示，每个列表支持二级下钻，能显示各单位的详细告警数据。同时支持对本级(省级单位本级、市院本级、区县院)数据的独立显示。各个层级展示界面支持协同工单发送和消下钻，下钻后按省级单位数据、地市州/区县监控数据进行分类排列显示，每个列表支持二区县院)数据的独立显示。各个层级展示界面支持协同工单发送和消息通知功能。24H事件处置数全省/全市/本级单位管理模式下支持全省/全市/本级单位24H事件处置数显示，模块支持下钻，下钻后按省级单位数据、地市州/区县监控数据进行分类排列显示，每个列表支持攻击次数排名功能层资产管理业务管理事件分析弱点管理风险评估告警管理工单管理采集层资产采集性能采集事件采集流采集企仪表板管理节点管理级联管理报表管理系统管理资产监控配置核查网络拓扑威胁分析流分析预警管理情报管理行为分析热点分析宏观监测资产态势漏洞态势态势总览漏洞采集配置采集情报采集其它系统数据库层网络设备安全设备主机存储数据库中间件应用/服务虚拟化云设施物理安防仪表板资产管理性、安全属性(CIA三性)、管理属性等，并可以自定义资产标签，实现资产的动态属性扩集中性能监控用性信息的采集。管理中心内置性能信息采集，IT系统性能与可用性监控分析系统提供各种性能监控指标的对比分析，如某段时间(小时、天、周、月)内某个资产性能采集器管理网络拓扑安全事件管理脆弱性管理.3脆弱性处置状态可以进行状态维护(已整改、无法整改、延期和误报),最终可以进行归档。.4脆弱性配置风险评估全域和业务系统的风险值，并刻画出资产、安全域和业务系统随时间变化的风险变化曲线。安全态势呈现.2资产感知态势分析呈现过程中，被其他维度的感知所利用，成为面向安全对象安全态势分析的基础。告警数告警数资产受危害概能资产视角的安全态势攻击威胁信息脆弱性信息深级售管数政击规律和垫势政击规律和垫势攻击结果态势势攻击来薄态势来于外网的改击外遭受攻击分布布势长时间未处理高危漏洞情况、破坏及影响最高的安全弱点、漏洞及配置弱点在全网的风险态势、漏洞的综合处置情况等。漏洞感知的主要功能内容如下图所示：润影响润影响态势产户态势态势周网情报态势系确酮点图：脆弱性感知的主要功能内容如图所示，漏洞感知的信息来源自各类脆弱性扫描器的扫描结果信息，包括系统漏洞扫描器、应用漏洞扫描器、配置核查扫描器以及外部的漏洞情报信息。经过对各类脆弱性信息的分析处理，结合安全对象信息，漏洞感知可以从资产类型、安全域和业务系统维度进行漏洞态势的呈现。基于不同的维度可以展现如下的漏洞态势信息：■漏洞概要统计信息包括当前发现漏洞的总数量、高危漏洞数量、新增漏洞数、漏洞影响的资产范围以及长期未处理的漏洞情况。■高危漏洞监视通过高危系统漏洞、高危应用漏洞和高危配置弱点几个方面监视高危漏洞情况。■漏洞发现态势包括系统漏洞的发现率、配置弱点的发现率以及扫描发现漏洞最多的资产情况。■漏洞总体安全态势以漏洞风险矩阵的形式，分别从资产类型、安全域、业务系统的视角呈现漏洞的整体安全态势。■漏洞分布态势包括漏洞和配置弱点在资产类型上的分布态势，漏洞和配置弱点在安全域上的分布态势，漏洞和配置弱点在业务系统上的分布态势。■威胁比对分析.8网站感知词的详情信息进行威胁的判断，脆弱性的排名，同时对网站的可用性进行实.9流量感知通过流量的访问关系，流量大小，各协议流量分布和态势中心的可自定义态势模块集成了几十种专为用户快速理解表，帮助用户轻松搭建专业水准的可视化大屏，满足0告警管理进行及时有效的响应处置；记录攻击上下文信息，保分类示例分类示例2与仿冒企业网站应用的非法钓鱼活动相关的威胁监测情报如仿冒银行、公检法机关等的网站的IP、域名等信息3录钓鱼网站访问记录的如钓鱼网站访问用户身份、访问时间、银行账户、手机号、是否输入过密码/验证码、邮箱或其他身份信息等威胁信息4资产信誉与企业IT资产被恶意利用导致资产信誉下降相关的资产情报企业IT资产与恶意网络节点信誉库(如C&C、如IP、URL、域名、邮件等信息5与企业信息安全相关的社会舆论事件情报如对其企业信息安全相关产品、服务、项目、6与企业内部数据泄漏如企业的员工账户数据、用户账户数据、内部文件、网络拓扑、财务报表、核心技术资易等事件信息7资产发现与企业外网IT资产暴露面相关的资产情报组件、版本等信息8安全漏洞与企业自身IT资产相关的安全漏洞情报如防火墙、网络设备、网站、操作系统、常用软件等企业自身内部IT基础设施资产的漏洞信息9内容篡改与企业网络站点内容报字、图片等被篡改事件，如文字链接、图片链接等信息网页木马与企业网络站点存在的网页木马相关的事件情报监测发现存在网页木马的具体事件信息，如网页暗链与企业网络站点存在的网页暗链相关的事件情报与黄、赌、毒、传销等相关的网页暗链植入的具体事件信息，如暗链类型、URL等与企业网络站点存在的Webshell相关的安全事件情报监测发现存在Webshell后门的具体事件信息，如Webshell名称、上传路径、源IP等病毒木马与当前爆发的病毒木马相关的威胁情报如病毒木马的各类指示器、威胁源、目标、所属团体、利用手段等威胁信息与当前爆发的勒索软如勒索软件的各类指示器、威胁源、目标、所属团体、利用手段等威胁信息与APT攻击事件相关的威胁情报如APT事件涉及的指示器、威胁源、目标、利用手段、利用漏洞等威胁信息与威胁相关的指示器如恶意IP、恶意域名、恶意URL、VPN节点、IP地理位置、C&C节点、TOR节点、僵尸网络分类示例资产功能威胁检测入侵响应流量统计实时监控安全管理报表功能●支持20个以上客户端并发访问管控平台；影响性设计3%,内存利用不高于5%。系统在收集日志的过程中，日志传输对网络带宽的安全性设计开放性设计可靠性设计对被采集对象的资源占用不超过3%,对网络带宽占用不超过10%。兼容性设计4.4建设计算资源、带宽需求测算(一)全省统一汇总模式估日平均每秒事件数10000EPS(峰值),综合换算为带宽占用为24M(峰值)。通过平台日存储计算方式：(在线存储空间+离线存储空间)/2*0.8*21=315T(二)分级部署模式(一级、二级平台)综合换算为带宽占用为24M(峰值),区县xx单位院日平均每秒事件数1000EPS(峰值),市院存储计算方式：(在线存储空间+离线存储空间)/2*0.8=15TX86平台国产化平台CPU:20核以上CPU(鲲鹏)B:数据可视化展示环境(X86)B:数据可视化展示环境(X86)机构说明1领导和管构本项目由位院领导和管理。导兼任；及其他相关单位成员。批准项目计划，监控项目进程；协调项目所需相关资源，调配人力和资金；解决项目实施小组不能解决的问审批建设方案并参与验收；审批工作准则与工作规程，保证项目能够正常进行；2建设机构本次项目式，甄选行项目建委派1名高级项目管理人员出任项目经理。实施人员：提供不少于2人的项目实施人员负责平台、略调试、日常维护等工作。组员按实际进度和工作节点配置。收集项目相关信息，制定项目计划，指导项目执行；系，安排人力资源，明确职责；产品订货、运输、安装、调试；定期编写项目进展状态的资料给用户及相关人员；并决定一般变更，重大变更通知相关决策人；施的执行；员处理试运行问题；验收完成后，负责对项目进行总5.2阶段划分、建设工期和工作量测算(一)全省统一汇总模式项目投用时间完成时间1成立项目小组：确定最终的项目组成员，并以书面形式正式通知用户。2设备交货与到货验收：我方能够在10个工作日内为用户指提供货物，按照合同的软、硬件清单签收到货的设备。需求调研、分析。3实施方案安装测试：按照合同要求、技术方案和工程安装实施计划，完成项目合同内设备的安装调试工作。资产添加、分级分域、SNMP协议及SYSLOG协议调试；数据分析规则、场景以及模型的建立，工作同步开展)8系统功能测试9系统交付试运行系统技术培训和相关手册的编写项目验收：根据项目合同要求，对系统进行验(二)分级部署模式(一级、二级平台)项目投用时间完成时间1成立项目小组：确定最终的项目组成员，并以书面形式正式通知用户。2设备交货与到货验收：我方能够在10个工作日内为用户指提供货物，按照合同的软、硬件清单签收到货的设备。需求调研、分析。31、二级平台安装调试实施方案安装测试：按照合同要求、技术方案和工程安装实施计划，完成项目合同内设备的安装调试工作。资产添加、分级分域、SNMP协议及SYSLOG协议视化界面数据优化调试等工作。备工作同步开8系统功能测试9系统交付试运行系统技术培训和相关手册的编写项目验收：根据项目合同要求，对系统进行验6.1建设费用估算元)建设费用(万元)1网络安全运营中心功能模块升级、扩容分域、管理节点授权等)套1省级单位网络安全运营中心可视化界面套1省级单位2网络安全运营中心分布式日志采集器套各市级市级网络安全运营中心实施部署费用项市级单位3网络安全运营中心实施部署费用项区县院4(二)分级部署模式(一级、二级平台)(二)分级部署模式(一级、二级平台)(万元)建设费用(万元)1网络安全运营中心功能模块升级、扩容授权(功能模块升级)套1网络安全运营中心可视化界面套1市院2网络安全运营中心(含基础平台和可视化界面)套市级单位3网络安全运营中心实施部署费用项区县院，共用市网络安全运营中心47.1效益分析7.2风险与对策于3%,内存利用不高于5%。序号数量备注11、软件化部署支持通用硬件服务器/虚拟化/云环境/特定国产化环境部署(鲲鹏+麒麟v102、系统性能至少支持单机入库均值2.8WEPS,峰3、支持单机部署、级联部署、分布式部署三种部署方式。系统提供交互式事件分析模式，内置300+历史查询条件，同时支持自定义查询条件，自定义查询条件支持基于关键字、正则表达式、设备类型和日志分类进行查询查询过滤条件可以无限叠加，逐层筛选，任意回退，且支持将用户的查询条件保存为策略，供后期快速分析使用，支持策略的导入导出为保证查询数据及时更新，查询页面需支持手工和自动刷新功能，支持10秒、30秒、1分钟、5分钟、15分钟、30分钟、立即刷新等不同间隔的刷新时间设定。用户点击事件任意属性字段，可以该字段为条段，可对接网络中各种类型的日志数据。支持根据查询时间段、查询字段、查询动作、5、日志展示功能：可以显示一段时间的动态事件移动图，能够在图上显示每个时间切片的具体时间段和事件数量，用户点击每个时间切片，可以查看该切片内的事件；动态事件移动图可设置动态刷新频率，根据刷1套省/市平台新时间显示实时事件；积图、柱状图、折线图、折柱混合图、饼图等多6、日志分析功能：支持对日志事件依据其源目的IP和端口等各无限次数的追踪调查；支持手工对日志进行响应处置，如生成告警、加入观察列表、生成威胁情报等；图定位，包括在线定位和离线定位化的展示一幅描述事件之间相互关系的事件拓扑支持以图形化的方式展示日志属性之间的聚合关系，显示多维事件分析图；化方式展示日志的源IP与目的IP分布走向。7、关联分析基础指标：能够对不同的事件进行相关性分析，发掘潜在的信息；平台内置不少于150+关联分析规则，包括但不限于以下关联分析场景：信息搜集、攻击利用、命令控制、违规操作、异常行为、内容安全2)系统提供基于图形化方式的关联规则编辑漏洞编号、域名、文件名、文件MD5、文件类型、用户名、Callback特征可疑域名等；3)关联分析规则支持导入、导出、移动、复制、启用和停用；4)关联分析规则具备测试功能，分析师能够更方便地对新设计的关联规则进行模拟测试，以便调校规则的作用效果；8、多维数据关联分析：1)支持观察列表的关联分析，用户能够根据关联分析的结果将可疑或者需要关注的信息列入观察列表，并对观察列表中的信息进行管理。支持基于观察列表的事件关联分析，可在关联分析则中引用观察列表中的内容进行实时关联；2)支持威胁情报的关联分析，支持引用威胁情报类型至少包含恶意IP、恶意URL、DNS和Email3)支持资产信息的关联分析，支持引用资产分类与资产属性，其中资产属性至少包括资产名称与资产价值；4)支持漏洞信息的关联分析，支持关联资产择指定时间范围内的不同的历史日志进行关联分析，发掘潜在的信息1)支持对行为分析模型进行批量管理，包括启用、停用、部署、重置等操作；2)支持模型的查看、复制、编辑、删除功对于统计模型和异常模型，支持用户自定义；3)支持通过丰富的查询条件过滤模型，至少包括模型名称、模型类型、攻击链、威胁等级、模型标签、启用状态等；据网络环境进行调优，提升告警质量；5)行为分析模型不单纯依靠统计、关联等方式，还应支持利用机器学习算法进行异常分析，可选的算法库至少包括极端值、绝对中位数、孤立森林、K近邻等不少于20种；6)支持通过首次出现、突变、内容、时间、缓慢型等维度进行分析，发现异常；7)自定义添加的行为分析模型，输出内容支持自定义，包括名称、行为类型、攻击结果等；行的周期和时间；行异常分析的基础，系统应支持特征管理功能，特征抽取的统计方法至少包括平均数、求和、最大值、最小值、标准差、分位数、熵值等；10)支持特征、特征组管理，具备相同聚合、过滤条件的特征，可以基于相同的特征组创建，以节约系统计算、存储资源。支持通过丰富的可视化图表查看监控指标信息；可以对监控指标设置告警阈值；析；可以进行基于指标的横向对比分析和基于时间的纵向对比分析；扩展监控指标；支持在产品界面通过正则表达式建立监控指标主机监控支持主流版本的Windows、Linux、AIX、Solaris、HP-UX等主机和服务器；支化版本凝思磐石、中标麒麟、普华及文件系统。够监控主机基本属性，以及性能与可用性指标，包括：名称、IP、描述、节点状态、运行时间、网络接口信息、CPU利用率、内存利用率、磁盘利用率、磁盘I0、文件系统、安装软件、安装服务、等主机的任意进程进行监控。网络设备监控支持通过SNMP、TELNET、SSH、SSH2、ODBC、JMX、协议仿真等方性能与可用性信息的周期性采集，采集时无需在被管理节点上安装代理；能够监控网络设备基本属性安全设备，安全设备至少内置防火墙、IPS、IDS、基本属性。数据库监控支持主流版本的MSSQLServer、PostgreSQL等数据库及达梦国产控数据库的基本属性。中间件监控支持主流版本的Weblogic、件；能够监控中间件的基本属性；TCP、FTP、TELNET、SSH、WINS、LDAP、PING等；务器(IIS和TOMCAT)等。虚拟化Vmware监控支持对Vmware的ESX进行监控，包括ESX自身的监控以及运行在ESX上的虚拟OS的监控；支持大数据组件监控、集群监控、存储监控。系统支持绘制网络拓扑图，展示IT资产之间的逻辑拓扑连接关系，并能够自动进行多种拓扑布用户可以手工编辑资产拓扑，包括添加节点，添加/编辑连线，任意拖动节点，可以对拓扑图进行缩放，可以更换拓扑图背景；网络拓扑图具备实时设备和链路运行监控功能，如果设备或者链路发生故障，能够自动的进行告警，同时支持一键取消告警。网络拓扑图和网络设备列表之间支持一键切系统支持自定义机架视图的形式可视化地显1)系统能够自动进行网络拓扑发现，支持按照IP范围发现和网段发现，自动描绘网络中资产节点之间网络连接关系；2)拓扑发现支持ICMP,SNMP,STP等协议方式。1)工单管理支持对告警事件、异常资产、预警、脆弱性派发处理。由管理员指定工单处理人和工单处理周期及告警处理建议。2)支持自定义工单的优先级，并通过短信或者邮件方式通知处理人；3)支持周期性工单任务和单次工单任务；4)支持管理员自定义工单分类，查看指派工单的数量、状态、工单计划等信息；5)支持工单处理人员记录已接收工单的流转信息和状态信息；6)为方便责任人快速了解和自己相关的工单支持个人工作台的快速入口功能，工作台中需包含待办工单数、建单数量、已办数量、紧急任务数量；支持通过柱状图展示建单趋势，柱状图中7)为方便管理员把握工单流转情况。支持工单列表管理功能，包含我的待办列表、我的已办列表、我的建单列表；列表中需包含建单人、创建时间、紧急程度、工单号、工单状态、超时节点、当前办理人等信息。8)支持跟踪工单的流程图和审批记录。9)支持通过图形展示工单紧急程程度、工单完成率，工单状态统计、活跃用户TOP信息1)支持对业务系统中潜在的安全隐患或攻击行为进行威胁预警。通过内部预警包和外部预警持续监测事件的状态，快速完成业务系统安全事件的预警和处置；2)系统预警支持内部预警和外部预警；3)内部预警支持规则自动产生，外部预警支持手工录入；资产名称、资产IP、资产类型、责任人等信息；5)支持预警类型包括安全通告、攻击预警、漏洞预警和病毒预警；6)支持预警生命周期管理，预警信息的状态至少包括预备预警、正式预警和归档预警三支持剧本的综合展示：当前已创建剧本信息查看，可查看剧本列表(名称，操作，分类，动作数量，执行情况，使用场景，最后更新时间，状态等);支持剧本/剧本组的新建/修改/删除/编辑；缩小、撤销，自动布局，导出svg文件工具按钮；支持人工动作的新增/修改/删除：支持人工动作基本信息，关联动作的编辑；支持过滤动作的新增/修改/删除：支持过滤动滤条件的编辑；作基本信息的配置，判断条件的编辑；支持剧本执行状态的记录，记录信息包括事件名称，剧本名称，执行者，状态信息，开始执行时间，结束执行时间；执行者，状态信息，开始时间，结束时间；一键响应记录列表：支持封堵/解封，黑名单/白名单动作列表以及一键响应列表记录的查10)支持例外名单配置：可配置例外IP白名单1)支持在作战室中信息共享，记录操作执行2)支持针对案例作战室列表进行筛选，过3)支持通过快捷窗口将和自己相关的案例添过手工调用的方式让机器人进行自然语言识如果机器人无法根据自然语言提供处理帮助，可以进行自动学习。5)在作战室中支持根据内置的指令调用剧本1)支持案例管理功能，对具备相似特征的告警事件设置案例管理，由指定负责人负责对某一类安全事件跟踪、提供线索和事件处置，最终形成经验进行推广，并且有利于后续同类告警事件的快速研判和处置。2)支持设置案例类型、风险等级、案例标签、3)支持案例类型管理和线索管理，案例类型1)系统具备完善的资产管理能力，支持对IT资产分组、分域的统一维护能力；具备对全部资支持资产的过保提醒；2)支持18+个的资产属性列配置设置，并可灵活控制展示哪些属性列，必须包含风险值、资产价值、地理位置、近5分钟事件量变化展示；3)支持资产的自动发现，具备预备资产的管理能力，至少支持7种(资产采集器主动采集、日志发现、漏扫发现、配置核查发现、流量发现、活动目录AD、VMWarevCenterServer)资产发现来源，并可控制各来源的启用关闭；4)支持资产的标签化管理，并可自定义资产标签，对资产属性的动态扩展5)资产检索支持多种正则表达式方式进行条件组合检索；7)支持自定义添加厂商，包括厂商名称、厂商编码、厂商图标，以及对应包含的产品类型；1)系统内置常见的设备和系统类型，用户可以自定义资产类型，并且可以针对每个资产类型自定义资产的基本属性和扩展属性；支持数据字典信息的导入导出；2)自定义的资产基本属性和扩展属性至少应包括属性名称和属性类型，属性类型应至少可以指定为字符串、数字、枚举、日期、密码、BLOB3)用户在录入资产的时候，一旦指定该资产为某种资产类型，则会自动显示该资产的基本属性和扩展属性，供用户录入和维护。1)支持对资产异常判定的规则设定，包括但不限于如下13个维度：使用弱团体字符串、使用不安全协议、资产开放违规端口、资产中开放FTP服务、资产开放端口服务超出阈值数量、资产开放非常见端口服务超出阈值数量、资产开放远程运维类端口服务超出阈值数量、开放高危端口、关注端口关闭、发现无主资产、发现未知资产、疑似设备被替换、资产宕机等；同时支持对规则的启用和停用。2)支持对异常资产加入白名单，加白后的资3)支持对异常资产统计、同比分析、环比分析；对异常资产趋势图和异常资产TOP5可视化展4)支持列表展示异常资产名称、资产IP、异常类型和发生时间，同时支持对异常资产一键加白和创建工单的处置措施。支持内置风险计算模型，综合考虑资产的价值、脆弱性和威胁，计算风险的可能性和风险的影响性。支持定期自动地计算出资产、安全域和业务系统的风险值，并刻画出资产、安全域和业务系统随时间变化的风险变化曲线，支持风险钻取与分支持形象地展示出安全域的风险矩阵，从可能性和影响性两个角度标注安全域中资产风险的分分析，采取相应的风险处置对策；支持通过多个维度对风险主机进行统计，包含但不限于风险主机总数、风险复现主机数、今日新增主机数、高风险主机数、高威胁主机数、高至相关的风险列表。6)支持列表展示风险资产名称、资产IP、价对风险资产批量处置。1)实现资产间的互访关系，并支持针对指定类型(告警、资产、漏洞、服务)进行关键字搜索，实现数据钻取。可查看和实体相关的告警信息、承载服务、遭受1)支持按照风险级别对用户进行统计，统计内容包括高危用户、中危用户、低危用户，并支持对活跃用户进行统计与展示；2)支持对风险用户关联的告警、异常行为进行统计与可视化展示，并支持选择统计数据的时间范围；3)支持对组织部门的风险用户分布情况进行统计和展示，并支持进行选择统计数据的时间范含用户名称、账号、组织机构、风险评价，以及与风险用户关联的告警的最近触发时间；5)支持从用户感知页面通过用户名、账号查询用户的风险状况，跳转用户画像页面。6)支持从用户属性、用户行为、关联告警等维度对用户进行综合画像，并对用户的风险状态进行评价和展示；7)用户、IP关联的告警支持以攻击链方式进行可视化展示，对处于每个攻击链的告警进行统列表的数据进行过滤；8)支持对用户、IP的风险状态进行描述，描述内容包括风险评价的时间周期、告警次数、告警类型、最近告警触发时间，以及用户的风险评9)支持基于长周期对用户关联和IP关联的异常行为和安全告警进行分析和展示，至少包括本周、本月、最近7天、最近30天；10)支持通过同一图表展示不同类型、不同名称的安全告警、异常行为，并支持直观显示每种布，通过点击时间分布区域，可以对安全告警、异常行为的列表数据进行过滤；12)支持从IP所属安全域、关联资产、异常行为、关联告警、访问关系等多个维度对IP进行画像，并对IP的风险状态进行评价和展示；13)支持对查看对象IP与其他IP间的访问关系分析，并支持列表和图形两种模式进行展示、IP问，并可以通过告警类型、告警名称、攻击链等进行过滤；14)支持对IP访问关系进行简要描述，帮助用户直观了解，辅助研判。至少包括访问内网I数、被内网IP访问次数、访问公网IP次数、被公网IP访问次数、关联告警TOP3展示，以及最近一次异常的发生时间。)告警管理支持对告警信息的查询，告警查询字段至少包含ATT&CK的220+个具体动作、攻击链阶段、CNNVD编号、合并状态、攻击方向、失陷状2)告警查询条件多种组合后支持直接保存为策略，方便后续一键查询。3)具体告警信息支持告警处置、人工研判、加入工单、加入白名单、剧本响应、案例响应、目的资产TOP排名、失陷状态，以及ATT&CK的330个具体动作，在匹配告警信息后的高亮显示，方5)支持防守视角查看攻击源国家TOP排名、攻击源地址TOP排名、告警类型TOP排名，以及以中国地图与世界地图展示告警事件IP地址定位情6)支持查看告警详情，对告警事件追踪溯源和智能分析，溯源需包含上下文访问关系和原始消息追溯等维度，智能分析需支持同源分析和相似度分析。7)告警动作支持告警重定义、弹出提示框、播放警示音、发送邮件、发送SNMPTrap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送Syslog、发送微信消息、设置观察列表、引用通知等方式；8)支持告警归并功能，告警归并规则中的归并时长与归并字段可以手动进行配置，从而合并成一条事件进行展示，告警归并规则支持实时启用和停用。9)为筛选有价值的告警事件，支持告警增强策略设置，根据数据源、分析模型、告警类型、处置建议等维度设置策略，同时支持告警信息和资产、攻击方向、地理维度、情报进行上下文信息关联。的脆弱性信息，并计算资产/安全域的脆弱性值；2)支持导入漏扫扫描报告和核查扫描报告；支持资产核心信息和漏洞信息的导出；3)支持对系统漏洞、弱口令、web漏洞、配置级分布、漏洞清单状态分布、发现漏洞数地址TOP已整改、白名单、延迟整改、误报、无法整改、1)系统内置不少于14W条漏洞信息，支持根据漏洞等级、漏洞名称、CVE编号查询漏洞信2)支持漏洞补丁信息管理功能，针对漏洞信息提供对应的补丁链接、补丁编号、补丁描述等3)支持漏洞POC库管理功能，可提供漏洞相关29、、VPT建模功能：1、根据资产重要性、资产等级保护等级、漏洞等级、配置等级、网络分区、联网状态、CVSS2、支持按处置优先级进行待处置漏洞列表展示，并展示漏洞清单优先级相关列表。列表同时支持工单触发，漏洞清单记录勾选能触发处置流程。包含重保筹备阶段、检查阶段、保障阶段和总结2)支持查看重保详情，详情中需包括指挥中心的人员安排、重保期间各个阶段时间分配及值班计划等信息。3)支持重保预案库管理，预案支持附件上1)支持调度网站监测引擎扫描网站中的漏洞、2)网站扫描任务支持单次检测和周期性检并支持对扫描类型的参数详细设置，比如设置对网站漏洞扫描时，可设置扫描方式、代理模式、任务优先级、认证方式、User_Agent设置、扫描线程、最大允许扫描时间等参数。3)针对漏洞风险等级设置预警策略，在扫描任务中开启预警策略，针对扫描到的高危漏洞自4)系统提供敏感词管理、地址范围管理、扫1)可结合等保模板及任务计划对可对当前资2)内置最新的等保2.0四级标准模板，且支持自定义模板功能，用户可按需定制；可随意添加任务计划，选择所需的等保模板，支持对计划进行编辑、指派、归档和查看，支持对等保处理流程信息的记录和筛选；1)提供内置报表模板，包含资产、事件、监控、风险等维度；2)支持报告定期和周期性自动投递邮件，并支持自定义邮件标题和邮件正文；3)支持自定义报表显示字段及生成报表的页眉、页脚、摘要、总结等信息；4)支持按照天、月度、季度、年度等时间周5)支持在报表中以柱状图、曲线图、饼状图方式统计安全报警情况；6)支持报表报告的导出，导出的格式支持EXCEL、PDF、D0C、HTML、RTF、PNG、XSL7)为把握整网安全态势，导出运营结果，系统需内置综合分析报告、安全风险报告、资产与脆弱性报告、安全威胁分析报告等报告模板，同时支持自定义创建报告；支持提供可更新的漏洞情报，并定期提供更新影响的操作系统、内核和组件以及相应的版本信支持查看情报命中信息，查看维度不少于情报名称、资产IP、情报来源、情报创建时间、命中时间等。提供开源情报采集能力，支持通过导入、主动自动抓取的方式获取外部相关威胁情报信息，可些威胁情报进行管理，能将这些威胁情报用于关联分析，主要威胁情报包括：恶意IP地址、恶意支持在地图上展示威胁情报IP分布和命中情报分布。支持与云端威胁情报联动查询可疑IP、DNS、支持对内外部的威胁情报采集、展示和利用功能；支持采集开源情报，第三方商业情报，且具有同司自有情报；可将平台发现的威胁转换为情报，系统能对这些威胁情报进行管理，能将这些威胁情报用于关联分析；可综合展示威胁情报数据汇总情况和实时信支持态势总览、资产态势、攻击态势、风险态势、脆弱性态势、情报态势、运行态势、流量态势、网站态势等态势大屏呈现。资产态势支持以资产为中心的多维数据统计分析大屏展示；资产态势支持展示资产总体态势、资产发现示意图、不少于5种资产采集方法和对应资产数据的展示、纳管资产TOP排名、安全域TOP排名、操作系统版本TOP排名、网段分布TOP排名、资产业务标签TOP排名、资产价值分布等；攻击态势支持以全网攻击事件为基础，利用内攻击态势支持从攻击状态、攻击趋势展示当前击源国家、受攻击安全域、受攻击资产、攻击端口分布、攻击源TOP排名、攻击事件列表等展示当前被攻击详情；攻击态势支持基于世界地图展示攻击事件的热点分布，并支持基于15分钟/30分钟/1小时/24小时/7天等不同时间段的日志量大小展示。脆弱性态势支持展示全网检查合规率和漏洞整改率，支持展示最新发现的漏洞信息、以及不同时间段的整改情况。脆弱性态势支持高危漏洞资产TOP排名、影响广泛的漏洞和核查信息TOP排名、弱口令检出率及分布、漏洞趋势与等级分布、影响资产分布等多维度呈现全网脆弱性态势。能模块，支持基于3D地球的动态攻击展示效果；态势总览支持对全网安全态势信息的综合展示，包括全网总览打分、资产态势评价、运行态势评价、攻击态势情况、脆弱性态势评价、运营态势评价；受攻击安全域的TOP5排名；攻击链五个阶段的日志量大小。运行态势支持对在网各类信息资产和业务系统的运行状态进行全方位细粒度监控和呈现；运行态势从在网监控设备数、设备类型、性能告警等进行数量统计，从设备负载情况(CPU波动名、存储空间利用率TOP排名)进行排名统计；支持重启次数最多设备排名展示。风险态势支持全网和各区域的风险量化和风险赋值，使用户把握风险态势；风险态势支持通过风险地图对全网所受风险的区域分布进行宏观呈现，对影响风险的各类安全事件分布状况、风险资产TOP排名、源目攻击关系，安全域风险top、安全域价值等级分布状况进行直观展示。SNMPTrap、Syslog、ODBC\JDBC、文件\文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志采集/收集功能，支持agent代理采集，支持对KAFKA数据源采集；1)系统支持对无用日志的自动过滤，过滤条件可以按照所有范式化后的字段属性来定义，包括但不限于源IP、目的IP、源端口、目的端口、时间、事件名称、事件类型等，减少垃圾数据数2)系统支持对无用信息的自动合并，支持设定合并的时间范围，合并条件可以按照所有范式化后的字段属性来定义，包括但不限于源IP、目的IP、源端口、目的端口、时间、事件名称、事3)支持通过拖拽式的方式设置日志处理流程，包括但不限于采集数据源、解析动作、字段富化、过滤及合并规则、日志输出等步骤。构日志格式的统一化，范式化字段至少应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型、文件大小、命中威胁情报、功能码、VlanID、包下载标识、家族、静态检测结果、Callback特征可疑域名、URL、Payload信息、Title信息、攻击类型等；重定义后在日志查询统计条件和关联规则条件里对应的字段同步修改。3)系统支持对日志信息进行分类，分类按照安全事件的类型，而不是日志的设备类型，事件类型不少于10种大类，50种小类。的解析动作，解析动作至少支持正则表达式、JSON、CSV、IP透传等方式。5)支持在线编辑解析文件。1)系统支持日志加密压缩传输，保证数据的完整性和机密性：2)系统支持日志加密存储；3)系统支持日志加密压缩方式转发能力，支持分流转发，针对转发给不同的目标服务器支持配置不同的过滤器。1)系统支持统计不同采集器和不同安全域下的设备个数并以饼图展示，统计展示采集器或安全域中事件量Top10、范式化设备数比例等；2)可以根据日志源断点时间进行配置，并生成告警。点击单个日志源设备查看该设备最近7天1)支持用户登录认证配置，即支持自定义认证时间锁定时间和次数、登录密码的有效期和用2)支持系统时间同步，能够指定时钟服务确保运营中心系统与用户网络环境的时间保持同3)支持日志自动删除能力，删除方式支持剩余百分比和剩余空间大小两种方式；小等进行监控，并支持设置告警阈值；同时支持本地备份和异地备份7)支持关联规则、剧本、联动设备、知识库、安全知识。包括案例库、漏洞库、事件分类库、字典库、ATT&CK等；用户可以对所有的知识点进行基于关键字的系统内置日志字典库，方便用户查询不同原始日志信息的错误ID号和详细描述信息内置CiscoPIX和交换机的事件编码知识库；Windows、Linux、SolariDB2数据库的事件编码知识库；5)内置ATT&CK的12种战术及对应的技术，以支持多级管理：上级管理中心对下级管理中心的节点进行集中管理和展示，上级管理中心可以访问下级管理中心；2)在上级管理中心具备对下级管理中心的节点进行配置、监控、下发日志解析策略的能力。3)下级管理中心支持将运行状态、告警、风2分布式日志采集器本模块为软件，采集各类网络设备、安全设备、主机服务器、各类应用系统的事件和日志，用于实现分布式安全事件采集。支持1Weps日志采集和解析。套性能扩依据使用情况部署3网络安全运营中心可视化界面1、省-市-区县三级管理模式登录后默认显