綠盟關鍵信息基礎設施安全態(tài)勢感知平臺產(chǎn)品白皮書

綠盟關鍵信息基礎設施安全態(tài)勢感知平臺產(chǎn)品白皮書【產(chǎn)品管理中心】■版本編號V1.09-3-27?2019綠盟科技何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權均屬綠到有關產(chǎn)權及版權法保護。任何個人、機構未經(jīng)綠盟科技的書面授權許可，不得以任何方一.現(xiàn)狀及挑戰(zhàn) 11.1現(xiàn)狀 11.2當前挑戰(zhàn) 1二.平臺介紹 32.1方案概述 32.2方案內(nèi)容 42.2.1等級保護 42.2.2實時監(jiān)測 42.2.3態(tài)勢感知 52.2.4通報預警 52.2.5快速處置 62.2.6偵查調查 62.2.7追蹤溯源 62.2.8情報信息 62.2.9指揮調度 72.2.10攻防演習 7三.方案創(chuàng)新與價值 83.1安全大數(shù)據(jù)分析能力 83.2態(tài)勢感知能力 93.3威脅情報關聯(lián)分析能力 93.4安全事件追蹤溯源能力 103.5統(tǒng)一威脅探針 10綠盟關鍵信息基礎設施安全態(tài)勢感知平臺綠盟關鍵信息基礎設施安全態(tài)勢感知平臺-1-?-1-一.現(xiàn)狀及挑戰(zhàn)1.1現(xiàn)狀，會給信息化時代人們的數(shù)據(jù)安全造成影響；黑客組織針對機關單位的攻擊，在網(wǎng)頁上掛反共標語會對政府的公眾形象帶來負面影響。所以網(wǎng)絡安全問題是和社會、國家和人民群目前信息系統(tǒng)安全產(chǎn)業(yè)和信息安全法律法規(guī)和標準不完善，導致國內(nèi)信息安全保障法律法規(guī)的建設，也加大了對網(wǎng)絡安全的監(jiān)管和檢查力度。I理。進行補充說明。要求上升的風險管理，需要企業(yè)、安全產(chǎn)業(yè)乃至整個社會積極響應。在過去，我們關注合規(guī)，未然。1.2當前挑戰(zhàn)轄區(qū)內(nèi)被監(jiān)管單位中已經(jīng)部署了各種不同類型的安全設備、各類設備的安全呈現(xiàn)都充分結合，缺少對關鍵信息基礎設施的精準防護。綠盟關鍵信息基礎設施安全態(tài)勢感知平臺綠盟關鍵信息基礎設施安全態(tài)勢感知平臺-2-?-2-以及對告警有效性的準確性把關。4.缺乏安全事件發(fā)現(xiàn)后對責任單位的有效通報手段。測。綠盟關鍵信息基礎設施安全態(tài)勢感知平臺綠盟關鍵信息基礎設施安全態(tài)勢感知平臺-3-?-3-二.平臺介紹2.1方案概述mationInfrastructurePlatform安全事件進行通報預警及可視化呈現(xiàn)，及時預警大規(guī)模網(wǎng)絡攻擊和病毒傳播，保障關鍵信息位開展網(wǎng)絡安全業(yè)務工作。、干擾和破壞。、態(tài)勢感知、攻擊事件溯源、及對潛在威脅的預警功能。急指括：等保管理、安全監(jiān)測、態(tài)勢感知、通報預警、快速處置、偵查調查、追蹤溯源、情報信P綠盟關鍵信息基礎設施安全態(tài)勢感知平臺綠盟關鍵信息基礎設施安全態(tài)勢感知平臺-4-?-4-2.2方案內(nèi)容等級保護絡安全等級保護業(yè)務工作開展、數(shù)據(jù)監(jiān)管與分析、安列政策標準提出的工作要求、工作流程的落地實施，支持對國家關鍵信息基礎設施和重要信實時監(jiān)測、不法分子等攻擊活動、攻擊行為及攻擊方法手段。實時監(jiān)測子系統(tǒng)監(jiān)測重點保護對象所受的況、存在的漏洞、隱患等，為快速處置、通報預警提供支撐。同時實時監(jiān)測子系統(tǒng)結合情報-5-?-5-態(tài)勢感知態(tài)勢感知子系統(tǒng)專注于系統(tǒng)風險的分析、發(fā)現(xiàn)、評估、可視化的子平臺。態(tài)勢感知子系以收集各種安全數(shù)據(jù)，利用大數(shù)據(jù)技術結合威脅情報進行集中處理、關聯(lián)分析，再利用呈現(xiàn)，為安全運營提供可靠的信息數(shù)據(jù)支撐。大部分進行安全態(tài)勢感知，能夠覆蓋各種安全運營場景。通報預警議發(fā)送到相關部門。通報預警子系統(tǒng)通過各個相關系統(tǒng)的數(shù)據(jù)分析和閾值設定，自動或人工產(chǎn)生通報預警漏通報預警子系統(tǒng)支持各類通用通報的創(chuàng)建、審批、簽發(fā)、跟蹤功能，支持對單一通報的據(jù)對接與協(xié)同聯(lián)動。綠盟關鍵信息基礎設施安全態(tài)勢感知平臺綠盟關鍵信息基礎設施安全態(tài)勢感知平臺-6-?-6-快速處置置子系統(tǒng)的安全事件識別、分析、處置，根據(jù)“攻防技術跟蹤”研究主流安全攻“數(shù)據(jù)采集”來的漏洞情報與監(jiān)控數(shù)據(jù)在計算模型中進行“安全分析”，分析后形成信息再經(jīng)“告警分析”過程識別出安全事件，確認的安全事件由“事件處置”過程處持處置任務的下發(fā)、跟蹤、關閉、評價，支持事件原因分析以及與測評結果數(shù)據(jù)的對比功6偵查調查偵查調查子系統(tǒng)主要功能是為案件偵查提供相關服務，在案件發(fā)生(報案)后，對案件助調查、取證、立案等功能，并對偵查調查的流程進行管理。。偵查調查子系統(tǒng)也具備可疑案事件的推送能力，協(xié)助監(jiān)管單位縮小偵查范圍，并未偵查追蹤溯源S情報信息公信力造成不良影響。綠盟關鍵信息基礎設施安全態(tài)勢感知平臺綠盟關鍵信息基礎設施安全態(tài)勢感知平臺-7-?-7-平臺的信息整合和關聯(lián)分析形成針對自身暴露問題的具體可讀化信息，并能夠最大化互聯(lián)網(wǎng)的威脅。指揮調度度子系統(tǒng)是實現(xiàn)等級保護、實時監(jiān)測、通報預警、快速處置等業(yè)務功能的數(shù)據(jù)聯(lián)，支持重大任務安保任務的創(chuàng)建、調度功能，支持時間信息的上報、下發(fā)，支持安全應急在重大安保活動期間，協(xié)助安保作戰(zhàn)指揮，有效組織、利用本地專家、安全廠商、電信，。10攻防演習防演習子系統(tǒng)可以提供一套可實施的、閉環(huán)的演練場景用以模擬安全事件，可以輔助踐方法防演練的最終目的即是完善安全事件的應急機制。通過一次模擬的安全事件可以讓安全團隊以低成本實施一次有效的應急響應，同時也可有效識別出當前安全處理機制的不足或優(yōu)化綠盟關鍵信息基礎設施安全態(tài)勢感知平臺綠盟關鍵信息基礎設施安全態(tài)勢感知平臺-8-?-8-三.方案創(chuàng)新與價值3.1安全大數(shù)據(jù)分析能力網(wǎng)絡流量、威脅情報、環(huán)境信息……傳統(tǒng)的利用數(shù)據(jù)庫進行安全分析、數(shù)據(jù)挖掘變得極端困無法形成有效的安全態(tài)勢感知?？萍冀?jīng)過多年的研究，和安全事件分析經(jīng)驗積累，提出了多種安全分析模型。同時綠盟關鍵信息基礎設施安全態(tài)勢感知平臺綠盟關鍵信息基礎設施安全態(tài)勢感知平臺-9-?-9-3.2態(tài)勢感知能力在此基礎上，綠盟科技形成了自己的態(tài)勢感知和安全預警理論，利用安全大數(shù)據(jù)分析技建設、子系統(tǒng)建設全套解決方案實施能力。3.3威脅情報關聯(lián)分析能力綠盟威脅情報中心(NSFOCUSThreatIntelligencecenter,NTI)是綠盟科技依賴多年的安全經(jīng)驗和情報數(shù)據(jù)積累推出的一款威脅情報分析和共享平臺，可為用戶提供及時準確的威-10-?-10-3.4安全事件追蹤溯源能力攻擊溯源流程首先是基于攻擊目標和構建的推理方法庫，在理解引擎生成的安全事件基推理，將獨立的安全事件進行串聯(lián)，生成完整的攻擊鏈。并針對同一攻擊者利用不同手段對一個目標進行攻擊的情況，對攻擊鏈進行整合，以生成更加準確的攻擊鏈信息然后對安全事件進行前兩個階段的推理之后，會生成完整的攻擊防御樹，并提供攻擊和最后在生成的攻擊防御樹基礎之上挖掘攻擊目標和攻擊者的信息并進行可視化呈現(xiàn)且從攻擊者資料庫當中匹配攻擊者的情報信息，用以完善攻擊者的畫像，以及預判攻擊者可能采，同時支持生成溯源報告書。3.5統(tǒng)一威脅探針針采用深度流檢測技術及深度包檢測技術對各類應用進行深入分析，搭建應界面和安全中心上配置應用管理策略，可根據(jù)應用管理策略控制應用的