國家信息中心政務(wù)外網(wǎng)大數(shù)據(jù)安全分析技術(shù)方案

國家信息中心電子政務(wù)外網(wǎng)大數(shù)據(jù)安全分析與預(yù)警平臺建設(shè)方案北京瀚思安信科技有限公司

目錄1. 概述 61.1. 項(xiàng)目背景 61.2. 項(xiàng)目目標(biāo) 62. 安全風(fēng)險分析 72.1. 網(wǎng)絡(luò)安全風(fēng)險 72.1.1. 網(wǎng)絡(luò)病毒威脅 72.1.2. 數(shù)據(jù)泄露的風(fēng)險 82.1.3. 內(nèi)部局域網(wǎng)的安全威脅 82.2. 主機(jī)安全風(fēng)險 82.3. 應(yīng)用系統(tǒng)安全風(fēng)險 92.3.1. 數(shù)據(jù)庫系統(tǒng)平臺風(fēng)險分析 92.3.2. 中間件系統(tǒng)平臺風(fēng)險分析 102.3.3. 網(wǎng)站系統(tǒng)平臺風(fēng)險分析 103. 方案設(shè)計(jì)原則 114. 參考標(biāo)準(zhǔn) 115. 安全模型 126. 技術(shù)方案設(shè)計(jì) 126.1. 平臺架構(gòu) 126.2. 不同網(wǎng)絡(luò)區(qū)域的安全威脅應(yīng)對之道 146.2.1. 互聯(lián)網(wǎng)出口 166.2.2. 互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心 196.2.3. 公共區(qū)數(shù)據(jù)中心 226.3. 大數(shù)據(jù)安全分析應(yīng)用 256.3.1. 調(diào)查取證 266.3.2. 關(guān)聯(lián)分析 306.3.3. 機(jī)器學(xué)習(xí) 326.4. 數(shù)據(jù)采集和預(yù)處理 336.4.1. 采集范圍和方式 336.4.2. 數(shù)據(jù)預(yù)處理 366.4.3. 數(shù)據(jù)源要求 376.5. 數(shù)據(jù)存儲 426.5.1. 數(shù)據(jù)底層存儲架構(gòu)設(shè)計(jì) 426.5.2. 數(shù)據(jù)邏輯架構(gòu)設(shè)計(jì) 426.5.3. 對存儲量及性能的設(shè)計(jì) 446.6. 資產(chǎn)管理 456.6.1. 資產(chǎn)管理功能設(shè)計(jì) 466.6.2. 基礎(chǔ)信息 476.6.3. 安全域態(tài)勢 486.6.4. 網(wǎng)絡(luò)資產(chǎn)梳理 486.7. 統(tǒng)計(jì)分析 496.8. 知識庫和威脅情報分析 506.9. 告警響應(yīng) 516.10. 事件處置 536.10.1. 安全事件分類 536.10.2. 安全事件分級 546.10.3. 安全事件處理流程 556.10.4. 工單系統(tǒng) 556.11. 安全信息可視化 566.11.1. 領(lǐng)導(dǎo)視角 576.11.2. 安全分析人員視角 596.11.3. 運(yùn)維管理員視角 657. 實(shí)施部署 687.1. 系統(tǒng)部署 687.2. 性能設(shè)計(jì) 697.3. 軟硬件清單 697.4. 項(xiàng)目團(tuán)隊(duì) 707.5. 實(shí)施周期 707.6. 項(xiàng)目管理 718. 方案總結(jié) 718.1. 方案優(yōu)勢 718.2. 后續(xù)規(guī)劃 72

概述項(xiàng)目背景電子政務(wù)外網(wǎng)是我國政府信息化建設(shè)的關(guān)鍵，隨著政府部門信息化程度的提高，對信息系統(tǒng)的依賴程度越來越高。同時，整個電子政務(wù)外網(wǎng)的信息系統(tǒng)所面臨的各種安全風(fēng)險也日益嚴(yán)重，如何更好地為電子政務(wù)外網(wǎng)和電子政務(wù)信息系統(tǒng)提供安全保障，確保電子政務(wù)外網(wǎng)的安全運(yùn)行和信息化的健康發(fā)展是國家信息中心電子政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)所面臨的一個主要問題。根據(jù)電子政務(wù)外網(wǎng)的主要功能和獨(dú)特的安全需求，結(jié)合國家相關(guān)政策，建立國家信息中心電子政務(wù)外網(wǎng)的安全管理平臺，強(qiáng)化信息系統(tǒng)基礎(chǔ)平臺的安全管理，建設(shè)可信的信息系統(tǒng)環(huán)境，為國家信息中心的各類信息系統(tǒng)的安全、可靠、穩(wěn)定、高效的運(yùn)行提供良好的基礎(chǔ)和強(qiáng)有力的保障。項(xiàng)目目標(biāo)通過大數(shù)據(jù)安全分析和預(yù)警平臺的建設(shè)，建立國家信息中心電子政務(wù)外網(wǎng)安全監(jiān)控信息匯總樞紐和信息安全事件風(fēng)險協(xié)調(diào)處理中心。大數(shù)據(jù)安全分析和預(yù)警平臺負(fù)責(zé)監(jiān)控區(qū)安全信息的收集、匯總、分析與展示，對電子政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口、互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心和公共區(qū)數(shù)據(jù)中心進(jìn)行實(shí)時監(jiān)控和威脅分析，以及對各相關(guān)部委的安全事件協(xié)調(diào)處置和統(tǒng)一指揮調(diào)度。深化已建設(shè)信息安全項(xiàng)目的持續(xù)提升、提高IT資源防護(hù)水平，有效彌補(bǔ)電子政務(wù)外網(wǎng)信息安全風(fēng)險管理的全局可知、可辨、可控、可管與可視能力，提升信息安全風(fēng)險事件處置水平與信息安全運(yùn)維效率，提高對國家信息中心電子政務(wù)外網(wǎng)信息安全宏觀態(tài)勢的掌控、分析和評估水平。具體實(shí)現(xiàn)以下目標(biāo)：整體和局部的安全狀況可視可對國家信息中心電子政務(wù)外網(wǎng)的安全狀況進(jìn)行可視化的展現(xiàn)，包括整體、局部、不同區(qū)域、不同的單位、不同人員視角多維度。通過大數(shù)據(jù)安全分析平臺可掌握安全狀況如何。未知威脅和異常行為的檢測分析支持從各種數(shù)據(jù)源產(chǎn)生的海量的告警、日志、其他數(shù)據(jù)中及時關(guān)聯(lián)分析出重要緊急的安全事件，通過大數(shù)安全分析平臺統(tǒng)一告警。對安全事件進(jìn)行分類分級響應(yīng)建立安全事件分類分級響應(yīng)機(jī)制，通過大數(shù)據(jù)安全分析平臺和工單系統(tǒng)對安全事件分類分級響應(yīng)。安全事件的取證溯源當(dāng)發(fā)生安全事件或進(jìn)行檢查時，通過大數(shù)據(jù)安全分析平臺可快速的進(jìn)行相關(guān)事件的長周期全文溯源取證。整體和部門的安全報表報告可提供整體和部門的安全報告報表，作為工作匯報總結(jié)和決策支撐的依據(jù)。安全風(fēng)險分析網(wǎng)絡(luò)安全風(fēng)險由于和外網(wǎng)互連后，病毒、攻擊者可以將攻擊或病毒攜帶在EMAIL、網(wǎng)頁里，P2P軟件里，社交媒體里傳播進(jìn)入內(nèi)部網(wǎng)，通過內(nèi)部人員上網(wǎng)的正常過程來感染內(nèi)部客戶機(jī)，這樣就會出現(xiàn)大量數(shù)據(jù)流量，內(nèi)部訪問速度變慢的情況，嚴(yán)重的會直接導(dǎo)致交換機(jī)崩潰，所有網(wǎng)絡(luò)通訊停止。除了Internet，實(shí)際上外部的其它網(wǎng)絡(luò)，由于不可控制，如果不注意安全防護(hù)，安全風(fēng)險并不比Internet少，這也是種網(wǎng)絡(luò)互聯(lián)的風(fēng)險。所以，將與外部網(wǎng)絡(luò)互聯(lián)的安全威脅列為國家信息中心信息系統(tǒng)網(wǎng)絡(luò)中的頭號風(fēng)險。網(wǎng)絡(luò)病毒威脅網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一，病毒程序可以通過網(wǎng)頁瀏覽、網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。病毒的傳播途徑如此眾多，傳播速度如此之快，因此，病毒的危害是不可以輕視的。網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。國家信息中心信息系統(tǒng)的網(wǎng)絡(luò)（現(xiàn)狀）比較龐大，各級網(wǎng)絡(luò)之間均存在路由可以相互訪問。一旦有任何一個網(wǎng)絡(luò)中的任何一臺主機(jī)感染病毒，都將非常迅速地在整個網(wǎng)絡(luò)中傳播。數(shù)據(jù)泄露的風(fēng)險各種信息資源的訪問控制要建立在可靠的身份鑒別之上。國家信息中心信息系統(tǒng)的網(wǎng)絡(luò)內(nèi)未采用集中的證書認(rèn)證系統(tǒng)，客戶端對業(yè)務(wù)數(shù)據(jù)庫的訪問，幾乎都是采用的用戶名、口令方式，完全有可能因?yàn)榭诹钚孤⒖诹畲嗳醯雀鞣N原因?qū)е律矸菁倜?，從而使原有的訪問控制措施失去效力。并且遠(yuǎn)程管理也通過明文傳輸協(xié)議TELNET，F(xiàn)TP，SMTP，POP3，這樣任何一個人都可以在內(nèi)部竊聽數(shù)據(jù)，通過簡單的軟件還原數(shù)據(jù)包，從而獲得機(jī)密資料以及管理員口令，威脅所有服務(wù)器安全。內(nèi)部局域網(wǎng)的安全威脅據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)。如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部不懷好意員工編寫破壞程序在內(nèi)部網(wǎng)上傳播；內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都將對網(wǎng)絡(luò)安全構(gòu)成很大的威脅。從國家信息中心組織架構(gòu)上看，既不可能有一個管理中心來保證所有各級網(wǎng)絡(luò)的安全性，又不可能有效管理每一個員工的網(wǎng)絡(luò)行為，因此，采用某種手段來防范來源于內(nèi)部的風(fēng)險就顯得特別重要。主機(jī)安全風(fēng)險國家信息中心信息系統(tǒng)中可能存在的主機(jī)安全風(fēng)險如下：非法外聯(lián)通過雙網(wǎng)卡、WIFI、3G、藍(lán)牙、紅外等方法進(jìn)行非法外聯(lián)造成內(nèi)外網(wǎng)聯(lián)通的風(fēng)險；木馬病毒主機(jī)感染木馬病毒的風(fēng)險；系統(tǒng)漏洞主機(jī)存在被黑客利用的系統(tǒng)漏洞的風(fēng)險；外設(shè)違規(guī)使用通過使用U盤、光盤等外接設(shè)備造成的安全風(fēng)險；一機(jī)兩用訪問互聯(lián)網(wǎng)的主機(jī)與訪問內(nèi)部網(wǎng)絡(luò)的主機(jī)混用，造成信息安全風(fēng)險；應(yīng)用系統(tǒng)安全風(fēng)險國家信息中心信息系統(tǒng)的應(yīng)用系統(tǒng)由數(shù)據(jù)庫系統(tǒng)平臺、中間件系統(tǒng)平臺和國家信息中心信息系統(tǒng)的網(wǎng)站系統(tǒng)平臺組成等。因此，對應(yīng)用系統(tǒng)安全風(fēng)險的分析也就是對各種系統(tǒng)平臺的安全風(fēng)險分析。數(shù)據(jù)庫系統(tǒng)平臺風(fēng)險分析數(shù)據(jù)庫系統(tǒng)一般可以理解成兩部分：一部分是數(shù)據(jù)庫，按一定的方式存取數(shù)據(jù)；另一部分是數(shù)據(jù)庫管理系統(tǒng)，為用戶及應(yīng)用程序提供數(shù)據(jù)訪問，并具有對數(shù)據(jù)庫進(jìn)行管理、維護(hù)等多種功能。隨著計(jì)算機(jī)在社會各個領(lǐng)域的廣泛應(yīng)用，信息系統(tǒng)中的數(shù)據(jù)庫管理系統(tǒng)擔(dān)負(fù)著集中處理大量信息的使命，但是數(shù)據(jù)庫通常沒有像操作系統(tǒng)和網(wǎng)絡(luò)那樣在安全性上受到重視。數(shù)據(jù)完整性和合法存取會受到很多方面的安全威脅，包括對數(shù)據(jù)庫中信息的竊取、篡改和破壞，計(jì)算機(jī)病毒、特洛伊木馬等對數(shù)據(jù)庫系統(tǒng)的滲透、攻擊，系統(tǒng)后門以及本身的安全缺陷等。數(shù)據(jù)庫系統(tǒng)平臺是應(yīng)用系統(tǒng)的核心，其面臨的安全風(fēng)險包括：偶然的、無意的侵犯/或破壞。自然的或意外的事故。例如地震，水災(zāi)和火災(zāi)等導(dǎo)致的硬件損壞，進(jìn)而導(dǎo)致數(shù)據(jù)的損壞和丟失。硬件或軟件的故障/錯誤導(dǎo)致的數(shù)據(jù)丟失。硬件或軟件的故障/錯誤導(dǎo)致可能導(dǎo)致系統(tǒng)內(nèi)部的安全機(jī)制的失效，也可導(dǎo)致非法訪問數(shù)據(jù)或系統(tǒng)拒絕提供數(shù)據(jù)服務(wù)。人為的失誤。操作人員或系統(tǒng)的直接用戶的錯誤輸入、應(yīng)用系統(tǒng)的不正確的使用。蓄意的侵犯或敵意的攻擊。授權(quán)用戶可能濫用他們的權(quán)限，蓄意竊取或破壞信息。病毒。病毒可以自我復(fù)制，永久的或通常是不可恢復(fù)的破壞自我復(fù)制的現(xiàn)場，到達(dá)破壞信息系統(tǒng)、取得信息甚至使系統(tǒng)癱瘓。特洛伊木馬。一些隱藏在公開的程序內(nèi)部收集環(huán)境的信息，可能是由授權(quán)用戶安裝（不經(jīng)意的）的，利用用戶的合法權(quán)限竊取數(shù)據(jù)。隱蔽通道。是隱藏在合法程序內(nèi)部的一段代碼，在特定的條件下啟動，從而許可此時的攻擊可以跳過系統(tǒng)設(shè)置的安全稽核機(jī)制進(jìn)入系統(tǒng)，以達(dá)到竊取數(shù)據(jù)的目的。信息的非正常的擴(kuò)散。對信息的非正常的修改，包括破壞數(shù)據(jù)一致性的非法修改以及刪除。繞過DBMS直接對數(shù)據(jù)進(jìn)行讀寫。中間件系統(tǒng)平臺風(fēng)險分析對于中間件的安全風(fēng)險主要是在網(wǎng)絡(luò)互連及數(shù)據(jù)通信過程中來自不速之客的非法性動作，主要有非法截取閱讀或修改數(shù)據(jù)、假冒他人身份進(jìn)行欺騙、未授權(quán)用戶訪問網(wǎng)絡(luò)資源等。網(wǎng)站系統(tǒng)平臺風(fēng)險分析網(wǎng)站的常見風(fēng)險包括：拒絕服務(wù)攻擊；端口掃描；篡改網(wǎng)站主頁；非授權(quán)用戶訪問；冒充合法用戶的訪問；Web服務(wù)器主機(jī)的詳細(xì)信息被泄漏；Web服務(wù)器私人信息和保密信息被竊；利用Bug對Web站點(diǎn)進(jìn)行破壞；方案設(shè)計(jì)原則易擴(kuò)展性原則系統(tǒng)具備良好的可擴(kuò)展性，支持未來隨著用戶容量的增加和業(yè)務(wù)擴(kuò)容。系統(tǒng)具備靈活的體系架構(gòu)，支持對新系統(tǒng)接入的快速響應(yīng)。系統(tǒng)應(yīng)考慮到升級、擴(kuò)展以及與其它應(yīng)用系統(tǒng)的接口能力。產(chǎn)品具有良好的擴(kuò)展性，能夠快速響應(yīng)需求的擴(kuò)展，滿足買方的進(jìn)一步需要。開放性，兼容性原則設(shè)計(jì)規(guī)范、技術(shù)指標(biāo)及產(chǎn)品均要符合國際和工業(yè)標(biāo)準(zhǔn)，并可提供多廠家產(chǎn)品日志的支持能力。安全性原則系統(tǒng)開發(fā)、建設(shè)及維護(hù)的全過程中，在代碼安全、數(shù)據(jù)保密、系統(tǒng)安全防護(hù)措施上采取較嚴(yán)格的措施，進(jìn)行縝密的權(quán)限、身份、帳號與信息加密管理，以保證系統(tǒng)和數(shù)據(jù)的安全。管理、操作、易維護(hù)性隨著信息系統(tǒng)建設(shè)規(guī)模的不斷擴(kuò)大，系統(tǒng)的可管理性已成為系統(tǒng)能否實(shí)施的關(guān)鍵，系統(tǒng)必須具有了友好的用戶界面，操作簡單、直觀、靈活，易于學(xué)習(xí)和掌握。參考標(biāo)準(zhǔn)本方案制作過程中主要參考了以下標(biāo)準(zhǔn)：《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指》GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》ISO27001（信息安全管理體系標(biāo)準(zhǔn)）GB/Z20986（信息安全技術(shù)信息安全事件分類分級指南）安全模型本方案采用以大數(shù)據(jù)安全分析平臺為核心的新型安全模型，安全模型如下圖：基于傳統(tǒng)安全設(shè)備的縱深防御模型是基礎(chǔ)；基于大數(shù)據(jù)技術(shù)的實(shí)時異常行為檢測和持續(xù)監(jiān)控是核心；外部安全威脅情報是重要組成部分；人員和流程是關(guān)鍵要素；技術(shù)方案設(shè)計(jì)平臺架構(gòu)大數(shù)據(jù)安全分析和預(yù)警平臺采用業(yè)內(nèi)先進(jìn)的分布式文件系統(tǒng)和HadoopSpark大數(shù)據(jù)計(jì)算框架，通過采集國家信息中心所有IT基礎(chǔ)設(shè)施數(shù)據(jù)，利用機(jī)器學(xué)習(xí)、數(shù)據(jù)建模、行為識別、關(guān)聯(lián)分析等方法對企業(yè)內(nèi)所有機(jī)器數(shù)據(jù)進(jìn)行統(tǒng)一分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊行為、安全異常事件、未知威脅的發(fā)現(xiàn)和告警。系統(tǒng)采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用系統(tǒng)等日志數(shù)據(jù)存儲到Elasticsearch中（Elasticsearch是一種基于分布式架構(gòu)的文件系統(tǒng)，擅長存儲海量文件，可以處理結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)），Elasticsearch提供了數(shù)據(jù)的存儲及全文檢索，在此基礎(chǔ)上通過HadoopSpark對長周期海量日志進(jìn)行：關(guān)聯(lián)分析、匹配規(guī)則、機(jī)器學(xué)習(xí)、數(shù)據(jù)建模、基線和模式識別等手段進(jìn)行分析，同時將來結(jié)合瀚思的安全情報中心推送的威脅情報對企業(yè)內(nèi)用戶、網(wǎng)絡(luò)和應(yīng)用進(jìn)行異常行為檢測，從而發(fā)現(xiàn)隱藏的威脅和異常行為。系統(tǒng)架構(gòu)如下圖所示：具體建設(shè)思路如下：1、重點(diǎn)網(wǎng)站和重要信息系統(tǒng)安全監(jiān)測功能，利用安全檢查工具實(shí)現(xiàn)對互聯(lián)網(wǎng)網(wǎng)站和信息系統(tǒng)的全方位安全監(jiān)測。及時獲取重點(diǎn)網(wǎng)站及信息系統(tǒng)的安全漏洞。2、重點(diǎn)網(wǎng)站網(wǎng)絡(luò)安全防護(hù)管控功能，由政務(wù)網(wǎng)站單位將納入管理的各個重點(diǎn)網(wǎng)站和系統(tǒng)的相關(guān)邊界防護(hù)設(shè)備的狀態(tài)和系統(tǒng)運(yùn)行日志發(fā)送到本系統(tǒng)平臺，對承載納入管理的重點(diǎn)網(wǎng)站和重要信息系統(tǒng)IT計(jì)算環(huán)境中的相關(guān)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和服務(wù)器、服務(wù)和應(yīng)用系統(tǒng)，以及其它安全管理涉及的設(shè)備進(jìn)行監(jiān)控，對系統(tǒng)安全運(yùn)行維護(hù)狀況進(jìn)行監(jiān)測，對入侵和惡意訪問數(shù)據(jù)進(jìn)行采集分析。3、對政務(wù)外網(wǎng)進(jìn)行防護(hù)數(shù)據(jù)采集分析功能，依托于互聯(lián)網(wǎng)接入服務(wù)商現(xiàn)有設(shè)備的基礎(chǔ)上，增設(shè)防護(hù)設(shè)備。對出入政務(wù)外網(wǎng)的惡意數(shù)據(jù)和惡意訪問行為進(jìn)行清洗采集分析。4、建立監(jiān)管部門與被監(jiān)管單位之間信息安全協(xié)同處理功能，通過電子和信息化手段，協(xié)同完成日常的安全事件的響應(yīng)與應(yīng)對，加強(qiáng)監(jiān)管部門的監(jiān)管力度和提高被監(jiān)管單位的響應(yīng)速度和執(zhí)行力度，將信息安全監(jiān)測發(fā)現(xiàn)的問題及時處理。5、大數(shù)據(jù)綜合分析功能。通過重要系統(tǒng)安全防護(hù)設(shè)備、惡意訪問行為數(shù)據(jù)的采集分析。判定危險源行為特征類型，立足對系統(tǒng)安全監(jiān)測數(shù)據(jù)、運(yùn)行數(shù)據(jù)的分析。及時通過協(xié)作平臺下達(dá)安全運(yùn)維指令，及時提升重要信息系統(tǒng)安全運(yùn)維能力，消除安全漏洞隱患；立足系統(tǒng)對惡意設(shè)備滲透檢測功能對惡意資產(chǎn)設(shè)備特征監(jiān)測數(shù)據(jù)分析，判定惡意行為實(shí)施者，為打擊網(wǎng)絡(luò)犯罪提供數(shù)據(jù)證據(jù)支撐。6、建立可視化綜合分析展示功能，綜合以上兩個系統(tǒng)和平臺采集的全方位數(shù)據(jù)，通過數(shù)據(jù)分析挖掘技術(shù)，研報互聯(lián)網(wǎng)網(wǎng)站或信息系統(tǒng)的漏洞和可能面臨的系統(tǒng)安全風(fēng)險，從當(dāng)前狀況和潛在風(fēng)險兩個方面進(jìn)行信息系統(tǒng)日常安全監(jiān)管和風(fēng)險預(yù)警，并通過該系統(tǒng)對被監(jiān)管系統(tǒng)及時提出風(fēng)險預(yù)警和整改意見。不同網(wǎng)絡(luò)區(qū)域的安全威脅應(yīng)對之道各安全域有不同的數(shù)據(jù)來源，通過分析可以實(shí)現(xiàn)不同維度和角度的安全威脅分析。安全域威脅分析功能的核心由一系列的安全分析模塊組成，完成安全分析工作，如關(guān)聯(lián)分析、攻擊威脅深度挖掘和基于目標(biāo)出發(fā)的威脅分析等。整體框架采用分布式技術(shù)，根據(jù)調(diào)度算法，充分利用集群的資源。國家信息中心政務(wù)外網(wǎng)大數(shù)據(jù)安全分析平臺基于對網(wǎng)絡(luò)安全威脅監(jiān)測和業(yè)務(wù)數(shù)據(jù)關(guān)聯(lián)分析實(shí)現(xiàn)入侵攻擊事件分析引擎、惡意域名網(wǎng)站專項(xiàng)分析引擎和攻擊組織/攻擊IP專項(xiàng)分析引擎等功能。在業(yè)務(wù)層面通過安全事件分析任務(wù)的形式調(diào)度各分析引擎作業(yè)，包括日常威脅分析任務(wù)、專項(xiàng)威脅分析任務(wù)、重要信息系統(tǒng)威脅分析任務(wù)、突發(fā)事件威脅分析任務(wù)等。通過上述分析任務(wù)分析得到攻擊行為、欺詐/仿冒/釣魚等網(wǎng)絡(luò)安全威脅線索；分析得到攻擊組織、攻擊者IP或虛擬身份相關(guān)的網(wǎng)絡(luò)攻擊或惡意活動線索信息；分析得到重點(diǎn)單位、重要系統(tǒng)/網(wǎng)站、重要網(wǎng)絡(luò)部位相關(guān)的網(wǎng)絡(luò)安全線索數(shù)據(jù)。上述得到的數(shù)據(jù)在系統(tǒng)中以可視化組件的形式進(jìn)行展示，遵循數(shù)據(jù)接口規(guī)范的導(dǎo)出和傳輸共享。從業(yè)務(wù)層面，追蹤溯源以威脅分析任務(wù)驅(qū)動的形式完成各項(xiàng)威脅分析任務(wù)，主要包括：不同安全域的外網(wǎng)安全分析任務(wù)：面向聯(lián)網(wǎng)重要信息系統(tǒng)和重點(diǎn)網(wǎng)站對可能遭受攻擊情況進(jìn)行監(jiān)測和分析，及早發(fā)現(xiàn)針對性的攻擊和破壞活動，防患于未然。網(wǎng)絡(luò)安全日常威脅分析：即日常開展的網(wǎng)絡(luò)安全威脅、重點(diǎn)網(wǎng)站/重要部位、以及重點(diǎn)關(guān)注人的關(guān)聯(lián)分析。例如：仿冒網(wǎng)站、惡意代碼、僵尸網(wǎng)絡(luò)、流量攻擊等安全威脅監(jiān)測。突出情況威脅分析任務(wù)：即針對特定的網(wǎng)絡(luò)安全威脅或網(wǎng)絡(luò)安全事件（例如恐怖活動、分裂國家活動等）進(jìn)行關(guān)聯(lián)分析、發(fā)掘關(guān)鍵線索，為其它業(yè)務(wù)部門打擊網(wǎng)絡(luò)安全犯罪和攻擊跟蹤分析提供數(shù)據(jù)支持?；ヂ?lián)網(wǎng)出口政務(wù)外網(wǎng)幾乎所有的業(yè)務(wù)流量都要經(jīng)過互聯(lián)網(wǎng)出口與各業(yè)務(wù)單位和業(yè)務(wù)網(wǎng)產(chǎn)生數(shù)據(jù)交換，掌握互聯(lián)網(wǎng)出口的數(shù)據(jù)可以有效地提高政務(wù)網(wǎng)安全水平，及時規(guī)避風(fēng)險，互聯(lián)網(wǎng)出口的流量和設(shè)備數(shù)據(jù)可以對如下風(fēng)險做出應(yīng)對，包括：網(wǎng)絡(luò)病毒威脅、數(shù)據(jù)泄露風(fēng)險、內(nèi)部局域網(wǎng)安全威脅、主機(jī)安全風(fēng)險、數(shù)據(jù)庫系統(tǒng)安全風(fēng)險、中間件系統(tǒng)安全風(fēng)險、網(wǎng)站系統(tǒng)安全風(fēng)險等。數(shù)據(jù)來源對互聯(lián)網(wǎng)出口的設(shè)備日志和流量進(jìn)行采集，設(shè)備包括：序號設(shè)備名稱采集數(shù)據(jù)采集方式1防火墻日志Syslog協(xié)議2IPS告警日志Syslog協(xié)議3上網(wǎng)行為審計(jì)日志Syslog協(xié)議4抗DDOS系統(tǒng)告警日志Syslog協(xié)議5交換機(jī)流量摘要信息流量摘要信息協(xié)議6綜合網(wǎng)關(guān)設(shè)備日志Syslog協(xié)議7核心數(shù)通設(shè)備全流量鏡像以上設(shè)備支持標(biāo)準(zhǔn)syslog協(xié)議發(fā)送日志，在各設(shè)備上將日志服務(wù)器地址和端口配置為大數(shù)據(jù)安全分析平臺的采集器地址和監(jiān)聽端口。交換機(jī)配置流量摘要信息功能，將流量摘要信息數(shù)據(jù)送至大數(shù)據(jù)安全分析平臺安全威脅分析大數(shù)據(jù)安全分析對互聯(lián)網(wǎng)出口面臨威脅的分析方式和分析的數(shù)據(jù)如下：事件溯源定位威脅檢測分析一級分類二級分類數(shù)據(jù)源數(shù)據(jù)源實(shí)時關(guān)聯(lián)分析機(jī)器學(xué)習(xí)嗅探踩點(diǎn)來源于外部的端口掃描1.防火墻日志

2.IDS/IPS日志

3.交換機(jī)日志1.交換機(jī)日志1.利用多變量時間序列聚類算法識別異常端口掃描嗅探踩點(diǎn)來源于外部的漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.服務(wù)器日志

4.流量摘要信息1.交換機(jī)日志

2.流量摘要信息1.利用基于事件和內(nèi)容特征的聚類算法識別異常漏洞掃描網(wǎng)絡(luò)入侵來源于外部的漏洞入侵主機(jī)1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意代碼特征）網(wǎng)絡(luò)入侵外部弱口令入侵1.IDS/IPS日志

2.內(nèi)網(wǎng)安全審計(jì)日志1.內(nèi)網(wǎng)安全審計(jì)日志1.安全審計(jì)日志關(guān)聯(lián)分析（暴力破解規(guī)則）感染病毒用戶訪問惡意網(wǎng)頁而感染惡意軟件1.上網(wǎng)行為審計(jì)日志

2.主機(jī)系統(tǒng)日志

3.殺毒軟件日志1.上網(wǎng)行為審計(jì)日志

2.主機(jī)系統(tǒng)日志1.威脅情報關(guān)聯(lián)分析（惡意URL，惡意文件MD5）感染病毒用戶接收惡意郵件而感染惡意軟件1.郵件服務(wù)器日志

2.上網(wǎng)行為審計(jì)日志

3.主機(jī)系統(tǒng)日志

4.殺毒軟件日志1.郵件服務(wù)器日志

2.上網(wǎng)行為審計(jì)日志

3.主機(jī)系統(tǒng)日志1.威脅情報關(guān)聯(lián)分析（惡意URL，惡意文件MD5）感染病毒用戶使用U盤而感染惡意軟件1.內(nèi)網(wǎng)安全報警日志

2.主機(jī)系統(tǒng)日志

3.殺毒軟件日志1.主機(jī)系統(tǒng)日志1.威脅情報關(guān)聯(lián)分析（惡意文件MD5）感染病毒內(nèi)網(wǎng)蠕蟲爆發(fā)1.殺毒軟件日志1.主機(jī)系統(tǒng)日志

2.交換機(jī)日志1.利用蠕蟲爆發(fā)網(wǎng)絡(luò)流量模型識別內(nèi)網(wǎng)蠕蟲爆發(fā)感染病毒已知病毒感染（蠕蟲、木馬，后門）1.殺毒軟件日志

2.上網(wǎng)行為審計(jì)日志感染病毒未知病毒感染（蠕蟲、木馬、后門）1.上網(wǎng)行為審計(jì)日志

2.交換機(jī)日志

3.主機(jī)系統(tǒng)日志1.威脅情報關(guān)聯(lián)分析（惡意URL、C&C主機(jī)IP，惡意文件MD5）違規(guī)行為內(nèi)部非授權(quán)端口掃描1.防火墻日志

2.IDS/IPS日志1.交換機(jī)日志1.利用多變量時間序列聚類算法識別異常端口掃描違規(guī)行為內(nèi)部非授權(quán)漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.流量摘要信息1.交換機(jī)日志

2.流量摘要信息1.利用基于事件和內(nèi)容特征的聚類算法識別異常漏洞掃描違規(guī)行為內(nèi)部漏洞入侵1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意代碼特征）違規(guī)行為內(nèi)部弱口令入侵1.IDS/IPS日志

2.內(nèi)網(wǎng)安全審計(jì)日志1.內(nèi)網(wǎng)安全審計(jì)日志1.安全審計(jì)日志關(guān)聯(lián)分析（暴力破解規(guī)則）違規(guī)行為網(wǎng)絡(luò)欺騙與劫持攻擊1.交換機(jī)日志1.交換機(jī)日志

2.流量摘要信息1.異常網(wǎng)絡(luò)行為模型分析（基于時間和流量的異常ARP包和DNS包檢測）違規(guī)行為內(nèi)部機(jī)器接收外部來源的網(wǎng)絡(luò)連接1.防火墻日志

2.IDS/IPS日志1.交換機(jī)日志1.威脅情報關(guān)聯(lián)分析（惡意IP）信息泄露用戶訪問惡意網(wǎng)頁而泄露信息1.上網(wǎng)行為審計(jì)日志

2.流量摘要信息1.上網(wǎng)行為審計(jì)日志

2.交換機(jī)日志

3.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意URL）信息泄露機(jī)密信息外傳1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志

3.交換機(jī)日志

4.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意URL、C&C主機(jī)IP，惡意郵件地址）信息泄露跨境數(shù)據(jù)傳輸1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志

3.交換機(jī)日志1.威脅情報關(guān)聯(lián)分析（IP地址地理位置關(guān)聯(lián)）DDOS攻擊發(fā)起DDOS攻擊1.交換機(jī)日志1.交換機(jī)日志1.異常網(wǎng)絡(luò)行為模型分析（基于時間和流量的異常網(wǎng)絡(luò)包檢測）可識別異常系統(tǒng)漏洞1.漏洞掃描結(jié)果可識別異常設(shè)備掉電1.設(shè)備日志互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心作為互聯(lián)網(wǎng)和公共網(wǎng)絡(luò)區(qū)之間的緩沖區(qū)，主要承載了門戶網(wǎng)站類應(yīng)用和各成員單位托管在國家信息中心的主機(jī)/虛擬主機(jī)，連接了用戶和數(shù)據(jù)，該區(qū)域集中了大量WEB、APP、中間件數(shù)據(jù)，極易受到DDOS、SQL注入、跨站攻擊、掛馬、暴力破解等安全威脅，在該區(qū)域部署大數(shù)據(jù)安全分析系統(tǒng)可以有效應(yīng)對網(wǎng)絡(luò)病毒威脅、數(shù)據(jù)泄露風(fēng)險、內(nèi)部局域網(wǎng)安全威脅、主機(jī)安全風(fēng)險、中間件系統(tǒng)安全風(fēng)險、網(wǎng)站系統(tǒng)安全風(fēng)險等。數(shù)據(jù)來源對互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心以下設(shè)備的日志進(jìn)行采集：序號設(shè)備名稱采集數(shù)據(jù)采集方式1防火墻日志Syslog協(xié)議2IPS/IDS告警日志Syslog協(xié)議3抗DDOS系統(tǒng)告警日志Syslog協(xié)議4中間件日志Syslog或FTP5服務(wù)器操作系統(tǒng)日志安裝代理6安全審計(jì)設(shè)備日志Syslog轉(zhuǎn)發(fā)安全威脅分析大數(shù)據(jù)安全分析對互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心面臨威脅的分析方式和分析的數(shù)據(jù)如下：事件溯源定位威脅檢測分析一級分類二級分類數(shù)據(jù)源數(shù)據(jù)源實(shí)時關(guān)聯(lián)分析機(jī)器學(xué)習(xí)嗅探踩點(diǎn)來源于外部的端口掃描1.防火墻日志

2.IDS/IPS日志

3.交換機(jī)日志1.交換機(jī)日志1.利用多變量時間序列聚類算法識別異常端口掃描嗅探踩點(diǎn)來源于外部的漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.服務(wù)器日志

4.流量摘要信息1.交換機(jī)日志

2.流量摘要信息1.利用基于事件和內(nèi)容特征的聚類算法識別異常漏洞掃描網(wǎng)絡(luò)入侵來源于外部的漏洞入侵主機(jī)1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意代碼特征）網(wǎng)絡(luò)入侵來源于外部的漏洞入侵Web服務(wù)器1.IDS/IPS日志

2.防火墻日志

3.服務(wù)器日志

4.流量摘要信息1.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意代碼特征）網(wǎng)絡(luò)入侵外部弱口令入侵1.IDS/IPS日志

2.內(nèi)網(wǎng)安全審計(jì)日志1.內(nèi)網(wǎng)安全審計(jì)日志1.安全審計(jì)日志關(guān)聯(lián)分析（暴力破解規(guī)則）網(wǎng)絡(luò)入侵APT攻擊1.防火墻日志

2.IDS/IPS日志

3.上網(wǎng)行為審計(jì)日志

4.內(nèi)網(wǎng)安全審計(jì)日志

5.流量摘要信息網(wǎng)絡(luò)入侵零日攻擊1.防火墻日志

2.IDS/IPS日志

3.上網(wǎng)行為審計(jì)日志

4.流量摘要信息感染病毒用戶使用U盤而感染惡意軟件1.內(nèi)網(wǎng)安全報警日志

2.主機(jī)系統(tǒng)日志

3.殺毒軟件日志1.主機(jī)系統(tǒng)日志1.威脅情報關(guān)聯(lián)分析（惡意文件MD5）感染病毒內(nèi)網(wǎng)蠕蟲爆發(fā)1.殺毒軟件日志1.主機(jī)系統(tǒng)日志

2.交換機(jī)日志1.利用蠕蟲爆發(fā)網(wǎng)絡(luò)流量模型識別內(nèi)網(wǎng)蠕蟲爆發(fā)感染病毒已知病毒感染（蠕蟲、木馬，后門）1.殺毒軟件日志

2.上網(wǎng)行為審計(jì)日志感染病毒未知病毒感染（蠕蟲、木馬、后門）1.上網(wǎng)行為審計(jì)日志

2.交換機(jī)日志

3.主機(jī)系統(tǒng)日志1.威脅情報關(guān)聯(lián)分析（惡意URL、C&C主機(jī)IP，惡意文件MD5）違規(guī)行為內(nèi)部非授權(quán)端口掃描1.防火墻日志

2.IDS/IPS日志1.交換機(jī)日志1.利用多變量時間序列聚類算法識別異常端口掃描違規(guī)行為內(nèi)部非授權(quán)漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.流量摘要信息1.交換機(jī)日志

2.流量摘要信息1.利用基于事件和內(nèi)容特征的聚類算法識別異常漏洞掃描違規(guī)行為內(nèi)部漏洞入侵1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意代碼特征）違規(guī)行為內(nèi)部弱口令入侵1.IDS/IPS日志

2.內(nèi)網(wǎng)安全審計(jì)日志1.內(nèi)網(wǎng)安全審計(jì)日志1.安全審計(jì)日志關(guān)聯(lián)分析（暴力破解規(guī)則）違規(guī)行為非法連接外部網(wǎng)絡(luò)1.上網(wǎng)行為審計(jì)日志1.上網(wǎng)行為審計(jì)日志

2.交換機(jī)日志1.威脅情報關(guān)聯(lián)分析（惡意URL、C&C主機(jī)IP）違規(guī)行為網(wǎng)絡(luò)欺騙與劫持攻擊1.交換機(jī)日志1.交換機(jī)日志

2.流量摘要信息1.異常網(wǎng)絡(luò)行為模型分析（基于時間和流量的異常ARP包和DNS包檢測）違規(guī)行為內(nèi)部機(jī)器接收外部來源的網(wǎng)絡(luò)連接1.防火墻日志

2.IDS/IPS日志1.交換機(jī)日志1.威脅情報關(guān)聯(lián)分析（惡意IP）信息泄露機(jī)密信息外傳1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志

3.交換機(jī)日志

4.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意URL、C&C主機(jī)IP，惡意郵件地址）信息泄露跨境數(shù)據(jù)傳輸1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志

3.交換機(jī)日志1.威脅情報關(guān)聯(lián)分析（IP地址地理位置關(guān)聯(lián)）DDOS攻擊發(fā)起DDOS攻擊1.交換機(jī)日志1.交換機(jī)日志1.異常網(wǎng)絡(luò)行為模型分析（基于時間和流量的異常網(wǎng)絡(luò)包檢測）DDOS攻擊遭受DDOS攻擊1.抗DDOS系統(tǒng)日志1.交換機(jī)日志1.異常網(wǎng)絡(luò)行為模型分析可識別異常系統(tǒng)漏洞1.漏洞掃描結(jié)果可識別異常設(shè)備掉電1.設(shè)備日志公共區(qū)數(shù)據(jù)中心公共網(wǎng)絡(luò)區(qū)提供的大多是基礎(chǔ)IT服務(wù)，有數(shù)據(jù)庫、數(shù)據(jù)交換平臺、存儲服務(wù)、DNS服務(wù)、NTP服務(wù)、認(rèn)證服務(wù)、安全管理等，本區(qū)域是國家信息中心數(shù)據(jù)資產(chǎn)的存放的核心區(qū)域，本區(qū)域一旦出現(xiàn)安全影響非同小可，若造成核心數(shù)據(jù)泄露、關(guān)鍵數(shù)據(jù)被篡改等情況，足可以構(gòu)成安全事件分級中的“重大事件”甚至“特別重大事件”，威脅到國家安全，引起社會恐慌，對經(jīng)濟(jì)建設(shè)有重大的負(fù)面影響，或者損害到公眾利益。所以在該區(qū)域部署安全分析平臺十分必要，可以分析并應(yīng)對的風(fēng)險點(diǎn)包括：網(wǎng)絡(luò)病毒威脅、數(shù)據(jù)泄露風(fēng)險、內(nèi)部局域網(wǎng)安全威脅、數(shù)據(jù)庫系統(tǒng)安全風(fēng)險等，不僅是提供傳統(tǒng)的安全視角，還可以從內(nèi)審與合規(guī)性幫助國家信息中心提升整體安全管控水平。數(shù)據(jù)來源對公共區(qū)數(shù)據(jù)中心的數(shù)據(jù)采集如下：序號設(shè)備名稱采集數(shù)據(jù)采集方式1防火墻日志Syslog協(xié)議2IDS告警日志Syslog協(xié)議3抗DDOS系統(tǒng)告警日志Syslog協(xié)議4服務(wù)器操作系統(tǒng)日志安裝代理5安全審計(jì)設(shè)備日志Syslog轉(zhuǎn)發(fā)6IPS告警日志Syslog協(xié)議安全威脅分析大數(shù)據(jù)安全分析對公共區(qū)數(shù)據(jù)中心面臨威脅的分析方式和分析的數(shù)據(jù)如下：事件溯源定位威脅檢測分析一級分類二級分類數(shù)據(jù)源數(shù)據(jù)源實(shí)時關(guān)聯(lián)分析機(jī)器學(xué)習(xí)嗅探踩點(diǎn)來源于外部的端口掃描1.防火墻日志

2.IDS/IPS日志

3.交換機(jī)日志1.交換機(jī)日志1.利用多變量時間序列聚類算法識別異常端口掃描嗅探踩點(diǎn)來源于外部的漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.服務(wù)器日志

4.流量摘要信息1.交換機(jī)日志

2.流量摘要信息1.利用基于事件和內(nèi)容特征的聚類算法識別異常漏洞掃描網(wǎng)絡(luò)入侵來源于外部的漏洞入侵主機(jī)1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意代碼特征）網(wǎng)絡(luò)入侵外部弱口令入侵1.IDS/IPS日志

2.內(nèi)網(wǎng)安全審計(jì)日志1.內(nèi)網(wǎng)安全審計(jì)日志1.安全審計(jì)日志關(guān)聯(lián)分析（暴力破解規(guī)則）網(wǎng)絡(luò)入侵APT攻擊1.防火墻日志

2.IDS/IPS日志

3.上網(wǎng)行為審計(jì)日志

4.內(nèi)網(wǎng)安全審計(jì)日志

5.流量摘要信息網(wǎng)絡(luò)入侵零日攻擊1.防火墻日志

2.IDS/IPS日志

3.上網(wǎng)行為審計(jì)日志

4.流量摘要信息感染病毒用戶使用U盤而感染惡意軟件1.內(nèi)網(wǎng)安全報警日志

2.主機(jī)系統(tǒng)日志

3.殺毒軟件日志1.主機(jī)系統(tǒng)日志1.威脅情報關(guān)聯(lián)分析（惡意文件MD5）感染病毒內(nèi)網(wǎng)蠕蟲爆發(fā)1.殺毒軟件日志1.主機(jī)系統(tǒng)日志

2.交換機(jī)日志1.利用蠕蟲爆發(fā)網(wǎng)絡(luò)流量模型識別內(nèi)網(wǎng)蠕蟲爆發(fā)感染病毒已知病毒感染（蠕蟲、木馬，后門）1.殺毒軟件日志

2.上網(wǎng)行為審計(jì)日志感染病毒未知病毒感染（蠕蟲、木馬、后門）1.上網(wǎng)行為審計(jì)日志

2.交換機(jī)日志

3.主機(jī)系統(tǒng)日志1.威脅情報關(guān)聯(lián)分析（惡意URL、C&C主機(jī)IP，惡意文件MD5）違規(guī)行為內(nèi)部非授權(quán)端口掃描1.防火墻日志

2.IDS/IPS日志1.交換機(jī)日志1.利用多變量時間序列聚類算法識別異常端口掃描違規(guī)行為內(nèi)部非授權(quán)漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.流量摘要信息1.交換機(jī)日志

2.流量摘要信息1.利用基于事件和內(nèi)容特征的聚類算法識別異常漏洞掃描違規(guī)行為內(nèi)部漏洞入侵1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意代碼特征）違規(guī)行為內(nèi)部弱口令入侵1.IDS/IPS日志

2.內(nèi)網(wǎng)安全審計(jì)日志1.內(nèi)網(wǎng)安全審計(jì)日志1.安全審計(jì)日志關(guān)聯(lián)分析（暴力破解規(guī)則）違規(guī)行為非法連接外部網(wǎng)絡(luò)1.上網(wǎng)行為審計(jì)日志1.上網(wǎng)行為審計(jì)日志

2.交換機(jī)日志1.威脅情報關(guān)聯(lián)分析（惡意URL、C&C主機(jī)IP）違規(guī)行為網(wǎng)絡(luò)欺騙與劫持攻擊1.交換機(jī)日志1.交換機(jī)日志

2.流量摘要信息1.異常網(wǎng)絡(luò)行為模型分析（基于時間和流量的異常ARP包和DNS包檢測）違規(guī)行為內(nèi)部機(jī)器接收外部來源的網(wǎng)絡(luò)連接1.防火墻日志

2.IDS/IPS日志1.交換機(jī)日志1.威脅情報關(guān)聯(lián)分析（惡意IP）信息泄露機(jī)密信息外傳1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志

3.交換機(jī)日志

4.流量摘要信息1.威脅情報關(guān)聯(lián)分析（惡意URL、C&C主機(jī)IP，惡意郵件地址）信息泄露跨境數(shù)據(jù)傳輸1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志1.上網(wǎng)行為審計(jì)日志

2.郵件服務(wù)器日志

3.交換機(jī)日志1.威脅情報關(guān)聯(lián)分析（IP地址地理位置關(guān)聯(lián)）DDOS攻擊發(fā)起DDOS攻擊1.交換機(jī)日志1.交換機(jī)日志1.異常網(wǎng)絡(luò)行為模型分析（基于時間和流量的異常網(wǎng)絡(luò)包檢測）可識別異常系統(tǒng)漏洞1.漏洞掃描結(jié)果可識別異常設(shè)備掉電1.設(shè)備日志大數(shù)據(jù)安全分析應(yīng)用本方案主要采用大數(shù)據(jù)存儲、分析技術(shù)，通過對國家信息中心可以掌握的全量日志和網(wǎng)絡(luò)信息數(shù)據(jù)分析，從而感知和掌握網(wǎng)絡(luò)整體的安全態(tài)勢，打破各類設(shè)備之間的數(shù)據(jù)壁壘，提供以數(shù)據(jù)為基礎(chǔ)的安全交互分析平臺。本項(xiàng)目可以實(shí)現(xiàn)如下功能：調(diào)查取證為了便于安全分析人員對安全事件的分析，平臺提供易用的交互分析功能幫助安全分析人員快速的對安全事件進(jìn)行追溯定位和統(tǒng)計(jì)分析，安全分析人員通過對全局大數(shù)據(jù)的檢索、分析、歸納來識別潛在的惡意行為威脅以及確認(rèn)可能的存在的安全事件。事件和告警檢索平臺提供發(fā)生時間、源地址、目的地址、源端口、目的端口、協(xié)議、URL、事件類型等字段為條件的事件檢索，檢索的結(jié)果以列表的形式展示。告警檢索支持的條件包括但不限于告警類型、名稱、級別、源IP地址、源端口、目的IP地址、目的端口、協(xié)議、告警狀態(tài)、聚合數(shù)量、設(shè)備類型、設(shè)備IP、時間、處理建議等條件。支持全文檢索功能，能夠通過模糊匹配的方式對已存儲的海量事件進(jìn)行全文檢索；可以根據(jù)任意關(guān)鍵詞(支持“與”和“或”，支持使用=、>、<等關(guān)系運(yùn)算符)進(jìn)行日志數(shù)據(jù)檢索。關(guān)鍵詞的字段名稱可以由系統(tǒng)依據(jù)日志記錄自動識別（不依賴應(yīng)用配置信息）。對原始數(shù)據(jù)、元數(shù)據(jù)、分析結(jié)果等多類數(shù)據(jù)進(jìn)行多條件組合快速搜索，搜索方式支持精確匹配，模糊匹配，統(tǒng)計(jì)等對可疑網(wǎng)絡(luò)行為和各類安全事件進(jìn)行線索展開，獲取歷史數(shù)據(jù)、來源等信息，結(jié)合黑客來源、攻擊手法、使用工具等知識庫進(jìn)行威脅場景還原；根據(jù)洛克希德馬丁公司的KillChain攻擊鏈模型，將告警之間的時序關(guān)系、因果關(guān)系關(guān)聯(lián)分析，通過當(dāng)前告警可追溯攻擊鏈中與其相關(guān)的各個階段的告警時間，從而還原整個攻擊鏈。對于每條告警信息，回溯產(chǎn)生告警的證據(jù)鏈，包括日志信息、流量摘要信息，并且提供接口，根據(jù)IP、時間范圍等條件調(diào)用全流量檢測設(shè)備存儲的全流量數(shù)據(jù)。能夠利用大數(shù)據(jù)安全日志檢索分析系統(tǒng)展進(jìn)行基于圖數(shù)據(jù)庫的安全事件關(guān)聯(lián)分析，并對病毒爆發(fā)、人員足跡、機(jī)器使用、U盤使用等行為基于圖數(shù)據(jù)庫進(jìn)行可視化展現(xiàn)；支持?jǐn)?shù)據(jù)透視圖的方式通過不同維度的安全信息鉆取對安全事件進(jìn)行分析；基于正則表達(dá)式及函數(shù)復(fù)雜查詢可通正則表達(dá)式及函數(shù)（如AND、OR、NOT和()的組合）：對日志進(jìn)行復(fù)雜過濾查詢。高級關(guān)聯(lián)查詢支持快速關(guān)聯(lián)查詢功能，通過輸入設(shè)備的IP信息，可使用該功能快速查詢出該設(shè)備近期的整體安全狀態(tài)，通過對大數(shù)據(jù)日志的檢索，整體顯示出各接入設(shè)備中與該設(shè)備相關(guān)的所有安全告警，為運(yùn)維人員處理告警提供有力的數(shù)據(jù)依據(jù)。字段過濾支持字段過濾，可在字段列表中選擇過濾，使用字段過濾可以快速添加搜索條件以縮小檢索范圍。關(guān)聯(lián)分析大數(shù)據(jù)安全分析和預(yù)警平臺通過基于SparkStreaming技術(shù)實(shí)現(xiàn)的強(qiáng)大的CEP引擎，對系統(tǒng)采集的實(shí)時數(shù)據(jù)流進(jìn)行關(guān)聯(lián)分析，包括網(wǎng)絡(luò)流量安全事件、日志安全事件、資產(chǎn)、漏洞、安全配置、IP地址段、人員等信息之間采用基于規(guī)則、基于統(tǒng)計(jì)、基于資產(chǎn)的關(guān)聯(lián)方法，綜合分析安全告警，深度挖掘安全隱患、判斷安全事件的嚴(yán)重程度。從而重構(gòu)整個攻擊場景，降低誤報率，幫助安全運(yùn)營人員分析出網(wǎng)絡(luò)中潛在的安全隱患。橫向關(guān)聯(lián)支持安全事件的橫向關(guān)聯(lián)分析，即可以根據(jù)同一時間里，發(fā)生的安全事件進(jìn)行聚合，實(shí)現(xiàn)基于基本事件、網(wǎng)絡(luò)流量安全事件、基于資產(chǎn)和基于知識的關(guān)聯(lián)分析。具體如下：提供安全事件、網(wǎng)絡(luò)流量安全事件與漏洞信息的關(guān)聯(lián)分析提供安全事件、網(wǎng)絡(luò)流量安全事件與安全配置信息的關(guān)聯(lián)分析根據(jù)攻擊源進(jìn)行信息關(guān)聯(lián)分析；根據(jù)攻擊目標(biāo)進(jìn)行信息關(guān)聯(lián)分析；根據(jù)受攻擊的設(shè)備類型進(jìn)行信息關(guān)聯(lián)分析；根據(jù)受攻擊的操作系統(tǒng)類型及版本信息進(jìn)行關(guān)聯(lián)分析；根據(jù)安全事件類型進(jìn)行關(guān)聯(lián)分析；提供安全事件對資產(chǎn)的定位服務(wù)提供安全事件對人員的定位服務(wù)根據(jù)特定時間要求和用戶策略進(jìn)行橫向事后關(guān)聯(lián)分析?？v向關(guān)聯(lián)支持安全事件的縱向關(guān)聯(lián)分析，即可以根據(jù)安全事件發(fā)生的因果關(guān)系，進(jìn)行邏輯上關(guān)聯(lián)分析。具體要求如下：具備常見網(wǎng)絡(luò)攻擊行為分析，包括DDOS攻擊、網(wǎng)絡(luò)信息嗅探、漏洞掃描、網(wǎng)絡(luò)蠕蟲、木馬攻擊等常見網(wǎng)絡(luò)攻擊行為的縱向邏輯分析；具備自定義網(wǎng)絡(luò)攻擊行為功能，可以通過可視化的流程圖的定義某種網(wǎng)絡(luò)攻擊行為；關(guān)聯(lián)分析規(guī)則的管理提供良好的規(guī)則編輯管理人機(jī)界面，實(shí)現(xiàn)關(guān)聯(lián)分析策略的規(guī)則化輸入規(guī)則庫管理應(yīng)具有預(yù)先定義關(guān)聯(lián)規(guī)則功能，同時也具有查詢、刪除、更新功能；關(guān)聯(lián)規(guī)則表達(dá)式應(yīng)該支持規(guī)則的多級嵌套，前一規(guī)則輸出作為后一規(guī)則的輸入，以及規(guī)則之間的并集和交集處理；規(guī)則庫管理對關(guān)聯(lián)規(guī)則應(yīng)該具有良好的移植性，可以按照特定的文件格式，如XML、XLS，導(dǎo)入和導(dǎo)出。機(jī)器學(xué)習(xí)大數(shù)據(jù)分析平臺可建立特定的網(wǎng)絡(luò)威脅分析模型，定時的對網(wǎng)絡(luò)中的APT攻擊進(jìn)行檢測分析，如僵尸網(wǎng)絡(luò)、低速掃描、惡意URL分析等。平臺支持基于大數(shù)據(jù)技術(shù)的數(shù)據(jù)建模，提供基礎(chǔ)數(shù)據(jù)建模算法和可配置的數(shù)據(jù)模型。歸并算法模型提供歸并算法模型，此數(shù)據(jù)模型可以將任意字段按照最長子序列進(jìn)行歸并處理，將海量日志歸并成幾類進(jìn)行查看。偏離算法模型提供偏離算法模型，此數(shù)據(jù)模型通過統(tǒng)計(jì)某字段一段時間的正常模型，對偏離此基線的行為進(jìn)行告警分析。聚類算法模型提供聚類算法模型，此數(shù)據(jù)模型可以基于數(shù)據(jù)模型和密度進(jìn)行聚類計(jì)算，從而發(fā)現(xiàn)日志中某種模型小類和孤類。支持內(nèi)置算法對歷史數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)，從而形成正常行為基線，并可利用學(xué)習(xí)結(jié)果對實(shí)時數(shù)據(jù)進(jìn)行異常檢測；支持的檢測模型包括但不限于以下：序號模型名稱說明輸入輸出1服務(wù)器訪問發(fā)散度通過一段時間內(nèi)服務(wù)器與其他資產(chǎn)的網(wǎng)絡(luò)連接數(shù)據(jù)的學(xué)習(xí)，計(jì)算出本服務(wù)器連接的資產(chǎn)數(shù)量、范圍和鏈接數(shù)量，結(jié)合資產(chǎn)類型流量摘要

防火墻日志相關(guān)資產(chǎn)數(shù)量、范圍、鏈接數(shù)量2資產(chǎn)自動發(fā)現(xiàn)通過對一段時間內(nèi)所有網(wǎng)絡(luò)中產(chǎn)生網(wǎng)絡(luò)行為的IP進(jìn)行distinct，發(fā)現(xiàn)新增資產(chǎn)，同時繪制資產(chǎn)之間的聚合關(guān)系流量摘要

防火墻日志IP列表和資產(chǎn)關(guān)系圖3惡意域名識別通過對域名的特征計(jì)算是否是惡意域名,whois注冊時間變化上網(wǎng)行為審計(jì)

Proxy日志惡意域名列表4BotNet心跳連接從大量的連接數(shù)據(jù)中發(fā)現(xiàn)僵尸主機(jī)的心跳連接，版本更新信息，上下行流量比流量摘要

防火墻日志Botnet主機(jī)列表5低速掃描行為從長時間跨度的網(wǎng)絡(luò)連接數(shù)據(jù)中發(fā)現(xiàn)低速掃描行為流量摘要

防火墻日志掃描事件6低速口令探測行為從長時間跨度的認(rèn)證日志中發(fā)現(xiàn)弱口令探測行為認(rèn)證日志弱口令探測事件數(shù)據(jù)采集和預(yù)處理采集范圍和方式大數(shù)據(jù)安全分析和預(yù)警平臺對電子政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口、互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心、公共區(qū)數(shù)據(jù)中心等3個區(qū)域中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、中間件、WEB、APP等服務(wù)安全數(shù)據(jù)進(jìn)行采集。由采集集群與數(shù)據(jù)源組成，采集集群由管理節(jié)點(diǎn)，工作節(jié)點(diǎn)組成；數(shù)據(jù)源包括流量安全事件檢測（專用設(shè)備）和非流量安全事件（服務(wù)器）組成。采集集群采用Master/Worker的分布式框架，Master的職責(zé)負(fù)責(zé)給Worker下達(dá)指令，同時Master支持Active/Standby的高可用性；Worker是實(shí)際采集工作節(jié)點(diǎn),由多個Worker組成。工作節(jié)點(diǎn)接收服務(wù)器接收外部監(jiān)測平臺或系統(tǒng)的對接數(shù)據(jù)，如第三方漏洞平臺數(shù)據(jù)、掃描監(jiān)測平臺、布點(diǎn)監(jiān)測平臺等符合平臺分類數(shù)據(jù)規(guī)范的安全事件數(shù)據(jù)。主要功能包括：數(shù)據(jù)接收與數(shù)據(jù)解析數(shù)據(jù)接收以監(jiān)聽的模式監(jiān)聽來自外部平臺的數(shù)據(jù)推送，監(jiān)聽到有數(shù)據(jù)推送請求時啟動一個數(shù)據(jù)接收線程先進(jìn)行數(shù)據(jù)接入認(rèn)證，再循環(huán)進(jìn)行數(shù)據(jù)接收，直至數(shù)據(jù)接收完畢。信息增強(qiáng)對數(shù)據(jù)解析得到的數(shù)據(jù)進(jìn)行數(shù)據(jù)來源、數(shù)據(jù)種類、地理位置信息、監(jiān)測時間等初步的數(shù)據(jù)標(biāo)記，區(qū)分不同平臺不同種類的數(shù)據(jù)。數(shù)據(jù)封裝與轉(zhuǎn)發(fā)對標(biāo)記完成的數(shù)據(jù)進(jìn)行傳輸前的封裝，并將數(shù)據(jù)轉(zhuǎn)發(fā)至基礎(chǔ)數(shù)據(jù)平臺數(shù)據(jù)存儲訪問組件處理。數(shù)據(jù)接入認(rèn)證數(shù)據(jù)接入認(rèn)證對既定的數(shù)據(jù)平臺級接入策略進(jìn)行管理與設(shè)置，包括數(shù)據(jù)接入設(shè)置和數(shù)據(jù)接入驗(yàn)證，前者可設(shè)置接入平臺的IP、數(shù)據(jù)推送模式、推送數(shù)據(jù)類型、接入認(rèn)證信息等；后者在監(jiān)聽到數(shù)據(jù)推送時啟動對數(shù)據(jù)接入的單方認(rèn)證。并發(fā)與負(fù)載均衡采集集群工作節(jié)點(diǎn)支持并發(fā)與負(fù)載均衡為服務(wù)器提供數(shù)據(jù)接收與處理操作，在數(shù)據(jù)接入時通過增加設(shè)備提升處理能力。采集的數(shù)據(jù)類型包括設(shè)備日志和全流量檢測設(shè)備產(chǎn)生的告警和流量摘要信息。各區(qū)域采集的數(shù)據(jù)內(nèi)容和方式如下：數(shù)據(jù)預(yù)處理解析和標(biāo)準(zhǔn)化大數(shù)據(jù)安全分析和預(yù)警平臺的采集器將日志解析成不同的字段并命名，以便索引與查詢。解析方式支持以下解析方式：標(biāo)點(diǎn)符號拆分，根據(jù)指定的標(biāo)點(diǎn)符號或系統(tǒng)自定的標(biāo)點(diǎn)符號列表，提取標(biāo)點(diǎn)號之間的內(nèi)容作為命名字段的值。正則拆分，根據(jù)正則表達(dá)式匹配提取內(nèi)容，并可配置命名。標(biāo)準(zhǔn)格式拆分，對于xml、json這種標(biāo)準(zhǔn)格式內(nèi)容，自動拆分成kv形式。時間戳識別，日志是時間序列數(shù)據(jù)，所有數(shù)據(jù)均含有時間戳，要求對標(biāo)準(zhǔn)格式能夠自動識別（ISO8601、rfc822、rfc2822等），對非標(biāo)準(zhǔn)時間戳要支持手動設(shè)置格式識別。日志標(biāo)準(zhǔn)化是從原始日志信息中解析出各個不同的日志屬性信息，將原始日志轉(zhuǎn)換為統(tǒng)一的標(biāo)準(zhǔn)化的日志，為后續(xù)分析處理提供統(tǒng)一的標(biāo)準(zhǔn)化日志結(jié)構(gòu)。數(shù)據(jù)豐富化對數(shù)據(jù)解析得到的數(shù)據(jù)利用系統(tǒng)內(nèi)的基礎(chǔ)信息進(jìn)行豐富化（數(shù)據(jù)來源、資產(chǎn)信息、數(shù)據(jù)種類、地理位置信息、組織人員信息、監(jiān)測時間等）。通過數(shù)據(jù)增強(qiáng)，區(qū)分不同平臺不同種類的數(shù)據(jù)和數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，為安全分析提供高質(zhì)量的數(shù)據(jù)內(nèi)容。數(shù)據(jù)格式標(biāo)準(zhǔn)化是數(shù)據(jù)采集引擎將收集到的數(shù)據(jù)按照預(yù)定義好的數(shù)據(jù)格式，進(jìn)行標(biāo)準(zhǔn)化處理。標(biāo)準(zhǔn)化后的數(shù)據(jù)包含如下屬性。序號屬性數(shù)據(jù)來源（設(shè)備IP地址／資產(chǎn)名）數(shù)據(jù)種類地理位置信息具體數(shù)據(jù)解析后字段信息事件名稱事件類型事件等級源名稱目的名稱用戶名設(shè)備類型發(fā)生時間資產(chǎn)ID入庫時間更新時間事件狀態(tài)處理狀態(tài)多個保留字段數(shù)據(jù)源要求數(shù)據(jù)采集接口要求本次采集數(shù)據(jù)源支持采集接口及協(xié)議要求如下：序號設(shè)備類型支持采集接口及協(xié)議1網(wǎng)絡(luò)設(shè)備流量摘要信息、Syslog、端口鏡像2安全設(shè)備Syslog3Windows服務(wù)器WMI、Syslog、FTP、安裝代理4Linux服務(wù)器Syslog、FTP、安裝代理5應(yīng)用系統(tǒng)FTP、安裝代理6中間件FTP、安裝代理7數(shù)據(jù)庫JDBC數(shù)據(jù)內(nèi)容要求本次采集數(shù)據(jù)源的數(shù)據(jù)內(nèi)容要求如下：防火墻序號字段備注說明1時間戳2日志級別3日志類型4日志描述5源IP6源端口7目標(biāo)IP8目標(biāo)端口9協(xié)議10處理動作11接收數(shù)據(jù)包12發(fā)送數(shù)據(jù)包13觸發(fā)規(guī)則IPS/IDS序號字段備注說明1時間戳2事件等級3攻擊名稱4攻擊類型5源IP6源端口7目標(biāo)IP8目標(biāo)端口9協(xié)議10應(yīng)用類型11攻擊結(jié)果12觸發(fā)規(guī)則抗DDOS序號字段備注說明1時間戳2事件等級3攻擊名稱4攻擊類型5源IP6源端口7目標(biāo)IP8目標(biāo)端口9協(xié)議10應(yīng)用類型11攻擊結(jié)果12接收數(shù)據(jù)包13發(fā)送數(shù)據(jù)包14觸發(fā)規(guī)則上網(wǎng)行為管理序號字段備注說明1時間戳2用戶3源IP4源端口5目標(biāo)IP6目標(biāo)端口7協(xié)議8訪問URL9URL類型10應(yīng)用11應(yīng)用類型12處理結(jié)果13觸發(fā)規(guī)則終端防病毒序號字段備注說明1時間戳2用戶3機(jī)器IP4病毒名稱5病毒類型6掃描類型7感染文件8感染文件路徑9處理結(jié)果10觸發(fā)規(guī)則防病毒網(wǎng)關(guān)序號字段備注說明1時間戳2機(jī)器IP3病毒名稱4病毒類型5掃描類型6訪問URL7應(yīng)用8處理結(jié)果9觸發(fā)規(guī)則Linux主機(jī)序號內(nèi)容備注說明1系統(tǒng)事件2系統(tǒng)服務(wù)啟動信息3定時任務(wù)服務(wù)日志信息4用戶認(rèn)證信息5用戶登錄信息6su命令使用日志W(wǎng)indows主機(jī)序號內(nèi)容備注說明1賬號登陸事件2帳號管理事件3審核登錄事件4對象訪問事件5審核策略更改事件6權(quán)限使用事件7詳細(xì)跟蹤事件8面向?qū)徍讼到y(tǒng)事件的系統(tǒng)事件消息數(shù)據(jù)存儲數(shù)據(jù)底層存儲架構(gòu)設(shè)計(jì)針對以上各采集點(diǎn)采集的數(shù)據(jù)集中發(fā)送至公共區(qū)大數(shù)據(jù)安全分析和預(yù)警系統(tǒng)中心進(jìn)行集中存儲和分析。數(shù)據(jù)存儲采用Elasticsearch大數(shù)據(jù)分布式存儲架構(gòu)（ElasticSearch是一個基于Lucene的搜索服務(wù)器）它提供了一個分布式多用戶能力的全文搜索引擎，基于RESTfulweb接口。Elasticsearch是用Java開發(fā)的，能夠達(dá)到實(shí)時搜索、穩(wěn)定、可靠、快速、安裝使用方便。數(shù)據(jù)邏輯架構(gòu)設(shè)計(jì)根據(jù)數(shù)據(jù)的類別和來源，將系統(tǒng)中的數(shù)據(jù)分為日志數(shù)據(jù)、網(wǎng)絡(luò)全流量元數(shù)據(jù)、內(nèi)部支持?jǐn)?shù)據(jù)、外部情報數(shù)據(jù)4大類型。具體參見下圖：上圖列舉了系統(tǒng)數(shù)據(jù)庫的各數(shù)據(jù)實(shí)體，用樹形結(jié)構(gòu)展現(xiàn)了5大類數(shù)據(jù)下包含的各級數(shù)據(jù)關(guān)系。其中日志數(shù)據(jù)和流量數(shù)據(jù)（包括流量摘要信息和全流量摘要)是威脅發(fā)現(xiàn)的主要分析對象，內(nèi)部支持?jǐn)?shù)據(jù)和外部情報數(shù)據(jù)是威脅定位和響應(yīng)的重要依據(jù)。下面將列舉各類數(shù)據(jù)的具體數(shù)據(jù)項(xiàng)。1、日志數(shù)據(jù)，此類數(shù)據(jù)主要來自安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等安全相關(guān)的日志信息。包括：脆弱性數(shù)據(jù)、各類告警數(shù)據(jù)，以及綜合脆弱性、告警和資產(chǎn)價值所計(jì)算出來的風(fēng)險數(shù)據(jù)。2、網(wǎng)絡(luò)全流量元數(shù)據(jù)，此類數(shù)據(jù)主要來自于全流量分析設(shè)備。全流量數(shù)據(jù)由于過于龐大，我們僅保存分析設(shè)備產(chǎn)生的元數(shù)據(jù)信息。元數(shù)據(jù)信息從經(jīng)過流重組、報文重組、協(xié)議解析后的網(wǎng)絡(luò)流量中提取，包含了網(wǎng)絡(luò)流從第2層到第7層的全部描述信息，例如IP分片信息、TCP狀態(tài)機(jī)、TCP/UDP重組、應(yīng)用類型、應(yīng)用層狀態(tài)信息、應(yīng)用協(xié)議關(guān)鍵元素等。全流量元數(shù)據(jù)約占全流量原始數(shù)據(jù)的6%空間。4、內(nèi)部支持?jǐn)?shù)據(jù)。系統(tǒng)會針對資源對象進(jìn)行集中的存儲、維護(hù)和管理，為網(wǎng)絡(luò)中的所有資產(chǎn)建立安全檔案卡，資產(chǎn)信息包括以下信息：基礎(chǔ)信息：資產(chǎn)名稱、IP地址、所屬部門、安全域、設(shè)備類型、地理位置、負(fù)責(zé)人等；安全屬性：可用性、完整性和保密性以及資產(chǎn)價值；弱點(diǎn)屬性：資產(chǎn)漏洞信息、安全配置信息等；5、外部情報數(shù)據(jù)，也就是來自于外部的威脅情報信息，包括惡意IP、URL和域名庫，DNS庫，IP地理信息庫、惡意代碼MD5|SHA1、最新攻擊行為、漏洞庫等等。對存儲量及性能的設(shè)計(jì)在上一節(jié)的5種數(shù)據(jù)種類中，主要影響存儲量和性能的是前面3種，以下是每一種的計(jì)算公式：1.日志數(shù)據(jù)：一般按照每個網(wǎng)絡(luò)設(shè)備1KByte/s，每個主機(jī)設(shè)備10Byte/s計(jì)算2.全流量數(shù)據(jù)摘要:一般按照網(wǎng)絡(luò)流量的6%估計(jì)。以100臺網(wǎng)絡(luò)設(shè)備日志和1000臺主機(jī)日志，1Gbps的網(wǎng)絡(luò)流量進(jìn)行測算，每秒數(shù)據(jù)量為1k*100+10*1000+1G/8*6%=7.79MB每天數(shù)據(jù)量為7.79MB*86400=673GB保存三份拷貝，留存半年，以及15%索引和冗余空間，則總?cè)萘繙y算為673GB*3*183*1.15=425TB對于每秒8MB的入庫要求，不需要有性能上的特殊處理，但考慮所有設(shè)備和網(wǎng)絡(luò)數(shù)據(jù)會實(shí)時不斷發(fā)送到系統(tǒng)，為保證數(shù)據(jù)完整性和一致性，在前端用對入庫數(shù)據(jù)進(jìn)行緩存和一致性檢查。由于本系統(tǒng)的數(shù)據(jù)特征為數(shù)據(jù)量大、查詢操作多，因此對采集上來的數(shù)據(jù)存儲邏輯進(jìn)行優(yōu)化，將存放數(shù)據(jù)的歷史時序進(jìn)行分區(qū)管理，按月分區(qū)將數(shù)據(jù)索引進(jìn)一步劃分。這樣在查詢歷史數(shù)據(jù)時間跨度在一個月內(nèi)時查詢速度等效，同時將數(shù)據(jù)的三份拷貝分散到不同服務(wù)器上提高并發(fā)性能。資產(chǎn)管理資產(chǎn)管理是大數(shù)據(jù)安全分析管理的基礎(chǔ)，要做到信息系統(tǒng)的安全分析，必須了解系統(tǒng)中資產(chǎn)情況及其狀態(tài)。網(wǎng)絡(luò)中各種設(shè)備、安全產(chǎn)品、應(yīng)用都可以看作是資產(chǎn)。資產(chǎn)管理并不是為了簡單的統(tǒng)計(jì)，而是在統(tǒng)計(jì)的基礎(chǔ)上，對這些設(shè)備進(jìn)行評估和安全檢測，發(fā)現(xiàn)資產(chǎn)的安全狀況，并納入到平臺的數(shù)據(jù)庫中，來真正做到對資產(chǎn)進(jìn)行統(tǒng)一的管理。大數(shù)據(jù)安全分析平臺應(yīng)包括完善的資產(chǎn)管理系統(tǒng)，該系統(tǒng)具備基礎(chǔ)架構(gòu)物理設(shè)備資產(chǎn)管理功能，支持靈活設(shè)置資產(chǎn)類別、目錄結(jié)構(gòu)和資產(chǎn)屬性，支持按照統(tǒng)一編號進(jìn)行資產(chǎn)信息查詢和維護(hù)，可管理和配置的資產(chǎn)信息包括以下內(nèi)容：基礎(chǔ)信息：資產(chǎn)名稱、IP地址、MAC地址、業(yè)務(wù)系統(tǒng)、所屬部門、安全域、設(shè)備類型、地理位置、負(fù)責(zé)人、電話等；安全屬性：可用性、完整性和保密性以及資產(chǎn)價值；弱點(diǎn)屬性：資產(chǎn)漏洞信息、安全配置信息等；資產(chǎn)管理功能設(shè)計(jì)資產(chǎn)管理模塊安全域資產(chǎn)管理能夠支持多級樹型的安全域（不小于10級），便于支持用戶復(fù)雜的組織架構(gòu)和網(wǎng)絡(luò)架構(gòu)

支持資產(chǎn)與安全域的多對多關(guān)系，同一個資產(chǎn)可以同時屬于不同的安全域，一個安全域可以擁有多個資產(chǎn)。支持域資產(chǎn)的導(dǎo)入導(dǎo)出

用戶可以在界面上方便的進(jìn)行安全域?qū)傩?、安全域與資產(chǎn)關(guān)系的查詢和更改

關(guān)鍵服務(wù)器以及安全設(shè)備的基本信息的錄入，與人員組織管理掛鉤，能夠落實(shí)責(zé)任人

對管理域內(nèi)所有資產(chǎn)（包括主機(jī)系統(tǒng)）的導(dǎo)入、導(dǎo)出，以便定位受安全事件影響的資產(chǎn)和衡量整個系統(tǒng)風(fēng)險。對資產(chǎn)的保密性、完整性、可用性分等級評估（CIA屬性細(xì)顆粒評估），以便計(jì)算系統(tǒng)安全風(fēng)險以及劃分安全事件處理優(yōu)先級；按照業(yè)務(wù)屬性、設(shè)備類型、地域等方式進(jìn)行安全（域）邊界劃分，并對相應(yīng)資產(chǎn)權(quán)重賦值（權(quán)重就是重要性百分比），各子域權(quán)重賦值，得出整體安全域信息，以便計(jì)算系統(tǒng)安全風(fēng)險以及劃分安全事件處理優(yōu)先級資產(chǎn)類型配置能夠支持多種類型資產(chǎn)，并且可以手動配置資產(chǎn)的CIA屬性自動發(fā)現(xiàn)配置可以基于安全事件，自動發(fā)現(xiàn)內(nèi)部資產(chǎn)。自動生成發(fā)現(xiàn)資產(chǎn)的CIA屬性、權(quán)重、所屬域等信息地理位置配置可以配置地理位置，并且能在資產(chǎn)屬性中配置資產(chǎn)所在地理位置資產(chǎn)與域的可視化通過儀表盤的形式進(jìn)行宏觀展示，實(shí)時展示資產(chǎn)總數(shù)量、資產(chǎn)風(fēng)險TOP10等，支持電子地圖等資產(chǎn)的顯示方式基礎(chǔ)信息為了增強(qiáng)安全事件的可讀性和安全分析的準(zhǔn)確性，系統(tǒng)會對以下基礎(chǔ)信息進(jìn)行采集資產(chǎn)信息序號屬性資產(chǎn)編號資產(chǎn)名稱資產(chǎn)IP所屬安全域資產(chǎn)類型品牌型號重要程度開放端口漏洞信息地理位置信息所屬應(yīng)用系統(tǒng)資產(chǎn)所屬部門資產(chǎn)負(fù)責(zé)人人員信息序號屬性姓名賬號所屬部門職位IP地址MAC地址電話郵箱安全域信息網(wǎng)絡(luò)拓?fù)涓鞑课籌P地址段以上信息提供人工錄入和導(dǎo)入的功能。安全域態(tài)勢系統(tǒng)提供網(wǎng)絡(luò)拓?fù)涔芾?，可直觀看到資產(chǎn)在網(wǎng)絡(luò)區(qū)域或者業(yè)務(wù)系統(tǒng)的位置可以網(wǎng)絡(luò)區(qū)域或者業(yè)務(wù)系統(tǒng)的視角展示該區(qū)域或業(yè)務(wù)系統(tǒng)的安全事件和安全態(tài)勢網(wǎng)絡(luò)資產(chǎn)梳理通常情況下，網(wǎng)絡(luò)當(dāng)中存在很多游離于管理范圍之外的資產(chǎn)，包括客戶端和服務(wù)器，往往不在監(jiān)管范圍內(nèi)的資產(chǎn)安全防護(hù)措施也相對弱一些，這些資產(chǎn)也是攻擊者的重點(diǎn)目標(biāo)。因此大數(shù)據(jù)安全分析平臺提供對網(wǎng)絡(luò)中所有的資產(chǎn)進(jìn)行梳理，與資產(chǎn)庫中的被管資產(chǎn)比對，以發(fā)現(xiàn)游離資產(chǎn)，將結(jié)果通知相關(guān)單位對信息進(jìn)行補(bǔ)全和安全加固，從而降低安全風(fēng)險。統(tǒng)計(jì)分析大數(shù)據(jù)安全分析平臺可基于安全事件的屬性進(jìn)行統(tǒng)計(jì)，包括以下功能：支持基于采集日志源按天、小時或指定時間和事件類型／告警的日志數(shù)量統(tǒng)計(jì)；支持基于安全事件中源IP和目的IP按天、小時或指定時間和事件類型的日志數(shù)量統(tǒng)計(jì)；支持基于事件信息中部門、資產(chǎn)按天、小時或指定時間和事件類型／告警的日志數(shù)量統(tǒng)計(jì)按照指定時間范圍統(tǒng)計(jì)連續(xù)一段時間的各級別事件數(shù)量趨勢；采集對象源事件數(shù)量排名，展現(xiàn)當(dāng)天采集對象日志數(shù)量排名，并在排名圖表中直接查看事件列表詳細(xì)信息，應(yīng)包括事件名稱、事件級別、事件類型及原始日志信息；按目標(biāo)資產(chǎn)日志數(shù)量排名，展現(xiàn)當(dāng)天按目標(biāo)IP出現(xiàn)次數(shù)最多的事件排名，并在排名圖表中直接查看事件列表詳細(xì)信息，應(yīng)包括事件名稱、事件級別、事件類型及原始日志信息；知識庫和威脅情報分析大數(shù)據(jù)分析平臺提供大量的安全知識庫和案件管理庫，為安全分析對安全事件的響應(yīng)處置提供理論依據(jù)，將處理后安全事件形成案件庫，為后續(xù)發(fā)生類似案件提供處置建議。具備構(gòu)建和維護(hù)安全威脅知識庫的能力，知識庫包括但不限于：全球IP地址庫：能實(shí)現(xiàn)全球IP地址的歸屬地查詢，屬主查詢，歷史記錄查詢，背景查詢等；全球DNS/IP黑白名單信息庫：構(gòu)建黑白名單庫；網(wǎng)絡(luò)空間安全威脅知識庫：構(gòu)建常規(guī)安全威脅知識庫、特種安全威脅知識庫和網(wǎng)絡(luò)入侵行為知識庫等多種安全威脅知識庫。具有安全情報訂閱分發(fā)接口，可為外部系統(tǒng)提供安全綜合報告的分發(fā)；具有知識庫查詢服務(wù)接口，可為外部系統(tǒng)提供IP地址庫、黑名單等安全知識共享服務(wù)；提供從告警事件的IP、URL、MD5/SHA-1等信息跳轉(zhuǎn)至威脅情報模塊查詢對應(yīng)的情報內(nèi)容及關(guān)系；告警響應(yīng)大數(shù)據(jù)分析平臺可對系統(tǒng)檢測分析出的安全事件，根據(jù)提前設(shè)置好的響應(yīng)方式及時通知響應(yīng)管理員對安全事件進(jìn)行處置。告警響應(yīng)作為安全管理中心系統(tǒng)的一個重要環(huán)節(jié)，與其它模塊間有著豐富的數(shù)據(jù)交互，通過與安全監(jiān)控、關(guān)聯(lián)分析、安全預(yù)警等系統(tǒng)的接口，接收這些系統(tǒng)產(chǎn)生的預(yù)警信息，啟動安全響應(yīng)處理流程處理預(yù)警通知。在確認(rèn)響應(yīng)以后，通過響應(yīng)接口－郵件、短信、圖形界面、工單、snmptrap等方式通知到接收者。工單被接收者響應(yīng)處理并經(jīng)審批以后的歷史工單可以導(dǎo)入到安全知識庫的案例庫中去。告警響應(yīng)主要包括告警報表和工單管理兩個主要模塊。告警報表模塊可對資產(chǎn)、風(fēng)險、脆弱性、事件和設(shè)備的分布和趨勢，以及用戶使用平臺情況形成或定制報表，以圖表形式向用戶直觀地展現(xiàn)。主要有告警態(tài)勢報表、工單處理報表、資產(chǎn)情況報表、通告信息報表等幾類。工單管理模塊可通過在用戶特定規(guī)則下安全事件可以直接自動觸發(fā)對應(yīng)工單流程或手工自定義觸發(fā)對應(yīng)的工單流程的方式觸發(fā)工單。處理過程中，派單人和責(zé)任人可以對現(xiàn)象描述、原因分析、處理意見、處理結(jié)果中增加內(nèi)容，但不能修改以前人輸入的內(nèi)容。系統(tǒng)需記錄增加的時間和增加人。在顯示工單時，會顯示所有的修改記錄。告警響應(yīng)方式可以支持以下方式：響應(yīng)方式說明派發(fā)工單通過內(nèi)置工單流轉(zhuǎn)，實(shí)現(xiàn)了安全事故的記錄從創(chuàng)建、處理到關(guān)閉的生命周期管理 發(fā)送一個工單到運(yùn)維系統(tǒng) 例如發(fā)送給HPServiceDesk，或者BMC將攻擊者或受害人添加到黑白名單中將產(chǎn)生該關(guān)聯(lián)事件的重要原始屬性添加到黑白名單中，供管理員重點(diǎn)觀察。對于加入黑白名單的資產(chǎn)，管理員可以設(shè)定觀察周期發(fā)送電子郵件發(fā)送一封帶有告警關(guān)鍵信息的電子郵件給指定人 發(fā)送短消息發(fā)送一條帶有告警關(guān)鍵信息的短消息指定人 帶外響應(yīng)指通過網(wǎng)絡(luò)之外的方式進(jìn)行告警響應(yīng)，避免由于網(wǎng)絡(luò)故障導(dǎo)致告警不可達(dá)。包括發(fā)送手機(jī)短消息聲光電告警屏幕閃動、聲音告警事件處置大數(shù)據(jù)分析平臺可根據(jù)國家信息中心的安全事件的實(shí)際處理流程將流程固化到平臺中，從而達(dá)到事件線上處理的目的，提高運(yùn)維效率。事件處置主要包括安全審計(jì)和攻擊定位兩個功能。安全審計(jì)安全審計(jì)功能就是對大數(shù)據(jù)安全分析平臺收集的各種事件信息進(jìn)行深度分析，找出可疑的行為，同時生成詳盡的統(tǒng)計(jì)和分析報表。審計(jì)分析的對象包括安全產(chǎn)品、應(yīng)用系統(tǒng)、操作系統(tǒng)的事件信息。攻擊定位大數(shù)據(jù)安全分析平臺通過資產(chǎn)管理、關(guān)聯(lián)分析、專家系統(tǒng)分析等有效手段，能檢測到攻擊，并定位攻擊源，并會提示管理員查詢知識庫，最終對攻擊源進(jìn)行追蹤控制。安全事件分類根據(jù)GB/Z20986《信息安全技術(shù)信息安全事件分類分級指南》可以將國家信息中心政務(wù)網(wǎng)安全事件分類為：操作記錄事件、狀態(tài)信息事件、有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、異常行為事件六大類，詳見下表：安全事件分類描述說明操作記錄事件記錄各種操作事件，包括訪問、配置變更、軟件安裝、申請、設(shè)備操作命令等；狀態(tài)信息事件系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)等日常運(yùn)行、自身維護(hù)、管理資源產(chǎn)生的事件。如進(jìn)程變化、服務(wù)啟停、普通流量、CPU內(nèi)存、硬件狀態(tài)等。有害程序事件計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其它有害程序事件等7個子類。網(wǎng)絡(luò)攻擊事件拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個子類。信息破壞事件信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個子類。異常行為事件包括人、應(yīng)用、網(wǎng)絡(luò)發(fā)生的操作、訪問等異常行為事件。根據(jù)安全事件分類和安全事件的影響可以分析得到安全事件分級，以便采取進(jìn)一步的措施恢復(fù)生產(chǎn)，挽回所失。安全事件分級信息系統(tǒng)安全事件分級主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對國家安全、經(jīng)濟(jì)建設(shè)、社會生活的重要性以及業(yè)務(wù)對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。事件分級系統(tǒng)損失社會影響特別重大事件（Ⅰ級）會使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失波及到一個或多個省市的大部分地區(qū)，極大威脅國家安全，引起社會動蕩，對經(jīng)濟(jì)建設(shè)有極其惡劣的負(fù)面影響，或者嚴(yán)重?fù)p害公眾利益。重大事件（Ⅱ級）會使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；

波及到一個或多個地市的大部分地區(qū)，威脅到國家安全，引起社會恐慌，對經(jīng)濟(jì)建設(shè)有重大的負(fù)面影響，或者損害到公眾利益。較大事件（Ⅲ級）會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；波及到一個或多個地市的部分地區(qū)，可能影響到國家安全，擾亂社會秩序，對經(jīng)濟(jì)建設(shè)有一定的負(fù)面影響，或者影響到公眾利益。一般事件（Ⅳ級）會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級別的系統(tǒng)損失；波及到一個地市的部分地區(qū)，對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益基本沒有影響，但對個別公民、法人或其他組織的利益會造成損害。安全事件處理流程安全事件處置可分為內(nèi)部安全事件和外部安全事件，典型的處理流程分為接收、驗(yàn)證、隔離、整改、審核和通報六個環(huán)節(jié)，詳細(xì)流程設(shè)計(jì)如下圖：工單系統(tǒng)可根據(jù)國家信息中心的日志安全事件的日常通知通報流程，提供通知通報下發(fā)和處置功能安全信息可視化大數(shù)據(jù)分析平臺將根據(jù)國家信息中心的網(wǎng)絡(luò)結(jié)構(gòu)和管控范圍，通過不同維度和視角將安全信息準(zhǔn)確的提供給不同層級的管理員。類型說明展示維度組織機(jī)構(gòu)維度對所有部委產(chǎn)生的安全信息進(jìn)行展示，實(shí)時掌握各部委的安全狀況事件類型維度系統(tǒng)根據(jù)不同事件類型進(jìn)行展示，安全分析人員可準(zhǔn)確掌握當(dāng)前網(wǎng)絡(luò)中安全事件的類型和數(shù)量，從而做出準(zhǔn)確的處置策略網(wǎng)絡(luò)區(qū)域維度根據(jù)互聯(lián)網(wǎng)出口、互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心、公共區(qū)數(shù)據(jù)中心所承擔(dān)的智能來區(qū)別性的展示各個網(wǎng)絡(luò)區(qū)域的安全事件類型和數(shù)量，從而使運(yùn)維人員及時的調(diào)整各網(wǎng)絡(luò)區(qū)域的安全防護(hù)策略展示視角領(lǐng)導(dǎo)視角為領(lǐng)導(dǎo)提供國家電子政務(wù)外網(wǎng)的全局安全視圖，從而掌握網(wǎng)絡(luò)安全態(tài)勢安全分析人員視角為安全分析人員提供方便快捷的分析界面，提高安全分析效率，準(zhǔn)確掌握安全事件發(fā)展趨勢運(yùn)維管理員視角為不同網(wǎng)絡(luò)區(qū)域或部委安全管理員提供本職責(zé)范圍內(nèi)網(wǎng)絡(luò)安全視圖，從而掌握安全態(tài)勢，并提供相應(yīng)的工作臺，能夠快速聚焦關(guān)注的事件類型能夠支持多維度安全信息展示，包括但不限于組織機(jī)構(gòu)、安全域、事件類型等維度；安全事件內(nèi)容包括事件、組織機(jī)構(gòu)、人員、事件內(nèi)容等信息；支持多視角的安全態(tài)勢展示，包括但限于全局安全態(tài)勢、威脅場景還原、時間序列安全事件展示；支持信息安全拓?fù)鋱D展示，要求能夠清晰展示系統(tǒng)各安全域的劃分，在安全域拓?fù)鋱D上能清晰看到各安全域的整體態(tài)勢，如安全日志數(shù)量，告警數(shù)量等；能夠利用大數(shù)據(jù)安全日志檢索分析系統(tǒng)展示實(shí)時攻擊態(tài)勢地圖功能，在態(tài)勢地圖中實(shí)時動態(tài)展示各種攻擊源到目的的地圖展示；支持網(wǎng)絡(luò)關(guān)系圖、時間序列圖、熱力圖、GIS、列表、事件河流圖、力導(dǎo)向圖等多種可視化展示方式；支持資產(chǎn)可視化，以及基于資產(chǎn)的安全態(tài)勢展示；可視化形式包括但不限于：列表、統(tǒng)計(jì)圖、拓?fù)鋱D、機(jī)房圖、地理分布圖等；領(lǐng)導(dǎo)視角綜合安全展示窗口是面向安全管理人員所設(shè)計(jì)的，即信息安全管理人員登錄系統(tǒng)后的訪問頁面，綜合安全展示窗口的設(shè)計(jì)原則如下：信息安全管理人員能夠?qū)崟r了解國家電子政務(wù)外網(wǎng)的信息安全態(tài)勢；信息安全管理人員能夠?qū)崟r了解各區(qū)域／各單位的信息安全態(tài)勢；信息安全管理人員能夠利用平臺的統(tǒng)計(jì)分析數(shù)據(jù)作為信息安全建設(shè)的指導(dǎo)依據(jù)；信息安全管理人員能夠總體評價供應(yīng)商的服務(wù)質(zhì)量；信息安全管理人員能夠了解平臺的建設(shè)成效和工作能力。根據(jù)上述設(shè)計(jì)原則，綜合安全展示能夠?qū)崿F(xiàn)如下功能：可視化展示國家電子政務(wù)外網(wǎng)信息系統(tǒng)的安全態(tài)勢和健康度。實(shí)時顯示國家電子政務(wù)外網(wǎng)高級別告警事件，以及相關(guān)的待處理工單情況。從工單類型、工單等級、工單來源等多個維度統(tǒng)計(jì)國家電子政務(wù)外網(wǎng)的工單處理情況，采用柱狀、餅狀和曲線等方式進(jìn)行展示。從資產(chǎn)類型、資產(chǎn)等級、區(qū)域等多個層面對國家電子政務(wù)外網(wǎng)的資產(chǎn)進(jìn)行安全展示，采用柱狀、餅狀和曲線等方式進(jìn)行展示。實(shí)時統(tǒng)計(jì)和展示平臺的數(shù)據(jù)處理能力。整體安全態(tài)勢外部網(wǎng)絡(luò)攻擊態(tài)勢圖安全分析人員視角安全分析窗口是面向安全分析人員所設(shè)計(jì)的，即信息安全分析人員登錄系統(tǒng)后的訪問頁面，安全分析窗口的設(shè)計(jì)原則如下：安全分析人員能夠快速溯源到觸發(fā)安全告警的安全事件和原始日志；安全分析人員可以靈活快速的對數(shù)據(jù)進(jìn)行全文檢索；安全分析人員可進(jìn)行關(guān)聯(lián)分析；安全分析人員可對數(shù)據(jù)進(jìn)行歸并分析，快速發(fā)現(xiàn)異常；安全分析人員可講分析結(jié)果通過可視化圖方式展現(xiàn)出來；安全分析人員可進(jìn)行圖分析。根據(jù)上述設(shè)計(jì)原則，安全分析窗口能夠?qū)崿F(xiàn)如下功能：能夠?qū)Π踩婢M(jìn)行鉆取溯源，對安全告警進(jìn)行驗(yàn)證；能夠?qū)θ我鈺r間段數(shù)據(jù)進(jìn)行全