垂直行業(yè)網絡安全運營中心建設規(guī)劃方案

網絡安全運營中心中心 11.1編制說明 11.2術語定義 11.3編制依據 22項目背景、目標和必要性 32.1項目背景 32.2預期目標 3 4 53.1平臺架構 5 63.3平臺總體功能 7 74.1建設內容 74.2技術架構方案 8 84.2.2“網絡威脅探針”技術架構 4.2.3“網絡安全運營中心”級聯(lián)部署技術架構 4.3技術建設方案 4.3.1功能架構設計 4.3.2“網絡安全運營中心-安全監(jiān)管可視化呈現(xiàn)”詳細功能設計 4.3.3“網絡安全運營中心-安全管理和態(tài)勢感知”詳細功能設計 4.3.4“網絡威脅探針”詳細功能設計 4.3.5“網絡安全運營中心”非功能性設計 42 5實施計劃 5.1實施團隊及各方職責 5.2階段劃分、建設工期和工作量測算 6總投資預算 6.1建設費用估算 7效益和風險分析 7.1效益分析 7.2風險與對策 1.1編制說明1.2術語定義1.3編制依據2.1項目背景2.2預期目標2.3項目必要性分析1)無法準確識別/計算現(xiàn)有的各類風險5)專業(yè)安全人員不足3.1平臺架構可視化呈現(xiàn)安全監(jiān)管運維中心安全管理和態(tài)勢感可視化呈現(xiàn)安全監(jiān)管運維中心知3.2平臺定位◆全網安全統(tǒng)一集中管理平臺匯集全網安全要素信息，將原本零散、復雜、獨立的網絡安全運維工作有機整合，達到運維人員使用一套集中管理平臺進行日常的安全運維工作?！舭踩\維基礎能力支撐平臺通過平臺內置的各項資產管理、性能監(jiān)控、威脅分析、調查取證、日志告警、事件處置、系統(tǒng)管理模塊，有效的支撐日常網絡安全工作開展?！艟W絡安全監(jiān)管可視化呈現(xiàn)和指揮平臺從網絡安全監(jiān)管的視角出發(fā)，提煉省-市-區(qū)縣三級單位(縱向到底)網絡安全工作成果數(shù)據和核心監(jiān)管數(shù)據進行可視化呈現(xiàn)，全省通過一個展示界面能有效的監(jiān)管全省日常網絡安全工作開展情況。采用協(xié)同工單、平臺消息通知、短信通知、川檢通通知等功能有效的將網絡安全工作事件到人、通知到人；通過網絡安全運營中心可以統(tǒng)籌指揮全省網絡安全工作的開展。通過網絡安全運營中心臺(syslog,snmp協(xié)議等)。網絡安全運營中心( 4.2技術架構方案可視化態(tài)勢呈現(xiàn)可視化態(tài)勢呈現(xiàn)態(tài)勢總覽各區(qū)縣態(tài)勢報告分析平臺用戶網絡中可管理資產外部威脅情報對象基礎信息回號平臺中心源場景化分析“網絡安全運營中心”技術架構圖■安全要素采集層：提供開放式的信息采集接口，實現(xiàn)對用戶環(huán)境內各類IT資產以及所采用的各廠商安全產品或安全系統(tǒng)進行統(tǒng)一的信息采集，并提供非結構化數(shù)據采集接口，可采集各類情境數(shù)據和威脅情報?！霭踩髷?shù)據存儲層：實現(xiàn)海量安全大數(shù)據的分布式存儲，提供結構化數(shù)據和非結構化數(shù)據的存儲能力，并為上層的數(shù)據分析應用提供高效的數(shù)據庫功能支撐；■安全模型層：平臺綜合數(shù)據處理分析的能力提供層，提供由大數(shù)據技術和架構支撐的快速檢索和數(shù)據關聯(lián)發(fā)掘功能。是支撐上層數(shù)據呈現(xiàn)和分析結果輸出的計算引擎層，提供豐富的大數(shù)據統(tǒng)計、關聯(lián)分析、數(shù)據挖掘以及態(tài)勢分析能力，是系統(tǒng)的分析處理的核心。該層提供了基礎數(shù)據處理引擎，包括流式計算引擎、復雜事件處理引擎、全文檢索引擎、關聯(lián)分析引擎等。基于這些計算引擎實現(xiàn)分析能力包括威脅目標分析、威脅源分析、攻擊過程分析、影響及危害程度分析以及風險分析等?！鰣鼍胺治鰧樱和ㄟ^下層所提供的數(shù)據采集和處理能力向用戶輸出場景化分析能力，包括資產中心，脆弱性中心，數(shù)據中心，威脅中心，響應中心，運行中心，情報中心，監(jiān)管中心，報告中心及安全態(tài)勢總攬，服務于全網的安全態(tài)勢呈現(xiàn)，支撐用戶全局的安全防護工作。■外部系統(tǒng)：平臺通過級聯(lián)或DaaS接口可以實現(xiàn)平臺能力的擴展以及平臺能力的延展示分析層存儲層檢測層采集層4.3技術建設方案“網絡安全運營中心”作為整個xx單位工作網技術部分的安全管理技術(支撐)平1T源庫信息的維護功能，例如資產維護功能，包括資產的增刪改查等，又例如知識庫的維護功安全戰(zhàn)略，內控與合規(guī)，等級保護，安全制度外部AAA脆弱性審計合擊合擊軟件架構元數(shù)蹙病毒拾元數(shù)蹙病毒拾資產管理性能監(jiān)控管理全省/全市/本級單位管理模式下支持全省/全市/性能異常資產數(shù)顯示，每個模塊支持下鉆，下鉆后按省級單位監(jiān)控數(shù)據、地市州/區(qū)縣監(jiān)控按條件進行自定義篩選。同時支持對本級(省級單位本級、市院本級、區(qū)縣院)數(shù)據的獨立近七日告警數(shù)顯示，每個模塊支持下鉆，下鉆后按省級單位監(jiān)控數(shù)據、地市州/區(qū)縣監(jiān)控數(shù)據進行分類數(shù)顯示，每個模塊支持下鉆，下鉆后按省級單位監(jiān)控數(shù)據、地市州/區(qū)縣監(jiān)控數(shù)據進行分類排列顯示，每個列表支持二級下鉆，能顯示各單位的詳細告警數(shù)據。同時支持對本級(省級單位本級、市院本級、區(qū)縣院)數(shù)據的獨立顯示。各個層級展示界面支持協(xié)同工單發(fā)送和消下鉆，下鉆后按省級單位數(shù)據、地市州/區(qū)縣監(jiān)控數(shù)據進行分類排列顯示，每個列表支持二區(qū)縣院)數(shù)據的獨立顯示。各個層級展示界面支持協(xié)同工單發(fā)送和消息通知功能。24H事件處置數(shù)全省/全市/本級單位管理模式下支持全省/全市/本級單位24H事件處置數(shù)顯示，模塊支持下鉆，下鉆后按省級單位數(shù)據、地市州/區(qū)縣監(jiān)控數(shù)據進行分類排列顯示，每個列表支持攻擊次數(shù)排名功能層資產管理業(yè)務管理事件分析弱點管理風險評估告警管理工單管理采集層資產采集性能采集事件采集流采集企儀表板管理節(jié)點管理級聯(lián)管理報表管理系統(tǒng)管理資產監(jiān)控配置核查網絡拓撲威脅分析流分析預警管理情報管理行為分析熱點分析宏觀監(jiān)測資產態(tài)勢漏洞態(tài)勢態(tài)勢總覽漏洞采集配置采集情報采集其它系統(tǒng)數(shù)據庫層網絡設備安全設備主機存儲數(shù)據庫中間件應用/服務虛擬化云設施物理安防儀表板資產管理性、安全屬性(CIA三性)、管理屬性等，并可以自定義資產標簽，實現(xiàn)資產的動態(tài)屬性擴集中性能監(jiān)控用性信息的采集。管理中心內置性能信息采集，IT系統(tǒng)性能與可用性監(jiān)控分析系統(tǒng)提供各種性能監(jiān)控指標的對比分析，如某段時間(小時、天、周、月)內某個資產性能采集器管理網絡拓撲安全事件管理脆弱性管理.3脆弱性處置狀態(tài)可以進行狀態(tài)維護(已整改、無法整改、延期和誤報),最終可以進行歸檔。.4脆弱性配置風險評估全域和業(yè)務系統(tǒng)的風險值，并刻畫出資產、安全域和業(yè)務系統(tǒng)隨時間變化的風險變化曲線。安全態(tài)勢呈現(xiàn).2資產感知態(tài)勢分析呈現(xiàn)過程中，被其他維度的感知所利用，成為面向安全對象安全態(tài)勢分析的基礎。告警數(shù)告警數(shù)資產受危害概能資產視角的安全態(tài)勢攻擊威脅信息脆弱性信息深級售管數(shù)政擊規(guī)律和墊勢政擊規(guī)律和墊勢攻擊結果態(tài)勢勢攻擊來薄態(tài)勢來于外網的改擊外遭受攻擊分布布勢長時間未處理高危漏洞情況、破壞及影響最高的安全弱點、漏洞及配置弱點在全網的風險態(tài)勢、漏洞的綜合處置情況等。漏洞感知的主要功能內容如下圖所示：潤影響潤影響態(tài)勢產戶態(tài)勢態(tài)勢周網情報態(tài)勢系確酮點圖：脆弱性感知的主要功能內容如圖所示，漏洞感知的信息來源自各類脆弱性掃描器的掃描結果信息，包括系統(tǒng)漏洞掃描器、應用漏洞掃描器、配置核查掃描器以及外部的漏洞情報信息。經過對各類脆弱性信息的分析處理，結合安全對象信息，漏洞感知可以從資產類型、安全域和業(yè)務系統(tǒng)維度進行漏洞態(tài)勢的呈現(xiàn)。基于不同的維度可以展現(xiàn)如下的漏洞態(tài)勢信息：■漏洞概要統(tǒng)計信息包括當前發(fā)現(xiàn)漏洞的總數(shù)量、高危漏洞數(shù)量、新增漏洞數(shù)、漏洞影響的資產范圍以及長期未處理的漏洞情況?！龈呶Ｂ┒幢O(jiān)視通過高危系統(tǒng)漏洞、高危應用漏洞和高危配置弱點幾個方面監(jiān)視高危漏洞情況?！雎┒窗l(fā)現(xiàn)態(tài)勢包括系統(tǒng)漏洞的發(fā)現(xiàn)率、配置弱點的發(fā)現(xiàn)率以及掃描發(fā)現(xiàn)漏洞最多的資產情況。■漏洞總體安全態(tài)勢以漏洞風險矩陣的形式，分別從資產類型、安全域、業(yè)務系統(tǒng)的視角呈現(xiàn)漏洞的整體安全態(tài)勢?！雎┒捶植紤B(tài)勢包括漏洞和配置弱點在資產類型上的分布態(tài)勢，漏洞和配置弱點在安全域上的分布態(tài)勢，漏洞和配置弱點在業(yè)務系統(tǒng)上的分布態(tài)勢?！鐾{比對分析.8網站感知詞的詳情信息進行威脅的判斷，脆弱性的排名，同時對網站的可用性進行實.9流量感知通過流量的訪問關系，流量大小，各協(xié)議流量分布和態(tài)勢中心的可自定義態(tài)勢模塊集成了幾十種專為用戶快速理解表，幫助用戶輕松搭建專業(yè)水準的可視化大屏，滿足0告警管理進行及時有效的響應處置；記錄攻擊上下文信息，保分類示例分類示例2與仿冒企業(yè)網站應用的非法釣魚活動相關的威脅監(jiān)測情報如仿冒銀行、公檢法機關等的網站的IP、域名等信息3錄釣魚網站訪問記錄的如釣魚網站訪問用戶身份、訪問時間、銀行賬戶、手機號、是否輸入過密碼/驗證碼、郵箱或其他身份信息等威脅信息4資產信譽與企業(yè)IT資產被惡意利用導致資產信譽下降相關的資產情報企業(yè)IT資產與惡意網絡節(jié)點信譽庫(如C&C、如IP、URL、域名、郵件等信息5與企業(yè)信息安全相關的社會輿論事件情報如對其企業(yè)信息安全相關產品、服務、項目、6與企業(yè)內部數(shù)據泄漏如企業(yè)的員工賬戶數(shù)據、用戶賬戶數(shù)據、內部文件、網絡拓撲、財務報表、核心技術資易等事件信息7資產發(fā)現(xiàn)與企業(yè)外網IT資產暴露面相關的資產情報組件、版本等信息8安全漏洞與企業(yè)自身IT資產相關的安全漏洞情報如防火墻、網絡設備、網站、操作系統(tǒng)、常用軟件等企業(yè)自身內部IT基礎設施資產的漏洞信息9內容篡改與企業(yè)網絡站點內容報字、圖片等被篡改事件，如文字鏈接、圖片鏈接等信息網頁木馬與企業(yè)網絡站點存在的網頁木馬相關的事件情報監(jiān)測發(fā)現(xiàn)存在網頁木馬的具體事件信息，如網頁暗鏈與企業(yè)網絡站點存在的網頁暗鏈相關的事件情報與黃、賭、毒、傳銷等相關的網頁暗鏈植入的具體事件信息，如暗鏈類型、URL等與企業(yè)網絡站點存在的Webshell相關的安全事件情報監(jiān)測發(fā)現(xiàn)存在Webshell后門的具體事件信息，如Webshell名稱、上傳路徑、源IP等病毒木馬與當前爆發(fā)的病毒木馬相關的威脅情報如病毒木馬的各類指示器、威脅源、目標、所屬團體、利用手段等威脅信息與當前爆發(fā)的勒索軟如勒索軟件的各類指示器、威脅源、目標、所屬團體、利用手段等威脅信息與APT攻擊事件相關的威脅情報如APT事件涉及的指示器、威脅源、目標、利用手段、利用漏洞等威脅信息與威脅相關的指示器如惡意IP、惡意域名、惡意URL、VPN節(jié)點、IP地理位置、C&C節(jié)點、TOR節(jié)點、僵尸網絡分類示例資產功能威脅檢測入侵響應流量統(tǒng)計實時監(jiān)控安全管理報表功能●支持20個以上客戶端并發(fā)訪問管控平臺；影響性設計3%,內存利用不高于5%。系統(tǒng)在收集日志的過程中，日志傳輸對網絡帶寬的安全性設計開放性設計可靠性設計對被采集對象的資源占用不超過3%,對網絡帶寬占用不超過10%。兼容性設計4.4建設計算資源、帶寬需求測算(一)全省統(tǒng)一匯總模式估日平均每秒事件數(shù)10000EPS(峰值),綜合換算為帶寬占用為24M(峰值)。通過平臺日存儲計算方式：(在線存儲空間+離線存儲空間)/2*0.8*21=315T(二)分級部署模式(一級、二級平臺)綜合換算為帶寬占用為24M(峰值),區(qū)縣xx單位院日平均每秒事件數(shù)1000EPS(峰值),市院存儲計算方式：(在線存儲空間+離線存儲空間)/2*0.8=15TX86平臺國產化平臺CPU:20核以上CPU(鯤鵬)B:數(shù)據可視化展示環(huán)境(X86)B:數(shù)據可視化展示環(huán)境(X86)機構說明1領導和管構本項目由位院領導和管理。導兼任；及其他相關單位成員。批準項目計劃，監(jiān)控項目進程；協(xié)調項目所需相關資源，調配人力和資金；解決項目實施小組不能解決的問審批建設方案并參與驗收；審批工作準則與工作規(guī)程，保證項目能夠正常進行；2建設機構本次項目式，甄選行項目建委派1名高級項目管理人員出任項目經理。實施人員：提供不少于2人的項目實施人員負責平臺、略調試、日常維護等工作。組員按實際進度和工作節(jié)點配置。收集項目相關信息，制定項目計劃，指導項目執(zhí)行；系，安排人力資源，明確職責；產品訂貨、運輸、安裝、調試；定期編寫項目進展狀態(tài)的資料給用戶及相關人員；并決定一般變更，重大變更通知相關決策人；施的執(zhí)行；員處理試運行問題；驗收完成后，負責對項目進行總5.2階段劃分、建設工期和工作量測算(一)全省統(tǒng)一匯總模式項目投用時間完成時間1成立項目小組：確定最終的項目組成員，并以書面形式正式通知用戶。2設備交貨與到貨驗收：我方能夠在10個工作日內為用戶指提供貨物，按照合同的軟、硬件清單簽收到貨的設備。需求調研、分析。3實施方案安裝測試：按照合同要求、技術方案和工程安裝實施計劃，完成項目合同內設備的安裝調試工作。資產添加、分級分域、SNMP協(xié)議及SYSLOG協(xié)議調試；數(shù)據分析規(guī)則、場景以及模型的建立，工作同步開展)8系統(tǒng)功能測試9系統(tǒng)交付試運行系統(tǒng)技術培訓和相關手冊的編寫項目驗收：根據項目合同要求，對系統(tǒng)進行驗(二)分級部署模式(一級、二級平臺)項目投用時間完成時間1成立項目小組：確定最終的項目組成員，并以書面形式正式通知用戶。2設備交貨與到貨驗收：我方能夠在10個工作日內為用戶指提供貨物，按照合同的軟、硬件清單簽收到貨的設備。需求調研、分析。31、二級平臺安裝調試實施方案安裝測試：按照合同要求、技術方案和工程安裝實施計劃，完成項目合同內設備的安裝調試工作。資產添加、分級分域、SNMP協(xié)議及SYSLOG協(xié)議視化界面數(shù)據優(yōu)化調試等工作。備工作同步開8系統(tǒng)功能測試9系統(tǒng)交付試運行系統(tǒng)技術培訓和相關手冊的編寫項目驗收：根據項目合同要求，對系統(tǒng)進行驗6.1建設費用估算元)建設費用(萬元)1網絡安全運營中心功能模塊升級、擴容分域、管理節(jié)點授權等)套1省級單位網絡安全運營中心可視化界面套1省級單位2網絡安全運營中心分布式日志采集器套各市級市級網絡安全運營中心實施部署費用項市級單位3網絡安全運營中心實施部署費用項區(qū)縣院4(二)分級部署模式(一級、二級平臺)(二)分級部署模式(一級、二級平臺)(萬元)建設費用(萬元)1網絡安全運營中心功能模塊升級、擴容授權(功能模塊升級)套1網絡安全運營中心可視化界面套1市院2網絡安全運營中心(含基礎平臺和可視化界面)套市級單位3網絡安全運營中心實施部署費用項區(qū)縣院，共用市網絡安全運營中心47.1效益分析7.2風險與對策于3%,內存利用不高于5%。序號數(shù)量備注11、軟件化部署支持通用硬件服務器/虛擬化/云環(huán)境/特定國產化環(huán)境部署(鯤鵬+麒麟v102、系統(tǒng)性能至少支持單機入庫均值2.8WEPS,峰3、支持單機部署、級聯(lián)部署、分布式部署三種部署方式。系統(tǒng)提供交互式事件分析模式，內置300+歷史查詢條件，同時支持自定義查詢條件，自定義查詢條件支持基于關鍵字、正則表達式、設備類型和日志分類進行查詢查詢過濾條件可以無限疊加，逐層篩選，任意回退，且支持將用戶的查詢條件保存為策略，供后期快速分析使用，支持策略的導入導出為保證查詢數(shù)據及時更新，查詢頁面需支持手工和自動刷新功能，支持10秒、30秒、1分鐘、5分鐘、15分鐘、30分鐘、立即刷新等不同間隔的刷新時間設定。用戶點擊事件任意屬性字段，可以該字段為條段，可對接網絡中各種類型的日志數(shù)據。支持根據查詢時間段、查詢字段、查詢動作、5、日志展示功能：可以顯示一段時間的動態(tài)事件移動圖，能夠在圖上顯示每個時間切片的具體時間段和事件數(shù)量，用戶點擊每個時間切片，可以查看該切片內的事件；動態(tài)事件移動圖可設置動態(tài)刷新頻率，根據刷1套省/市平臺新時間顯示實時事件；積圖、柱狀圖、折線圖、折柱混合圖、餅圖等多6、日志分析功能：支持對日志事件依據其源目的IP和端口等各無限次數(shù)的追蹤調查；支持手工對日志進行響應處置，如生成告警、加入觀察列表、生成威脅情報等；圖定位，包括在線定位和離線定位化的展示一幅描述事件之間相互關系的事件拓撲支持以圖形化的方式展示日志屬性之間的聚合關系，顯示多維事件分析圖；化方式展示日志的源IP與目的IP分布走向。7、關聯(lián)分析基礎指標：能夠對不同的事件進行相關性分析，發(fā)掘潛在的信息；平臺內置不少于150+關聯(lián)分析規(guī)則，包括但不限于以下關聯(lián)分析場景：信息搜集、攻擊利用、命令控制、違規(guī)操作、異常行為、內容安全2)系統(tǒng)提供基于圖形化方式的關聯(lián)規(guī)則編輯漏洞編號、域名、文件名、文件MD5、文件類型、用戶名、Callback特征可疑域名等；3)關聯(lián)分析規(guī)則支持導入、導出、移動、復制、啟用和停用；4)關聯(lián)分析規(guī)則具備測試功能，分析師能夠更方便地對新設計的關聯(lián)規(guī)則進行模擬測試，以便調校規(guī)則的作用效果；8、多維數(shù)據關聯(lián)分析：1)支持觀察列表的關聯(lián)分析，用戶能夠根據關聯(lián)分析的結果將可疑或者需要關注的信息列入觀察列表，并對觀察列表中的信息進行管理。支持基于觀察列表的事件關聯(lián)分析，可在關聯(lián)分析則中引用觀察列表中的內容進行實時關聯(lián)；2)支持威脅情報的關聯(lián)分析，支持引用威脅情報類型至少包含惡意IP、惡意URL、DNS和Email3)支持資產信息的關聯(lián)分析，支持引用資產分類與資產屬性，其中資產屬性至少包括資產名稱與資產價值；4)支持漏洞信息的關聯(lián)分析，支持關聯(lián)資產擇指定時間范圍內的不同的歷史日志進行關聯(lián)分析，發(fā)掘潛在的信息1)支持對行為分析模型進行批量管理，包括啟用、停用、部署、重置等操作；2)支持模型的查看、復制、編輯、刪除功對于統(tǒng)計模型和異常模型，支持用戶自定義；3)支持通過豐富的查詢條件過濾模型，至少包括模型名稱、模型類型、攻擊鏈、威脅等級、模型標簽、啟用狀態(tài)等；據網絡環(huán)境進行調優(yōu)，提升告警質量；5)行為分析模型不單純依靠統(tǒng)計、關聯(lián)等方式，還應支持利用機器學習算法進行異常分析，可選的算法庫至少包括極端值、絕對中位數(shù)、孤立森林、K近鄰等不少于20種；6)支持通過首次出現(xiàn)、突變、內容、時間、緩慢型等維度進行分析，發(fā)現(xiàn)異常；7)自定義添加的行為分析模型，輸出內容支持自定義，包括名稱、行為類型、攻擊結果等；行的周期和時間；行異常分析的基礎，系統(tǒng)應支持特征管理功能，特征抽取的統(tǒng)計方法至少包括平均數(shù)、求和、最大值、最小值、標準差、分位數(shù)、熵值等；10)支持特征、特征組管理，具備相同聚合、過濾條件的特征，可以基于相同的特征組創(chuàng)建，以節(jié)約系統(tǒng)計算、存儲資源。支持通過豐富的可視化圖表查看監(jiān)控指標信息；可以對監(jiān)控指標設置告警閾值；析；可以進行基于指標的橫向對比分析和基于時間的縱向對比分析；擴展監(jiān)控指標；支持在產品界面通過正則表達式建立監(jiān)控指標主機監(jiān)控支持主流版本的Windows、Linux、AIX、Solaris、HP-UX等主機和服務器；支化版本凝思磐石、中標麒麟、普華及文件系統(tǒng)。夠監(jiān)控主機基本屬性，以及性能與可用性指標，包括：名稱、IP、描述、節(jié)點狀態(tài)、運行時間、網絡接口信息、CPU利用率、內存利用率、磁盤利用率、磁盤I0、文件系統(tǒng)、安裝軟件、安裝服務、等主機的任意進程進行監(jiān)控。網絡設備監(jiān)控支持通過SNMP、TELNET、SSH、SSH2、ODBC、JMX、協(xié)議仿真等方性能與可用性信息的周期性采集，采集時無需在被管理節(jié)點上安裝代理；能夠監(jiān)控網絡設備基本屬性安全設備，安全設備至少內置防火墻、IPS、IDS、基本屬性。數(shù)據庫監(jiān)控支持主流版本的MSSQLServer、PostgreSQL等數(shù)據庫及達夢國產控數(shù)據庫的基本屬性。中間件監(jiān)控支持主流版本的Weblogic、件；能夠監(jiān)控中間件的基本屬性；TCP、FTP、TELNET、SSH、WINS、LDAP、PING等；務器(IIS和TOMCAT)等。虛擬化Vmware監(jiān)控支持對Vmware的ESX進行監(jiān)控，包括ESX自身的監(jiān)控以及運行在ESX上的虛擬OS的監(jiān)控；支持大數(shù)據組件監(jiān)控、集群監(jiān)控、存儲監(jiān)控。系統(tǒng)支持繪制網絡拓撲圖，展示IT資產之間的邏輯拓撲連接關系，并能夠自動進行多種拓撲布用戶可以手工編輯資產拓撲，包括添加節(jié)點，添加/編輯連線，任意拖動節(jié)點，可以對拓撲圖進行縮放，可以更換拓撲圖背景；網絡拓撲圖具備實時設備和鏈路運行監(jiān)控功能，如果設備或者鏈路發(fā)生故障，能夠自動的進行告警，同時支持一鍵取消告警。網絡拓撲圖和網絡設備列表之間支持一鍵切系統(tǒng)支持自定義機架視圖的形式可視化地顯1)系統(tǒng)能夠自動進行網絡拓撲發(fā)現(xiàn)，支持按照IP范圍發(fā)現(xiàn)和網段發(fā)現(xiàn)，自動描繪網絡中資產節(jié)點之間網絡連接關系；2)拓撲發(fā)現(xiàn)支持ICMP,SNMP,STP等協(xié)議方式。1)工單管理支持對告警事件、異常資產、預警、脆弱性派發(fā)處理。由管理員指定工單處理人和工單處理周期及告警處理建議。2)支持自定義工單的優(yōu)先級，并通過短信或者郵件方式通知處理人；3)支持周期性工單任務和單次工單任務；4)支持管理員自定義工單分類，查看指派工單的數(shù)量、狀態(tài)、工單計劃等信息；5)支持工單處理人員記錄已接收工單的流轉信息和狀態(tài)信息；6)為方便責任人快速了解和自己相關的工單支持個人工作臺的快速入口功能，工作臺中需包含待辦工單數(shù)、建單數(shù)量、已辦數(shù)量、緊急任務數(shù)量；支持通過柱狀圖展示建單趨勢，柱狀圖中7)為方便管理員把握工單流轉情況。支持工單列表管理功能，包含我的待辦列表、我的已辦列表、我的建單列表；列表中需包含建單人、創(chuàng)建時間、緊急程度、工單號、工單狀態(tài)、超時節(jié)點、當前辦理人等信息。8)支持跟蹤工單的流程圖和審批記錄。9)支持通過圖形展示工單緊急程程度、工單完成率，工單狀態(tài)統(tǒng)計、活躍用戶TOP信息1)支持對業(yè)務系統(tǒng)中潛在的安全隱患或攻擊行為進行威脅預警。通過內部預警包和外部預警持續(xù)監(jiān)測事件的狀態(tài)，快速完成業(yè)務系統(tǒng)安全事件的預警和處置；2)系統(tǒng)預警支持內部預警和外部預警；3)內部預警支持規(guī)則自動產生，外部預警支持手工錄入；資產名稱、資產IP、資產類型、責任人等信息；5)支持預警類型包括安全通告、攻擊預警、漏洞預警和病毒預警；6)支持預警生命周期管理，預警信息的狀態(tài)至少包括預備預警、正式預警和歸檔預警三支持劇本的綜合展示：當前已創(chuàng)建劇本信息查看，可查看劇本列表(名稱，操作，分類，動作數(shù)量，執(zhí)行情況，使用場景，最后更新時間，狀態(tài)等);支持劇本/劇本組的新建/修改/刪除/編輯；縮小、撤銷，自動布局，導出svg文件工具按鈕；支持人工動作的新增/修改/刪除：支持人工動作基本信息，關聯(lián)動作的編輯；支持過濾動作的新增/修改/刪除：支持過濾動濾條件的編輯；作基本信息的配置，判斷條件的編輯；支持劇本執(zhí)行狀態(tài)的記錄，記錄信息包括事件名稱，劇本名稱，執(zhí)行者，狀態(tài)信息，開始執(zhí)行時間，結束執(zhí)行時間；執(zhí)行者，狀態(tài)信息，開始時間，結束時間；一鍵響應記錄列表：支持封堵/解封，黑名單/白名單動作列表以及一鍵響應列表記錄的查10)支持例外名單配置：可配置例外IP白名單1)支持在作戰(zhàn)室中信息共享，記錄操作執(zhí)行2)支持針對案例作戰(zhàn)室列表進行篩選，過3)支持通過快捷窗口將和自己相關的案例添過手工調用的方式讓機器人進行自然語言識如果機器人無法根據自然語言提供處理幫助，可以進行自動學習。5)在作戰(zhàn)室中支持根據內置的指令調用劇本1)支持案例管理功能，對具備相似特征的告警事件設置案例管理，由指定負責人負責對某一類安全事件跟蹤、提供線索和事件處置，最終形成經驗進行推廣，并且有利于后續(xù)同類告警事件的快速研判和處置。2)支持設置案例類型、風險等級、案例標簽、3)支持案例類型管理和線索管理，案例類型1)系統(tǒng)具備完善的資產管理能力，支持對IT資產分組、分域的統(tǒng)一維護能力；具備對全部資支持資產的過保提醒；2)支持18+個的資產屬性列配置設置，并可靈活控制展示哪些屬性列，必須包含風險值、資產價值、地理位置、近5分鐘事件量變化展示；3)支持資產的自動發(fā)現(xiàn)，具備預備資產的管理能力，至少支持7種(資產采集器主動采集、日志發(fā)現(xiàn)、漏掃發(fā)現(xiàn)、配置核查發(fā)現(xiàn)、流量發(fā)現(xiàn)、活動目錄AD、VMWarevCenterServer)資產發(fā)現(xiàn)來源，并可控制各來源的啟用關閉；4)支持資產的標簽化管理，并可自定義資產標簽，對資產屬性的動態(tài)擴展5)資產檢索支持多種正則表達式方式進行條件組合檢索；7)支持自定義添加廠商，包括廠商名稱、廠商編碼、廠商圖標，以及對應包含的產品類型；1)系統(tǒng)內置常見的設備和系統(tǒng)類型，用戶可以自定義資產類型，并且可以針對每個資產類型自定義資產的基本屬性和擴展屬性；支持數(shù)據字典信息的導入導出；2)自定義的資產基本屬性和擴展屬性至少應包括屬性名稱和屬性類型，屬性類型應至少可以指定為字符串、數(shù)字、枚舉、日期、密碼、BLOB3)用戶在錄入資產的時候，一旦指定該資產為某種資產類型，則會自動顯示該資產的基本屬性和擴展屬性，供用戶錄入和維護。1)支持對資產異常判定的規(guī)則設定，包括但不限于如下13個維度：使用弱團體字符串、使用不安全協(xié)議、資產開放違規(guī)端口、資產中開放FTP服務、資產開放端口服務超出閾值數(shù)量、資產開放非常見端口服務超出閾值數(shù)量、資產開放遠程運維類端口服務超出閾值數(shù)量、開放高危端口、關注端口關閉、發(fā)現(xiàn)無主資產、發(fā)現(xiàn)未知資產、疑似設備被替換、資產宕機等；同時支持對規(guī)則的啟用和停用。2)支持對異常資產加入白名單，加白后的資3)支持對異常資產統(tǒng)計、同比分析、環(huán)比分析；對異常資產趨勢圖和異常資產TOP5可視化展4)支持列表展示異常資產名稱、資產IP、異常類型和發(fā)生時間，同時支持對異常資產一鍵加白和創(chuàng)建工單的處置措施。支持內置風險計算模型，綜合考慮資產的價值、脆弱性和威脅，計算風險的可能性和風險的影響性。支持定期自動地計算出資產、安全域和業(yè)務系統(tǒng)的風險值，并刻畫出資產、安全域和業(yè)務系統(tǒng)隨時間變化的風險變化曲線，支持風險鉆取與分支持形象地展示出安全域的風險矩陣，從可能性和影響性兩個角度標注安全域中資產風險的分分析，采取相應的風險處置對策；支持通過多個維度對風險主機進行統(tǒng)計，包含但不限于風險主機總數(shù)、風險復現(xiàn)主機數(shù)、今日新增主機數(shù)、高風險主機數(shù)、高威脅主機數(shù)、高至相關的風險列表。6)支持列表展示風險資產名稱、資產IP、價對風險資產批量處置。1)實現(xiàn)資產間的互訪關系，并支持針對指定類型(告警、資產、漏洞、服務)進行關鍵字搜索，實現(xiàn)數(shù)據鉆取?？刹榭春蛯嶓w相關的告警信息、承載服務、遭受1)支持按照風險級別對用戶進行統(tǒng)計，統(tǒng)計內容包括高危用戶、中危用戶、低危用戶，并支持對活躍用戶進行統(tǒng)計與展示；2)支持對風險用戶關聯(lián)的告警、異常行為進行統(tǒng)計與可視化展示，并支持選擇統(tǒng)計數(shù)據的時間范圍；3)支持對組織部門的風險用戶分布情況進行統(tǒng)計和展示，并支持進行選擇統(tǒng)計數(shù)據的時間范含用戶名稱、賬號、組織機構、風險評價，以及與風險用戶關聯(lián)的告警的最近觸發(fā)時間；5)支持從用戶感知頁面通過用戶名、賬號查詢用戶的風險狀況，跳轉用戶畫像頁面。6)支持從用戶屬性、用戶行為、關聯(lián)告警等維度對用戶進行綜合畫像，并對用戶的風險狀態(tài)進行評價和展示；7)用戶、IP關聯(lián)的告警支持以攻擊鏈方式進行可視化展示，對處于每個攻擊鏈的告警進行統(tǒng)列表的數(shù)據進行過濾；8)支持對用戶、IP的風險狀態(tài)進行描述，描述內容包括風險評價的時間周期、告警次數(shù)、告警類型、最近告警觸發(fā)時間，以及用戶的風險評9)支持基于長周期對用戶關聯(lián)和IP關聯(lián)的異常行為和安全告警進行分析和展示，至少包括本周、本月、最近7天、最近30天；10)支持通過同一圖表展示不同類型、不同名稱的安全告警、異常行為，并支持直觀顯示每種布，通過點擊時間分布區(qū)域，可以對安全告警、異常行為的列表數(shù)據進行過濾；12)支持從IP所屬安全域、關聯(lián)資產、異常行為、關聯(lián)告警、訪問關系等多個維度對IP進行畫像，并對IP的風險狀態(tài)進行評價和展示；13)支持對查看對象IP與其他IP間的訪問關系分析，并支持列表和圖形兩種模式進行展示、IP問，并可以通過告警類型、告警名稱、攻擊鏈等進行過濾；14)支持對IP訪問關系進行簡要描述，幫助用戶直觀了解，輔助研判。至少包括訪問內網I數(shù)、被內網IP訪問次數(shù)、訪問公網IP次數(shù)、被公網IP訪問次數(shù)、關聯(lián)告警TOP3展示，以及最近一次異常的發(fā)生時間。)告警管理支持對告警信息的查詢，告警查詢字段至少包含ATT&CK的220+個具體動作、攻擊鏈階段、CNNVD編號、合并狀態(tài)、攻擊方向、失陷狀2)告警查詢條件多種組合后支持直接保存為策略，方便后續(xù)一鍵查詢。3)具體告警信息支持告警處置、人工研判、加入工單、加入白名單、劇本響應、案例響應、目的資產TOP排名、失陷狀態(tài)，以及ATT&CK的330個具體動作，在匹配告警信息后的高亮顯示，方5)支持防守視角查看攻擊源國家TOP排名、攻擊源地址TOP排名、告警類型TOP排名，以及以中國地圖與世界地圖展示告警事件IP地址定位情6)支持查看告警詳情，對告警事件追蹤溯源和智能分析，溯源需包含上下文訪問關系和原始消息追溯等維度，智能分析需支持同源分析和相似度分析。7)告警動作支持告警重定義、彈出提示框、播放警示音、發(fā)送郵件、發(fā)送SNMPTrap、發(fā)送短信、執(zhí)行命令腳本、設備聯(lián)動、發(fā)送飛鴿傳書、發(fā)送Syslog、發(fā)送微信消息、設置觀察列表、引用通知等方式；8)支持告警歸并功能，告警歸并規(guī)則中的歸并時長與歸并字段可以手動進行配置，從而合并成一條事件進行展示，告警歸并規(guī)則支持實時啟用和停用。9)為篩選有價值的告警事件，支持告警增強策略設置，根據數(shù)據源、分析模型、告警類型、處置建議等維度設置策略，同時支持告警信息和資產、攻擊方向、地理維度、情報進行上下文信息關聯(lián)。的脆弱性信息，并計算資產/安全域的脆弱性值；2)支持導入漏掃掃描報告和核查掃描報告；支持資產核心信息和漏洞信息的導出；3)支持對系統(tǒng)漏洞、弱口令、web漏洞、配置級分布、漏洞清單狀態(tài)分布、發(fā)現(xiàn)漏洞數(shù)地址TOP已整改、白名單、延遲整改、誤報、無法整改、1)系統(tǒng)內置不少于14W條漏洞信息，支持根據漏洞等級、漏洞名稱、CVE編號查詢漏洞信2)支持漏洞補丁信息管理功能，針對漏洞信息提供對應的補丁鏈接、補丁編號、補丁描述等3)支持漏洞POC庫管理功能，可提供漏洞相關29、、VPT建模功能：1、根據資產重要性、資產等級保護等級、漏洞等級、配置等級、網絡分區(qū)、聯(lián)網狀態(tài)、CVSS2、支持按處置優(yōu)先級進行待處置漏洞列表展示，并展示漏洞清單優(yōu)先級相關列表。列表同時支持工單觸發(fā)，漏洞清單記錄勾選能觸發(fā)處置流程。包含重?；I備階段、檢查階段、保障階段和總結2)支持查看重保詳情，詳情中需包括指揮中心的人員安排、重保期間各個階段時間分配及值班計劃等信息。3)支持重保預案庫管理，預案支持附件上1)支持調度網站監(jiān)測引擎掃描網站中的漏洞、2)網站掃描任務支持單次檢測和周期性檢并支持對掃描類型的參數(shù)詳細設置，比如設置對網站漏洞掃描時，可設置掃描方式、代理模式、任務優(yōu)先級、認證方式、User_Agent設置、掃描線程、最大允許掃描時間等參數(shù)。3)針對漏洞風險等級設置預警策略，在掃描任務中開啟預警策略，針對掃描到的高危漏洞自4)系統(tǒng)提供敏感詞管理、地址范圍管理、掃1)可結合等保模板及任務計劃對可對當前資2)內置最新的等保2.0四級標準模板，且支持自定義模板功能，用戶可按需定制；可隨意添加任務計劃，選擇所需的等保模板，支持對計劃進行編輯、指派、歸檔和查看，支持對等保處理流程信息的記錄和篩選；1)提供內置報表模板，包含資產、事件、監(jiān)控、風險等維度；2)支持報告定期和周期性自動投遞郵件，并支持自定義郵件標題和郵件正文；3)支持自定義報表顯示字段及生成報表的頁眉、頁腳、摘要、總結等信息；4)支持按照天、月度、季度、年度等時間周5)支持在報表中以柱狀圖、曲線圖、餅狀圖方式統(tǒng)計安全報警情況；6)支持報表報告的導出，導出的格式支持EXCEL、PDF、D0C、HTML、RTF、PNG、XSL7)為把握整網安全態(tài)勢，導出運營結果，系統(tǒng)需內置綜合分析報告、安全風險報告、資產與脆弱性報告、安全威脅分析報告等報告模板，同時支持自定義創(chuàng)建報告；支持提供可更新的漏洞情報，并定期提供更新影響的操作系統(tǒng)、內核和組件以及相應的版本信支持查看情報命中信息，查看維度不少于情報名稱、資產IP、情報來源、情報創(chuàng)建時間、命中時間等。提供開源情報采集能力，支持通過導入、主動自動抓取的方式獲取外部相關威脅情報信息，可些威脅情報進行管理，能將這些威脅情報用于關聯(lián)分析，主要威脅情報包括：惡意IP地址、惡意支持在地圖上展示威脅情報IP分布和命中情報分布。支持與云端威脅情報聯(lián)動查詢可疑IP、DNS、支持對內外部的威脅情報采集、展示和利用功能；支持采集開源情報，第三方商業(yè)情報，且具有同司自有情報；可將平臺發(fā)現(xiàn)的威脅轉換為情報，系統(tǒng)能對這些威脅情報進行管理，能將這些威脅情報用于關聯(lián)分析；可綜合展示威脅情報數(shù)據匯總情況和實時信支持態(tài)勢總覽、資產態(tài)勢、攻擊態(tài)勢、風險態(tài)勢、脆弱性態(tài)勢、情報態(tài)勢、運行態(tài)勢、流量態(tài)勢、網站態(tài)勢等態(tài)勢大屏呈現(xiàn)。資產態(tài)勢支持以資產為中心的多維數(shù)據統(tǒng)計分析大屏展示；資產態(tài)勢支持展示資產總體態(tài)勢、資產發(fā)現(xiàn)示意圖、不少于5種資產采集方法和對應資產數(shù)據的展示、納管資產TOP排名、安全域TOP排名、操作系統(tǒng)版本TOP排名、網段分布TOP排名、資產業(yè)務標簽TOP排名、資產價值分布等；攻擊態(tài)勢支持以全網攻擊事件為基礎，利用內攻擊態(tài)勢支持從攻擊狀態(tài)、攻擊趨勢展示當前擊源國家、受攻擊安全域、受攻擊資產、攻擊端口分布、攻擊源TOP排名、攻擊事件列表等展示當前被攻擊詳情；攻擊態(tài)勢支持基于世界地圖展示攻擊事件的熱點分布，并支持基于15分鐘/30分鐘/1小時/24小時/7天等不同時間段的日志量大小展示。脆弱性態(tài)勢支持展示全網檢查合規(guī)率和漏洞整改率，支持展示最新發(fā)現(xiàn)的漏洞信息、以及不同時間段的整改情況。脆弱性態(tài)勢支持高危漏洞資產TOP排名、影響廣泛的漏洞和核查信息TOP排名、弱口令檢出率及分布、漏洞趨勢與等級分布、影響資產分布等多維度呈現(xiàn)全網脆弱性態(tài)勢。能模塊，支持基于3D地球的動態(tài)攻擊展示效果；態(tài)勢總覽支持對全網安全態(tài)勢信息的綜合展示，包括全網總覽打分、資產態(tài)勢評價、運行態(tài)勢評價、攻擊態(tài)勢情況、脆弱性態(tài)勢評價、運營態(tài)勢評價；受攻擊安全域的TOP5排名；攻擊鏈五個階段的日志量大小。運行態(tài)勢支持對在網各類信息資產和業(yè)務系統(tǒng)的運行狀態(tài)進行全方位細粒度監(jiān)控和呈現(xiàn)；運行態(tài)勢從在網監(jiān)控設備數(shù)、設備類型、性能告警等進行數(shù)量統(tǒng)計，從設備負載情況(CPU波動名、存儲空間利用率TOP排名)進行排名統(tǒng)計；支持重啟次數(shù)最多設備排名展示。風險態(tài)勢支持全網和各區(qū)域的風險量化和風險賦值，使用戶把握風險態(tài)勢；風險態(tài)勢支持通過風險地圖對全網所受風險的區(qū)域分布進行宏觀呈現(xiàn)，對影響風險的各類安全事件分布狀況、風險資產TOP排名、源目攻擊關系，安全域風險top、安全域價值等級分布狀況進行直觀展示。SNMPTrap、Syslog、ODBC\JDBC、文件\文件夾、WMI、FTP、SFTP、NetBIOS、OPSEC等多種方式完成日志采集/收集功能，支持agent代理采集，支持對KAFKA數(shù)據源采集；1)系統(tǒng)支持對無用日志的自動過濾，過濾條件可以按照所有范式化后的字段屬性來定義，包括但不限于源IP、目的IP、源端口、目的端口、時間、事件名稱、事件類型等，減少垃圾數(shù)據數(shù)2)系統(tǒng)支持對無用信息的自動合并，支持設定合并的時間范圍，合并條件可以按照所有范式化后的字段屬性來定義，包括但不限于源IP、目的IP、源端口、目的端口、時間、事件名稱、事3)支持通過拖拽式的方式設置日志處理流程，包括但不限于采集數(shù)據源、解析動作、字段富化、過濾及合并規(guī)則、日志輸出等步驟。構日志格式的統(tǒng)一化，范式化字段至少應包括事件接收時間、事件產生時間、事件持續(xù)時間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名稱、事件摘要、等級、原始等級、原始類型、網絡協(xié)議、網絡應用協(xié)議、設備地址、設備名稱、設備類型、文件大小、命中威脅情報、功能碼、VlanID、包下載標識、家族、靜態(tài)檢測結果、Callback特征可疑域名、URL、Payload信息、Title信息、攻擊類型等；重定義后在日志查詢統(tǒng)計條件和關聯(lián)規(guī)則條件里對應的字段同步修改。3)系統(tǒng)支持對日志信息進行分類，分類按照安全事件的類型，而不是日志的設備類型，事件類型不少于10種大類，50種小類。的解析動作，解析動作至少支持正則表達式、JSON、CSV、IP透傳等方式。5)支持在線編輯解析文件。1)系統(tǒng)支持日志加密壓縮傳輸，保證數(shù)據的完整性和機密性：2)系統(tǒng)支持日志加密存儲；3)系統(tǒng)支持日志加密壓縮方式轉發(fā)能力，支持分流轉發(fā)，針對轉發(fā)給不同的目標服務器支持配置不同的過濾器。1)系統(tǒng)支持統(tǒng)計不同采集器和不同安全域下的設備個數(shù)并以餅圖展示，統(tǒng)計展示采集器或安全域中事件量Top10、范式化設備數(shù)比例等；2)可以根據日志源斷點時間進行配置，并生成告警。點擊單個日志源設備查看該設備最近7天1)支持用戶登錄認證配置，即支持自定義認證時間鎖定時間和次數(shù)、登錄密碼的有效期和用2)支持系統(tǒng)時間同步，能夠指定時鐘服務確保運營中心系統(tǒng)與用戶網絡環(huán)境的時間保持同3)支持日志自動刪除能力，刪除方式支持剩余百分比和剩余空間大小兩種方式；小等進行監(jiān)控，并支持設置告警閾值；同時支持本地備份和異地備份7)支持關聯(lián)規(guī)則、劇本、聯(lián)動設備、知識庫、安全知識。包括案例庫、漏洞庫、事件分類庫、字典庫、ATT&CK等；用戶可以對所有的知識點進行基于關鍵字的系統(tǒng)內置日志字典庫，方便用戶查詢不同原始日志信息的錯誤ID號和詳細描述信息內置CiscoPIX和交換機的事件編碼知識庫；Windows、Linux、SolariDB2數(shù)據庫的事件編碼知識庫；5)內置ATT&CK的12種戰(zhàn)術及對應的技術，以支持多級管理：上級管理中心對下級管理中心的節(jié)點進行集中管理和展示，上級管理中心可以訪問下級管理中心；2)在上級管理中心具備對下級管理中心的節(jié)點進行配置、監(jiān)控、下發(fā)日志解析策略的能力。3)下級管理中心支持將運行狀態(tài)、告警、風2分布式日志采集器本模塊為軟件，采集各類網絡設備、安全設備、主機服務器、各類應用系統(tǒng)的事件和日志，用于實現(xiàn)分布式安全事件采集。支持1Weps日志采集和解析。套性能擴依據使用情況部署3網絡安全運營中心可視化界面1、省-市-區(qū)縣三級管理模式登錄后默認顯