云技术、大数据的安全防御与态势感知解决方案

XXX云技术、大数据的安全防御与态势

感知解决方案

杭州安恒信息技术有限公司

二。二四年十一月

目录

1背景简介................................................................5

2安全风险和需求分析.....................................................5

3建设目标................................................................5

3.1基于云构建『一站式』安全运营中心...................................6

3.2实现信息系统安全监测...............................................6

3.3构建『云+端』的联动安全防护能力....................................6

3.4基于大数据竖线整体安全态势感知.....................................7

4设计框架................................................................7

4.1基础安全云平台架构设计..............................................7

4.2安全运营平台的设计..................................................8

4.3安全监测和防御能力的设计...........................................9

5建设内容...............................................................10

5.1基于云计算的安全运营平台..........................................10

5.1.1安全运营平台...................................................10

5.1.2安全计算资源池.................................................11

5.2安全监测子系统.....................................................11

5.2.1基础数据主动探测...................11

5.2.2定期安全漏洞扫描...............................................12

523服务质量实时监测....................13

5.2.4安全事件实时监测...................14

5.3安全副子系统.....................................................15

5.3.1DDoS高防模块..................................................16

5.3.2Web应用防护模块................................................16

5.3.3内容加速模块...................................................17

5.3.4网页防篡改模块.................................................17

5.4安全大数据态势感知子系统..........................................17

5.4.1重要站点流量解析与威胁提取预警.................................19

5.4.2面向海量复杂数据的威胁情报感知.................................20

5.4.3可快速定位与处置的实时告警展现................................20

5.5安全服务...........................................................21

5.5.1事件发生与处置服务.............................................21

552Oday威胁快速定向预警服务......................................22

5.5.3各类安全专题深入检测通报服务..................................22

5.5.4提供可获取服务的终端系统......................................23

5.5.5安全保障与应急响应服务.........................................23

6创新特色与应用价值....................................................24

6.1所有应用可用性及时掌握.............................................24

6.2所有应用安全状况了如指掌..........................................24

6.3整个安全防御动态展示..............................................25

6.4局危漏洞影响快速评估..............................................26

6.5形成『云+端』的一体化安全方案.....................................26

6.6应用渐效果一目了然..............................................27

6.7运行状态清晰可控..................................................27

7费金投入计划..........................................................28

1背景简介

目前整个信息系统的物理服务器、虚拟机合计达到将近300台，网络设备将

近100台，也部署了上网行为管理、防火墙、数据库审计、堡垒机、IPS等安全

设备10多台。

整个网络分为六部分，分别为网络边界区、政务外网服务器区、用户办公区、

核心数据库区、互联网DMZ区及政务外网DMZ区。网络结构如下图示：

2安全风险和需求分析

由上可知I,XXX住建局的信息系统规模已经比较庞大，业务系统也比较复杂,

给信息化管理人员带来了较大的挑战。主要表现在几个方面：

1）安全资源分散，管理难度大

2）业务系统众多，缺乏总体监控视图

3）安全设备之间无法协同、共享

4）新型攻击手段从出不穷，防护能力跟不上

3建设目标

本方案建设目标为：利用云计算和大数据分析技术，为XXX住建局建设统一

安全防御与态势感知系统。以此来掌握重要信息系统和重点网站的安全态势，及

时了解相关网络安全威胁、风险和隐患，监测安全漏洞、病毒木马和网络攻击情

况，收集网络安全情报，及时通报预警重大网络安全事件，为网络安全监管工作

提供支撑，为重要信息系统实施安全保障和防护。

3.1基于云构建『一站式』安全运营中心

通过构建运营平台的方式，逐步形成XXX住建局统一安全运营中心，平台可

通过资产的梳理，基线检查，安全产品集中运营等方式，实现对安全进行统一,

有机，协调的管理，从而形成安全保障，管理，策略下发，安全检查，跟踪监督,

“一站式”的安全运营中心。

3.2实现信息系统安全监测

快速形成XXX住建局重要信息系统的安全监测能力，实时了解XXX住建局网

站基数情况、安全现况。包含但不限于如下安全情况：

>XXX住建局网站总量

>XXX住建局僵尸网站清单

>XXX住建局网站漏洞详情

>XXX住建局网站被黑详情

>XXX住建局网站受Oday的影响详情

基于上述数据可以定期编制专业的XXX住建局网站安全态势月报、季报、年

报，为进一步安全决策提供参考。

3.3构建『云+端』的联动安全防护能力

实现XXX住建局范围内重要信息系统统一集中式安全防护和安全管控，可以

达成如下几个关键安全指标：

>网站统一的安全水平提升

>网站安全不达标的可即时关停

>网站攻击情况全面实时掌握

>攻击行为实时追踪和处置

>重大安全事件即时处置

>具备大规模DDOS防御能力

>具备运维行为审计、控制能力

>具备专业级WEB应用层防御

>具备实时安全攻防情况监测

3.4基于大数据竖线整体安全态势感知

传统的安全监测或者安全防御，难以实现对XXX住建局整体态势感知的目的，

仅仅能够得知单一站点目前遭受攻击或存在风险的情况，而本项目通过对全XXX

住建局的整体站点监测，以及对重要站点的安全防护，融合两者攻防数据，实现

对本XXX住建局站点自身脆弱性情况，面临的攻击威胁，短期内的安全隐患和预

警，能够将抽象的网络和安全数据进行可视化呈现，帮助监管单位快速掌握当前

网络状况，识别网络异常、入侵，把握XXX住建局内网络安全事件发展趋势，全

方位感知网络安全态势。

4设计框架

本方案的核心设计思想是基于云计算和大数据技术来实现安全态势感知，方

案的设计主要是三个方面：

1）基础安全云平台架构设计

2）安全运营平台的设计

3）安全监测和防御能力的设计

4.1基础安全云平台架构设计

构建基础云安全平台主要是为XXX市住建局信息系统提供云计算和大数据能

力支撑的云服务平台。其特点除了云计算的弹性可扩展、快速开通部署外，还有

安全合规、资源独立、政府独享、多种接入方式、高优先级、专人服务等优势。

该平台采用。penstack技术体系实现，是一个完整的小型的云计算平台，包

含了计算、存储、认证、用户界面、网络、镜像服务等功能模块。构建基础安全

云平台的目的主要是为安全运营平台、安全监测、安全防御系统体功能安装、接

入、弹性扩展、大数据存储提供服务。

安全运营管理平台

安全监测子系统安全防御子系统态势•感知系统安全服务

邮

阳

出

安全计算斗

褴

安全存储能力大数据处理服务安全网络其做员务…船

能力

撒

眯

分布式文件系统任务调度

openstack+KVM

物理资源节点(x86Server)

物理机房环境

4.2安全运营平台的设计

构建安全运营平台的目的主要是为了实现所有安全产品的统一部署、统一用

户认证、统一配置、统一分析的目标，解决掉目前.XXX市住建局各安全产品分散

部署、分散设置.，安全防御经验和数据无法协同等难题。

整个安全运营平台可以包括几个部分：

基础管理部分：包含了用户管理、权限管理、安全产品管理接入、大屏展示模块

等几个部分，主要实现的是将防火墙、waf、数据库审计•、堡垒机、监测等安全

产品统一接入，实现这些安全产品的统一用户管理、认证登录、权限控制等。

大数据引擎部分：主要是构建一个基于HAD00P的大数据分析引擎，用来统一采

集安全设备的口志，通过大数据的分析形成有价值的的安全分析视图。

安全能力部分：安全能力部分包含安全监测子系统、安全防御子系统、大数据态

势感知子系统、安全服务、云上合规等部分，是整个系统的安全能力服务提供层。

安全监测子系统

安全运营平台

应用漏洞监测系统漏洞监测DB漏洞监测

安全事件监测可用性监测APM监控

大屏展示模块

云

上安全防御子系统

1云堡垒机1

用户管理合VFW防病毒WAF

抗DDOS放篡改

规

VPN

等

网络层主机层应用层

权限管理级

保大数据态势感知子系统

护

审计审计日志审计运组审计

安全产品管理接入DBweb

安全服务

大数据引擎

应急响应I众测服务安全加固安全托管

4.3安全监测和防御能力的设计

安全监测和防御能力是本系统的核心，也是整个信息安全防护的目的。整个

安全防护思路遵从「事前发现、事中防御、事后审计」，同时也是按照「云+端」

的先机模式进行设计。整个的设计可以分成几个部分：

1）云端监测和防御部分：云端监测需要在全国各省份部署安全监测节点，用来

7*24实时监测XXX住建局的对外网站和信息系统的访问状态、安全状态。

云端监测则是利用CDN和云计算能力实现DDOS高防防护，将大流量的攻击

在进入XXX住建局网络之前就进行清洗，防止大流量进入阻断出口带宽，影

响业务系统访问。

2）本地防护部分：本地防护主要指外部流量在进入到业务系统之前的一些防护,

主要包含本地的cdos防护、下一代防火墙、web应用安全防护等。只有经

过这几个安全系统的处理完的流量才能够抵达到具体的业务系统中。一切

恶意流量都将在这边进行清洗。

3）大数据监测和处理部分：大数据监测和处理主要是指将整网的安全防护日志、

监测日志等数据进行统一收集整理，形成安全大数据分析视图。然后通过可

视化的能力将安全情况整体展示出来，帮助信息化管理者更加直观、方便的

了解安全防护动态效果。

7

,

24速

维

HI队

扑

送而质的云分析计灯资海

M

新

安

全

策

略

本U6FW/1PS

地

防

护

©木堆waf第群

心螳H计/口志审计"PTKI警集中式冏站

5建设内容

本方案的建设内容主要包括五个部分，如下：

1）构建一套基于云计算的安全运营平台

2）构建一套安全监控系统

3）构建一套安全防御系统

4）构建一套安全大数据态势感知系统

5）构建信息安全监控、指挥中心

5.1基于云计算的安全运营平台

5.1.1安全运营平台

安全运营平台主要是针对安全产品进行统一管理和分析功能，该平台可实现

对防火墙，VPN,堡垒矶等的全方位管理，提供了丰富的拓扑、设备配置、故障

告警、性能、安全、报表等网络安全管理功能。实现了对安全资源集中、统一、

全面的监控与管理。使安全过程标准化、流程化、规范化，极大地提高故障应急

处理能力，降低人工操作和管理带来的风险，提尸信息系统的管理效率和服务水

平。

同时，该平台可以通过与相关产品及服务联动T作，系统作为安全管理运营

中心的技术支撑平台，结合安全服务的最佳实践，以安全资产管理为基础，以风

险管理为核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以

有效的网络管理与监视，安全报警响应，工单处理等功能，对各类安全事件进行

集中管理和智能分析，最终实现对企业安全风险态势的统一监控分析和预警处理,

并对某一阶段的安全运行情况进行展示和报告的输出，为管理人员进行策略的调

整和安全的加固提供依据。

5.1.2安全计算资源池

安全计算资源池模块是整个安全运营平台的计算能力载体，包括安全监控子系统、

安全防御子系统、大数据态势感知子系统等都需要安装在安全计算资源池中，安

全计算资源池的能力取决于各模块的功能需求。

安全计算资源池是一套基于openstack和KVM的云计算系统，架构示意图如下：

安全运营管理平台

安全监测子系统［安全防御子系统［态势感知系统［安全服务

安蔚算［安全存储能力［大数据处理服务J安全网络［其他服务…

分布式文件系统T任务调度

_______________________openstack+KVM_______________________

物理资源节点(x86Server)

物理机房环境

5.2安全监测子系统

5.2.1基础数据主动探测

由于管理、技术等多种原因，海量信息系统基础数据的验证、维护、更新与

比对检查工作，长期处于缺失状态。尤其是重要网站存在被黑客将域名指向海外

服务器、ICP备案号盗用、域名被冒名注册为钓鱼网站、隐蔽服务器、“肉鸡”

服务器泛滥等情况屡见不鲜，这都是网络安全主管部门对其监管对象基本情况不

明、基本数据不全、缺乏基本数据检测与监测手段所造成的。

区域站点安全监测子系统，通过部署在全国的全网爬虫集群，在互联网空间

中进行广度优先的爬取，不间断采集域名信息，目前已累计监测到2亿个域名；

并且对辖区网站进行爬取与分析，获得网站指纹信息，通过基础数据的收集与持

续更新，协助开展网站摸底工作，检查与校验网站备案情况等。

凭借云端不断丰富的在线系统数据，可为对应的辖区用户、行业用户提供对

应的资产清单，可提供的在线系统基础信息如下：

■网站域名、标题；

■网站IP及其归属；网站行政归属；网站行业属性；

■网站指纹信息：操作系统、WEB服务器类型、插件、CMS、CDN服务信息

等；

用户按需获得对应的资产信息后，可对此类数据进行维护与更新，以完善更

精确的资产信息c

5.2.2定期安全漏洞扫描

通过大数据漏洞扫描技术，每周对辖区网站进行全面的安全漏洞扫描，并持

续跟踪漏洞修复情况。

Web层面漏洞包括SQL注入漏洞、跨站脚本漏洞、开放服务漏洞、网站第三

方应用漏洞以及新发现的0Day漏洞等，及时发现漏洞，并进行人工审核、取证

确认。web层面漏洞定期扫描可对目标站点历史风险进行追踪监测，提供漏洞的

新增、遗留与修复情况。

系统层面包括对网络主机监测服务通过对互联网中存在的主机进行扫描，与

辖区信息系统基础数据信息进行历史纵向比对，及时发现网络主机状态异常变更

情况。同时，在特定主机层面系统紧急高危漏洞爆发期，对网络主机受漏洞影响

几率进行检测。主要包括一下内容：

■系统长时间未更新：由于托管在各自的机房，很多网站的服务器系统可

能长时间没有更新，系统层面可能会出现一些高危漏洞，我们将采用安

恒信息远程安全评估系统对网站系统层面进行检测，发现潜在的安全风

险，并将信息实时同步到教育部的安全管理平台，减小教育部网站出现

安全问题的风险。

■网站同IP存在废弃（测试）站点：很多网站在新旧版更替的时候，为

了保障过渡期网站正常运行，会将旧网站（新建网站可能为测试站点）

也同时挂在该域名上，这些网站往往由于关注度较低，可能会存在着一

些风险。我们将通过Nmap（知名端口检测工具），结合大数据中域名库

数据，将此类废弃（测试）站点找出，并将信息实时同步到教育部的安

全管理平台，减小教育部网站出现安全问题的风险。

■网站开放高危端口：由于教育部重点网站信息化工作开展较早，早期一

些不安全的系统服务可能开放，但是由于内部管理问题没有很好的得到

管控，如开放了FTP服务，Telnet服务在公网，这些服务存在着很大

的风险，我们将通过Nmap（知名端口检测工具）将这些高危端口找出，

并将信息实时同步到教育部的安全管理平台，减小教育部网站出现安全

问题的风险。

5.2.3服务质量实时监测

采用分布式节点进行数据监测，以多链路多点监测形式，发现在不同区域内

网站系统的多线路访问可用性情况。网站质量实时监测提供目标站点的域名解析

可用性、网站服务可用性、以及网站内容可用性，能够较为全面的实现网站可用

性的监测。可用性监测分为以下三类内容：

■域名解析可用性：任何一个解析的域名均有对应的权威DNS服务器为其

提供域名解析服务，如果提供权威DNS信息的域名服务器出现故障或解

析出错误的信息，将导致用户无法访问到真实的网站。网站远程安全监

测服务通过监测权威DNS服务器的可用性、以及权威DNS服务器解析

IP地址是否与历史基准一致来判断域名是否发生安全问题，出现问题

后会立即审核并进行通告。

■网站服务可用性：网站应用可用性服务会自动监听网站指定的TCP端口,

通过HTTP协议访问网站，通过返回的响应状态码，来判断网站是否能

够提供正常的服务，以监督网站服务正常运行。

■网站内容可用性：网站内容可用性监测引擎间隔一段时间就会向监则网

站发起HTTP请求，并核对响应页面内容是否有基准文本或数据，根据

基准信息是否匹配，进而判断网站内容是否发生异常。

5.2.4安全事件实时监测

对网站进行页面资源与指纹信息的分析，通过监测技术对各类安全事件进行

全面分析感知，包括网马、暗链、敏感言论、网站可用性、健壮性等；并向相关

部门和人员进行定向安全通报。主要包括一下内容：

■页面篡改：可对页面篡改情况进行实时监测，通过采用标签域识别、资

源参数化比布以及篡改取证等技术，实时发现网站中发生的各类篡改事

件，帮助管理员尽快得知当前网被篡改情况，能够在事发产生恶劣影响

前尽快回复系统正常。

■链接监测：对页面中存在的暗链、错链进行实时监测，帮助用户掌握当

前网站中存在哪些非法插入链接，需要进行快速清理，以提升网站的公

信度以及搜索引擎排名。

■挂马监测：口J对目标站点进行网马监测，通过采用特征码检测和

Shellcode探测分析相结合的检测方法，可利用CVE-2010-0806.

CVE-2009-1136CVE-2010-3962等漏洞的网页木马，以及JS.Agent.NBM.

JS.Kryptik.R.JS.Kryptik.I等加密变种,并追查出网页木马传播的

病毒、木马程序所在位置，从而有助于彻底解决网络中有害程序。

■链接监测：对页面中存在的暗链、错链进行实时监测，帮助用户掌握当

前网站中存在哪些非法插入链接，需要进行快速清理，以提升网站的公

信度以及搜索引擎排名。

■敏感内容监测：对目标页面中存在的敏感言论进行实时监测，通过自动

化识别以及人工确认等方式，监测发现敏感内容，及时通知用户，以保

障网站内容健康合法。

5.3安全防护子系统

通过IP直接攻击

产品亮点

»眄建引。清洗->0i主，1步领

防福能力»全自动*应,提高效率，降低戌本

网络KlwebiSlilfi控审计

»基于大数据分析的怒息1PI*.行为庵

-DDOS霰高防御能力可这300G

©本施云WAF

A基于租户独享的WAF1R略引掌

>WAF最高防御能力可达100G

A良好的cc攻击;fijHB50l

NGFW/IPS

安全防护子系统将纳入防护范围的所有域名交由DNS调度中心统一调度，流

量经过DDoS高防模块清洗后，由Web应用防护模块进行负载分发，流量再没清

洗后回源到本地Web应用服务器。产生的所有日志（包括DDoS攻击日志、访问

日志、Web攻击日志）都由大数据平台进行统一分析处理，然后汇总到态势感知

子系统中，形成可视化报告，可查看整个区域的网站态势，各单位也可以查看各

自的网站访问和防护情况。防护界面展示如下：

攻击«—布

10

lai.SHe・■u♦的

166.9H0.011

AAAAAAAAAA

“▲“A

■・・A

流量在到达Web服务器之前，需要经过安全防护子系统各个模块的过滤，与

此同时采用了高速缓存技术，用户在短时间类访问相同的文件、资源或服务时可

以直接读取缓存在的内容从而可以实现对图片、静态文件、多媒体文件等快速转

发，节省用户访问的时间和效率，在线路优化的情况下网用户的访问速度将不受

影响甚至有适当的缩短，而对于动态交互的数据产生的延时通常也会在毫秒级，

对用户体验基本没有影响。

5.3.1DDoS高防模块

系统DDoS高防模块分两种方式，一是本地部署的专用防护设备，可直接防

御1G流量的DDoS攻击，1GB是当前运营商接入线路光纤最普遍的网速，可适用

于大多数的环境。通常网站集群的流量将得到保障。二是当DDoS攻击流量超过

本地防护极限时，可快速借助专业安全服务企业的大流量云清洗中心进行解决,

将网站DNS解析到厂商提供的DDoS高防IP,由厂商对DDoS流量进行清洗，再

回源到原地址，第二种方式最高可防御300G的DDoS攻击。

采用防DDoS/CC算法，实现对syn-flood、upd-flood、tcp-flood>应用层

CC等DDoS攻击，一方面解决政府网站被DDoS攻击时的可用性问题，另一方面

对政府网站安全态势感知系统本身也加强防护，持续保证政府网站稳定运行。

5.3.2Web应用防护模块

web应用防护模块对网站进行严格的应用安全保护，安全策略来自于Snort.

CWE、0WASP等国际权威安全组织，并结合对国内典型应用的深入研究成果，包

括XSS、SQL注入、CSRF、文件上传、暴力破解等。

通过对网络层、Web服务层、Web应用程序层、应用内容属性四个层面进行

全方位安全分析与防御。针对各个层面不同的安全属性，分别采取相互独立的安

全防御技术针对性防御，从整体上提升Web应用的安全防御能力。

■防护Web通用攻击:如SQL注入、文件注入、命令注入、配置注入、LDAP

注入、跨站脚本等，部署Web应用防护模块后自动屏蔽相应的Web攻击

行为。

■协议规范性检查：通过HTTP协议规范性检查可以实现Web主动防御功

能，如请求头长度限制、请求编码类型限制等从而屏蔽大部分非法的未

知攻击行为。

■抗Web扫描器扫描：Web应用防护模块能自动识别扫描器的扫描行为,

并智能阻断如Nikto>Parosproxy>WebScarab>Weblnspect>Whisker、

libwhisker>Burpsuite>Wikto>Pangolin>Watchfire/\ppScan、

N-Stealth>AcunetixWebVulnerabi1ityScanner等多种扫描器的扫

描行为。

5.3.3内容加速模块

内置Webcache及Webrar模块，Webcache模块对静态页面进行高速缓存，

提升Web服务器连接可用性，Webrar模块对页面内容进行文件压缩，提升服务

器带宽使用率。通过压缩及节点缓存技术，实现内容加速功能。

5.3.4网页防篡改模块

通过网页防篡改技术，对网站加以防护，同时借助防篡改引擎，实现对篡改

行为的监测。

网页通常有静态文件和动态文件组成，对于动态文件的保护通过在站点嵌入

Web防攻击模块，通过设定关键字、IP、时间过滤规则，对扫描、非法访问请求

等操作进行拦截：静态文件保护在站点内部通过防篡改模块进行静态页而锁定和

静态文件监控，发现有对网页进行修改，删除等非法操作时，进行保护并告警。

5.4安全大数据态势感知子系统

系统采用分布式爬虫技术、大数据存储分析技术与网格技术等，实现对信息

系统的安全态势感知通报。各安全设备将审计到的各种异常攻击行为日志同步到

安全态势感知系统中，对攻击行为进行及时播报，实现全市范围的攻击预警。安

全态势感知预警架构如图所示

可视化展示中心

运维管理

大数据存储中心大数据分析中心吊心

大数据监测引擎日志分析接口

糕

大数据安全态势感知架构

针对经过数据采集、数据处理后所得到的安全事件，可视化分析展示模块利

用分析报表、图表等多维展示技术，提供各种便捷的方式展示台州市整体网络安

全态势情况。展示平台示意如图所示。

安全问题

展示平台示意

区域态势感知子系统通过对安全监测数据与安全防御数据的汇集、去噪、存

储、映射等处理，将其中的安全要素进行提取一态势评估一影响评估一可视化展

现的过程，形成有效的区域安全感知，形成区域的重要站点流量分析、整体站点

安全风险与威胁分析，以及依据多指标的建模分析形成可视化的态势感知。

监管用户

态势可视化

数据

分析

处

与

过

理

优

程

上

共♦

LevelO数据预处理

5.4.1重要站点流量解析与威胁提取预警

通过对重要站点的防护数据的分析，自动识别分析应用层关键协议，快速

提取其中的恶意行为，包含WEB漏洞利用、病毒木马传播、ODAY攻击等各种已

知和未知威胁，实现而各种类型的城胁进行预警。具体包含：

•WEB威胁检测

通过对Web流量和应用进行识别，实现如跨站点脚本攻击、缓冲区溢出攻

击、恶意浏览、SQL注入、代码注入等攻击提取。

•Oday攻击检测

采用shcllcodc静态行为分析和沙箱动态行为分析的检测机制，弥补特征

检测的不足，并输出完整的二进制分析报告，全过程解析文件在运行过程中存在

的各种隐藏行为。

通过检测目标文件中的shellcode以及脚本类文件中的攻击特征，并结合

动态分析技术可以有效检测Oday攻击行为。

•异常行为分析

通过对恶意流量的分析，解析这些恶意流量特征，检测其中的攻击行为。

基于多个维度检测，如:

/基于时间的检测

/基于ip的检测

/基于端口的检测

/基于协议的检测

/基于木马回连行为的分析

5.4.2面向海•复杂数据的威胁情报感知

通过对检测站点监测数据与重要站点的防护数据进行情报分析与关联，如攻

击过程的实时发现与攻击过程记录，被攻击系统的风险评估，并能够通过定位技

术、报文记录、社工库联动等方式将被攻击的过程进行重现,结合云端数据共享，

由云平台提供全国的安全态势数据，分析提取的预警数据，实时同步至网络安全

分析中心，可进行安全事件的预警，扩大预警数据来源，增强该区域的安全预警

能力。

>能够分析区域安全报告，对整体网站的安全态势分析；

>能够按安全事件进行分析，分析当前辖区内存在的各类安全事件比例;

>能够按时间进行趋势分析，了解辖区安全状况动态。

>能够依据云端威胁数据与本地分光数据,综合对攻击行为进行有效分析

并对攻击访问行为进行溯源。

5.4.3可快速定位与处置的实时告警展现

对最新检测出现的各类高危需要处置的安全问题、安全攻击、安全事件进行

实时展现，展现方式需要能够进行快速定位：

•安全攻击的来源、目的、攻击方式，采用攻击地图方式展现。对来源

TP、所在区域、威胁情报库中匹配该TP的归属人或黑客画像进行展现，

可以实现快速定位该IP;对目标IP所在区域、所属单位、监管单位进

行展现，可协助进行快速联系目标单位进行应急响应；

•采用滚动播放方式，将近期尚未处置的告警进行展现，能够有效提示协

助监控指挥人员继续快速处置；

•实现告警数据钻取到详细线索的展现，可视化大屏不仅仅是用于展现,

更要能够有效协助指挥应急工作，因此对重要事件需要点击一一钻双-

一展现攻击详情，一般是对事件的日志、线索如采用的攻击攻击、攻击

来源的历史问题等数据进行展现。

.匕蛾湛量叫3兆ab)l出值量aos宪otb)T«H*/S千次攻击*次

或原It我南方式

*务■口忍，方

5.5安全服务

安全态势感知远程服务模式，提供7*24小时的网站监控服务，并根据用户

要求提供运行情况报告。

向用户提供安全态势感知系统帐号，用户即可随时查看重要站点的访问流量

报表、安全防护报表等，包含攻击次数态势分析、攻击者区域态势分析、攻击者

IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统

计等内容。

5.5.1事件发生与处置服务

提供问题验证、事件调查、问题和事件通报、事件处置的全流程服务。

1.网络安全问题验证服务

针对网络安全问题与事件发现服务所报送的网络安全问题，配备专业风险评

估与渗透测试技术人员，对安全漏洞真实性进行人工验证，判断与评估安全问题

危害与紧急程度，避免误报。

2.网络安全事件调查服务

针对网络安全问题与事件发现服务所报送的网络安全事件，配备专业网络安

全情报分析人员，对安全事件进行人工调查，判断与评估安全事件危害与紧急程

度，为安全事件处置提供依据，同时也为网络安全重点事件专题分析提供分析素

材。

3.网络安全问题与事件通报服务

依据网络安全问题与事件监测服务的情况发现，与网络安全问题、事件的验

证与调查服务结果，结合网络安全态势感知通报体系内部工作流程，根据信息系

统基础数据库中的分类分级信息，提供可自定义的自动化通报服务，使用邮件、

密信等方式确保安全问题与事件简报、报告可发送到相关单位与个人。

4.网络安全问题与事件处置服务

根据网络安全问题与事件通报级别与通报对象，提供灵活的处置服务，对通

报结果进行跟踪并获取反馈。根据不同反馈，采取通报警告、督促整改、上报通

报对象主管机关、协助应急响应等处置方式。

5.5.2Oday威胁快速定向预警服务

安恒信息风暴中心通过对国际国内最新网络安全威胁情报的实时监控，能第

一时间获取最新安全威胁，，确认最新安全威胁尤其是Oday,对所利用的安全漏

洞及影响的系统类型进行提取，根据信息系统基硒数据服务中所建立的信息系统

资产数据库与指纹库进行精确比对，对最新网络安全威胁可能对网络安全态势造

成的影响进行预判，根据其影响范围、危害确定警报等级，可以形成影响系统清

单，进行定向预警，形成主动安全整改、加固防御机制，预防Oday被利用事件

的发生。

目前风暴中心已经输出过大量的Oday影响预警，如拓尔思系统任意文件上

传、openssl证书绕过漏洞、HS7远程命令执行、java反序列化、StrutsS2-029

等重大影响的Oday预警。

5.5.3各类安全专题深入检测通报服务

近年来，国外网络作战部队、敌对势力、黑客组织与网络犯罪集团都将我国

视为展开网络攻击的主要战场，“匿名者”组织、“反共黑客”组织、网络赌博

黑色产业链集团等，都曾经与正在对我国网络空间进行持续性的网络攻击。

对上述有组织的规模性网络攻击事件，需对其攻击手段、技术水准、行为模

式、组织背景和活动情报等，进行同样具备针对性的专题调查、分析与研究工作，

这对于防御规模性网络攻击行动、打击网络犯罪行为、治理网络空间环境具有重

要意义。

安恒信息结合自身遍布全国的大数据采集引擎与后台先进的网络安全情报

分析系统，组织具有丰富经验的网络安全情报分析人员，可以提供网络安全重点

事件的专题分析服务。目前已经对政府站点暗链专题、反共黑客专题、域名劫持

专题、匿名者专题、某行业站点部署WAF情况等安全问题进行过深入的专题性分

析。

5.5.4提供可获取服务的终端系统

为了能保障用户更高效得获取服务数据，并通过服务成果进行安全监管，本

次服务提供专业的用户服务系统，以协助用户掌握最实时的安全态势，高效执行

安全监管职能：

>网络资产库：同步来自云端的对应管辖范围的资产数据，并可对资立进

行维护；

>安全态势可视化：可从云端获取最新的安全态势可视化展现内容，以及

云端将推送最新安全动态资讯；

>专业的服务报表：云端安全专家讲定期提供安全报表，从多维度分析整

体安全态势，以及各类专题分析报表；用户也可按需搜索海量站点，查

看具体站点安全报告；

>通报监管：云端审核后的各类安全事件将同步给用户端，系统监管用户

可对各类事件确认是否下发给对应的网站管理单位，并且可查看事件处

理的最新进展；

>服务内容监控：可实时查看安全服务的进度与结果，掌握当前开启的各

项服务运行情况。

5.5.5安全保障与应急响应服务

安恒信息对用户爆发的网络安全事件，依据安全事件通报与处置流程和用户

实际需求，提供安全应急响应支持服务，包括7*24远程应急和最长48小时内赶

赴现场支持服务。

6创新特色与应用价值

6.1所有应用可用性及时掌握

通过云安全运营平台的大数据分析系统和可视化展示，展示XXX住建局所有

的网站应用概况。通过此视图可以了解整个信息系统到底有多少网站应用存活,

也可以了解有多少网站的出现访问异常。安全运营人员可以针对网站出现访问异

常情况进行跟踪和服务，提供增值服务。

网站总数eSH,03H

其中存活网站150・33"占比99%

6.2所有应用安全状况了如指掌

通过此视图可以了解所有的网站安全状态，主要包括儿个方面:

1）总共有多少网站存在安全漏洞、安全事件；

2）整个云平台的安全漏洞类型、高危端口分布情况；

3）最新的安全事件取证分析情况；

4）Oday漏洞的分布情况；

6.3整个安全防御动态展示

此图主要是帮助信息中心了解自身安全防御能力状态，比如XXX住建局建立

了10G的web应用防护清洗能力，通过此图就可以了解到目前有多少网站启用了

web防护，整个信息系统受到了哪些类型、地方、IP的攻击排行，方便信息中心

及时采取有效措施。

石瓶・行皿五防相mini

攻击蜘分布

9,923

959,051336

攻击源区域推行

6.4高危漏洞影响快速评估

信息安全是一个变化非常快的领域，每天都会有非常多的新型漏洞爆发，此

视图可以帮助信息中心快速完成Oday漏洞的分布情况，通过大数据的分析系统

基本可以实现：

1）30分钟完成Oday漏洞的影响范围评估；

2）30分钟内提供具体的漏洞影响单位、域名信息；

3）3秒钟内完成用户端的告警信息分享；

OpenSSL漏洞态势分析

M**rssaMMa*Mdi*Mar■■MaaMPHamMBMMMtmmn..an

6.5形成『云十端』的一体化安全方案

本平台基于云+端的联动防御结构进行设计，在云上形成DDOS等大流量防御

能力和7*24小时的远程监测能力。在本地则需要形成WAF、下一代防火墙、DDOS、

堡垒机等本地防御能力，实现对进入XXX住建局的流量进行清晰。下面根据数据

的流转方向来介绍处理流程：

1）攻击流：从用户发起流量就会经过公有云防御中心进行DDOS的流量检查，

检查完毕后流量才会抵达XXX住建局网络入口，并会经过本地云防御中心再

次进行DDOS清洗、WAF清洗、防火墙清洗，然后才会进入到内网。内网还

可以部署下一代防火墙、网页防篡改等，实现更加精细化的控制。

2）监测流：监测主要从两个方面发起，一个是通过在公有云防御中心部署的扫

描引擎，对互联网应用（web）进行7*24的监测，及时发现网站的漏洞、访

问状态等。而部署在本地云防御中心的数据库、系统漏洞扫描引擎，则可以

及时发现系统和数据库层的漏洞情况。

3）日志流：通过syslog、部署在网内的日志采集引擎，将相关安全设备日志、

系统日志、应用日志等进行统一收集，送入到大数据分析系统，进行标准化

处理、大数据关联分析后进行可视化展示。让日志完整保存，做到任何事件

有据可依。

第一次清涉

第二*清洗

云WAF

用户访问流:

DDOS高防

本收DOS

NGFW/IPS

NGFW/1PS

日志波

图用

安全性监测可用性监测事件监泅

6.6应用防护效果一目了然

通过安全运营平台的网站防御监测视图，可以对已经开通了web防护的网站

应用状态进行了解。通过该图可以了解最新的攻击动态，包括攻击国家排行、攻

击IP排行、攻击的URL排行等，也可以实时展现出网站的攻击流量比例。还可

以一目了然的知道网站在全国各省的访问状态。

6.7运行状态清晰可控

通过提炼形成应用防护结构图，展示相关应用设备的运行状态，告警信息等。

7资金投入计划

分类产品功能简介配置要求

提供基础云平台操作系

统，负责安全计算、存储

安全云操作系统一套

资源虚拟化，提供云计算

能力

提供安全资源的负载均支持2G的负载均

云负载均衡SLB

衡、调度能力衡

基础安全玄平

提供安全防御、监测产品8核、32G、2T的

台云计算资源

的计算资源载体X86服务器10台

提供大数据、安全设备的

云存储资源50T磁盘整列一套

存储资源载体

支持SDN的网络交

云交换机提供安全防御引流能力换机一台，24千兆

口

提供安全运营平台的用安全运营平台软件

安全运营平台安全运营平台

户权限管理、API接入管