行業(yè)背景

關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系國計(jì)民生與社會(huì)穩(wěn)定，對(duì)其進(jìn)行入侵攻擊容易造成巨大危害，產(chǎn)生顯著影響。電網(wǎng)作為一種典型的工業(yè)控制系統(tǒng)，也是國家關(guān)鍵信息基礎(chǔ)設(shè)施，一旦遭受攻擊將可能造成電力安全生產(chǎn)事故，甚至引發(fā)大面積停電，后果非常嚴(yán)重。近年來爆發(fā)的伊朗“震網(wǎng)”事件、烏克蘭大規(guī)模停電事件及今年爆發(fā)的比特幣勒索病毒事件表明，能源、電力行業(yè)已成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。

近年來，隨著電力工業(yè)控制系統(tǒng)采取分區(qū)分域和縱深防御策略，通過實(shí)施內(nèi)外網(wǎng)安全隔離、電網(wǎng)生產(chǎn)大區(qū)與管理信息大區(qū)安全隔離等關(guān)鍵安全防護(hù)工程，系統(tǒng)安全防護(hù)體系逐漸得到完善。但是，隨著工業(yè)控制系統(tǒng)和設(shè)備中新的漏洞、后門等脆弱性信息的發(fā)現(xiàn)和披露，電網(wǎng)工業(yè)控制系統(tǒng)面臨更加隱蔽的、更加曲折的惡意攻擊風(fēng)險(xiǎn)（例如APT）。

從總體上看，電力行業(yè)工業(yè)控制硬件安全問題長期得不到解決。過去幾十年我國建立的大量電力基礎(chǔ)設(shè)施、發(fā)電配電領(lǐng)域，基本是依靠使用國外裝備和控制系統(tǒng)建立起來的。國外廠商設(shè)備普遍存在未知的漏洞以及可能存在的后門，一些領(lǐng)域的安全漏洞已經(jīng)隱藏?cái)?shù)年，成為國家安全的重大隱患。

從實(shí)際情況看，一是電力行業(yè)工業(yè)控制系統(tǒng)運(yùn)行環(huán)境存在大量漏洞和隱患。二是電力行業(yè)工業(yè)控制網(wǎng)絡(luò)安全標(biāo)準(zhǔn)不夠完善。由于缺乏相關(guān)標(biāo)準(zhǔn)，不能適應(yīng)基礎(chǔ)設(shè)施建設(shè)和運(yùn)營企業(yè)的安全需求，也嚴(yán)重阻礙了電力產(chǎn)業(yè)的技術(shù)創(chuàng)新和發(fā)展。

建設(shè)依據(jù)

        《中華人民共和國網(wǎng)絡(luò)安全法》

        GBT22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

        GB∕T 36047-2018 《電力信息系統(tǒng)安全檢查規(guī)范》

        《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)不能適應(yīng)新的要求

針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施（例如電網(wǎng)）尤其是針對(duì)工業(yè)控制系統(tǒng)（SCADA）的攻擊越來越引人關(guān)注，由于關(guān)鍵信息基礎(chǔ)設(shè)施通常具備較高的防護(hù)水平，因此攻擊者往往采用APT攻擊的方式來達(dá)到目的，APT攻擊具備以下特點(diǎn)：

1)   高級(jí)：威脅背后的操縱者有能力進(jìn)行全方位的情報(bào)收集。不僅包括通過計(jì)算機(jī)入侵獲取信息，而且還可以擴(kuò)展到傳統(tǒng)的情報(bào)收集，如電話攔截技術(shù)和衛(wèi)星成像技術(shù)。雖然攻擊的個(gè)別手段可能無法被歸類為特別“先進(jìn)”，但操縱者通?？梢愿鶕?jù)需要開發(fā)更為先進(jìn)的工具。他們經(jīng)常結(jié)合多種方法、工具和技術(shù)，以保持接觸和嘗試并最終攻陷目標(biāo)。

2)   持久：操縱者會(huì)執(zhí)著的進(jìn)行特定任務(wù)，而不是隨機(jī)的搜索目標(biāo)。這種區(qū)別意味著，操縱者會(huì)受到外部實(shí)體的指揮，通過持續(xù)檢測和接觸，以實(shí)現(xiàn)針對(duì)目標(biāo)的任務(wù)。如果操縱者暫時(shí)無法取得進(jìn)展，他們通常會(huì)不斷的重新嘗試，并最終取得成功，操縱者的目標(biāo)之一是保持長期訪問目標(biāo)，而不是取得一次性的攻擊機(jī)會(huì)。

3)   威脅：APT是一種威脅，因?yàn)樗瑫r(shí)具備了能力和意圖。APT攻擊的關(guān)鍵在于協(xié)調(diào)人的行動(dòng)，而不是盲目的執(zhí)行自動(dòng)化攻擊。操縱者有明確的目標(biāo)和動(dòng)機(jī)，具備足夠的技能、組織力和資金。

APT攻擊使網(wǎng)絡(luò)安全和現(xiàn)實(shí)環(huán)境中的安全一樣引起了大型企業(yè)和政府組織的高度關(guān)注，因此建立一個(gè)基于網(wǎng)絡(luò)安全攻擊事件的態(tài)勢感知平臺(tái)迫在眉睫。

信息安全設(shè)備運(yùn)維的要求

隨著信息安全設(shè)備的不斷增加，防火墻、入侵檢測系統(tǒng)（IPS）、入侵掃描系統(tǒng)（IDS）、流量監(jiān)控等安全設(shè)備的廣泛使用， 網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜；而且網(wǎng)絡(luò)用戶成份越來越多樣化，引發(fā)的各種病毒和網(wǎng)絡(luò)安全事件會(huì)越來越多。當(dāng)前的網(wǎng)絡(luò)管理已經(jīng)不能滿足需要，因?yàn)樵谕ǔＧ闆r下，每增加一款設(shè)備或應(yīng)用，就需要一種新的工具來管理它，這樣，網(wǎng)管人員需要管理和查看的設(shè)備、管理軟件越來越多，但他們之中的每個(gè)又只能解決或查找其相關(guān)設(shè)備應(yīng)用的問題，而不能夠?qū)W(wǎng)絡(luò)的整體進(jìn)行評(píng)估和管理，這樣一方面造成網(wǎng)絡(luò)管理成本居高不下，另一方面由于網(wǎng)絡(luò)管理人員不能全面獲取網(wǎng)絡(luò)有效信息，在網(wǎng)絡(luò)管理中只能充當(dāng)“救火員”的角色。目前網(wǎng)內(nèi)存在以下問題：

1)   如何防范網(wǎng)絡(luò)故障和提高故障解決效率。

隨著網(wǎng)絡(luò)的復(fù)雜化與多元化，網(wǎng)絡(luò)應(yīng)用的不斷加載，網(wǎng)絡(luò)故障、間歇性網(wǎng)絡(luò)問題發(fā)生的頻率也隨之逐級(jí)增高，如何對(duì)網(wǎng)絡(luò)故障快速定位，找到故障發(fā)生的真正原因，是保障電力信息網(wǎng)持續(xù)可靠運(yùn)行的關(guān)鍵。

2)   如何實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、應(yīng)用問題的責(zé)任劃分。

電力信息網(wǎng)中運(yùn)行著大量的服務(wù)和設(shè)備，一旦網(wǎng)絡(luò)出現(xiàn)問題，需快速區(qū)分是網(wǎng)絡(luò)問題還是應(yīng)用問題，而當(dāng)前對(duì)網(wǎng)絡(luò)和應(yīng)用問題的分析手段相對(duì)缺乏，問題解決效率遲緩。

3)   如何及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為及新型病毒、木馬和攻擊，避免網(wǎng)絡(luò)出現(xiàn)重大故障甚至癱瘓。

當(dāng)遭受新型病毒、木馬和攻擊時(shí)，殺毒軟件、IPS等被動(dòng)防御設(shè)備往往束手無策，如何快速發(fā)現(xiàn)并確定攻擊類型及攻擊源頭是保證電力信息網(wǎng)安全運(yùn)行的關(guān)鍵。

4)   如何了解、分析業(yè)務(wù)系統(tǒng)的各種性能參數(shù)，協(xié)調(diào)網(wǎng)絡(luò)資源的分配，保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

電力信息網(wǎng)中運(yùn)行著大量的系統(tǒng)流程化管理業(yè)務(wù)如ERP、EAM、SCM，視頻業(yè)務(wù)和語音業(yè)務(wù)等，要保障這些業(yè)務(wù)的高效運(yùn)行，就需要對(duì)各種業(yè)務(wù)系統(tǒng)進(jìn)行性能分析，如延遲、數(shù)據(jù)包分布、流量、利用率等，需要了解各條鏈路是否超支？在使用什么業(yè)務(wù)？是哪個(gè)用戶在用？各種業(yè)務(wù)的流量特征是否與最初設(shè)計(jì)的策略一致？鏈路改造、設(shè)備升級(jí)是否達(dá)到預(yù)期效果？應(yīng)用部門是否又上了新業(yè)務(wù)？新業(yè)務(wù)上線對(duì)網(wǎng)絡(luò)和原有應(yīng)用造成什么影響？并根據(jù)不同的網(wǎng)絡(luò)狀況協(xié)調(diào)網(wǎng)絡(luò)資源的分配。

5)   如何對(duì)網(wǎng)絡(luò)安全事件進(jìn)行鑒定與取證。

如何對(duì)已經(jīng)發(fā)生的故障或安全事件進(jìn)行分析發(fā)現(xiàn)，并提供有效的證據(jù)，完善故障和安全處理機(jī)制。特別是網(wǎng)絡(luò)或應(yīng)用出現(xiàn)間歇性故障后，很難分析其產(chǎn)生的原因，而再次出現(xiàn)的時(shí)間無法確定，因此難以解決，這好像網(wǎng)絡(luò)中存在一個(gè)不定時(shí)炸彈，使網(wǎng)絡(luò)和應(yīng)用時(shí)刻處于危險(xiǎn)之中。

建設(shè)目標(biāo)

為應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)，彌補(bǔ)傳統(tǒng)防御手段的不足，需要構(gòu)建一套主被動(dòng)一體的防御體系，來應(yīng)對(duì)已知威脅和未知威脅的攻擊；另一方面，利用大數(shù)據(jù)、AI、UEBA等技術(shù)對(duì)安全設(shè)備產(chǎn)生日志的關(guān)聯(lián)分析、深度分析更好地發(fā)現(xiàn)潛伏威脅，從而避免各個(gè)安全設(shè)備之間相互孤立的防御局面;另外，在某些特殊情況下，網(wǎng)絡(luò)一旦發(fā)生安全事件，排查分析日志，人工關(guān)聯(lián)分析，耗費(fèi)大量精力，通過部署安全感知設(shè)備，將會(huì)大幅減少人力排查時(shí)間，而且排查更加全面、更加精確。

《網(wǎng)絡(luò)安全法》和等保2.0，均已明確提出了要加強(qiáng)內(nèi)網(wǎng)未知威脅的檢測和通報(bào)預(yù)警工作，因此，日益迫切的信息系統(tǒng)安全、等級(jí)保護(hù)要求我司不斷完善和升級(jí)網(wǎng)絡(luò)整體安全性能。

建設(shè)原則

標(biāo)準(zhǔn)性原則：技術(shù)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；

規(guī)范性原則：服務(wù)提供商的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；

可控性原則：項(xiàng)目進(jìn)度要與時(shí)間計(jì)劃表的安排一致，保證甲方對(duì)于項(xiàng)目管理的可控性；

開放性：系統(tǒng)遵循各種IP網(wǎng)絡(luò)國際標(biāo)準(zhǔn)和安全標(biāo)準(zhǔn)，有助于與其他系統(tǒng)的聯(lián)運(yùn)與協(xié)作；

可擴(kuò)展性：系統(tǒng)設(shè)計(jì)時(shí)具備良好的擴(kuò)展性，采用模塊化設(shè)計(jì)，不同模塊可以集中和分布部署，中心處理服務(wù)器根據(jù)規(guī)模可以部署多臺(tái)等不同方式；

互操作性：系統(tǒng)提供與現(xiàn)有系統(tǒng)的接口，包括網(wǎng)管系統(tǒng)、安全系統(tǒng)、流量監(jiān)控系統(tǒng)，推進(jìn)和實(shí)現(xiàn)“集中管理、集中監(jiān)控、集中派單、集中配置、集中支援”；

安全性：系統(tǒng)涉及整個(gè)IP網(wǎng)絡(luò)的敏感信息，設(shè)計(jì)時(shí)充分考慮了管理數(shù)據(jù)的保密性、可用性、完整性的要求，對(duì)項(xiàng)目過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害甲方網(wǎng)絡(luò)的行為，否則甲方有權(quán)追究乙方的責(zé)任；

經(jīng)濟(jì)性：在設(shè)計(jì)方案時(shí)，要充分了解甲方現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備狀況，再充分考慮利用現(xiàn)有網(wǎng)絡(luò)和硬件設(shè)施的情況之下，考慮購置新設(shè)備；

重點(diǎn)部署、分布實(shí)施：安全系統(tǒng)工程是融合設(shè)備、技術(shù)、管理于一體的系統(tǒng)工程，需要全面考慮；同時(shí)，盡量考慮到涉及網(wǎng)絡(luò)安全的重點(diǎn)因素，充分考慮可擴(kuò)展性和可持續(xù)性，從解決眼前問題、夯實(shí)基礎(chǔ)、建設(shè)整個(gè)體系等方面作好安全工作；

盡量減少對(duì)現(xiàn)有網(wǎng)絡(luò)應(yīng)用的影響：部署時(shí)要盡量減少對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)的影響。同時(shí)也要充分考慮安全產(chǎn)品和現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)應(yīng)用的兼容性，保護(hù)網(wǎng)絡(luò)建設(shè)的投資。

建設(shè)方案

態(tài)勢感知對(duì)信息系統(tǒng)中各類主機(jī)、數(shù)據(jù)庫、應(yīng)用和設(shè)備的安全事件、用戶行為、系統(tǒng)狀態(tài)的實(shí)時(shí)采集、實(shí)時(shí)分析、異常報(bào)警、集中存儲(chǔ)和事后分析，采用分布式、跨平臺(tái)的統(tǒng)一智能化管理模式，對(duì)各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、WEB服務(wù)、中間件、數(shù)據(jù)庫和其它應(yīng)用進(jìn)行全面的安全管控。主要基于“看清業(yè)務(wù)邏輯、看見潛在威脅、看懂安全風(fēng)險(xiǎn)、輔助分析決策”的思路進(jìn)行設(shè)計(jì)實(shí)現(xiàn)的，態(tài)勢感知系統(tǒng)整體邏輯架構(gòu)如下：

業(yè)務(wù)邏輯

信息安全的核心目標(biāo)是解決核心業(yè)務(wù)的安全、穩(wěn)定運(yùn)行，如果安全檢測系統(tǒng)不了解信息系統(tǒng)的資產(chǎn)有哪些、業(yè)務(wù)邏輯關(guān)系如何，而是無論在哪一個(gè)網(wǎng)絡(luò)中都復(fù)用同一套安全判斷準(zhǔn)則，那么它提供的檢測能力顯然是脫離實(shí)際的。所以態(tài)勢感知系統(tǒng)解決的首要就是看清業(yè)務(wù)邏輯；對(duì)業(yè)務(wù)系統(tǒng)核心資產(chǎn)進(jìn)行識(shí)別，梳理用戶與資產(chǎn)的訪問關(guān)系，對(duì)業(yè)務(wù)資產(chǎn)存在的脆弱性進(jìn)行持續(xù)檢測，及時(shí)發(fā)現(xiàn)業(yè)務(wù)上線以及更新產(chǎn)生的漏洞及安全隱患，通過業(yè)務(wù)識(shí)別引擎主動(dòng)識(shí)別新增業(yè)務(wù)資產(chǎn)以及業(yè)務(wù)訪問關(guān)系。

潛在威脅

信息安全是一個(gè)涉及多個(gè)領(lǐng)域的復(fù)雜問題，攻擊者可能包括外部黑客、心懷不滿的員工、以及內(nèi)外勾結(jié)等各種情況，攻擊途徑更是包括了暴力攻擊、社會(huì)工程學(xué)、惡意代碼、APT、漏洞利用等等數(shù)百種不同手段。防御者需要全面監(jiān)控，但攻擊者只需要一點(diǎn)突破即可，如果沒有系統(tǒng)的檢測能力，即使別人告訴你被黑客攻擊了，都找不出黑客是怎么攻擊的。態(tài)勢感知系統(tǒng)需要提供全面的威脅檢測和分析能力。

對(duì)繞過邊界防御的進(jìn)入內(nèi)網(wǎng)的攻擊進(jìn)行檢測，彌補(bǔ)傳統(tǒng)靜態(tài)防御不足；對(duì)內(nèi)部重要業(yè)務(wù)資產(chǎn)已發(fā)生的安全事件進(jìn)行持續(xù)檢測，第一時(shí)間發(fā)現(xiàn)已發(fā)生的安全事件；對(duì)內(nèi)部用戶、業(yè)務(wù)資產(chǎn)的異常行為進(jìn)行持續(xù)的檢測，發(fā)現(xiàn)潛在風(fēng)險(xiǎn)以降低可能的損失。

海量威脅情報(bào)關(guān)聯(lián)，通過國內(nèi)外權(quán)威情報(bào)庫和云端安全分析平臺(tái)強(qiáng)化新型威脅檢測能力。

安全風(fēng)險(xiǎn)

信息安全系統(tǒng)除了需要能夠及時(shí)發(fā)現(xiàn)問題外，還需要保障系統(tǒng)的易用性，確保網(wǎng)管人員能夠方便快速的發(fā)現(xiàn)安全問題、了解影響范圍、定位問題源頭，提供響應(yīng)的展示告警和分析舉證服務(wù)。態(tài)勢感知系統(tǒng)應(yīng)提供安全事件分析告警和舉證分析服務(wù)，提供基于系統(tǒng)業(yè)務(wù)邏輯的業(yè)務(wù)訪問視圖，安不安全、哪里不安全一目了然；失陷業(yè)務(wù)、風(fēng)險(xiǎn)用戶和有效攻擊等不同維度分析和展示安全風(fēng)險(xiǎn)，方便管理人員定位安全問題。

提供告警頁面訪問邏輯展示、主機(jī)威脅活動(dòng)鏈分析、安全日志舉證和查詢服務(wù)，可以快速定位問題影響和源頭，并進(jìn)行響應(yīng)的分析。

輔助分析決策

除了專業(yè)的威脅檢測和風(fēng)險(xiǎn)分析效果，態(tài)勢感知系統(tǒng)還應(yīng)提供可視化的形式為用戶呈現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)及針對(duì)關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅，并提供全網(wǎng)攻擊監(jiān)測、分支機(jī)構(gòu)監(jiān)管、風(fēng)險(xiǎn)外聯(lián)監(jiān)測等多個(gè)不同視角的大屏展示，提供對(duì)失陷業(yè)務(wù)和主機(jī)的報(bào)告導(dǎo)出和分析服務(wù)，為信息安全主管提供駕駛艙式的輔助決策服務(wù)。

預(yù)期效果

對(duì)象失陷風(fēng)險(xiǎn)感知

對(duì)象失陷的含義是相關(guān)主機(jī)、賬號(hào)、網(wǎng)站等對(duì)象由于某些原因，如遭受魚叉攻擊或水坑攻擊而被植入各類木馬、勒索軟件以及蠕蟲等惡意程序，從而產(chǎn)生相應(yīng)的異常行為，導(dǎo)致重要數(shù)據(jù)被泄漏、重要文件被加密等；嚴(yán)重還會(huì)在內(nèi)網(wǎng)（包括工作網(wǎng)絡(luò)或生產(chǎn)網(wǎng)絡(luò)等）肆意傳播（橫向傳播）最終造成企業(yè)相關(guān)重要信息資產(chǎn)（不僅指有形資產(chǎn)還包括無形資產(chǎn)）的損失。

一般而言對(duì)象的失陷會(huì)包含探測、植入、回傳、橫向傳播、收集數(shù)據(jù)以及數(shù)據(jù)外穿等若干階段，如果在其中任意一環(huán)發(fā)現(xiàn)問題，則能夠防止損失，估象失陷風(fēng)險(xiǎn)的感知是聚銘安全態(tài)勢感知與管控平臺(tái)的核心內(nèi)容，如下圖所示：

外部攻擊威脅感知

外部威脅是指有外網(wǎng)主機(jī)或系統(tǒng)對(duì)內(nèi)網(wǎng)的主機(jī)或系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊或可能的非法連接及探測。

網(wǎng)絡(luò)攻擊一般是指攻擊者利用受害者主機(jī)或系統(tǒng)存在的一些缺陷/漏洞或者配置上的不足或者網(wǎng)絡(luò)拓?fù)浯嬖诘膯栴}，使用專用工具或手段對(duì)其進(jìn)行探測、嘗試、滲透，試圖最終獲得目標(biāo)主機(jī)或系統(tǒng)的控制權(quán)，或者使受害者無法正常運(yùn)行。

另外，可能的非法連接是指利用受害者主機(jī)或系統(tǒng)在某種情況下出現(xiàn)了不應(yīng)暴露的端口，從而被非法入侵者所利用，如錯(cuò)誤地將一些遠(yuǎn)程登錄服務(wù)、數(shù)據(jù)庫服務(wù)等暴露在公網(wǎng)環(huán)境。

聚銘安全態(tài)勢感知與管控平臺(tái)充分探知上述這些威脅，從而達(dá)到實(shí)時(shí)監(jiān)控、實(shí)時(shí)處理的目的。

外連攻擊威脅感知

外連威脅是指內(nèi)網(wǎng)主機(jī)或系統(tǒng)對(duì)外網(wǎng)相關(guān)主機(jī)或系統(tǒng)發(fā)起的攻擊或可疑連接，若存在此類威脅則說明內(nèi)網(wǎng)主機(jī)可能存在失陷危險(xiǎn)。

內(nèi)網(wǎng)主機(jī)或系統(tǒng)的失陷原因可能存在多種可能，如因?yàn)閺哪承┚W(wǎng)站或服務(wù)器下載、安裝了有害的程序或木馬，或者被郵件釣魚（如魚叉攻擊）誘使打開了危險(xiǎn)郵件，或者插入移動(dòng)介質(zhì)而被感染了有害程序或木馬，或者被內(nèi)網(wǎng)其它主機(jī)所滲透而植入了有害程序；用戶應(yīng)特別重視此類危險(xiǎn)；但也不排除內(nèi)網(wǎng)有主機(jī)或系統(tǒng)主動(dòng)發(fā)起了對(duì)外網(wǎng)的攻擊。

從信息安全的角度而言，如果網(wǎng)絡(luò)中出現(xiàn)外連攻擊威脅，則其風(fēng)險(xiǎn)其實(shí)要較外部的攻擊威脅更大，從而更應(yīng)引起相關(guān)安全人員的注意。

內(nèi)部互連攻擊威脅感知

內(nèi)部互連威脅是指有內(nèi)網(wǎng)主機(jī)或系統(tǒng)對(duì)其它內(nèi)網(wǎng)的主機(jī)或系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊或可能的非法連接及探測。

內(nèi)部互連攻擊一般是指內(nèi)網(wǎng)失陷主機(jī)對(duì)其它內(nèi)網(wǎng)主機(jī)進(jìn)行探測、嘗試、滲透，試圖最終獲得目標(biāo)主機(jī)或系統(tǒng)的控制權(quán)，從而在內(nèi)網(wǎng)橫向擴(kuò)散、收集數(shù)據(jù)、破壞系統(tǒng)。

其中，有一類為可能的非法連接是指利用受害者主機(jī)或系統(tǒng)在某種情況下出現(xiàn)了不應(yīng)暴露的端口，從而被非法入侵者所利用，如錯(cuò)誤地開放一些不應(yīng)打開的端口。

脆弱性感知

  脆弱性是一般是在部署時(shí)或運(yùn)行時(shí)就自然存在于系統(tǒng)中的；系統(tǒng)運(yùn)行的操作系統(tǒng)、應(yīng)用軟件均可能存在較為嚴(yán)重的脆弱性，另外錯(cuò)誤或不當(dāng)?shù)呐渲靡矔?huì)造成系統(tǒng)存在脆弱性；對(duì)于高危的脆弱性，如“永恒之藍(lán)”等應(yīng)給予做夠的重視。

聚銘安全態(tài)勢感知與管控平臺(tái)能夠充分利用平臺(tái)集成的相關(guān)工具對(duì)這些脆弱性進(jìn)行主動(dòng)的發(fā)現(xiàn)和提示，以防止用戶由于不恰當(dāng)?shù)呐渲没蛘呶茨芗皶r(shí)修補(bǔ)漏洞而造成的風(fēng)險(xiǎn)，從而導(dǎo)致出現(xiàn)口令被破解、漏洞（特別是網(wǎng)站資產(chǎn)）被利用等安全事件的發(fā)生。

故脆弱性的感知也是“主動(dòng)安全”的重要一環(huán)，可以做到防患于未然。

云端綜合安全感知

        云端綜合安全感知可以實(shí)時(shí)采集監(jiān)控指標(biāo)，提供及時(shí)有效的安全告警、響應(yīng)，通過云端預(yù)警功能，根據(jù)不同行業(yè)和資產(chǎn)的系統(tǒng)類型，對(duì)可能存在的威脅，云端下發(fā)安全預(yù)警，線下及時(shí)排查和進(jìn)行相關(guān)的安全防護(hù)。

產(chǎn)品特點(diǎn)

大數(shù)據(jù)技術(shù)

集群 + 動(dòng)態(tài)擴(kuò)容

        系統(tǒng)采用大數(shù)據(jù)技術(shù)設(shè)計(jì)，支持集群方式部署，存儲(chǔ)集群高可用，可以無限擴(kuò)展存儲(chǔ)節(jié)點(diǎn)，擴(kuò)展存儲(chǔ)空間，容災(zāi)能力強(qiáng)、具備自動(dòng)發(fā)現(xiàn)集群設(shè)備、無需停機(jī)

采用業(yè)界標(biāo)準(zhǔn)技術(shù)

通過授權(quán)訪問，既保障了數(shù)據(jù)不被廠商綁定，又保障了數(shù)據(jù)的安全性

大數(shù)據(jù)檢索技術(shù)

         采用大數(shù)據(jù)全文檢索技術(shù)，索引分布式存儲(chǔ)，分布式并行查詢，近自然語言，方便使用、快速發(fā)現(xiàn)問題

海量數(shù)據(jù)存儲(chǔ)

不僅可存儲(chǔ)各類日志信息，對(duì)于產(chǎn)生安全問題的原始數(shù)據(jù)包也能存儲(chǔ)并下載

精準(zhǔn)解析

• 利用網(wǎng)絡(luò)流量分析探針，解析各類主流網(wǎng)絡(luò)協(xié)議，如HTTP、DNS、SMTP等，對(duì)相關(guān)元數(shù)據(jù)可進(jìn)行查詢和分析，無需單獨(dú)接入其它設(shè)備日志
• 開放的自有標(biāo)準(zhǔn)化語法解析器，靈活度高、精確度高、快速自定義標(biāo)準(zhǔn)化解析
• 內(nèi)置了大量的標(biāo)準(zhǔn)化腳本，適應(yīng)各類主流設(shè)備和系統(tǒng)的精確解析

精確分析

    關(guān)聯(lián)場景：基于統(tǒng)計(jì)和基于關(guān)聯(lián)

           1、基于統(tǒng)計(jì)包含：平均統(tǒng)計(jì)、方差統(tǒng)計(jì)，支持按天、按周統(tǒng)計(jì)

            2、基于關(guān)聯(lián)包含：狀態(tài)關(guān)聯(lián)、時(shí)序關(guān)聯(lián)、歸并關(guān)聯(lián)、篩選關(guān)聯(lián)、端口關(guān)聯(lián)

    多維度關(guān)聯(lián)

           支持事件與基線關(guān)聯(lián)分析、事件與漏洞關(guān)聯(lián)分析、事件與事件關(guān)聯(lián)分析

    智能行為分析

           對(duì)多方向網(wǎng)絡(luò)連接數(shù)據(jù)及其它用戶異常行為自動(dòng)進(jìn)行基線分析，無需配置

豐富展示

    1、豐富的圖形化展示：儀表板、業(yè)務(wù)拓?fù)鋱D
    2、用戶自定義儀表板展現(xiàn)業(yè)務(wù)數(shù)據(jù)
    3、實(shí)時(shí)監(jiān)控：便于發(fā)現(xiàn)異常、隨時(shí)挖掘分析
    4、熱圖分布：追蹤攻擊來源，發(fā)現(xiàn)幕后黑手

完整的動(dòng)態(tài)安全問題發(fā)現(xiàn)和防御體系

      1、系統(tǒng)可選內(nèi)置網(wǎng)絡(luò)流量探針，無需第三方提供網(wǎng)絡(luò)攻擊威脅數(shù)據(jù)接入支持

      2、系統(tǒng)內(nèi)置漏洞掃描、基線檢查等模塊，主動(dòng)檢查，及時(shí)加固

              3、通過日志與漏洞等關(guān)聯(lián)分析被動(dòng)防御，發(fā)現(xiàn)威脅，抵御風(fēng)險(xiǎn)