用戶(hù)需求
隨著電子信息技術(shù)的快速發(fā)展，因特網(wǎng)正日益發(fā)展壯大。世界大多數(shù)國(guó)家和地區(qū)已經(jīng)與因特網(wǎng)接通。中國(guó)改革開(kāi)放和經(jīng)濟(jì)建設(shè)的不斷發(fā)展和需求，各行業(yè)相繼建設(shè)了相當(dāng)規(guī)模的計(jì)算機(jī)網(wǎng)絡(luò)。伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展計(jì)算機(jī)犯罪活動(dòng)在中國(guó)也初露端倪。具有高技術(shù)含量的這種犯罪與以往的常見(jiàn)刑事犯罪有著一些不同之處，被稱(chēng)之為“21世紀(jì)的犯罪”，某市公安局網(wǎng)安大隊(duì)為了維護(hù)網(wǎng)絡(luò)安定運(yùn)營(yíng)、有效的打擊網(wǎng)絡(luò)犯罪，需要一套先進(jìn)的技術(shù)工具平臺(tái)通過(guò)互聯(lián)網(wǎng)、威脅情報(bào)、流量偵測(cè)等手段，幫助他們完成對(duì)不法份子的破壞活動(dòng)的偵測(cè)與發(fā)現(xiàn)。

轄區(qū)內(nèi)大量的各類(lèi)網(wǎng)站安全監(jiān)管是一個(gè)比較大的任務(wù)，純靠人工及單機(jī)的安全檢查工具，一方面耗費(fèi)人力物力，另一方面，也不能及時(shí)的發(fā)現(xiàn)網(wǎng)站的篡改，掛馬等行為，很多時(shí)候，網(wǎng)站的安全事件都是由上級(jí)部門(mén)或者其他安全組織通告后才知曉，非常被動(dòng)，及時(shí)發(fā)現(xiàn)轄區(qū)網(wǎng)站的各類(lèi)安全問(wèn)題，有多少業(yè)務(wù)資產(chǎn)，網(wǎng)站是否備案，網(wǎng)站是否存在敏感內(nèi)容，網(wǎng)站是否被篡改，網(wǎng)站是否存在漏洞也是一個(gè)非常大的需求。

解決方案

態(tài)勢(shì)感知平臺(tái)的搭建大致分為5個(gè)業(yè)務(wù)區(qū)域，分別是：互聯(lián)網(wǎng)監(jiān)測(cè)區(qū)、流量監(jiān)測(cè)分析區(qū)、態(tài)勢(shì)感知可視化展示區(qū)、重點(diǎn)網(wǎng)站監(jiān)測(cè)區(qū)、數(shù)據(jù)通報(bào)中心區(qū)。

1.?互聯(lián)網(wǎng)監(jiān)測(cè)區(qū)

該區(qū)域主要負(fù)責(zé)對(duì)互聯(lián)網(wǎng)上的網(wǎng)站及業(yè)務(wù)系統(tǒng)進(jìn)行遠(yuǎn)程監(jiān)測(cè)，需要使用主動(dòng)探測(cè)引擎，如：網(wǎng)絡(luò)空間探測(cè)引擎、網(wǎng)站安全監(jiān)測(cè)引擎。對(duì)管轄內(nèi)的資產(chǎn)進(jìn)行全面的普查摸底，關(guān)于資產(chǎn)建模遵循相關(guān)主管單位的態(tài)勢(shì)感知要求和標(biāo)準(zhǔn)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施及重要門(mén)戶(hù)網(wǎng)站、信息系統(tǒng)，進(jìn)行探測(cè)摸底檢查和漏洞評(píng)估，準(zhǔn)確的識(shí)別出資產(chǎn)的指紋及漏洞信息，完善資產(chǎn)畫(huà)像；

2.?流量監(jiān)測(cè)分析區(qū)

在運(yùn)營(yíng)商方機(jī)房部署流量監(jiān)測(cè)設(shè)備APT和僵木蠕監(jiān)測(cè)引擎對(duì)轄區(qū)內(nèi)的重保單位業(yè)務(wù)流量進(jìn)行全量檢測(cè)，并且結(jié)合威脅情報(bào)平臺(tái)數(shù)據(jù)把高風(fēng)險(xiǎn)IP地址進(jìn)行重點(diǎn)監(jiān)控智能分析；

3.?態(tài)勢(shì)感知可視化展示區(qū)

集中化的管控平臺(tái)、調(diào)度平臺(tái)以及可視化展示，通過(guò)該區(qū)域?qū)爡^(qū)內(nèi)的資產(chǎn)風(fēng)險(xiǎn)、范圍進(jìn)行全局性的管控，便于管理者對(duì)新安全態(tài)勢(shì)有所掌控，準(zhǔn)確的下達(dá)預(yù)警以及處置指令；

4.?數(shù)據(jù)通報(bào)中心區(qū)

構(gòu)建出一套完整的通告處置體系，借助于平臺(tái)對(duì)發(fā)現(xiàn)的安全事件進(jìn)行處置通告，將發(fā)現(xiàn)的各種安全性隱患和事件問(wèn)題進(jìn)行通告處置下發(fā)，并且通過(guò)專(zhuān)網(wǎng)進(jìn)行數(shù)據(jù)接口對(duì)接，與省級(jí)數(shù)據(jù)通報(bào)中心聯(lián)動(dòng)配合，能夠接收以及上傳相關(guān)的隱患及事件，形成省市縣三層整體的通告處置閉環(huán)體系。

平臺(tái)主要分為主動(dòng)探測(cè)和被動(dòng)探測(cè)兩方面。

1.主動(dòng)探測(cè)引擎

◆?全棧安全檢測(cè)：安全漏洞評(píng)估不能只關(guān)注Web應(yīng)用程序漏洞，現(xiàn)在滲透入侵手段繁多，常常是通過(guò)從應(yīng)用層漏洞到中間件漏洞再到操作系統(tǒng)層面的漏洞均能有效的進(jìn)行監(jiān)測(cè)，不會(huì)形成掃描監(jiān)測(cè)的短板；

◆?多維度的內(nèi)容監(jiān)測(cè)：暗鏈、敏感詞都是黑客篡改網(wǎng)站常用的體現(xiàn)方式，實(shí)時(shí)主動(dòng)探測(cè)、準(zhǔn)確的把相關(guān)敏感信息發(fā)現(xiàn)是減小損害影響面的直接、有效的方式；

◆?孤島文件發(fā)現(xiàn)：通過(guò)主動(dòng)探測(cè)引擎采用圖譜分析法分析，快速準(zhǔn)確的發(fā)現(xiàn)可疑文件，如“后臺(tái)管理頁(yè)面、敏感測(cè)試頁(yè)面、框架插件文件、孤島后門(mén)文件等”。

2.被動(dòng)探測(cè)引擎

◆?APT流量監(jiān)測(cè)：自身強(qiáng)大的流量分析模型，對(duì)流量?jī)?nèi)的各種威脅攻擊有效的識(shí)別判斷，并且結(jié)合威脅情報(bào)平臺(tái)數(shù)據(jù)把高風(fēng)險(xiǎn)IP地址進(jìn)行重點(diǎn)監(jiān)控智能分析；

◆?僵木蠕流量監(jiān)測(cè)：遵循公安部標(biāo)準(zhǔn)，監(jiān)測(cè)種類(lèi)多，其中包含9大類(lèi)46個(gè)子類(lèi)別共20000多條規(guī)則。如針對(duì)服務(wù)器、PC客戶(hù)端的后門(mén)木馬，僵尸程序檢測(cè)；具備檢測(cè)入侵攻擊事件，如針對(duì)主機(jī)系統(tǒng)漏洞的惡意攻擊，針對(duì)WEB的注入攻擊等。

用戶(hù)價(jià)值
基于此態(tài)勢(shì)感知平臺(tái)的建設(shè)和使用，實(shí)現(xiàn)對(duì)管轄內(nèi)的重點(diǎn)網(wǎng)站的安全監(jiān)測(cè)，建立相關(guān)的安全監(jiān)測(cè)機(jī)制。實(shí)現(xiàn)對(duì)轄區(qū)重點(diǎn)網(wǎng)站的整體安全監(jiān)測(cè)，安全事件快速響應(yīng)；實(shí)現(xiàn)整個(gè)網(wǎng)站安全監(jiān)管水平、安全防護(hù)水平、事件處置能力的快速提升，保證各個(gè)網(wǎng)站的有效合規(guī)運(yùn)行；有效實(shí)現(xiàn)便民、利民、高效，推動(dòng)當(dāng)?shù)厣鐣?huì)及經(jīng)濟(jì)發(fā)展。