（可编）网络空间安全态势感知与大数据分析平台建设方案V1.0.docx

网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上，涉及 大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据釆集和后期的运 营支持服务1.1网络空间态势感知系统系统建设平台按系统功能可分为两大部分：日常威胁感知和战时指挥调度应急处置日常感知部分包括大数据安全分析模块、安全态势感知呈现模块，等保管理模块 和通报预警模块等该部分面向业务工作人员提供相应的安会态势感知和通报预警功 能，及时感知发生的安全事件，并根据安全事件的危害程度启用不同的处置机制战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能 力，统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门，进行协同高效 的应急处置和安全保障，同时为哈密各单位提升网络安全防御能力进行流程管理，定期 组织攻防演练1.1.1安全监测子系统安全监测子系统实时监测哈密全市网络安全情况，及时发现国际敌对势力、黑客组 织等不法分子的攻击活动、攻击手段和攻击目的，全面监测哈密全市重保单位信息系统 和网络，实现对安全漏洞、威胁隐患、髙级威胁攻击的发现和识别，并为通报处置和侦 查调查等业务子系统提供强有力的数据支撑。

安全监测子系统有六类安全威胁监测的能力：一类是云监测，发现可用性的监测、漏洞、挂马、裏改（黑链/暗笹）、钓鱼、和 访问异常等安全事件第二类是众测漏洞平台的漏洞发现能力，目前360补天漏洞众测平台注册有4万多 白帽子，他们提交的漏洞会定期同步到态势感知平台，加强平台漏洞发现的能力第三类是对流量的检测，把重保单位的流量、城域网流量、电子政务外网流量、1DC 机房流量等流量釆集上来后进行检测，发现webshell等攻击利用事件第四类把流量日志存在大数据的平台里，与云端IOC威胁情报进行比对，发现APT 等高级威胁告警第五类是把安全专家的分析和挖掘能力在平台落地，写成脚本，与流量日志比对， 把流量的历史、各种因素都关联起来，发现深度的威胁第六类是基于机器学习模型和安全运营专家，把已经发现告警进行深层次的挖掘分 析和关联，发现更深层次的安全威胁1、安全数据监测：采用云监测、互联网漏洞众测平台及云多点探测等技术，实现 对重点安全性与可用性的监测，及时发现漏洞、挂马、篡改（黑链/暗链）、钓鱼、众 测漏洞和访问异常等安全事件2. DDOS攻击数据监测：在云端实现对DDoS攻击的监测与发现，对云墙的DNS靖 求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行釆集并分析，同 时将分析结果实时推谜给本地的大数据平台数据专用存储引擎；目前云监控中心拥有全 国30多个省的流量监控资源，可以快速获取互联网上DDoS攻击的异常流量信息，利用 互联网厂商的云监控资源，结合本地运菅商抽样采集的数据，才能快速有效发现DDoS 攻击，同时对攻击进行追踪并溯源。

3、 僵木孀毒数据监测：通过云端下发本地数据，结合流量数据进行分析.快速发 现本省/市感染“僵木孀毒"的数据僵木蠕毒监测主要来自两种方面：一是360云端 僵木蠕毒平台对国终端的僵木螺毒感染信息进行釆集，如果命中本省/市终端僵木蠕毒 感染数据，通过对IP地址/围筛选的方式，佛选出属于本省/市的数据，利用加密数据 通道推送到态势應知平协二是对本地城域网流量抽样和董点单位全流量进行检浏,将 流量数据进行报文重组、分片重组和文件还原等操作后.传送到流检测引擎和文件检测 引擎，通过流特征库、静态文件特征检测、启发式检测和人工智能检测方式及时的发现 重点保护单位的僵木蠕毒事件4、 高级威胁数据监测：安全监测子系统需要结合全部的网络流量日志和威胁情报 继续持续性的攻击追踪分析云端I0C威胁情报覆盖攻击者使用的域名、IP. URL, MD5 等一系列网络基础设施或攻击武器信息，同时威胁情报中还包含了通过互联网大数据分 析得到的APT攻击组织的相关背景信息，这对于APT攻击监测将提供至关重要的作用1.1.2态势感知子系统态势感知系统基于多源数据支持安全威胁监测以及安全威胁突出情况的分析展示 综合利用各种获取的大数据，利用大数据技术进行分析挖掘，实时掌握网络攻击对手情 况、攻击手段、攻击目标、攻击结果以及网络自身存在的隐患、问題、风险等情况，对 比历史数据，形成趋势性、合理性判断，为通报预警提供重要支撑。

垓模块支持对网络 空间安全态势进行全方位、多层次、多角度、细粒度感知，包括但不限于对重点行业、 重点单位、重点，重要信息系统、网络基础设施等保护对象的态势进行感知态势感知子系统分为两部分：态势分析和态势呈现态势分析：针对重保单位、数据釆集分析，通过安全监测子系统对DDos攻击监 测、高级威胁攻击检测与APT攻击检测、僵木蠕毒經测、IDS检測等功能，通过恶意代 码检测、异常流量分析、威胁分析等技术进行宏观分析后，以监管单位为视角，对本 项目监管围下的单位安全状态进行监测并且根据系统置的风险评估算法给出当前被 监管单位的整体安全评估态势呈现：通过城市安全指数、区域安全指数、单位安全指数、威胁来源、攻击分析、威胁同比、威胁环比、告警详细等呈现整体安全态势1.1.3通报预警子系统通报预警根据威胁感知、安全监测、追踪溯源、情报信息、侦查打击等模块获取的 态势、趋势、攻击、威胁、风险、隐患、问题等情况，利用通报预警模块汇总、分析、 研判，并及时将情况上报、通报、下达，进行预警及快速处置可釆用特定对象安全评 估通报、定期综合通报、突发事件通报、专项通报等方式进行通报1.1.4等保管理子系统等保管理模块针对全省信息安全等级保护建设工作进行监管，通过等保信息系统 管理、等保管理工作处置、等保检查任务管理、等保系统资产管理、等保安全事件管 理和等保综合分析报表对列管单位及其重要信息系统相关的备案信息、测评信息、整 改信息和检查信息等业务数据进行管理。

1.1.5 迫踪溯源子系统追踪溯源子系统在发生网络攻击案（事）件或有线索情况下，对攻击对手、其使用 的攻击手段、攻击途径、攻击资源、攻击位置、攻击后果等进行追踪溯源和拓展分析， 为侦查打击、安全防提供支撑追踪溯源子系统针对高级威胁攻击、DDoS攻击、钓鱼攻 击、木马病毒等恶意行为通过云端数据进行关联分析、拓展扩线，进行事件溯源，为案 件侦破提供技术、数据的支撑通过关联分析、同源分析、机器学习等技术手段对互联 网端的海量数据（典型如：Whois数据、恶意软件样本MD5, DS数据、访问数据等）进 行数据梳理与数据挖掘，扩充互联网的恶意行为线索信息，还原出本次恶意行为大体的 原貌，并可以通过恶意网络行为的一个线索扩展发现出更多的诸如攻击所用的网络资 源，攻击者信息，受害人信息等线索具备根据源ip,源端口、宿ip、宿端口、传输 层协议等条件搜集数据，具备联通日志、dns解析数据以及网络安全事件日志的关联挖 掘能力等1.1.6威胁情报子系统威胁情报子系统通过釆集360云墉获取APT及高级威胁事件分析，黑产事件分析、 影响围较广的关键漏洞分析等威胁情报信息，将其中抽取出来的攻击手法分析、攻击组 织分析、攻击资源分析等信息，利用通报处置核心组件接口，向本地其他核心组件及有 关部门进行情报报送。

利用情报数据确定和处置安全事件后情报信息核心组件提供情报 处置审计追踪的功能，对基于情报处置的安全事件进行处置流程、处置结果、处置经验 等信息进行审计追踪并归档，便于后续安全事件的分析处置，提高安全事件处置工作效 率1.1.7指挥调度子系统指挥调度模块主要用于在重要会议或重大活动期冋，加强网络安保人员调度，全 方位全天候掌握我省与活动相关的单位、系统和安全状况，及时通报预警网络安全隐 患，高效处置网络安全案事件协同多家技术支撑单位、互联网安全厂商 网络安全 专家以及其他职能部门保障整个过程的网络安全和数据安全，实现网络安全的态势感 知、监测预警、指挥调度、通知通告、应急处置及协同技术支持等能力，对网络安全 威胁、风险、隐患、突发事件、攻击等进行通报预警，对重点保护对象进行全要素数 据采集，重点保护，并进行全要素显示和展示，实现重保期间全方位全天候的指挥调 度能力1.1.8侦查调查子系统侦查调查核心组件主要涉及网络案事件的处置工作，在案事件发生后.办案民警利 用该功能模块进行调查、取证，查找攻击来源、攻击手段以及攻击者等基本情况，形成 案件线索，有必要时可以提供给网综平台，协助网络案情的侦查打击。

同时提供案事件 处置状态的跟踪与沟通，实现对案事件的闭环业务处理1.1.9应急处置子系统应急处置根据安全监测发现的网络攻击、重大安全隐患等情况及相关部门通报的情 况，下达网络安全事件快速处置指令指令接收部门按照处置要求和规进行事件处置， 及时消除影响和危害，开展现场勘察，固定证据，快速恢复对事件处置情况，现场勘 察情况以及证据等方面情况及时窪档、归档并入库1.1. 10 移动 APP提供APP应用功能，用于发布信息安全通报、信息安全通告、等保政法规，风 险提示等信息通报预警、快速处置等可以通过平台与移动APP相结合的方式进行通报 实现预警通报可以釆用移动APP通知相关负责人经过网安专网下发到相关单位，使 相关单位能够及时接收并处置，移动APP支持多级组织机构管理，针对公安用户提供网 络安全监测和通报数据管理的功能，针对重保单位用户提供通报消息通知和公开预警通 报查看功能1.1.11运营工作台子系统运营工作台子系统为安服人员提供日常工作的待亦提醒以及快捷入口并能体现 日常工作的成果，日常工作包括：资产维护、告警分析确认、安全事件深度分析（攻 击者、受害者、攻击链）、相关通告的下发、现场检查、应急响应、各类报告的定期 生成。

提供日常运营常用工具的使用具备平台日常的设备、服务、数据的状态监听 功能前场安服人员，能够在系统的规下，更好的运营系统，最大限度的发挥平台的 价值1.2网络空间安全数据采集系统建设安全数据采集能力建设是平台建设的基础，为大数据安全分析、安全态势呈现、 通报预警、应急处置、等保管理、追踪溯源、威胁情报和指挥调度等业务模块提供数据 资源安全数据采集能力建设主要包括以下容:页脚帮奪老伊排译亚晋集w 丁劈塑裂板钟夏営涂景堂’身鼻HT算纳鬱袂甥’丁舞排刊并使專8舞律姓佐耳鬱艮 樂专间S 印样担劇解动弟承动互图施甲劈礬姦W爵濾曲P号鸟斥：再共停耳暮蟹田単廿田早三餞够孝牡劣滞’轉普伊辩灌皆上革事机冷善由谢d田华三第贸*翁倒補孕NQS真厥罗潔’碓关材#丁等屜迎 云平牯*辭珀稱昭放衅申告’甲騁寿軍孝*口*拌*鲜伊価解审省辛:#帝街归呼补宴荘廖甥阀寧弟’华勇畫W段爵祿买影’甞骡用坳坏段釦崙 蓄啜桨姦W卷彌号身单场馁百# 鬱祟盜W排導号一回精卯崂（辞译单照用d由囲丁十 一也）襟域坂的異导寸一回景时扇与呈溯醇’窮牡藥辱用崙霽步那黒下：整&:丄睥尾手法辛日可彖封淳削虫# 隧帮/呼&暮垩韧第毋再专副碧昱第*喜蟹夏煎暮蟹 辑善米营*専筆专貝禁邕的同、怀步旅主律辛恒蚤睪步不霧糧：専磐區*步通主単。

军日哥彖酔澀邵柬* 彼辭硅垛&喜邸物路风鲁寺将譽祺蓍*專 拏再藏書孥阳寺* 善米券骅吾拏貝乘負样3GI亲也蓋罂穆不寮苗：喜粟多的，QI军日哥家酔澳和甚* 邮帮硅鈴&善車勒跨风鲁专风场裁咨*專 JK嵌香婆闍養米’鴛米井骅害整以盛口审凶郸輝E蓋鑑步亦辭谢：專事凶寧御犁臼中荥鲜浏留会* 暖母哇垛&再軍物君风再寺刷鬱祺蚩*善理耳 應香墜輝蓉* 蓍荘喜驱专身软口甲导声染車蓋睾皆那爵皆：再要口阳彩苗削婁；專粟何 W歩厕主用、暮整曾浙NI、暮驱口招邛#■沏事、暮票脇密潞毒*归牧劉自由糸谢2S&旨毒*喜整12 I者法寒漏莎沸奮。