文档介绍:网络空间安全态势感知与大数据分析平台建设方案
网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉与 大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运 营支持服务。
、 高级威胁攻击检测与APT攻击检测、僵木蠕毒检测、IDS检测等功能,通过恶意代码检 测、异常流量分析、威胁分析等技术进行宏观分析后,以监管单位为视角,对本项目监 管围下的单位安全状态进行监测。并且根据系统置的风险评估算法给出当前被监管单位 的整体安全评估。
态势呈现:通过城市安全指数、区域安全指数、单位安全指数、威胁来源、攻击分
析、威胁同比、威胁环比、告警详细等呈现整体安全态势。
通报预警子系统
通报预警根据威胁感知、安全监测、追踪溯源、情报信息、侦查打击等模块获取的 态势、趋势、攻击、威胁、风险、隐患、问题等情况,利用通报预警模块汇总、分析、 研判,并与时将情况上报、通报、下达,进行预警与快速处置。可采用特定对象安全评 估通报、定期综合通报、突发事件通报、专项通报等方式进行通报。
等保管理子系统
等保管理模块针对全省信息安全等级保护建设工作进行监管,通过等保信息系统管 理、等保管理工作处置、等保检查任务管理、等保系统资产管理、等保安全事件管理和 等保综合分析报表对列管单位与其重要信息系统相关的备案信息、测评信息、整改信息 和检查信息等业务数据进行管理。
追踪溯源子系统
追踪溯源子系统在发生网络攻击案(事)件或有线索情况下,对攻击对手、其使用 的攻击手段、攻击途径、攻击资源、攻击位置、攻击后果等进行追踪溯源和拓展分析, 为侦查打击、安全防提供支撑。追踪溯源子系统针对高级威胁攻击、DDoS攻击、钓鱼攻 击、木马病毒等恶意行为通过云端数据进行关联分析、拓展扩线,进行事件溯源,为案 件侦破提供技术、数据的支撑。通过关联分析、同源分析、机器学****等技术手段对互联 网端的海量数据(典型如:Whois数据、恶意软件样本MD5、DNS数据、访问数据等)进 行数据梳理与数据挖掘,扩充互联网的恶意行为线索信息,还原出本次恶意行为大体的 原貌,并可以通过恶意网络行为的一个线索扩展发现出更多的诸如攻击所用的网络资 源,攻击者信息,受害人信息等线索。具备根据源ip、源端口、宿ip、宿端口、传输 层协议等条件搜集数据,具备联通日志、dns解析数据以与网络安全事件日志的关联挖 掘能力等。
威胁情报子系统
威胁情报子系统通过采集360云端获取APT与高级威胁事件分析、黑产事件分析、 影响围较广的关键漏洞分析等威胁情报信息,将其中抽取出来的攻击手法分析、攻击组 织分析、攻击资源分析等信息,利用通报处置核心组件接口,向本地其他核心组件与有 关部门进行情报报送。利用情报数据确定和处置安全事件后情报信息核心组件提供情报 处置审计追踪的功能,对基于情报处置的安全事件进行处置流程、处置结果、处置经验 等信息进行审计追踪并归档,便于后续安全事件的分析处置,提高安全事件处置工作效 率。
指挥调度子系统
指挥调度模块主要用于在重要会议或重大活动期间,加强网络安保人员调度,全方 位全天候掌握我省与活动相关的单位、系统和安全状况,与时通报预警网络安全隐患, 高效处置网络安全案事件。协同多家技术支撑单位、互联网安全厂商、网络安全专家以
与其他职能部门保障整个过程的网络安全和数据安全,实现网络安全的态势感知、监测 预警、指挥调度、通知通告、应急处置与协同技术支持等能力,对网络安全威胁、风险、 隐患、突发事件、攻击等进行通报预警,对重点保护对象进行全要素数据采集,重点保 护,并进行全要素显示和展示,实现重保期间全方位全天候的指挥调度能力。
侦查调查子系统
侦查调查核心组件主要涉与网络案事件的处置工作,在案事件发生后,办案民警利 用该功能模块进行调查、取证,查找攻击来源、攻击手段以与攻击者等基本情况,形成 案件线索,有必要时可以提供给网综平台,协助网络案情的侦查打击。同时提供案事件 处置状态的跟踪与沟通,实现对案事件的闭环业务处理。
应急处置子系统
应急处置根据安全监测发现的网络攻击、重大安全隐患等情况与相关部门通报的情 况,下达网络安全事件快速处置指令。指令接收部门按照处置要求和规进行事件处置, 与时消除影响和危害,开展现场勘察,固定证据,快速恢复。对事件处置情况、现场勘 察情况以与证据等方面情况与时建档、归档并入库。
移动 APP
提供手机APP应用功能,用于发布信息安全通报、信息安全通告、等保政法规、风 险提示等信息。通报预警、快速处置等可以通过平台与移动APP相结合的方式进行通报 实现。预警通报可以采用移动APP通知相关负责人。经过网安专网下发到相关单位,使 相关单位能够与时接收并处置