二级等保建设方案.pdf

《二级等保建设方案.pdf》由会员分享，可在线阅读，更多相关《二级等保建设方案.pdf（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 乌鲁瓦提水利枢纽管理局机房系统安全建设 解决方案 深信服科技有限公司 2019年 目 录 1 背景概述 1.1 建设背景 随着我国信息化的大力发展，信息网络已经由几个孤立的网络发展成一个多连接的信息共享的复杂网络，也正是由于网络的接入共享为不法黑客的入侵系统带来机会，严重影响系统的正常稳定运行和输送。1.2 文件要求 根据中华人民共和国网络安全法，水利相关单位是国家关键信息基础设施和网络安全重点保护单位。监控、数据调度系统网络空间大，涉及单位多，安全隐患分布广，一旦被攻破将直接威胁安全生产。为进一步提高阀门监控系统及调度数据网的安全性，保障阀门监控系统安全，确保安全稳定运行，需满足以下文件要

2、求及原则。满足调度数据网已投运设备接入的要求；满足生产调度各种业务安全防护的需要；满足责任到人、分组管理、联合防护的原则；提高信息安全管理水平，降低重要网络应用系统所面临的的安全风险威胁，保证信息系统安全、稳定的运行，使信息系统在等级保护测评环节基本符合国家信息安全等级保护相应级别系统的安全要求。1.3 参考依据 本次网络安全保障体系的建设，除了要满足系统安全可靠运行的需求，还必须符合国家相关法律要求，同时基于系统业务的特点，按照分区分域进行安全控制 计算机信息系统安全保护等级划分准则（GB17859-1999）。2 阀门监控系统安全防护意义 目前，随着国际形势的日趋复杂，网络空间已经成为继陆

3、、海、空和太空之后第五作战空间，国际上已经围绕“制网权”展开了国家级别的博弈甚至局部网络战争，为了加大网络安全的落实，国家出台了网络安全法进一步明确了业务主体单位或个人的法律责任，并于 2017 年 6 月 1 日开始正式实施。为加强阀门监控系统安全防护，抵御黑客及恶意代码等对阀门监控系统的恶意破坏和攻击，以及非法操作间接影响到系统的安全稳定运行。作为系统的重要组成部分，其安全与系统安全运行密切相关，积极做好阀门监控系统系统安全防护既有利于配合阀门监控系统安全防护工作的实施，确保整个系统安全防护体系的完整性，也有利于为公司提供安全生产和管理的保障措施。3 安全防护总体要求 系统安全防护具有系统

4、性和动态性的特点。3.1 系统性 其中以不同的通信方式和通信协议承载着安全性要求各异的多种应用。网络采用分层分区的模式实现信息组织和管理。这些因素决定了系统的安全防护是一个系统性的工程。安全防护工作对内应做到细致全面，清晰合理；对外应积极配合上级和调度机构的安全管理要求。3.2 动态性 阀门监控系统安全防护的动态性由两方面决定。一是通信技术、计算机网络技术的不断发展；二是阀门监控系统系统自身内涵外延的变化。在新的病毒、恶意代码、网络攻击手段层出不穷的情况下，静止不变的安全防护策略不可能满足阀门监控系统网络信息安全的要求，安全防护体系必须采用实时、动态、主动的防护思想。同时阀门监控系统内部也在不

5、断更新、扩充、结合，安全要求也相应改变。所以安全防护是一个长期的、循环的不断完善适应的过程。如图 3-1 所示P2DR 模型是阀门监控系统安全防护动态性的形象表示。PPDR防护检测反应策略olicyrotectionetectionesponse 图 3-1 安全防护 P2DR 动态模型 3.3 安全防护的目标及重点 阀门监控系统安全防护是系统安全生产的重要组成部分，其目标是：1)抵御黑客、病毒、恶意代码等通过各种形式对阀门监控系统发起的恶意破坏和攻击，尤其是集团式攻击。2)防止内部未授权用户访问系统或非法获取信息以及重大违规操作。3)防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度

6、数据网的安全实施保护，防止阀门监控系统瘫痪和失控，并由此导致系统故障。3.4 安全防护总体策略 安全分区 根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内。网络专用 安全区边界清晰明确，区内根据业务的重要性提出不同安全要求，制定强度不同的安全防护措施。特别强调，为保护生产控制业务应建设调度数据网，实现与其它数据网络物理隔离，并以技术手段在专网上形成多个相互逻辑隔离的子网，保障上下级各安全区的互联仅在相同安全区进行，避免安全区纵向交叉。综合防护 综合防护是结合国家信息安全等级保护工作的相关要求对阀门监控系统从主机、网络设备、恶意代码方案、应用安全控制、审计、

7、备份等多个层面进行信息安全防护的措施。3.5 综合安全防护要求 3.5.1 安全区划分原则 阀门监控系统系统划分为不同的安全工作区，反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。根据阀门监控系统系统的特点、目前状况和安全要求，整个阀门监控系统分为两个大区：监控大区和办公大区。阀门监控业务区 是指由具有实时监控功能、纵向联接使用调度数据网的实时子网或专用通道的各业务系统构成的安全区域。控制区中的业务系统或其功能模块（或子系统）的典型特征为：是生产的重要环节，直接实现对一次系统的实时监控，纵向使用调度数据网络或专用通道，是安全防护的重

8、点与核心。办公业务区 办公业务区内部在不影响阀门监控业务区安全的前提下，可以根据各企业不同安全要求划分安全区，安全区划分一般规定。3.6 综合安全防护基本要求 3.6.1 主机与网络设备加固 厂级信息监控系统等关键应用系统的主服务器，以及网络边界处的通用网关机、Web 服务器等，应当使用安全加固的操作系统。加固方式最好采用专用软件强化操作系统访问控制能力以及配置安全的应用程序，其中加固软件需采用通过国家权威部门检测的自主品牌。非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。可以应用调度数字证书，在网络设备和安全设备实现支持HTTPS的纵向安全Web服务，能够

9、对浏览器客户端访问进行身份认证及加密传输。应当对外部存储器、打印机等外设的使用进行严格管理或直接封闭闲置端口。3.6.2 入侵检测 阀门监控业务区需统一部署一套网络入侵检测系统，应当合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。3.6.3 安全审计 阀门监控业务区的监控系统应当具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。同时可以采用安全审计功能，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系

10、统运行日志、安全设施运行日志等进行集中收集、自动分析。3.6.4 恶意代码、病毒防范 应当及时更新特征码，查看查杀记录。恶意代码更新文件的安装应当经过测试。禁止阀门监控业务区与办公业务区共用一套防恶意代码管理服务器。4 需求分析 4.1 安全风险分析 阀门监控系统系统面临的主要风险 优先级 风险 说明/举例 0 旁路控制（Bypassing Controls）入侵者对发送非法控制命令，导致系统事故，甚至系统瓦解。1 完整性破坏（Integrity Violation）非授权修改控制系统配置、程序、控制命令；非授权修改交易中的敏感数据。2 违反授权（Authorization Violation

11、）控制系统工作人员利用授权身份或设备，执行非授权的操作。3 工作人员的随意行为控制系统工作人员无意识地泄漏口令等敏优先级 风险 说明/举例（Indiscretion）感信息，或不谨慎地配置访问控制规则等。4 拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5 非法使用（Illegitimate Use）非授权使用计算机或网络资源。6 信息泄漏（Information Leakage）口令、证书等敏感信息泄密。7 欺骗（Spoof）Web 服务欺骗攻击；IP 欺骗攻击。8 伪装(Masquerade)入侵者伪装合法身份，进入阀门

12、监控系统。9 拒绝服务（Availability,.Denial of Service）向调度数据网络或通信网关发送大量雪崩数据，造成网络或监控系统瘫痪。10 窃听（Eavesdropping,.Data Confidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击做准备。4.2 安全威胁的来源 办公区等网络不是一个孤立的系统，是和互联网连接，提供员工上网的需求和对外信息发布的平台，那么来自外部威胁的可能性非常大。例如应用系统遭受拒绝服务攻击，信息泄露等。内部威胁 内部人员有意或无意的违规操作给信息系统造成的损害，没有建立健全安全管理机制使得内部人员的违规

13、操作甚至犯罪行为给信息系统造成的损害等。病毒或恶意代码 目前病毒的发展与传播途径之多、速度之快、危害面之广、造成的损失之严重，都已达到了非常惊人的程度。也是计算机信息系统不可忽略的一个重要安全威胁源。病毒和恶意代码主要针对操作系统、数据库管理系统、应用系统等软件。病毒和恶意代码的威胁主要来自内部网络、盘、光盘等介质。自然灾害 主要的自然威胁是：地震、水灾、雷击；恶劣环境，如不适宜的温度湿度，以及尘埃、静电；外电不稳定、电源设备故障等。管理层面的缺陷 管理的脆弱性 在安全管理方面的脆弱性主要表现在缺乏针对性的安全策略、安全技术规范、安全事件应急计划，管理制度不完善，安全管理和运行维护组织不健全，

14、对规章、制度落实的检查不够等。安全组织建设风险 信息系统安全体系的建设对组织保障提出了更高的要求。安全管理风险 安全管理制度的建设还不全面，如：缺乏统一的用户权限管理和访问控制策略，用户、口令、权限的管理不严密，系统的安全配置一般都是缺省配置，风险很大。对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合性的评估制度不够完善。没有根据各类信息的不同安全要求确定相应的安全级别，信息安全管理范围不明确。缺乏有效的安全监控措施和评估检查制度，不利于在发生安全事件后及时发现，并采取措施。缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的机制和手段来发现和监控安全事

15、件，没有有效的对安全事件的处理流程和制度。人员管理风险 人员对安全的认识相对较高，但在具体执行和落实、安全防范的技能等还有待加强。5 设计方案 本方案重点描述监控系统等与业务直接相关部分的安全防护。方案实现的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，以及其它非法操作，防止阀门监控系统系统瘫痪和失控，并由此导致的一次系统事故。5.1 拓扑示意 操作系统安全是计算机网络系统安全的基础，而服务器上的业务数据又是被攻击的最终目标，因此，加强对关键服务器的安全控制，是增强系统总体安全性的核心一环。对阀门监控系统关键服务器实现主机加固，合理配置检查规则。强制进行权限分配，

16、保证对系统资源（包括数据和进程）的访问符合定义的主机安全策略，防止主机权限被滥用。整个系统方案建成后如图：5.2 安全部署方案 5.2.1 下一代防火墙（1）纵向安全 在互联处部署下一代防火墙。安全建设充分考虑到广域网组网、运行过程中潜在的安全问题及可靠性问题，通过下一代防火墙 NGAF 融合安全，综合事前、事中、时候一体化安全运营中心，组成 L2-L7 层立体安全防御体系，实现广域网安全组网、广域网流量清洗的防护效果，确保广域网高安全和高可用。同时，通过下一代防火墙集成入侵防御、入侵检测、WEB 应用防火墙、防病毒网关功能，实现一体化安全的安全策略部署、L2-L7 层的安全防护效果、高效的广

17、域网流量清洗，可视化的流量带宽保障、集中管理统一部署的价值，在有效解决广域网安全问题的前提下，简化管理运维成本，实现了最优投资回报。同时，给区域内网络构建立体的防护体系，防止内部终端遭受各个层次的安全威胁。通过下一代防火墙虚拟补丁和病毒防护等功能，有效防御各种攻击和内网蠕虫病毒，防止僵尸网络形成，保证网络的安全稳定运行。下一代防火墙内置僵尸网络识别库，通过分析内网终端的异常行为（如连接恶意主机或 URL）等机制准确识别被黑客控制的僵尸终端，铲除各类攻击的土壤。全面的威胁识别能力，对事前/事中/事后的各类威胁全面监测和防护；精准的僵尸网络防护技术，从僵尸网络发展的各个阶段进行消除；专业的 WEB

18、 安全防护能力，提供了业务服务各个阶段的保护；深入威胁事件关联分析能力，有效防止 APT 高级持续威胁；相比传统设备，提供更加全面的威胁识别和防护；主动发现安全隐患，改变传统被动应对局面；可视化安全服务，让安全可以轻松看懂；自助化安全运维，让安全从此更简单；内置安全运营中心，提供一站式、智能化安全运维方法。5.2.2 终端安全检测响应系统（杀毒）终端检测响应平台（EDR）是深信服公司提供的一套终端安全解决方案，方案由轻量级的端点安全软件和管理平台软件共同组成。EDR 的管理平台支持统一的终端资产管理、终端安全体检、终端合规检查，支持微隔离的访问控制策略统一管理，支持对安全事件的一键隔离处置，以

19、及热点事件IOC 的全网威胁定位，历史行为数据的溯源分析，远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。深信服的 EDR 产品也支持与 NGAF、AC、SIP 产品的联动协同响应，形成新一代的安全防护体系。终端上的安全检测是核心的技术，传统的病毒检测技术使用特征匹配，使得病毒特征库越来越大，运行所占资源也越来越多。深信服的 EDR 产品使用多维度轻量级的无特征检测技术，包含 AI 技术的 SAVE 引擎、行为引擎、云查引擎、全网信誉库等，检测更智能、更精准，响应更快速，资源占用更低消耗。AI 技术 SAVE 引擎 深信服创新

20、研究院的博士团队联合 EDR 产品的安全专家，以及安全云脑的大数据运营专家，共同打造人工智能的勒索病毒检测引擎。通过根据安全领域专家的专业知识指导，利用深度学习训练数千维度的算法模型，多维度的检测技术，找出高检出率和低误报率的算法模型，并且使用线上海量大数据的运营分析，不断完善算法的特征训练，形成高效的检测引擎。行为引擎 独特的“虚拟沙盒”技术，基于虚拟执行引擎和操作系统环境仿真技术，可以深度解析各类恶意代码的本质特征，有效地解决加密和混淆等代码级恶意对抗。根据虚拟沙盒捕获到虚拟执行的行为，对病毒运行的恶意行为链进行检测，能检测到更多的恶意代码本质的行为内容。云查引擎 针对最新未知的文件，使用

21、微特征的技术，进行云端查询。云端的安全云脑中心，使用大数据分析平台，多引擎扩展的检测技术，秒级响应未知文件的检测结果。全网信誉库 在管理平台上构建企业全网的文件信誉库，对单台终端上的文件检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。并且在企业网络中的检测重点落到对未知文件的分析上，减少对已知文件重复检测的资源开消。深信服 EDR 产品能与 NGAF、AC、SIP、安全云脑等进行产品进行协同联动响应。EDR 产品可与安全云脑协同响应，关联在线数十万台安全设备的云反馈威胁情报数据，以及第三方合作伙伴交换的威胁情报数据，智能分析精准判断，超越传统的黑白名单和静态特征库，为已知/未知威胁检

22、测提供有力支持。可与防火墙 NGAF、SIP 产品进行关联检测、取证、响应、溯源等防护措施，与 AC 产品进行合规认证审查、安全事件响应等防护措施，形成应对威胁的云管端立体化纵深防护闭环体系。5.2.3 日志审计系统 综合日志分析系统的主要功能包括如下模块：采集管理：在接入各类日志和事件前，指定需要采集的目标、接入方式以及相关参数（如数据库的各种连接参数）、选择标准化脚本和过滤归并策略；事件分析：事件分析是综合日志分析系统的核心模块之一，它不仅可以综合考量各种日志之间可能存在的关系，而且能够对日志中相关要素进行分析；最终，异常事件的分析结果将以告警的形式呈现在系统中；审计管理：审计管理是综合日

23、志分析系统的核心模块之一，侧重于发现日志中相关要素是否和预定的策略相符，如时间、地点、人员、方式等。审计管理能够方便的自定义审计人员、行为对象、审计类型、审计策略等基本配置；并能够自定义审计策略模板，审计管理内置了大量审计策略模板，涵盖了常见的、对企业非常实用的审计策略模板，如主机、防火墙、数据库、萨班斯审计策略、等级保护策略模板等。对于根据审计策路所产生的审计违规结果，系统以告警的形式在实时监控模块呈现给用户，用户可以对告警进行相关的处理。安全监控：安全监控包括告警监控和实时监控。所谓告警是指用户特别需要关注的安全问题，这些问题来源于事件分析、审计分析的结果。所谓实时监控是指对当前接入的事件

24、日志的逐条、实时显示，显示的日志内容是可以根据用户的需求进行设置过滤条件来定制的。安全概览：综合呈现当前接入系统的安全态势，如告警概况、系统运行状态、事件分析统计、审计分析统计等，安全概览显示内容可根据需要自定制。报表管理：系统提供丰富的报表，以满足用户不同的要求；资产管理：与普通的综合日志分析系统不同，综合日志分析系统提供资产管理模块，以方便用户对被管对象的管理；知识库管理：系统提供日志发送配置（即如何对各种系统进行配置，使其产生日志）、安全事件知识、安全经验等，对日志审计提供相应的支撑；系统管理：系统的自身管理，包括如用户管理、日志管理、升级管理等功能。以上功能，经过细化以后，可以形成如下

25、结构：1)安全管理对象：综合日志分析系统能够对各种安全风险进行采集和汇总，安全对象涵盖了人员、网络、安全设施、系统、终端、应用等。2)采集层：采集各种设备的事件日志，标准化为统一的格式，然后进行过滤、归并、关联和审计，从海量日志中分析潜在的安全问题，同时进行相关数据的存储和管理。3)分析处理层：系统通过分析引擎，对日志进行关联分析、审计分析和统计分析，并对异常事件告警策略进行管理。4)业务功能层：业务功能层实现对企业信息安全业务的支撑，以及系统自身运行的管理。在此基础上，通过分析事件与资产的相互关系，产生告警及报表等。5)与此同时，业务功能层提供资产管理、报表管理、采集管理、事件分析和审计管理

26、，分别支撑用户的相关业务功能。6)综合展现层：综合展现层是综合日志分析系统的展示层。该层通过个人工作台和安全概览，将整个系统收集、分析、管理的安全事件、告警概况等信息多维度的展现在用户面前。采集是综合日志分析系统的重要功能模块，它承载了日志或事件采集标准化、过滤、归并功能.采集管理是系统进行分析的第一步，用户通过指定需要采集的目标、相关采集参数（Syslog、SNMP Trap 等被动方式无需指定）、相关的过滤策略和归并策略等创建日志采集器，以收集相关设备或系统的日志.具体如下：标准化 不同的系统或设备所产生的日志格式是不尽相同的，这就给分析和统计带了巨大的麻烦，所以在综合日志分析系统中内置了

27、众多的标准化脚本以处理这种情形；即便对于某些特殊的设备，您没有发现相关的解析脚本，综合日志分析系统也提供了相应的定制方法以解决这些问题。过滤和归并 为了对接收的日志数量进行压缩，综合日志分析系统还提供了过滤和归并功能；其中，过滤功能不仅仅是丢弃无用的日志，而且也可以将它们转发到外部系统或对部分事件字段进行重新填充。事件分析 综合日志分析系统的事件分析功能是系统中的核心功能之一；其中关联分析策略主要侧重于各类日志之间可能存在的逻辑关联关系.综合日志分析系统不仅支持以预定义规则的方式进行事件关联，还支持基于模式发现方式的关联；系统不仅支持短时间内的序列关联，还支持长时间的关联（最长可达 30 天）

28、。综合日志分析系统支持如下不同类型日志或事件：网络攻击 有害代码 漏洞 用户访问存取 系统运行 设备故障 配置状态 网络连接 数据库操作 对于事件关联分析所产生的结果将在关联事件中呈现，如果符合关联策略,将以告警的形式在实时监控模块呈现给用户，用户可以对告警进行相关的处理。5.2.4 运维审计系统 借助切实有效的技术手段，通过对运维环境中人员、设备、操作行为等诸多要素的统筹管理和策略定义，建立一个具有完备控制和审计功能的运维管理系统，为业务生产系统进一步的发展建立坚实基础。该方案需要在技术层面完成如下建设目标：实现单点登录：全部运维人员集中通过运维管理系统，来管理后台的服务器、网络设备等资源，

29、同时对运维人员进行统一的身份认证；实现统一授权：统一部署访问控制和权限控制等策略，保证操作者对后台资源的合法使用，同时实现对高危操作过程的事中监控和实时告警；快速定位问题：必须对操作人员原始的操作过程进行完整的记录，并提供灵活的查询搜索机制，从而在操作故障发生时，快速的定位故障的原因，还原操作的现场；简化密码管理：实现账号密码的集中管理，在简化密码管理的同时提高账号密码的安全性；兼容操作习惯：尽量不改变运维环境中已有的网络架构、对操作者原有的操作习惯不造成任何影响；集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然

30、趋势，也是唯一的选择。身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的用户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作责任人。所以身份管理是基础。访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合法操作者合法访问资源，有效降低未授权访问所带来的风险。操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故原因，还原事故现场和举证。另外

31、一个方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制策略的有效性。自动运维是目标：操作自动化是运维操作管理的终极目标，通过让该功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提高运维效率的目的。5.2.5 安全态势感知系统 交换层旁路部署 1 台潜伏威胁探针，通过网络流量镜像内部对用户到业务资产、业务的访问关系进行识别，基于捕捉到的网络流量对内部进行初步的攻击识别、违规行为检测与内网异常行为识别。探针以旁路模式部署，实施简单且完全不影响原有的网络结构，降低了网络单点故障的发生率。此时探针获得的是链路中数据的“拷贝”，主要用于监听、检测局域

32、网中的数据流及用户或服务器的网络行为，以及实现对用户或服务器的TCP 行为的采集。在公司核心交换层旁路部署 1 套安全感知平台用于全网检测系统对各节点安全检测探针的数据进行收集，并通过可视化的形式为用户呈现数据中心内网关键业务资产的攻击与潜在威胁。业务资产可视 通过潜伏威胁探针可主动识别业务系统下属的所有业务资产，将已识别的资产进行安全评估，将资产的配置信息与暴露面进行呈现。通过网络数据包分析，对未备案的新增资产进行实时告警，发现脱离IT 部门管控的违规资产。访问关系可视 依托于可视化技术，通过访问关系展示用户、业务系统、互联网之间访问关系，基于全网业务对象的访问关系的图形化展示，包括用户对业

33、务、业务对业务、业务与互联网三者关系的完全展示，并提供快捷的搜索。供 IT 人员在业务迁移和梳理时直观的查看业务关系，是否有遗漏的业务未被防护、是否存在内部攻击、是否有业务外连、是否存在外部攻击等行为。另外，可呈现该用户已经通过哪些应用、协议和端口访问了哪些业务，这些访问是否是攻击、违规、远程登陆等行为。可清晰的看出已对哪些业务存在影响，也能推导当前用户是否已失陷（或可疑）。多维度威胁检测 提供漏洞利用攻击检测、Web 应用攻击检测、僵尸网络检测、业务弱点发现等多位的威胁检测能力；主动建立针对性的业务和应用访问逻辑规则，包括白名单和黑名单两种方式，并对检测到的违规访问在安全感知平台上通过可视化

34、方式展示，及时知道内网存在违规的行为；将可能失陷的终端对业务系统的访问路径、存在异常流量及行为的终端/服务器的访问路径进行预警，帮助管理员及时响应安全事件并进行安全策略调整。通过场景关联分析引擎对同类事件进行聚合，对相关事件进行关联，定位主机威胁活动链。安全风险告警 通过外发异常流量、网页篡改监测、黑链检测等检测技术确定业务系统/资产是否已被攻击，并将资产存在的后门进行检测，并通过邮件告警等方式向管理员告知已失陷的安全事件；全局视角态势感知 结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价，以业务系统的视角进行呈现，可有效的把握整体安全态势进行安全决策分析；风险外连监测大屏、分

35、支安全监测大屏、全网攻击监测大屏等多个维度，为关注不同安全视角的用户提供灵活的选择方式；将所有风险业务、风险用户及其所有安全事件、举证、风险和建议都导出来，形成 html 文档。6 方案优势与总结 通过本次安全建设，系统在技术方面通过引入下一代防火墙、上网行为管理、数据库审计系统、终端检测响应等典型的安全技术，提供较为全面的安全防护，满足系统加固要求，符合网络安全法，同时满足二级等级保护系统的安全建设需求。本次安全加固方案智能融合下一代安全产品，在符合要求同时，打造数字化新安全模式，为用户提供更安全、更简单、更有价值的安全加固方案。6.1 安全可视 加强内网资产、风险、脆弱性等检测等手段，实现安全风险的可视可控。图 1 办公网安全可视架构示意图 6.2 融合架构 设备能力层面融合防御、检测、响应技术，一台设备能解决的，不用多台设备解决，同时降低安全架构的复杂度。建设架构的简化（设备减法，安全建设支出更合理）安全能力的融合（能力加法，安全建设更有效）6.3 运维简化 通过云计算、人工智能、大数据等技术，实现安全事件的统一集中管理，大幅提升安全运维的集中化、智能化水平。同时，在安全设备运营层面，采用微信推送、安全运营中心等创新技术及管理手段。图 2 办公网运维简化能力示意图