國家信息中心電子政務外網大數據安全分析與預警平臺建設方案北京瀚思安信科技有限公司

目錄1. 概述 61.1. 項目背景 61.2. 項目目標 62. 安全風險分析 72.1. 網絡安全風險 72.1.1. 網絡病毒威脅 72.1.2. 數據泄露的風險 82.1.3. 內部局域網的安全威脅 82.2. 主機安全風險 82.3. 應用系統安全風險 92.3.1. 數據庫系統平臺風險分析 92.3.2. 中間件系統平臺風險分析 102.3.3. 網站系統平臺風險分析 103. 方案設計原則 114. 參考標準 115. 安全模型 126. 技術方案設計 126.1. 平臺架構 126.2. 不同網絡區域的安全威脅應對之道 146.2.1. 互聯網出口 166.2.2. 互聯網區數據中心 196.2.3. 公共區數據中心 226.3. 大數據安全分析應用 256.3.1. 調查取證 266.3.2. 關聯分析 306.3.3. 機器學習 326.4. 數據采集和預處理 336.4.1. 采集范圍和方式 336.4.2. 數據預處理 366.4.3. 數據源要求 376.5. 數據存儲 426.5.1. 數據底層存儲架構設計 426.5.2. 數據邏輯架構設計 426.5.3. 對存儲量及性能的設計 446.6. 資產管理 456.6.1. 資產管理功能設計 466.6.2. 基礎信息 476.6.3. 安全域態勢 486.6.4. 網絡資產梳理 486.7. 統計分析 496.8. 知識庫和威脅情報分析 506.9. 告警響應 516.10. 事件處置 536.10.1. 安全事件分類 536.10.2. 安全事件分級 546.10.3. 安全事件處理流程 556.10.4. 工單系統 556.11. 安全信息可視化 566.11.1. 領導視角 576.11.2. 安全分析人員視角 596.11.3. 運維管理員視角 657. 實施部署 687.1. 系統部署 687.2. 性能設計 697.3. 軟硬件清單 697.4. 項目團隊 707.5. 實施周期 707.6. 項目管理 718. 方案總結 718.1. 方案優勢 718.2. 后續規劃 72

概述項目背景電子政務外網是我國政府信息化建設的關鍵，隨著政府部門信息化程度的提高，對信息系統的依賴程度越來越高。同時，整個電子政務外網的信息系統所面臨的各種安全風險也日益嚴重，如何更好地為電子政務外網和電子政務信息系統提供安全保障，確保電子政務外網的安全運行和信息化的健康發展是國家信息中心電子政務網絡和信息系統建設所面臨的一個主要問題。根據電子政務外網的主要功能和獨特的安全需求，結合國家相關政策，建立國家信息中心電子政務外網的安全管理平臺，強化信息系統基礎平臺的安全管理，建設可信的信息系統環境，為國家信息中心的各類信息系統的安全、可靠、穩定、高效的運行提供良好的基礎和強有力的保障。項目目標通過大數據安全分析和預警平臺的建設，建立國家信息中心電子政務外網安全監控信息匯總樞紐和信息安全事件風險協調處理中心。大數據安全分析和預警平臺負責監控區安全信息的收集、匯總、分析與展示，對電子政務外網的互聯網出口、互聯網區數據中心和公共區數據中心進行實時監控和威脅分析，以及對各相關部委的安全事件協調處置和統一指揮調度。深化已建設信息安全項目的持續提升、提高IT資源防護水平，有效彌補電子政務外網信息安全風險管理的全局可知、可辨、可控、可管與可視能力，提升信息安全風險事件處置水平與信息安全運維效率，提高對國家信息中心電子政務外網信息安全宏觀態勢的掌控、分析和評估水平。具體實現以下目標：整體和局部的安全狀況可視可對國家信息中心電子政務外網的安全狀況進行可視化的展現，包括整體、局部、不同區域、不同的單位、不同人員視角多維度。通過大數據安全分析平臺可掌握安全狀況如何。未知威脅和異常行為的檢測分析支持從各種數據源產生的海量的告警、日志、其他數據中及時關聯分析出重要緊急的安全事件，通過大數安全分析平臺統一告警。對安全事件進行分類分級響應建立安全事件分類分級響應機制，通過大數據安全分析平臺和工單系統對安全事件分類分級響應。安全事件的取證溯源當發生安全事件或進行檢查時，通過大數據安全分析平臺可快速的進行相關事件的長周期全文溯源取證。整體和部門的安全報表報告可提供整體和部門的安全報告報表，作為工作匯報總結和決策支撐的依據。安全風險分析網絡安全風險由于和外網互連后，病毒、攻擊者可以將攻擊或病毒攜帶在EMAIL、網頁里，P2P軟件里，社交媒體里傳播進入內部網，通過內部人員上網的正常過程來感染內部客戶機，這樣就會出現大量數據流量，內部訪問速度變慢的情況，嚴重的會直接導致交換機崩潰，所有網絡通訊停止。除了Internet，實際上外部的其它網絡，由于不可控制，如果不注意安全防護，安全風險并不比Internet少，這也是種網絡互聯的風險。所以，將與外部網絡互聯的安全威脅列為國家信息中心信息系統網絡中的頭號風險。網絡病毒威脅網絡是病毒傳播的最好、最快的途徑之一，病毒程序可以通過網頁瀏覽、網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內部網。病毒的傳播途徑如此眾多，傳播速度如此之快，因此，病毒的危害是不可以輕視的。網絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。國家信息中心信息系統的網絡（現狀）比較龐大，各級網絡之間均存在路由可以相互訪問。一旦有任何一個網絡中的任何一臺主機感染病毒，都將非常迅速地在整個網絡中傳播。數據泄露的風險各種信息資源的訪問控制要建立在可靠的身份鑒別之上。國家信息中心信息系統的網絡內未采用集中的證書認證系統，客戶端對業務數據庫的訪問，幾乎都是采用的用戶名、口令方式，完全有可能因為口令泄漏、口令脆弱等各種原因導致身份假冒，從而使原有的訪問控制措施失去效力。并且遠程管理也通過明文傳輸協議TELNET，FTP，SMTP，POP3，這樣任何一個人都可以在內部竊聽數據，通過簡單的軟件還原數據包，從而獲得機密資料以及管理員口令，威脅所有服務器安全。內部局域網的安全威脅據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡。如內部人員故意泄漏內部網絡的網絡結構；安全管理員有意透露其用戶名及口令；內部不懷好意員工編寫破壞程序在內部網上傳播；內部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都將對網絡安全構成很大的威脅。從國家信息中心組織架構上看，既不可能有一個管理中心來保證所有各級網絡的安全性，又不可能有效管理每一個員工的網絡行為，因此，采用某種手段來防范來源于內部的風險就顯得特別重要。主機安全風險國家信息中心信息系統中可能存在的主機安全風險如下：非法外聯通過雙網卡、WIFI、3G、藍牙、紅外等方法進行非法外聯造成內外網聯通的風險；木馬病毒主機感染木馬病毒的風險；系統漏洞主機存在被黑客利用的系統漏洞的風險；外設違規使用通過使用U盤、光盤等外接設備造成的安全風險；一機兩用訪問互聯網的主機與訪問內部網絡的主機混用，造成信息安全風險；應用系統安全風險國家信息中心信息系統的應用系統由數據庫系統平臺、中間件系統平臺和國家信息中心信息系統的網站系統平臺組成等。因此，對應用系統安全風險的分析也就是對各種系統平臺的安全風險分析。數據庫系統平臺風險分析數據庫系統一般可以理解成兩部分：一部分是數據庫，按一定的方式存取數據；另一部分是數據庫管理系統，為用戶及應用程序提供數據訪問，并具有對數據庫進行管理、維護等多種功能。隨著計算機在社會各個領域的廣泛應用，信息系統中的數據庫管理系統擔負著集中處理大量信息的使命，但是數據庫通常沒有像操作系統和網絡那樣在安全性上受到重視。數據完整性和合法存取會受到很多方面的安全威脅，包括對數據庫中信息的竊取、篡改和破壞，計算機病毒、特洛伊木馬等對數據庫系統的滲透、攻擊，系統后門以及本身的安全缺陷等。數據庫系統平臺是應用系統的核心，其面臨的安全風險包括：偶然的、無意的侵犯/或破壞。自然的或意外的事故。例如地震，水災和火災等導致的硬件損壞，進而導致數據的損壞和丟失。硬件或軟件的故障/錯誤導致的數據丟失。硬件或軟件的故障/錯誤導致可能導致系統內部的安全機制的失效，也可導致非法訪問數據或系統拒絕提供數據服務。人為的失誤。操作人員或系統的直接用戶的錯誤輸入、應用系統的不正確的使用。蓄意的侵犯或敵意的攻擊。授權用戶可能濫用他們的權限，蓄意竊取或破壞信息。病毒。病毒可以自我復制，永久的或通常是不可恢復的破壞自我復制的現場，到達破壞信息系統、取得信息甚至使系統癱瘓。特洛伊木馬。一些隱藏在公開的程序內部收集環境的信息，可能是由授權用戶安裝（不經意的）的，利用用戶的合法權限竊取數據。隱蔽通道。是隱藏在合法程序內部的一段代碼，在特定的條件下啟動，從而許可此時的攻擊可以跳過系統設置的安全稽核機制進入系統，以達到竊取數據的目的。信息的非正常的擴散。對信息的非正常的修改，包括破壞數據一致性的非法修改以及刪除。繞過DBMS直接對數據進行讀寫。中間件系統平臺風險分析對于中間件的安全風險主要是在網絡互連及數據通信過程中來自不速之客的非法性動作，主要有非法截取閱讀或修改數據、假冒他人身份進行欺騙、未授權用戶訪問網絡資源等。網站系統平臺風險分析網站的常見風險包括：拒絕服務攻擊；端口掃描；篡改網站主頁；非授權用戶訪問；冒充合法用戶的訪問；Web服務器主機的詳細信息被泄漏；Web服務器私人信息和保密信息被竊；利用Bug對Web站點進行破壞；方案設計原則易擴展性原則系統具備良好的可擴展性，支持未來隨著用戶容量的增加和業務擴容。系統具備靈活的體系架構，支持對新系統接入的快速響應。系統應考慮到升級、擴展以及與其它應用系統的接口能力。產品具有良好的擴展性，能夠快速響應需求的擴展，滿足買方的進一步需要。開放性，兼容性原則設計規范、技術指標及產品均要符合國際和工業標準，并可提供多廠家產品日志的支持能力。安全性原則系統開發、建設及維護的全過程中，在代碼安全、數據保密、系統安全防護措施上采取較嚴格的措施，進行縝密的權限、身份、帳號與信息加密管理，以保證系統和數據的安全。管理、操作、易維護性隨著信息系統建設規模的不斷擴大，系統的可管理性已成為系統能否實施的關鍵，系統必須具有了友好的用戶界面，操作簡單、直觀、靈活，易于學習和掌握。參考標準本方案制作過程中主要參考了以下標準：《國家電子政務外網安全等級保護實施指》GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》ISO27001（信息安全管理體系標準）GB/Z20986（信息安全技術信息安全事件分類分級指南）安全模型本方案采用以大數據安全分析平臺為核心的新型安全模型，安全模型如下圖：基于傳統安全設備的縱深防御模型是基礎；基于大數據技術的實時異常行為檢測和持續監控是核心；外部安全威脅情報是重要組成部分；人員和流程是關鍵要素；技術方案設計平臺架構大數據安全分析和預警平臺采用業內先進的分布式文件系統和HadoopSpark大數據計算框架，通過采集國家信息中心所有IT基礎設施數據，利用機器學習、數據建模、行為識別、關聯分析等方法對企業內所有機器數據進行統一分析，實現對網絡攻擊行為、安全異常事件、未知威脅的發現和告警。系統采集網絡設備、安全設備、主機、應用系統等日志數據存儲到Elasticsearch中（Elasticsearch是一種基于分布式架構的文件系統，擅長存儲海量文件，可以處理結構化和半結構化數據），Elasticsearch提供了數據的存儲及全文檢索，在此基礎上通過HadoopSpark對長周期海量日志進行：關聯分析、匹配規則、機器學習、數據建模、基線和模式識別等手段進行分析，同時將來結合瀚思的安全情報中心推送的威脅情報對企業內用戶、網絡和應用進行異常行為檢測，從而發現隱藏的威脅和異常行為。系統架構如下圖所示：具體建設思路如下：1、重點網站和重要信息系統安全監測功能，利用安全檢查工具實現對互聯網網站和信息系統的全方位安全監測。及時獲取重點網站及信息系統的安全漏洞。2、重點網站網絡安全防護管控功能，由政務網站單位將納入管理的各個重點網站和系統的相關邊界防護設備的狀態和系統運行日志發送到本系統平臺，對承載納入管理的重點網站和重要信息系統IT計算環境中的相關網絡設備、安全設備、主機和服務器、服務和應用系統，以及其它安全管理涉及的設備進行監控，對系統安全運行維護狀況進行監測，對入侵和惡意訪問數據進行采集分析。3、對政務外網進行防護數據采集分析功能，依托于互聯網接入服務商現有設備的基礎上，增設防護設備。對出入政務外網的惡意數據和惡意訪問行為進行清洗采集分析。4、建立監管部門與被監管單位之間信息安全協同處理功能，通過電子和信息化手段，協同完成日常的安全事件的響應與應對，加強監管部門的監管力度和提高被監管單位的響應速度和執行力度，將信息安全監測發現的問題及時處理。5、大數據綜合分析功能。通過重要系統安全防護設備、惡意訪問行為數據的采集分析。判定危險源行為特征類型，立足對系統安全監測數據、運行數據的分析。及時通過協作平臺下達安全運維指令，及時提升重要信息系統安全運維能力，消除安全漏洞隱患；立足系統對惡意設備滲透檢測功能對惡意資產設備特征監測數據分析，判定惡意行為實施者，為打擊網絡犯罪提供數據證據支撐。6、建立可視化綜合分析展示功能，綜合以上兩個系統和平臺采集的全方位數據，通過數據分析挖掘技術，研報互聯網網站或信息系統的漏洞和可能面臨的系統安全風險，從當前狀況和潛在風險兩個方面進行信息系統日常安全監管和風險預警，并通過該系統對被監管系統及時提出風險預警和整改意見。不同網絡區域的安全威脅應對之道各安全域有不同的數據來源，通過分析可以實現不同維度和角度的安全威脅分析。安全域威脅分析功能的核心由一系列的安全分析模塊組成，完成安全分析工作，如關聯分析、攻擊威脅深度挖掘和基于目標出發的威脅分析等。整體框架采用分布式技術，根據調度算法，充分利用集群的資源。國家信息中心政務外網大數據安全分析平臺基于對網絡安全威脅監測和業務數據關聯分析實現入侵攻擊事件分析引擎、惡意域名網站專項分析引擎和攻擊組織/攻擊IP專項分析引擎等功能。在業務層面通過安全事件分析任務的形式調度各分析引擎作業，包括日常威脅分析任務、專項威脅分析任務、重要信息系統威脅分析任務、突發事件威脅分析任務等。通過上述分析任務分析得到攻擊行為、欺詐/仿冒/釣魚等網絡安全威脅線索；分析得到攻擊組織、攻擊者IP或虛擬身份相關的網絡攻擊或惡意活動線索信息；分析得到重點單位、重要系統/網站、重要網絡部位相關的網絡安全線索數據。上述得到的數據在系統中以可視化組件的形式進行展示，遵循數據接口規范的導出和傳輸共享。從業務層面，追蹤溯源以威脅分析任務驅動的形式完成各項威脅分析任務，主要包括：不同安全域的外網安全分析任務：面向聯網重要信息系統和重點網站對可能遭受攻擊情況進行監測和分析，及早發現針對性的攻擊和破壞活動，防患于未然。網絡安全日常威脅分析：即日常開展的網絡安全威脅、重點網站/重要部位、以及重點關注人的關聯分析。例如：仿冒網站、惡意代碼、僵尸網絡、流量攻擊等安全威脅監測。突出情況威脅分析任務：即針對特定的網絡安全威脅或網絡安全事件（例如恐怖活動、分裂國家活動等）進行關聯分析、發掘關鍵線索，為其它業務部門打擊網絡安全犯罪和攻擊跟蹤分析提供數據支持。互聯網出口政務外網幾乎所有的業務流量都要經過互聯網出口與各業務單位和業務網產生數據交換，掌握互聯網出口的數據可以有效地提高政務網安全水平，及時規避風險，互聯網出口的流量和設備數據可以對如下風險做出應對，包括：網絡病毒威脅、數據泄露風險、內部局域網安全威脅、主機安全風險、數據庫系統安全風險、中間件系統安全風險、網站系統安全風險等。數據來源對互聯網出口的設備日志和流量進行采集，設備包括：序號設備名稱采集數據采集方式1防火墻日志Syslog協議2IPS告警日志Syslog協議3上網行為審計日志Syslog協議4抗DDOS系統告警日志Syslog協議5交換機流量摘要信息流量摘要信息協議6綜合網關設備日志Syslog協議7核心數通設備全流量鏡像以上設備支持標準syslog協議發送日志，在各設備上將日志服務器地址和端口配置為大數據安全分析平臺的采集器地址和監聽端口。交換機配置流量摘要信息功能，將流量摘要信息數據送至大數據安全分析平臺安全威脅分析大數據安全分析對互聯網出口面臨威脅的分析方式和分析的數據如下：事件溯源定位威脅檢測分析一級分類二級分類數據源數據源實時關聯分析機器學習嗅探踩點來源于外部的端口掃描1.防火墻日志

2.IDS/IPS日志

3.交換機日志1.交換機日志1.利用多變量時間序列聚類算法識別異常端口掃描嗅探踩點來源于外部的漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.服務器日志

4.流量摘要信息1.交換機日志

2.流量摘要信息1.利用基于事件和內容特征的聚類算法識別異常漏洞掃描網絡入侵來源于外部的漏洞入侵主機1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關聯分析（惡意代碼特征）網絡入侵外部弱口令入侵1.IDS/IPS日志

2.內網安全審計日志1.內網安全審計日志1.安全審計日志關聯分析（暴力破解規則）感染病毒用戶訪問惡意網頁而感染惡意軟件1.上網行為審計日志

2.主機系統日志

3.殺毒軟件日志1.上網行為審計日志

2.主機系統日志1.威脅情報關聯分析（惡意URL，惡意文件MD5）感染病毒用戶接收惡意郵件而感染惡意軟件1.郵件服務器日志

2.上網行為審計日志

3.主機系統日志

4.殺毒軟件日志1.郵件服務器日志

2.上網行為審計日志

3.主機系統日志1.威脅情報關聯分析（惡意URL，惡意文件MD5）感染病毒用戶使用U盤而感染惡意軟件1.內網安全報警日志

2.主機系統日志

3.殺毒軟件日志1.主機系統日志1.威脅情報關聯分析（惡意文件MD5）感染病毒內網蠕蟲爆發1.殺毒軟件日志1.主機系統日志

2.交換機日志1.利用蠕蟲爆發網絡流量模型識別內網蠕蟲爆發感染病毒已知病毒感染（蠕蟲、木馬，后門）1.殺毒軟件日志

2.上網行為審計日志感染病毒未知病毒感染（蠕蟲、木馬、后門）1.上網行為審計日志

2.交換機日志

3.主機系統日志1.威脅情報關聯分析（惡意URL、C&C主機IP，惡意文件MD5）違規行為內部非授權端口掃描1.防火墻日志

2.IDS/IPS日志1.交換機日志1.利用多變量時間序列聚類算法識別異常端口掃描違規行為內部非授權漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.流量摘要信息1.交換機日志

2.流量摘要信息1.利用基于事件和內容特征的聚類算法識別異常漏洞掃描違規行為內部漏洞入侵1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關聯分析（惡意代碼特征）違規行為內部弱口令入侵1.IDS/IPS日志

2.內網安全審計日志1.內網安全審計日志1.安全審計日志關聯分析（暴力破解規則）違規行為網絡欺騙與劫持攻擊1.交換機日志1.交換機日志

2.流量摘要信息1.異常網絡行為模型分析（基于時間和流量的異常ARP包和DNS包檢測）違規行為內部機器接收外部來源的網絡連接1.防火墻日志

2.IDS/IPS日志1.交換機日志1.威脅情報關聯分析（惡意IP）信息泄露用戶訪問惡意網頁而泄露信息1.上網行為審計日志

2.流量摘要信息1.上網行為審計日志

2.交換機日志

3.流量摘要信息1.威脅情報關聯分析（惡意URL）信息泄露機密信息外傳1.上網行為審計日志

2.郵件服務器日志1.上網行為審計日志

2.郵件服務器日志

3.交換機日志

4.流量摘要信息1.威脅情報關聯分析（惡意URL、C&C主機IP，惡意郵件地址）信息泄露跨境數據傳輸1.上網行為審計日志

2.郵件服務器日志1.上網行為審計日志

2.郵件服務器日志

3.交換機日志1.威脅情報關聯分析（IP地址地理位置關聯）DDOS攻擊發起DDOS攻擊1.交換機日志1.交換機日志1.異常網絡行為模型分析（基于時間和流量的異常網絡包檢測）可識別異常系統漏洞1.漏洞掃描結果可識別異常設備掉電1.設備日志互聯網區數據中心互聯網區數據中心作為互聯網和公共網絡區之間的緩沖區，主要承載了門戶網站類應用和各成員單位托管在國家信息中心的主機/虛擬主機，連接了用戶和數據，該區域集中了大量WEB、APP、中間件數據，極易受到DDOS、SQL注入、跨站攻擊、掛馬、暴力破解等安全威脅，在該區域部署大數據安全分析系統可以有效應對網絡病毒威脅、數據泄露風險、內部局域網安全威脅、主機安全風險、中間件系統安全風險、網站系統安全風險等。數據來源對互聯網區數據中心以下設備的日志進行采集：序號設備名稱采集數據采集方式1防火墻日志Syslog協議2IPS/IDS告警日志Syslog協議3抗DDOS系統告警日志Syslog協議4中間件日志Syslog或FTP5服務器操作系統日志安裝代理6安全審計設備日志Syslog轉發安全威脅分析大數據安全分析對互聯網區數據中心面臨威脅的分析方式和分析的數據如下：事件溯源定位威脅檢測分析一級分類二級分類數據源數據源實時關聯分析機器學習嗅探踩點來源于外部的端口掃描1.防火墻日志

2.IDS/IPS日志

3.交換機日志1.交換機日志1.利用多變量時間序列聚類算法識別異常端口掃描嗅探踩點來源于外部的漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.服務器日志

4.流量摘要信息1.交換機日志

2.流量摘要信息1.利用基于事件和內容特征的聚類算法識別異常漏洞掃描網絡入侵來源于外部的漏洞入侵主機1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關聯分析（惡意代碼特征）網絡入侵來源于外部的漏洞入侵Web服務器1.IDS/IPS日志

2.防火墻日志

3.服務器日志

4.流量摘要信息1.流量摘要信息1.威脅情報關聯分析（惡意代碼特征）網絡入侵外部弱口令入侵1.IDS/IPS日志

2.內網安全審計日志1.內網安全審計日志1.安全審計日志關聯分析（暴力破解規則）網絡入侵APT攻擊1.防火墻日志

2.IDS/IPS日志

3.上網行為審計日志

4.內網安全審計日志

5.流量摘要信息網絡入侵零日攻擊1.防火墻日志

2.IDS/IPS日志

3.上網行為審計日志

4.流量摘要信息感染病毒用戶使用U盤而感染惡意軟件1.內網安全報警日志

2.主機系統日志

3.殺毒軟件日志1.主機系統日志1.威脅情報關聯分析（惡意文件MD5）感染病毒內網蠕蟲爆發1.殺毒軟件日志1.主機系統日志

2.交換機日志1.利用蠕蟲爆發網絡流量模型識別內網蠕蟲爆發感染病毒已知病毒感染（蠕蟲、木馬，后門）1.殺毒軟件日志

2.上網行為審計日志感染病毒未知病毒感染（蠕蟲、木馬、后門）1.上網行為審計日志

2.交換機日志

3.主機系統日志1.威脅情報關聯分析（惡意URL、C&C主機IP，惡意文件MD5）違規行為內部非授權端口掃描1.防火墻日志

2.IDS/IPS日志1.交換機日志1.利用多變量時間序列聚類算法識別異常端口掃描違規行為內部非授權漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.流量摘要信息1.交換機日志

2.流量摘要信息1.利用基于事件和內容特征的聚類算法識別異常漏洞掃描違規行為內部漏洞入侵1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關聯分析（惡意代碼特征）違規行為內部弱口令入侵1.IDS/IPS日志

2.內網安全審計日志1.內網安全審計日志1.安全審計日志關聯分析（暴力破解規則）違規行為非法連接外部網絡1.上網行為審計日志1.上網行為審計日志

2.交換機日志1.威脅情報關聯分析（惡意URL、C&C主機IP）違規行為網絡欺騙與劫持攻擊1.交換機日志1.交換機日志

2.流量摘要信息1.異常網絡行為模型分析（基于時間和流量的異常ARP包和DNS包檢測）違規行為內部機器接收外部來源的網絡連接1.防火墻日志

2.IDS/IPS日志1.交換機日志1.威脅情報關聯分析（惡意IP）信息泄露機密信息外傳1.上網行為審計日志

2.郵件服務器日志1.上網行為審計日志

2.郵件服務器日志

3.交換機日志

4.流量摘要信息1.威脅情報關聯分析（惡意URL、C&C主機IP，惡意郵件地址）信息泄露跨境數據傳輸1.上網行為審計日志

2.郵件服務器日志1.上網行為審計日志

2.郵件服務器日志

3.交換機日志1.威脅情報關聯分析（IP地址地理位置關聯）DDOS攻擊發起DDOS攻擊1.交換機日志1.交換機日志1.異常網絡行為模型分析（基于時間和流量的異常網絡包檢測）DDOS攻擊遭受DDOS攻擊1.抗DDOS系統日志1.交換機日志1.異常網絡行為模型分析可識別異常系統漏洞1.漏洞掃描結果可識別異常設備掉電1.設備日志公共區數據中心公共網絡區提供的大多是基礎IT服務，有數據庫、數據交換平臺、存儲服務、DNS服務、NTP服務、認證服務、安全管理等，本區域是國家信息中心數據資產的存放的核心區域，本區域一旦出現安全影響非同小可，若造成核心數據泄露、關鍵數據被篡改等情況，足可以構成安全事件分級中的“重大事件”甚至“特別重大事件”，威脅到國家安全，引起社會恐慌，對經濟建設有重大的負面影響，或者損害到公眾利益。所以在該區域部署安全分析平臺十分必要，可以分析并應對的風險點包括：網絡病毒威脅、數據泄露風險、內部局域網安全威脅、數據庫系統安全風險等，不僅是提供傳統的安全視角，還可以從內審與合規性幫助國家信息中心提升整體安全管控水平。數據來源對公共區數據中心的數據采集如下：序號設備名稱采集數據采集方式1防火墻日志Syslog協議2IDS告警日志Syslog協議3抗DDOS系統告警日志Syslog協議4服務器操作系統日志安裝代理5安全審計設備日志Syslog轉發6IPS告警日志Syslog協議安全威脅分析大數據安全分析對公共區數據中心面臨威脅的分析方式和分析的數據如下：事件溯源定位威脅檢測分析一級分類二級分類數據源數據源實時關聯分析機器學習嗅探踩點來源于外部的端口掃描1.防火墻日志

2.IDS/IPS日志

3.交換機日志1.交換機日志1.利用多變量時間序列聚類算法識別異常端口掃描嗅探踩點來源于外部的漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.服務器日志

4.流量摘要信息1.交換機日志

2.流量摘要信息1.利用基于事件和內容特征的聚類算法識別異常漏洞掃描網絡入侵來源于外部的漏洞入侵主機1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關聯分析（惡意代碼特征）網絡入侵外部弱口令入侵1.IDS/IPS日志

2.內網安全審計日志1.內網安全審計日志1.安全審計日志關聯分析（暴力破解規則）網絡入侵APT攻擊1.防火墻日志

2.IDS/IPS日志

3.上網行為審計日志

4.內網安全審計日志

5.流量摘要信息網絡入侵零日攻擊1.防火墻日志

2.IDS/IPS日志

3.上網行為審計日志

4.流量摘要信息感染病毒用戶使用U盤而感染惡意軟件1.內網安全報警日志

2.主機系統日志

3.殺毒軟件日志1.主機系統日志1.威脅情報關聯分析（惡意文件MD5）感染病毒內網蠕蟲爆發1.殺毒軟件日志1.主機系統日志

2.交換機日志1.利用蠕蟲爆發網絡流量模型識別內網蠕蟲爆發感染病毒已知病毒感染（蠕蟲、木馬，后門）1.殺毒軟件日志

2.上網行為審計日志感染病毒未知病毒感染（蠕蟲、木馬、后門）1.上網行為審計日志

2.交換機日志

3.主機系統日志1.威脅情報關聯分析（惡意URL、C&C主機IP，惡意文件MD5）違規行為內部非授權端口掃描1.防火墻日志

2.IDS/IPS日志1.交換機日志1.利用多變量時間序列聚類算法識別異常端口掃描違規行為內部非授權漏洞掃描1.防火墻日志

2.IDS/IPS日志

3.流量摘要信息1.交換機日志

2.流量摘要信息1.利用基于事件和內容特征的聚類算法識別異常漏洞掃描違規行為內部漏洞入侵1.IDS/IPS日志

2.防火墻日志

3.流量摘要信息1.流量摘要信息1.威脅情報關聯分析（惡意代碼特征）違規行為內部弱口令入侵1.IDS/IPS日志

2.內網安全審計日志1.內網安全審計日志1.安全審計日志關聯分析（暴力破解規則）違規行為非法連接外部網絡1.上網行為審計日志1.上網行為審計日志

2.交換機日志1.威脅情報關聯分析（惡意URL、C&C主機IP）違規行為網絡欺騙與劫持攻擊1.交換機日志1.交換機日志

2.流量摘要信息1.異常網絡行為模型分析（基于時間和流量的異常ARP包和DNS包檢測）違規行為內部機器接收外部來源的網絡連接1.防火墻日志

2.IDS/IPS日志1.交換機日志1.威脅情報關聯分析（惡意IP）信息泄露機密信息外傳1.上網行為審計日志

2.郵件服務器日志1.上網行為審計日志

2.郵件服務器日志

3.交換機日志

4.流量摘要信息1.威脅情報關聯分析（惡意URL、C&C主機IP，惡意郵件地址）信息泄露跨境數據傳輸1.上網行為審計日志

2.郵件服務器日志1.上網行為審計日志

2.郵件服務器日志

3.交換機日志1.威脅情報關聯分析（IP地址地理位置關聯）DDOS攻擊發起DDOS攻擊1.交換機日志1.交換機日志1.異常網絡行為模型分析（基于時間和流量的異常網絡包檢測）可識別異常系統漏洞1.漏洞掃描結果可識別異常設備掉電1.設備日志大數據安全分析應用本方案主要采用大數據存儲、分析技術，通過對國家信息中心可以掌握的全量日志和網絡信息數據分析，從而感知和掌握網絡整體的安全態勢，打破各類設備之間的數據壁壘，提供以數據為基礎的安全交互分析平臺。本項目可以實現如下功能：調查取證為了便于安全分析人員對安全事件的分析，平臺提供易用的交互分析功能幫助安全分析人員快速的對安全事件進行追溯定位和統計分析，安全分析人員通過對全局大數據的檢索、分析、歸納來識別潛在的惡意行為威脅以及確認可能的存在的安全事件。事件和告警檢索平臺提供發生時間、源地址、目的地址、源端口、目的端口、協議、URL、事件類型等字段為條件的事件檢索，檢索的結果以列表的形式展示。告警檢索支持的條件包括但不限于告警類型、名稱、級別、源IP地址、源端口、目的IP地址、目的端口、協議、告警狀態、聚合數量、設備類型、設備IP、時間、處理建議等條件。支持全文檢索功能，能夠通過模糊匹配的方式對已存儲的海量事件進行全文檢索；可以根據任意關鍵詞(支持“與”和“或”，支持使用=、>、<等關系運算符)進行日志數據檢索。關鍵詞的字段名稱可以由系統依據日志記錄自動識別（不依賴應用配置信息）。對原始數據、元數據、分析結果等多類數據進行多條件組合快速搜索，搜索方式支持精確匹配，模糊匹配，統計等對可疑網絡行為和各類安全事件進行線索展開，獲取歷史數據、來源等信息，結合黑客來源、攻擊手法、使用工具等知識庫進行威脅場景還原；根據洛克希德馬丁公司的KillChain攻擊鏈模型，將告警之間的時序關系、因果關系關聯分析，通過當前告警可追溯攻擊鏈中與其相關的各個階段的告警時間，從而還原整個攻擊鏈。對于每條告警信息，回溯產生告警的證據鏈，包括日志信息、流量摘要信息，并且提供接口，根據IP、時間范圍等條件調用全流量檢測設備存儲的全流量數據。能夠利用大數據安全日志檢索分析系統展進行基于圖數據庫的安全事件關聯分析，并對病毒爆發、人員足跡、機器使用、U盤使用等行為基于圖數據庫進行可視化展現；支持數據透視圖的方式通過不同維度的安全信息鉆取對安全事件進行分析；基于正則表達式及函數復雜查詢可通正則表達式及函數（如AND、OR、NOT和()的組合）：對日志進行復雜過濾查詢。高級關聯查詢支持快速關聯查詢功能，通過輸入設備的IP信息，可使用該功能快速查詢出該設備近期的整體安全狀態，通過對大數據日志的檢索，整體顯示出各接入設備中與該設備相關的所有安全告警，為運維人員處理告警提供有力的數據依據。字段過濾支持字段過濾，可在字段列表中選擇過濾，使用字段過濾可以快速添加搜索條件以縮小檢索范圍。關聯分析大數據安全分析和預警平臺通過基于SparkStreaming技術實現的強大的CEP引擎，對系統采集的實時數據流進行關聯分析，包括網絡流量安全事件、日志安全事件、資產、漏洞、安全配置、IP地址段、人員等信息之間采用基于規則、基于統計、基于資產的關聯方法，綜合分析安全告警，深度挖掘安全隱患、判斷安全事件的嚴重程度。從而重構整個攻擊場景，降低誤報率，幫助安全運營人員分析出網絡中潛在的安全隱患。橫向關聯支持安全事件的橫向關聯分析，即可以根據同一時間里，發生的安全事件進行聚合，實現基于基本事件、網絡流量安全事件、基于資產和基于知識的關聯分析。具體如下：提供安全事件、網絡流量安全事件與漏洞信息的關聯分析提供安全事件、網絡流量安全事件與安全配置信息的關聯分析根據攻擊源進行信息關聯分析；根據攻擊目標進行信息關聯分析；根據受攻擊的設備類型進行信息關聯分析；根據受攻擊的操作系統類型及版本信息進行關聯分析；根據安全事件類型進行關聯分析；提供安全事件對資產的定位服務提供安全事件對人員的定位服務根據特定時間要求和用戶策略進行橫向事后關聯分析。縱向關聯支持安全事件的縱向關聯分析，即可以根據安全事件發生的因果關系，進行邏輯上關聯分析。具體要求如下：具備常見網絡攻擊行為分析，包括DDOS攻擊、網絡信息嗅探、漏洞掃描、網絡蠕蟲、木馬攻擊等常見網絡攻擊行為的縱向邏輯分析；具備自定義網絡攻擊行為功能，可以通過可視化的流程圖的定義某種網絡攻擊行為；關聯分析規則的管理提供良好的規則編輯管理人機界面，實現關聯分析策略的規則化輸入規則庫管理應具有預先定義關聯規則功能，同時也具有查詢、刪除、更新功能；關聯規則表達式應該支持規則的多級嵌套，前一規則輸出作為后一規則的輸入，以及規則之間的并集和交集處理；規則庫管理對關聯規則應該具有良好的移植性，可以按照特定的文件格式，如XML、XLS，導入和導出。機器學習大數據分析平臺可建立特定的網絡威脅分析模型，定時的對網絡中的APT攻擊進行檢測分析，如僵尸網絡、低速掃描、惡意URL分析等。平臺支持基于大數據技術的數據建模，提供基礎數據建模算法和可配置的數據模型。歸并算法模型提供歸并算法模型，此數據模型可以將任意字段按照最長子序列進行歸并處理，將海量日志歸并成幾類進行查看。偏離算法模型提供偏離算法模型，此數據模型通過統計某字段一段時間的正常模型，對偏離此基線的行為進行告警分析。聚類算法模型提供聚類算法模型，此數據模型可以基于數據模型和密度進行聚類計算，從而發現日志中某種模型小類和孤類。支持內置算法對歷史數據進行機器學習，從而形成正常行為基線，并可利用學習結果對實時數據進行異常檢測；支持的檢測模型包括但不限于以下：序號模型名稱說明輸入輸出1服務器訪問發散度通過一段時間內服務器與其他資產的網絡連接數據的學習，計算出本服務器連接的資產數量、范圍和鏈接數量，結合資產類型流量摘要

防火墻日志相關資產數量、范圍、鏈接數量2資產自動發現通過對一段時間內所有網絡中產生網絡行為的IP進行distinct，發現新增資產，同時繪制資產之間的聚合關系流量摘要

防火墻日志IP列表和資產關系圖3惡意域名識別通過對域名的特征計算是否是惡意域名,whois注冊時間變化上網行為審計

Proxy日志惡意域名列表4BotNet心跳連接從大量的連接數據中發現僵尸主機的心跳連接，版本更新信息，上下行流量比流量摘要

防火墻日志Botnet主機列表5低速掃描行為從長時間跨度的網絡連接數據中發現低速掃描行為流量摘要

防火墻日志掃描事件6低速口令探測行為從長時間跨度的認證日志中發現弱口令探測行為認證日志弱口令探測事件數據采集和預處理采集范圍和方式大數據安全分析和預警平臺對電子政務外網的互聯網出口、互聯網區數據中心、公共區數據中心等3個區域中的網絡設備、安全設備、主機、中間件、WEB、APP等服務安全數據進行采集。由采集集群與數據源組成，采集集群由管理節點，工作節點組成；數據源包括流量安全事件檢測（專用設備）和非流量安全事件（服務器）組成。采集集群采用Master/Worker的分布式框架，Master的職責負責給Worker下達指令，同時Master支持Active/Standby的高可用性；Worker是實際采集工作節點,由多個Worker組成。工作節點接收服務器接收外部監測平臺或系統的對接數據，如第三方漏洞平臺數據、掃描監測平臺、布點監測平臺等符合平臺分類數據規范的安全事件數據。主要功能包括：數據接收與數據解析數據接收以監聽的模式監聽來自外部平臺的數據推送，監聽到有數據推送請求時啟動一個數據接收線程先進行數據接入認證，再循環進行數據接收，直至數據接收完畢。信息增強對數據解析得到的數據進行數據來源、數據種類、地理位置信息、監測時間等初步的數據標記，區分不同平臺不同種類的數據。數據封裝與轉發對標記完成的數據進行傳輸前的封裝，并將數據轉發至基礎數據平臺數據存儲訪問組件處理。數據接入認證數據接入認證對既定的數據平臺級接入策略進行管理與設置，包括數據接入設置和數據接入驗證，前者可設置接入平臺的IP、數據推送模式、推送數據類型、接入認證信息等；后者在監聽到數據推送時啟動對數據接入的單方認證。并發與負載均衡采集集群工作節點支持并發與負載均衡為服務器提供數據接收與處理操作，在數據接入時通過增加設備提升處理能力。采集的數據類型包括設備日志和全流量檢測設備產生的告警和流量摘要信息。各區域采集的數據內容和方式如下：數據預處理解析和標準化大數據安全分析和預警平臺的采集器將日志解析成不同的字段并命名，以便索引與查詢。解析方式支持以下解析方式：標點符號拆分，根據指定的標點符號或系統自定的標點符號列表，提取標點號之間的內容作為命名字段的值。正則拆分，根據正則表達式匹配提取內容，并可配置命名。標準格式拆分，對于xml、json這種標準格式內容，自動拆分成kv形式。時間戳識別，日志是時間序列數據，所有數據均含有時間戳，要求對標準格式能夠自動識別（ISO8601、rfc822、rfc2822等），對非標準時間戳要支持手動設置格式識別。日志標準化是從原始日志信息中解析出各個不同的日志屬性信息，將原始日志轉換為統一的標準化的日志，為后續分析處理提供統一的標準化日志結構。數據豐富化對數據解析得到的數據利用系統內的基礎信息進行豐富化（數據來源、資產信息、數據種類、地理位置信息、組織人員信息、監測時間等）。通過數據增強，區分不同平臺不同種類的數據和數據之間的關聯關系，為安全分析提供高質量的數據內容。數據格式標準化是數據采集引擎將收集到的數據按照預定義好的數據格式，進行標準化處理。標準化后的數據包含如下屬性。序號屬性數據來源（設備IP地址／資產名）數據種類地理位置信息具體數據解析后字段信息事件名稱事件類型事件等級源名稱目的名稱用戶名設備類型發生時間資產ID入庫時間更新時間事件狀態處理狀態多個保留字段數據源要求數據采集接口要求本次采集數據源支持采集接口及協議要求如下：序號設備類型支持采集接口及協議1網絡設備流量摘要信息、Syslog、端口鏡像2安全設備Syslog3Windows服務器WMI、Syslog、FTP、安裝代理4Linux服務器Syslog、FTP、安裝代理5應用系統FTP、安裝代理6中間件FTP、安裝代理7數據庫JDBC數據內容要求本次采集數據源的數據內容要求如下：防火墻序號字段備注說明1時間戳2日志級別3日志類型4日志描述5源IP6源端口7目標IP8目標端口9協議10處理動作11接收數據包12發送數據包13觸發規則IPS/IDS序號字段備注說明1時間戳2事件等級3攻擊名稱4攻擊類型5源IP6源端口7目標IP8目標端口9協議10應用類型11攻擊結果12觸發規則抗DDOS序號字段備注說明1時間戳2事件等級3攻擊名稱4攻擊類型5源IP6源端口7目標IP8目標端口9協議10應用類型11攻擊結果12接收數據包13發送數據包14觸發規則上網行為管理序號字段備注說明1時間戳2用戶3源IP4源端口5目標IP6目標端口7協議8訪問URL9URL類型10應用11應用類型12處理結果13觸發規則終端防病毒序號字段備注說明1時間戳2用戶3機器IP4病毒名稱5病毒類型6掃描類型7感染文件8感染文件路徑9處理結果10觸發規則防病毒網關序號字段備注說明1時間戳2機器IP3病毒名稱4病毒類型5掃描類型6訪問URL7應用8處理結果9觸發規則Linux主機序號內容備注說明1系統事件2系統服務啟動信息3定時任務服務日志信息4用戶認證信息5用戶登錄信息6su命令使用日志Windows主機序號內容備注說明1賬號登陸事件2帳號管理事件3審核登錄事件4對象訪問事件5審核策略更改事件6權限使用事件7詳細跟蹤事件8面向審核系統事件的系統事件消息數據存儲數據底層存儲架構設計針對以上各采集點采集的數據集中發送至公共區大數據安全分析和預警系統中心進行集中存儲和分析。數據存儲采用Elasticsearch大數據分布式存儲架構（ElasticSearch是一個基于Lucene的搜索服務器）它提供了一個分布式多用戶能力的全文搜索引擎，基于RESTfulweb接口。Elasticsearch是用Java開發的，能夠達到實時搜索、穩定、可靠、快速、安裝使用方便。數據邏輯架構設計根據數據的類別和來源，將系統中的數據分為日志數據、網絡全流量元數據、內部支持數據、外部情報數據4大類型。具體參見下圖：上圖列舉了系統數據庫的各數據實體，用樹形結構展現了5大類數據下包含的各級數據關系。其中日志數據和流量數據（包括流量摘要信息和全流量摘要)是威脅發現的主要分析對象，內部支持數據和外部情報數據是威脅定位和響應的重要依據。下面將列舉各類數據的具體數據項。1、日志數據，此類數據主要來自安全設備、網絡設備、主機系統等安全相關的日志信息。包括：脆弱性數據、各類告警數據，以及綜合脆弱性、告警和資產價值所計算出來的風險數據。2、網絡全流量元數據，此類數據主要來自于全流量分析設備。全流量數據由于過于龐大，我們僅保存分析設備產生的元數據信息。元數據信息從經過流重組、報文重組、協議解析后的網絡流量中提取，包含了網絡流從第2層到第7層的全部描述信息，例如IP分片信息、TCP狀態機、TCP/UDP重組、應用類型、應用層狀態信息、應用協議關鍵元素等。全流量元數據約占全流量原始數據的6%空間。4、內部支持數據。系統會針對資源對象進行集中的存儲、維護和管理，為網絡中的所有資產建立安全檔案卡，資產信息包括以下信息：基礎信息：資產名稱、IP地址、所屬部門、安全域、設備類型、地理位置、負責人等；安全屬性：可用性、完整性和保密性以及資產價值；弱點屬性：資產漏洞信息、安全配置信息等；5、外部情報數據，也就是來自于外部的威脅情報信息，包括惡意IP、URL和域名庫，DNS庫，IP地理信息庫、惡意代碼MD5|SHA1、最新攻擊行為、漏洞庫等等。對存儲量及性能的設計在上一節的5種數據種類中，主要影響存儲量和性能的是前面3種，以下是每一種的計算公式：1.日志數據：一般按照每個網絡設備1KByte/s，每個主機設備10Byte/s計算2.全流量數據摘要:一般按照網絡流量的6%估計。以100臺網絡設備日志和1000臺主機日志，1Gbps的網絡流量進行測算，每秒數據量為1k*100+10*1000+1G/8*6%=7.79MB每天數據量為7.79MB*86400=673GB保存三份拷貝，留存半年，以及15%索引和冗余空間，則總容量測算為673GB*3*183*1.15=425TB對于每秒8MB的入庫要求，不需要有性能上的特殊處理，但考慮所有設備和網絡數據會實時不斷發送到系統，為保證數據完整性和一致性，在前端用對入庫數據進行緩存和一致性檢查。由于本系統的數據特征為數據量大、查詢操作多，因此對采集上來的數據存儲邏輯進行優化，將存放數據的歷史時序進行分區管理，按月分區將數據索引進一步劃分。這樣在查詢歷史數據時間跨度在一個月內時查詢速度等效，同時將數據的三份拷貝分散到不同服務器上提高并發性能。資產管理資產管理是大數據安全分析管理的基礎，要做到信息系統的安全分析，必須了解系統中資產情況及其狀態。網絡中各種設備、安全產品、應用都可以看作是資產。資產管理并不是為了簡單的統計，而是在統計的基礎上，對這些設備進行評估和安全檢測，發現資產的安全狀況，并納入到平臺的數據庫中，來真正做到對資產進行統一的管理。大數據安全分析平臺應包括完善的資產管理系統，該系統具備基礎架構物理設備資產管理功能，支持靈活設置資產類別、目錄結構和資產屬性，支持按照統一編號進行資產信息查詢和維護，可管理和配置的資產信息包括以下內容：基礎信息：資產名稱、IP地址、MAC地址、業務系統、所屬部門、安全域、設備類型、地理位置、負責人、電話等；安全屬性：可用性、完整性和保密性以及資產價值；弱點屬性：資產漏洞信息、安全配置信息等；資產管理功能設計資產管理模塊安全域資產管理能夠支持多級樹型的安全域（不小于10級），便于支持用戶復雜的組織架構和網絡架構

支持資產與安全域的多對多關系，同一個資產可以同時屬于不同的安全域，一個安全域可以擁有多個資產。支持域資產的導入導出

用戶可以在界面上方便的進行安全域屬性、安全域與資產關系的查詢和更改

關鍵服務器以及安全設備的基本信息的錄入，與人員組織管理掛鉤，能夠落實責任人

對管理域內所有資產（包括主機系統）的導入、導出，以便定位受安全事件影響的資產和衡量整個系統風險。對資產的保密性、完整性、可用性分等級評估（CIA屬性細顆粒評估），以便計算系統安全風險以及劃分安全事件處理優先級；按照業務屬性、設備類型、地域等方式進行安全（域）邊界劃分，并對相應資產權重賦值（權重就是重要性百分比），各子域權重賦值，得出整體安全域信息，以便計算系統安全風險以及劃分安全事件處理優先級資產類型配置能夠支持多種類型資產，并且可以手動配置資產的CIA屬性自動發現配置可以基于安全事件，自動發現內部資產。自動生成發現資產的CIA屬性、權重、所屬域等信息地理位置配置可以配置地理位置，并且能在資產屬性中配置資產所在地理位置資產與域的可視化通過儀表盤的形式進行宏觀展示，實時展示資產總數量、資產風險TOP10等，支持電子地圖等資產的顯示方式基礎信息為了增強安全事件的可讀性和安全分析的準確性，系統會對以下基礎信息進行采集資產信息序號屬性資產編號資產名稱資產IP所屬安全域資產類型品牌型號重要程度開放端口漏洞信息地理位置信息所屬應用系統資產所屬部門資產負責人人員信息序號屬性姓名賬號所屬部門職位IP地址MAC地址電話郵箱安全域信息網絡拓撲各部位IP地址段以上信息提供人工錄入和導入的功能。安全域態勢系統提供網絡拓撲管理，可直觀看到資產在網絡區域或者業務系統的位置可以網絡區域或者業務系統的視角展示該區域或業務系統的安全事件和安全態勢網絡資產梳理通常情況下，網絡當中存在很多游離于管理范圍之外的資產，包括客戶端和服務器，往往不在監管范圍內的資產安全防護措施也相對弱一些，這些資產也是攻擊者的重點目標。因此大數據安全分析平臺提供對網絡中所有的資產進行梳理，與資產庫中的被管資產比對，以發現游離資產，將結果通知相關單位對信息進行補全和安全加固，從而降低安全風險。統計分析大數據安全分析平臺可基于安全事件的屬性進行統計，包括以下功能：支持基于采集日志源按天、小時或指定時間和事件類型／告警的日志數量統計；支持基于安全事件中源IP和目的IP按天、小時或指定時間和事件類型的日志數量統計；支持基于事件信息中部門、資產按天、小時或指定時間和事件類型／告警的日志數量統計按照指定時間范圍統計連續一段時間的各級別事件數量趨勢；采集對象源事件數量排名，展現當天采集對象日志數量排名，并在排名圖表中直接查看事件列表詳細信息，應包括事件名稱、事件級別、事件類型及原始日志信息；按目標資產日志數量排名，展現當天按目標IP出現次數最多的事件排名，并在排名圖表中直接查看事件列表詳細信息，應包括事件名稱、事件級別、事件類型及原始日志信息；知識庫和威脅情報分析大數據分析平臺提供大量的安全知識庫和案件管理庫，為安全分析對安全事件的響應處置提供理論依據，將處理后安全事件形成案件庫，為后續發生類似案件提供處置建議。具備構建和維護安全威脅知識庫的能力，知識庫包括但不限于：全球IP地址庫：能實現全球IP地址的歸屬地查詢，屬主查詢，歷史記錄查詢，背景查詢等；全球DNS/IP黑白名單信息庫：構建黑白名單庫；網絡空間安全威脅知識庫：構建常規安全威脅知識庫、特種安全威脅知識庫和網絡入侵行為知識庫等多種安全威脅知識庫。具有安全情報訂閱分發接口，可為外部系統提供安全綜合報告的分發；具有知識庫查詢服務接口，可為外部系統提供IP地址庫、黑名單等安全知識共享服務；提供從告警事件的IP、URL、MD5/SHA-1等信息跳轉至威脅情報模塊查詢對應的情報內容及關系；告警響應大數據分析平臺可對系統檢測分析出的安全事件，根據提前設置好的響應方式及時通知響應管理員對安全事件進行處置。告警響應作為安全管理中心系統的一個重要環節，與其它模塊間有著豐富的數據交互，通過與安全監控、關聯分析、安全預警等系統的接口，接收這些系統產生的預警信息，啟動安全響應處理流程處理預警通知。在確認響應以后，通過響應接口－郵件、短信、圖形界面、工單、snmptrap等方式通知到接收者。工單被接收者響應處理并經審批以后的歷史工單可以導入到安全知識庫的案例庫中去。告警響應主要包括告警報表和工單管理兩個主要模塊。告警報表模塊可對資產、風險、脆弱性、事件和設備的分布和趨勢，以及用戶使用平臺情況形成或定制報表，以圖表形式向用戶直觀地展現。主要有告警態勢報表、工單處理報表、資產情況報表、通告信息報表等幾類。工單管理模塊可通過在用戶特定規則下安全事件可以直接自動觸發對應工單流程或手工自定義觸發對應的工單流程的方式觸發工單。處理過程中，派單人和責任人可以對現象描述、原因分析、處理意見、處理結果中增加內容，但不能修改以前人輸入的內容。系統需記錄增加的時間和增加人。在顯示工單時，會顯示所有的修改記錄。告警響應方式可以支持以下方式：響應方式說明派發工單通過內置工單流轉，實現了安全事故的記錄從創建、處理到關閉的生命周期管理 發送一個工單到運維系統 例如發送給HPServiceDesk，或者BMC將攻擊者或受害人添加到黑白名單中將產生該關聯事件的重要原始屬性添加到黑白名單中，供管理員重點觀察。對于加入黑白名單的資產，管理員可以設定觀察周期發送電子郵件發送一封帶有告警關鍵信息的電子郵件給指定人 發送短消息發送一條帶有告警關鍵信息的短消息指定人 帶外響應指通過網絡之外的方式進行告警響應，避免由于網絡故障導致告警不可達。包括發送手機短消息聲光電告警屏幕閃動、聲音告警事件處置大數據分析平臺可根據國家信息中心的安全事件的實際處理流程將流程固化到平臺中，從而達到事件線上處理的目的，提高運維效率。事件處置主要包括安全審計和攻擊定位兩個功能。安全審計安全審計功能就是對大數據安全分析平臺收集的各種事件信息進行深度分析，找出可疑的行為，同時生成詳盡的統計和分析報表。審計分析的對象包括安全產品、應用系統、操作系統的事件信息。攻擊定位大數據安全分析平臺通過資產管理、關聯分析、專家系統分析等有效手段，能檢測到攻擊，并定位攻擊源，并會提示管理員查詢知識庫，最終對攻擊源進行追蹤控制。安全事件分類根據GB/Z20986《信息安全技術信息安全事件分類分級指南》可以將國家信息中心政務網安全事件分類為：操作記錄事件、狀態信息事件、有害程序事件、網絡攻擊事件、信息破壞事件、異常行為事件六大類，詳見下表：安全事件分類描述說明操作記錄事件記錄各種操作事件，包括訪問、配置變更、軟件安裝、申請、設備操作命令等；狀態信息事件系統、應用、網絡等日常運行、自身維護、管理資源產生的事件。如進程變化、服務啟停、普通流量、CPU內存、硬件狀態等。有害程序事件計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊程序事件、網頁內嵌惡意代碼事件和其它有害程序事件等7個子類。網絡攻擊事件拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件等7個子類。信息破壞事件信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個子類。異常行為事件包括人、應用、網絡發生的操作、訪問等異常行為事件。根據安全事件分類和安全事件的影響可以分析得到安全事件分級，以便采取進一步的措施恢復生產，挽回所失。安全事件分級信息系統安全事件分級主要考慮信息系統所承載的業務對國家安全、經濟建設、社會生活的重要性以及業務對信息系統的依賴程度，劃分為特別重要信息系統、重要信息系統和一般信息系統。事件分級系統損失社會影響特別重大事件（Ⅰ級）會使特別重要信息系統遭受特別嚴重的系統損失波及到一個或多個省市的大部分地區，極大威脅國家安全，引起社會動蕩，對經濟建設有極其惡劣的負面影響，或者嚴重損害公眾利益。重大事件（Ⅱ級）會使特別重要信息系統遭受嚴重的系統損失、或使重要信息系統遭受特別嚴重的系統損失；

波及到一個或多個地市的大部分地區，威脅到國家安全，引起社會恐慌，對經濟建設有重大的負面影響，或者損害到公眾利益。較大事件（Ⅲ級）會使特別重要信息系統遭受較大的系統損失、或使重要信息系統遭受嚴重的系統損失、一般信息信息系統遭受特別嚴重的系統損失；波及到一個或多個地市的部分地區，可能影響到國家安全，擾亂社會秩序，對經濟建設有一定的負面影響，或者影響到公眾利益。一般事件（Ⅳ級）會使特別重要信息系統遭受較小的系統損失、或使重要信息系統遭受較大的系統損失，一般信息系統遭受嚴重或嚴重以下級別的系統損失；波及到一個地市的部分地區，對國家安全、社會秩序、經濟建設和公眾利益基本沒有影響，但對個別公民、法人或其他組織的利益會造成損害。安全事件處理流程安全事件處置可分為內部安全事件和外部安全事件，典型的處理流程分為接收、驗證、隔離、整改、審核和通報六個環節，詳細流程設計如下圖：工單系統可根據國家信息中心的日志安全事件的日常通知通報流程，提供通知通報下發和處置功能安全信息可視化大數據分析平臺將根據國家信息中心的網絡結構和管控范圍，通過不同維度和視角將安全信息準確的提供給不同層級的管理員。類型說明展示維度組織機構維度對所有部委產生的安全信息進行展示，實時掌握各部委的安全狀況事件類型維度系統根據不同事件類型進行展示，安全分析人員可準確掌握當前網絡中安全事件的類型和數量，從而做出準確的處置策略網絡區域維度根據互聯網出口、互聯網區數據中心、公共區數據中心所承擔的智能來區別性的展示各個網絡區域的安全事件類型和數量，從而使運維人員及時的調整各網絡區域的安全防護策略展示視角領導視角為領導提供國家電子政務外網的全局安全視圖，從而掌握網絡安全態勢安全分析人員視角為安全分析人員提供方便快捷的分析界面，提高安全分析效率，準確掌握安全事件發展趨勢運維管理員視角為不同網絡區域或部委安全管理員提供本職責范圍內網絡安全視圖，從而掌握安全態勢，并提供相應的工作臺，能夠快速聚焦關注的事件類型能夠支持多維度安全信息展示，包括但不限于組織機構、安全域、事件類型等維度；安全事件內容包括事件、組織機構、人員、事件內容等信息；支持多視角的安全態勢展示，包括但限于全局安全態勢、威脅場景還原、時間序列安全事件展示；支持信息安全拓撲圖展示，要求能夠清晰展示系統各安全域的劃分，在安全域拓撲圖上能清晰看到各安全域的整體態勢，如安全日志數量，告警數量等；能夠利用大數據安全日志檢索分析系統展示實時攻擊態勢地圖功能，在態勢地圖中實時動態展示各種攻擊源到目的的地圖展示；支持網絡關系圖、時間序列圖、熱力圖、GIS、列表、事件河流圖、力導向圖等多種可視化展示方式；支持資產可視化，以及基于資產的安全態勢展示；可視化形式包括但不限于：列表、統計圖、拓撲圖、機房圖、地理分布圖等；領導視角綜合安全展示窗口是面向安全管理人員所設計的，即信息安全管理人員登錄系統后的訪問頁面，綜合安全展示窗口的設計原則如下：信息安全管理人員能夠實時了解國家電子政務外網的信息安全態勢；信息安全管理人員能夠實時了解各區域／各單位的信息安全態勢；信息安全管理人員能夠利用平臺的統計分析數據作為信息安全建設的指導依據；信息安全管理人員能夠總體評價供應商的服務質量；信息安全管理人員能夠了解平臺的建設成效和工作能力。根據上述設計原則，綜合安全展示能夠實現如下功能：可視化展示國家電子政務外網信息系統的安全態勢和健康度。實時顯示國家電子政務外網高級別告警事件，以及相關的待處理工單情況。從工單類型、工單等級、工單來源等多個維度統計國家電子政務外網的工單處理情況，采用柱狀、餅狀和曲線等方式進行展示。從資產類型、資產等級、區域等多個層面對國家電子政務外網的資產進行安全展示，采用柱狀、餅狀和曲線等方式進行展示。實時統計和展示平臺的數據處理能力。整體安全態勢外部網絡攻擊態勢圖安全分析人員視角安全分析窗口是面向安全分析人員所設計的，即信息安全分析人員登錄系統后的訪問頁面，安全分析窗口的設計原則如下：安全分析人員能夠快速溯源到觸發安全告警的安全事件和原始日志；安全分析人員可以靈活快速的對數據進行全文檢索；安全分析人員可進行關聯分析；安全分析人員可對數據進行歸并分析，快速發現異常；安全分析人員可講分析結果通過可視化圖方式展現出來；安全分析人員可進行圖分析。根據上述設計原則，安全分析窗口能夠實現如下功能：能夠對安全告警進行鉆取溯源，對安全告警進行驗證；能夠對任意時間段數據進行全