網(wǎng)絡(luò)和信息安全規(guī)劃方案(修訂版)

網(wǎng)絡(luò)信息安全規(guī)劃方案（3年規(guī)劃）2020年11月目錄一、 概述 31.1項目背景 31.2編制依據(jù) 3二、 安全現(xiàn)狀及需求分析 42.1安全現(xiàn)狀 42.2需求分析 52.2.1政策文件要求 52.2.2自身安全需求 7三、 解決思路 103.1持續(xù)改進(jìn) 103.2縱深防御 103.3閉環(huán)流程 103.4非對稱 11四、 網(wǎng)絡(luò)安全規(guī)劃方案 112.1總體建設(shè)目標(biāo) 112.2參考安全模型 112.2.1IATF框架 112.2.2自適應(yīng)安全框架 122.2.3新時期的等級保護(hù)體系（等保2.0） 132.3總體建設(shè)內(nèi)容 142.4建設(shè)方案 152.4.1一期建設(shè)方案（“合法、合規(guī)”、“剛需”） 152.4.2二期建設(shè)方案（主動防御體系建設(shè)） 192.4.3三期建設(shè)方案（安全運營體系建設(shè)） 24五、 安全服務(wù)簡介 305.1安全加固服務(wù) 305.2滲透測試服務(wù) 305.3風(fēng)險評估服務(wù) 315.4漏洞掃描服務(wù) 335.5應(yīng)急響應(yīng)服務(wù) 33六、 安全建設(shè)任務(wù)匯總 35概述1.1項目背景即將到來的“十四五”，將是企業(yè)數(shù)字化戰(zhàn)略的轉(zhuǎn)型建設(shè)關(guān)鍵階段，在此期間，數(shù)字經(jīng)濟(jì)將全面深化。為踐行《網(wǎng)絡(luò)安全法》安全與信息化同步規(guī)劃、同步建設(shè)、同步運行的三同步思想，通過本次安全規(guī)劃，建立從頂層設(shè)計、部署實施到安全運行的一整套網(wǎng)絡(luò)安全新模式，使網(wǎng)絡(luò)安全向面向?qū)沟膶崙?zhàn)化運行模式升級。同時面對現(xiàn)在不容樂觀的整體安全態(tài)勢及各種監(jiān)管要求，開展企業(yè)的網(wǎng)絡(luò)安全建設(shè)，補足和修復(fù)企業(yè)自身的安全短板；是整個社會和國家發(fā)展的必然趨勢。1.2編制依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)于加快推進(jìn)國有企業(yè)數(shù)字化轉(zhuǎn)型工作的通知》《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》GB/T25058-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南》GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》GBT25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》GB/T28448-2019《信息系統(tǒng)安全等級保護(hù)測評要求》GB/T18336《信息技術(shù)-安全技術(shù)-信息技術(shù)安全性評估準(zhǔn)則》GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》GB/T35281-2017《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用服務(wù)器安全技術(shù)要求》GB/T35273-2017《信息安全技術(shù)個人信息安全規(guī)范》GB/T31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》GB/T31168-2014《信息安全技術(shù)云計算服務(wù)安全能力要求》安全現(xiàn)狀及需求分析2.1安全現(xiàn)狀企業(yè)經(jīng)過多年信息化工作和安全建設(shè)，建立了一套以實際業(yè)務(wù)安全需求和等級保護(hù)1.0為基礎(chǔ)框架的點狀防御體系。公司網(wǎng)絡(luò)基礎(chǔ)設(shè)施已基本完善。建成了以電信、移動的雙通道互聯(lián)網(wǎng)出口，帶寬分別為200M/500M。整體網(wǎng)絡(luò)架構(gòu)采用三層層次化模型網(wǎng)絡(luò)架構(gòu)，即由核心層、匯聚層和接入層組成，關(guān)鍵網(wǎng)絡(luò)節(jié)點處均采用冗余雙機。全公司聯(lián)網(wǎng)的辦公用計算機數(shù)百臺。公司現(xiàn)有辦公系統(tǒng)、項目管理系統(tǒng)、財務(wù)、監(jiān)管系統(tǒng)、公文系統(tǒng)、視頻監(jiān)控管理等業(yè)務(wù)系統(tǒng)。整體安全建設(shè)現(xiàn)狀如下：（1）互聯(lián)網(wǎng)出口冗余部署有上網(wǎng)行為管理、負(fù)載均衡；（2）各區(qū)域邊界上部署有下一代防火墻，并嚴(yán)格按照業(yè)務(wù)屬性、重要程度和安全級別對區(qū)域進(jìn)行邊界劃分和訪問控制；（互聯(lián)網(wǎng)出口、專網(wǎng)接入、服務(wù)器區(qū)）（3）辦公終端及服務(wù)器上部署有網(wǎng)絡(luò)版殺毒軟件和文檔安全管控系統(tǒng)；（4）外部用戶采用VPN接入；（5）機房部分部署有運維管理平臺、環(huán)境監(jiān)控平臺；（6）整體數(shù)據(jù)中心建設(shè)采用超融合的方式，超融合平臺采用分布式架構(gòu)和虛擬化特性為業(yè)務(wù)系統(tǒng)帶來了極強的可靠性、穩(wěn)定性；（7）在數(shù)據(jù)備份層面，采用備份一體機和云備份的方式；（8）在安全審計層面，采用運維審計系統(tǒng)和日志服務(wù)器的方式?，F(xiàn)狀分析傳統(tǒng)的點狀防御體系及被動防御思想在新的安全形勢下，不足以應(yīng)對新型攻擊和復(fù)合型攻擊，同時在應(yīng)對多源低頻、業(yè)務(wù)邏輯漏洞、0DAY、自動化工具等攻擊方式時也顯的有心無力；其次外部威脅變化過快，存在安全攻防不對等、安全技術(shù)能力不足、安全威脅動態(tài)變化、難以及時響應(yīng)等情況，會導(dǎo)致安全事件頻發(fā)。2.2需求分析2.2.1政策文件要求2.2.1.1網(wǎng)絡(luò)安全法在2017年頒發(fā)的《中華人民共和國網(wǎng)絡(luò)安全法》中明確規(guī)定了法律層面的網(wǎng)絡(luò)安全。具體如下：“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度”。各網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照要求，開展網(wǎng)絡(luò)安全等級保護(hù)的定級備案、等級測評、安全建設(shè)、安全檢查等工作。除此之外，《網(wǎng)絡(luò)安全法》中還從網(wǎng)絡(luò)運行安全、關(guān)鍵信息基礎(chǔ)設(shè)施運行安全、網(wǎng)絡(luò)信息安全等對以下方面做了詳細(xì)規(guī)定：網(wǎng)絡(luò)日志留存：第二十一條還規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任;采取防計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，留存不少于六個月的相關(guān)網(wǎng)絡(luò)日志;采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。未履行上述網(wǎng)絡(luò)安全保護(hù)義務(wù)的，會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。漏洞處置：第二十五條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。沒有網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的，沒有及時處置高危漏洞、網(wǎng)絡(luò)攻擊的;在發(fā)生網(wǎng)絡(luò)安全事件時處置不恰當(dāng)?shù)?，會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。容災(zāi)備份：第三十四條第三項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份。沒有對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份的會被依照此條款責(zé)令改正。應(yīng)急演練：第三十四條第四項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練。沒有網(wǎng)絡(luò)安全事件預(yù)案的，或者沒有定期演練的，會被依照此條進(jìn)行責(zé)令改正。安全檢測評估：第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。每年沒有進(jìn)行安全檢測評估的單位要被責(zé)令改正。關(guān)鍵信息基礎(chǔ)設(shè)施的運營者網(wǎng)絡(luò)安全保護(hù)義務(wù)：（一）設(shè)置專門安全管理機構(gòu)和安全管理負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；（二）定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；（三）對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份；（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。2.2.1.2國資委發(fā)文（一）《關(guān)于加快推進(jìn)國有企業(yè)數(shù)字化轉(zhuǎn)型工作的通知》國資委在2020年9月發(fā)布的《關(guān)于加快推進(jìn)國有企業(yè)數(shù)字化轉(zhuǎn)型工作的通知》中將網(wǎng)絡(luò)安全定義為國有企業(yè)數(shù)字化轉(zhuǎn)型的四大基礎(chǔ)之一-安全基礎(chǔ)。在安全基礎(chǔ)建設(shè)中指出要建設(shè)態(tài)勢感知平臺，加強平臺、系統(tǒng)、數(shù)據(jù)等安全管理。使用安全可靠的設(shè)備設(shè)施、工具軟件、信息系統(tǒng)和服務(wù)平臺，提升本質(zhì)安全。同時構(gòu)建網(wǎng)絡(luò)安全基礎(chǔ)資源庫，加強安全資源儲備。強化檢測評估和攻防演練，加快人才隊伍建設(shè)。（二）《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》國資委于2019年修訂印發(fā)了《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》；考核辦法較原先的考核辦法增加了對網(wǎng)絡(luò)安全工作的考核，而且十分嚴(yán)厲，一旦企業(yè)發(fā)生網(wǎng)絡(luò)安全事件將對企業(yè)負(fù)責(zé)人的考核帶來負(fù)面影響，直接影響其相關(guān)考核結(jié)果。同時考核辦法中指出，國有資本參股公司、被托管和兼并企業(yè)中由國資委管理的企業(yè)負(fù)責(zé)人，其經(jīng)營業(yè)績考核參照本辦法執(zhí)行。簡而言之除央企以外其他各地的國企可以參考本辦法并結(jié)合自身的實際開展相關(guān)工作。2.2.2自身安全需求長期以來，由于政企機構(gòu)網(wǎng)絡(luò)安全體系的基礎(chǔ)設(shè)施完備度不足，安全對信息化環(huán)境的覆蓋面不全、與信息化各層次結(jié)合程度不高，安全運行可持續(xù)性差、應(yīng)急能力就緒度低、資源保障長期不充足，導(dǎo)致政企機構(gòu)在面對“當(dāng)前數(shù)字化業(yè)務(wù)的平穩(wěn)、可靠、有序和高效運營是否能夠得到充分的網(wǎng)絡(luò)安全保障以及如何充分的保障網(wǎng)絡(luò)安全是我們首要的關(guān)注問題。具體安全需求如下：2.2.2.1現(xiàn)有建設(shè)思路無法達(dá)到安全效果的預(yù)期以往信息化工作一直存在著“重業(yè)務(wù)，輕安全”的情況，隨著《網(wǎng)絡(luò)安全法》相關(guān)法律、法規(guī)的頒發(fā)和實施，網(wǎng)絡(luò)安全的重要性有了顯著提高，但于此同時，網(wǎng)絡(luò)安全的建設(shè)工作依然存在誤區(qū)。在這些誤區(qū)中，“重建設(shè)、輕管理”最為明顯?！爸亟ㄔO(shè)”是指安全建設(shè)集中在安全設(shè)備采購，部署后缺乏專人運維，導(dǎo)致發(fā)生安全事件時不能及時發(fā)現(xiàn)以及動態(tài)防護(hù)。“輕管理”是指當(dāng)前日常安全工作受限于人力配備、技術(shù)資源和能力、安全運維、威脅處置、應(yīng)急響應(yīng)等經(jīng)驗不足，導(dǎo)致安全效果無法達(dá)到預(yù)期。2.2.2.2高階人才稀缺，安全事件無法有效處置網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗。攻擊者會不斷尋找防護(hù)方的弱點，防護(hù)方也需要不斷研究黑客思維，探索應(yīng)對黑客攻擊的方法，提升安全防護(hù)的能力和效率。隨著攻防對抗的不斷升級，在攻擊和防御的對抗中，攻擊方通常掌握著主動性，而防御方必須具備能夠和攻擊方相抗衡的智能。網(wǎng)絡(luò)安全是海量攻擊手法和海量防御手法之間較量。意味著企業(yè)或組織要想擁有較多的防御手法，就必須了解攻擊的各個階段，并根據(jù)各個攻擊階段評估下一階段攻擊手法，制定防御措施。如網(wǎng)絡(luò)攻擊生命周期（CyberAttackLifeCycle）中，在執(zhí)行攻擊（Execute）前，往往有偵察（Recon）和利用（Exploit）、控制（Control）階段。這就對單位安全人員提出了很高技術(shù)要求，既要了解攻擊手法、又要精通防御手段以及安全數(shù)據(jù)分析和高執(zhí)行力。在現(xiàn)實情況下，單位內(nèi)部培養(yǎng)高階安全專家成本太高，培養(yǎng)時間過長，即使培養(yǎng)出了個別高階網(wǎng)絡(luò)安全人才也極因各種原因造成人員流動，造成了單位的網(wǎng)絡(luò)安全領(lǐng)域高階人才缺失。其次，由于當(dāng)前高階安全專家的缺失，導(dǎo)致安全事件無法有效處置。單位內(nèi)部現(xiàn)有安全事件的識別基于安全設(shè)備，安全設(shè)備上只會給出描述疑似安全事件的安全日志，這會導(dǎo)致兩個問題：大量的安全日志需要進(jìn)行研判，判斷是否真實存在安全信息；安全設(shè)備上只有安全日志，并無描述真實可行的處置建議，導(dǎo)致組織在面對安全事件時無法閉環(huán)處置，也無法持續(xù)跟進(jìn)安全事件處置情況。2.2.2.3安全系統(tǒng)存在孤島效應(yīng)為了應(yīng)對不斷升級的信息安全形勢和安全威脅，大量企事業(yè)單位采用“加法式安全投入”引入了一個又一個的安全產(chǎn)品；安全產(chǎn)品之間相互獨立，導(dǎo)致了日志、告警、問題事件等信息的相對獨立，進(jìn)一步導(dǎo)致了安全運維人員工作的相對獨立；而安全運維人員的數(shù)量是大致不變的，采購的安全產(chǎn)品越多，信息越多，信息孤島效應(yīng)越明顯，表現(xiàn)為高信息量、高誤報、高運維壓力。2.2.2.4缺乏未知威脅和潛在威脅檢測能力目前企業(yè)內(nèi)部署了很多安全設(shè)備和安全系統(tǒng)，這些安全設(shè)備系統(tǒng)主要基于特征、規(guī)則，檢測已知威脅沒有問題，但是缺少長周期、行為分析、關(guān)聯(lián)分析的未知威脅檢測能力。2.2.2.5傳統(tǒng)安全服務(wù)無法滿足現(xiàn)階段實際安全需求在安全措施無法保障該有的安全效果情況下，不少企業(yè)嘗試采購第三方安全服務(wù)來保障安全效果。但以往的安全服務(wù)服務(wù)水平參差不齊，服務(wù)效果不達(dá)預(yù)期，并無法滿足實際網(wǎng)絡(luò)安全需求，主要存在以下問題：服務(wù)周期不持續(xù)以往的安全服務(wù)均為周期性服務(wù)，且服務(wù)間隔過大，無法應(yīng)對持續(xù)性的安全威脅；從自身單位的安全事件統(tǒng)計來看，業(yè)務(wù)系統(tǒng)遭受嘗試性入侵的時間普遍集中在晚間，現(xiàn)有缺乏應(yīng)對措施。其次，服務(wù)周期過大還存在著另外一個安全隱患。以2018年統(tǒng)計數(shù)據(jù)為例，2018年共計發(fā)現(xiàn)了超過15000個新漏洞，平均每天41個漏洞，服務(wù)周期一旦過大，會導(dǎo)致單位內(nèi)部的業(yè)務(wù)系統(tǒng)存在較多漏洞以及較長的漏洞利用時間。服務(wù)實際安全效果不佳周期性的第三方服務(wù)因為無法持續(xù)監(jiān)測和主動威脅處置，會導(dǎo)致絕大多數(shù)安全事件發(fā)生后，已經(jīng)危害到實際應(yīng)用層面才被發(fā)現(xiàn)，同時被動式的應(yīng)急響應(yīng)服務(wù)極大的延長了應(yīng)急處置的時間；整體安全服務(wù)存在時間滯后性和被動性，導(dǎo)致安全效果不佳。傳統(tǒng)持續(xù)性服務(wù)無法落地傳統(tǒng)的第三方服務(wù)，由周期性服務(wù)轉(zhuǎn)變?yōu)槌掷m(xù)性服務(wù)所帶來的人員駐場、人員駐場辦公位置、人員人生安全、人員管理、服務(wù)成本劇增等問題，往往導(dǎo)致項目無法實際落地；2.2.2.6互聯(lián)網(wǎng)時代新增的安全需求互聯(lián)網(wǎng)+、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等越來越多新應(yīng)用的普及和落地，也帶來了新的網(wǎng)絡(luò)安全需求。2.2.2.7外部威脅推動（1）國內(nèi)外的反動勢力、APT組織對國內(nèi)企事業(yè)單位虎視眈眈，每到國家重大時節(jié)都會針對性的對政府、企事業(yè)單位進(jìn)行大規(guī)模攻擊，散布反動言論。（2）病毒、木馬、蠕蟲，以勒索病毒為例：從2017年以來蔓延之今，影響領(lǐng)域包括政企部門、醫(yī)療服務(wù)、高校、公共交通、郵政等各行各業(yè)。（3）信息泄露（企事業(yè)內(nèi)部信息頻頻外泄引發(fā)負(fù)面輿情、徐玉玉案例、成都某衛(wèi)生系統(tǒng)泄露50多萬條新生嬰兒和預(yù)產(chǎn)孕婦信息案例、華住酒店5億條數(shù)據(jù)泄露、菜鳥驛站一千萬條快遞數(shù)據(jù)泄露等）。（4）黑客攻擊（伊朗核電站；烏克蘭電網(wǎng)；中國等國某部委、大型能源央企蔓靈花事件；網(wǎng)站被篡改、釣魚網(wǎng)站、服務(wù)器被控制、APT攻擊、挖礦病毒等）。解決思路3.1持續(xù)改進(jìn)在解決安全問題的過程中，不可能一勞永逸。從早期的防火墻、防病毒，入侵檢測，到現(xiàn)在的態(tài)勢感知、威脅情報，智能分析，安全防御技術(shù)本身并沒有革命性變化，本質(zhì)上還是開發(fā)檢測規(guī)則，異常模式識別。實際上，安全產(chǎn)品、安全技術(shù)需要不斷的隨著攻擊手段的發(fā)展而升級，也需要有人來運營，否則安全防護(hù)會成為稻草人，馬奇諾防線，在變化的攻擊手段前不堪一擊。早期基于系統(tǒng)漏洞利用的攻擊是主流，安全防護(hù)對應(yīng)以防火墻和入侵檢測為主，對互聯(lián)網(wǎng)只開放少量端口，互聯(lián)網(wǎng)資產(chǎn)管理主要是IP和端口的管理。隨著攻擊主流轉(zhuǎn)變?yōu)閃eb攻擊，安全防護(hù)對應(yīng)升級為Web安全防護(hù)，出現(xiàn)了Web應(yīng)用防火墻（WAF），互聯(lián)網(wǎng)資產(chǎn)管理也相應(yīng)轉(zhuǎn)變?yōu)閷Φ谌綉?yīng)用和開發(fā)使用框架為主，不再是舊有的資產(chǎn)管理概念。有效的安全是持續(xù)改進(jìn)，針對變化的安全形勢和矛盾進(jìn)行調(diào)整。3.2縱深防御在各種入侵案例中，基本都是利用Web應(yīng)用漏洞，攻擊者獲得低權(quán)限WebShell，然后通過低權(quán)限的WebShell上傳更多文件，并嘗試執(zhí)行更高權(quán)限的系統(tǒng)命令，嘗試在服務(wù)器上提升權(quán)限為Root，并進(jìn)一步橫向滲透，獲得更多內(nèi)網(wǎng)權(quán)限。在這個典型的攻擊路徑中，在任何一個環(huán)節(jié)設(shè)置有效的安全檢測和防御措施，都可能導(dǎo)致攻擊被檢測和阻止。目前在安全防護(hù)技術(shù)沒有革命性發(fā)展下，企業(yè)內(nèi)部防御采用縱深防御體系，從網(wǎng)絡(luò)層、應(yīng)用層、傳輸層、系統(tǒng)層、用戶層、數(shù)據(jù)層進(jìn)行層層防御，能為我們提供良好的網(wǎng)絡(luò)安全環(huán)境。3.3閉環(huán)流程為了使網(wǎng)絡(luò)安全有效，企業(yè)組織還必須考慮合理的利用人員和流程。當(dāng)組合成單個集成框架時，基于安全工具、人員和流程的重疊策略將產(chǎn)生最有效的防御。在閉環(huán)流程上以安全事件為導(dǎo)向，從事前、事中、事后三個維度對安全事件進(jìn)行全生命周期管控。最終構(gòu)建一套包括預(yù)測、檢測、防御、處置響應(yīng)、溯源可持續(xù)的閉環(huán)流程。3.4非對稱對于攻擊者來說，只要能夠找到企業(yè)系統(tǒng)的一個弱點，就可以達(dá)到入侵系統(tǒng)的目的，而對于企業(yè)信息安全人員來說，必須找到系統(tǒng)的所有弱點，不能有遺漏，不能有滯后，才能保證系統(tǒng)不會出現(xiàn)問題。這種非對稱是造成黑客和安全防護(hù)人員思維方式不同的根本原因，這種非對稱，也是組織信息安全工作難做的根本原因。破壞永遠(yuǎn)比建設(shè)容易。安全防護(hù)人員也需要非對稱思維。如使用基于攻擊欺騙的蜜罐系統(tǒng)，通過在黑客必經(jīng)之路上構(gòu)造陷阱，混淆其攻擊目標(biāo)，精確感知黑客攻擊的行為，將攻擊火力引入隔離的蜜罐系統(tǒng)，從而保護(hù)真實的資產(chǎn)。通過蜜罐系統(tǒng)記錄攻擊行為，獲取攻擊者的網(wǎng)絡(luò)身份信息、指紋信息，對攻擊者及攻擊行為進(jìn)行取證和溯源，及時阻斷攻擊。網(wǎng)絡(luò)安全規(guī)劃方案2.1總體建設(shè)目標(biāo)經(jīng)過有步驟有計劃的分步安全建設(shè)，以滿足合法合規(guī)為基礎(chǔ)安全體系框架，通過解決真實存在的安全風(fēng)險，輔以安全技術(shù)、安全管理、安全能力的提升；最終形成一套動態(tài)的可持續(xù)的主動防御體系；以網(wǎng)絡(luò)安全中的安全事件為導(dǎo)向，對安全事件的事前、事中、事后進(jìn)行全生命周期管控，通過事前監(jiān)測、預(yù)警、風(fēng)險評估、漏洞修復(fù)；事中防御處置；事后應(yīng)急響應(yīng)、威脅處置、取證溯源、漏洞驗證、安全復(fù)測、事件報告等手段；構(gòu)建一套動態(tài)可持續(xù)運轉(zhuǎn)的安全運營體系，以此達(dá)到對抗動態(tài)安全風(fēng)險的目的。2.2參考安全模型2.2.1IATF框架IATF，《信息保障技術(shù)框架》（IATF：InformationAssurance[?'?u?r?ns]TechnicalFramework)是美國國家安全局（NSA）NationalSecurityAgency

制定，用于描述其信息保障的指導(dǎo)性文件。2002年，我們國家973“信息與網(wǎng)絡(luò)安全體系研究”課題組將IATF3.0版引進(jìn)國內(nèi)后，IATF開始對我國信息安全工作的發(fā)展和信息安全保障體系的建設(shè)起重要的參考和指導(dǎo)作用。IATF提出的信息保障的核心思想是縱深防御戰(zhàn)略（DefenseinDepth）。在縱深防御戰(zhàn)略中指出，人、技術(shù)和操作（operations也可以譯為流程）是三個主要核心因素，要保障信息及信息系統(tǒng)的安全，三者缺一不可。人是信息系統(tǒng)的主體，是信息系統(tǒng)的擁有者、管理者和使用者，是信息保障體系核心。2.2.2自適應(yīng)安全框架自適應(yīng)安全框架（ASA）是Gartner于2014年提出的面向下一代的安全體系框架，以應(yīng)對云大物移智時代所面臨的安全形勢。自適應(yīng)安全框架（ASA）從預(yù)測、防御、檢測、響應(yīng)四個維度，強調(diào)安全防護(hù)是一個持續(xù)處理的、循環(huán)的過程，細(xì)粒度、多角度、持續(xù)化的對安全威脅進(jìn)行實時動態(tài)分析，自動適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機制。相對于PDR模型，自適應(yīng)安全框架（ASA）框架增加了安全威脅“預(yù)測”的環(huán)節(jié)，其目的在于通過主動學(xué)習(xí)并識別未知的異常事件來嗅探潛在的、未暴露的安全威脅，更深入的詮釋了“主動防御”的思想理念，這也是網(wǎng)絡(luò)安全2.0時代新防御體系的核心內(nèi)容之一。2.2.3新時期的等級保護(hù)體系（等保2.0）為配合《中華人民共和國網(wǎng)絡(luò)安全法》的實施，同時適應(yīng)云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護(hù)工作的開展，2019年5月13日，《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》正式發(fā)布。國家等級保護(hù)制度是以保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施為重點的全新網(wǎng)絡(luò)安全基本制度體系，為有效應(yīng)對國際網(wǎng)絡(luò)空間安全形勢，新時期的等保不僅保護(hù)對象的范圍擴(kuò)大而且要求更加細(xì)化，具有以下突出的特點：變被動防御為主動防御變靜態(tài)防御為動態(tài)防御變單點防御為整體防御變粗放防御為精準(zhǔn)防御

2.3總體建設(shè)內(nèi)容本次安全規(guī)劃通過完善現(xiàn)有防御體系；采用主動防御理念，依托大數(shù)據(jù)分析平臺、人工智能、行為分析、欺騙防御、威脅事件管理等技術(shù)手段，結(jié)合第三方安全服務(wù)提供全方位、全天候、全時段的主動防護(hù)體系，保護(hù)組織核心業(yè)務(wù)不被網(wǎng)絡(luò)攻擊中斷，保障組織核心業(yè)務(wù)數(shù)據(jù)不被竊取。在對已知威脅有較強的防御能力外，對于未知威脅也具有一定的防御能力。項目整體建設(shè)內(nèi)容如下：時期目標(biāo)具體指標(biāo)第一期（2021年）滿足“合法”、“合規(guī)”要求的同時，解決當(dāng)前環(huán)境下的網(wǎng)絡(luò)安全“剛需”“合法”、“合規(guī)”：以等保2.0、《網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等政策法規(guī)為標(biāo)準(zhǔn)，從安全技術(shù)、安全管理2個方面進(jìn)行查漏補缺；剛需：補充有效的安全驗證機制驗證當(dāng)前安全防護(hù)是否有效，并對發(fā)現(xiàn)安全風(fēng)險進(jìn)行控制和修復(fù)；第二期（2022年）構(gòu)建動態(tài)可持續(xù)的主動防御體系建設(shè)統(tǒng)一安全管理平臺，將全網(wǎng)孤立、碎片化的信息，匯聚、關(guān)聯(lián)為可視化的信息安全事件；為全網(wǎng)安全威脅，預(yù)警、防御應(yīng)急處置提供技術(shù)支撐。依托于統(tǒng)一安全管理平臺，引入第三方周期性的安全運維服務(wù)，利用專業(yè)技術(shù)人員為紐帶將整體防御體系動態(tài)運轉(zhuǎn)。針對對外發(fā)布的WEB應(yīng)用構(gòu)建主動防護(hù)措施；第三期（2023年）構(gòu)建全方位的安全運營體系以資產(chǎn)管理、漏洞管理、威脅管理、事件管理四個維度對全網(wǎng)進(jìn)行安全運營；完善主動防御體系，使各個環(huán)節(jié)、流程形成安全閉環(huán)；達(dá)到全天候、全時段的動態(tài)安全防護(hù)體系，以持續(xù)不間斷動態(tài)運轉(zhuǎn)的安全體系對抗動態(tài)的安全風(fēng)險。構(gòu)建欺騙防御體系，欺騙惡意用戶，拖延、誤導(dǎo)攻擊者的攻擊行為，給予事件檢測和響應(yīng)更多的緩沖時間；收集攻擊信息、查找內(nèi)部僵尸、木馬、蠕蟲、惡意訪問等。

2.4建設(shè)方案2.4.1一期建設(shè)方案（“合法、合規(guī)”、“剛需”）2.4.1.1設(shè)計思路結(jié)合xx網(wǎng)絡(luò)現(xiàn)狀、安全風(fēng)險、自身需求，參照等級保護(hù)ISO27000的體系標(biāo)準(zhǔn)；結(jié)合《網(wǎng)絡(luò)安全法》及行業(yè)政策發(fā)文對網(wǎng)絡(luò)安全建設(shè)的影響，充分考慮到當(dāng)前網(wǎng)絡(luò)安全建設(shè)的遠(yuǎn)景規(guī)劃和發(fā)展，建設(shè)符合國家政策法規(guī)、能抵抗基本安全風(fēng)險的綜合安全體系。2.4.1.2建設(shè)內(nèi)容本次一期項目建設(shè)內(nèi)容分為2個部分：一、是參照等級保護(hù)制度、網(wǎng)絡(luò)安全法及行業(yè)主管部門的相關(guān)發(fā)文，對現(xiàn)有安全技術(shù)體系、安全管理體系進(jìn)行差距分析，依據(jù)差距分析的結(jié)果進(jìn)行安全建設(shè)和整改。二、是引入第三方有效的安全驗證機制，驗證當(dāng)前安全防護(hù)是否有效，并對發(fā)現(xiàn)的安全風(fēng)險進(jìn)行控制和修復(fù)；2.4.1.2安全建設(shè)2.4.1.2.1基礎(chǔ)安全技術(shù)框架網(wǎng)絡(luò)安全等級保護(hù)制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本保障體系，從合法合規(guī)層面來講所有的網(wǎng)絡(luò)安全建設(shè)都必須參照網(wǎng)絡(luò)安全等級保護(hù)制度的要求。參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第三級的標(biāo)準(zhǔn)對xx網(wǎng)絡(luò)空間環(huán)境進(jìn)行整體差距分析；針對差距分析的結(jié)果，從物理安全、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計算環(huán)境、安全管理中心及管理安全等方面著手，完善管理制度、優(yōu)化安全策略、調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)、增加必要的軟硬件設(shè)備或系統(tǒng)。其中，部分差距分析中發(fā)現(xiàn)的安全風(fēng)險問題，可以通過修改設(shè)備配置、優(yōu)化部署方式、完善策略部署、修復(fù)漏洞、升級更新組件、加強管理措施得以解決，其他的整改內(nèi)容則需要新購軟硬件設(shè)備或系統(tǒng)進(jìn)行項目建設(shè)才能完成。參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第三級的要求，差距分析及安全建設(shè)建議如下：序號控制項控制點安全建設(shè)建議安全區(qū)域邊界-邊界防護(hù)b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；c）應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；采取接入認(rèn)證或IP/Mac綁定的技術(shù)方式，實現(xiàn)人員認(rèn)證、防私接、非法外聯(lián)檢測等功能。安全區(qū)域邊界-邊界防護(hù)d）應(yīng)限制無線網(wǎng)絡(luò)的使用，確保無線網(wǎng)絡(luò)通過受控的邊界防護(hù)設(shè)備接入內(nèi)部往來無線局域網(wǎng)需與有線網(wǎng)絡(luò)設(shè)置明顯的網(wǎng)絡(luò)邊界，邊界之間通過安全網(wǎng)關(guān)進(jìn)行安全防護(hù)。安全區(qū)域邊界-垃圾郵件防范b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)機制的升級和更新。在已有出口網(wǎng)關(guān)上配置垃圾郵件檢測和防護(hù)策略、定期升級特征庫；安全區(qū)域邊界-入侵防范c)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊的分析部署能基于行為、流量、風(fēng)險事件等不依靠特征庫、規(guī)則進(jìn)行分析的安全設(shè)備安全管理中心-安全審計a)應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計；b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；部署數(shù)據(jù)庫審計系統(tǒng)，對數(shù)據(jù)庫運維、操作進(jìn)行審計安全管理中心-集中管控d)應(yīng)分散在各個設(shè)備商的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求部署綜合日志審計系統(tǒng)，所有日志留存時間不低于6個月安全管理中心-集中管控a)應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控網(wǎng)絡(luò)中劃分出安全管理區(qū)安全管理中心-集中管控f)應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析。設(shè)置統(tǒng)一安全管理中心，對各類安全事件、威脅信息匯總分析，識別、報警。2.4.1.2.2網(wǎng)絡(luò)安全管理體系安全管理內(nèi)容涉及：信息安全政策、信息安全組織、信息資產(chǎn)分類與管理、個人信息安全、物理和環(huán)境安全、通信和操作安全管理、存取控制、系統(tǒng)的開發(fā)和維護(hù)、持續(xù)運營管理等等，是一個龐大、復(fù)雜的系統(tǒng)工程。僅僅依靠技術(shù)手段來對業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行安全保障，這樣的思想是非常錯誤。必須要做到“領(lǐng)導(dǎo)重視，嚴(yán)格執(zhí)行有關(guān)管理制度，建立信息安全防范意識，技術(shù)手段切實可行、有效”，做到“技管并重”才有可能做到真正意義的信息安全。從系統(tǒng)的管理和運維者的角度來看，技術(shù)層面和管理層面必須相互結(jié)合、配合良好，其中，尤其需要強調(diào)管理的重要性，應(yīng)以“七分管理，三分技術(shù)”的配比來設(shè)計安全體系。技術(shù)層面通過部署相應(yīng)的安全產(chǎn)品或技術(shù)手段實現(xiàn)，管理層面則需要完善的信息安全管理組織機構(gòu)、嚴(yán)格的信息安全管理制度和人員安全意識和技能培訓(xùn)、考核等手段來實現(xiàn)。管理安全要求包括：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理等五部分內(nèi)容。建議：參考《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》的要求，結(jié)合單位已有管理制度和實際情況，建立和完善網(wǎng)絡(luò)安全管理制度體系，建立滿足自身信息安全要求、合理、有效的安全管理制度體系。2.4.1.2.3現(xiàn)有安全風(fēng)險控制根據(jù)木桶原理，木桶所能容納水的多少是由木桶壁中最短那塊木頭決定的，同樣，一個網(wǎng)絡(luò)系統(tǒng)中最主要的威脅是由最薄弱的安全漏洞決定的，往往解決最主要的安全問題可以使系統(tǒng)的安全性有很大提高?，F(xiàn)有安全風(fēng)險控制旨在解決當(dāng)前環(huán)境下真實存在的安全威脅問題。定期的安全驗證有利于及時發(fā)現(xiàn)、評估、修復(fù)、確認(rèn)和改進(jìn)安全防護(hù)體系中的脆弱點。定期的安全風(fēng)險控制能不斷提升整體的安全防護(hù)能力。安全風(fēng)險控制采用結(jié)果驗證的方式；結(jié)果驗證是通過多種渠道安全滲透機制和攻防對抗演習(xí)等，先于對手發(fā)現(xiàn)自己的漏洞和弱點。多種渠道安全滲透機制目前常見的就是第三方服務(wù)機構(gòu)和安全眾測，攻防對抗演習(xí)需要企業(yè)組織具有較高攻防技能的安全人員，也可外聘外部專業(yè)機構(gòu)完成，用于檢測安全技術(shù)和安全管理框架的有效性。注：結(jié)果驗證指安全風(fēng)險評估、滲透測試、攻防演練等。2.4.1.3其他安全建設(shè)要求《中華人民共和國網(wǎng)絡(luò)安全法》參照2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運營者的要求，文件要求及安全建議如下：序號適用主體單位區(qū)分條款號要求安全建設(shè)建議網(wǎng)絡(luò)運營者非關(guān)鍵信息基礎(chǔ)設(shè)施單位二十一條國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)。等級保護(hù)測評、整改、備案二十一條-第三項規(guī)定（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；部署綜合日志審計系統(tǒng)關(guān)鍵信息基礎(chǔ)設(shè)施單位三十四條-第二項規(guī)定（二）定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；定期安全技能/安全意識/安全認(rèn)證培訓(xùn)三十四條-第四項規(guī)定（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；定期應(yīng)急演練第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。定期風(fēng)險評估及風(fēng)險控制注：（1）國家鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。(2)關(guān)鍵信息基礎(chǔ)設(shè)施的定義:參照2019年發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(征求意見稿）關(guān)鍵信息基礎(chǔ)設(shè)施單位范圍如下政府機關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；廣播電臺、電視臺、通訊社等新聞單位；其他重點單位。(3)國家網(wǎng)信部門會同國務(wù)院電信主管部門、公安部門等部門制定關(guān)鍵信息基礎(chǔ)設(shè)施識別指南。國家行業(yè)主管或監(jiān)管部門按照關(guān)鍵信息基礎(chǔ)設(shè)施識別指南，組織識別本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，并按程序報送識別結(jié)果。關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定過程中，應(yīng)當(dāng)充分發(fā)揮有關(guān)專家作用，提高關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定的準(zhǔn)確性、合理性和科學(xué)性。2.4.2二期建設(shè)方案（主動防御體系建設(shè)）2.4.2.1設(shè)計思路以自適應(yīng)安全框架為安全模型，構(gòu)建具有持續(xù)的基于異常的安全動態(tài)檢測與響應(yīng)能力，并在此基礎(chǔ)上做到對安全風(fēng)險事件的預(yù)測和控制。結(jié)合安全技術(shù)、人員、閉環(huán)流程的補充，建立一套可運轉(zhuǎn)、可持續(xù)的主動防御體系，實現(xiàn)高安全等級結(jié)構(gòu)化保護(hù)，改變被動防護(hù)的局面。2.4.2.2建設(shè)內(nèi)容二期項目建設(shè)內(nèi)容為構(gòu)建人機結(jié)合分析、持續(xù)監(jiān)測、安全事件流程閉環(huán)為核心的主動安全防御體系；具體建設(shè)內(nèi)容分為以下3個部分：一、建設(shè)以大數(shù)據(jù)分析、機器學(xué)習(xí)技術(shù)為基礎(chǔ)的態(tài)勢感知平臺；打破傳統(tǒng)被動防御體系中的信息孤島，以態(tài)勢感知平臺作為主動防御體系中的安全大腦，統(tǒng)籌全網(wǎng)安全態(tài)勢和安全建設(shè)工作；二、依托于態(tài)勢感知平臺的數(shù)據(jù)支撐，引入閉環(huán)流程和人員服務(wù)，建立對安全事件事前、事中、事后的全生命周期管控；三、根據(jù)主動防御體系設(shè)計理念，補充針對WEB應(yīng)用和數(shù)據(jù)庫的主動防御措施。2.4.2.3安全建設(shè)2.4.2.3.1態(tài)勢感知平臺基于大數(shù)據(jù)技術(shù)平臺，對企業(yè)內(nèi)部全面的安全信息（包括互聯(lián)網(wǎng)出口防火墻、服務(wù)器區(qū)防火墻、專網(wǎng)接入防火墻、上網(wǎng)行為管理設(shè)備、負(fù)載均衡、日志審計系統(tǒng)、殺毒軟件等安全設(shè)備進(jìn)行集中采集、存儲和分析，在滿足國家和行業(yè)合規(guī)要求的基礎(chǔ)上，利用人機交互分析、智能分析引擎、和可視化等手段，結(jié)合豐富的威脅情報，對企業(yè)面臨的外部攻擊、內(nèi)部違規(guī)行為進(jìn)行檢測，為企業(yè)建立快速有效的威脅檢測、分析、處置能力和全網(wǎng)安全態(tài)勢感知能力，使得企業(yè)的信息安全可知、可見、可控。具體需要實現(xiàn)未知威脅防護(hù)、威脅發(fā)現(xiàn)和快速響應(yīng)、事件統(tǒng)一管理、信息安全自動運維、內(nèi)部行為審計、資產(chǎn)脆弱性檢查、安全事件溯源取證，具體功能如下：未知威脅防護(hù)：利用大數(shù)據(jù)分析的模型算法和處理能力，對海量的信息進(jìn)行連續(xù)、實時計算，利用統(tǒng)計分析、關(guān)聯(lián)分析和機器學(xué)習(xí)等多種技術(shù)手段來檢測流量和用戶行為的異常模式，發(fā)現(xiàn)潛在威脅。威脅發(fā)現(xiàn)和快速響應(yīng)：加入威脅情報，大幅縮短威脅發(fā)現(xiàn)時間，降低組織風(fēng)險；通過短信和郵件快速響應(yīng)信息安全告警，大幅縮短響應(yīng)時間；支持設(shè)備聯(lián)動，通過平臺告警和處置建議，快速進(jìn)行防御策略變更。事件統(tǒng)一管理：事件(日志、網(wǎng)絡(luò)流)統(tǒng)一管理，提供安全事件的監(jiān)控,分析,處置和風(fēng)險評估的統(tǒng)一平臺；實現(xiàn)安全事件分析的統(tǒng)一化，集約化；可根據(jù)組織的安全事件的實際處理流程將流程固化到平臺中，通過預(yù)設(shè)的響應(yīng)方式實現(xiàn)信息安全事件實時，提高運維效率。信息安全自動運維：將原始事件信息轉(zhuǎn)譯成通俗易懂的字段，輕松讀懂事件內(nèi)容；支持任意字段分類統(tǒng)計，便于安全分析；通過事件歸并和關(guān)聯(lián)模型匹配，降低安全事件誤報率；支持原始事件分級，重點關(guān)注海量事件中的重要和告警事件；提供多種分析圖表，通過事件關(guān)系圖、事件和弦圖、事件河流圖，輕松進(jìn)行安全事件分析；支持事件顯示字段自定義，關(guān)鍵信息盡收眼底；安全分析可視化，降低分析人員的技術(shù)成本及時間成本。內(nèi)部行為審計：內(nèi)部員工有意或無意的違規(guī)行為能夠及時準(zhǔn)確的發(fā)現(xiàn)；內(nèi)置內(nèi)部用戶違規(guī)威脅分析模型，廣泛覆蓋多種內(nèi)部場景。（內(nèi)部人員不滿破壞系統(tǒng)、欲離職人員竊取數(shù)據(jù)等）；違規(guī)行為精確定位到人；違規(guī)行為看得見、看得懂。資產(chǎn)脆弱性檢查：對資產(chǎn)脆弱性具有自動化檢查功能，并能提供相應(yīng)的解決方案知識庫。安全事件溯源取證：基于攻擊鏈模型，將告警之間的時序關(guān)系、因果關(guān)系進(jìn)行關(guān)聯(lián)分析，從而還原整個攻擊鏈；通過告警追蹤，關(guān)聯(lián)事件列表直接展示。2.4.2.3.2安全事件閉環(huán)依托于態(tài)勢感知平臺和平臺廠商線上運營平臺，通過持續(xù)監(jiān)測的方式，可以7*24小時不間斷，永不休息監(jiān)測單位的網(wǎng)絡(luò)安全狀態(tài)，全面認(rèn)識安全事件的全貌并及時跟進(jìn)閉環(huán)。在線上無法處置的安全事件，及時反饋給線下人員，能夠第一時間進(jìn)行安全處置，能降低和最大力度控制安全隱患和風(fēng)險。整體事件閉環(huán)模型如下：（1）事前流程（2）事中流程（3）事后流程2.4.2.3.3WEB應(yīng)用主動防御我們可以將企業(yè)網(wǎng)絡(luò)的邊界初略的分外部互聯(lián)網(wǎng)環(huán)境和內(nèi)部局域網(wǎng)環(huán)境；外部互聯(lián)網(wǎng)環(huán)境主要承載著企業(yè)對外發(fā)布的WEB應(yīng)用和整個企業(yè)的網(wǎng)絡(luò)通訊傳輸；內(nèi)部局域網(wǎng)環(huán)境為企業(yè)內(nèi)部的日常辦公所需的基礎(chǔ)網(wǎng)絡(luò)環(huán)境；企業(yè)的互聯(lián)網(wǎng)訪問及對外發(fā)布的WEB應(yīng)用連通了內(nèi)外網(wǎng)絡(luò)，內(nèi)外網(wǎng)絡(luò)連通的同時帶來了網(wǎng)絡(luò)安全威脅；據(jù)調(diào)研目前網(wǎng)絡(luò)安全攻擊有75%都是發(fā)生在Web應(yīng)用層而非網(wǎng)絡(luò)層面，如何做WEB應(yīng)用這第一道安全防線是我們安全建設(shè)的重中之重。同時隨著互聯(lián)網(wǎng)時代的飛速發(fā)展，新興自動化攻擊工具的不斷涌現(xiàn)及大規(guī)模傳播（burp、sqlmap、scan、kalilinux等），導(dǎo)致網(wǎng)絡(luò)安全攻擊門檻大幅降低，給我們的網(wǎng)絡(luò)安全帶來了更嚴(yán)重的安全威脅。目前這類新興自動化攻擊占所有惡意攻擊流量的百分之90%；且傳統(tǒng)針對WEB應(yīng)用攻擊的防護(hù)手段，無法應(yīng)對目前多源IP和低頻率的攻擊手段，更無法識別業(yè)務(wù)邏輯漏洞和模擬合法用戶的非法操作行為；基于現(xiàn)階段企業(yè)面臨的大環(huán)境下我們外部WEB應(yīng)用的防御能力至少要包含以下2個內(nèi)容：一、傳統(tǒng)WEB應(yīng)用防護(hù)能力、二、主動防御能力；傳統(tǒng)WEB應(yīng)用防護(hù)能力基于規(guī)則的SQL注入、WEBSHELL、XSS攻擊、命令注入、閾值、行為規(guī)則等；具備防御常見已知WEB應(yīng)用安全攻擊能力。主動防御能力準(zhǔn)確的識別非法用戶，對非法用戶的訪問進(jìn)行嚴(yán)格的安全控制基于行為的分析能力；具備對日志、流量、威脅行為的分析能力，同時需具有多條件的關(guān)聯(lián)分析能力（設(shè)備指紋、協(xié)議等）具備隱藏WEB網(wǎng)頁路徑及可能的攻擊入口能力2.4.2.3.4數(shù)據(jù)庫防火墻數(shù)據(jù)庫防火墻技術(shù)是針對關(guān)系型數(shù)據(jù)庫保護(hù)需求應(yīng)運而生的一種數(shù)據(jù)庫安全主動防御技術(shù)，數(shù)據(jù)庫防火墻部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫之間。用戶必須通過該系統(tǒng)才能對數(shù)據(jù)庫進(jìn)行訪問或管理。數(shù)據(jù)庫防火墻所采用的主動防御技術(shù)能夠主動實時監(jiān)控、識別、告警、阻擋繞過企業(yè)網(wǎng)絡(luò)邊界（FireWall、IDS\IPS等）防護(hù)的外部數(shù)據(jù)攻擊、來自于內(nèi)部的高權(quán)限用戶（DBA、開發(fā)人員、第三方外包服務(wù)提供商）的數(shù)據(jù)竊取、破壞、損壞的等，從數(shù)據(jù)庫SQL語句精細(xì)化控制的技術(shù)層面，提供一種主動安全防御措施，并且，結(jié)合獨立于數(shù)據(jù)庫的安全訪問控制規(guī)則，幫助用戶應(yīng)對來自內(nèi)部和外部的數(shù)據(jù)安全威脅。數(shù)據(jù)庫防火墻核心功能如下：屏蔽直接訪問數(shù)據(jù)庫的通道：數(shù)據(jù)庫防火墻部署介于數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器之間，屏蔽直接訪問的通道，防止數(shù)據(jù)庫隱通道對數(shù)據(jù)庫的攻擊。二次認(rèn)證：基于“連接六元組【機器指紋（不可偽造）、IP地址、MAC地址、用戶、應(yīng)用程序、時間段】”授權(quán)單位，應(yīng)用程序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫自身兩層身份認(rèn)證。攻擊保護(hù)：實時檢測用戶對數(shù)據(jù)庫進(jìn)行的SQL注入和緩沖區(qū)溢出攻擊。并報警或者阻止攻擊行為，同時詳細(xì)的審計下攻擊操作發(fā)生的時間、來源IP、登錄數(shù)據(jù)庫的用戶名、攻擊代碼等詳細(xì)信息。連接監(jiān)控：實時的監(jiān)控所有到數(shù)據(jù)庫的連接信息、操作數(shù)、違規(guī)數(shù)等。管理員可以斷開指定的連接。安全審計：系統(tǒng)能夠?qū)徲媽?shù)據(jù)庫服務(wù)器的訪問情況。包括用戶名、程序名、IP地址、請求的數(shù)據(jù)庫、連接建立的時間、連接斷開的時間、通信量大小、執(zhí)行結(jié)果等等信息。并提供靈活的回放日志查詢分析功能，并可以生存報表。細(xì)粒度權(quán)限控制：按照SQL操作類型包括Select、Insert、Update、Delete,對象擁有者，及基于表、視圖對象、列進(jìn)行權(quán)限控制精準(zhǔn)SQL語法分析：高性能SQL語義分析引擎，對數(shù)據(jù)庫的SQL語句操作，進(jìn)行實時捕獲、識別、分類自動SQL學(xué)習(xí)：基于自學(xué)習(xí)機制的風(fēng)險管控模型，主動監(jiān)控數(shù)據(jù)庫活動，防止未授權(quán)的數(shù)據(jù)庫訪問、SQL注入、權(quán)限或角色升級，以及對敏感數(shù)據(jù)的非法訪問等。2.4.3三期建設(shè)方案（安全運營體系建設(shè)）2.4.3.1設(shè)計思路在二期建設(shè)的基礎(chǔ)上完善主動防御體系，以漏洞、資產(chǎn)、威脅、事件四個維度為抓手；建成漏洞管理平臺、資產(chǎn)管理平臺、威脅實時監(jiān)測、事件管理平臺；形成以安全效果為目標(biāo)的安全運營體系。2.4.3.2建設(shè)內(nèi)容建設(shè)內(nèi)容描述資產(chǎn)管理提供資產(chǎn)管理最佳實踐制度，并通過資產(chǎn)梳理，資產(chǎn)發(fā)現(xiàn)等操作進(jìn)行資產(chǎn)管理。漏洞管理服務(wù)在漏洞發(fā)現(xiàn)的基礎(chǔ)上，有效地追蹤資產(chǎn)漏洞全生命周期，清楚地掌握資產(chǎn)的脆弱性狀況，實現(xiàn)漏洞全生命周期的可視、可控和可管。威脅監(jiān)測與主動響應(yīng)服務(wù)基于人機分析和人員持續(xù)值守模式，對不同安全設(shè)備的安全日志、流量進(jìn)行關(guān)聯(lián)分析，通過安全專家主動識別網(wǎng)絡(luò)和主機中的安全威脅，主動響應(yīng)，協(xié)助單位閉環(huán)處置安全事件。安全事件管理當(dāng)發(fā)生突發(fā)安全事件時，提供包括事件檢測與分析、風(fēng)險抑制、問題根除、協(xié)助業(yè)務(wù)恢復(fù)的服務(wù)；知識轉(zhuǎn)移安全技能：提供基礎(chǔ)和專業(yè)兩個級別的技術(shù)理論培訓(xùn)，并在實際安全事件處置過程中進(jìn)行實戰(zhàn)化知識轉(zhuǎn)移。蜜罐系統(tǒng)欺騙惡意用戶，拖延、誤導(dǎo)攻擊者的攻擊行為，給予事件檢測和響應(yīng)更多的緩沖時間；收集攻擊信息、查找內(nèi)部僵尸、木馬、蠕蟲、惡意訪問等。2.4.3.3安全建設(shè)2.4.3.3.1資產(chǎn)管理資產(chǎn)是風(fēng)險管理中的基礎(chǔ)部分，只有管理好資產(chǎn)才能更有針對性地控制住安全風(fēng)險。資產(chǎn)管理服務(wù)提供資產(chǎn)管理制度，資產(chǎn)識別、錄入以及資產(chǎn)全生命周期的追蹤管理，為用戶清晰掌握單位資產(chǎn)信息，減少僵尸資產(chǎn)以及安全暴露面。資產(chǎn)管理流程資產(chǎn)管理分為兩個階段，管理制度設(shè)立以及資產(chǎn)的持續(xù)管理。在管理制度設(shè)立階段，主要明確資產(chǎn)管理的相關(guān)制度，如資產(chǎn)新增、變更、維護(hù)、下線等相關(guān)的管理流程以及責(zé)任人員。資產(chǎn)的持續(xù)管理階段，主要是全面識別、梳理和管理資產(chǎn)，該階段應(yīng)該是貫穿到日常的安全工作中。2.4.3.3.2漏洞管理利用漏洞掃描工具掃描網(wǎng)絡(luò)中的核心服務(wù)器、重要的網(wǎng)絡(luò)設(shè)備以及WEB業(yè)務(wù)系統(tǒng)，包括服務(wù)器、交換機、防火墻等，以對網(wǎng)絡(luò)設(shè)備進(jìn)行安全漏洞檢測和分析，對識別出的能被入侵者用來非法進(jìn)入網(wǎng)絡(luò)或者非法獲取信息資產(chǎn)的漏洞，并將這些漏洞信息與業(yè)務(wù)資產(chǎn)信息通過漏洞管理平臺進(jìn)行統(tǒng)一關(guān)聯(lián)、展示與追蹤，使得管理人員可以有效地追蹤業(yè)務(wù)資產(chǎn)漏洞全生命周期，實現(xiàn)漏洞信息全生命周期的可視、可控和可管。漏洞分析與管理流程識別：作用在于確定安全漏洞分析與管理服務(wù)的范圍。明確需納入服務(wù)范圍的IT資產(chǎn)；確定安全漏洞掃描的頻率與流程，以最大限度地降低對生產(chǎn)及業(yè)務(wù)的影響。評估：作用在于使用掃描器進(jìn)行安全掃描，以評估資產(chǎn)的安全情況。根據(jù)預(yù)先定義的流程和計劃，執(zhí)行安全漏洞掃描。審閱自動生成的漏掃報告，確保掃描的成功執(zhí)行。結(jié)合第三方的威脅情報庫，獲取實時的安全漏洞信息重要性排序：作用在于基于風(fēng)險對評估結(jié)果進(jìn)行重要性排序，使得組織內(nèi)部的漏洞工作有的放矢。依據(jù)資產(chǎn)的分級分類結(jié)果，對安全漏洞的風(fēng)險等級進(jìn)行重新排序。修復(fù)：作用在于與相關(guān)負(fù)責(zé)方共同提供可落地的修復(fù)方案。針對已識別的安全漏洞，明確切實可行的漏洞修復(fù)計劃；漏洞修復(fù)計劃中也將包含可降低風(fēng)險的安全管控措施管理與衡量：作用在于定義服務(wù)衡量指標(biāo)，以評估漏洞管理的成果及有效性。重新執(zhí)行系統(tǒng)掃描，將現(xiàn)有結(jié)果與原結(jié)果進(jìn)行對比，實現(xiàn)漏洞狀態(tài)的追蹤管理；通過定義服務(wù)關(guān)鍵衡量指標(biāo)，實現(xiàn)服務(wù)的持續(xù)改進(jìn)；最新漏洞預(yù)警流程資產(chǎn)收集：收集內(nèi)部資產(chǎn)信息，建立詳細(xì)資產(chǎn)信息庫。監(jiān)測漏洞數(shù)據(jù)：實時監(jiān)測國家主管機構(gòu)（CNVD、CNNVD）、第三方漏洞情報、自研漏洞數(shù)據(jù)。平臺關(guān)聯(lián)分析：平臺對監(jiān)測到的漏洞數(shù)據(jù)與資產(chǎn)信息庫進(jìn)行關(guān)聯(lián)驗證，明確出最新漏洞的影響范圍。預(yù)警與響應(yīng)：對最新漏洞進(jìn)行針對性預(yù)警與排查狀態(tài)追蹤：最新漏洞建立修復(fù)狀態(tài)追蹤機制2.4.3.3.3威脅監(jiān)測與主動響應(yīng)服務(wù)基于人機分析和人員持續(xù)值守模式，對不同安全設(shè)備的安全日志、流量進(jìn)行關(guān)聯(lián)分析，通過安全專家主動識別網(wǎng)絡(luò)和主機中的安全威脅，主動響應(yīng)，協(xié)助單位閉環(huán)處置安全事件。通過在單位建立威脅7*24小時的持續(xù)監(jiān)測機制，幫助單位將信息安全事件關(guān)口前移，并提供安全威脅的修復(fù)協(xié)助與指導(dǎo)。威脅檢測及主動響應(yīng)流程應(yīng)用場景設(shè)計：應(yīng)用場景作用在于聚焦于特定的威脅情境，以及檢測和處理這些威脅所需的要素。包含以下流程：利用威脅情報、相關(guān)行業(yè)經(jīng)驗以及國內(nèi)外專家團(tuán)隊，進(jìn)行安全威脅應(yīng)用場景的設(shè)計，并提供每個應(yīng)用場景的清晰描述明確定義每個應(yīng)用場景的業(yè)務(wù)價值及潛在影響確定每個應(yīng)用場景所需的數(shù)據(jù)源及日志類型，例如下一代防火墻、安全感知設(shè)備、終端檢測與響應(yīng)軟件等針對安全威脅的識別、響應(yīng)、恢復(fù)及匯報各環(huán)節(jié)的流程和步驟，提供專業(yè)化的設(shè)計：識別：根據(jù)安全威脅的范圍和影響，明確后續(xù)行動計劃；響應(yīng)：通過相關(guān)的技術(shù)手段，控制安全威脅的影響范圍，包括配置防火墻/IPS規(guī)則等；恢復(fù)：修復(fù)受影響的系統(tǒng)，并協(xié)助將系統(tǒng)恢復(fù)到正常運行狀態(tài)；匯報：進(jìn)一步更新安全威脅應(yīng)用場景，包括詳細(xì)的威脅信息/指標(biāo)，以及相應(yīng)的修復(fù)流程，用于流程的進(jìn)一步完善。安全威脅檢測：作用在于基于已定義的應(yīng)用場景，將收集所需的網(wǎng)絡(luò)流量及安全相關(guān)的日志信息，將其匯總到安全運營中心，以供安全專家進(jìn)行分析并處理相應(yīng)的安全威脅，以實現(xiàn)對單位安全威脅的監(jiān)測。包含以下流程：基于已定義的應(yīng)用場景，收集網(wǎng)絡(luò)流量及安全相關(guān)的日志信息，將其匯總到安全運營中心。整合并關(guān)聯(lián)所收集的網(wǎng)絡(luò)流量及安全相關(guān)的日志信息，以識別安全威脅由安全專家對您的IT環(huán)境進(jìn)行24*7的全天候安全監(jiān)測。專業(yè)分析及定位：作用在于由安全專家對告警記錄進(jìn)行專業(yè)分析及分類，并根據(jù)分析及分類結(jié)果，迅速協(xié)助單位確認(rèn)后續(xù)處置計劃。包含流程如下：安全運營專家對安全威脅進(jìn)行分析：識別并過濾任何誤報情況確定安全威脅的范圍及影響有效的安全威脅可通過以下幾種方式進(jìn)行處理：將安全威脅上報至資深安全專家，進(jìn)行進(jìn)一步分析基于已定義的應(yīng)用場景以及相應(yīng)的操作手冊，進(jìn)行主動響應(yīng)及修復(fù)一旦發(fā)現(xiàn)任何安全入侵行為，則啟動完整的應(yīng)急響應(yīng)流程協(xié)助修復(fù)：作用在于基于已定義的應(yīng)用場景，協(xié)助單位修復(fù)安全威脅，有效管理已識別的安全威脅。安全威脅修復(fù)包括以下幾種方式：根據(jù)在安全用例中已定義的流程，協(xié)助組織修復(fù)識別到的安全威脅通過郵件、即時消息、短信等方式通知并提醒相關(guān)安全/IT部門，并提供安全威脅修復(fù)的相關(guān)指導(dǎo)利用人機協(xié)同機制，協(xié)助組織快速而安全地開展安全威脅修復(fù)工作依據(jù)組織的應(yīng)急響應(yīng)流程，告知對應(yīng)的部門或人員2.4.3.3.4安全事件管理安全事件管理流程應(yīng)急預(yù)案：當(dāng)安全事件發(fā)生后才第一次啟動您的應(yīng)急響應(yīng)程序，其實已經(jīng)為時已晚。為潛在安全事件做好準(zhǔn)備的最佳方法，是定期審閱應(yīng)急響應(yīng)預(yù)案，組織應(yīng)急響應(yīng)團(tuán)隊定期進(jìn)行場景演練，并相應(yīng)地更新應(yīng)急響應(yīng)流程。檢測及分析：您應(yīng)當(dāng)具備合適的工具及機制，在安全事件發(fā)生的初期盡早識別事件，從而使您的團(tuán)隊可以爭分奪秒地采取應(yīng)對措施，降低安全事件對組織的整體影響控制、根除及恢復(fù)：一旦識別了安全事件，您的團(tuán)隊必須立即采取行動來控制安全事件的影響，根除造成安全事件的根本原因，并盡快采取恢復(fù)措施，使業(yè)務(wù)恢復(fù)正常運轉(zhuǎn)事后處理：一旦事件成功解決，應(yīng)急響應(yīng)團(tuán)隊?wèi)?yīng)該開展事后處理工作，包括撰寫事后報告、進(jìn)行事后驗證，以及根據(jù)本次安全事件更新應(yīng)急響應(yīng)預(yù)案等。2.4.3.3.5知識轉(zhuǎn)移安全技能知識轉(zhuǎn)移分為兩部分，安全技能理論知識、安全技能實戰(zhàn)知識；安全技能實戰(zhàn)知識轉(zhuǎn)移是指在后續(xù)持續(xù)攻防對抗的過程中，服務(wù)提供商持續(xù)對單位安全技術(shù)人員進(jìn)行賦能，以實戰(zhàn)化的角度，高度結(jié)合業(yè)務(wù)進(jìn)行安全賦能。安全技能理論知識轉(zhuǎn)移是指通過培訓(xùn)的手段提高安全技術(shù)人員的安全技術(shù)理論水平。2.4.3.3.6蜜罐系統(tǒng)蜜罐系統(tǒng)是基于網(wǎng)絡(luò)欺騙技術(shù)的主動防御系統(tǒng)，通過在內(nèi)網(wǎng)中部署具備感知能力的探測端、管理服務(wù)端、沙盒仿真服務(wù)端來協(xié)同聯(lián)動。當(dāng)攻擊者、蠕蟲、病毒等觸碰到探測端時，探測端將收集到的數(shù)據(jù)及時上報到管理服務(wù)器并產(chǎn)生威脅告警，同時將攻擊轉(zhuǎn)移到沙盒仿真服務(wù)器，延緩攻擊時間。通過威脅事件響應(yīng)以及與企業(yè)現(xiàn)有的安全系統(tǒng)（如態(tài)勢感知系統(tǒng)等集成）及早的發(fā)現(xiàn)攻擊者或?qū)嵤┽槍π苑烙胧?，從而迅速阻斷威脅事件，保護(hù)企業(yè)核心資產(chǎn)。功能介紹仿真欺騙提供廣泛的欺騙類型，包括仿真的服務(wù)、數(shù)據(jù)庫、應(yīng)用等。同時也部署大量的面包屑到客戶機器中，包括授權(quán)留下的痕跡、瀏覽器記錄以及日志文件等，通過誘餌直接引誘到沙盒。攻擊檢測在客戶的不同網(wǎng)段中部署探針，然后根據(jù)網(wǎng)段服務(wù)器的業(yè)務(wù)配置不同的服務(wù)及誘餌，從而在第一時間發(fā)現(xiàn)突破原有防御體系的攻擊者。同時也部署大量的誘餌到客戶機器中，包括授權(quán)留下的痕跡、瀏覽器記錄以及日志文件等，通過誘餌直接引誘到沙盒。威脅告警當(dāng)發(fā)生威脅事件時候，界面會顯示出攻擊信息，同時將告警信息通過郵件、Rsyslog等方式發(fā)送給客戶。攻擊延阻通過偽裝節(jié)點和服務(wù)擾亂攻擊者視線，增大攻擊者尋找真實資產(chǎn)的難度，一旦攻擊者攻擊偽裝節(jié)點和服務(wù)，通過高交互的仿真沙盒拖住攻擊者的步伐，為企業(yè)安全人員提供寶貴的響應(yīng)和防御時間攻擊隔離通過各種誘餌、漏洞來吸引攻擊者將其引入事先布置的沙盒，對攻擊進(jìn)行隔離從而保護(hù)真實資產(chǎn)。攻擊取證魅影會詳細(xì)顯示攻擊者攻擊記錄及具體操作記錄，同時也會記錄攻擊流量，方便客戶進(jìn)一步的調(diào)查及取證。威脅展示通過圖表信息展示那些資產(chǎn)被攻擊、資產(chǎn)被攻擊的程度、top10攻擊源的匯總以及攻擊的趨勢，讓用戶可以方便快捷掌握當(dāng)前的安全狀況。安全服務(wù)簡介5.1安全加固服務(wù)制定安全基線標(biāo)準(zhǔn)，對服務(wù)器進(jìn)行安全加固。使用漏洞掃描工具，掃描服務(wù)器存在的能被直接或簡介利用的漏洞，并進(jìn)行修復(fù)。保證系統(tǒng)具備基本的安全功能。5.2滲透測試服務(wù)（1）滲透測試介紹滲透測試是一種專門的安全評估方式，滲透測試團(tuán)隊承擔(dān)攻擊者的角色，通過使用各種惡意技術(shù)查找和利用系統(tǒng)和設(shè)備中的漏洞的過程。測試人員使用與攻擊者用于識別系統(tǒng)漏洞的方法相同的方法，通過授權(quán)的模擬攻擊并在該過程中識別并利用系統(tǒng)的弱點并再次開始該過程，以發(fā)現(xiàn)之前未暴露的其他較低級別的漏洞。我們可以通過滲透測試找出計算機系統(tǒng)，Web應(yīng)用程序或網(wǎng)絡(luò)的漏洞。滲透測試表明系統(tǒng)采用的現(xiàn)有防御措施是否足以防止安全漏洞。滲透測試報告還提出了可以采取的對策，以降低系統(tǒng)被入侵的風(fēng)險。（2）滲透測試方法滲透測試主要分為黑盒滲透測試、白盒滲透測試和灰盒滲透測試三種方法：黑盒滲透測試：在這種方法中，測試人員在不知道其細(xì)節(jié)的情況下評估目標(biāo)系統(tǒng)，網(wǎng)絡(luò)或過程。他們只有公開信息，如URL或公司名稱，使用它們可以滲透到目標(biāo)環(huán)境中。此方法中未檢查任何代碼。白盒滲透測試：在這種方法中，測試人員掌握有關(guān)目標(biāo)環(huán)境的完整詳細(xì)信息。如系統(tǒng)，網(wǎng)絡(luò)，操作系統(tǒng)，IP地址，源代碼，架構(gòu)等。它檢查代碼并發(fā)現(xiàn)設(shè)計和開發(fā)錯誤。它是內(nèi)部安全攻擊的模擬?；液袧B透測試：在這種方法中，測試人員對目標(biāo)環(huán)境的細(xì)節(jié)有限。它是外部安全攻擊的模擬。（3）滲透測試技術(shù)滲透測試主要包含工具掃描和手動測試兩種技術(shù)工具掃描：工具掃描將使用NESSUS、AWVS等大型漏洞掃描工具對主機、網(wǎng)絡(luò)設(shè)備、中間件、數(shù)據(jù)庫、WEB應(yīng)用等進(jìn)行安全掃描。同時使用至少兩種掃描工具對掃描結(jié)果進(jìn)行對比。并由專業(yè)的滲透測試工程師對工具掃描結(jié)果進(jìn)行驗證。手動測試：由專業(yè)的滲透測試工程師對應(yīng)用系統(tǒng)及其基礎(chǔ)承載設(shè)施進(jìn)行手工檢測和分析。檢測應(yīng)用系統(tǒng)中的常規(guī)漏洞、組合漏洞以及邏輯漏洞等。滲透測試將采用工具掃描和手動測試兩種技術(shù)結(jié)合的方式。（4）滲透測試收益滲透測試是一種專門的安全評估方式，基于實戰(zhàn)角度，對指定系統(tǒng)進(jìn)行滲透測試?？梢宰屜嚓P(guān)人員直觀的了解到自己網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等設(shè)施中存在的漏洞和漏洞的影響范圍以及可能造成的損失。對于組織而言，最重要的是業(yè)務(wù)連續(xù)性。第二個最重要的是支持服務(wù)，確保業(yè)務(wù)順利運行。第三個是確保隱私數(shù)據(jù)的安全。因此，為確保所有人員參與并引起注意，滲透測試人員應(yīng)突出組織可能因檢測結(jié)果而面臨的風(fēng)險。滲透測試將確保：在惡意攻擊者找到并利用信息系統(tǒng)的安全弱點之前，識別并修復(fù)它們；滲透測試將找出信息系統(tǒng)的安全弱點，并提供修復(fù)建議，確保信息系統(tǒng)的安全合規(guī)性；在約定時間進(jìn)行的滲透測試可以讓組織內(nèi)部人員嘗試識別和檢測攻擊行為。評估對現(xiàn)實世界攻擊行為的檢測預(yù)警能力。5.3風(fēng)險評估服務(wù)（1）風(fēng)險評估介紹風(fēng)險評估的范圍全面，涉及到網(wǎng)絡(luò)信息系統(tǒng)的各個方面，包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器及網(wǎng)絡(luò)安全設(shè)備的安全性、安全產(chǎn)品和技術(shù)的應(yīng)用狀況以及管理體系是否完善等等；同時對管理風(fēng)險、綜合安全風(fēng)險以及應(yīng)用系統(tǒng)安全性進(jìn)行評估。風(fēng)險評估采用專業(yè)工具掃描、人工評估、滲透測試三種相結(jié)合的方式，審核應(yīng)用所處環(huán)境下存在哪些威脅，根據(jù)應(yīng)用系統(tǒng)所存在的威脅，來確定需要達(dá)到哪些系統(tǒng)安全目標(biāo)才能保證應(yīng)用系統(tǒng)能夠抵擋預(yù)期的安全威脅（2）風(fēng)險評估流程風(fēng)險評估主要分為資產(chǎn)評估、威脅評估、脆弱性評估、風(fēng)險綜合分析、風(fēng)險處置計劃、風(fēng)險評估驗收資產(chǎn)評估進(jìn)行資產(chǎn)分類與識別，包括主機設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、文檔資產(chǎn)、人員資產(chǎn)等。并進(jìn)行資產(chǎn)識別，分類并賦值。資產(chǎn)識別的目的就是要對系統(tǒng)的相關(guān)資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護(hù)價值和需要的保護(hù)層次，從而使組織能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對性的進(jìn)行資產(chǎn)