通過XX市煙草市公司網(wǎng)絡(luò)狀態(tài)監(jiān)控分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)的研究,對(duì)市公司網(wǎng)絡(luò)流量和終資產(chǎn)狀態(tài)、行為等安全數(shù)據(jù)的采集、處理、分析、建模及控制,在對(duì)威脅事件檢測(cè)和分析的基礎(chǔ)上,結(jié)合智能化運(yùn)維監(jiān)控,利用威脅分析和監(jiān)測(cè)預(yù)警結(jié)果,形成包括資產(chǎn)態(tài)勢(shì)、事件態(tài)勢(shì)、風(fēng)險(xiǎn)態(tài)勢(shì)、威脅態(tài)勢(shì)、業(yè)務(wù)狀態(tài)等在內(nèi)的各類安全態(tài)勢(shì)可視化,并探索建立針對(duì)性策略庫(kù),完善應(yīng)急響應(yīng)機(jī)制,提高響應(yīng)處置的效率,實(shí)時(shí)把控市公司的網(wǎng)絡(luò)安全態(tài)勢(shì)與走勢(shì)預(yù)測(cè),從宏觀上掌握公司整體網(wǎng)絡(luò)安全形勢(shì),動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)安全預(yù)警級(jí)別與對(duì)應(yīng)處置方法,確保整體網(wǎng)絡(luò)安全保障體系正常運(yùn)轉(zhuǎn)。
構(gòu)建針對(duì)XX煙草公司網(wǎng)絡(luò)狀態(tài)監(jiān)控分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)的研究,包括網(wǎng)絡(luò)威脅持續(xù)監(jiān)測(cè)、資產(chǎn)狀態(tài)監(jiān)控、設(shè)備狀態(tài)監(jiān)測(cè)、安全深入分析以及快速響應(yīng),覆蓋檢測(cè)、防護(hù)、響應(yīng)和預(yù)警的端到端網(wǎng)絡(luò)安全防御體系。主要研究?jī)?nèi)容包括如下:
(1)全流量實(shí)時(shí)監(jiān)測(cè)分析
利用先進(jìn)技術(shù)手段針對(duì)全網(wǎng)流量、安全日志開展實(shí)時(shí)安全采集監(jiān)測(cè),通過自動(dòng)化手段對(duì)內(nèi)網(wǎng)的流量協(xié)議進(jìn)行自動(dòng)化解析,對(duì)內(nèi)網(wǎng)威脅進(jìn)行持續(xù)檢測(cè)、深入分析和自動(dòng)化響應(yīng),實(shí)現(xiàn)威脅監(jiān)控、治理工作常態(tài)化。
(2)數(shù)據(jù)分析引擎應(yīng)用
對(duì)市公司網(wǎng)絡(luò)中的可疑網(wǎng)絡(luò)訪問行為、流量中的未知文件,引用威脅分析引擎進(jìn)行檢測(cè)和判定。分析引擎能應(yīng)用海量的網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)、病毒樣本數(shù)據(jù)、黑客組織數(shù)據(jù)、風(fēng)險(xiǎn)漏洞數(shù)據(jù),以及文件動(dòng)態(tài)分析技術(shù),應(yīng)用行為深度學(xué)習(xí)技術(shù),進(jìn)行關(guān)聯(lián)分析,并提供最終的威脅判定結(jié)論。
(3)構(gòu)建本地安全數(shù)據(jù)庫(kù)
基于市公司網(wǎng)絡(luò)安全設(shè)備、基礎(chǔ)核心設(shè)備以及基于資產(chǎn)的控制系統(tǒng),引流至中心數(shù)據(jù)承載服務(wù)器,按照標(biāo)準(zhǔn)制式輸出、構(gòu)建本地網(wǎng)絡(luò)行為數(shù)據(jù)庫(kù),作為市公司網(wǎng)絡(luò)安全標(biāo)準(zhǔn)建立依據(jù),指導(dǎo)網(wǎng)絡(luò)安全規(guī)范建設(shè)。
(4)威脅攻擊快速定位溯源取證
應(yīng)用異常行為規(guī)則、機(jī)器學(xué)習(xí)、場(chǎng)景化分析等技術(shù)手段在全流量中發(fā)現(xiàn)內(nèi)網(wǎng)失陷機(jī)器感染惡意軟件(程序)事件,全面發(fā)現(xiàn)內(nèi)網(wǎng)威脅,精準(zhǔn)定位異常主機(jī),異常行為。
(5)多維度態(tài)勢(shì)可視化呈現(xiàn)
綜合收集到的安全信息要素,基于面向總體安全監(jiān)測(cè)的認(rèn)知和監(jiān)測(cè)進(jìn)行數(shù)據(jù)的融合、關(guān)聯(lián)分析和挖掘分析。安管平臺(tái)包含的視角包括資產(chǎn)、威脅、攻擊、事件、告警提供大數(shù)據(jù)的分析結(jié)果,為研判、決策及保障本單位網(wǎng)絡(luò)安全提供有效基礎(chǔ)支撐。
(6)安全資產(chǎn)集中管理監(jiān)控
以安全資產(chǎn)核心資源監(jiān)控為主線,構(gòu)建統(tǒng)一集成的安全資產(chǎn)監(jiān)控概念,主動(dòng)、及時(shí)地發(fā)現(xiàn)問題,并調(diào)度資源解決問題。當(dāng)故障產(chǎn)生時(shí),可以進(jìn)行故障的快速定位,發(fā)現(xiàn)故障原因,調(diào)度資源快速恢復(fù)系統(tǒng)服務(wù),從而縮短故障解決時(shí)間,降低維護(hù)成本,提高系統(tǒng)整體可用性。
