公安信息網(wǎng)應(yīng)對新型的高級攻擊和應(yīng)對威脅,需要安全系統(tǒng)能夠做到“看的見”的能力,這就需要系統(tǒng)能夠?qū)σ阎臀粗木W(wǎng)絡(luò)威脅實現(xiàn)及時的預(yù)警,而且還要有較強的數(shù)據(jù)關(guān)聯(lián)和分析能力。實現(xiàn)XX公安信息網(wǎng)以及重點單位的全流量安全取證分析,提升XX市公安局網(wǎng)絡(luò)安全感知能力,更好的為2019年XX世界軍人運動會服務(wù),加強公安信息網(wǎng)的安全檢測和相應(yīng)能力。具體的建設(shè)目標(biāo)如下:
(1)網(wǎng)絡(luò)攻擊和威脅準確快速發(fā)現(xiàn)和預(yù)警,對具有明確特征網(wǎng)絡(luò)攻擊行為進行實時檢測和預(yù)警,對攻擊樣本文件進行已知威脅掃描和未知攻擊分析的能力,長時間原始網(wǎng)絡(luò)流量數(shù)據(jù)追溯分析取證能力,建立全流量的數(shù)據(jù)包保存和取證分析系統(tǒng),對于網(wǎng)絡(luò)通訊原始數(shù)據(jù),能夠?qū)崿F(xiàn)長久時間的數(shù)據(jù)保存,提供關(guān)鍵數(shù)據(jù)的長期取證分析能力。
(2)新型的APT攻擊的發(fā)現(xiàn)和分析能力。
(3)實現(xiàn)全面的威脅預(yù)警和關(guān)聯(lián)分析,便捷的攻擊行為與竊密線索挖掘檢索能力,關(guān)聯(lián)分析能力。
(4)形成網(wǎng)絡(luò)威脅的多維的知識體系。
該平臺由3部分組成,全流量智能管控平臺、全流量數(shù)據(jù)安全審計平臺、全流量數(shù)據(jù)安全追蹤取證平臺。
1、全流量智能管控平臺
全流量智能管控平臺會將接入的全流量數(shù)據(jù)進行智能分類及策略處理,然后接入到全流量數(shù)據(jù)安全審計平臺和全流量數(shù)據(jù)安全追蹤取證平臺。
2、全流量數(shù)據(jù)安全審計平臺
全流量數(shù)據(jù)安全審計平臺負責(zé)對安全數(shù)據(jù)入庫、存儲、關(guān)聯(lián)、分析,同時可以根據(jù)業(yè)務(wù)變化進行橫向擴展,可進行持續(xù)的升級擴容滿足業(yè)務(wù)需求。
3、全流量數(shù)據(jù)安全追蹤取證平臺
全流量數(shù)據(jù)安全追蹤取證平臺集相關(guān)安全分析所需數(shù)據(jù),在本地存儲原始數(shù)據(jù)包和各種統(tǒng)計信息,并按需將深度挖掘取證的數(shù)據(jù)內(nèi)容綜合關(guān)聯(lián)、運算后上報到全流量數(shù)據(jù)安全審計平臺。
