威海职业学院态势感知系统建设项目可行性报告威海职业学院Word下载.doc

1、第五章项目设计方案111. 方案架构112. 业务逻辑123. 潜在威胁124. 安全风险135. 辅助分析决策13第六章项目组织管理141. 项目总体要求142. 项目实施要求143. 服务及培训要求144. 系统培训15第七章项目投资151. 项目资金预算152. 资金来源与落实情况18第八章效益与风险分析182第一章 项目背景及必要性1. 项目提出背景在互联网络规模不断扩大、应用更加广泛的同时，各种网络攻击、信息安全事故发生率也不断攀升。国家互联网应急中心调查显示，各种网络安全事件数量逐年在显著的增加。其中，垃圾邮件事件和网络恶意代码事件增长较快，网络恶意代码、网页篡改事件、网络仿冒事件

2、也有大幅增长，网络安全事件整体上呈现高发趋势，安全形势严峻。为应对网络安全挑战，我院前期部署了防火墙、IPS、WAF、防病毒系统等网络安全设备。然而，这些安全设备都是只能抵御来自某个特定类别的安全威胁，且仅对已知的攻击和威胁防御效果较好。但是随着近2年新型攻击的不断增加（如APT攻击、0day攻击、变种病毒等），导致国内爆发各类安全事件，如WannaCry、BadRabbit、Globelmposter勒索病毒等，因此为了弥补传统防御手段的不足，学院需要构建一套主被动一体的防御体系，来应对已知威胁和未知威胁的攻击；另一方面，利用大数据、AI、UEBA等技术对安全设备产生日志的关联分析、深度分析

3、更好地发现潜伏威胁，从而避免各个安全设备之间相互孤立的防御局面;另外，在某些特殊情况下，网络一旦发生安全事件，排查分析日志，人工关联分析，耗费大量精力，通过部署安全感知设备，将会大幅减少人力排查时间，而且排查更加全面、更加精确。网络安全法和等保2.0，均已明确提出了要加强内网未知威胁的检测和通报预警工作，因此，日益迫切的信息系统安全、等级保护要求我院不断完善和升级网络整体安全性能。2. 项目的必要性基于对背景和学校现状的分析，本次项目建设的必要性主要从以下几个方面考虑：（1）弥补现有防御体系的不足，构建主被动一体的防御体系，应对已知和未知威胁。（2）对现有防御设备进行有机整合，所有日志统一分析

4、、关联分析和深度分析，形成一个L2-L7层立体化的防御体系。 （3）释放安全管理者的运维精力，发生安全事件能够及时风险预警，并能精准定位安全问题，将安全事件的影响面降到最低。（4）在态势感知系统测试阶段，我院发现了隐藏于学工系统后台的挖矿木马，该木马运行非常隐蔽，每天在服务器空闲时间运行，对服务器和网络的压力属于平均水平，传统的安全防御手段WAF、IPS设备均没有发现该系统的异常，通过态势感知的大数据分析，发现了该服务器访问的域名属于挖矿网站的范畴，并提供了精准检测和清除的工具，通过人工检测果然发现了该木马，并利用专用工具进行了清除。在态势感知测试阶段还发现了某台一卡通管理端存在对外国域名的频

5、繁访问的情况，并发布了预警，根据木马检测，果然发现了该终端计算机存在的木马，并清除了木马，然后再未发现该终端计算机的对外非法访问。学校对于网络安全产品的核心需求是保障信息系统的安全。保障信息系统的安全，目的是保护有价值的信息和保障业务的安全持续可用。这包含了2个方面，第一是保护有价值的信息，这也是学院的主要的IT安全需求；第二是保障业务的安全持续可用，即整个业务过程和业务服务的保密性、完整性和可用性。3. 项目建设依据我国网络安全法已经于2017年6月1日起施行，根据国家实行网络安全等级保护制度， 网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未

6、经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施；（三）采取记录、跟踪网络运行状态，监测、记录网络安全事件的技术措施，并按照规定留存网络日志；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第二章 现状与需求分析1. 我院的网络现状2017年初，我院与移动公司签署合作协议，对整个校区的无线网络进行全面升级改造，同时对校园网络核心及出口进行升级改造，实现了有线无线一体化融合，校园网络骨干升级为万兆，原核心交换机H

7、3C7506E安装万兆模块，下移用作数据中心（服务器区）核心交换机使用。已经建设完成的有线无线一体化升级改造后的简略拓扑如下：2. 部分安全设备及服务器、存储现状（1） 部分安全设备现状：目前我院安全设备主要有WAF、防火墙、VPN、认证计费系统、IPS系统、机房环境监控系统等，基本能够阻挡来自外部网络的各种攻击，但对于内部网络的访问和服务器间的相互访问没有有效的安全检测手段，也无法发现来自内部的木马攻击和内部网络对外的非法访问。（2） 部分服务器、存储现状 目前我院网络中心有二套存储、两套虚拟化系统、20余台服务器，提供着10个综合应用系统，80多个功能模块的承载与保障。3. 综合态势感知需

8、求利用安全设施保障信息资产和业务服务的保密性、完整性和可用性，形成一个整体化的安全信息总控中心，应该达到如下几个方面的要求：（1） 集中化能够通过对骨干网络数据流量的大数据分析提供一个信息资产的集中性视图，可以全面性的了解信息系统的安全状态，预测（事前）、应对（事中）和追踪（事后）系统安全问题。（2） 智能化能够将安全数据的收集存储起来供学院管理员查询，还需具备一定人工智能的专家系统，通过对信息系统各种数据的自动分析，为系统管理员提供保护信息安全的工具和途径。对于学院缺乏专业安全管理人员，面对专业性极强的海量安全数据及警报，普通管理人员根本无从下手，系统能否智能的、自动的、准确的发现问题、报告

9、问题、解决问题是态势感知系统功能的关键。（3） 实时化能够对安全事件进行实时分析处理，系统应具备信息接收、分析、报告、响应循环的实时化，为管理人员提供相应的工具和途径，在最短的时间内了解最新的安全状况并作出快速处理。（4） 可视化能够以友好直观的方式将复杂的系统内部数据展现出来，并提供方便的操作方式给管理人员使用，提升系统的可用性。第三章 项目建设的目标和原则从信息安全风险管理角度来看，针对各类系统的运行和网络访问的行为日志是信息安全保障体系中不可或缺的一部分，态势感知系统通过网络全部流量日志，可以全面性的了解信息系统的安全状态，对各类安全问题进行预测、处理、和追踪。1. 态势感知系统的建设目

10、标（1） 有效整合现有信息安全产品，形成统一的安全事件管理平台；（2） 通过全面的日志及行为分析弥补现有各类技术产品在威胁分析发现方面的不足；（3） 为安全事故的责任追查、故障定位提供有力的技术手段。2. 态势感知系统的建设原则态势感知系统方案是一套基于行为和关联分析技术对全网的流量进行安全检测的可视化预警检测平台。方案设计体现适用性、前瞻性、可行性的基本原则，实现安全效果可评估、安全态势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计建设。随时了解整个IT系统的运行情况，通过实时的日志分析及时发现系统异常和非法访问行为；另一方面，通过事后分析和丰富的报

11、表系统，管理员可以方便高效地对信息系统进行有针对性的安全测试。遇到特殊安全事件和系统故障，可以协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。第四章 项目建设内容传统的网络安全建设偏重于被动防御能力（IPS、WAF、防火墙等）的建设，我院在网络安全防护方面已经取得了一定的成果，但通过购买被动防御的安全设备已经不能使安全能力有提升，需要进一步提升安全运营水平并同时积极的开展主动防御能力的建设。所以在建立了一定基本防御能力的基础上，需要增加非特征技术检测能力上的投入，并重点建设事件分析、响应能力。通过对事件的深度分析及信息情报共享，建立预测预警机制，并针对性改善安全系统。最终达到有效检测

12、、防御新型攻击威胁之目的。项目建设包括如下内容：1. 资产业务管理按照功能划分，内网设备可分为资产和业务。态势感知系统可以主动识别内网资产，主动发现内网未被定义的设备资产的IP地址，无需进行繁琐的统计和录入，可以识别内网服务器资产的IP地址，操作系统，开放端口以及传输使用协议和应用。业务与资产关系展示模块，能够按资产IP地址/地址段，组合成为特定的业务组。2. 内网流量展示通过访问关系学习展示用户、业务系统、互联网之间访问关系，能够识别访问关系的who、what、when、how。通过颜色区分不同危险等级用户、业务系统。内网违规访问、攻击行为、异常流量的图形化展示，展示内网针对不同业务资产的正

13、常访问、违规访问、攻击行为、异常流量，并用不同颜色加以区分，查阅更直观。3. 监测识别知识库态势感知系统应具备内建的检测识别知识库，系统应具备全网URL识别能力；知识库涵盖的入侵防护漏洞规则特征库包括漏洞描述、漏洞名称、危险等级、影响系统、对应CVE编号、参考信息和建议的解决方案；知识库应具备独立的僵尸主机识别特征库，恶意软件识别特征库。4. 可视化平台全网攻击监测可视化平台可实现安全态势感知，对全网安全事件与攻击的地图展现与可视化展现。按攻击事件、攻击源、攻击目标、攻击类型、危害级别进行统计与展示。可视化平台支持全网业务可视化，可以呈现全网业务对象的访问关系与被入侵业务的图形化展示。业务外连

14、监控大屏，展示资产、业务被外网攻击的实时动态地图，图形化大屏展示。分支安全监测，能够以地图拓扑的形式展示分支机构/被监管机构的安全状态。 安全日志展示支持所有安全设备的安全日志汇总，并能够通过时间、类型、严重等级、动作、区域、IP、用户、特征/漏洞ID、回复状态码、域名/URL、设备名称等多个条件查询过滤日志。5. 风险可视化基于等保部分要求，展示以用户组为粒度的风险详情及对业务系统的影响情况，风险用户可视化对高危用户进行可视化展示，对高危用户的风险操作、攻击行为、违规行为、影响业务进行可视化展现，并按确定性分类为失陷用户、高危用户、可疑用户。风险业务可视化，对高危业务进行可视化展示，对业务的

15、有效攻击、篡改、后门的攻击路径进行图形化和可视化的展示，并按确定性分类为失陷业务、高危业务、可疑业务。6. 大数据分析引擎大数据分析引擎负责实现各类检测能力及大数据关联分析能力。该引擎由数据预处理、数据融合、模型构建、模型融合、分析结果生成等主要模块构成，以贝叶斯网络、随机森林、马尔科夫聚类、等关键机器学习算法，从而支撑失陷主机检测、及大数据关联分析等安全检测。7. 管理功能支持身份安全认证模式，多次登录失败将锁定账号5分钟内不得登录，支持初次登陆强制修改密码功能；升级模块支持在线升级和离线升级两种升级方式，并支持定时自动升级，平台统一管控探针的升级；可进行静态路由配置；可实时监控设备的CPU

16、、内存、存储空间使用情况，能够监控监听接口的实时流量情况；可以分析统计1天或1周时间内的文件还原数量情况及各个应用流量的大小和分布情况。第五章 项目设计方案1. 方案架构态势感知对信息系统中各类主机、数据库、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析，采用分布式、跨平台的统一智能化管理模式，对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的安全管控。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的，态势感知系统整体逻辑架构如下：2. 业务逻辑信息安全的核心目标是解决核心业务的安

17、全、稳定运行，如果安全检测系统不了解信息系统的资产有哪些、业务逻辑关系如何，而是无论在哪一个网络中都复用同一套安全判断准则，那么它提供的检测能力显然是脱离实际的。所以态势感知系统解决的首要就是看清业务逻辑；对业务系统核心资产进行识别，梳理用户与资产的访问关系，对业务资产存在的脆弱性进行持续检测，及时发现业务上线以及更新产生的漏洞及安全隐患，通过业务识别引擎主动识别新增业务资产以及业务访问关系。3. 潜在威胁信息安全是一个涉及多个领域的复杂问题，攻击者可能包括外部黑客、心怀不满的员工、以及内外勾结等各种情况，攻击途径更是包括了暴力攻击、社会工程学、恶意代码、APT、漏洞利用等等数百种不同手段。防

18、御者需要全面监控，但攻击者只需要一点突破即可，如果没有系统的检测能力，即使别人告诉你被黑客攻击了，都找不出黑客是怎么攻击的。态势感知系统需要提供全面的威胁检测和分析能力。对绕过边界防御的进入内网的攻击进行检测，弥补传统静态防御不足；对内部重要业务资产已发生的安全事件进行持续检测，第一时间发现已发生的安全事件；对内部用户、业务资产的异常行为进行持续的检测，发现潜在风险以降低可能的损失。海量威胁情报关联，通过国内外权威情报库和云端安全分析平台强化新型威胁检测能力。4. 安全风险信息安全系统除了需要能够及时发现问题外，还需要保障系统的易用性，确保网管人员能够方便快速的发现安全问题、了解影响范围、定位

19、问题源头，提供响应的展示告警和分析举证服务。态势感知系统应提供安全事件分析告警和举证分析服务，提供基于系统业务逻辑的业务访问视图，安不安全、哪里不安全一目了然；失陷业务、风险用户和有效攻击等不同维度分析和展示安全风险，方便管理人员定位安全问题。提供告警页面访问逻辑展示、主机威胁活动链分析、安全日志举证和查询服务，可以快速定位问题影响和源头，并进行响应的分析。5. 辅助分析决策除了专业的威胁检测和风险分析效果，态势感知系统还应提供可视化的形式为用户呈现关键业务资产及针对关键业务资产的攻击与潜在威胁，并提供全网攻击监测、分支机构监管、风险外联监测等多个不同视角的大屏展示，提供对失陷业务和主机的报告

20、导出和分析服务，为信息安全主管提供驾驶舱式的辅助决策服务。第六章 项目组织管理1. 项目总体要求提供拟承担本项目的工程人员名单，项目经理要有网络安全安全3年以上工作经历经验，做过成功案例。负责完成态势感知系统部署过程中与学院各种应用系统、服务器、网络和虚拟化、安全设备的策略设置，保证各系统的兼容性，保证系统部署后稳定运行。2. 项目实施要求威海职业学院态势感知系统项目建设自合同正式签署生效起3个月内完成。3. 服务及培训要求对于本项目的建设，要求建设方提供的支持与服务内容包括：在质保期内，提供系统免费升级。供应商应为使用单位提供终身维护服务。投标书中给出免费服务期满后系统升级和维护费用说明。为

21、学院提供所有产品的附件、说明书和技术咨询，并在系统交付使用后应向学院提供详细的技术文档和操作说明书。4. 系统培训投标方免费为学院培训不少于3名管理和维护人员。经培训后，管理和维护人员能独立管理维护整个系统，并能及时排除大部分的故障。第七章 项目投资1. 项目资金预算设备清单1、设备配置态势感知系统设备接口要求：千兆电口6个；硬件配置：内存32GB，存储介质16T；探针设备千兆电口6个, 千兆光口4个，万兆光口2个；万兆光口可扩展，性能要求：吞吐量5Gbps 2、设备功能描述及要求资产识别与管理资产自动识别支持自动识别网络内部主机网段和外网网段。支持通过流量中的应用内容自动区分网络内部网段IP

22、是属于PC还是服务器。自动识别服务器信息支持自动识别资产，在不影响内部网络的前提下，通过主动发送微量包的扫描方式探测潜在的服务器以及学习服务器的基础信息，如：操作系统、开放的端口号等。支持自动识别已知服务器，通过被动检测机制，对经过探针的流量进行分析，识别已知服务器对外提供的所有服务、已开放端口及端口传输的协议/应用等。设备运行监控支持通过SNMP协议，获取待监测设备机器名、CPU负载、内存使用和流量情况，同时也支持OID定制。脆弱性感知脆弱性总览支持页面展示业务脆弱性风险分布，包含不同风险级别业务分布，漏洞类型分布图，漏洞整体态势等，支持7天、30天统计。弱密码扫描支持镜像流量检测数据包中存

23、在的用户名和密码信息,通过分析密码的强度检测出网络中存在的弱密码风险并输入管理员账号才能查看。Web明文检测支持通过镜像流量检测web流量中是否存在可截获的口令信息，分析web业务系统是否存在明文传输情况，避免因明文传输导致信息泄露的风险。漏洞报告支持流量分析实时发现操作系统、数据库、web应用等存在的漏洞风险，看清网络脆弱性，并支持生成漏洞检测报告。高级威胁检测僵尸网络检测支持通过云端沙盒对全球威胁情报源进行验证，提取有效信息形成规则定期更新到僵尸网络识别库，增量提升检测能力。能够与CNCERT、VIRUSTOTAL等国内外权威机构共享威胁情报,具备僵尸网络识别能力，行为规则35万条以上。D

24、NS协议深度检测支持DNSFlow分析引擎，利用机器学习算法结合威胁情报，能够从大量的样本中进行学习，总结其伪装的规律，从而发现伪装的恶意DNS协议。SMB协议深度检测支持SMBFlow分析引擎，利用机器学习技术,发现主机传输可疑文件、恶意软件行为、文件或关键目录的可疑操作行为以及SMB暴力破解等。文件威胁深度检测支持从流量中还原可执行文件进行深度检测，并展示主机所感染恶意文件名、病毒名称、传播协议、外部感染源等。Webshell攻击检测支持HttpFlow分析引擎，利用机器学习技术，发现绕过防御的webshell攻击，并能够大幅度降低传统检测技术带来的误判。失陷业务检测支持检测业务的异常行为

25、，从而识别业务是否已失陷被控制，并设立失陷等级和威胁等级展示当前业务的状态和产生的威胁程度。异常行为检测支持NetFlow分析引擎，利用UEBA方式来检测服务器外发异常，包括是否正在进行DoS攻击、网络内部的横向探测：如IP扫描、端口扫描、数据收集（如到其他服务器下载）或数据传输（将数据传给其他服务器或外网）。外联威胁检测APT C&C通信支持检测主机与C&C服务器通信行为，支持区分国内外区域。可疑行为支持检测访问恶意链接、使用IRC协议进行通信、浏览最近30天注册域名、下载文件格式与实际文件不符、基于行为检测的木马远控、比特币挖矿等可疑访问行为，支持区分国内外区域和显示可疑行为访问趋势。隐蔽

26、通信支持检测隧道、Tor暗网通信、端口反弹等对外通信方式，支持区分国内外区域。风险访问支持检测服务器对外发起的远程登录、远程桌面、数据库等风险应用访问。外连攻击支持检测主机对外发起的攻击行为。基础检测能力数据索引支持记录用户网络当中南北向和东西向的访问信息，包括时间、五元组、具体应用、归属地、访问次数、流量大小等各类实时信息。支持识别应用类型超过1100种，应用识别规则总数超过3000条。支持自定义威胁情报，可自定义确定性等级、威胁等级、事件描述、危害描述和处理建议。漏洞利用攻击检测支持对服务器、客户端的各种应用发起的漏洞攻击进行检测，包括20种攻击类型共9000+以上规则。支持对常见应用服务

27、（HTTP、FTP、SSH、SMTP、IMAP等）和数据库软件（MySQL、Oracle、MSSQL等）的口令暴力破解检测功能。WEB应用攻击检测支持检测针对WEB应用的攻击，如SQL注入、XSS、系统命令等注入型攻击。支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测。支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测。要求具备独立的Web应用检测规则库，Web应用检测规则总数在3000条以上。大屏展示横向威胁大屏展示支持图形化大屏的横向威胁展示，包括但不限于横向威胁趋势，威胁类型分布、被访问业务TOP5、攻击源TOP5、违规访问源TOP5、

28、可疑访问源TOP5、风险访问源TOP5。服务器与漏洞态势大屏支持以图形化大屏的服务器与漏洞实时态势，包括但不限于漏洞等级分布、TOP5漏洞、服务器操作系统分布、影响服务器的数量、被访问服务器TOP5、实时漏洞发现更新、业务对外开放TOP5端口。业务风险外连大屏支持以图形化大屏的方式展示业务外连的实时态势，包括但不限于外连业务风险TOP10、外连态势、外连地址TOP10、最新事件等，支持国际、国内地图自主切换。威胁感知监控外部风险行为监测支持展示外网对网络内部尝试（或已成功）进行的远程登陆、数据库访问等行为，可查看明细列表，内容包括但不限于外网IP、受影响网络内部主机IP、外部风险访问者数等。正

29、常业务外连监控支持对业务的外连行为进行监测，以可视化的方式展示业务外连的地域分布、是否存在风险、外连趋势等，并提供详细的外连日志查询。潜伏威胁黄金眼支持基于可视化的形式展示威胁的影响面，通过大数据分析和关联检索技术，能够直观的看到失陷主机攻击了谁，被谁攻击了，帮助管理人员及时了解威胁的影响，并制定有效的处置动作。失陷主机举证支持对风险业务、风险用户进行详细举证，详细举证为什么评判该主机为失陷级，并针对每个举证的安全事件进行详细的描述，如具体事件、该事件带来的危害、如何进行处置。威胁攻击链展示支持基于威胁活动链的形式展现主机的安全状况，能够直观地展示主机正处于被黑客入侵的哪个阶段，是否已经被利用

30、、以及威胁的程度。访问关系梳理支持基于用户/业务维度的访问关系梳理，可呈现该用户/业务已经通过哪些应用、协议和端口访问了哪些业务，这些访问是否是攻击、违规、远程登陆等行为，IT人员可清晰的看出已对哪些业务存在影响，也能推导当前用户是否已失陷（或可疑）。报表与日志管理主机安全风险报告支持从业务和主机的角度详细分析各主机的安全风险状况，提供危害解释和参考解决方案。适用于日常处理安全问题的运维人员。脆弱性感知报告支持分析具体的业务系统存在的脆弱性风险，提供危害解释和参考解决方案。综合风险报告支持综合分析具体的业务系统和终端的安全风险详情，提供危害解释和参考解决方案。安全告警支持以邮件的形式及时将发现的失陷业务、失陷用户、攻击成功事件等安全事件进行告警，支持根据安全事件类型配置发送间隔和触发条件。安全日志检索支持检索接入设备传输过来的所有安全日志，可基于时间、攻击类型、严重等级等选择项进行组合查询，可基于具体设备、来源/目的所属、IP地址、特征ID、URL进行具体条件搜索。支持通过syslog等接收、