客户介绍

随着电子信息技术的快速发展，因特网正日益发展壮大。世界大多数国家和地区已经与因特网接通。中国改革开放和经济建设的不断发展和需求，各行业相继建设了相当规模的计算机网络。伴随着计算机网络的高速发展计算机犯罪活动在中国也初露端倪。具有高技术含量的这种犯罪与以往的常见刑事犯罪有着一些不同之处，被称之为“21世纪的犯罪”，某市公安局网安大队为了维护网络安定运营、有效的打击网络犯罪，需要一套先进的技术工具平台通过互联网、威胁情报、流量侦测等手段，帮助他们完成对不法份子的破坏活动的侦测与发现。

需求分析

辖区内大量的各类网站安全监管是一个比较大的任务，纯靠人工及单机的安全检查工具，一方面耗费人力物力，另一方面，也不能及时的发现网站的篡改，挂马等行为，很多时候，网站的安全事件都是由上级部门或者其他安全组织通告后才知晓，非常被动，及时发现辖区网站的各类安全问题，有多少业务资产，网站是否备案，网站是否存在敏感内容，网站是否被篡改，网站是否存在漏洞也是一个非常大的需求。

解决方案

态势感知平台的搭建大致分为5个业务区域，分别是：互联网监测区、流量监测分析区、态势感知可视化展示区、重点网站监测区、数据通报中心区。

1. 互联网监测区

该区域主要负责对互联网上的网站及业务系统进行远程监测，需要使用主动探测引擎，如：网络空间探测引擎、网站安全监测引擎。对管辖内的资产进行全面的普查摸底，关于资产建模遵循相关主管单位的态势感知要求和标准，对关键信息基础设施及重要门户网站、信息系统，进行探测摸底检查和漏洞评估，准确的识别出资产的指纹及漏洞信息，完善资产画像；

2. 流量监测分析区

在运营商方机房部署流量监测设备APT和僵木蠕监测引擎对辖区内的重保单位业务流量进行全量检测，并且结合威胁情报平台数据把高风险IP地址进行重点监控智能分析；

3. 态势感知可视化展示区

集中化的管控平台、调度平台以及可视化展示，通过该区域对辖区内的资产风险、范围进行全局性的管控，便于管理者对新安全态势有所掌控，准确的下达预警以及处置指令；

4. 数据通报中心区

构建出一套完整的通告处置体系，借助于平台对发现的安全事件进行处置通告，将发现的各种安全性隐患和事件问题进行通告处置下发，并且通过专网进行数据接口对接，与省级数据通报中心联动配合，能够接收以及上传相关的隐患及事件，形成省市县三层整体的通告处置闭环体系。

平台主要分为主动探测和被动探测两方面。

1.主动探测引擎

◆ 全栈安全检测：安全漏洞评估不能只关注Web应用程序漏洞，现在渗透入侵手段繁多，常常是通过从应用层漏洞到中间件漏洞再到操作系统层面的漏洞均能有效的进行监测，不会形成扫描监测的短板；

◆ 多维度的内容监测：暗链、敏感词都是黑客篡改网站常用的体现方式，实时主动探测、准确的把相关敏感信息发现是减小损害影响面的直接、有效的方式；

◆ 孤岛文件发现：通过主动探测引擎采用图谱分析法分析，快速准确的发现可疑文件，如“后台管理页面、敏感测试页面、框架插件文件、孤岛后门文件等”。

2.被动探测引擎

◆ APT流量监测：自身强大的流量分析模型，对流量内的各种威胁攻击有效的识别判断，并且结合威胁情报平台数据把高风险IP地址进行重点监控智能分析；

◆ 僵木蠕流量监测：遵循公安部标准，监测种类多，其中包含9大类46个子类别共20000多条规则。如针对服务器、PC客户端的后门木马，僵尸程序检测；具备检测入侵攻击事件，如针对主机系统漏洞的恶意攻击，针对WEB的注入攻击等。

案例价值

基于此态势感知平台的建设和使用，实现对管辖内的重点网站的安全监测，建立相关的安全监测机制。实现对辖区重点网站的整体安全监测，安全事件快速响应；实现整个网站安全监管水平、安全防护水平、事件处置能力的快速提升，保证各个网站的有效合规运行；有效实现便民、利民、高效，推动当地社会及经济发展。