信息安全系统运维管理威胁态势感知.docx

信息安全系统运维管理威胁态势感知 在运维管理区，部署威胁态势感知系统，有效支撑安全监控部门开展网络安全工作，实时掌握网络安全态势，及时掌握重要信息系统相关网络安全威胁风险，及时检测漏洞、病毒木马、网络攻击情况，及时发现网络安全事件线索，及时通报预警重大网络安全威胁，调查、防范和打击网络攻击等恶意行为。 产品功能 威胁态势感知系统专注于从网络入侵、异常流量、系统漏洞、网站安全、僵木蠕五大部分进行安全态势感知，能够覆盖各种安全运营场景。 网络入侵态势感知 尤其是对“基于对抗的智能态势感知预警模型”的相关研究，威胁态势感知系统吸收了“杀伤链”（Kill Chain）和“攻击树”（Attack Tree）等相关理论，形成了独有的推理决策引擎，借助大数据安全分析系统的分布式数据库，可以实现网络入侵态势感知。 经过实际测试，在网络带宽1Gbps的典型环境中，入侵检测系统每日的日志在20万条左右，经过“入侵威胁感知引擎”分析处理后，形成500个左右的威胁事件，再经过“APT攻击推理引擎”分析处理后，仅仅形成10-20个攻击成功的事件。数据压缩率达到万分之一，大幅节省数据处理的时间成本和人工成本。 异常流量态势感知 目前，DDoS攻击越来越频繁，尤其针对发达地区和重点业务。在2016年第一季度，全球范围内的DDoS攻击事件频发。从重大攻击事件分析，追逐利益仍然是黑客攻击的主要动机，“黑客主义”事件也在不断挑战重要单位的门户网站。 在抗拒绝服务攻击方面，可以对全网流量进行深度流检测，具有网络流量自学习功能，与同类产品相比误报率降低80%以上。网络流量分析系统可以准确发现DDoS攻击事件并掌握攻击源、攻击目的、攻击总流量和峰值流量，协助客户准确掌握网络DDoS攻击态势。 僵木蠕态势感知 僵尸网络、木马、蠕虫病毒三者合称“僵木蠕”。 僵木蠕对互联网和单位内部网络危害非常巨大。僵木蠕消耗大量网络带宽，引起ARP攻击等问题，造成骨干网络瘫痪。同时受到僵木蠕传染的主机受到命令控制服务器的控制，成为DDoS攻击的帮凶。更为严重的是，目前大多数僵木蠕的命令控制服务器位于海外，对国家网络安全造成严重的威胁。 针对僵木蠕的传播特点，对网络上传播的僵木蠕进行识别，并追踪溯源僵木蠕的传播路径、控制命令路径，最终追踪溯源发现命令控制服务器。通过发现的命令控制服务器，再反查受控主机，最终实现对僵木蠕网络态势的感知，为后续采取行动打击僵木蠕创造条件 系统漏洞态势感知 黑客攻击本质上是利用系统存在的安全漏洞对系统进行危害。因此要避免黑客攻击，一个重要的安全防护手段就是在黑客之前发现重要信息系统存在的脆弱性问题，并进行修补，做到防患于未然。 依托漏洞扫描系统，可以发现网络信息系统脆弱性，形成脆弱性态势感知。 网站安全态势感知 网站作为网络信息系统对外提供服务的重要窗口，面临的安全威胁也是最多的。对重要网站信息系统的黑客攻击，不仅会对网站造成严重破坏，还会让黑客能够利用被黑网站对网站浏览者进行攻击，造成更为恶劣的影响。因此，需要对网站的安全态势进行监控，及时发现网站安全问题。 网站安全态势感知，可以及时监控到网站漏洞情况，发现网站挂马、网页篡改、域名劫持等黑客攻击行为，对网站平稳度、网站敏感内容等进行持续监控，并有效进行运维管理，从而避免因为网站出现问题导致公众问题。