1、企業(yè)安全態(tài)勢(shì)感知平臺(tái)建設(shè)方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc55983896 1 概述 PAGEREF _Toc55983896 h 4 HYPERLINK l _Toc55983897 1.1. 項(xiàng)目背景介紹 PAGEREF _Toc55983897 h 4 HYPERLINK l _Toc55983898 1.2. 傳統(tǒng)安全防御體系的風(fēng)險(xiǎn)與不足 PAGEREF _Toc55983898 h 7 HYPERLINK l _Toc55983899 1.3. 企業(yè)或組織網(wǎng)絡(luò)安全現(xiàn)狀分析 PAGEREF _Toc55983899 h 10 HYPERLINK

2、l _Toc55983900 第2章. 網(wǎng)絡(luò)分析 PAGEREF _Toc55983900 h 12 HYPERLINK l _Toc55983901 2.1. XX企業(yè)網(wǎng)絡(luò)現(xiàn)狀 PAGEREF _Toc55983901 h 12 HYPERLINK l _Toc55983902 2.2. XX企業(yè)網(wǎng)絡(luò)業(yè)務(wù)分析 PAGEREF _Toc55983902 h 12 HYPERLINK l _Toc55983903 2.3. XX企業(yè)面臨的網(wǎng)絡(luò)威脅分析 PAGEREF _Toc55983903 h 12 HYPERLINK l _Toc55983904 第3章. 企業(yè)安全態(tài)勢(shì)感知解決方案 PAGE

3、REF _Toc55983904 h 13 HYPERLINK l _Toc55983905 3.1. XX企業(yè)安全態(tài)勢(shì)感知系統(tǒng)整體方案 PAGEREF _Toc55983905 h 13 HYPERLINK l _Toc55983906 3.2. 安全態(tài)勢(shì)感知解決方案總體架構(gòu) PAGEREF _Toc55983906 h 16 HYPERLINK l _Toc55983907 3.3. XX企業(yè)安全態(tài)勢(shì)感知系統(tǒng)部署方案 PAGEREF _Toc55983907 h 20 HYPERLINK l _Toc55983908 第4章. 安全態(tài)勢(shì)感知系統(tǒng)建設(shè) PAGEREF _Toc55983908

4、 h 22 HYPERLINK l _Toc55983912 4.1. 數(shù)據(jù)采集建設(shè)方案 PAGEREF _Toc55983912 h 22 HYPERLINK l _Toc55983913 4.1.1. 日志采集 PAGEREF _Toc55983913 h 22 HYPERLINK l _Toc55983914 4.1.2. 流量采集 PAGEREF _Toc55983914 h 25 HYPERLINK l _Toc55983915 4.1.3. 資產(chǎn)探測(cè)信息采集 PAGEREF _Toc55983915 h 27 HYPERLINK l _Toc55983916 4.1.4. 漏洞發(fā)現(xiàn)

5、信息采集 PAGEREF _Toc55983916 h 30 HYPERLINK l _Toc55983917 4.2. 數(shù)據(jù)層建設(shè)方案 PAGEREF _Toc55983917 h 32 HYPERLINK l _Toc55983918 4.2.1. 數(shù)據(jù)治理 PAGEREF _Toc55983918 h 32 HYPERLINK l _Toc55983919 4.2.2. 安全數(shù)據(jù)庫(kù) PAGEREF _Toc55983919 h 33 HYPERLINK l _Toc55983920 4.3. 安全分析層建設(shè)方案 PAGEREF _Toc55983920 h 37 HYPERLINK l

6、_Toc55983921 4.3.1. 常規(guī)威脅檢測(cè) PAGEREF _Toc55983921 h 37 HYPERLINK l _Toc55983922 4.3.2. 未知威脅/高級(jí)威脅檢測(cè) PAGEREF _Toc55983922 h 40 HYPERLINK l _Toc55983923 4.3.3. 惡意文件檢測(cè) PAGEREF _Toc55983923 h 46 HYPERLINK l _Toc55983924 4.3.4. 關(guān)聯(lián)分析 PAGEREF _Toc55983924 h 48 HYPERLINK l _Toc55983925 4.3.5. 威脅判定 PAGEREF _Toc

7、55983925 h 48 HYPERLINK l _Toc55983926 4.3.6. 誘捕 PAGEREF _Toc55983926 h 49 HYPERLINK l _Toc55983927 4.3.7. 威脅判定 PAGEREF _Toc55983927 h 52 HYPERLINK l _Toc55983928 4.4. 應(yīng)用層建設(shè)方案 PAGEREF _Toc55983928 h 52 HYPERLINK l _Toc55983929 4.4.1. 智能檢索 PAGEREF _Toc55983929 h 52 HYPERLINK l _Toc55983930 4.4.2. 態(tài)勢(shì)呈

8、現(xiàn) PAGEREF _Toc55983930 h 54 HYPERLINK l _Toc55983931 4.4.3. 事件管理 PAGEREF _Toc55983931 h 56 HYPERLINK l _Toc55983932 4.4.4. 資產(chǎn)風(fēng)險(xiǎn)管理 PAGEREF _Toc55983932 h 57 HYPERLINK l _Toc55983933 4.4.5. 專項(xiàng)分析 PAGEREF _Toc55983933 h 58 HYPERLINK l _Toc55983934 4.4.6. 威脅報(bào)告 PAGEREF _Toc55983934 h 59 HYPERLINK l _Toc55

9、983935 4.4.7. 業(yè)務(wù)配置 PAGEREF _Toc55983935 h 60 HYPERLINK l _Toc55983936 4.4.8. 系統(tǒng)管理 PAGEREF _Toc55983936 h 60 HYPERLINK l _Toc55983937 4.4.9. 安全響應(yīng) PAGEREF _Toc55983937 h 62 HYPERLINK l _Toc55983938 4.4.10. 北向接口 PAGEREF _Toc55983938 h 64 HYPERLINK l _Toc55983939 4.4.11. 系統(tǒng)監(jiān)控 PAGEREF _Toc55983939 h 65 H

10、YPERLINK l _Toc55983940 4.4.12. 產(chǎn)品運(yùn)維 PAGEREF _Toc55983940 h 65 HYPERLINK l _Toc55983941 第5章. 部署 PAGEREF _Toc55983941 h 67 HYPERLINK l _Toc55983942 6.1 網(wǎng)絡(luò)規(guī)劃 PAGEREF _Toc55983942 h 69 HYPERLINK l _Toc55983943 5.1. 升級(jí)方式 PAGEREF _Toc55983943 h 70 HYPERLINK l _Toc55983944 5.2. 硬件配置 PAGEREF _Toc55983944 h

11、 70 HYPERLINK l _Toc55983945 5.3. 軟件配置 PAGEREF _Toc55983945 h 72 HYPERLINK l _Toc55983946 5.4. 結(jié)合客戶場(chǎng)景提供配置建議 PAGEREF _Toc55983946 h 72 HYPERLINK l _Toc55983947 第6章. 服務(wù) PAGEREF _Toc55983947 h 73 HYPERLINK l _Toc55983948 6.1. 服務(wù)價(jià)值 PAGEREF _Toc55983948 h 73 HYPERLINK l _Toc55983949 6.2. 服務(wù)內(nèi)容 PAGEREF _To

12、c55983949 h 73概述項(xiàng)目背景介紹習(xí)近平總書(shū)記的“四個(gè)全面”戰(zhàn)略布局、網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略思想及國(guó)家相繼出臺(tái)國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略和網(wǎng)絡(luò)安全法的發(fā)布，把網(wǎng)絡(luò)安全工作的重要程度提到了新的高度。同時(shí)，進(jìn)入互聯(lián)網(wǎng)+時(shí)代，網(wǎng)絡(luò)安全的攻擊面正以幾何倍數(shù)增長(zhǎng)和擴(kuò)大，并且面對(duì)的網(wǎng)絡(luò)安全威脅也日益猖獗和嚴(yán)峻，給網(wǎng)絡(luò)安全主管部門和企事業(yè)帶來(lái)了前所未有的壓力和挑戰(zhàn)。2016年4月，在國(guó)家網(wǎng)絡(luò)安全和信息化工作座談會(huì)上習(xí)近平總書(shū)記提出了“要大力推進(jìn)網(wǎng)絡(luò)安全主動(dòng)防御體系建設(shè)，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”要求。2017年6月，中華人民共和國(guó)網(wǎng)絡(luò)安全法正式實(shí)施，我國(guó)網(wǎng)絡(luò)安全邁入法治化新階段，明確了各部門各單位的網(wǎng)絡(luò)安全的

13、職責(zé)。2019年4月，習(xí)近平在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上談到：“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，就沒(méi)有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障?！备骷?jí)政府和相關(guān)機(jī)構(gòu)深入貫徹中央關(guān)于“建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)”的戰(zhàn)略部署，把網(wǎng)絡(luò)安全納入經(jīng)濟(jì)社會(huì)發(fā)展全局來(lái)統(tǒng)籌謀劃部署，大力推進(jìn)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)信息保護(hù)工作，在增強(qiáng)全民網(wǎng)絡(luò)安全意識(shí)、構(gòu)建網(wǎng)絡(luò)安全制度體系、保障網(wǎng)絡(luò)運(yùn)行安全、治理違法違規(guī)信息、加強(qiáng)個(gè)人信息保護(hù)、推進(jìn)核心技術(shù)創(chuàng)新等領(lǐng)域取得了積極成效。在國(guó)內(nèi)針對(duì)政府和重點(diǎn)行業(yè)單位的高級(jí)威脅攻擊事件層出不窮。數(shù)據(jù)泄露、高危漏洞、網(wǎng)絡(luò)攻擊以及相關(guān)的網(wǎng)絡(luò)犯罪呈現(xiàn)新的變化，未知威脅、高級(jí)威脅、0day漏洞等高級(jí)攻擊技術(shù)不

14、斷挑戰(zhàn)企業(yè)、政府的安全防御體系，網(wǎng)絡(luò)安全走向利益化加重了網(wǎng)絡(luò)安全事件所帶來(lái)的損失和影響。近兩年國(guó)內(nèi)發(fā)生的典型網(wǎng)絡(luò)安全事件：上海社保系統(tǒng)被黑，系統(tǒng)癱瘓近4個(gè)小時(shí)2018年6月上海市醫(yī)保系統(tǒng)故障癱瘓近4個(gè)小時(shí)，由于醫(yī)保局服務(wù)器斷線，對(duì)全市各醫(yī)院醫(yī)療保險(xiǎn)實(shí)時(shí)結(jié)算造成影響。病人無(wú)法使用醫(yī)?？⊕焯?hào)和結(jié)算。病人要么選擇等待，要么就自費(fèi)掛號(hào)并支付，現(xiàn)場(chǎng)各個(gè)窗口排起了長(zhǎng)龍。某快遞公司數(shù)據(jù)被盜，近億客戶信息泄露2018年5月“黑客”入侵快遞公司后臺(tái)盜近億客戶信息，中國(guó)公民信息泄露近1億條，導(dǎo)致個(gè)人經(jīng)常接到貸款、買房、工藝品等廣告騷擾電話。境外黑客利用勒索病毒攻擊我國(guó)部分政府和醫(yī)院機(jī)構(gòu)2019年3月13日，有消息

15、顯示，我國(guó)部分政府部門和醫(yī)院等公立機(jī)構(gòu)遭遇到國(guó)外黑客攻擊。此次攻擊中，黑客組織利用勒索病毒對(duì)上述機(jī)構(gòu)展開(kāi)郵件攻擊。從2019年3月11日起，境外不明黑客組織對(duì)我國(guó)部分政府部門開(kāi)展勒索病毒郵件攻擊。這些郵件的標(biāo)題是“你必須在3月11日下午3點(diǎn)向警察局報(bào)到！”，這些郵件的發(fā)件者名為“Min,GapRyong”（部分部門反映還有其他的假冒發(fā)件人約70多個(gè)），另外這些郵件中無(wú)一例外都附有名為“03-11-19.rar”的壓縮文件，而不明真相者一旦打開(kāi)這些附件將會(huì)中招。物聯(lián)網(wǎng)攻擊事件2019年3月21日至22日，位于光谷總部國(guó)際的“微鋒”(化名)科技有限公司的多臺(tái)物聯(lián)網(wǎng)終端設(shè)備出現(xiàn)故障：自助洗衣機(jī)、自助

16、充電樁、自助吹風(fēng)機(jī)、按摩椅、搖搖車、抓娃娃機(jī)等均脫網(wǎng)無(wú)法正常運(yùn)行。經(jīng)統(tǒng)計(jì)，共100余臺(tái)設(shè)備被惡意升級(jí)無(wú)法使用、10萬(wàn)臺(tái)設(shè)備離線，造成了重大經(jīng)濟(jì)損失。某著名短視頻公司千萬(wàn)級(jí)賬號(hào)遭撞庫(kù)攻擊，牟利百萬(wàn)黑客被捕2019年2月，北京某著名短視頻公司向海淀警方報(bào)案，其公司旗下APP，遭人拿千萬(wàn)級(jí)外部賬號(hào)密碼惡意撞庫(kù)攻擊，其中上百萬(wàn)賬號(hào)密碼與外部已泄露密碼吻合。超2億中國(guó)求職者簡(jiǎn)歷疑泄露，數(shù)據(jù)“裸奔”將近一周2019年1月，Hacken Proof的網(wǎng)絡(luò)安全人員Bob Diachenko在推特上爆料稱，一個(gè)包含2.02億中國(guó)求職者簡(jiǎn)歷信息的數(shù)據(jù)庫(kù)泄露，被稱為中國(guó)有史以來(lái)最大的數(shù)據(jù)曝光之一。 某打車平臺(tái)服務(wù)器

17、遭攻擊，黑客勒索巨額比特幣2019年5月26日，某打車平臺(tái)官網(wǎng)癱瘓，App也無(wú)法正常使用。某打車平臺(tái)官方發(fā)布微博稱：“2019年5月26日凌晨，服務(wù)器遭到連續(xù)攻擊，因此給用戶使用帶來(lái)嚴(yán)重的影響。攻擊者索要巨額的比特幣相要挾，攻擊導(dǎo)致易到核心數(shù)據(jù)被加密，服務(wù)器宕機(jī)。我們的相關(guān)技術(shù)人員正在努力搶修。在過(guò)去的幾年里，國(guó)外也同樣不斷有網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露事件發(fā)生，不安全的數(shù)據(jù)庫(kù)暴露在internet上也是很嚴(yán)重的問(wèn)題；零日漏洞可能在程序打補(bǔ)丁前在被利用；組織或個(gè)人可能成為國(guó)家資助的APT組織，擁有大量資源和工具。根據(jù)IBM最新的數(shù)據(jù)泄露年度成本研究，平均數(shù)據(jù)泄露成本現(xiàn)在高達(dá)392萬(wàn)美元。這些費(fèi)用在過(guò)去五

18、年里增加了12%。2017年2月3日，攻擊者在波蘭金融監(jiān)管機(jī)構(gòu)的網(wǎng)站上植入了一種病毒，然后等待銀行在訪問(wèn)該網(wǎng)站期間不經(jīng)意地下載它。當(dāng)名單上的銀行訪問(wèn)該網(wǎng)站時(shí)，它們會(huì)被重定向至?xí)噲D下載惡意軟件的網(wǎng)站。2019年1月，俄克拉荷馬州證券部的一個(gè)服務(wù)器，包含數(shù)兆字節(jié)的政府機(jī)密數(shù)據(jù)，包括聯(lián)邦調(diào)查局的調(diào)查記錄和敏感的政府文件，暴露在互聯(lián)網(wǎng)上。2019年3月， Globelmposter3.0（又稱“生肖”勒索軟件）肆虐醫(yī)院，數(shù)據(jù)庫(kù)文件被加密破壞，醫(yī)院業(yè)務(wù)癱瘓2019年4月，GandCrab V5.2（俠盜病毒）預(yù)警，主要針對(duì)政府、企業(yè)、高校進(jìn)行攻擊2019年7月，萬(wàn)豪因泄漏3.83億名客戶信息被英國(guó)罰款

19、1.24億美元。面對(duì)網(wǎng)絡(luò)安全嚴(yán)峻的形勢(shì)，亟需對(duì)應(yīng)的安全解決方案來(lái)應(yīng)對(duì)高級(jí)威脅攻擊帶來(lái)的影響，及時(shí)監(jiān)控、定位發(fā)生的攻擊事件，維護(hù)政府、企事業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施正常對(duì)外提供服務(wù)，做到監(jiān)測(cè)全網(wǎng)整體安全、掌控全網(wǎng)資產(chǎn)安全、多維度的感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、定位威脅、追蹤溯源、快速響應(yīng)處置威脅的能力，解決“網(wǎng)絡(luò)是否安全不知道、哪些是核心資產(chǎn)不知道、誰(shuí)進(jìn)來(lái)了不知道、進(jìn)了哪里不知道、要做什么不知道”的問(wèn)題，切實(shí)維護(hù)業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)，鞏固業(yè)務(wù)系統(tǒng)的安全堤壩。傳統(tǒng)安全防御體系的風(fēng)險(xiǎn)與不足傳統(tǒng)的防御一般分為邊界防護(hù)體系和縱深防御體系，最常見(jiàn)的防御體系是邊界防護(hù)，包括防火墻、IPS、IDS、WAF等一系列的邊界防護(hù)產(chǎn)品，這

20、類體系扮演著重要作用，可以很大程度上減少攻擊面，作為基于的安全防御必不可少，這種防御體系強(qiáng)調(diào)在網(wǎng)絡(luò)的邊界解決安全問(wèn)題。優(yōu)勢(shì)是部署簡(jiǎn)單，主要在網(wǎng)絡(luò)邊界部署安全設(shè)備；但是在高級(jí)威脅、威脅變種、0Day漏洞橫行的情況下，這種防御體系一旦邊界被黑客突破，即可長(zhǎng)驅(qū)直入。另一種防御體系為縱深防御體系，強(qiáng)調(diào)的是任何防御措施都不是萬(wàn)能的，存在黑客突破防御措施的可能，于是進(jìn)行多層次防御，黑客必須突破多層才能接觸到核心資產(chǎn)?？v深防御體系在一段時(shí)間內(nèi)都是成功的，可以增大黑客攻擊的成本。而且大的企業(yè)一般都會(huì)采用縱深防御體系，在網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)層、服務(wù)器端、客戶端部署不同的安全產(chǎn)品，攻擊成本高，安全性較好，但是各個(gè)產(chǎn)品之

21、間缺乏有效的協(xié)同機(jī)制，各自為政，檢測(cè)手段多是基于規(guī)則和黑白名單，對(duì)于0day以及可以繞過(guò)防御的抱有政治、經(jīng)濟(jì)目的的專業(yè)黑客或高級(jí)APT組織，攻克這種防御體系也只是時(shí)間問(wèn)題。下面以2015年12月烏克蘭電網(wǎng)遭受的APT攻擊事件為例，介紹一下典型的APT攻擊過(guò)程。烏克蘭電網(wǎng)受到的APT攻擊過(guò)程偽造釣魚(yú)郵件（政府動(dòng)員令），excel文件宏病毒（提示文件是高版本創(chuàng)建，需要啟用宏），建立據(jù)點(diǎn)；加入系統(tǒng)自啟文件，開(kāi)機(jī)運(yùn)行，注入系統(tǒng)進(jìn)程實(shí)現(xiàn)躲避；在辦公區(qū)長(zhǎng)期潛伏掃描，橫向拓展到其它主機(jī)，使用錄屏方法獲取到了VPN登錄憑證、SCADA控制權(quán)限，跳入到生產(chǎn)控制區(qū)；利用SSH后門逐步把攻擊工具（如KillDisk

22、）傳入控制區(qū)；選擇時(shí)間發(fā)起攻擊（修改系統(tǒng)變電站參數(shù)，迫使自動(dòng)斷電）；使用KillDisk工具破壞SCADA控制主機(jī)的磁盤和引導(dǎo)區(qū)，無(wú)法通過(guò)遠(yuǎn)程自動(dòng)恢復(fù)，同時(shí)無(wú)法獲取上報(bào)信息判斷哪些斷電；同時(shí)對(duì)CallCenter的VoIP發(fā)起了DDoS攻擊，占滿線路。對(duì)于APT攻擊企業(yè)和組織需要高度重視，正如看似固若金湯的馬奇諾防線，德軍只是改變了作戰(zhàn)策略，法國(guó)人的整條防線便淪落成擺設(shè)。就APT攻擊的危害而言，任何疏忽大意都可能為信息系統(tǒng)帶來(lái)災(zāi)難性的破壞。傳統(tǒng)的網(wǎng)絡(luò)攻擊與APT攻擊行為到底有哪些異同，下面的表格或許能讓您找到答案。傳統(tǒng)威脅和APT威脅的區(qū)別不難看出APT攻擊更像一支配備了精良武器的特種部隊(duì)，這

23、些尖端武器會(huì)讓用戶網(wǎng)絡(luò)環(huán)境中傳統(tǒng)的IPS/IDS、防火墻、防病毒軟件等安全防御體系失去應(yīng)有的防御能力。無(wú)論是0day或者精心構(gòu)造的惡意程序，傳統(tǒng)的基于特征庫(kù)的被動(dòng)防御體系都無(wú)法抵御定向攻擊的入侵。綜上所述傳統(tǒng)安全防御體系面臨風(fēng)險(xiǎn)主要有以下幾個(gè)方面：一、無(wú)法做到事前預(yù)測(cè)與防御：資產(chǎn)管理風(fēng)險(xiǎn)：無(wú)法對(duì)資產(chǎn)進(jìn)行精準(zhǔn)識(shí)別從而減少攻擊面，無(wú)法全面了解網(wǎng)絡(luò)資產(chǎn)現(xiàn)狀，發(fā)現(xiàn)存活資產(chǎn)、資產(chǎn)風(fēng)險(xiǎn)狀況。被動(dòng)防御風(fēng)險(xiǎn)：無(wú)有效手段主動(dòng)發(fā)現(xiàn)黑客惡意威脅行為，提前感知業(yè)務(wù)系統(tǒng)、終端主機(jī)、應(yīng)用服務(wù)等可能遭受的攻擊情況和趨勢(shì)，進(jìn)行提前防御，從而轉(zhuǎn)被動(dòng)防御為主動(dòng)防御。無(wú)法感知全網(wǎng)安全態(tài)勢(shì)：無(wú)法直觀展示企業(yè)在全球范圍內(nèi)面的威脅和最近

24、發(fā)現(xiàn)的威脅事件，方便安全運(yùn)維分析人員能及時(shí)發(fā)現(xiàn)威脅、預(yù)判全網(wǎng)安全走勢(shì)。 二、 無(wú)法做到事中精準(zhǔn)檢測(cè)未知威脅及事后關(guān)聯(lián)分析威脅事件不能精準(zhǔn)檢測(cè)風(fēng)險(xiǎn)：無(wú)法通過(guò)機(jī)器學(xué)習(xí)技術(shù)針對(duì)APT全攻擊鏈中的每個(gè)步驟，滲透、駐點(diǎn)、提權(quán)、偵查、外發(fā)等各個(gè)階段進(jìn)行檢測(cè)，建立文件異常、mail 異常、C&C異常檢測(cè)、流量異常、日志關(guān)聯(lián)、web 異常檢測(cè)、隱蔽通道等檢測(cè)模型并關(guān)聯(lián)檢測(cè)出高級(jí)威脅無(wú)法關(guān)聯(lián)分析風(fēng)險(xiǎn)：無(wú)法通過(guò)挖掘事件之間的關(guān)聯(lián)和時(shí)序關(guān)系，從而發(fā)現(xiàn)有效的攻擊。三、威脅事件響應(yīng)不及時(shí)防御不閉環(huán)：不具備事件處置和設(shè)備聯(lián)動(dòng)能力，發(fā)現(xiàn)威脅不能及時(shí)對(duì)防火墻、安全控制器、網(wǎng)絡(luò)控制器和終端EDR等安全設(shè)備進(jìn)行聯(lián)動(dòng)，下發(fā)阻斷策略

25、。威脅判定不能自動(dòng)響應(yīng)處置：不能針對(duì)不同攻擊場(chǎng)景編排自動(dòng)化的調(diào)查取證和告警聯(lián)動(dòng)，實(shí)現(xiàn)安全事件的自動(dòng)化處置閉環(huán)。企業(yè)或組織網(wǎng)絡(luò)安全現(xiàn)狀分析企業(yè)或組織通常已部署專業(yè)的防火墻、IPS、終端安全軟件、SOC/SIEM等安全防護(hù)產(chǎn)品，能夠針對(duì)傳統(tǒng)或已知威脅實(shí)現(xiàn)防護(hù)。然而以安全策略、簽名、日志分析為中心的傳統(tǒng)安全防御手段只能識(shí)別已知威脅，且存在應(yīng)對(duì)快速演進(jìn)的威脅檢出時(shí)間滯后的弱點(diǎn)。數(shù)據(jù)驅(qū)動(dòng)安全協(xié)同，已在安全產(chǎn)業(yè)應(yīng)對(duì)APT攻擊方面達(dá)成了技術(shù)共識(shí)，尤其是針對(duì)高級(jí)威脅的發(fā)現(xiàn)，需要將多維度檢測(cè)技術(shù)、大數(shù)據(jù)分析技術(shù)和威脅情報(bào)技術(shù)結(jié)合起來(lái)。華為APT防御解決方案針對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)完整的網(wǎng)絡(luò)可視化，借助機(jī)器學(xué)習(xí)

26、和人工智能技術(shù)洞察網(wǎng)絡(luò)中的高級(jí)威脅，旨在幫助客戶解決以下問(wèn)題：根據(jù)對(duì)企業(yè)網(wǎng)絡(luò)安全面臨的實(shí)際情況選擇填寫(xiě)資產(chǎn)管理風(fēng)險(xiǎn)：無(wú)法對(duì)資產(chǎn)進(jìn)行精準(zhǔn)識(shí)別從而減少攻擊面，無(wú)法全面了解網(wǎng)絡(luò)資產(chǎn)現(xiàn)狀，發(fā)現(xiàn)存活資產(chǎn)、資產(chǎn)風(fēng)險(xiǎn)狀況。被動(dòng)防御風(fēng)險(xiǎn)：無(wú)有效手段主動(dòng)發(fā)現(xiàn)黑客惡意威脅行為，提前感知業(yè)務(wù)系統(tǒng)、終端主機(jī)、應(yīng)用服務(wù)等可能遭受的攻擊情況和趨勢(shì)，進(jìn)行提前防御，從而轉(zhuǎn)被動(dòng)防御為主動(dòng)防御。無(wú)法感知全網(wǎng)安全態(tài)勢(shì)：無(wú)法直觀展示企業(yè)在全球范圍內(nèi)面的威脅和最近發(fā)現(xiàn)的威脅事件，方便安全運(yùn)維分析人員能及時(shí)發(fā)現(xiàn)威脅、預(yù)判全網(wǎng)安全走勢(shì)。威脅事件不能精準(zhǔn)檢測(cè)風(fēng)險(xiǎn)：無(wú)法通過(guò)機(jī)器學(xué)習(xí)技術(shù)針對(duì)APT全攻擊鏈中的每個(gè)步驟，滲透、駐點(diǎn)、提權(quán)、偵查、外

27、發(fā)等各個(gè)階段進(jìn)行檢測(cè)，建立文件異常、mail 異常、C&C異常檢測(cè)、流量異常、日志關(guān)聯(lián)、web 異常檢測(cè)、隱蔽通道等檢測(cè)模型并關(guān)聯(lián)檢測(cè)出高級(jí)威脅無(wú)法關(guān)聯(lián)分析風(fēng)險(xiǎn)：無(wú)法通過(guò)挖掘事件之間的關(guān)聯(lián)和時(shí)序關(guān)系，從而發(fā)現(xiàn)有效的攻擊。防御不閉環(huán)：不具備事件處置和設(shè)備聯(lián)動(dòng)能力，發(fā)現(xiàn)威脅不能及時(shí)對(duì)防火墻、安全控制器、網(wǎng)絡(luò)控制器和終端EDR等安全設(shè)備進(jìn)行聯(lián)動(dòng)，下發(fā)阻斷策略。威脅判定不能自動(dòng)響應(yīng)處置：不能針對(duì)不同攻擊場(chǎng)景編排自動(dòng)化的調(diào)查取證和告警聯(lián)動(dòng)，實(shí)現(xiàn)安全事件的自動(dòng)化處置閉環(huán)。網(wǎng)絡(luò)分析通過(guò)與XX企業(yè)進(jìn)行深入的交流，我們對(duì)其網(wǎng)絡(luò)進(jìn)行了充分的了解與分析。XX企業(yè)網(wǎng)絡(luò)現(xiàn)狀此部分主要包括兩個(gè)部分：1XX企業(yè)內(nèi)部組網(wǎng)圖，

28、如果企業(yè)是新建網(wǎng)絡(luò)，則提供沒(méi)有HiSec Insight設(shè)備的組網(wǎng)圖，用來(lái)進(jìn)行組網(wǎng)方案的分析。2XX企業(yè)內(nèi)部網(wǎng)絡(luò)所承載的業(yè)務(wù)，主要是內(nèi)部業(yè)務(wù)以及出口網(wǎng)絡(luò)業(yè)務(wù)。XX企業(yè)網(wǎng)絡(luò)業(yè)務(wù)分析給出現(xiàn)網(wǎng)的業(yè)務(wù)流分析圖，使得客戶對(duì)現(xiàn)有網(wǎng)絡(luò)安全問(wèn)題理解的更加清晰XX企業(yè)面臨的網(wǎng)絡(luò)威脅分析網(wǎng)絡(luò)分析需要客戶結(jié)合業(yè)務(wù)以及態(tài)勢(shì)感知的核心價(jià)值給出具體分析：1XX企業(yè)或組織面向外網(wǎng)的Web Server、郵件服務(wù)器等被攻擊后，無(wú)法感知到攻擊者的下一步動(dòng)作，如掃描內(nèi)網(wǎng)其他服務(wù)器或桌面終端；2XX企業(yè)或組織現(xiàn)有的郵件過(guò)濾系統(tǒng)基于垃圾郵件地址庫(kù)，而攻擊者采用釣魚(yú)郵件的方式攻擊受害者，郵件正文中包含惡意URL、郵件附件中嵌入漏洞利用

29、代碼，傳統(tǒng)的郵件過(guò)濾檢測(cè)難以奏效；3XX企業(yè)或組織目前的安全防御/檢測(cè)設(shè)備無(wú)法識(shí)別0-Day、N-Day漏洞，未知惡意文件的攻擊；4XX企業(yè)或組織現(xiàn)有安全設(shè)備無(wú)法分析攻擊者控制受害機(jī)器的過(guò)程中，對(duì)于可疑連接的分析能力；5XX企業(yè)或組織現(xiàn)有安全設(shè)備是基于安全策略及特征庫(kù)匹配的檢測(cè)方式，無(wú)法分析被攻擊者盜取的沒(méi)有明顯指紋特征的企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)；6XX企業(yè)或組織現(xiàn)有安全防護(hù)體系不具有安全態(tài)勢(shì)呈現(xiàn)、威脅分析與檢測(cè)、溯源分析、情報(bào)與響應(yīng)等多個(gè)安全運(yùn)維能力，從而不能幫助企業(yè)從源頭上解決安全防御問(wèn)題；7XX企業(yè)或組織現(xiàn)有安全防護(hù)體系不具有使用大數(shù)據(jù)技術(shù)幫助企業(yè)提升海量數(shù)據(jù)存儲(chǔ)、分析、檢索能力。8. XX企業(yè)

30、或組織現(xiàn)有安全防護(hù)系統(tǒng)無(wú)法準(zhǔn)確識(shí)別現(xiàn)網(wǎng)的網(wǎng)絡(luò)資產(chǎn)，對(duì)資產(chǎn)存在高危漏洞以及脆弱性風(fēng)險(xiǎn)無(wú)法準(zhǔn)確掌握，容易成為黑客入侵的突破口。9XX企業(yè)或組織現(xiàn)有防護(hù)體系在發(fā)現(xiàn)威脅之后無(wú)法快速聯(lián)動(dòng)防火墻、交換機(jī)、終端EDR等安全和網(wǎng)絡(luò)設(shè)備，無(wú)法做到網(wǎng)絡(luò)和安全聯(lián)動(dòng)協(xié)防，及時(shí)阻斷威脅的進(jìn)一步擴(kuò)散。10. XX企業(yè)或組織現(xiàn)有防護(hù)體系不能針對(duì)不同攻擊場(chǎng)景編排自動(dòng)化的調(diào)查取證和告警聯(lián)動(dòng)，實(shí)現(xiàn)安全事件的自動(dòng)化處置閉環(huán)，對(duì)于威脅事件的處置效率較低。企業(yè)安全態(tài)勢(shì)感知解決方案XX企業(yè)安全態(tài)勢(shì)感知系統(tǒng)整體方案：華為安全態(tài)勢(shì)感知解決方案整體架構(gòu)華為安全態(tài)勢(shì)感知整體解決方案致力從軟件定義防御，到軟件定義檢測(cè)、軟件定義響應(yīng)和智能運(yùn)維的升級(jí)

31、。方案以安全分析器（安全態(tài)勢(shì)感知系統(tǒng)HiSec Insight）為核心，橫向使能“一整張網(wǎng)絡(luò)”，南向使能全網(wǎng)多廠商安全設(shè)備和軟件，北向開(kāi)放對(duì)接主流云平臺(tái)，實(shí)現(xiàn)以業(yè)務(wù)驅(qū)動(dòng)的云、網(wǎng)絡(luò)和安全的上下協(xié)同，并以“威脅入侵意圖”學(xué)習(xí)為核心，動(dòng)態(tài)定制采集和檢測(cè)，基于AI的機(jī)器學(xué)習(xí)創(chuàng)新對(duì)惡意文件、C&C、內(nèi)部流量異常的主動(dòng)分析，使能全網(wǎng)神經(jīng)末梢節(jié)點(diǎn)自動(dòng)快速遏制威脅，幫助客戶提升安全分析和運(yùn)維的智能化、自動(dòng)化程度，解放管理員簡(jiǎn)化安全運(yùn)維，提升用戶體驗(yàn)，減少專業(yè)安全人力投入和依賴，保護(hù)客戶關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)固，業(yè)務(wù)永續(xù)。安全分析器相當(dāng)于“大腦”，以HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)為核心組件，該組件具備對(duì)包括

32、高級(jí)可持續(xù)威脅（APT）在內(nèi)的各類安全威脅，可基于大數(shù)據(jù)技術(shù)進(jìn)行精準(zhǔn)檢測(cè)、態(tài)勢(shì)感知、Kill-Chain溯源等。輔助的分析器還包括FireHunter沙箱，能夠?qū)崿F(xiàn)50余種常見(jiàn)文件類型檢測(cè)，基于動(dòng)態(tài)行為的捕獲和學(xué)習(xí)，可實(shí)現(xiàn)對(duì)“灰色”文件的判斷，并聯(lián)動(dòng)執(zhí)行器進(jìn)行智能處置。安全控制器相當(dāng)于“中樞神經(jīng)”，以華為SecoManager安全控制器為核心組件。該組件定位于面向多租戶的全生命周期安全策略管理、業(yè)務(wù)編排?？梢垣@取SDN控制器拓?fù)浜唾Y源管理輸入，結(jié)合分析器的智能檢測(cè)結(jié)果，以及從采集器中收集的數(shù)據(jù)，對(duì)執(zhí)行器進(jìn)行業(yè)務(wù)管理和策略優(yōu)化。安全執(zhí)行器/采集器 相當(dāng)于“四肢”，執(zhí)行器/采集器主要負(fù)責(zé)安全防御動(dòng)

33、作的采集上報(bào)和執(zhí)行。上報(bào)的形式可能包括Syslog日志、事件、Metadata、NetFlow、漏洞、信譽(yù)等等，執(zhí)行的動(dòng)作可能包括告警、阻斷、報(bào)表呈現(xiàn)、短信通知等等。執(zhí)行器/采集器包括三種主要形態(tài)：以交換機(jī)、路由器為代表的網(wǎng)絡(luò)設(shè)備，以防火墻為代表的專業(yè)安全設(shè)備，以及以探針為代表的第三方網(wǎng)元。安全態(tài)勢(shì)感知系統(tǒng)在整體方案中的作用華為發(fā)布的安全態(tài)勢(shì)感知整體解決方案以安全態(tài)勢(shì)感知系統(tǒng)HiSec Insight為核心。相比傳統(tǒng)防御方案，此方案通過(guò)全網(wǎng)監(jiān)控，對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行深度鉆取，及早發(fā)現(xiàn)威脅，及時(shí)閉環(huán)處置。其中華為安全態(tài)勢(shì)感知系統(tǒng)HiSec Insight價(jià)值如下：首先，華為安全態(tài)勢(shì)感知系統(tǒng)HiSe

34、c Insight將大數(shù)據(jù)分析能力引入到安全，采用基于AI的深度神經(jīng)網(wǎng)絡(luò)算法和機(jī)器學(xué)習(xí)技術(shù)，實(shí)現(xiàn)從被動(dòng)防御向主動(dòng)防御的轉(zhuǎn)變。解決傳統(tǒng)基于簽名的靜態(tài)分析手段無(wú)法有效地檢測(cè)新型高級(jí)威脅的痛點(diǎn)。其次，華為安全態(tài)勢(shì)感知系統(tǒng)HiSec Insight可以采集來(lái)自執(zhí)行器各個(gè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的日志信息，面對(duì)威脅在內(nèi)網(wǎng)的橫向傳播，安全態(tài)勢(shì)感知收集網(wǎng)絡(luò)信息到大數(shù)據(jù)平臺(tái)進(jìn)行大數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)分析，如果發(fā)現(xiàn)威脅，將快速給網(wǎng)絡(luò)和安全設(shè)備下發(fā)聯(lián)動(dòng)指令，防止內(nèi)部橫向擴(kuò)散，實(shí)現(xiàn)從單點(diǎn)防御到全網(wǎng)防御的轉(zhuǎn)變，達(dá)到“網(wǎng)絡(luò)+安全”全網(wǎng)防御方案。最后，為應(yīng)對(duì)大量的告警事件，企業(yè)網(wǎng)絡(luò)安全人員需要執(zhí)行一系列的取證、驗(yàn)證、處置、通知等

35、動(dòng)作，態(tài)勢(shì)感知系統(tǒng)的自動(dòng)化響應(yīng)編排功能通過(guò)已經(jīng)編排好的劇本，可以幫助企業(yè)快速的自動(dòng)化閉環(huán)事件，實(shí)現(xiàn)從人工運(yùn)維到自動(dòng)化處置安全事件的轉(zhuǎn)變。安全態(tài)勢(shì)感知解決方案總體架構(gòu) 安全態(tài)勢(shì)感知系統(tǒng)總體框架態(tài)勢(shì)感知平臺(tái)采用采集層、數(shù)據(jù)層、安全分析層和業(yè)務(wù)層的四層邏輯架構(gòu)設(shè)計(jì)，以自動(dòng)化平臺(tái)運(yùn)行維護(hù)系統(tǒng)和安全技術(shù)服務(wù)體系為保障。各層級(jí)以及模塊之間的功能設(shè)計(jì)具有相對(duì)的獨(dú)立性，使整個(gè)系統(tǒng)具有較高的擴(kuò)展性。采集層為實(shí)現(xiàn)安全態(tài)勢(shì)感知平臺(tái)的價(jià)值，需要通過(guò)日志采集器對(duì)數(shù)據(jù)源包括網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備日志、終端設(shè)備日志、資產(chǎn)數(shù)據(jù)、情報(bào)數(shù)據(jù)、用戶數(shù)據(jù)等相關(guān)的基礎(chǔ)數(shù)據(jù)進(jìn)行采集和歸一化處理，上報(bào)給大數(shù)據(jù)平臺(tái)。除了日志數(shù)據(jù)，同時(shí)需要通

36、過(guò)流量探針以鏡像的方式對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行采集，包含對(duì)網(wǎng)絡(luò)全流量的分析、協(xié)議深度解析、文件還原，將生成流量元數(shù)據(jù)、Netflow日志、基礎(chǔ)告警日志上報(bào)給大數(shù)據(jù)平臺(tái)，為后續(xù)的應(yīng)用系統(tǒng)開(kāi)發(fā)提供基礎(chǔ)支撐。數(shù)據(jù)層數(shù)據(jù)層包括對(duì)采集的元數(shù)據(jù)和基礎(chǔ)數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理、分布式存儲(chǔ)和分布式索引，以及根據(jù)業(yè)務(wù)需求建立的黑客畫(huà)像庫(kù)、資產(chǎn)指紋庫(kù)、威脅情報(bào)庫(kù)，為上層業(yè)務(wù)應(yīng)用提供服務(wù)。數(shù)據(jù)層存儲(chǔ)xx企業(yè)的所有安全業(yè)務(wù)相關(guān)數(shù)據(jù)，以大數(shù)據(jù)集群的方式進(jìn)行分布式存儲(chǔ)。隨著業(yè)務(wù)的不斷擴(kuò)展和數(shù)據(jù)的增長(zhǎng)，大數(shù)據(jù)平臺(tái)所存儲(chǔ)數(shù)據(jù)自身的安全和大數(shù)據(jù)平臺(tái)的擴(kuò)展性將變的非常重要。因此大數(shù)據(jù)平臺(tái)應(yīng)采用商務(wù)的大數(shù)據(jù)平臺(tái)保證數(shù)據(jù)的安全、穩(wěn)定性、擴(kuò)展性。

37、以免造成數(shù)據(jù)的丟失和業(yè)務(wù)擴(kuò)展后的穩(wěn)定性。大數(shù)據(jù)平臺(tái)預(yù)處理負(fù)責(zé)對(duì)采集器上報(bào)的歸一化日志和流量探針上報(bào)的流量元數(shù)據(jù)進(jìn)行格式化處理，補(bǔ)充相關(guān)的上下文信息（包括用戶數(shù)據(jù)、地理位置信息和區(qū)域信息等）。分布式存儲(chǔ)負(fù)責(zé)將格式化后的日志、流量元數(shù)據(jù)進(jìn)行存儲(chǔ)，區(qū)分不同類型的異構(gòu)數(shù)據(jù)（歸一化日志、流量元數(shù)據(jù)、PCAP文件）進(jìn)行分類存儲(chǔ)，分布式存儲(chǔ)的數(shù)據(jù)主要用于威脅分析與檢測(cè)和威脅可視化。分布式索引負(fù)責(zé)對(duì)關(guān)鍵的格式化數(shù)據(jù)建立索引，為威脅調(diào)查分析提供基于關(guān)鍵字的快速檢索服務(wù)。安全分析層安全分析層對(duì)多種數(shù)據(jù)源進(jìn)行分析，流量元數(shù)據(jù)，通過(guò)基于AI的機(jī)器學(xué)習(xí)算法和大數(shù)據(jù)挖掘算法用于C&C檢測(cè)、隱蔽通道檢測(cè)、Mail檢測(cè)等；日

38、志用于日志關(guān)聯(lián)分析；netflow用于流量異常分析；在mail異常、隱蔽通道異常檢測(cè)中，結(jié)合文件信息，幫助判斷是否異常。以時(shí)間、空間、IP等信息為關(guān)聯(lián)，安全態(tài)勢(shì)感知系統(tǒng)將單點(diǎn)異常事件進(jìn)行關(guān)聯(lián)并綜合評(píng)估，得出攻擊鏈，并進(jìn)行高級(jí)威脅判定。應(yīng)用層應(yīng)用層承載上層安全業(yè)務(wù)應(yīng)用系統(tǒng)，為用戶提供具體業(yè)務(wù)應(yīng)用，包括態(tài)勢(shì)感知、安全監(jiān)測(cè)、調(diào)查取證、智能檢索、專項(xiàng)分析、自動(dòng)響應(yīng)編排、資產(chǎn)風(fēng)險(xiǎn)管理、威脅報(bào)表等應(yīng)用功能。應(yīng)用層主要功能作用介紹如下。安全態(tài)勢(shì)感知：通過(guò)威脅地圖直觀展示企業(yè)在全網(wǎng)范圍內(nèi)面臨的威脅和最近發(fā)現(xiàn)的威脅事件，方便安全運(yùn)維人員及時(shí)發(fā)現(xiàn)威脅。同時(shí)，安全運(yùn)維人員可以從惡意文件/郵件、惡意/可疑域名和受威脅

39、主機(jī)等多個(gè)維度直觀查看威脅分析的結(jié)果，從而幫助安全運(yùn)維人員有效洞察企業(yè)面臨的威脅。安全監(jiān)測(cè)：安全監(jiān)測(cè)將檢測(cè)出的威脅事件根據(jù)攻擊的各個(gè)階段進(jìn)行威脅等級(jí)占比、事件統(tǒng)計(jì)、攻擊鏈分析、區(qū)域威脅分析等可視化匯總。當(dāng)某些威脅事件頻繁發(fā)作時(shí)，威脅事件詳情列表中會(huì)出現(xiàn)大量相似信息。為了更清晰查看具體的威脅，應(yīng)將威脅事件進(jìn)行聚合。將短時(shí)間內(nèi)發(fā)生的相關(guān)事件聚合為一條信息展示，方便安全管理員篩選查看。威脅事件的作用是展示網(wǎng)絡(luò)中的威脅事件的詳情和攻擊路徑?？梢愿鶕?jù)事件詳情中提供的信息來(lái)進(jìn)行威脅分析取證，并采取相應(yīng)措施處理威脅。專項(xiàng)分析：從威脅事件、郵件和文件多個(gè)分析維度呈現(xiàn)攻擊擴(kuò)散路徑和影響范圍，有效呈現(xiàn)高級(jí)威脅的多

40、個(gè)攻擊階段，包括：外部滲透階段、命令與控制階段、內(nèi)部擴(kuò)散階段、數(shù)據(jù)竊取階段等。同時(shí)清晰呈現(xiàn)來(lái)自不同地區(qū)的外部攻擊源/命令控制服務(wù)器和企業(yè)內(nèi)部受到危害和影響的主機(jī)。智能檢索：提供了一個(gè)基于關(guān)鍵字條件快速查詢的頁(yè)面，運(yùn)維人員進(jìn)行調(diào)查取證分析時(shí)，可通過(guò)輸入的關(guān)鍵字條件快速檢索到相關(guān)的日志數(shù)據(jù)和流量元數(shù)據(jù)，并可以進(jìn)一步查看日志和流量元數(shù)據(jù)的詳細(xì)信息。自動(dòng)響應(yīng)編排：針對(duì)不同攻擊場(chǎng)景編排自動(dòng)化的調(diào)查取證和告警聯(lián)動(dòng)，實(shí)現(xiàn)安全事件的自動(dòng)化處置閉環(huán)。安全響應(yīng)編排是將不同系統(tǒng)或一個(gè)系統(tǒng)中不同組件的安全能力通過(guò)Playbook按照一定的邏輯關(guān)系整合到一起，用以實(shí)現(xiàn)某個(gè)或某類威脅事件的自動(dòng)化處置閉環(huán)的過(guò)程。威脅報(bào)表：

41、威脅報(bào)表包括：日?qǐng)?bào)、周報(bào)和月報(bào)任務(wù)，定期生成前一自然天、前一自然周、前一自然月的威脅報(bào)告。對(duì)于要匯報(bào)或查看針對(duì)特定時(shí)間段內(nèi)的網(wǎng)絡(luò)安全狀況，支持自定義時(shí)間段即時(shí)生成威脅報(bào)告。資產(chǎn)風(fēng)險(xiǎn)管理：資產(chǎn)管理模塊可以自動(dòng)的識(shí)別網(wǎng)絡(luò)中存在的資產(chǎn)，同時(shí)將識(shí)別到的資產(chǎn)信息根據(jù)資產(chǎn)類型、資產(chǎn)價(jià)值、受威脅程度、接入時(shí)間等多維度管理。同時(shí)資產(chǎn)可以結(jié)合漏洞信息發(fā)現(xiàn)資產(chǎn)存在的高危漏洞、高危端口、弱口令等資產(chǎn)風(fēng)險(xiǎn)信息自動(dòng)進(jìn)行風(fēng)險(xiǎn)打分，呈現(xiàn)高風(fēng)險(xiǎn)資產(chǎn)以及資產(chǎn)特征畫(huà)像。通過(guò)查看資產(chǎn)威脅度，隨時(shí)關(guān)注這些資產(chǎn)的狀態(tài)，及時(shí)消除關(guān)鍵資產(chǎn)面臨的風(fēng)險(xiǎn)，降低資產(chǎn)的威脅度。云端服務(wù)威脅的判定需要借助云端的威脅情報(bào)和沙箱檢測(cè)服務(wù)進(jìn)行綜合威脅分析和

42、判斷。安全智能中心從全球采集惡意樣本，分析轉(zhuǎn)化形成安全特征庫(kù)，為用戶的網(wǎng)絡(luò)安全保駕護(hù)航，形成積極主動(dòng)的安全防御體系，定期及時(shí)的提供升級(jí)特征服務(wù)，如：IPS專業(yè)安全團(tuán)隊(duì)密切跟蹤全球知名安全組織和軟件廠商發(fā)布的安全公告，同時(shí)和業(yè)界專業(yè)安全研究廠商合作，對(duì)這些威脅進(jìn)行分析和驗(yàn)證，生成保護(hù)各種軟件系統(tǒng)（操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)）漏洞的特征庫(kù)； AV和文件信譽(yù)特征庫(kù)團(tuán)隊(duì)通過(guò)部署的信息搜集系統(tǒng)搜集樣本，同時(shí)和業(yè)界頂尖的安全公司合作，交換豐富惡意樣本，定時(shí)的生成病毒特征庫(kù)。惡意域名簽名庫(kù)團(tuán)隊(duì)通過(guò)部署的沙箱環(huán)境和自動(dòng)化的樣本培植環(huán)境，自動(dòng)獲取C&C通信惡意域名，生成惡意域名特征庫(kù)。XX企業(yè)安全態(tài)勢(shì)感知系統(tǒng)部

43、署方案XX企業(yè)安全態(tài)勢(shì)感知系統(tǒng)部署方案在總部，HiSec Insight安全態(tài)勢(shì)感知集群及日志采集器探針部署在管理區(qū)，采集器負(fù)責(zé)采集總部的網(wǎng)絡(luò)/安全設(shè)備上報(bào)的日志。流量探針部署在企業(yè)總部的核心區(qū)域、辦公區(qū)域以及分支出口，負(fù)責(zé)監(jiān)控/還原總部、分支互聯(lián)網(wǎng)出口以及核心區(qū)的訪問(wèn)流量。沙箱部署在總部的核心區(qū)域、辦公區(qū)域以及分支出口，負(fù)責(zé)對(duì)流量探針還原出的文件進(jìn)行惡意行為檢測(cè)，并將檢測(cè)的結(jié)果上報(bào)至安全態(tài)勢(shì)感知平臺(tái)。部署在總部管理區(qū)的安全態(tài)勢(shì)感知集群，基于總部/分支機(jī)構(gòu)采集的日志和流量數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)異常行為檢測(cè)，將檢出的高級(jí)和未知威脅通過(guò)可視化的方式呈現(xiàn)給企業(yè)安全運(yùn)維人員。值得說(shuō)明的是，沙箱可以與流量探針聯(lián)動(dòng)

44、，流量探針將還原出的文件送至沙箱檢測(cè)，同時(shí)沙箱自身也具備流量還原及文件提取能力。結(jié)合項(xiàng)目規(guī)模，預(yù)算充足的情況下建議探針與沙箱成比例部署，預(yù)算有限的情況下多臺(tái)探針對(duì)應(yīng)單臺(tái)沙箱部署，當(dāng)然需要結(jié)合考慮客戶網(wǎng)絡(luò)的實(shí)際業(yè)務(wù)情況及流量帶寬等因素。部署要點(diǎn)如下：在Internet邊界、分支分別部署流量探針、沙箱，結(jié)合項(xiàng)目具體情況靈活配置沙箱及流量探針規(guī)模；在管理區(qū)部署HiSec Insight安全態(tài)勢(shì)感知集群和日志采集器，企業(yè)網(wǎng)絡(luò)中的SOC或網(wǎng)元可以將日志送至管理區(qū)的日志采集器，日志采集器也可以靈活部署在其他業(yè)務(wù)區(qū)域；在網(wǎng)絡(luò)邊界部署NGFW/NGIPS等安全設(shè)備；在辦公區(qū)和核心區(qū)分別部署沙箱和流量探針，結(jié)合

45、項(xiàng)目具體情況靈活配置沙箱及流量探針規(guī)模；通過(guò)防火墻等安全設(shè)備檢測(cè)已知威脅；通過(guò)HiSec Insight安全態(tài)勢(shì)感知集群、流量探針、沙箱、日志采集器，檢測(cè)未知威脅；HiSec Insight安全態(tài)勢(shì)感知聯(lián)動(dòng)防火墻等執(zhí)行組件阻斷APT攻擊；可視化呈現(xiàn)全網(wǎng)安全態(tài)勢(shì)。安全態(tài)勢(shì)感知系統(tǒng)建設(shè)安全態(tài)勢(shì)感知系統(tǒng)采集豐富的網(wǎng)絡(luò)數(shù)據(jù)，利用大數(shù)據(jù)分布式存儲(chǔ)、索引、計(jì)算技術(shù)洞悉網(wǎng)絡(luò)中異常行為的蛛絲馬跡。檢測(cè)能力涵蓋基于網(wǎng)絡(luò)流量的異常行為分析、基于文件的異常主機(jī)行為與網(wǎng)絡(luò)行為檢測(cè)、基于流日志的自適應(yīng)基線檢測(cè)以及基于日志的關(guān)聯(lián)分析等。安全態(tài)勢(shì)感知系統(tǒng)連接云端情報(bào)系統(tǒng)，作為客戶針對(duì)威脅事件進(jìn)行速快速調(diào)查取證的參考之一。同

46、時(shí)，安全態(tài)勢(shì)感知系統(tǒng)可以同防火墻、交換機(jī)、終端EDR進(jìn)行聯(lián)動(dòng)，使得系統(tǒng)具備發(fā)現(xiàn)威脅的同時(shí)具備阻斷惡意流量的能力。多種技術(shù)相互融合，形成一個(gè)多維立體威脅防護(hù)體系，如圖。安全態(tài)勢(shì)感知系統(tǒng)工作流程數(shù)據(jù)采集建設(shè)方案日志采集功能介紹日志采集無(wú)碼化態(tài)勢(shì)感知系統(tǒng)在數(shù)據(jù)接入階段要進(jìn)行不同廠商、不同類型設(shè)備日志信息的適配和解析工作，傳統(tǒng)的日志適配方法需要在每個(gè)版本中都需要投入大量的人力來(lái)做解析工作。隨著接入的日志種類越來(lái)越多，配置文件缺乏統(tǒng)一的管理，無(wú)法現(xiàn)網(wǎng)及時(shí)升級(jí)，易用性差，更新周期長(zhǎng)。安全態(tài)勢(shì)感知系統(tǒng)采用無(wú)碼化日志采集和適配，可以通過(guò)配置頁(yè)面快速適配第三方日志，支持JSON、Syslog、CSV等數(shù)據(jù)格式。

47、并可以自定義輸出數(shù)據(jù)格式，日志接入任務(wù)狀態(tài)可見(jiàn)。采用頁(yè)面規(guī)則配置，支持即時(shí)接入第三方日志，無(wú)需發(fā)布版本，做到日志快速適配，并且可以根據(jù)實(shí)際日志解析情況進(jìn)行規(guī)則調(diào)整。采集器狀態(tài)、各部分處理數(shù)據(jù)量頁(yè)面可見(jiàn)，方便狀態(tài)監(jiān)控和問(wèn)題的定位具備負(fù)載均衡功能，提高采集器設(shè)備資源利用率采集器兼并預(yù)處理部分功能，直接對(duì)接數(shù)據(jù)總線，降低了部署成本，避免了預(yù)處理沒(méi)有高可用帶來(lái)的數(shù)據(jù)丟失情況。支持頁(yè)面規(guī)則的導(dǎo)入導(dǎo)出，使規(guī)則可復(fù)用 架構(gòu)方案日志采集架構(gòu)圖功能指標(biāo)日志采集方式 支持采集安全設(shè)備/軟件上報(bào)的Syslog日志，Syslog接入?yún)f(xié)議支持Syslog UDP、Syslog TCP及Syslog TLS三種方式；支持

48、采集網(wǎng)絡(luò)/安全設(shè)備上報(bào)的Netflow V9格式數(shù)據(jù)；支持采集第三方系統(tǒng)上報(bào)的Avro格式數(shù)據(jù)；支持通過(guò)Restful采集第三方系統(tǒng)的日志及漏掃結(jié)果數(shù)據(jù)；日志接入配置支持配置日志規(guī)則集，包括配置日志來(lái)源、采集方式、日志類型等；支持配置接入的日志源，包括配置TCP/UDP日志源、AVRO日志和REST日志源；采集日志采集器管理，包括日志采集的收發(fā)狀態(tài)和為采集器劃分區(qū)域。支持配置日志解析規(guī)則實(shí)現(xiàn)無(wú)碼化日志對(duì)接，包括配置日志分類、字段提取規(guī)則等，方便運(yùn)維人員通過(guò)界面快速適配第三方文本格式日志；流量采集功能介紹流量采集是對(duì)網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)測(cè)、惡意文件檢測(cè)、惡意行為取證以及后續(xù)的大數(shù)據(jù)關(guān)聯(lián)分析的重要基礎(chǔ)數(shù)

49、據(jù)源。流量采集一般以端口鏡像的方式通過(guò)流量探針完成，流量探針部署在企業(yè)總部的核心區(qū)域、辦公區(qū)域以及分支出口，負(fù)責(zé)監(jiān)控/還原總部、分支互聯(lián)網(wǎng)出口以及核心區(qū)的訪問(wèn)流量。網(wǎng)絡(luò)全流量的分析、協(xié)議深度解析、文件還原，將生成流量Metadata數(shù)據(jù)和日志數(shù)據(jù)發(fā)送到安全檢測(cè)感知系統(tǒng)進(jìn)行分析，其中Metadata分為三種：三四層Metadata、應(yīng)用層Metadata和文件Metadata。信息包括但不限于：（1）三四層Metadata數(shù)據(jù)：解析流量統(tǒng)計(jì)信息，包括流量五元組信息、包長(zhǎng)度信息和Payload信息。（2）應(yīng)用層Metadata數(shù)據(jù)：主要包含各類應(yīng)用協(xié)議解析信息，如下：HTTP協(xié)議解析：解析HTTP

50、 0.9, 1.0, 1.1版本的應(yīng)用協(xié)議信息，包括請(qǐng)求主機(jī)名、應(yīng)答碼、Refer、User-Agent、請(qǐng)求URL、上傳/下載的文件名；郵件協(xié)議解析：解析SMTP/POP3/IMAP4的應(yīng)用協(xié)議信息，包括收件人、發(fā)件人、郵件主題、郵件附件名稱、郵件正文；DNS協(xié)議解析：解析DNS流量的應(yīng)用協(xié)議信息，包括請(qǐng)求的域名/IP、RR類、RR類型、資源記錄緩存時(shí)間、響應(yīng)延遲、資源記錄中的IPV4/IPV6地址TLS協(xié)議解析：解析TLS流量的應(yīng)用協(xié)議信息，包括TLS版本信息、TLS證書(shū)相關(guān)信息、客戶端請(qǐng)求的服務(wù)名、TLS客戶端/服務(wù)端的加密套件信息、TLS客戶端/服務(wù)器端選擇的extension列表。（

51、3）文件Metadata數(shù)據(jù)：報(bào)文樣本：應(yīng)用軟件產(chǎn)生流量的協(xié)議識(shí)別與解析日志。PCAP包：按照抓包規(guī)則針對(duì)重點(diǎn)IP進(jìn)行抓包，并保存成PCAP文件。IPS檢測(cè)到攻擊時(shí)捕獲攻擊會(huì)話報(bào)文并生成PCAP文件。（4）日志數(shù)據(jù)Netflow日志：帶協(xié)議編號(hào)的通聯(lián)日志，包含五元組信息和報(bào)文數(shù)量信息；惡意代碼日志：接入流量中的惡意代碼流量識(shí)別和感染、傳播行為檢測(cè)日志。處理流程流量采集模塊處理流程原始數(shù)據(jù)接入之后通過(guò)流還原重組生成流數(shù)據(jù)，通過(guò)數(shù)據(jù)識(shí)別和協(xié)議識(shí)別生成被標(biāo)記數(shù)據(jù)和指定種類數(shù)據(jù)；通過(guò)流數(shù)據(jù)和指定種類數(shù)據(jù)生成Metadata數(shù)據(jù)和日志信息，將以上日志轉(zhuǎn)發(fā)至大數(shù)據(jù)中心；協(xié)議解析識(shí)別出文件協(xié)議數(shù)據(jù)進(jìn)行文件還

52、原并生成文件還原日志，其中對(duì)被特定規(guī)則命中的數(shù)據(jù)pcap進(jìn)行留存；性能指標(biāo)支持不少于6000余類應(yīng)用協(xié)議的識(shí)別和解析；應(yīng)用協(xié)議有效識(shí)別率不低于95%。資產(chǎn)探測(cè)信息采集功能描述隨著網(wǎng)絡(luò)空間中資產(chǎn)的增多，要求態(tài)勢(shì)感知系統(tǒng)能夠迅速幫助用戶探測(cè)到存活的資產(chǎn)，并發(fā)現(xiàn)存在且潛在的安全問(wèn)題。這就要求系統(tǒng)可以快速檢測(cè)目標(biāo)范圍、準(zhǔn)確識(shí)別資產(chǎn)指紋信息，具備漏洞和脆弱性檢測(cè)能力，并提供靈活的資產(chǎn)檢索能力，可以快速了解資產(chǎn)屬性、定義關(guān)鍵資產(chǎn)、明確資產(chǎn)風(fēng)險(xiǎn)。態(tài)勢(shì)感知系統(tǒng)以高性能的檢測(cè)引擎（資產(chǎn)探測(cè)引擎、指紋檢測(cè)引擎、POC檢測(cè)引擎）為基礎(chǔ)，全面的資源庫(kù)（資產(chǎn)指紋庫(kù)、系統(tǒng)掃描規(guī)則庫(kù)、POC規(guī)則庫(kù)）為支撐，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中資產(chǎn)

53、識(shí)別發(fā)現(xiàn)與資產(chǎn)安全排查。節(jié)點(diǎn)探測(cè)節(jié)點(diǎn)探測(cè)指采取主動(dòng)的方式，在獲取探測(cè)目標(biāo)范圍后，基于探測(cè)識(shí)別引擎和專用探測(cè)載荷主要實(shí)現(xiàn)對(duì)IPv4網(wǎng)絡(luò)的存活性普查、節(jié)點(diǎn)屬性識(shí)別和脆弱性分析；探測(cè)過(guò)程中，通過(guò)構(gòu)造數(shù)據(jù)包進(jìn)行探測(cè)，分析響應(yīng)數(shù)據(jù)，判斷目標(biāo)范圍中資產(chǎn)及端口的存活狀況、防護(hù)狀況。 指紋探測(cè)節(jié)點(diǎn)探測(cè)發(fā)現(xiàn)的存活資產(chǎn)及端口中，可能存在很多潛在的安全問(wèn)題，所以需要指紋信息與其匹配。指紋庫(kù)包含設(shè)備類型、資產(chǎn)屬性、網(wǎng)站類型、網(wǎng)站插件、地理信息等，通過(guò)指紋對(duì)其基本信息進(jìn)行匹配；探測(cè)手段涵蓋了當(dāng)前所有的通用協(xié)議，能夠針對(duì)不同的協(xié)議構(gòu)造數(shù)據(jù)包，并分析其響應(yīng)，確保了指紋信息的準(zhǔn)確性。POC探測(cè)在資產(chǎn)發(fā)現(xiàn)過(guò)程中，漏洞的準(zhǔn)確性、

54、覆蓋率格外的重要，因此POC探測(cè)作為重要的功能之一，能夠準(zhǔn)確地對(duì)目標(biāo)進(jìn)行檢測(cè)，發(fā)現(xiàn)其存在的漏洞。通過(guò)對(duì)資產(chǎn)指紋數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)其潛在風(fēng)險(xiǎn)，然后選擇POC規(guī)則進(jìn)行檢測(cè)，確認(rèn)漏洞是否真是存在。探測(cè)設(shè)備類型序號(hào)類型指紋1打印機(jī)打印機(jī)類型2物聯(lián)網(wǎng)攝像頭、監(jiān)測(cè)裝置等3操作系統(tǒng)操作系統(tǒng)類型4網(wǎng)站模塊網(wǎng)站模塊類型5安全軟件反向代理服務(wù)器類型6編程語(yǔ)言編程語(yǔ)言類型7程序框架程序框架類型8重要應(yīng)用程序分享模塊類型9云應(yīng)用云評(píng)論類型10統(tǒng)計(jì)模塊統(tǒng)計(jì)模塊類型11網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備類型，包含交換機(jī)、路由器等設(shè)備12安全設(shè)備網(wǎng)絡(luò)安全設(shè)備，包含防火墻、VPN、UTM等設(shè)備13數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)及其國(guó)產(chǎn)數(shù)據(jù)庫(kù)14工控設(shè)備工控設(shè)備

55、類型，15加密相關(guān)加密設(shè)備或者和加密模塊，VPN16安全檢測(cè)平臺(tái)安全檢測(cè)平臺(tái)類型17項(xiàng)目管理類著名項(xiàng)目管理類型18服務(wù)器管理服務(wù)器管理類型19企業(yè)管理企業(yè)管理類型20中間件所有中間件相關(guān)指紋21應(yīng)用層防護(hù)WAF、負(fù)載均衡等應(yīng)用層防護(hù)設(shè)備22CMSCMS類型23IoT類視頻監(jiān)控類型及IoT類24郵件系統(tǒng)郵件系統(tǒng)類型25站長(zhǎng)平臺(tái)站長(zhǎng)平臺(tái)類型26OA系統(tǒng)OA系統(tǒng)類型27其他其他性能指標(biāo)支持大于20類設(shè)備指紋，指紋庫(kù)中包含指紋數(shù)量大于10萬(wàn)個(gè)網(wǎng)絡(luò)設(shè)備：支持不少于6個(gè)品牌20以上種型號(hào)路由器/交換機(jī)，包含不限于Cisco、華為、Juniper、H3C、銳捷、中興等廠商的主流路由器型號(hào)。安全設(shè)備：網(wǎng)絡(luò)安全

56、設(shè)備支持80個(gè)品牌上百種以上指紋偵測(cè)，至少包含華為、Cisco、Juniper、天融信、啟明星辰、網(wǎng)域星云、網(wǎng)神、F5、梭子魚(yú)、Checkpoint、Redware等廠商。IOT設(shè)備：物聯(lián)網(wǎng)設(shè)備支持至少80個(gè)品牌100種以上物聯(lián)網(wǎng)設(shè)備指紋，包含攝像頭、門禁卡、電梯系統(tǒng)、IP電話系統(tǒng)等，至少包含大華、?？档绕放频闹髁餍吞?hào)。工控設(shè)備：支持20多個(gè)品牌，20種以上工控廠商的指紋識(shí)別，包含西門子、ABB、Holeywell、MOXA、施耐德、亞控科技、研華、Rockwell、松下、GE、德國(guó)JANITZA、斯赫曼、SAMSUNG、艾默生EMERSON能源、COGENT、馬來(lái)西亞ECAVA、資金橋、羅杰

57、康RUGGEDCOM、MEINBERG、PACT、思科等。漏洞發(fā)現(xiàn)信息采集系統(tǒng)功能漏洞發(fā)現(xiàn)功能從數(shù)據(jù)采集系統(tǒng)中獲得資產(chǎn)信息和應(yīng)用層協(xié)議的資源地址，以此對(duì)重要信息系統(tǒng)設(shè)備和系統(tǒng)本身進(jìn)行漏洞的被動(dòng)分析和主動(dòng)探測(cè)，實(shí)現(xiàn)系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫(kù)掃描、基線掃描及弱口令等多項(xiàng)功能。利用被動(dòng)采集對(duì)資源地址，對(duì)被保護(hù)網(wǎng)絡(luò)內(nèi)的設(shè)備采取主動(dòng)方式進(jìn)行深度漏洞分析，發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞安全隱患。在重大高危漏洞爆發(fā)初期，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中漏洞威脅分布情況的快速發(fā)現(xiàn)，縮短應(yīng)急響應(yīng)時(shí)間，降低漏洞攻擊對(duì)重要信息系統(tǒng)的安全威脅。系統(tǒng)流程 漏洞發(fā)現(xiàn)系統(tǒng)流程圖數(shù)據(jù)處理流程根據(jù)掃描任務(wù)發(fā)送漏洞檢測(cè)報(bào)文到被檢測(cè)設(shè)備執(zhí)行漏洞探測(cè)被檢測(cè)設(shè)備回復(fù)

58、響應(yīng)報(bào)文漏掃設(shè)備根據(jù)響應(yīng)報(bào)文判斷是否存在漏洞輸出漏洞探測(cè)結(jié)果性能指標(biāo)漏洞庫(kù)特征庫(kù)不少于60000條；特征庫(kù)涵蓋標(biāo)準(zhǔn)包含CVE、CVSS、CNVID、CNNVD、CNCVE、Bugtraq5種支持SSH、SMB、TELNET、POP、POP3、IMAP、FTP、RSH、REXEC、WSUS、SNMP、RDP的登錄掃描。數(shù)據(jù)層建設(shè)方案數(shù)據(jù)治理數(shù)據(jù)預(yù)處理原理數(shù)據(jù)預(yù)處理負(fù)責(zé)對(duì)采集器上報(bào)的歸一化日志和流探針上報(bào)的流量元數(shù)據(jù)進(jìn)行格式化處理，補(bǔ)充相關(guān)的上下文信息（包括用戶、地理位置和區(qū)域），并將格式化后的數(shù)據(jù)發(fā)布到分布式總線。對(duì)采集器/流探針上報(bào)的數(shù)據(jù)進(jìn)行清洗、過(guò)濾、關(guān)聯(lián)和富化，為日志/流量元數(shù)據(jù)補(bǔ)全上下文

59、相關(guān)信息（例如地理信息、用戶信息、租戶信息等），滿足態(tài)勢(shì)感知、調(diào)查取證和威脅檢測(cè)對(duì)數(shù)據(jù)的要求。分布式存儲(chǔ)原理分布式存儲(chǔ)負(fù)責(zé)對(duì)格式化后的數(shù)據(jù)進(jìn)行存儲(chǔ)，針對(duì)不同類型的異構(gòu)數(shù)據(jù)（歸一化日志、流量元數(shù)據(jù)、PCAP文件）進(jìn)行分類存儲(chǔ)，分布式存儲(chǔ)的數(shù)據(jù)主要用于威脅檢測(cè)和威脅可視化?？紤]到可靠性和高并發(fā)性能的要求，分布式存儲(chǔ)的數(shù)據(jù)保存在多個(gè)檢測(cè)/存儲(chǔ)節(jié)點(diǎn)，并且可以按需擴(kuò)展存儲(chǔ)節(jié)點(diǎn)。分布式索引原理分布式索引負(fù)責(zé)對(duì)關(guān)鍵的格式化數(shù)據(jù)建立索引，為可視化調(diào)查分析提供基于關(guān)鍵字的快速檢索服務(wù)。分布式索引采用了多實(shí)例自適應(yīng)的索引技術(shù)和時(shí)間片抽取的分層索引結(jié)構(gòu)，索引數(shù)據(jù)保存在多個(gè)檢測(cè)/存儲(chǔ)節(jié)點(diǎn)，提供了高可靠性和高并發(fā)索引能

60、力，支持按需彈性擴(kuò)展索引。元數(shù)據(jù)管理元數(shù)據(jù)是描述數(shù)據(jù)的數(shù)據(jù)，數(shù)據(jù)采集、解析、預(yù)處理、存儲(chǔ)以及分析過(guò)程都需要基于元數(shù)據(jù)開(kāi)展。元數(shù)據(jù)配置負(fù)責(zé)不同類型安全數(shù)據(jù)集合的定義，支持元數(shù)據(jù)的新增和檢索，運(yùn)維人員可以針對(duì)不同數(shù)據(jù)處理場(chǎng)景定義不同類型的元數(shù)據(jù)。數(shù)據(jù)字典配置負(fù)責(zé)維護(hù)元數(shù)據(jù)的標(biāo)準(zhǔn)屬性，標(biāo)準(zhǔn)屬性用于描述元數(shù)據(jù)字段的相關(guān)信息，例如字段的類型、長(zhǎng)度、描述信息等。通過(guò)字典屬性字段的統(tǒng)一維護(hù)，提升元數(shù)據(jù)屬性的復(fù)用性，支持元數(shù)據(jù)屬性的橫向擴(kuò)展，運(yùn)維人員可以根據(jù)新接入的日志數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)字段屬性。數(shù)據(jù)源配置負(fù)責(zé)維護(hù)不同數(shù)據(jù)源的定義，用于設(shè)置元數(shù)據(jù)所描述數(shù)據(jù)的連接信息，支持的數(shù)據(jù)源包括Kafka、HDFS等Pipel