網(wǎng)絡(luò)信息安全規(guī)劃

2020年11月

目錄

一、概述.....................................................................2

1.1項目背景................................................................2

1.2編制依據(jù).................................................................2

二、安全現(xiàn)狀及需求分析.......................................................3

2.1安全現(xiàn)狀................................................................3

2.2需求分析...............................................................3

2.2.1政策文件要求.....................................................3

2.2.2自身安全需求.....................................................5

三、解決思路..................................................................8

3.1持續(xù)改進................................................................8

3.2縱深防御...............................................................8

3.3閉環(huán)流程...............................................................9

3.4非對稱..................................................................9

四、網(wǎng)絡(luò)安全規(guī)劃方案.........................................................9

2.1總體建設(shè)目標(biāo)............................................................9

2.2參考安全模型..........................................................10

2.2.1IATF框架..........................................................10

2.2.2自適應(yīng)安全框架...................................................10

2.2.3新時期的等級保護體系（等保2.0）.................................11

2.3總體建設(shè)內(nèi)容............................................................13

2.4建設(shè)方案..............................................................14

2.4.1一期建設(shè)方案（“合法、合規(guī)”、“剛需”）.......................14

2.4.2二期建設(shè)方案（主動防御體系建設(shè)）...............................18

2.4.3三期建設(shè)方案（安全運營體系建設(shè)）...............................23

五、安全服務(wù)簡介............................................................29

5.1安全力口固服務(wù)..........................................................29

5.2滲透測試服務(wù)..........................................................29

5.3風(fēng)險評估月艮務(wù)..........................................................30

5.4漏洞掃描服務(wù)..........................................................32

5.5應(yīng)急響應(yīng)服務(wù)..........................................................32

六、安全建設(shè)任務(wù)匯總........................................................34

一、概述

1.1項目背景

即將到來的“十四五”，將是企業(yè)數(shù)字化戰(zhàn)略的轉(zhuǎn)型建設(shè)關(guān)鍵階段，在此期間，數(shù)字經(jīng)

濟將全面深化。為踐行《網(wǎng)絡(luò)安全法》安全與信息化同步規(guī)劃、同步建設(shè)、同步運行的三同

步思想，通過本次安全規(guī)劃，建立從頂層設(shè)計、部署實施到安全運行的一整套網(wǎng)絡(luò)安全新模

式，使網(wǎng)絡(luò)安全向面向?qū)沟膶崙?zhàn)化運行模式升級。同時面對現(xiàn)在不容樂觀的整體安全態(tài)勢

及各種監(jiān)管要求，開展企業(yè)的網(wǎng)絡(luò)安全建設(shè)，補足和修復(fù)企業(yè)自身的安全短板；是整個社會

和國家發(fā)展的必然趨勢。

1.2編制依據(jù)

《中華人民共和國網(wǎng)絡(luò)安全法》

《關(guān)于加快推進國有企業(yè)數(shù)字化轉(zhuǎn)型工作的通知》

《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》

GB/T25058-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南》

GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》

GBT25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》

GB/T28448-2019《信息系統(tǒng)安全等級保護測評要求》

GB/T18336《信息技術(shù)-安全技術(shù)-信息技術(shù)安全性評估準(zhǔn)則》

GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》

GB/T35281-2017《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用服務(wù)器安全技術(shù)要求》

GB/T35273-2017《信息安全技術(shù)個人信息安全規(guī)范》

GB/T31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》

GB/T31168-2014《信息安全技術(shù)云計算服務(wù)安全能力要求》

二、安全現(xiàn)狀及需求分析

2.1安全現(xiàn)狀

企業(yè)經(jīng)過多年信息化工作和安全建設(shè)，建立了一套以實際業(yè)務(wù)安全需求和等級保護1.0

為基礎(chǔ)框架的點狀防御體系。公司網(wǎng)絡(luò)基礎(chǔ)設(shè)施已基本完善。整體網(wǎng)絡(luò)架構(gòu)采用三層層次化

模型網(wǎng)絡(luò)架構(gòu)，即由核心層、匯聚層和接入層組成，關(guān)鍵網(wǎng)絡(luò)節(jié)點處均采用冗余雙機。全公

司聯(lián)網(wǎng)的辦公用計算機數(shù)百臺。公司現(xiàn)有io多套業(yè)務(wù)系統(tǒng)。整體安全建設(shè)現(xiàn)狀拓?fù)鋱D如下：

(1)互聯(lián)網(wǎng)出口冗余部署有上網(wǎng)行為管理、負(fù)載均衡；

(2)各區(qū)域邊界上部署有下一代防火墻，并嚴(yán)格按照業(yè)務(wù)屬性、重要程度和安全級別

對區(qū)域進行邊界劃分和訪問控制；(互聯(lián)網(wǎng)出口、集團專網(wǎng)接入、服務(wù)器區(qū))

(3)辦公終端及服務(wù)器上部署有網(wǎng)絡(luò)版殺毒軟件和文檔安全管控系統(tǒng)；

(4)外部用戶采用VPN加密接入；

(5)機房部分部署有IT運維管理平臺、動環(huán)監(jiān)控；

(6)整體數(shù)據(jù)中心建設(shè)采用虛擬化平臺的方式，平臺采用分布式架構(gòu)和資源虛擬化特

性為業(yè)務(wù)系統(tǒng)帶來了極強的可靠性、穩(wěn)定性；

(7)在數(shù)據(jù)備份層面，采用備份一體機和虛擬化平臺備份的方式；

(8)在安全審計層面，采用運維審計系統(tǒng)和日志審計系統(tǒng)。

現(xiàn)狀分析

傳統(tǒng)的點狀防御體系及被動防御思想在新的安全形勢下，不足以應(yīng)對新型攻擊和復(fù)合型

攻擊，同時在應(yīng)對多源低頻、業(yè)務(wù)邏輯漏洞、0DAY、自動化工具等攻擊方式時也顯的有心無

力；其次外部威脅變化過快，存在安全攻防不對等、安全技術(shù)能力不足、安全威脅動態(tài)變化、

難以及時響應(yīng)等情況，會導(dǎo)致安全事件頻發(fā)。

2.2需求分析

2.2.1政策文件要求

2.2.1.1網(wǎng)絡(luò)安全法

在2017年頒發(fā)的《中華人民共和國網(wǎng)絡(luò)安全法》中明確規(guī)定了法律層面的網(wǎng)絡(luò)安全。

具體如下:

“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國家實行網(wǎng)

絡(luò)安全等級保護制度”。各網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照要求，開展網(wǎng)絡(luò)安全等級保護的定級備案、

等級測評、安全建設(shè)、安全檢查等工作。除此之外，《網(wǎng)絡(luò)安全法》中還從網(wǎng)絡(luò)運行安全、

關(guān)鍵信息基礎(chǔ)設(shè)施運行安全、網(wǎng)絡(luò)信息安全等對以下方面做了詳細(xì)規(guī)定：

網(wǎng)絡(luò)日志留存:第二十一條還規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程,

確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任;采取防計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等

危害網(wǎng)絡(luò)安全行為的技術(shù)措施;采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，

留存不少于六個月的相關(guān)網(wǎng)絡(luò)日志;采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。未履行上

述網(wǎng)絡(luò)安全保護義務(wù)的，會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果

的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

漏洞處置：第二十五條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系

統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立

即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。沒有網(wǎng)絡(luò)安全事

件應(yīng)急預(yù)案的，沒有及時處置高危漏洞、網(wǎng)絡(luò)攻擊的;在發(fā)生網(wǎng)絡(luò)安全事件時處置不恰當(dāng)?shù)模?/p>

會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元

以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

容災(zāi)備份：第三十四條第三項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位對重要系統(tǒng)和數(shù)據(jù)庫進行容

災(zāi)備份。沒有對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份的會被依照此條款責(zé)令改正。

應(yīng)急演練：第三十四條第四項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急

預(yù)案，并定期進行演練。沒有網(wǎng)絡(luò)安全事件預(yù)案的，或者沒有定期演練的，會被依照此條進

行責(zé)令改正。

安全檢測評估：第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安

全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進行一次檢測評估，并將檢測評估

情況和改進措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。每年沒有進行安全檢

測評估的單位要被責(zé)令改正。

關(guān)鍵信息基礎(chǔ)設(shè)施的運營者網(wǎng)絡(luò)安全保護義務(wù)：（一）設(shè)置專門安全管理機構(gòu)和安全管

理負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進行安全背景審查；（二）定期對從業(yè)人員進行

網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；（三）對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份；（四）制定

網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進行演練；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

2.2.1.2國資委發(fā)文

（一）《關(guān)于加快推進國有企業(yè)數(shù)字化轉(zhuǎn)型工作的通知》

國資委在2020年9月發(fā)布的《關(guān)于加快推進國有企業(yè)數(shù)字化轉(zhuǎn)型工作的通知》中將網(wǎng)

絡(luò)安全定義為國有企業(yè)數(shù)字化轉(zhuǎn)型的四大基礎(chǔ)之一-安全基礎(chǔ)。在安全基礎(chǔ)建設(shè)中指出要建

設(shè)態(tài)勢感知平臺，加強平臺、系統(tǒng)、數(shù)據(jù)等安全管理。使用安全可靠的設(shè)備設(shè)施、工具軟件、

信息系統(tǒng)和服務(wù)平臺，提升本質(zhì)安全。同時構(gòu)建網(wǎng)絡(luò)安全基礎(chǔ)資源庫，加強安全資源儲備。

強化檢測評估和攻防演練，加快人才隊伍建設(shè)。

（二）《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》

國資委于2019年修訂印發(fā)了《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》；考核辦法較原先的

考核辦法增加了對網(wǎng)絡(luò)安全工作的考核，而且十分嚴(yán)厲，一旦企業(yè)發(fā)生網(wǎng)絡(luò)安全事件將對企

業(yè)負(fù)責(zé)人的考核帶來負(fù)面影響，直接影響其相關(guān)考核結(jié)果。同時考核辦法中指出，國有資本

參股公司、被托管和兼并企業(yè)中由國資委管理的企業(yè)負(fù)責(zé)人，其經(jīng)營業(yè)績考核參照本辦法執(zhí)

行。簡而言之除央企以外其他各地的國企可以參考本辦法并結(jié)合自身的實際開展相關(guān)工作。

2.2.2自身安全需求

長期以來，由于政企機構(gòu)網(wǎng)絡(luò)安全體系的基礎(chǔ)設(shè)施完備度不足，安全對信息化環(huán)境的覆

蓋面不全、與信息化各層次結(jié)合程度不高，安全運行可持續(xù)性差、應(yīng)急能力就緒度低、資源

保障長期不充足，導(dǎo)致政企機構(gòu)在面對“當(dāng)前數(shù)字化業(yè)務(wù)的平穩(wěn)、可靠、有序和高效運營是

否能夠得到充分的網(wǎng)絡(luò)安全保障以及如何充分的保障網(wǎng)絡(luò)安全是我們首要的關(guān)注問題。具體

安全需求如下：

2.2.2.1現(xiàn)有建設(shè)思路無法達(dá)到安全效果的預(yù)期

以往信息化工作一直存在著“重業(yè)務(wù)，輕安全”的情況，隨著《網(wǎng)絡(luò)安全法》相關(guān)法律、

法規(guī)的頒發(fā)和實施，網(wǎng)絡(luò)安全的重要性有了顯著提高，但于此同時，網(wǎng)絡(luò)安全的建設(shè)工作依

然存在誤區(qū)。在這些誤區(qū)中，“重建設(shè)、輕管理”最為明顯?！爸亟ㄔO(shè)”是指安全建設(shè)集中在

安全設(shè)備采購，部署后缺乏專人運維，導(dǎo)致發(fā)生安全事件時不能及時發(fā)現(xiàn)以及動態(tài)防護?！拜p

管理”是指當(dāng)前日常安全工作受限于人力配備、技術(shù)資源和能力、安全運維、威脅處置、應(yīng)

急響應(yīng)等經(jīng)驗不足，導(dǎo)致安全效果無法達(dá)到預(yù)期。

2.2.2.2高階人才稀缺，安全事件無法有效處置

網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗。攻擊者會不斷尋找防護方的弱點，防護方也需要不斷研究

黑客思維，探索應(yīng)對黑客攻擊的方法，提升安全防護的能力和效率。隨著攻防對抗的不斷升

級，在攻擊和防御的對抗中，攻擊方通常掌握著主動性，而防御方必須具備能夠和攻擊方相

抗衡的智能。

網(wǎng)絡(luò)安全是海量攻擊手法和海量防御手法之間較量。意味著企業(yè)或組織要想擁有較多的

防御手法，就必須了解攻擊的各個階段，并根據(jù)各個攻擊階段評估下一階段攻擊手法，制定

防御措施。如網(wǎng)絡(luò)攻擊生命周期(CyberAttackLifeCycle)中，在執(zhí)行攻擊(Execute)

前，往往有偵察(Recon)和利用(Exploit),控制(Control)階段。

LeftofHackRightofHack

「7y—而

勘R目懵送士武丹控制目金武總

?????

內(nèi)作武B攻整目懵通行景H

y

這就對單位安全人員提出了很高技術(shù)要求，既要了解攻擊手法、又要精通防御手段以及

安全數(shù)據(jù)分析和高執(zhí)行力。在現(xiàn)實情況下，單位內(nèi)部培養(yǎng)高階安全專家成本太高，培養(yǎng)時間

過長，即使培養(yǎng)出了個別高階網(wǎng)絡(luò)安全人才也極因各種原因造成人員流動，造成了單位的網(wǎng)

絡(luò)安全領(lǐng)域高階人才缺失。

其次，由于當(dāng)前高階安全專家的缺失，導(dǎo)致安全事件無法有效處置。單位內(nèi)部現(xiàn)有安全

事件的識別基于安全設(shè)備，安全設(shè)備上只會給出描述疑似安全事件的安全日志，這會導(dǎo)致兩

個問題：大量的安全日志需要進行研判，判斷是否真實存在安全信息：安全設(shè)備上只有安全

日志，并無描述真實可行的處置建議，導(dǎo)致組織在面對安全事件時無法閉環(huán)處置，也無法持

續(xù)跟進安全事件處置情況。

2.2.2.3安全系統(tǒng)存在孤島效應(yīng)

為了應(yīng)對不斷升級的信息安全形勢和安全威脅,大量企事業(yè)單位采用“加法式安全投入”

引入了一個又一個的安全產(chǎn)品；安全產(chǎn)品之間相互獨立，導(dǎo)致了日志、告警、問題事件等信

息的相對獨立，進一步導(dǎo)致了安全運維人員工作的相對獨立：而安全運維人員的數(shù)量是大致

不變的，采購的安全產(chǎn)品越多，信息越多，信息孤島效應(yīng)越明顯，表現(xiàn)為高信息量、高誤報、

高運維壓力。

2.2.2.4缺乏未知威脅和潛在威脅檢測能力

目前企業(yè)內(nèi)部署了很多安全設(shè)備和安全系統(tǒng)，這些安全設(shè)備系統(tǒng)主要基于特征、規(guī)則，

檢測已知威脅沒有問題，但是缺少長周期、行為分析、關(guān)聯(lián)分析的未知威脅檢測能力。

2.2.2.5傳統(tǒng)安全服務(wù)無法滿足現(xiàn)階段實際安全需求

在安全措施無法保障該有的安全效果情況下，不少企業(yè)嘗試采購第三方安全服務(wù)來保障

安全效果。但以往的安全服務(wù)服務(wù)水平參差不齊，服務(wù)效果不達(dá)預(yù)期，并無法滿足實際網(wǎng)絡(luò)

安全需求，主要存在以下問題：

服務(wù)周期不持續(xù)

以往的安全服務(wù)均為周期性服務(wù)，且服務(wù)間隔過大，無法應(yīng)對持續(xù)性的安全威脅；從自

身單位的安全事件統(tǒng)計來看，業(yè)務(wù)系統(tǒng)遭受嘗試性入侵的時間普遍集中在晚間，現(xiàn)有缺乏應(yīng)

對措施。其次，服務(wù)周期過大還存在著另外一個安全隱患。以2018年統(tǒng)計數(shù)據(jù)為例，2018

年共計發(fā)現(xiàn)了超過15000個新漏洞，平均每天41個漏洞，服務(wù)周期一旦過大，會導(dǎo)致單位

內(nèi)部的業(yè)務(wù)系統(tǒng)存在較多漏洞以及較長的漏洞利用時間。

服務(wù)實際安全效果不佳

周期性的第三方服務(wù)因為無法持續(xù)監(jiān)測和主動威脅處置，會導(dǎo)致絕大多數(shù)安全事件發(fā)生

后，已經(jīng)危害到實際應(yīng)用層面才被發(fā)現(xiàn)，同時被動式的應(yīng)急響應(yīng)服務(wù)極大的延長了應(yīng)急處置

的時間；整體安全服務(wù)存在時間滯后性和被動性，導(dǎo)致安全效果不佳。

傳統(tǒng)持續(xù)性服務(wù)無法落地

傳統(tǒng)的第三方服務(wù)，由周期性服務(wù)轉(zhuǎn)變?yōu)槌掷m(xù)性服務(wù)所帶來的人員駐場、人員駐場辦公

位置、人員人生安全、人員管理、服務(wù)成本劇增等問題，往往導(dǎo)致項目無法實際落地；

2.2.2.6互聯(lián)網(wǎng)時代新增的安全需求

互聯(lián)網(wǎng)+、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等越來越多新應(yīng)用的普及和落地，也帶

來了新的網(wǎng)絡(luò)安全需求。

2.2.2.7外部威脅推動

(1)國內(nèi)外的反動勢力、APT組織對國內(nèi)企事業(yè)單位虎視眈眈，每到國家重大時節(jié)都

會針對性的對政府、企事業(yè)單位進行大規(guī)模攻擊，散布反動言論。

（2）病毒、木馬、蠕蟲，以勒索病毒為例：從2017年以來蔓延之今，影響領(lǐng)域包括政

企部門、醫(yī)療服務(wù)、高校、公共交通、郵政等各行各業(yè)。

（3）信息泄露（企事業(yè)內(nèi)部信息頻頻外泄引發(fā)負(fù)面輿情、徐玉玉案例、成都某衛(wèi)生系

統(tǒng)泄露50多萬條新生嬰兒和預(yù)產(chǎn)孕婦信息案例、華住酒店5億條數(shù)據(jù)泄露、菜鳥驛站一千

萬條快遞數(shù)據(jù)泄露等）。

（4）黑客攻擊（伊朗核電站；烏克蘭電網(wǎng)；中國等國某部委、大型能源央企蔓靈花事

件；網(wǎng)站被篡改、釣魚網(wǎng)站、服務(wù)器被控制、APT攻擊、挖礦病毒等）。

三、解決思路

3.1持續(xù)改進

在解決安全問題的過程中，不可能一勞永逸。從早期的防火墻、防病毒，入侵檢測，到

現(xiàn)在的態(tài)勢感知、威脅情報，智能分析，安全防御技術(shù)本身并沒有革命性變化，本質(zhì)上還是

開發(fā)檢測規(guī)則，異常模式識別。實際上，安全產(chǎn)品、安全技術(shù)需要不斷的隨著攻擊手段的發(fā)

展而升級，也需要有人來運營，否則安全防護會成為稻草人，馬奇諾防線，在變化的攻擊手

段前不堪一擊。

早期基于系統(tǒng)漏洞利用的攻擊是主流，安全防護對應(yīng)以防火墻和入侵檢測為主，對互聯(lián)

網(wǎng)只開放少量端口，互聯(lián)網(wǎng)資產(chǎn)管理主要是IP和端口的管理。隨著攻擊主流轉(zhuǎn)變?yōu)閃eb攻

擊，安全防護對應(yīng)升級為Web安全防護，出現(xiàn)了Web應(yīng)用防火墻（WAF）,互聯(lián)網(wǎng)資產(chǎn)管理也

相應(yīng)轉(zhuǎn)變?yōu)閷Φ谌綉?yīng)用和開發(fā)使用框架為主，不再是舊有的資產(chǎn)管理概念。有效的安全是

持續(xù)改進，針對變化的安全形勢和矛盾進行調(diào)整。

3.2縱深防御

在各種入侵案例中，基本都是利用Web應(yīng)用漏洞，攻擊者獲得低權(quán)限WebShell,然后

通過低權(quán)限的WebShell上傳更多文件，并嘗試執(zhí)行更高權(quán)限的系統(tǒng)命令，嘗試在服務(wù)器上

提升權(quán)限為Root,并進一步橫向滲透，獲得更多內(nèi)網(wǎng)權(quán)限。在這個典型的攻擊路徑中，在任

何一個環(huán)節(jié)設(shè)置有效的安全檢測和防御措施，都可能導(dǎo)致攻擊被檢測和阻止。目前在安全防

護技術(shù)沒有革命性發(fā)展下，企業(yè)內(nèi)部防御采用縱深防御體系，從網(wǎng)絡(luò)層、應(yīng)用層、傳輸層、

系統(tǒng)層、用戶層、數(shù)據(jù)層進行層層防御，能為我們提供良好的網(wǎng)絡(luò)安全環(huán)境。

3.3閉環(huán)流程

為了使網(wǎng)絡(luò)安全有效，企業(yè)組織還必須考慮合理的利用人員和流程。當(dāng)組合成單個集成

框架時，基于安全工具、人員和流程的重疊策略將產(chǎn)生最有效的防御。在閉環(huán)流程上以安全

事件為導(dǎo)向，從事前、事中、事后三個維度對安全事件進行全生命周期管控。最終構(gòu)建一套

包括預(yù)測、檢測、防御、處置響應(yīng)、溯源可持續(xù)的閉環(huán)流程。

3.4非對稱

對于攻擊者來說，只要能夠找到企業(yè)系統(tǒng)的一個弱點，就可以達(dá)到入侵系統(tǒng)的目的，而

對于企業(yè)信息安全人員來說，必須找到系統(tǒng)的所有弱點，不能有遺漏，不能有滯后，才能保

證系統(tǒng)不會出現(xiàn)問題。這種非對稱是造成黑客和安全防護人員思維方式不同的根本原因，這

種非對稱，也是組織信息安全工作難做的根本原因。破壞永遠(yuǎn)比建設(shè)容易。安全防護人員也

需要非對稱思維。如使用基于攻擊欺騙的蜜罐系統(tǒng)，通過在黑客必經(jīng)之路上構(gòu)造陷阱，混淆

其攻擊目標(biāo)，精確感知黑客攻擊的行為，將攻擊火力引入隔離的蜜罐系統(tǒng)，從而保護真實的

資產(chǎn)。通過蜜罐系統(tǒng)記錄攻擊行為，獲取攻擊者的網(wǎng)絡(luò)身份信息、指紋信息，對攻擊者及攻

擊行為進行取證和溯源，及時阻斷攻擊。

四、網(wǎng)絡(luò)安全規(guī)劃方案

2.1總體建設(shè)目標(biāo)

經(jīng)過有步驟有計劃的分步安全建設(shè)，以滿足合法合規(guī)為基礎(chǔ)安全體系框架，通過解決真

實存在的安全風(fēng)險，輔以安全技術(shù)、安全管理、安全能力的提升；最終形成一套動態(tài)的可持

續(xù)的主動防御體系；以網(wǎng)絡(luò)安全中的安全事件為導(dǎo)向，對安全事件的事前、事中、事后進行

全生命周期管控，通過事前監(jiān)測、預(yù)警、風(fēng)險評估、漏洞修復(fù)；事中防御處置；事后應(yīng)急響

應(yīng)、威脅處置、取證溯源、漏洞驗證、安全復(fù)測、事件報告等手段；構(gòu)建一套動態(tài)可持續(xù)運

轉(zhuǎn)的安全運營體系，以此達(dá)到對抗動態(tài)安全風(fēng)險的目的。

2.2參考安全模型

2.2.1IATF框架

IATF,《信息保障技術(shù)框架》（IATF：InformationAssurance[s'fuarans]Technical

Framework）是美國國家安全局（NSA）NationalSecurityAgency制定，用于描述其信息

保障的指導(dǎo)性文件。2002年，我們國家973”信息與網(wǎng)絡(luò)安全體系研究”課題組將IATF3.0

版引進國內(nèi)后，IATF開始對我國信息安全工作的發(fā)展和信息安全保障體系的建設(shè)起重要的

參考和指導(dǎo)作用。

SuccessfulMissionExecution

InformationAssurance

PeopleTechnologyOperations

RobustandIntegratedSetof

InformationAssuranceMeasuresandActions

IATF提出的信息保障的核心思想是縱深防御戰(zhàn)略（DefenseinDepth）。在縱深防御

戰(zhàn)略中指出，人、技術(shù)和操作（operations也可以譯為流程）是三個主要核心因素，要保

障信息及信息系統(tǒng)的安全，三者缺一不可。人是信息系統(tǒng)的主體，是信息系統(tǒng)的擁有者、管

理者和使用者，是信息保障體系核心。

2.2.2自適應(yīng)安全框架

自適應(yīng)安全框架（ASA）是Gartner于2014年提出的面向下一代的安全體系框架，以應(yīng)

對云大物移智時代所面臨的安全形勢。自適應(yīng)安全框架（ASA）從預(yù)測、防御、檢測、響應(yīng)

四個維度，強調(diào)安全防護是一個持續(xù)處理的、循環(huán)的過程，細(xì)粒度、多角度、持續(xù)化的對安

全威脅進行實時動態(tài)分析，自動適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防

御機制。

MM

風(fēng)艙評*S

險犯皿REt擊

系統(tǒng)*na量熱s

?*?

螳甘，偏址第12改

■應(yīng)

相對于PDR模型，自適應(yīng)安全框架（ASA）框架增加了安全威脅“預(yù)測”的環(huán)節(jié)，其目

的在于通過主動學(xué)習(xí)并識別未知的異常事件來嗅探潛在的、未暴露的安全威脅，更深入的詮

釋了“主動防御”的思想理念，這也是網(wǎng)絡(luò)安全2.0時代新防御體系的核心內(nèi)容之一。

2.2.3新時期的等級保護體系（等保2.0）

為配合《中華人民共和國網(wǎng)絡(luò)安全法》的實施，同時適應(yīng)云計算、移動互聯(lián)、物聯(lián)網(wǎng)和

工業(yè)控制等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護工作的開展，2019年5月130,

《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》正式發(fā)布。

國家等級保護制度是以保護國家關(guān)鍵信息基礎(chǔ)設(shè)施為重點的全新網(wǎng)絡(luò)安全基本制度體

系，為有效應(yīng)對國際網(wǎng)絡(luò)空間安全形勢，新時期的等保不僅保護對象的范圍擴大而且要求更

加細(xì)化，具有以下突出的特點：

>變被動防御為主動防御

變靜態(tài)防御為動態(tài)防御

變單點防御為整體防御

變粗放防御為精準(zhǔn)防御

2.3總體建設(shè)內(nèi)容

本次安全規(guī)劃通過完善現(xiàn)有防御體系；采用主動防御理念，依托大數(shù)據(jù)分析平臺、人工

智能、行為分析、欺騙防御、威脅事件管理等技術(shù)手段，結(jié)合第三方安全服務(wù)提供全方位、

全天候、全時段的主動防護體系，保護組織核心業(yè)務(wù)不被網(wǎng)絡(luò)攻擊中斷，保障組織核心業(yè)務(wù)

數(shù)據(jù)不被竊取。在對已知威脅有較強的防御能力外，對于未知威脅也具有一定的防御能力。

項目整體建設(shè)內(nèi)容如下：

時期目標(biāo)具體指標(biāo)

1、“合法”、“合規(guī)”：以等保2.0、《網(wǎng)絡(luò)安

全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》等

滿足“合法”、“合

政策法規(guī)為標(biāo)準(zhǔn)，從安全技術(shù)、安全管理

第一期規(guī)”要求的同時，解

2個方面進行查漏補缺；

（2021年）決當(dāng)前環(huán)境下的網(wǎng)絡(luò)

2、剛需：補充有效的安全驗證機制驗證當(dāng)

安全“剛需”

前安全防護是否有效，并對發(fā)現(xiàn)安全風(fēng)

險進行控制和修復(fù)；

1、建設(shè)統(tǒng)一安全管理平臺，將全網(wǎng)孤立、碎

片化的信息，匯聚、關(guān)聯(lián)為可視化的信息

安全事件；為全網(wǎng)安全威脅，預(yù)警、防御

應(yīng)急處置提供技術(shù)支撐。

第二期構(gòu)建動態(tài)可持續(xù)的主

2、依托于統(tǒng)一安全管理平臺，引入第三方

（2022年）動防御體系

周期性的安全運維服務(wù)，利用專業(yè)技術(shù)

人員為紐帶將整體防御體系動態(tài)運轉(zhuǎn)。

3、針對對外發(fā)布的WEB應(yīng)用構(gòu)建主動防護

措施；

1、以資產(chǎn)管理、漏洞管理、威脅管理、事件

管理四個維度對全網(wǎng)進行安全運營；完

善主動防御體系，使各個環(huán)節(jié)、流程形成

安全閉環(huán)；達(dá)到全天候、全時段的動態(tài)安

全防護體系，以持續(xù)不間斷動態(tài)運轉(zhuǎn)的

第三期構(gòu)建全方位的安全運

安全體系對抗動態(tài)的安全風(fēng)險。

（2023年）營體系

2、構(gòu)建欺騙防御體系，欺騙惡意用戶，拖

延、誤導(dǎo)攻擊者的攻擊行為，給予事件檢

測和響應(yīng)更多的緩沖時間；收集攻擊信

息、查找內(nèi)部僵尸、木馬、蠕蟲、惡意訪

問等。

2.4建設(shè)方案

2.4.1一期建設(shè)方案（“合法、合規(guī)”、“剛需”）

2.4.1.1設(shè)計思路

結(jié)合企業(yè)網(wǎng)絡(luò)現(xiàn)狀、安全風(fēng)險、自身需求，參照等級保護IS027000的體系標(biāo)準(zhǔn)；結(jié)合

《網(wǎng)絡(luò)安全法》及行業(yè)政策發(fā)文對網(wǎng)絡(luò)安全建設(shè)的影響，充分考慮到當(dāng)前網(wǎng)絡(luò)安全建設(shè)的遠(yuǎn)

景規(guī)劃和發(fā)展，建設(shè)符合國家政策法規(guī)、能抵抗基本安全風(fēng)險的綜合安全體系。

2.4.1.2建設(shè)內(nèi)容

本次一期項目建設(shè)內(nèi)容分為2個部分：

一、是參照等級保護制度、網(wǎng)絡(luò)安全法及行業(yè)主管部門的相關(guān)發(fā)文，對現(xiàn)有安全技術(shù)體

系、安全管理體系進行差距分析，依據(jù)差距分析的結(jié)果進行安全建設(shè)和整改。

二、是引入第三方有效的安全驗證機制，驗證當(dāng)前安全防護是否有效，并對發(fā)現(xiàn)的安全

風(fēng)險進行控制和修復(fù)；

2.4.1.2安全建設(shè)

2.4.1.2.1基礎(chǔ)安全技術(shù)框架

網(wǎng)絡(luò)安全等級保護制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本保障體系，從合法合規(guī)層面來講所有

的網(wǎng)絡(luò)安全建設(shè)都必須參照網(wǎng)絡(luò)安全等級保護制度的要求。參照《信息安全技術(shù)網(wǎng)絡(luò)安全

等級保護基本要求》第三級的標(biāo)準(zhǔn)對企業(yè)司網(wǎng)絡(luò)空間環(huán)境進行整體差距分析；針對差距分析

的結(jié)果，從物理安全、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計算環(huán)境、安全管理中心及管理

安全等方面著手，完善管理制度、優(yōu)化安全策略、調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)、增加必要的軟硬件設(shè)備或

系統(tǒng)。

其中，部分差距分析中發(fā)現(xiàn)的安全風(fēng)險問題，可以通過修改設(shè)備配置、優(yōu)化部署方式、

完善策略部署、修復(fù)漏洞、升級更新組件、加強管理措施得以解決，其他的整改內(nèi)容則需要

新購軟硬件設(shè)備或系統(tǒng)進行項目建設(shè)才能完成。

參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》第三級的要求，差距分析及安全建設(shè)

建議如下:

序

控制項控制點安全建設(shè)建議

號

1.安全區(qū)域b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)白源期攻入認(rèn)證或IP/Mac

邊界-邊界進行限制或檢查；綁定f勺技術(shù)方式，實現(xiàn)

防護

C）應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)白j徐勇i人證、防私接、非法

進行限制或檢查；外聯(lián)木立測等功能。

2.安全區(qū)域d）應(yīng)限制無線網(wǎng)絡(luò)的使用，確保無線網(wǎng)絡(luò)通無線局域網(wǎng)需與有線網(wǎng)

邊界-邊界過受控的邊界防護設(shè)備接入內(nèi)部往來絡(luò)設(shè)置明顯的網(wǎng)絡(luò)邊

防護界，邊界之間通過安全

網(wǎng)關(guān)進行安全防護。

3.安全區(qū)域b）應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢在已有出口網(wǎng)關(guān)上配置

邊界-垃圾測和防護，并維護垃圾郵件防護機制的升級垃圾郵件檢測和防護策

郵件防范和更新。略、定期升級特征庫；

4.安全區(qū)域C）應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進分析，實現(xiàn)部署能基于行為、流

邊界-入侵對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊的分析量、風(fēng)險事件等不依

防范靠特征庫、規(guī)則進行

分析的安全設(shè)備

5.安全管理a）應(yīng)啟用安全審計功能，審計覆蓋到新翔數(shù)據(jù)1葷審計系

中心-安全對重要的用戶行為和重要安全事件進行甯游;對數(shù)加庫運維、

審計用型量計

b）審計記錄應(yīng)包括事件的日期和時間

件類型、事件是否成功及其他與審計在1關(guān)的信息；

6.安全管理d）應(yīng)分散在各個設(shè)備商的審計數(shù)據(jù)進部署綜合三志審計

中心一集中行收集匯總和集中分析，并保證審計記系統(tǒng)，所有日志留存

管控錄的留存時間符合法律法規(guī)要求時間不低于?6個月

7.安全管理a）應(yīng)劃分出特定的管理區(qū)域，對分布網(wǎng)絡(luò)中劃分出安全

中心一集中在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理區(qū)

管控管控

8.安全管理f）應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件設(shè)置統(tǒng)一安全管理

中心-集中進行識別、報警和分析。中心，對各類安全事

管控件、威脅信息匯總分

析，識別、報警。

2.4.1.2.2網(wǎng)絡(luò)安全管理體系

安全管理內(nèi)容涉及：信息安全政策、信息安全組織、信息資產(chǎn)分類與管理、個人信息

安全、物理和環(huán)境安全、通信和操作安全管理、存取控制、系統(tǒng)的開發(fā)和維護、持續(xù)運營管

理等等，是一個龐大、復(fù)雜的系統(tǒng)工程。僅僅依靠技術(shù)手段來對業(yè)務(wù)應(yīng)用系統(tǒng)進行安全保障，

這樣的思想是非常錯誤。必須要做到“領(lǐng)導(dǎo)重視，嚴(yán)格執(zhí)行有關(guān)管理制度，建立信息安全

防范意識，技術(shù)手段切實可行、有效”，做到“技管并重”才有可能做到真正意義的信息安

全。

從系統(tǒng)的管理和運維者的角度來看，技術(shù)層面和管理層面必須相互結(jié)合、配合良好,

其中，尤其需要強調(diào)管理的重要性，應(yīng)以“七分管理，三分技術(shù)”的配比來設(shè)計安全體系。

技術(shù)層面通過部署相應(yīng)的安全產(chǎn)品或技術(shù)手段實現(xiàn)，管理層面則需要完善的信息安全管理

組織機構(gòu)、嚴(yán)格的信息安全管理制度和人員安全意識和技能培訓(xùn)、考核等手段來實現(xiàn)。

管理安全要求包括：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安

全運維管理等五部分內(nèi)容。

建議：參考《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》的要求，結(jié)合單位已有管理

制度和實際情況，建立和完善網(wǎng)絡(luò)安全管理制度體系，建立滿足自身信息安全要求、合理、

有效的安全管理制度體系。

2.4.1.2.3現(xiàn)有安全風(fēng)險控制

根據(jù)木桶原理，木桶所能容納水的多少是由木桶壁中最短那塊木頭決定的，同樣，一個

網(wǎng)絡(luò)系統(tǒng)中最主要的威脅是由最薄弱的安全漏洞決定的，往往解決最主要的安全問題可以使

系統(tǒng)的安全性有很大提高?，F(xiàn)有安全風(fēng)險控制旨在解決當(dāng)前環(huán)境下真實存在的安全威脅問

題。定期的安全驗證有利于及時發(fā)現(xiàn)、評估、修復(fù)、確認(rèn)和改進安全防護體系中的脆弱點。

定期的安全風(fēng)險控制能不斷提升整體的安全防護能力。

安全風(fēng)險控制采用結(jié)果驗證的方式;結(jié)果驗證是通過多種渠道安全滲透機制和攻防對抗

演習(xí)等，先于對手發(fā)現(xiàn)自己的漏洞和弱點。多種渠道安全滲透機制目前常見的就是第三方服

務(wù)機構(gòu)和安全眾測，攻防對抗演習(xí)需要企業(yè)組織具有較高攻防技能的安全人員，也可外聘外

部專業(yè)機構(gòu)完成，用于檢測安全技術(shù)和安全管理框架的有效性。

注：結(jié)果驗證指安全風(fēng)險評估、滲透測試、攻防演練等。

2.4.1.3其他安全建設(shè)要求

《中華人民共和國網(wǎng)絡(luò)安全法》

參照2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運營者的要求，文

件要求及安全建議如下:

適

用

序單位安全建設(shè)建

號

主條款號要求

區(qū)分議

體

1.國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)等級保護測

非關(guān)二十一

絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保評、整改、備

鍵信條

護制度的要求，履行安全保護義務(wù)。案

息基

2.二十一（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)部署綜合日

礎(chǔ)設(shè)

條-第絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存志審計系統(tǒng)

施單

三項規(guī)相關(guān)的網(wǎng)絡(luò)日志不少于六個月；

位

定

網(wǎng)

3.三十四（二）定期對從業(yè)人員進行網(wǎng)絡(luò)安全教定期安全技能/

絡(luò)

條-第二育、技術(shù)培訓(xùn)和技能考核；安全意識/安全

運

項規(guī)定認(rèn)證培訓(xùn)

營

三十四（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定定期應(yīng)急演練

4.者

關(guān)鍵

條-第四期進行演練：

信息

項規(guī)定

基礎(chǔ)

5.關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或定期風(fēng)險評估

設(shè)施

者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安及風(fēng)險控制

單位

第三十全性和可能存在的風(fēng)險每年至少進行一

八條次檢測評估，并將檢測評估情況和改進措

施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全

保護工作的部門。

注:（1）國家鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護體系。

（2）關(guān)鍵信息基礎(chǔ)設(shè)施的定義：參照2019年發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》

（征求意見稿）關(guān)鍵信息基礎(chǔ)設(shè)施單位范圍如下

>政府機關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公

用事業(yè)等行業(yè)領(lǐng)域的單位；

>電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計算、大數(shù)據(jù)和其他大

型公共信息網(wǎng)絡(luò)服務(wù)的單位：

>國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；

>廣播電臺、電視臺、通訊社等新聞單位；

>其他重點單位。

（3）國家網(wǎng)信部門會同國務(wù)院電信主管部門、公安部門等部門制定關(guān)鍵信息基礎(chǔ)設(shè)施識別

指南。國家行業(yè)主管或監(jiān)管部門按照關(guān)鍵信息基礎(chǔ)設(shè)施識別指南，組織識別本行業(yè)、本領(lǐng)域

的關(guān)鍵信息基礎(chǔ)設(shè)施，并按程序報送識別結(jié)果。關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定過程中，應(yīng)當(dāng)充

分發(fā)揮有關(guān)專家作用，提高關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定的準(zhǔn)確性、合理性和科學(xué)性。

2.4.2二期建設(shè)方案（主動防御體系建設(shè)）

2.4.2.1設(shè)計思路

以自適應(yīng)安全框架為安全模型，構(gòu)建具有持續(xù)的基于異常的安全動態(tài)檢測與響應(yīng)能力，

并在此基礎(chǔ)上做到對安全風(fēng)險事件的預(yù)測和控制。結(jié)合安全技術(shù)、人員、閉環(huán)流程的補充,

建立一套可運轉(zhuǎn)、可持續(xù)的主動防御體系，實現(xiàn)高安全等級結(jié)構(gòu)化保護，改變被動防護的局

面。

2.4.2.2建設(shè)內(nèi)容

二期項目建設(shè)內(nèi)容為構(gòu)建人機結(jié)合分析、持續(xù)監(jiān)測、安全事件流程閉環(huán)為核心的主動安

全防御體系；具體建設(shè)內(nèi)容分為以下3個部分：

一、建設(shè)以大數(shù)據(jù)分析、機器學(xué)習(xí)技術(shù)為基礎(chǔ)的態(tài)勢感知平臺；打破傳統(tǒng)被動防御體系

中的信息孤島，以態(tài)勢感知平臺作為主動防御體系中的安全大腦，統(tǒng)籌全網(wǎng)安全態(tài)勢和安全

建設(shè)工作；

二、依托于態(tài)勢感知平臺的數(shù)據(jù)支撐，引入閉環(huán)流程和人員服務(wù),建立對安全事件事前、

事中、事后的全生命周期管控；

三、根據(jù)主動防御體系設(shè)計理念，補充針對WEB應(yīng)用和數(shù)據(jù)庫的主動防御措施。

2.4.2.3安全建設(shè)

2.4.2.3.1態(tài)勢感知平臺

基于大數(shù)據(jù)技術(shù)平臺，對企業(yè)內(nèi)部全面的安全信息（包括互聯(lián)網(wǎng)出口防火墻、服務(wù)器區(qū)

防火墻、專網(wǎng)接入防火墻、上網(wǎng)行為管理設(shè)備、負(fù)載均衡、日志審計系統(tǒng)、殺毒軟件等安全

設(shè)備進行集中采集、存儲和分析，在滿足國家和行業(yè)合規(guī)要求的基礎(chǔ)上,利用人機交互分析、

智能分析引擎、和可視化等手段，結(jié)合豐富的威脅情報，對企業(yè)面臨的外部攻擊、內(nèi)部違規(guī)

行為進行檢測，為企業(yè)建立快速有效的威脅檢測、分析、處置能力和全網(wǎng)安全態(tài)勢感知能力，

使得企業(yè)的信息安全可知、可見、可控。具體需要實現(xiàn)未知威脅防護、威脅發(fā)現(xiàn)和快速響

應(yīng)、事件統(tǒng)一管理、信息安全自動運維、內(nèi)部行為審計、資產(chǎn)脆弱性檢查、安全事件溯源取

證，具體功能如下：

未知威脅防護：利用大數(shù)據(jù)分析的模型算法和處理能力，對海量的信息進行連續(xù)、實時

計算，利用統(tǒng)計分析、關(guān)聯(lián)分析和機器學(xué)習(xí)等多種技術(shù)手段來檢測流量和用戶行為的異常模

式，發(fā)現(xiàn)潛在威脅。

威脅發(fā)現(xiàn)和快速響應(yīng)：加入威脅情報，大幅縮短威脅發(fā)現(xiàn)時間，降低組織風(fēng)險；通過短

信和郵件快速響應(yīng)信息安全告警，大幅縮短響應(yīng)時間；支持設(shè)備聯(lián)動，通過平臺告警和處置

建議，快速進行防御策略變更。

事件統(tǒng)一管理：事件（日志、網(wǎng)絡(luò)流）統(tǒng)一管理，提供安全事件的監(jiān)控，分析，處置和風(fēng)

險評估的統(tǒng)一平臺；實現(xiàn)安全事件分析的統(tǒng)一化，集約化；可根據(jù)組織的安全事件的實際處

理流程將流程固化到平臺中，通過預(yù)設(shè)的響應(yīng)方式實現(xiàn)信息安全事件實時，提高運維效率。

信息安全自動運維：將原始事件信息轉(zhuǎn)譯成通俗易懂的字段，輕松讀懂事件內(nèi)容；支持

任意字段分類統(tǒng)計，便于安全分析；通過事件歸并和關(guān)聯(lián)模型匹配，降低安全事件誤報率;

支持原始事件分級，重點關(guān)注海量事件中的重要和告警事件；提供多種分析圖表，通過事件

關(guān)系圖、事件和弦圖、事件河流圖，輕松進行安全事件分析；支持事件顯示字段自定義，關(guān)

鍵信息盡收眼底；安全分析可視化，降低分析人員的技術(shù)成本及時間成本。

內(nèi)部行為審計：內(nèi)部員工有意或無意的違規(guī)行為能夠及時準(zhǔn)確的發(fā)現(xiàn)；內(nèi)置內(nèi)部用戶違

規(guī)威脅分析模型，廣泛覆蓋多種內(nèi)部場景。（內(nèi)部人員不滿破壞系統(tǒng)、欲離職人員竊取數(shù)據(jù)

等）；違規(guī)行為精確定位到人；違規(guī)行為看得見、看得懂。

資產(chǎn)脆弱性檢查:對資產(chǎn)脆弱性具有自動化檢查功能,并能提供相應(yīng)的解決方案知識庫。

安全事件溯源取證：基于攻擊鏈模型，將告警之間的時序關(guān)系、因果關(guān)系進行關(guān)聯(lián)分析，從

而還原整個攻擊鏈；通過告警追蹤，關(guān)聯(lián)事件列表直接展示。

2.4.2.3.2安全事件閉環(huán)

依托于態(tài)勢感知平臺和平臺廠商線上運營平臺，通過持續(xù)監(jiān)測的方式，可以7*24小時

不間斷，永不休息監(jiān)測單位的網(wǎng)絡(luò)安全狀態(tài)，全面認(rèn)識安全事件的全貌并及時跟進閉環(huán)。在

線上無法處置的安全事件，及時反饋給線下人員，能夠第一時間進行安全處置，能降低和最

大力度控制安全隱患和風(fēng)險。

整體事件閉環(huán)模型如下：

(1)事前流程

持續(xù)監(jiān)測.實現(xiàn)方式：線上人員7*24<h時監(jiān)測J鬻

方式：平維筋測所脅情報￡

方式:第三募翁

贏贏F配心現(xiàn)方式：第三方安全服務(wù)

(2)事中流程

線下處置：本地線下人員處置(遠(yuǎn)程或現(xiàn)場)

(3)事后流程

通過線上人員實時監(jiān)測安全威脅，在威脅不可控時線

下人員主動應(yīng)急響應(yīng)

線下人般全威脅的清蝴排查

結(jié)合態(tài)勢感知平臺線下人員對安全事件進行溯源取證

事后

線下人員對導(dǎo)致安全事件的安全漏洞迸行修復(fù)

線下人員針對修復(fù)的漏洞開展安全復(fù)測

朝安全事件，對全流程信息進行j匚總和分析，出具

事件報告

2.4.2.3.3WEB應(yīng)用主動防御

我們可以將企業(yè)網(wǎng)絡(luò)的邊界初略的分外部互聯(lián)網(wǎng)環(huán)境和內(nèi)部局域網(wǎng)環(huán)境;外部互聯(lián)網(wǎng)環(huán)

境主要承載著企業(yè)對外發(fā)布的WEB應(yīng)用和整個企業(yè)的網(wǎng)絡(luò)通訊傳輸；內(nèi)部局域網(wǎng)環(huán)境為企

業(yè)內(nèi)部的日常辦公所需的基礎(chǔ)網(wǎng)絡(luò)環(huán)境；企業(yè)的互聯(lián)網(wǎng)訪問及對外發(fā)布的WEB應(yīng)用連通了

內(nèi)外網(wǎng)絡(luò)，內(nèi)外網(wǎng)絡(luò)連通的同時帶來了網(wǎng)絡(luò)安全威脅；據(jù)調(diào)研目前網(wǎng)絡(luò)安全攻擊有75%都是

發(fā)生在Web應(yīng)用層而非網(wǎng)絡(luò)層面，如何做WEB應(yīng)用這第一道安全防線是我們安全建設(shè)的重

中之重。

同時隨著互聯(lián)網(wǎng)時代的飛速發(fā)展，新興自動化攻擊工具的不斷涌現(xiàn)及大規(guī)模傳播(burp、

sqlmap、scan,kalilinux等)，導(dǎo)致網(wǎng)絡(luò)安全攻擊門檻大幅降低，給我們的網(wǎng)絡(luò)安全帶來

了更嚴(yán)重的安全威脅。目前這類新興自動化攻擊占所有惡意攻擊流量的百分之90%且傳統(tǒng)

針對?WEB應(yīng)用攻擊的防護手段，無法應(yīng)對目前多源1P和低頻率的攻擊手段，更無法識別業(yè)

務(wù)邏輯漏洞和模擬合法用戶的非法操作行為；

基于現(xiàn)階段企業(yè)面臨的大環(huán)境下我們外部WEB應(yīng)用的防御能力至少要包含以下2個內(nèi)

容：一、傳統(tǒng)WEB應(yīng)用防護能力、二、主動防御能力；

(1)傳統(tǒng)WEB應(yīng)用防護能力

基于規(guī)則的SQL注入、WEBSHELL,XSS攻擊、命令注入、閾值、行為規(guī)則等；具

備防御常見己知WEB應(yīng)用安全攻擊能力。

(2)主動防御能力

>準(zhǔn)確的識別非法用戶，對非法用戶的訪問進行嚴(yán)格的安全控制

>基于行為的分析能力；具備對日志、流量、威脅行為的分析能力，同時需

具有多條件的關(guān)聯(lián)分析能力(設(shè)備指紋、協(xié)議等)

>具備隱藏WEB網(wǎng)頁路徑及可能的攻擊入口能力

2.4.2.3.4數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻技術(shù)是針對關(guān)系型數(shù)據(jù)庫保護需求應(yīng)運而生的一種數(shù)據(jù)庫安全主動防御

技術(shù)，數(shù)據(jù)庫防火墻部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫之間。用戶必須通過該系統(tǒng)才能對數(shù)據(jù)庫進

行訪問或管理。數(shù)據(jù)庫防火墻所采用的主動防御技術(shù)能夠主動實時監(jiān)控、識別、告警、阻擋

繞過企業(yè)網(wǎng)絡(luò)邊界（FireWall、IDS\IPS等）防護的外部數(shù)據(jù)攻擊、來自于內(nèi)部的高權(quán)限用

戶（DBA、開發(fā)人員、第三方外包服務(wù)提供商）的數(shù)據(jù)竊取、破壞、損壞的等，從數(shù)據(jù)庫SQL

語句精細(xì)化控制的技術(shù)層面，提供一種主動安全防御措施，并且，結(jié)合獨立于數(shù)據(jù)庫的安全

訪問控制規(guī)則，幫助用戶應(yīng)對來自內(nèi)部和外部的數(shù)據(jù)安全威脅。

數(shù)據(jù)庫防火墻核心功能如下：

屏蔽直接訪問數(shù)據(jù)庫的通道：數(shù)據(jù)庫防火墻部署介于數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器之間，

屏蔽直接訪問的通道，防止數(shù)據(jù)庫隱通道對數(shù)據(jù)庫的攻擊。

二次認(rèn)證：基于“連接六元組【機器指紋（不可偽造）、IP地址、MAC地址、用戶、應(yīng)

用程序、時間段】"授權(quán)單位，應(yīng)用程序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫

自身兩層身份認(rèn)證。

攻擊保護：實時檢測用戶對數(shù)據(jù)庫進行的SQL注入和緩沖區(qū)溢出攻擊。并報警或者阻止

攻擊行為，同時詳細(xì)的審計下攻擊操作發(fā)生的時間、來源IP、登錄數(shù)據(jù)庫的用戶名、攻擊代

碼等詳細(xì)信息。

連接監(jiān)控：實時的監(jiān)控所有到數(shù)據(jù)庫的連接信息、操作數(shù)、違規(guī)數(shù)等。管理員可以斷開

指定的連接。

安全審計：系統(tǒng)能夠?qū)徲媽?shù)據(jù)庫服務(wù)器的訪問情況。包括用戶名、程序名、IP地址、

請求的數(shù)據(jù)庫、連接建立的時間、連接斷開的時間、通信量大小、執(zhí)行結(jié)果等等信息。并提

供靈活的回放日志查詢分析功能，并可以生存報表。

細(xì)粒度權(quán)限控制：按照SQL操作類型包括Select、Insert、Update、Delete,對象擁有

者，及基于表、視圖對象、列進行權(quán)限控制

精準(zhǔn)SQL語法分析：高性能SQL語義分析引擎，對數(shù)據(jù)庫的SQL語句操作，進行實時捕

獲、識別、分類

自動SQL學(xué)習(xí)：基于自學(xué)習(xí)機制的風(fēng)險管控