網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)—信勢(shì)葉晟安全態(tài)勢(shì)產(chǎn)品部要樹(shù)立正確的網(wǎng)絡(luò)安全觀全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)知己知彼，才能百戰(zhàn)不殆沒(méi)有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)習(xí)總書(shū)記419講話提到感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作田總要求積極響應(yīng)，抓住機(jī)遇，跟上國(guó)家戰(zhàn)略步伐田總認(rèn)為：“作為網(wǎng)絡(luò)安全的這么一個(gè)商機(jī)，既是一種社會(huì)責(zé)任，也是很重要的一個(gè)業(yè)務(wù)拓展的機(jī)會(huì)，我們要抓住這種跨越式發(fā)展的機(jī)會(huì)，把亞信安全的產(chǎn)品推到三大運(yùn)營(yíng)商里去，同時(shí)探索新的商業(yè)模式而不僅僅是賣產(chǎn)品，把網(wǎng)絡(luò)安全服務(wù)作為一種新的商業(yè)模式與運(yùn)營(yíng)商共同演進(jìn)?；谶\(yùn)營(yíng)商協(xié)作打造社會(huì)化安全服務(wù)能力，未來(lái)會(huì)成為網(wǎng)絡(luò)空間安全與公眾安全防護(hù)的主要手段?！焙慰傊赋鼍W(wǎng)絡(luò)安全市場(chǎng)急劇擴(kuò)大，給我們很多想象空間何總認(rèn)為：“第一，網(wǎng)絡(luò)空間已經(jīng)成為國(guó)家安全的重中之重，7億網(wǎng)民的精神家園，網(wǎng)絡(luò)安全也被提升到與信息化同等重要的地位，得到空前重視；二是，目前是中國(guó)兩個(gè)百年實(shí)現(xiàn)的重要關(guān)頭，實(shí)現(xiàn)百年夢(mèng)想的重要發(fā)力點(diǎn)是信息化，信息安全處于重大機(jī)遇時(shí)期；三是，419講話給十三五規(guī)劃某著名企業(yè)息安全定調(diào)子，其中很多新的提法意味著游戲規(guī)則被打破。亞信安全也在不斷探索新的商業(yè)模式，著眼網(wǎng)絡(luò)空間的平安城市運(yùn)營(yíng)。亞信安全把握網(wǎng)絡(luò)安全態(tài)勢(shì)感知的戰(zhàn)略機(jī)遇信息安全問(wèn)題正在變成一個(gè)大數(shù)據(jù)分析問(wèn)題1大規(guī)模的安全數(shù)據(jù)需要被有效地關(guān)聯(lián)、分析和挖掘2未來(lái)將出現(xiàn)大數(shù)據(jù)安全分析平臺(tái)3部分企業(yè)在未來(lái)五年將出現(xiàn)一個(gè)新的崗位——“安全分析師”或“安全數(shù)據(jù)分析師”4Context-AwareIntelligenceContextmunityPatterns,meaningfulanomaliesDependencies,relationshipsSource:(March2012）knowledgeAnalyzeinformationCollect，correlateModel,Simulate,ActBigdatadatadatadatadataGartner的“InformationSecurityIsBingaBigDataAnalyticsProblem”報(bào)告態(tài)勢(shì)感知平臺(tái)的定位安全運(yùn)維態(tài)勢(shì)感知客戶安全設(shè)備分析決策（智腦）以大數(shù)據(jù)為技術(shù)支撐以業(yè)務(wù)為核心實(shí)時(shí)的異常檢測(cè)安全分析智能化威脅可視化威脅情報(bào)共享安全態(tài)勢(shì)感知高級(jí)威脅偵測(cè)分析客戶需要明確需求分期分批進(jìn)行態(tài)勢(shì)感知大數(shù)據(jù)建設(shè)12客戶數(shù)據(jù)可視駕駛艙顯示安全告警趨勢(shì)曲線圖態(tài)勢(shì)圖呈現(xiàn)告警地圖及動(dòng)態(tài)攻擊效果供上層領(lǐng)導(dǎo)決策和參觀使用數(shù)據(jù)采集安全產(chǎn)品和應(yīng)用系統(tǒng)生成原始日志將原始日志發(fā)送至大數(shù)據(jù)分析平臺(tái)根據(jù)日志格式和規(guī)則庫(kù)對(duì)原始日志進(jìn)行格式標(biāo)準(zhǔn)化數(shù)據(jù)分析場(chǎng)景建模定義安全事件和安全告警對(duì)海量數(shù)據(jù)進(jìn)行索引和搜索生成統(tǒng)計(jì)報(bào)表風(fēng)險(xiǎn)評(píng)估及安全預(yù)警知識(shí)庫(kù)管理及維護(hù)態(tài)勢(shì)感知大數(shù)據(jù)解決方案的建設(shè)思路+=數(shù)據(jù)源大數(shù)據(jù)分析安全態(tài)勢(shì)感知安全設(shè)備網(wǎng)絡(luò)設(shè)備主機(jī)/虛擬化數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)資產(chǎn)信息認(rèn)證系統(tǒng)亞信威脅情報(bào)中心亞信大數(shù)據(jù)安全分析系統(tǒng)關(guān)聯(lián)分析機(jī)器學(xué)習(xí)基線匹配規(guī)則數(shù)據(jù)建模模式識(shí)別用戶/網(wǎng)絡(luò)/應(yīng)用異常行為檢測(cè)底層平臺(tái)威脅響應(yīng)威脅可視化安全狀況報(bào)告

態(tài)勢(shì)感知平臺(tái)架構(gòu)駕駛艙態(tài)勢(shì)圖資產(chǎn)管理數(shù)據(jù)管理場(chǎng)景建模實(shí)時(shí)分析安全預(yù)警平臺(tái)接口系統(tǒng)管理態(tài)勢(shì)感知平臺(tái)功能模塊

知識(shí)管理統(tǒng)計(jì)報(bào)表情報(bào)管理歷史日志日志解析場(chǎng)景建模分布式

機(jī)器學(xué)習(xí)算法Spark集群實(shí)時(shí)日志異常檢測(cè)正常訪問(wèn)

模型異常訪問(wèn)關(guān)聯(lián)分析安全事件系統(tǒng)其它日志歷史學(xué)習(xí)實(shí)時(shí)異常檢測(cè)大數(shù)據(jù)平臺(tái)異常檢測(cè)流程圖防火墻漏掃交換機(jī)路由器IDSIPSTDADSDEOS信勢(shì)ASAP支持的安全產(chǎn)品對(duì)比項(xiàng)傳統(tǒng)安全系統(tǒng)亞信安全態(tài)勢(shì)感知產(chǎn)品架構(gòu)基于傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)（Oracle）處理架構(gòu)基于大數(shù)據(jù)分布式存儲(chǔ)計(jì)算（ElasticSearch、Spark）處理架構(gòu)支持?jǐn)?shù)據(jù)種類結(jié)構(gòu)化日志結(jié)構(gòu)化、半結(jié)構(gòu)化（如Linux、Tomcat日志）、非結(jié)構(gòu)化日志（如數(shù)據(jù)庫(kù)錯(cuò)誤日志）數(shù)據(jù)存儲(chǔ)數(shù)據(jù)有選擇存儲(chǔ)，處理不了的數(shù)據(jù)會(huì)丟掉原始數(shù)據(jù)全量?jī)?chǔ)存支持?jǐn)?shù)據(jù)量可處理10TB左右數(shù)據(jù)可處理1PB以上數(shù)據(jù)查詢效率1TB數(shù)據(jù)查詢返回結(jié)果時(shí)間＞30分鐘1TB數(shù)據(jù)查詢返回結(jié)果時(shí)間＜3秒擴(kuò)展能力非常不，需要進(jìn)行數(shù)據(jù)遷移、備份、表空間等大數(shù)據(jù)分布式架構(gòu)，水平擴(kuò)展非常靈活，服務(wù)器即插即用產(chǎn)品部署由諸多子系統(tǒng)組成，部署起來(lái)相對(duì)比較復(fù)雜功能模塊高度融合，大大簡(jiǎn)化部署和運(yùn)維工作產(chǎn)品運(yùn)維規(guī)則配置復(fù)雜，大型企業(yè)需10幾人的團(tuán)隊(duì)運(yùn)維通過(guò)機(jī)器學(xué)習(xí)、場(chǎng)景建模、可視化和強(qiáng)大的平臺(tái)工具等，大大減少安全運(yùn)維人員工作量，大型企業(yè)需幾個(gè)人的運(yùn)維團(tuán)隊(duì)性能及擴(kuò)展性對(duì)比如：全局安全設(shè)備日志的匯聚、統(tǒng)計(jì)、分析、挖掘全局安全信息深度挖掘匯聚如：安全事件管理、安全告警管理、機(jī)器學(xué)習(xí)海量安全事件智能建模分析如：安全事件周期性預(yù)測(cè)、攻擊類型地域研判宏觀安全狀態(tài)展現(xiàn)趨勢(shì)預(yù)測(cè)如：威脅的態(tài)勢(shì)呈現(xiàn)、魚(yú)叉式釣魚(yú)攻擊、惡意C&C外聯(lián)、零日攻擊等高級(jí)威脅的偵測(cè)和分析信勢(shì)（ASAP）的核心價(jià)值信勢(shì)（ASAP）主要功能——數(shù)據(jù)管理數(shù)據(jù)管理主要實(shí)現(xiàn)探針接入的增、刪、改、查，探針采集的啟、停的界面操作，以及原始數(shù)據(jù)格式自動(dòng)轉(zhuǎn)義為標(biāo)準(zhǔn)日志的處理過(guò)程，在碰上復(fù)雜轉(zhuǎn)義規(guī)則時(shí)需要進(jìn)行一定的函數(shù)編寫(xiě)，轉(zhuǎn)義后可測(cè)試結(jié)果，確認(rèn)無(wú)誤后進(jìn)行發(fā)布。

當(dāng)前已支持設(shè)備列表如圖，暫未支持設(shè)備提供遠(yuǎn)程開(kāi)發(fā)及導(dǎo)入的專家服務(wù)。進(jìn)入探針管理進(jìn)入超集管理數(shù)據(jù)接入情況數(shù)據(jù)入庫(kù)情況信勢(shì)（ASAP）主要功能——場(chǎng)景建模場(chǎng)景建模主要給業(yè)務(wù)人員依據(jù)安全事件、安全告警和用戶行為等規(guī)則進(jìn)行具體業(yè)務(wù)場(chǎng)景的模型。ASAP擁有眾多亞信安全獨(dú)有的智能規(guī)則，業(yè)務(wù)人員只需要定義具體規(guī)則，不需要進(jìn)行任何研發(fā)和配置，即可建立出適合于自身的場(chǎng)景模型。信勢(shì)（ASAP）主要功能——平臺(tái)接口平臺(tái)接口目前主要是采用API方式，目前主要提供告警接口，可以對(duì)接用戶的工單系統(tǒng)和郵件進(jìn)行安全告警的推送，督促用戶進(jìn)行處置態(tài)勢(shì)平臺(tái)發(fā)現(xiàn)的安全威脅，未來(lái)可根據(jù)需求進(jìn)一步開(kāi)放信息接口和數(shù)據(jù)接口。告警接口定義告警郵件定義信勢(shì)（ASAP）產(chǎn)品計(jì)劃2413517.03正式版完成產(chǎn)品所有功能，通過(guò)系統(tǒng)及壓力測(cè)試，90%加入黑科技，進(jìn)行售前售后支持及產(chǎn)品迭代。17.02POC版完成產(chǎn)品POC版，提供在線網(wǎng)站供演示和試用。17.01測(cè)試在亞信安全進(jìn)行產(chǎn)品測(cè)試，實(shí)現(xiàn)產(chǎn)品落地評(píng)估，交付演練，運(yùn)行維護(hù)16.12Alpha版完成產(chǎn)品基本功能、全流程測(cè)試、UI設(shè)計(jì)16.10產(chǎn)品啟動(dòng)團(tuán)隊(duì)建設(shè)，需求確認(rèn)、技術(shù)選型、系統(tǒng)架構(gòu)、業(yè)務(wù)探討、概要設(shè)計(jì)、環(huán)境搭建、產(chǎn)品研發(fā)信勢(shì)（ASAP）售前說(shuō)明綁標(biāo)文檔產(chǎn)品演示產(chǎn)品培訓(xùn)技術(shù)白皮書(shū)規(guī)劃建議產(chǎn)品報(bào)價(jià)推薦配置產(chǎn)品單頁(yè)產(chǎn)品介紹產(chǎn)品資質(zhì)（著作權(quán)，國(guó)產(chǎn)軟件登記，銷售）銷售系統(tǒng)RPIC