周 芬

（上海三零衛(wèi)士信息安全有限公司，上海 201800）

0 引言

傳統(tǒng)的網(wǎng)絡(luò)安全預(yù)防手段已經(jīng)無法滿足如今多樣化的入侵安全問題，因此很多研究者利用機(jī)器學(xué)習(xí)、特征選擇等技術(shù)來提高網(wǎng)絡(luò)安全。夏明玉和李巧玲等人分別提出基于CNN的網(wǎng)絡(luò)入侵檢測方法[1-2]，吳曉平等人提出了一種結(jié)合Spark框架無指導(dǎo)的入侵檢測方法[3]，楊曉峰等人則提出了一種改進(jìn)的隱馬爾可夫模型入侵檢測方法[4]。本項(xiàng)目利用網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)收集所管理網(wǎng)絡(luò)的資產(chǎn)、流量、日志以及網(wǎng)站等相關(guān)的安全數(shù)據(jù)，經(jīng)過存儲、處理以及分析后形成安全態(tài)勢及告警，輔助了解所管轄網(wǎng)絡(luò)安全態(tài)勢，并能對告警進(jìn)行協(xié)同處置。系統(tǒng)建設(shè)為管理工作提供了強(qiáng)有力的技術(shù)支撐，可更好地落實(shí)信息安全的管理[5]。

1 項(xiàng)目概況

1.1 現(xiàn) 狀

某市稅務(wù)局無論是在市級政務(wù)信息化還是全國稅務(wù)行業(yè)信息化中，都屬于建設(shè)水平較高的單位。該稅務(wù)局目前包含三張網(wǎng)和兩個(gè)數(shù)據(jù)中心。其中，三張網(wǎng)分別為互聯(lián)網(wǎng)（主要包含對外網(wǎng)站）、業(yè)務(wù)專網(wǎng)（稅務(wù)專網(wǎng)）和外聯(lián)網(wǎng)（對接銀行、社保等單位），兩個(gè)數(shù)據(jù)中心分別為主機(jī)房和備份機(jī)房。三張網(wǎng)均主備部署在兩個(gè)數(shù)據(jù)中心。網(wǎng)絡(luò)架構(gòu)如圖1所示。

互聯(lián)網(wǎng)主要用于辦公上網(wǎng)和對外提供稅務(wù)網(wǎng)站、APP和微信小程序服務(wù)。業(yè)務(wù)專網(wǎng)是覆蓋全市、市區(qū)兩級稅務(wù)機(jī)關(guān)單位的城域?qū)＞W(wǎng)。外聯(lián)網(wǎng)是與銀行、社保和支付機(jī)構(gòu)等專業(yè)單位的專線網(wǎng)絡(luò)。

對于這三個(gè)網(wǎng)絡(luò)，防護(hù)重點(diǎn)如下。（1）對于互聯(lián)網(wǎng)，由于稅務(wù)局是國家的重點(diǎn)機(jī)關(guān)，屬于關(guān)鍵信息基礎(chǔ)設(shè)施，因此需要重點(diǎn)防護(hù)來自外部的各種攻擊。（2）業(yè)務(wù)專網(wǎng)是稅務(wù)機(jī)關(guān)處理業(yè)務(wù)的主要網(wǎng)絡(luò)，也是稅務(wù)機(jī)關(guān)主要信息資產(chǎn)和重要信息系統(tǒng)（部分涉及保密）所在地，并向上對接國家稅務(wù)專網(wǎng)。因此，這個(gè)網(wǎng)絡(luò)的防護(hù)重點(diǎn)是規(guī)范辦公人員的操作行為和數(shù)據(jù)安全。（3）外聯(lián)網(wǎng)是與各類金融機(jī)構(gòu)和其他政府部門信息通信的網(wǎng)絡(luò)，業(yè)務(wù)單一，幾乎都是服務(wù)器之間的自動化操作，可以執(zhí)行更嚴(yán)格的白名單策略，一旦發(fā)現(xiàn)不可信的操作，立即告警。

圖1 稅務(wù)網(wǎng)總架構(gòu)

經(jīng)過多年的建設(shè)，某稅務(wù)局初步形成了互聯(lián)網(wǎng)區(qū)域完善的邊界防護(hù)體系，包括下一代防火墻、鏈路負(fù)載均衡、入侵防御以及應(yīng)用層防火墻WAF等，也建設(shè)了大量流量分析體系，包括威脅情報(bào)、網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫審計(jì)以及入侵檢測IDS等，還建設(shè)了從外網(wǎng)發(fā)起的網(wǎng)站檢測服務(wù)（云監(jiān)測服務(wù)）。

主備機(jī)房相比，主機(jī)房安全產(chǎn)品略多，備份機(jī)房防御相對薄弱?；ヂ?lián)網(wǎng)方面建設(shè)投資較多，防范能力較強(qiáng)，但是業(yè)務(wù)專網(wǎng)和外聯(lián)網(wǎng)方面尚沒有做到有針對性的防御。

1.2 建設(shè)目標(biāo)

項(xiàng)目建設(shè)一方面落實(shí)國家層對信息系統(tǒng)運(yùn)行狀況和信息安全狀況信息的采集，建立國家級的信息安全工作聯(lián)動機(jī)制；另一方面，結(jié)合某稅務(wù)三網(wǎng)二中心的實(shí)際情況，建立完備和有針對性的防御體系和應(yīng)急響應(yīng)機(jī)制，實(shí)現(xiàn)全市稅務(wù)體系層面信息安全聯(lián)動機(jī)制。通過大數(shù)據(jù)技術(shù)實(shí)現(xiàn)稅務(wù)業(yè)務(wù)專網(wǎng)和互聯(lián)網(wǎng)等多個(gè)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)和信息資產(chǎn)數(shù)據(jù)的采集和存儲，并對相關(guān)數(shù)據(jù)進(jìn)行綜合處理和關(guān)聯(lián)分析，實(shí)現(xiàn)對稅務(wù)系統(tǒng)綜合網(wǎng)絡(luò)安全風(fēng)險(xiǎn)態(tài)勢、涉稅業(yè)務(wù)資產(chǎn)風(fēng)險(xiǎn)以及涉稅業(yè)務(wù)違規(guī)操作等安全風(fēng)險(xiǎn)的感知，通過多種可視化技術(shù)統(tǒng)一呈現(xiàn)稅務(wù)系統(tǒng)綜合安全態(tài)勢。

2 建設(shè)方法

2.1 硬件和產(chǎn)品部署

探針方面，國家層要求部署威脅情報(bào)子系統(tǒng)1套、僵尸木馬蠕蟲探測設(shè)備2套、網(wǎng)絡(luò)審計(jì)2套、WAF流量采集2套、資產(chǎn)發(fā)現(xiàn)組件2套、漏洞掃描系統(tǒng)2套和TAP交換機(jī)2套。

實(shí)現(xiàn)對各類網(wǎng)絡(luò)協(xié)議流量進(jìn)行威脅檢測，其能力包含但不限于漏洞利用檢測、WebShell攻擊檢測、木馬與間諜軟件檢測、惡意文件檢測和異常報(bào)文流量檢測等。流量采集功能模塊應(yīng)支持對各類網(wǎng)絡(luò)協(xié)議做解析還原，以供態(tài)勢感知平臺做深度分析和威脅事件的追蹤溯源。

這些產(chǎn)品應(yīng)部署在業(yè)務(wù)專網(wǎng)上，實(shí)現(xiàn)對國家稅務(wù)專網(wǎng)的信息安全防護(hù)能力的提升。所配硬件基本滿足某稅務(wù)雙數(shù)據(jù)中心的要求。另外，再建設(shè)一套集成采集互聯(lián)網(wǎng)、業(yè)務(wù)專網(wǎng)和外聯(lián)網(wǎng)三個(gè)網(wǎng)絡(luò)的一體化的態(tài)勢感知平臺，實(shí)現(xiàn)信息安全事件的統(tǒng)一管理。

通過上述分析，某稅務(wù)局通過增加部分設(shè)備和調(diào)整網(wǎng)絡(luò)架構(gòu)，可更好地落實(shí)國家層面提升各省網(wǎng)絡(luò)安全保障能力的工作精神，均衡某稅務(wù)局三網(wǎng)雙中心的安全防護(hù)能力，形成整體性較高的保障能力。

2.2 安全管理體系建設(shè)

從態(tài)勢感知產(chǎn)品功能角度看，某市稅務(wù)局應(yīng)建立一套以態(tài)勢感知為中心的信息化管理體系和信息安全運(yùn)維體系。信息化管理體系方面應(yīng)將設(shè)備的上線、運(yùn)行和退役與信息安全相結(jié)合，在設(shè)備上線的同時(shí)即開始進(jìn)行流量監(jiān)控分析，以及時(shí)發(fā)現(xiàn)非法設(shè)備入網(wǎng)。

信息安全管理體系上，整個(gè)運(yùn)維團(tuán)隊(duì)不再各自為戰(zhàn)，而是根據(jù)態(tài)勢感知發(fā)布的總體預(yù)告警，建立分等級的安全運(yùn)維和應(yīng)急響應(yīng)預(yù)案體系。一切工作按照預(yù)案執(zhí)行，并在執(zhí)行過程中不斷總結(jié)提高，修訂預(yù)案體系，形成運(yùn)維知識庫。

3 建設(shè)內(nèi)容

3.1 總體架構(gòu)

項(xiàng)目中的互聯(lián)網(wǎng)區(qū)安全保障的總體架構(gòu)如圖2所示。業(yè)務(wù)專網(wǎng)區(qū)安全保障總架構(gòu)，如圖3所示。

圖2 互聯(lián)網(wǎng)區(qū)安全保障架構(gòu)

圖3 業(yè)務(wù)專網(wǎng)區(qū)安全保障總架構(gòu)

本次項(xiàng)目主要是通過國家層態(tài)勢感知項(xiàng)目的建設(shè)，同步補(bǔ)全和提升互聯(lián)網(wǎng)區(qū)域和業(yè)務(wù)專網(wǎng)區(qū)域的流量監(jiān)測體系的探測能力。外聯(lián)區(qū)因人工操作較少，幾乎沒有直接暴露的攻擊面，故延續(xù)原有的防護(hù)體系。某稅務(wù)局建設(shè)某市稅務(wù)跨越三網(wǎng)雙中心的一體化態(tài)勢感知平臺，形成了市區(qū)兩級的聯(lián)動體系，故在硬件上，結(jié)合國家層項(xiàng)目，新增設(shè)備如表1所示。

表1 新增設(shè)備的具體情況

3.2 探針體系

本次項(xiàng)目引入了大量探針體系，其作用如下。

3.2.1 漏洞掃描探針

漏洞掃描探針以綜合的漏洞規(guī)則庫為基礎(chǔ)，采用深度主機(jī)服務(wù)探測、口令猜解等方式相結(jié)合的技術(shù)，實(shí)現(xiàn)了將系統(tǒng)漏洞掃描和數(shù)據(jù)庫漏洞掃描于一體的綜合漏洞評估系統(tǒng)。

3.2.2 僵木蠕探針

僵木蠕探針彌補(bǔ)了傳統(tǒng)安全防護(hù)產(chǎn)品對木馬和僵尸網(wǎng)絡(luò)檢測能力上的不足。僵木蠕探針采用鏡像流量分析引擎，可處理IP分片并對TCP流進(jìn)行重組，可有效檢測到各種隱蔽性較高的攻擊手段，能夠?qū)崟r(shí)檢測木馬文件傳播、僵尸主機(jī)行為以及入侵攻擊在內(nèi)的攻擊行為，并且通過靈活的自定義檢測規(guī)則和疑似木馬樣本捕獲功能實(shí)現(xiàn)對疑似木馬行為的監(jiān)測和分析。

3.2.3 網(wǎng)絡(luò)審計(jì)探針

網(wǎng)絡(luò)審計(jì)探針可針對常見的網(wǎng)絡(luò)協(xié)議進(jìn)行內(nèi)容和行為審計(jì)，主要包括對HTTP瀏覽與發(fā)布，以及對WebMail、IMAP SMTP、POP3、FTP、SMB、NFS以及Telnet等協(xié)議的審計(jì)。除了能審計(jì)常見的網(wǎng)絡(luò)協(xié)議外，網(wǎng)絡(luò)審計(jì)探針還支持330種以上國內(nèi)常見應(yīng)用協(xié)議行為的自動識別與審計(jì)記錄，基本信息主要包括TCP五元組、應(yīng)用協(xié)議識別結(jié)果以及IP地址溯源結(jié)果等。它可根據(jù)審計(jì)級別配置，實(shí)現(xiàn)不同協(xié)議的不同粒度審計(jì)要求，主要包括文件共享、郵件、FTP以及HTTP等。

網(wǎng)絡(luò)審計(jì)探針提供了一套完整的機(jī)制來實(shí)現(xiàn)實(shí)名審計(jì)，主要包括主機(jī)發(fā)現(xiàn)和IP與用戶名對應(yīng)。

網(wǎng)絡(luò)審計(jì)探針提供流量分析功能，產(chǎn)品內(nèi)置NetFlow接收引擎，分析NetFlow信息，統(tǒng)計(jì)分析當(dāng)前網(wǎng)絡(luò)流量狀況。因此，它可利用此功能分析網(wǎng)絡(luò)中的應(yīng)用分布、網(wǎng)絡(luò)帶寬使用情況等。

網(wǎng)絡(luò)審計(jì)探針通過內(nèi)置的強(qiáng)大URL分類庫、攻擊檢測規(guī)則庫和應(yīng)用識別庫，可對網(wǎng)絡(luò)上近百種應(yīng)用協(xié)議進(jìn)行自動識別審計(jì)，及時(shí)發(fā)現(xiàn)不良言論、暴力、毒品、色情以及游戲等訪問行為和攻擊行為。

3.2.4 WAF探針

WAF探針具備先進(jìn)的全透明檢測架構(gòu)，即不管是網(wǎng)絡(luò)層還是業(yè)務(wù)層都感受不到WAF探針的存在，極大地簡化了部署。全透明檢測架構(gòu)能高效工作主要依靠多核并行的空間協(xié)議棧和流模式的檢測引擎兩個(gè)核心技術(shù)。

WAF探針的空間協(xié)議棧是多核并行的，協(xié)議棧的性能隨著處理器的核心數(shù)量的增加線性增長。在硬件核心處理器向數(shù)量越來越多的方向發(fā)展而單核主頻停滯不前的時(shí)代，該協(xié)議?？梢猿浞职l(fā)揮硬件處理器的性能。該協(xié)議棧同時(shí)跟蹤IPv4和IPv6的會話，并且具備基于目標(biāo)服務(wù)器操作系統(tǒng)強(qiáng)大的報(bào)文重組能力。該協(xié)議棧會以正確的TCP序列處理數(shù)據(jù)，并且采用和目標(biāo)服務(wù)器完全相同的策略處理重疊報(bào)文，可有效防止利用重組特性缺陷的攻擊。

WAF探針使用流模式檢測，可以解析、重組HTTP協(xié)議，但不需要終結(jié)HTTP會話。WAF探針可以實(shí)現(xiàn)流模式下完整的HTTP協(xié)議重組，有效解決特征跨越多個(gè)報(bào)文的攻擊逃逸問題。實(shí)際測試表明，即使攻擊報(bào)文是逐個(gè)字節(jié)發(fā)送給目標(biāo)服務(wù)器，WAF探針依然可以可靠阻斷。

3.2.5 資產(chǎn)探針

資產(chǎn)探針采用高效、準(zhǔn)確的識別技術(shù)，可實(shí)現(xiàn)對各類資產(chǎn)設(shè)備安全配置的自動化檢查、分析等功能，并提供專業(yè)的核查報(bào)表與相關(guān)安全配置的建議，幫助人們及時(shí)發(fā)現(xiàn)安全配置的脆弱性，滿足新業(yè)務(wù)系統(tǒng)上線檢查、第三方入網(wǎng)安全檢查、合規(guī)性安全檢查以及日常安全檢查等多個(gè)維度的需要。資產(chǎn)探針內(nèi)置大量符合等保等級規(guī)范要求的安全配置檢查模板，結(jié)合獨(dú)特的自定義安全配置檢查功能，具備對安全規(guī)范更新和網(wǎng)絡(luò)系統(tǒng)建設(shè)發(fā)展的快速適應(yīng)能力。

3.3 態(tài)勢感知系統(tǒng)

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)收集管理網(wǎng)絡(luò)的資產(chǎn)、流量、日志以及網(wǎng)站等相關(guān)的安全數(shù)據(jù)，經(jīng)過存儲、處理、分析后形成安全態(tài)勢及告警，輔助人們了解所管轄網(wǎng)絡(luò)安全態(tài)勢，并能對告警進(jìn)行協(xié)同處置。利用現(xiàn)有的安全系統(tǒng)和安全設(shè)備，它可逐步演進(jìn)為“安全數(shù)據(jù)集中存儲、態(tài)勢感知場景豐富、動態(tài)建模分析及可視化綜合展示”的高價(jià)值安全信息存儲及分析系統(tǒng)，加快對安全威脅的認(rèn)知及和有效預(yù)警，達(dá)到實(shí)時(shí)態(tài)勢感知、準(zhǔn)確安全監(jiān)測以及及時(shí)應(yīng)急處置等目標(biāo)，提升政府、企業(yè)等組織的風(fēng)險(xiǎn)識別和解決能力，進(jìn)而提升整理網(wǎng)絡(luò)安全態(tài)勢感知能力。

3.4 體系建設(shè)

在軟硬件采購、部署和二次開發(fā)基礎(chǔ)上，某市稅務(wù)局還做了以下體系建設(shè)工作。

3.4.1 值守機(jī)制

自系統(tǒng)建設(shè)完成后，駐場信息安全工作人員開始對態(tài)勢感知系統(tǒng)進(jìn)行值守。所有信息安全處置工作依據(jù)態(tài)勢感知所報(bào)預(yù)告警事件的處置預(yù)案進(jìn)行，并將進(jìn)行過程和結(jié)果重新記錄回態(tài)勢感知系統(tǒng)，形成值守處置知識庫。

3.4.2 信息資產(chǎn)全生命周期安全管控機(jī)制

系統(tǒng)建成后，新增信息化資產(chǎn)（如PC、服務(wù)器、交換機(jī)等）先要在資產(chǎn)探針上進(jìn)行登記，實(shí)現(xiàn)資產(chǎn)管理模塊與態(tài)勢感知的探針體系聯(lián)動。新增設(shè)備一旦上線，隨即從僵木蠕、系統(tǒng)漏洞以及配置安全等多個(gè)維度進(jìn)行全方位監(jiān)管。態(tài)勢感知系統(tǒng)一旦發(fā)現(xiàn)未登記設(shè)備接入網(wǎng)絡(luò)，立即發(fā)出最高級別的告警預(yù)警。

3.4.3 信息安全責(zé)任落實(shí)和追溯體系

系統(tǒng)建成后，某市稅務(wù)局落實(shí)了所登記的所有信息安全資產(chǎn)單位內(nèi)的責(zé)任人和運(yùn)維單位的責(zé)任人。一旦發(fā)生信息安全事件，可根據(jù)態(tài)勢感知的溯源功能找到問題設(shè)備和響應(yīng)的負(fù)責(zé)人，并可開展復(fù)盤推演，達(dá)到及時(shí)補(bǔ)救的效果。

3.4.4 操作行為管控制度

僵木蠕探針可發(fā)現(xiàn)內(nèi)網(wǎng)用戶或互聯(lián)網(wǎng)區(qū)域用戶訪問非法網(wǎng)站和非法IP地址的狀況。系統(tǒng)建成后進(jìn)行月度惡意網(wǎng)站訪問排名和約談機(jī)制，對于經(jīng)常發(fā)生訪問惡意IP地址和惡意網(wǎng)站的工作人員進(jìn)行約談和勸誡。

總體上，系統(tǒng)建成后原來大量的管理工作得到了強(qiáng)有力的技術(shù)支撐，可更好地落實(shí)信息安全管理。

3.5 攻防驗(yàn)證效果

系統(tǒng)上線后，聯(lián)合集成商和產(chǎn)品廠商共同進(jìn)行攻防演練，結(jié)果如下。

（1）系統(tǒng)上線后，通過WAF檢測設(shè)備共監(jiān)測到網(wǎng)絡(luò)攻擊告警2 768次，主要包括SQL注入972次（35.11%）、掃描探測451次（16.29%）、溢出攻擊302次（10.83%）、瀏覽器劫持71次（2.56%）、跨站攻擊972次（35.11%）。

對以上告警進(jìn)行人工分析，共確認(rèn)惡意IP地址58個(gè)。部分攻擊IP如表2所示。

表2 部分攻擊IP的具體情況

（2）本次攻防演練期間，使用最多的攻擊工具是AWVS，其次是目錄遍歷工具和SQL注入工具。

（3）僵木蠕探針上發(fā)現(xiàn)該稅務(wù)郵件系統(tǒng)的一個(gè)賬戶顯示弱口令登陸，郵箱用戶jsgs，郵箱密碼abcd1234。但是，此處登陸超過限定次數(shù)后，就必須輸入驗(yàn)證碼，因此無法被爆破。已建議整改該漏洞，排查后發(fā)現(xiàn)該郵箱密碼已整改。

（4）互聯(lián)網(wǎng)區(qū)資產(chǎn)10.104.105.47發(fā)現(xiàn)被惡意攻擊，通過對該數(shù)據(jù)包的觀察發(fā)現(xiàn)確實(shí)出現(xiàn)了內(nèi)網(wǎng)IP地址，但是后續(xù)并沒有其他的數(shù)據(jù)包，黑客并未獲取該服務(wù)器的權(quán)限。通過調(diào)查該IP地址，發(fā)現(xiàn)WebLogic版本存在問題。通過僵木蠕中的PaCap包可以判斷，確實(shí)存在回顯，說明攻擊已經(jīng)成功，黑客已經(jīng)拿到了內(nèi)網(wǎng)的地址信息。

通過上述攻防演練成果可知，本次項(xiàng)目實(shí)現(xiàn)了多種新型探針分析，發(fā)現(xiàn)了原來不知道的問題和漏洞，并捕獲攻擊一次，效果顯著。

4 結(jié)語

4.1 項(xiàng)目效果

整體系統(tǒng)以成熟產(chǎn)品為基礎(chǔ)，結(jié)合某稅務(wù)局的具體硬件現(xiàn)狀和管理需求進(jìn)行了一定程度二次開發(fā)，項(xiàng)目建成后取得了以下成果。

4.1.1 豐富多維安全態(tài)勢

系統(tǒng)立足客戶視角分別從全網(wǎng)、威脅、安全底圖、安全處置、資產(chǎn)、脆弱性、攻擊、僵木蠕、網(wǎng)站監(jiān)測以及終端10個(gè)視角進(jìn)行安全數(shù)據(jù)采集、監(jiān)測、分析、研判和展示，能滿足實(shí)時(shí)態(tài)勢感知、準(zhǔn)確安全監(jiān)測以及及時(shí)應(yīng)急處置等目標(biāo)，提升風(fēng)險(xiǎn)識別效率和快速處置能力。

4.1.2 安全事件一鍵溯源

系統(tǒng)支持對安全事件的一鍵溯源，通過對五元組信息與設(shè)備地址、類型、負(fù)責(zé)人員等進(jìn)行關(guān)聯(lián)，利用原始日志的線索取證、源IP與目的IP的信息交互，發(fā)現(xiàn)并生成安全事件的攻擊軌跡。

4.1.3 可視化分析場景管理

通過零代碼界面配置可基于流量特征進(jìn)行網(wǎng)絡(luò)安全狀態(tài)關(guān)聯(lián)分析，通過驅(qū)動場景引擎進(jìn)行情報(bào)匹配分析，完成安全事件基于特征檢測的攻擊分析，挖掘基于內(nèi)置+自定義場景關(guān)聯(lián)規(guī)則，包括失陷、暴力破解以及賬號異常等多種場景的網(wǎng)絡(luò)共性異常監(jiān)測規(guī)則，方便客戶使用，同時(shí)支持根據(jù)目標(biāo)網(wǎng)絡(luò)特性環(huán)境靈活自定義增加、刪除、修改定義場景規(guī)則。

4.1.4 多重安全分析

系統(tǒng)通過動態(tài)采集流量行為日志，結(jié)合大數(shù)據(jù)算子算法和應(yīng)用的場景規(guī)則庫，對全網(wǎng)進(jìn)行追蹤溯源、告警、事件、脆弱性、威脅以及資產(chǎn)多維度的安全分析，并對響應(yīng)的分析進(jìn)行標(biāo)簽處理，實(shí)現(xiàn)全網(wǎng)“點(diǎn)到線、線到面”的一體化調(diào)查分析工作臺，并輸出威脅IP建檔、資產(chǎn)畫像以及追蹤溯源等多重安全分析。

4.1.5 多維度資產(chǎn)視角

系統(tǒng)從設(shè)備、應(yīng)用以及業(yè)務(wù)等多個(gè)維度構(gòu)建資產(chǎn)庫，能夠提供全面的資產(chǎn)視角對被監(jiān)管網(wǎng)絡(luò)進(jìn)行資產(chǎn)查看，并支持基于多維度的資產(chǎn)視角查看被監(jiān)管網(wǎng)絡(luò)的風(fēng)險(xiǎn)、脆弱性等安全信息。

4.1.6 聯(lián)動式設(shè)備管理

系統(tǒng)支持一鍵式聯(lián)動漏洞掃描設(shè)備、驅(qū)動漏洞掃描設(shè)備以及導(dǎo)入第三方報(bào)告等多方式的脆弱性監(jiān)測管理，并根據(jù)監(jiān)測信息關(guān)聯(lián)相應(yīng)資產(chǎn)實(shí)現(xiàn)資產(chǎn)漏洞監(jiān)控展示。它支持防火墻、IDP等安全設(shè)備的策略集中收集、下發(fā)等集中式管理，可以動態(tài)實(shí)現(xiàn)一對多的策略分發(fā)攔截和封堵等功能。

4.1.7 多算法安全事件校驗(yàn)

系統(tǒng)通過安全事件準(zhǔn)確性校驗(yàn)機(jī)制，支持對僵木蠕檢測探針、入侵檢測探針、Web攻擊檢測探針以及DDoS檢測探針上報(bào)的安全事件進(jìn)行進(jìn)一步的可能性校驗(yàn)，提高安全事件的準(zhǔn)確性。

4.1.8 海量數(shù)據(jù)處理性能

系統(tǒng)采用分布式文件存儲和檢索技術(shù)可橫向擴(kuò)展，支持高達(dá)PB級的數(shù)據(jù)存儲及檢索，支持10億級別數(shù)據(jù)秒級檢索響應(yīng)。

4.1.9 多廠商探針靈活接入

態(tài)勢感知系統(tǒng)用SysLog、SNMP等采集方式，支持不同廠商不同類型多源異構(gòu)數(shù)據(jù)的接入。接入設(shè)備類型包括但不限于系統(tǒng)漏洞掃描、Web漏洞掃描、僵木蠕檢測、入侵檢測、Web攻擊檢測、DDoS檢測、蜜罐、應(yīng)用行為審計(jì)、數(shù)據(jù)庫行為審計(jì)以及日志審計(jì)?？蛻艨筛鶕?jù)實(shí)際網(wǎng)絡(luò)和預(yù)算情況靈活選擇所需探針進(jìn)行部署，選擇不同類型的探針進(jìn)行組合，不影響系統(tǒng)運(yùn)行。

4.1.10 快速配置安裝

在系統(tǒng)安裝過程中，將需要人工確認(rèn)和輸入操作命令的過程全部通過智能化產(chǎn)品優(yōu)化封裝機(jī)制替代，支持系統(tǒng)的一鍵安裝。所有的程序調(diào)用、進(jìn)程應(yīng)用等均在后臺執(zhí)行。

通過本次項(xiàng)目建設(shè)，初步建立起某稅務(wù)局的態(tài)勢感知平臺和工作機(jī)制。這個(gè)平臺完全遵循國家總局的建設(shè)精神，適應(yīng)某稅務(wù)局的現(xiàn)實(shí)情況。本次項(xiàng)目在項(xiàng)目建成后的攻防演練過程中，不僅發(fā)現(xiàn)了系統(tǒng)的既有問題，還捕獲到一次非法攻擊，效果顯著。

4.2 未來展望

通過本次項(xiàng)目充分消化理解網(wǎng)絡(luò)安全策略，對當(dāng)前的信息安全體系進(jìn)行有效的補(bǔ)充，初步建立起了以態(tài)勢感知為核心的網(wǎng)絡(luò)安全防御體系和應(yīng)急響應(yīng)工作體系。今后的工作中將緊跟網(wǎng)絡(luò)安全形勢的發(fā)展，充分領(lǐng)會最新政策文件和法規(guī)標(biāo)準(zhǔn)的核心方法，積極主動應(yīng)對最新安全事件所產(chǎn)生的風(fēng)險(xiǎn)，不斷查漏補(bǔ)缺，構(gòu)建起市區(qū)兩級一體化、能迅速響應(yīng)國家稅務(wù)局總局需要的網(wǎng)絡(luò)安全工作體系。