午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、平安態勢感知與預警平臺技術實施方案2.2.1.1 網絡流量數據采集流量審計引擎負責對內外網的流量鏡像文件進行采集、市計和還原，還原后 的流量日志會加密傳輸至平安大數據中心。流量審計引擎支持全協議審計，包含 網絡第2層至第7層數據流量，并支持特定的協議或IP進行自定義檢測以及支 持自定義IP地址、URL、域名與文件的訪問監控。通過審計分析流量數據，詳 細記錄所有的審計數據包，可展現審計數據包的時間、客戶端IP、服務端IP、 應用層協議、報文、返回碼、詳細信息等，這些信息通過加密通道傳送至平安大 數據中心統一處理。2.2.1.2 流量沙箱分析APT沙箱主要負責對傳感器還原后的文件進行沙箱檢測、靜態2、檢測與動態 檢測等多種檢測，及時發現有惡意行為的文件并告警，告警日志可傳給態勢感知 平安運營平臺供統一分析。通過沙箱對文件進行高級威脅檢測，沙箱可以接收還 原自傳感器的大量PE和非PE文件，使用靜態檢測、動態檢測、沙箱檢測等一 系列無簽名檢測方式發現傳統平安設備無法發現的高級威脅，并將威脅相關情況 以報告行為提供給企業平安管理人員。沙箱上的相關告警也可發送至分析平臺實 現告警的統一管理和后續的進一步分析。2.2.1.3 日志數據采集日志采集引擎負責對資產日志進行采集，包括平安設備的日志、主機服務器 的日志以及應用系統的日志采集。通過使用Syslog、SNMP Trap OPScc、FTP協 議3、日志收集，支持主動采集和被動接收等多種方式對日志進行采集。日志采集引 擎具備以下多種能力。 支持目前主流的網絡平安設備、交換設備、路由設備、操作系統、應用 系統等； 支持常見的虛擬機環境日志收集，包括Xen、VMlVare、Hyper-V等 應該可以通過自定義配置將用戶不關心的日志過濾掉； 支持對收集到的重復的日志進行自動的聚合歸并，減少日志量； 支持將收集到的日志轉發，當原始日志設備無法設置多個日志服務器時,可以通過本系統的日志轉發功能將日志轉發到其他日志存儲設備。 設備廠家包括但不限于：Cisco（思科），Juniper,聯想網御/網御神州， F5,華為，H3C,微軟，綠盟，飛塔（fort4、inet）, Foundry,天融信，啟 明星辰,天網，趨勢，東軟，Nokia, Checkpoint, Hillstone（山石）， 安恒，珠海偉思，BEA,中國電信，安氏，帕拉迪，ape, arbor, clam, 戴爾（dell）, digium,東方電子，EMC,中國電力科學研究院,Eudora, google,冠群金辰,linksys, Mcafee, netapp, NAS（美國國家平安局）, 永達，sonicwall, vigor,天存，西嶺，Symantec （賽門鐵克）， Hardened-PHP, foundertech（方正），三零盛安，allot,藍盾，IBM, 金諾網5、安，網威，nortel （北電）,citrix （思杰），watchguard,中興， 阿帕奇，WINDOWS 系統日志,Linux/UNIX syslog、ITS. Apache 等； 支持常見的虛擬機環境日志收集，包括Xen、VMWare Hyper-V等。資產、用戶數據采集主要采集資產、用戶信息數據，包括用戶的基本信息，以及賬戶的基本信息 等，主要包括用戶編號、人員信息、主賬號名稱、手機號碼、賬戶的變動信息、 賬戶狀態、資產基本屬性等信息。通過使用數據源采集接口中的呢bService接 口采集這類標準化數據，只需提供對應的接口和網絡連接方式即可完成數據的采集。數據類型采集內容采集方式采集6、接口用戶信息數 據編號、人員信息、主賬號、主賬號類型、 主賬號名、手機號碼、生效時間、失效時 間、創立時間、修改時間、創立人、所屬 組織、歸屬地區、最近登錄時間、郵箱、 性別、國別、證件類別、證件號碼、狀態、 認證策略離線采集WebService主機資產數 據主機ID、廠商、型號、操作系統、管理IP 地址、所屬業務系統、所屬平安域、平安 管理員、端口、協議、普通帳號、提權方 式、超管帳號離線采集WebService數據庫資產 數據主機ID、廠商、型號、操作系統、管理IP 地址、所屬業務系統、所屬平安域、所屬 主機資產ID、平安管理員、數據庫帳號、 數據庫實例名、安裝路徑離線采集WebServi7、ce中間件資產 數據主機ID、廠商、型號、操作系統、管理IP 地址、所屬業務系統、所屬平安域、平安 管理員、數據庫帳號、數據庫實例名、安 裝路徑離線采集WebService網絡設備資 產數據廠商、型號、操作系統、管理IP地址、所 屬業務系統、所屬平安域、平安管理員、 端口、協議、普通帳號、提權方式、超管 帳號離線采集WebService平安設備資 產數據廠商、型號、操作系統、管理IP地址、所 屬業務系統、所屬平安域、平安管理員、 端口、協議、普通帳號、提權方式、超管 帳號離線采集WebService資產端口數 據主機ID、端口值、創立時間、更新時間離線采集WebService資產系統數 據ID8、名稱、版本、廠商、描述、父系統ID、 創立時間、更新時間離線采集WebService資產業務系 統數據業務系統ID、業務系統名稱、父業務系統 ID、創立時間、更新時間離線采集WebService資產狀態數 據資產編號、設備名稱、設備IP、CPU使用 率、內存使用率、磁盤使用率實時采集WebService建立平安態勢感知與預警平臺總體平安態勢感知大屏對現網的平安狀況進行監測、感知以及預警，并采用動態可視化的技術，實 時在整體網站的被攻擊情況和攻擊數量的來源IP等，網絡系統整體平安狀態、 平安告警等功能。2.2.2.1 內網平安態勢感知整體感知內網的平安威脅態勢，實現內網服務器異常登錄、賬戶異常9、訪問等 平安分析場景，實現平安事件的多維度統計，從近7天平安事件態勢分析，當天 內網平安事件數量、異常資產、賬戶態勢分析，感知整體內網平安態勢。攻擊態勢感知感知整體網絡被攻擊的態勢平安態勢，實現攻擊的類型、近7日的攻擊趨勢 分析，當天攻擊趨勢分析，攻擊者深度分析，感知網站被攻擊的態勢。2.2.2.4 異常訪問行為態勢感知整體網絡環境的被訪問的態勢，實現訪問終端、攻擊、訪問者來源地、 訪問行為等維度分析，并實時對異常訪問進行告警。可以為網站平安和業務運營 提供參考數據。2.2.2.5 異常流量態勢感知整體網絡環境的異常流量態勢，包括外網攻擊的異常流量和業務操作的 異常流量，并實施對異常流量行為進10、行告警。2.2.2.6 惡意操作態勢整體感知網絡系統中的系統、設備、中間件、數據的我惡意操作態勢，并從 系統類型、資產等維度進行態勢分析和可視化。2.2.2.7 資產平安態勢通過大數據分析，綜合分析資產或業務系統遭受攻擊、惡意操作以及系統自 身的脆弱性情況。以業務系統視圖呈現資產平安態勢，業務系統名稱、包含資 產數、被攻擊次數、攻擊者數量、攻擊類型數、惡意操作類型、操作者數量、操 作次數等。2.228攻擊者溯源攻擊溯源聯動分析是以攻擊手法作為模型進行檢測，這些攻擊手法的模型源 自于攻擊者歷史攻擊的特征的累計識別。該系統的攻擊溯源，依靠多個云端引擎庫和智能算法的結合、依托于互聯網 大數據深度挖掘11、分析技術、聯動了互聯網其他平安廠商共同組成了攻擊溯源體系。 支持查詢攻擊者歷史攻擊軌跡以及歷史攻擊特征以及攻擊者信譽度、相似攻擊者 等功能。222.9威脅情報管理功能通過從云端獲取（在線查詢、云端推送或離線拷貝至本地威脅情報庫）威脅 情報，本地系統可自動創立分析規那么，對本地網絡中采集的數據進行實時比比照 對，發現可疑的連接行為；可利用情報對平安事件進行溯源分析。威脅情報告警將呈現威脅情報的上下文信息（包含了 IOC、攻擊組織、攻擊 范圍、攻擊危害、攻擊行業等信息），同時展現歷史上所有相關的日志。安恒提 供云端威脅情況，并提供標準接口。支持如下功能：1查看各威脅庫的數據量情況2查看各威脅庫的數12、據量種類3查看各威脅庫的更新頻率4支持關聯分析5威脅情報本地離線導入功能6威脅情報在線一鍵更新功能7 Oday漏洞防護策略包導入功能8本地網絡系統資產威脅檢測功能威脅預警通過態勢與預警平臺，關聯分析多維大數據，實現發現現網系統中存在的安 全事件、平安風險點，進行實時平安威脅預警。2.2.2.10 平安態勢報表用戶可查看訪問流量報表、平安防護報表，平安防護報表包含攻擊次數態勢 分析、攻擊者區域態勢分析、攻擊者IP統計、被攻擊頁面統計、被攻擊域名統 計、攻擊事件統計、攻擊威脅等級統計等。提供定期自動生成標準的周報、月報、 年報，提供word、pdf等多種格式的報表。2.2.2.11 數據檢索提供支13、持原始日志搜索和標準化日志搜索。實現快速的海量日志檢索。提供 以下功能：1、提供日志的搜索輸入框及搜索按鈕，可全文檢索設備的原始日志；2、可輸入關鍵字包括不限于設備IP、日志發生時間、原始信息；支持輸入 時間段、表達式等條件；3、搜索結果于搜索框下方顯示，多條內容以列表方式顯示摘要，支持翻頁，支持關鍵字高亮顯不；4、所有日志均可以標準化接口形式提供；5、支持搜索結果從前端導出，以excel格式導出。2.2.2.12 系統管理系統管理功能包括平臺運行情況的展示、用戶權限管理、系統日志管理、數 據采集配置管理、和數據結構及字典查詢。本模塊提供支撐平臺的基礎保障能力。 提供以下管理功能： 系統運行情14、況展示系統運行情況展示用于實時觀測平安威脅分析與預警平臺的各組件的可用 性、性能和數據質量。 系統性能監控展示支持平安威脅分析與預警平臺的服務器（包括采集器）性能使用情況監控及 展示。 數據處理情況展示支持平臺的日志采集數量、日志解析數量、日志入庫量、日志轉化率、日志 入庫率的統計展現。 用戶權限管理支持靈活地配置用戶權限，方便系統管理員進行管理。平安威脅分析與預警 平臺應支持基于系統功能對象的角色定義，支持用戶組機制。同時，為了使系統 自身的帳號口令納入4A系統進行統一管理和審計，系統帳號口令的設置應滿足 4A技術規范的要求。 系統日志管理支持記錄系統運行過程中產生的登錄日志、操作日志、管理15、配置日志和系統 自身告警日志等，日志格式必須滿足4A系統技術規范要求。 數據采集器配置管理數據采集器配置管理包括采集器運行狀態監測和采集器策略配置。包括數據 采集器屬性信息、運行狀態監測以及采集任務的管理等。提供高級威脅分析能力病毒木馬高級持續性威脅監測通過部署高級平安設備，實現對互聯網出口端的全流量數據采集和深度分析, 將分析后的數據傳送至大數據平臺，結合威脅情報數據進行深度關聯分析，構建 機器學習模型，發現其中的攻擊事件。利用網絡流量分析技術，異常訪問定位技 術、郵件社工分析技術、惡意文件分析技術、動態行為分析技術、云端的高級分 析和威脅情報技術來分析檢測發現APT攻擊，極大提高APT攻擊16、檢測的成功檢測 率和減少誤報情況。2.2.3.1 威脅變種檢測通過結合公司防病毒軟件、惡意文件檢測系統實現，對惡意文件、惡意代碼 的檢查能力，定位利用文件進行攻擊的攻擊路徑和感染的終端、系統等檢測。網站運行監控通過部署網站監測引擎和引進平安公司的專業平安服務，實現7*24小時對 網站可用性監測、網站應用漏洞檢測、網頁木馬檢測、網站后門利用檢測、網頁 防篡改監測等能力。并實現網站各類平安風險的統計和跟蹤展示。2.2.3.4 平安事件溯源結合威脅情報庫，攻擊路徑溯源模型，可視化展示對網絡威脅程度較高的攻 擊者，并展示該攻擊者的攻擊路徑，定位到平安事件的責任人。漏洞信息態勢分析通過導入掃描設備的報告17、和結合平安威脅情報庫數據，進行網絡漏洞信息的 態勢分析，分析整體網站系統的漏洞方面展示系統自身脆弱性情況。以漏洞維度、 資產、重要資產維度進行漏洞態勢分析和可視化。平安事件事件管理對平安事件進行分級分類展示，方便各級信息平安管理員按照平安事件嚴重 程度進行分析，如果確認為需要調查處置的平安事件，轉入平安處置流程。并跟 蹤平安事件的處置流程。未知威脅分析結合威脅情報庫數據，分析挖掘現網系統存在的風險點和Oday漏洞等，并 進行態勢統計分析。現網系統平安環境評估分析通過建立大數據分析模型，跟蹤現網系統的平安態勢，分析平安設備對平安 事件的相應效率、系統漏洞態勢、資產防護狀態等多維指標，綜合分析評估18、現網 系統平安環境。2知識庫管理實現信息平安各種規章制度、操作指南、標準文件、典型案例等內容的維護 管理，并提供全文檢索工具，方便信息平安管理員檢索知識，為平安管理員處理 類型的平安事件提供有效的指導和方便平安管理人員的培訓等。3工程實施方案硬件部署平安態勢感知與預警平臺在核心業務網的部署模式如下列圖所示:木工程的硬件設備部署拓撲如下圖，設備部署要求和位置如下。（1） 在互聯網出口端需要1個分光器，1臺DPI （流量審計設備）設備，1臺APT （流量深度分析設備）設備，用于全流量數據的采 集和深度分析，對流量文件進行分析,并部署1臺日志采集引擎， 用于公共區域的日志數據采集；（2） 在業務內網19、區域，部署1臺日志采集引擎，用戶內網區域的日志數據采集，采集后的數據匯聚在平安大數據中心，部署1臺分光 器和1臺DPI設備，用于內網流量的審計采集；（3） 大數據存儲節點實現SDC功能和為平安態勢感知與預警平臺提供集中化存儲數據支撐；（4） 調度服務器實現相關分析指令的下發至大數據平臺并處理平臺返回的結果數據進行入庫；（5） WEB服務器實現態勢感知相關數據的界面呈現。考慮平臺的擴展和平安業務增加的需求，平臺設計過程中考慮如下擴展方式。 系統采用開源的組件規劃，支持硬件的動態擴展;概述31.1 高校的網絡平安特點31.2 高校的網絡系統風險分析51.3 設計原那么5工程總體設計81.4 工程目20、標81.4.1 實現平安大數據采集和集中化存儲81.4.2 建立平安態勢感知分析平臺91.4.3 實現平安威脅預警平臺91.5 功能設計91.5.1 建立平安大數據中心91.5.2 建立平安態勢感知與預警平臺121.5.3 提供高級威脅分析能力16工程實施方案191.6 硬件部署191.7 平臺硬件需求201.8 軟件組成201.9 平臺功能21 平安態勢感知與預警平臺采用模塊化思想設計，支持分析功能和模型的模塊化擴展。1.10 平臺硬件需求系統核心硬件設備包括專用設備和通用服務器兩局部，具體內容見下表。表 中給出的設備數量為最小配置，具體工程中實際需要的設備數量要根據數據量的 大小及分析響應21、時延要求來確定。設備名稱功能用途操作系統應用軟件定制程序最小數量日志采集設備主機、平安設備、 中間件等R志的 采集CentOS6.5Mysql, java口志采集引擎SOC1流量審計設備全流量數據的審 計分析和采集CentOS6.5Mysql, C/C+全流量審計引擎DPI1數據存儲服務器統計數據的存儲CentOS6.5Hbase4分析計算服務器大數據實時分析 和離線分析引擎CentOS6.5Elasticsearch,Airflow,Storm, Kafka大數據實時 分析和離線 分析引擎4可視呈現服務器數據可視化服務器CentOS6.5Mysql, java, redis大數據智能 平安分22、析平 臺1軟件組成軟件名稱功能用途版本號運行環境備注Hadoop大數據基礎平臺CentOS6.5必選Hbase統計數據的存儲CentOS6.5必選Elasticsearch離線分析引擎CentOS6.5必選AirflowETL1CentOS6.5可選Storm大數據實時分析CentOS6.5必選Java相關開發語言CentOS6.5必選Kafka分布式消息系統CentOS6.5必選Mysql關系型數據庫服務5.1CentOS6.5可選redis非關系型數據庫服務CentOS6.5可選C/C+全流量審計引擎開發語言C+11CentOS6.5必選Spark離線模型運行環境CentOS6.5必選1.23、11 平臺功能功能模塊定制內容1.系統管理1.1角色管理。實現系統管理員、平安管理員等不同崗位角色的添加、修改 及其權限管理。1.2用戶管理。實現各級用戶的新增、修改、停用、密碼重置等功能，并設 置用戶角色權限。1.3報表管理。實現豐富的內置報表、自定義報表的設計，制定報表生成計 劃，快速生成月報、季報、年報等各類分析報表。1.4接口管理。系統運行狀態數據輸出到監控平臺，采集引擎的狀態監控。2.大屏展示2.1全網平安態勢感知感知、平安事件發現、溯源、取證、處置大屏；2. 2平安事件多維度統計態勢分析大屏3.平安分析3.1行為審計。對重要信息系統及其運行環境相關日志數據進行關聯分析， 根據訪問者24、（用戶、終端等）行為表達的時間、空間、訪問內容、訪問軌跡、 訪問者自身屬性等特征維度進行建模，形成訪問者行為畫像，直觀展現訪問 者操作行為特征，并進行行為審計。3.2業務分析。根據重要信息系統用戶登陸、業務操作、系統管理、接口訪 問等行為日志進行建模，及時發現違規業務、竊取信息資源等行為。3.3高級威脅分析。病毒木馬高級威脅監測分析、網站狀態監測、網頁防篡 改、釣魚網站與輿情監測。3.4平安事件溯源。定制平安事件溯源模型，結合威脅情報庫，對平安事件 進行溯源、取證。3.5平安事件處置跟蹤。全生命周期跟蹤平安事件，在相關平安管理員完成 調查處置后填報處置結果，并支持在平安設備上以下發規那么等方式25、進行自動 化聯動處置。3.6態勢分析。重要信息系統的網絡整體運行狀態、總體平安狀況，進行整 體態勢進行展示和呈現，及時發現可能潛在的平安威脅。3. 7結合威脅情報數據，聯動分析平安事件，發現剩余未知風險和系統平安環 境評估。3.8平安預警。實現對根據平安分析場景（網絡攻擊、越權訪問、可疑入侵 等）平安事件進行實時報警。4.平安事件告警4.1平安事件告警。根據定制開發的40各平安分析場景，進行平安事件告警。4.2 平安事件聚合。支持根據平安設備/日志源/攻擊類型等維度進行平安事 件聚合。4.3 平安事件溯源。支持根據平安事件告警內容鉆取平安事件的明細。5.數據檢索5. 1原始日志檢索5. 2平安26、事件檢索。支持對平安分析場景分析出的平安事件進行檢索，支持用 戶自定義檢索規那么，并支持檢索結果導出。6.數據報表提供豐富的內置報表、自定義報表的設計，制定報表生成計劃，快速生成月 報、季報、年報等各類分析報表，支持用戶查看和導出7.資產管理7. 1.對采集到的資產數據進行管理和拓撲，并統計分析資產的漏洞情況7. 2.支持WEB站點資源的導入和維護8.威脅情報8.1支持威脅情報的本地導入和一鍵在線升級8. 2支持威脅情報檢索8. 3支持網絡系統資源威脅情況查詢9.知識庫管理支持對知識庫的查詢、檢索、添加和刪除操作。1概述目前，全國各高校教育信息化建設如火如荼，學校內部、學校間的聯網也越 來越緊27、密。學校已經完全從象牙塔時代過渡到了和信息時代緊密結合的時期。校 園網絡平安建設是一個系統工程，它包含防火墻、入侵防御檢測、防病毒、網絡 行為審計、漏洞掃描、災難備份、平安集中管理等一系列平安措施。學校信息系統的平安保障體系可以分為三個層次：一是基本平安環節，這些 平安環節是很多系統平臺本身就提供的，如操作系統或者數據庫；其次是對基 本平安要素的增強環節，利用這些增強環節能夠對系統起到更可靠的保護作用； 再其次是擴充的平安機制，提供對學校信息安保系統現有安保設備的統一管理、 大數據宏觀融合分析診斷整體安保態勢。在我國，近幾年隨著網絡技術的開展，互聯網應用的普及和豐富，互聯網安 全的問題也日益嚴28、重，利用信息技術進行的高科技犯罪事件呈現增長態勢。中國 政法大學危機管理研究中心研究說明，我們高校網絡平安事件至少發生39起，黑 客入侵有25例，其中主要集中在黑客入侵網站，篡改網頁內容，騙取錢財，篡改 學生成績，獲得非法錢財等。教育行業的數據因其精準性，數據價值高，安保設 備策略老舊以及校園網內的計算機系統管理比擬復雜等原因，易發生黑客入侵盜 取敏感數據進行售賣等。1.1高校的網絡平安特點高等教育和科研機構是互聯網誕生的搖籃，也是最早的應用環境。各國的高 等教育都是最早建設和應用互聯網技術的行業之一，中國的高校校園網一般都最 先應用最先進的網絡技術，網絡應用普及，用戶群密集而且活躍。然而校園29、網由 于自身的特點也是平安問題比擬突出的地方，平安管理也更為復雜、困難。與政 府或網相比，高校校園網的以下特點導致平安管理非常復雜：1 .校園網中的計算機系統管理非常復雜校園網中的計算機系統的購置和管理情況非常復雜，比方學生宿舍中的電腦 一般是學生自己花錢購買、自己維護的。有的院系是統一采購、有技術人員負責 維護的，有些院系那么是教師自主購買、沒有專人維護的。這種情況下要求所有的 端系統實施統一的平安政策（比方安裝防病毒軟件、設置可靠的口令）是非常困 難的。由于沒有統一的資產管理和設備管理，出現平安問題后通常無法分清責任。 比擬典型的現象是，用戶的計算機接入校園網后感染病毒，反過來這臺感染病毒30、 的計算機又影響了校園網的運行，于是出現端系統用戶和網絡管理員相互指責的 現象。更有些計算機甚至服務器系統建設完畢之后無人管理，甚至被攻擊者攻破 作為攻擊的跳板、變成攻擊試驗床也無人覺察。2 .開放的網絡環境由于教學和科研的特點決定了校園網絡環境應該是開放的、管理也是較為寬 松的。比方，網可以限制允許Web瀏覽和電子郵件的流量，甚至限制外部發起的 連接不允許進入防火墻，但是在校園網環境下通常是行不通的，至少在校園網的 主干不能實施過多的限制，否那么一些新的應用、新的技術很難在校園網內部實施。3 .有限的投入校園網的建設和管理通常都輕視了網絡平安，特別是管理和維護人員方面的 投入明顯缺乏。在中國31、大多數的校園網中，通常只有網絡中心的少數工作人員， 他們只能維護網絡的正常運行，無暇顧及、也沒有條件管理和維護數萬臺計算機 的平安，院、系一級的專職的計算機系統管理員對計算機系統的平安是非常重要 的。4 .盜版資源泛濫由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這些軟件的 傳播一方面占用了大量的網絡帶寬，另一方面也給網絡平安帶來了一一定的隱患。 比方，Microsoft公司對盜版的操作系統的更新作了限制，盜版安裝的計算機系統 今后會留下大量的平安漏洞。另一方面，從網絡上隨意下載的軟件中可能隱藏木 馬、后門等惡意代碼，許多系統因此被攻擊者侵入和利用。1.2 高校的網絡系統風險分析以上32、各種原因導致校園網既是大量攻擊的發源地，也是攻擊者最容易攻破的 目標。因此導致當前校園網常見的風險如下：1 .普遍存在的計算機系統的漏洞，對信息平安、系統的使用、網絡的運行 構成嚴重的威脅，影響用戶的使用、信息平安、網絡運行，據經濟參 考報5月的一遍報告稱，從2014年4月至2015年3月，1088個大學的網 站中存在3495個平安漏洞已被發現，其中，75%的網站都面臨著很高的 被攻擊風險；.外來的系統入侵、攻擊等惡意破壞行為，有些計算機已經被攻破，用作 DOS/DDOS攻擊的工具；拒絕服務攻擊目前越來越普遍，不少開始針對 重點高校的網站和服務器，這些行為給校園網造成了不良的影響，損害 了學校33、的聲譽；2 .攻擊手段隱蔽多樣化，攻擊者偽裝技術日益成熟，難以確定攻擊者的身 份，做出因對方針；3 .現有的安保設備普遍策略老舊，無法滿足現有的新型攻擊的安保需求。1.3 設計原那么參考國家信息化領導小組關于加強信息平安保障工作的意見和“平安態 勢可視化”的思想，本方案平安體系建設的原那么如下：加強信息平安保障工作的總體要求是：堅持主動防護、綜合平安態勢感知的 方針，全面提高信息平安防護能力，重點保障基礎信息網絡和重要信息系統平安, 創立平安健康的網絡環境，保障業務系統的穩定運行，提高高校網絡安保能力。 本方案重點把握以下幾方面的原那么：1 .堅持主動防護的原那么要特別重視攻擊者源頭分析，通過34、對平安事件深度溯源分析、攻擊者滲透分 析，預先感知高危的1P和系統的威脅風險點，將被動防御轉變為主動防護。2 .綜合平安態勢感知的原那么要特別重視制定好平安防范整體方案，從系統整體和全局的角度考慮；要結 合實際，針對每一種平安威脅、平安風險和每一個具體環節，堅持分析過去的安 全環境、當前的平安現狀，綜合感知未來的平安風險點。3 .管理與技術并重的原那么在信息平安保障體系的建設中，管理是根本，技術是手段。管理以技術為基 礎，技術以管理做保障，本方案通過對平安態勢的可視化，為平安維護人員提供 高價值的輔助決策。4 .平安與投入相平衡的原那么安保能力的提升不可防止地要占用系統資源，加大系統應用開發的35、本錢。因 此，平安系統的建設應當全面考慮不同高校現有的軟硬件設施，權衡利弊，在服 務、平安和本錢之間找到一個最正確平衡點。一方面要認識到平安是相對的，花多 大代價都不可能絕對消除系統的平安隱患，系統的平安建設需要一個不斷認識、 不斷更新和不斷完善的過程；另一方面也要明確，盡管平安是相對的，但是還是 應當立足當前實際，采用最正確的技術防范策略和經濟有效的防范措施，想方設法 地提高系統的平安保密強度。5 .統一規劃與分布實施的原那么統一規劃就是要從整體考慮、統一要求、統籌安排，強調整體性、完整性和 一致性。規劃的實施要根據應用實際，可以有計劃地分階段進行，也就是分步實 施，在不同階段均有里程碑式交36、付物。在系統建設進程中，在不斷完善對系統安 全認識的基礎上，逐步采用先進技術與管理措施，不斷強化平安保障體系。平安 建設是一項長期、復雜而艱巨的任務，而且平安本身也是一個不斷變化的過程, 在平安建設中沒有一勞永逸。因此需要在統一規劃的基礎上，采取分階段實施的 方式來逐步建設平安體系，并且建立威脅情報，以便及時了解最新的國內外平安 威脅事件。2工程總體設計平安態勢感知與預警平臺通過建立平安大數據中心，實現網平安類、管理類、 流量數據以及資產、用戶的基本數據的采集、標準化和集中化存儲，并在平安大 數據中心的基礎上建立平安態勢感知與預警平臺（以下簡稱態勢與預警平臺）， 實現全網的平安要素分析、平安威37、脅事件聯動分析、異常行為快速發現的能力以 及實現整體網絡的平安態勢可視化能力和整體校園網絡環境安保能力綜合評估。2.1 工程目標實現平安大數據采集和集中化存儲重點實現整體網絡平安態勢感知，建立平安態勢感知與預警平臺，網絡環境 平安類、管理類、流量數據以及資產、用戶的基本數據的采集。數據采集層實現 全流量審計引擎、日志采集引擎和資產、用戶數據的采集接口。其中全流量審計 引擎實現內網和互聯網的鏡像流量審計和采集，日志采集引擎實現主機、服務器 以及平安設備的日志采集，資產、用戶數據的采集接口實現網絡資產和用戶的數 據的采集，并支持離線數據的導入功能，最終將采集到的數據上傳至態勢與預警 平臺，經過統一38、的ETL （清洗、轉換和標準化）處理之后存入平安大數據中心。 支持采集的數據類型。序號數據類型采集引擎采集方式1流量數據全流量審計引擎實時鏡像采集2主機、服務器、平安設備日志日志采集引擎協議采集3DNS日志日志采集引擎協議采集4操作系統進程數據日志采集引擎協議采集5郵件日志、證書相關數據日志采集引擎接口采集6資產、用戶數據采集接口接口采集7掃描報告采集接口離線導入和協議發送建立平安大數據中心，并實現對采集引擎的狀態監控和采集數據的審核、標 準化、管理補齊、數據標簽和集中式存儲。采用分布式部署和考慮容災備份，保 障平安數據中心的存儲空間和高可用性，并提高其他應用系統的數據接口，實現 數據的共享能39、力。2.1.1 建立平安態勢感知分析平臺重點實現建立態勢與預警平臺，實現對平安數據中心內存儲的數據的分析應 用，實現多維大數據關聯分析，實現全網的平安要素分析。、異常行為快速發現的 能力以及實現整體網絡的平安態勢可視化能力，并累計本地威脅情報。實現擴充本地威脅情報，將惡意文件、高級持續攻擊者的IP、平安專業服 務提供的檢測數據以及態勢與預警平臺發現的平安事件等數據，擴充至本地威脅 情報，并實現與態勢與預警平臺聯動分析，實現網絡平安事件的自動發現和整體 網絡平安環境的評估能力。2.1.2 實現平安威脅預警平臺重點工作在于平安事件的全生命周期跟蹤處理，實現平安事件溯源并累計安 全事件的特征，合并分析之后擴充至本地威脅情報庫，實現未知平安威脅的發現, 實現整體網絡平安風險點預警。從真正意義上實現將傳統的平安防護轉變為具有 智能自學習能力的大數據自動平安分析、預警與溯源一體化的整體網絡平安運營 平臺。2.2 功能設計建立平安大數據中心通過建立平安大數據中心，實現網絡環境平安類、管理類、流量數據以及資 產、用戶的基本數據的采集、ETL和集中存儲。