态势感知方案

1XX单位安全感知平台项目建设方案1目录1项目概况.......................................................................11.1项目名称........................................................................11.2编制依据........................................................................11.3项目立项依据....................................................................21.4项目建设的必要性................................................................31.5项目建设目标....................................................................41.6总投资估算......................................................................52需求分析.......................................................................52.1信息化和安全建设现状分析.........................................................52.2行业现状和攻防对抗需求分析.......................................................62.2.1传统威胁有增无减，新型威胁层出不穷............................................62.2.2已有检测技术难以应对新型威胁..................................................72.2.3未知威胁检测能力已经成为标配..................................................82.3现有安全体系的不足分析...........................................................82.3.1看不清自身业务逻辑............................................................92.3.2看不见潜藏威胁隐患...........................................................102.3.3缺乏整体安全感知能力.........................................................113方案理念......................................................................133.1看清业务逻辑...................................................................133.2看见潜在威胁...................................................................1423.3看懂安全风险...................................................................153.4辅助分析决策...................................................................164解决方案......................................................................164.1方案概述.......................................................................164.2安全感知系统...................................................................174.2.1系统架构.....................................................................174.2.2部署拓扑.....................................................................184.2.3组件实现.....................................................................194.2.4主要功能.....................................................................284.3监测响应服务...................................................................404.3.1安全事件监测、预警和通报.....................................................404.3.2安全事件应急响应处置.........................................................414.3.3重要时期信息安全保障.........................................................434.3.4常规驻场值守服务.............................................................435方案价值和主要技术优势........................................................445.1全网业务资产可视化.............................................................445.2全网访问关系可视化.............................................................455.3多维度威胁检测能力.............................................................465.4安全风险告警和分析.............................................................485.5全局视角态势可感知.............................................................496价格估算表.....................................................错误!未定义书签。11项目概况1.1项目名称XX市局网络安全态势感知项目1.2编制依据《中华人民共和国网络安全法》《“十三五”国家信息化规划》（国发〔2016〕73号）《信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术信息系统安全管理要求》（GB/T20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》《国家信息化领导小组关于加强信息安全保障工作的意见》《市、县两级机关“云上、智能防控”第一战略建设第一批任务清单》（浙公办〔2017〕157号）21.3项目立项依据习总书记在2016年“419讲话”中提出“全天候全方位感知网络安全态势”，将网络安全的思维模式从单纯强调防护，转变到注重预警、检测、响应的格局，安全能力从“防范”为主转向“持续检测和快速响应”，实时防御将以威胁为中心，以数据为驱动解决安全问题。2016年12月27日，国务院全文刊发了《“十三五”国家信息化规划》，再次强调了态势感知的重要性，“十大任务”中的最后一项，“完善网络空间治理体系和健全网络安全保障体系”，再次提出“全天候全方位感知网络安全态势”。2017年6月1日正式实施《中华人民共和国网络安全法》，明确指出国家建立网络安全监测预警和信息通报制度，相关部门应加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全检查信息，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月；。2017年7月28日，XX省厅下发《市、县两级机关“云上、智能防控”第一战略建设第一批任务清单》（浙公办〔2017〕157号）文件要求，开展网（含视频专网）网络流量还原取证系统建设，通过流量镜像方式记录关键网络节点的网络流量数据，能够在网（含视频专网）发生异常网络攻击和入侵后，能够通过倒查还原网络流量数据及时进行准确定位和取证，流量还原审计数据应保存6个月以上；31.4项目建设的必要性随着网络信息化工作的不断深入，信息主导警务的趋势日益明显，信息通信网同外部接入单位之间的数据交换量逐渐增大，网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大，信息通信网上信息的完整性、安全性面临的挑战越来越多。1、安全事件分析难度大，安全威胁处理陷入困局随着通信网络的不断延伸与扩展,网络中的设备数量和服务类型也越来越多，网络中的关键安全设备和业务服务器产生了大量的安全事件日志，安全运维人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，工作效率极低，难以发现真正的安全隐患。2、网络攻击越来越复杂，安全问题难以检测云计算技术的发展将IT资产不断向虚拟化迁移，业务的增删查改变化大，IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量，安全边界变得越发模糊，而传统的安全防御模式还停留在网络与应用系统，导致看不清资产变化，看不清业务访问关系，更看不清内部的横向攻击、异常访问与违规操作，黑客一旦突破边界以后，往往利用合法用户身份渗透内部其他业务系统，窃取核心数据。3、贯彻落实政策文件要求，全面加强信息安全建设4根据习主席“419讲话”精神和《网络安全法》等相关政策文件要求，结合我局安全建设需求，形成一套符合我局防御、监测、响应为一体的安全体系，对于全面推进我局安全建设具有指导意义。一方面消除高危安全隐患，提高抵御攻击能力，从整体上提高安全防护与监测水平；另一方面，通过建立快速的事件响应与处理机制，配合专业安全专家团队，防止因为响应能力不足导致安全威胁扩散，提升响应速度，提升响应效果，形成最佳实践。1.5项目建设目标本项目的建设目标是：强化XX市局网络信息安全监测预警能力，主要解决当前网网络的信息安全监测预警能力薄弱、数据来源单一等问题，进一步提高网突发安全事件监测和预警能力，实现市级结点和地市结点安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。通过部署监测管理平台、网络安全监测探针等，实现有效发现未知威胁攻击，达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。实现以下效果：从防御层次向“持续检测、快速响应”步进，打造一站式的“预防，检测，响应，加固”的四维服务，真正做