1、.烏魯瓦提水利樞紐管理局機房系統安全建設解決方案深信服科技有限公司2019年目錄1背景概述31.1建設背景31.2文件要求31.3參考依據32閥門監控系統安全防護意義43安全防護總體要求43.1系統性43.2動態性43.3安全防護的目標及重點53.4安全防護總體策略53.5綜合安全防護要求63.5.1安全區劃分原則63.6綜合安全防護基本要求73.6.1主機與網絡設備加固73.6.2入侵檢測73.6.3安全審計73.6.4惡意代碼、病毒防范74需求分析84.1安全風險分析84.2安全威脅的來源95設計方案105.1拓撲示意105.2安全部署方案115.2.1下一代防火墻115.2.2終端安全檢

2、測響應系統（殺毒）125.2.3日志審計系統135.2.4運維審計系統175.2.5安全態勢感知系統196方案優勢與總結206.1安全可視216.2融合架構216.3運維簡化221 背景概述1.1 建設背景隨著我國信息化的大力發展，信息網絡已經由幾個孤立的網絡發展成一個多連接的信息共享的復雜網絡，也正是由于網絡的接入共享為不法黑客的入侵系統帶來機會，嚴重影響系統的正常穩定運行和輸送。1.2 文件要求根據中華人民共和國網絡安全法，水利相關單位是國家關鍵信息基礎設施和網絡安全重點保護單位。監控、數據調度系統網絡空間大，涉及單位多，安全隱患分布廣，一旦被攻破將直接威脅安全生產。為進一步提高閥門監控系

3、統及調度數據網的安全性，保障閥門監控系統安全，確保安全穩定運行，需滿足以下文件要求及原則。Ø 滿足調度數據網已投運設備接入的要求；Ø 滿足生產調度各種業務安全防護的需要；Ø 滿足責任到人、分組管理、聯合防護的原則；Ø 提高信息安全管理水平，降低重要網絡應用系統所面臨的的安全風險威脅，保證信息系統安全、穩定的運行，使信息系統在等級保護測評環節基本符合國家信息安全等級保護相應級別系統的安全要求。1.3 參考依據本次網絡安全保障體系的建設，除了要滿足系統安全可靠運行的需求，還必須符合國家相關法律要求，同時基于系統業務的特點，按照分區分域進行安全控制計算機信息系

4、統安全保護等級劃分準則（GB17859-1999）。2 閥門監控系統安全防護意義目前，隨著國際形勢的日趨復雜，網絡空間已經成為繼陸、海、空和太空之后第五作戰空間，國際上已經圍繞“制網權”展開了國家級別的博弈甚至局部網絡戰爭，為了加大網絡安全的落實，國家出臺了網絡安全法進一步明確了業務主體單位或個人的法律責任，并于2017年6月1日開始正式實施。為加強閥門監控系統安全防護，抵御黑客及惡意代碼等對閥門監控系統的惡意破壞和攻擊，以及非法操作間接影響到系統的安全穩定運行。作為系統的重要組成部分，其安全與系統安全運行密切相關，積極做好閥門監控系統系統安全防護既有利于配合閥門監控系統安全防護工作的實施，確

5、保整個系統安全防護體系的完整性，也有利于為公司提供安全生產和管理的保障措施。3 安全防護總體要求系統安全防護具有系統性和動態性的特點。3.1 系統性其中以不同的通信方式和通信協議承載著安全性要求各異的多種應用。網絡采用分層分區的模式實現信息組織和管理。這些因素決定了系統的安全防護是一個系統性的工程。安全防護工作對內應做到細致全面，清晰合理；對外應積極配合上級和調度機構的安全管理要求。3.2 動態性閥門監控系統安全防護的動態性由兩方面決定。一是通信技術、計算機網絡技術的不斷發展；二是閥門監控系統系統自身內涵外延的變化。在新的病毒、惡意代碼、網絡攻擊手段層出不窮的情況下，靜止不變的安全防護策略不可

6、能滿足閥門監控系統網絡信息安全的要求，安全防護體系必須采用實時、動態、主動的防護思想。同時閥門監控系統內部也在不斷更新、擴充、結合，安全要求也相應改變。所以安全防護是一個長期的、循環的不斷完善適應的過程。如圖3-1所示P2DR模型是閥門監控系統安全防護動態性的形象表示。圖3-1 安全防護P2DR動態模型3.3 安全防護的目標及重點閥門監控系統安全防護是系統安全生產的重要組成部分，其目標是：1)抵御黑客、病毒、惡意代碼等通過各種形式對閥門監控系統發起的惡意破壞和攻擊，尤其是集團式攻擊。2)防止內部未授權用戶訪問系統或非法獲取信息以及重大違規操作。3)防護重點是通過各種技術和管理措施，對實時閉環監

7、控系統及調度數據網的安全實施保護，防止閥門監控系統癱瘓和失控，并由此導致系統故障。3.4 安全防護總體策略Ø 安全分區根據系統中業務的重要性和對一次系統的影響程度進行分區，所有系統都必須置于相應的安全區內。 Ø 網絡專用安全區邊界清晰明確，區內根據業務的重要性提出不同安全要求，制定強度不同的安全防護措施。特別強調，為保護生產控制業務應建設調度數據網，實現與其它數據網絡物理隔離，并以技術手段在專網上形成多個相互邏輯隔離的子網，保障上下級各安全區的互聯僅在相同安全區進行，避免安全區縱向交叉。Ø 綜合防護綜合防護是結合國家信息安全等級保護工作的相關要求對閥門監控系統從主

8、機、網絡設備、惡意代碼方案、應用安全控制、審計、備份等多個層面進行信息安全防護的措施。3.5 綜合安全防護要求3.5.1 安全區劃分原則閥門監控系統系統劃分為不同的安全工作區，反映了各區中業務系統的重要性的差別。不同的安全區確定了不同的安全防護要求，從而決定了不同的安全等級和防護水平。根據閥門監控系統系統的特點、目前狀況和安全要求，整個閥門監控系統分為兩個大區：監控大區和辦公大區。閥門監控業務區是指由具有實時監控功能、縱向聯接使用調度數據網的實時子網或專用通道的各業務系統構成的安全區域。控制區中的業務系統或其功能模塊（或子系統）的典型特征為：是生產的重要環節，直接實現對一次系統的實時監控，縱向

9、使用調度數據網絡或專用通道，是安全防護的重點與核心。Ø 辦公業務區辦公業務區內部在不影響閥門監控業務區安全的前提下，可以根據各企業不同安全要求劃分安全區，安全區劃分一般規定。3.6 綜合安全防護基本要求3.6.1 主機與網絡設備加固廠級信息監控系統等關鍵應用系統的主服務器，以及網絡邊界處的通用網關機、Web服務器等，應當使用安全加固的操作系統。加固方式最好采用專用軟件強化操作系統訪問控制能力以及配置安全的應用程序，其中加固軟件需采用通過國家權威部門檢測的自主品牌。非控制區的網絡設備與安全設備應當進行身份鑒別、訪問權限控制、會話控制等安全配置加固。可以應用調度數字證書，在網絡設備和安全

10、設備實現支持HTTPS的縱向安全Web服務，能夠對瀏覽器客戶端訪問進行身份認證及加密傳輸。應當對外部存儲器、打印機等外設的使用進行嚴格管理或直接封閉閑置端口。3.6.2 入侵檢測閥門監控業務區需統一部署一套網絡入侵檢測系統，應當合理設置檢測規則，檢測發現隱藏于流經網絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計。3.6.3 安全審計閥門監控業務區的監控系統應當具備安全審計功能，能夠對操作系統、數據庫、業務應用的重要操作進行記錄、分析，及時發現各種違規行為以及病毒和黑客的攻擊行為。對于遠程用戶登錄到本地系統中的操作行為，應該進行嚴格的安全審計。同時可以采用安全審計功能，對網絡運行日志、

11、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行集中收集、自動分析。3.6.4 惡意代碼、病毒防范 應當及時更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應當經過測試。禁止閥門監控業務區與辦公業務區共用一套防惡意代碼管理服務器。4 需求分析4.1 安全風險分析閥門監控系統系統面臨的主要風險優先級風險說明/舉例0旁路控制（Bypassing Controls）入侵者對發送非法控制命令，導致系統事故，甚至系統瓦解。1完整性破壞（Integrity Violation）非授權修改控制系統配置、程序、控制命令；非授權修改交易中的敏感數據。2違反授權（Authorizat

12、ion Violation）控制系統工作人員利用授權身份或設備，執行非授權的操作。3工作人員的隨意行為（Indiscretion）控制系統工作人員無意識地泄漏口令等敏感信息，或不謹慎地配置訪問控制規則等。4攔截/篡改（Intercept/Alter）攔截或篡改調度數據廣域網傳輸中的控制命令、參數設置、交易報價等敏感數據。5非法使用（Illegitimate Use）非授權使用計算機或網絡資源。6信息泄漏（Information Leakage）口令、證書等敏感信息泄密。7欺騙（Spoof）Web服務欺騙攻擊；IP 欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進入閥門監控系統。9

13、拒絕服務（Availability, e.g. Denial of Service）向調度數據網絡或通信網關發送大量雪崩數據，造成網絡或監控系統癱瘓。10竊聽（Eavesdropping, e.g. Data Confidentiality）黑客在調度數據網或專線通道上搭線竊聽明文傳輸的敏感信息，為后續攻擊做準備。4.2 安全威脅的來源辦公區等網絡不是一個孤立的系統，是和互聯網連接，提供員工上網的需求和對外信息發布的平臺，那么來自外部威脅的可能性非常大。例如應用系統遭受拒絕服務攻擊，信息泄露等。內部威脅內部人員有意或無意的違規操作給信息系統造成的損害，沒有建立健全安全管理機制使得內部人員的違規

14、操作甚至犯罪行為給信息系統造成的損害等。病毒或惡意代碼目前病毒的發展與傳播途徑之多、速度之快、危害面之廣、造成的損失之嚴重，都已達到了非常驚人的程度。也是計算機信息系統不可忽略的一個重要安全威脅源。病毒和惡意代碼主要針對操作系統、數據庫管理系統、應用系統等軟件。病毒和惡意代碼的威脅主要來自內部網絡、盤、光盤等介質。自然災害主要的自然威脅是：l 地震、水災、雷擊；l 惡劣環境，如不適宜的溫度濕度，以及塵埃、靜電；l 外電不穩定、電源設備故障等。管理層面的缺陷l 管理的脆弱性在安全管理方面的脆弱性主要表現在缺乏針對性的安全策略、安全技術規范、安全事件應急計劃，管理制度不完善，安全管理和運行維護組織

15、不健全，對規章、制度落實的檢查不夠等。l 安全組織建設風險信息系統安全體系的建設對組織保障提出了更高的要求。l 安全管理風險安全管理制度的建設還不全面，如：缺乏統一的用戶權限管理和訪問控制策略，用戶、口令、權限的管理不嚴密，系統的安全配置一般都是缺省配置，風險很大。對安全策略和制度執行狀況的定期審查制度及對安全策略和制度符合性的評估制度不夠完善。沒有根據各類信息的不同安全要求確定相應的安全級別，信息安全管理范圍不明確。缺乏有效的安全監控措施和評估檢查制度，不利于在發生安全事件后及時發現，并采取措施。缺乏完善的災難應急計劃和制度，對突發的安全事件沒有制定有效的應對措施，沒有有效的機制和手段來發現

16、和監控安全事件，沒有有效的對安全事件的處理流程和制度。l 人員管理風險人員對安全的認識相對較高，但在具體執行和落實、安全防范的技能等還有待加強。5 設計方案本方案重點描述監控系統等與業務直接相關部分的安全防護。方案實現的防護目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊，以及其它非法操作，防止閥門監控系統系統癱瘓和失控，并由此導致的一次系統事故。5.1 拓撲示意操作系統安全是計算機網絡系統安全的基礎，而服務器上的業務數據又是被攻擊的最終目標，因此，加強對關鍵服務器的安全控制，是增強系統總體安全性的核心一環。對閥門監控系統關鍵服務器實現主機加固，合理配置檢查規則。強制進行

17、權限分配，保證對系統資源（包括數據和進程）的訪問符合定義的主機安全策略，防止主機權限被濫用。整個系統方案建成后如圖：5.2 安全部署方案5.2.1 下一代防火墻（1）縱向安全在互聯處部署下一代防火墻。安全建設充分考慮到廣域網組網、運行過程中潛在的安全問題及可靠性問題，通過下一代防火墻NGAF融合安全，綜合事前、事中、時候一體化安全運營中心，組成L2-L7層立體安全防御體系，實現廣域網安全組網、廣域網流量清洗的防護效果，確保廣域網高安全和高可用。同時，通過下一代防火墻集成入侵防御、入侵檢測、WEB應用防火墻、防病毒網關功能，實現一體化安全的安全策略部署、L2-L7層的安全防護效果、高效的廣域網流

18、量清洗，可視化的流量帶寬保障、集中管理統一部署的價值，在有效解決廣域網安全問題的前提下，簡化管理運維成本，實現了最優投資回報。同時，給區域內網絡構建立體的防護體系，防止內部終端遭受各個層次的安全威脅。通過下一代防火墻虛擬補丁和病毒防護等功能，有效防御各種攻擊和內網蠕蟲病毒，防止僵尸網絡形成，保證網絡的安全穩定運行。下一代防火墻內置僵尸網絡識別庫，通過分析內網終端的異常行為（如連接惡意主機或URL）等機制準確識別被黑客控制的僵尸終端，鏟除各類攻擊的土壤。全面的威脅識別能力，對事前/事中/事后的各類威脅全面監測和防護；精準的僵尸網絡防護技術，從僵尸網絡發展的各個階段進行消除；專業的WEB安全防護能

19、力，提供了業務服務各個階段的保護；深入威脅事件關聯分析能力，有效防止APT高級持續威脅；相比傳統設備，提供更加全面的威脅識別和防護；主動發現安全隱患，改變傳統被動應對局面；可視化安全服務，讓安全可以輕松看懂；自助化安全運維，讓安全從此更簡單；內置安全運營中心，提供一站式、智能化安全運維方法。5.2.2 終端安全檢測響應系統（殺毒）終端檢測響應平臺（EDR）是深信服公司提供的一套終端安全解決方案，方案由輕量級的端點安全軟件和管理平臺軟件共同組成。EDR的管理平臺支持統一的終端資產管理、終端安全體檢、終端合規檢查，支持微隔離的訪問控制策略統一管理，支持對安全事件的一鍵隔離處置，以及熱點事件IOC的

20、全網威脅定位，歷史行為數據的溯源分析，遠程協助取證調查分析。端點軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數據信息采集上報、安全事件的一鍵處置等。深信服的EDR產品也支持與NGAF、AC、SIP產品的聯動協同響應，形成新一代的安全防護體系。終端上的安全檢測是核心的技術，傳統的病毒檢測技術使用特征匹配，使得病毒特征庫越來越大，運行所占資源也越來越多。深信服的EDR產品使用多維度輕量級的無特征檢測技術，包含AI技術的SAVE引擎、行為引擎、云查引擎、全網信譽庫等，檢測更智能、更精準，響應更快速，資源占用更低消耗。l AI技術SAVE引擎n 深信服創新研究院的博士團隊聯合EDR產品的安全專家

21、，以及安全云腦的大數據運營專家，共同打造人工智能的勒索病毒檢測引擎。通過根據安全領域專家的專業知識指導，利用深度學習訓練數千維度的算法模型，多維度的檢測技術，找出高檢出率和低誤報率的算法模型，并且使用線上海量大數據的運營分析，不斷完善算法的特征訓練，形成高效的檢測引擎。l 行為引擎n 獨特的“虛擬沙盒”技術，基于虛擬執行引擎和操作系統環境仿真技術，可以深度解析各類惡意代碼的本質特征，有效地解決加密和混淆等代碼級惡意對抗。n 根據虛擬沙盒捕獲到虛擬執行的行為，對病毒運行的惡意行為鏈進行檢測，能檢測到更多的惡意代碼本質的行為內容。l 云查引擎n 針對最新未知的文件，使用微特征的技術，進行云端查詢。

22、云端的安全云腦中心，使用大數據分析平臺，多引擎擴展的檢測技術，秒級響應未知文件的檢測結果。l 全網信譽庫在管理平臺上構建企業全網的文件信譽庫，對單臺終端上的文件檢測結果匯總到平臺，做到一臺發現威脅，全網威脅感知的效果。并且在企業網絡中的檢測重點落到對未知文件的分析上，減少對已知文件重復檢測的資源開消。深信服EDR產品能與NGAF、AC、SIP、安全云腦等進行產品進行協同聯動響應。EDR產品可與安全云腦協同響應，關聯在線數十萬臺安全設備的云反饋威脅情報數據，以及第三方合作伙伴交換的威脅情報數據，智能分析精準判斷，超越傳統的黑白名單和靜態特征庫，為已知/未知威脅檢測提供有力支持。可與防火墻NGAF

23、、SIP產品進行關聯檢測、取證、響應、溯源等防護措施，與AC產品進行合規認證審查、安全事件響應等防護措施，形成應對威脅的云管端立體化縱深防護閉環體系。5.2.3 日志審計系統綜合日志分析系統的主要功能包括如下模塊：n 采集管理：在接入各類日志和事件前，指定需要采集的目標、接入方式以及相關參數（如數據庫的各種連接參數）、選擇標準化腳本和過濾歸并策略；n 事件分析：事件分析是綜合日志分析系統的核心模塊之一，它不僅可以綜合考量各種日志之間可能存在的關系，而且能夠對日志中相關要素進行分析；最終，異常事件的分析結果將以告警的形式呈現在系統中；n 審計管理：審計管理是綜合日志分析系統的核心模塊之一，側重于

24、發現日志中相關要素是否和預定的策略相符，如時間、地點、人員、方式等。審計管理能夠方便的自定義審計人員、行為對象、審計類型、審計策略等基本配置；并能夠自定義審計策略模板，審計管理內置了大量審計策略模板，涵蓋了常見的、對企業非常實用的審計策略模板，如主機、防火墻、數據庫、薩班斯審計策略、等級保護策略模板等。對于根據審計策路所產生的審計違規結果，系統以告警的形式在實時監控模塊呈現給用戶，用戶可以對告警進行相關的處理。n 安全監控：安全監控包括告警監控和實時監控。所謂告警是指用戶特別需要關注的安全問題，這些問題來源于事件分析、審計分析的結果。所謂實時監控是指對當前接入的事件日志的逐條、實時顯示，顯示的

25、日志內容是可以根據用戶的需求進行設置過濾條件來定制的。n 安全概覽：綜合呈現當前接入系統的安全態勢，如告警概況、系統運行狀態、事件分析統計、審計分析統計等，安全概覽顯示內容可根據需要自定制。n 報表管理：系統提供豐富的報表，以滿足用戶不同的要求；n 資產管理：與普通的綜合日志分析系統不同，綜合日志分析系統提供資產管理模塊，以方便用戶對被管對象的管理；n 知識庫管理：系統提供日志發送配置（即如何對各種系統進行配置，使其產生日志）、安全事件知識、安全經驗等，對日志審計提供相應的支撐；n 系統管理：系統的自身管理，包括如用戶管理、日志管理、升級管理等功能。以上功能，經過細化以后，可以形成如下結構：1

26、) 安全管理對象：綜合日志分析系統能夠對各種安全風險進行采集和匯總，安全對象涵蓋了人員、網絡、安全設施、系統、終端、應用等。2) 采集層：采集各種設備的事件日志，標準化為統一的格式，然后進行過濾、歸并、關聯和審計，從海量日志中分析潛在的安全問題，同時進行相關數據的存儲和管理。3) 分析處理層：系統通過分析引擎，對日志進行關聯分析、審計分析和統計分析，并對異常事件告警策略進行管理。4) 業務功能層：業務功能層實現對企業信息安全業務的支撐，以及系統自身運行的管理。在此基礎上，通過分析事件與資產的相互關系，產生告警及報表等。5) 與此同時，業務功能層提供資產管理、報表管理、采集管理、事件分析和審計管

27、理，分別支撐用戶的相關業務功能。6) 綜合展現層：綜合展現層是綜合日志分析系統的展示層。該層通過個人工作臺和安全概覽，將整個系統收集、分析、管理的安全事件、告警概況等信息多維度的展現在用戶面前。采集是綜合日志分析系統的重要功能模塊，它承載了日志或事件采集標準化、過濾、歸并功能. 采集管理是系統進行分析的第一步，用戶通過指定需要采集的目標、相關采集參數（Syslog、SNMP Trap等被動方式無需指定）、相關的過濾策略和歸并策略等創建日志采集器，以收集相關設備或系統的日志.具體如下：Ø 標準化不同的系統或設備所產生的日志格式是不盡相同的，這就給分析和統計帶了巨大的麻煩，所以在綜合日志

28、分析系統中內置了眾多的標準化腳本以處理這種情形；即便對于某些特殊的設備，您沒有發現相關的解析腳本，綜合日志分析系統也提供了相應的定制方法以解決這些問題。Ø 過濾和歸并為了對接收的日志數量進行壓縮，綜合日志分析系統還提供了過濾和歸并功能；其中，過濾功能不僅僅是丟棄無用的日志，而且也可以將它們轉發到外部系統或對部分事件字段進行重新填充。Ø 事件分析綜合日志分析系統的事件分析功能是系統中的核心功能之一；其中關聯分析策略主要側重于各類日志之間可能存在的邏輯關聯關系.綜合日志分析系統不僅支持以預定義規則的方式進行事件關聯，還支持基于模式發現方式的關聯；系統不僅支持短時間內的序列關聯，

29、還支持長時間的關聯（最長可達30天）。綜合日志分析系統支持如下不同類型日志或事件：n 網絡攻擊n 有害代碼n 漏洞n 用戶訪問存取n 系統運行n 設備故障n 配置狀態n 網絡連接n 數據庫操作n 對于事件關聯分析所產生的結果將在關聯事件中呈現，如果符合關聯策略,將以告警的形式在實時監控模塊呈現給用戶，用戶可以對告警進行相關的處理。5.2.4 運維審計系統借助切實有效的技術手段，通過對運維環境中人員、設備、操作行為等諸多要素的統籌管理和策略定義，建立一個具有完備控制和審計功能的運維管理系統，為業務生產系統進一步的發展建立堅實基礎。該方案需要在技術層面完成如下建設目標：n 實現單點登錄：全部運維人

30、員集中通過運維管理系統，來管理后臺的服務器、網絡設備等資源，同時對運維人員進行統一的身份認證；n 實現統一授權：統一部署訪問控制和權限控制等策略，保證操作者對后臺資源的合法使用，同時實現對高危操作過程的事中監控和實時告警；n 快速定位問題：必須對操作人員原始的操作過程進行完整的記錄，并提供靈活的查詢搜索機制，從而在操作故障發生時，快速的定位故障的原因，還原操作的現場；n 簡化密碼管理：實現賬號密碼的集中管理，在簡化密碼管理的同時提高賬號密碼的安全性；n 兼容操作習慣：盡量不改變運維環境中已有的網絡架構、對操作者原有的操作習慣不造成任何影響；集中管理是前提：只有集中以后才能夠實現統一管理，只有集

31、中管理才能把復雜問題簡單化，分散是無法談得上管理的，集中是運維管理發展的必然趨勢，也是唯一的選擇。身份管理是基礎：身份管理解決的是維護操作者的身份問題。身份是用來識別和確認操作者的，因為所有的操作都是用戶發起的，如果我們連操作的用戶身份都無法確認，那么不管我們怎么控制，怎么審計都無法準確的定位操作責任人。所以身份管理是基礎。訪問控制是手段：操作者身份確定后，下一個問題就是他能訪問什么資源、你能在目標資源上做什么操作。如果操作者可以隨心所欲訪問任何資源、在資源上做任何操作，就等于沒了控制，所以需要通過訪問控制這種手段去限制合法操作者合法訪問資源，有效降低未授權訪問所帶來的風險。操作審計是保證：操

32、作審計要保證在出了事故以后快速定位操作者和事故原因，還原事故現場和舉證。另外一個方面操作審計做為一種驗證機制，驗證和保證集中管理，身份管理，訪問控制，權限控制策略的有效性。自動運維是目標：操作自動化是運維操作管理的終極目標，通過讓該功能，可讓堡壘機自動幫助運維人員執行各種常規操作，從而達到降低運維復雜度、提高運維效率的目的。5.2.5 安全態勢感知系統交換層旁路部署1臺潛伏威脅探針，通過網絡流量鏡像內部對用戶到業務資產、業務的訪問關系進行識別，基于捕捉到的網絡流量對內部進行初步的攻擊識別、違規行為檢測與內網異常行為識別。探針以旁路模式部署，實施簡單且完全不影響原有的網絡結構，降低了網絡單點故障

33、的發生率。此時探針獲得的是鏈路中數據的“拷貝”，主要用于監聽、檢測局域網中的數據流及用戶或服務器的網絡行為，以及實現對用戶或服務器的TCP行為的采集。在公司核心交換層旁路部署1套安全感知平臺用于全網檢測系統對各節點安全檢測探針的數據進行收集，并通過可視化的形式為用戶呈現數據中心內網關鍵業務資產的攻擊與潛在威脅。n 業務資產可視通過潛伏威脅探針可主動識別業務系統下屬的所有業務資產，將已識別的資產進行安全評估，將資產的配置信息與暴露面進行呈現。通過網絡數據包分析，對未備案的新增資產進行實時告警，發現脫離IT部門管控的違規資產。n 訪問關系可視依托于可視化技術，通過訪問關系展示用戶、業務系統、互聯網之間訪問關系，基于全網業務對象的訪問關系的圖形化展示，包括用戶對業務、業務對業務、業務與互聯網三者關系的完全展示，并提供快捷的搜索。供