一、建設意義

1、網絡東西向威脅全方位管控

　　采用自主原創(chuàng)的大數(shù)據(jù)及人工智能技術，對核心層、匯聚層、甚至接入層的全端口流量進行全方位的分析及管控，解決了東西向（數(shù)據(jù)中心內部）管控問題。

2、新型攻擊行為全天候管控

　　擺脫了傳統(tǒng)網絡安全產品對包特征的依賴，從通信規(guī)律而不是數(shù)據(jù)特征的層面來檢測網絡中存在的風險，以應對分布式協(xié)同攻擊、自動化攻擊、低頻慢速攻擊等新型攻擊。

3、威脅事件指數(shù)化分級管理

　　按照威脅類別、攻擊頻率、影響范圍等對威脅源頭進行多維度的威脅指數(shù)綜合評分，并進一步按照威脅指數(shù)的高低判斷事件的輕重緩急，對威脅資產進行有序處置。

4、威脅事件一站式溯源

威脅事件檢測不依賴各類不同的安全設備，對平臺發(fā)現(xiàn)的所有安全事件均可在一個平臺上實現(xiàn)逐級溯源取證。

5、網絡應用精細化管理

　　威脅管控精細到應用+端口級，對各應用的合理性、合規(guī)性一目了然，對第三方平臺或自研程序違規(guī)外聯(lián)、越權掃描、隱蔽后臺服務等行為，均能一一發(fā)現(xiàn)。

6、兼容主流虛擬化平臺

? 兼容主流虛擬平臺，涵蓋了幾乎所有的可管理交換機以及虛擬化場景，無縫兼容VMware等主流虛擬化平臺。

二、建設主要任務

　　1、可以一站式管控全網的網絡威脅情況，無需與其它安全設備進行對接。這不僅提高了效率，而且減少了不必要的麻煩。此外，該平臺還可以對各種網絡威脅進行全面分析，幫助企業(yè)及時發(fā)現(xiàn)并解決潛在的安全隱患。

　　2、當平臺發(fā)現(xiàn)網絡威脅時，結合威脅等級的高低進行有序的處置。對于不同威脅等級，需要采取不同的處置策略，確保問題的輕重緩急得到有效處理。對于高威脅等級的問題，需要立即采取行動，阻止威脅的進一步傳播和擴散。同時，也需要加強對用戶系統(tǒng)的監(jiān)控和保護，防止類似威脅再次發(fā)生。對于低威脅等級的問題，可以采取較為緩和的處置措施，例如定期檢查和修復漏洞、加強系統(tǒng)安全等。通過有序的處置，可以有效地保護平臺的安全和穩(wěn)定，確保用戶的利益得到最大程度的保障。

　　3、平臺發(fā)現(xiàn)的所有問題，均可通過點擊問題詳情，直接進入問題發(fā)生的源頭進行查看，大大簡化了問題的溯源過程。不再需要跨平臺逐級溯源，省去了許多繁瑣的步驟。用戶只需在平臺上一鍵操作，即可輕松追溯問題的根本原因。這種高效的溯源方式，不僅提高了解決問題的效率，也讓用戶更加方便快捷地獲得問題的答案。

　　4、該平臺不再只是局限于提供網絡安全產品，其功能豐富多樣，除了基本的網絡安全管控、網絡脆弱性端口管控之外，還涵蓋了流量監(jiān)控及分析、網絡應用監(jiān)控及分析、網絡零信任管控等諸多功能。這些功能使得該平臺能夠更好地應對現(xiàn)代網絡環(huán)境中的各種挑戰(zhàn)，為用戶提供更加全面、高效的網絡管理解決方案。

　　5、隨著網絡技術的飛速發(fā)展，傳統(tǒng)的網絡邊界已經逐漸消失，這使得對網絡威脅的管控變得更加困難。然而，通過采用全新的全方位立體式管控方法，我們可以實現(xiàn)對網絡威脅的有效管理。這種管控方式不再需要界定網絡邊界，而是通過東西向和南北向的雙向管控，實現(xiàn)對網絡中各種威脅的全面監(jiān)測和應對。這種全方位立體式管控方式具有更高的靈活性和適應性，可以更好地應對不斷變化的網絡威脅。

　　6、我們不再需要依賴傳統(tǒng)的威脅特征庫來進行分析，而是從通信規(guī)律層面出發(fā)，進行深入的威脅分析。這種方法能夠準確識別任何新型網絡攻擊行為，讓它們無處遁形。我們通過獨立研發(fā)的算法，對網絡流量進行深度分析，挖掘出隱藏在其中的各種威脅。這種創(chuàng)新性的方法，讓我們能夠更好地保障網絡安全，為客戶帶來更加穩(wěn)定、可靠的網絡環(huán)境。

三、產品主要內容

　　該管控平臺實現(xiàn)了從流量到應用服務到威脅到脆弱性立體式、全方位的管控，可一站式地對惡意IP進行溯源定位，對IP等攻擊源頭進行阻斷。通過我們自研的API系統(tǒng)，可與防火墻/交換機等進行聯(lián)動處置，還能為第三方提供威脅情報服務。

1、威脅監(jiān)控及分析

　　從攻擊視角、防御視角等多種視角，對網絡內外部的攻擊源頭、威脅目標、脆弱性端口等按照威脅等級的高低進行分析、監(jiān)控、預警及溯源。其中攻擊視角指以攻擊源IP為分析對象，對攻擊鏈展開分析；防御視角指以受攻擊目標IP為分析對象，對攻擊鏈展開分析。

　　1）可發(fā)現(xiàn)新型的、分布式的攻擊行為（目前此類自動化攻擊的占比越來越高），滿足等保2.0相關條款的要求；

　　2）對威脅源/目標IP 而不是孤立的事件進行威脅指數(shù)評分，有助于按照威脅嚴重程度有序地處置相關問題；

　　3）攻擊視角可從攻擊者的角度發(fā)現(xiàn)威脅源頭，有助于從源頭控制威脅，而不僅僅是被動地對孤立的威脅事件進行防御；

　　4）對所有威脅事件均可溯源，可作為問題分析、安全策略調整、事件立案以及數(shù)據(jù)二次分析統(tǒng)計的依據(jù)。

2、脆弱性監(jiān)控及分析

　　對上下行網絡流量進行實時監(jiān)控，動態(tài)掌控全網與脆弱性端口情況。

　　1）實時監(jiān)控全局網絡中端口及服務的風險情況，動態(tài)掌控全網的脆弱性端口情況。

　　2）脆弱性端口監(jiān)控：通過對流量數(shù)據(jù)進行分析，即可發(fā)現(xiàn)所有數(shù)字資產通過脆弱性端口與其它目標進行交互的行為，決了傳統(tǒng)端口掃描工具存在的實時性不高、工作量大等問題；

　　3）可對與脆弱性端口的交互流量進行溯源。

3、網絡應用服務分析

　　可對全網的上下行網絡應用情況，按照流量、數(shù)據(jù)包數(shù)、關聯(lián)IP數(shù)等維度進行分析及統(tǒng)計，并可對相應的數(shù)據(jù)進行下鉆分析。

　　1）可精確定位全網中網絡資源利用率靠前的應用，有助于對網絡結構進行優(yōu)化、對網絡資源占用異常的應用進行排查并提出相應的優(yōu)化、整改建議及要求；

　　2）發(fā)現(xiàn)網絡中不規(guī)范、不合理的應用服務，有助于對相關風險進行整改。

4、流量監(jiān)控與分析

　　可對全網的網絡流量，按照網段、IP等視角，根據(jù)上下行BPS/PPS等維度，進行分析、統(tǒng)計及趨勢預測；可精確定位網絡資源占用最高的網段、IP以及業(yè)務所發(fā)生的時點；可對任意IP、任意時點的流量情況進行分析及溯源。

　　1）可對網絡資源需求趨勢進行精確分析及預測，對網絡的擴展及優(yōu)化有據(jù)可依，滿足等保2.0需求；

　　2）可按需設定全網網絡通訊日志的保存時限，滿足網絡安全法的要求；

　　3）遇到網絡流量異常時，可對故障源頭及數(shù)據(jù)特征進行下鉆分析，無須進行事前抓包、擺脫功能繁雜的抓包分析工具。

5、零信任態(tài)勢管控

　　對IT資產訪問、應用服務訪問、業(yè)務訪問等，進行一站式管控；對合法及越權訪問行為進行多維度的分析、展現(xiàn)及溯源；通過多級信任級別機制，而非簡單的黑白名單機制，實現(xiàn)對業(yè)務授權及數(shù)據(jù)權限的靈活控制；零信任相關功能與流量分析、溯源等相關功能，無縫銜接。

　　1）對IT資產訪問、應用服務訪問、業(yè)務訪問等，進行一站式管控；

　　2）對合法及越權訪問行為進行多維度的分析、展現(xiàn)及溯源；

　　3）通過多級信任級別機制，而非簡單的黑白名單機制，實現(xiàn)對業(yè)務授權及數(shù)據(jù)權限的靈活控制；

　　4）零信任相關功能與流量分析、溯源等相關功能，無縫銜接。

6、威脅態(tài)勢與趨勢分析

　　提供威脅態(tài)勢與趨勢分析，從全局的角度準確把控網絡安全最核心、重大、突出的問題，幫助監(jiān)管單位或部門快速合理決策。

7、威脅管理與處置

　　目前已實現(xiàn)以下兩種IP阻斷功能：

　　通過自研的API接口，可與交換機、防火墻進行聯(lián)動處置；

　　通過BGP協(xié)議，對威脅IP實現(xiàn)快速阻斷。