一、建设意义

1、网络东西向威胁全方位管控

　　采用自主原创的大数据及人工智能技术，对核心层、汇聚层、甚至接入层的全端口流量进行全方位的分析及管控，解决了东西向（数据中心内部）管控问题。

2、新型攻击行为全天候管控

　　摆脱了传统网络安全产品对包特征的依赖，从通信规律而不是数据特征的层面来检测网络中存在的风险，以应对分布式协同攻击、自动化攻击、低频慢速攻击等新型攻击。

3、威胁事件指数化分级管理

　　按照威胁类别、攻击频率、影响范围等对威胁源头进行多维度的威胁指数综合评分，并进一步按照威胁指数的高低判断事件的轻重缓急，对威胁资产进行有序处置。

4、威胁事件一站式溯源

威胁事件检测不依赖各类不同的安全设备，对平台发现的所有安全事件均可在一个平台上实现逐级溯源取证。

5、网络应用精细化管理

　　威胁管控精细到应用+端口级，对各应用的合理性、合规性一目了然，对第三方平台或自研程序违规外联、越权扫描、隐蔽后台服务等行为，均能一一发现。

6、兼容主流虚拟化平台

  兼容主流虚拟平台，涵盖了几乎所有的可管理交换机以及虚拟化场景，无缝兼容VMware等主流虚拟化平台。

二、建设主要任务

　　1、可以一站式管控全网的网络威胁情况，无需与其它安全设备进行对接。这不仅提高了效率，而且减少了不必要的麻烦。此外，该平台还可以对各种网络威胁进行全面分析，帮助企业及时发现并解决潜在的安全隐患。

　　2、当平台发现网络威胁时，结合威胁等级的高低进行有序的处置。对于不同威胁等级，需要采取不同的处置策略，确保问题的轻重缓急得到有效处理。对于高威胁等级的问题，需要立即采取行动，阻止威胁的进一步传播和扩散。同时，也需要加强对用户系统的监控和保护，防止类似威胁再次发生。对于低威胁等级的问题，可以采取较为缓和的处置措施，例如定期检查和修复漏洞、加强系统安全等。通过有序的处置，可以有效地保护平台的安全和稳定，确保用户的利益得到最大程度的保障。

　　3、平台发现的所有问题，均可通过点击问题详情，直接进入问题发生的源头进行查看，大大简化了问题的溯源过程。不再需要跨平台逐级溯源，省去了许多繁琐的步骤。用户只需在平台上一键操作，即可轻松追溯问题的根本原因。这种高效的溯源方式，不仅提高了解决问题的效率，也让用户更加方便快捷地获得问题的答案。

　　4、该平台不再只是局限于提供网络安全产品，其功能丰富多样，除了基本的网络安全管控、网络脆弱性端口管控之外，还涵盖了流量监控及分析、网络应用监控及分析、网络零信任管控等诸多功能。这些功能使得该平台能够更好地应对现代网络环境中的各种挑战，为用户提供更加全面、高效的网络管理解决方案。

　　5、随着网络技术的飞速发展，传统的网络边界已经逐渐消失，这使得对网络威胁的管控变得更加困难。然而，通过采用全新的全方位立体式管控方法，我们可以实现对网络威胁的有效管理。这种管控方式不再需要界定网络边界，而是通过东西向和南北向的双向管控，实现对网络中各种威胁的全面监测和应对。这种全方位立体式管控方式具有更高的灵活性和适应性，可以更好地应对不断变化的网络威胁。

　　6、我们不再需要依赖传统的威胁特征库来进行分析，而是从通信规律层面出发，进行深入的威胁分析。这种方法能够准确识别任何新型网络攻击行为，让它们无处遁形。我们通过独立研发的算法，对网络流量进行深度分析，挖掘出隐藏在其中的各种威胁。这种创新性的方法，让我们能够更好地保障网络安全，为客户带来更加稳定、可靠的网络环境。

三、产品主要内容

　　该管控平台实现了从流量到应用服务到威胁到脆弱性立体式、全方位的管控，可一站式地对恶意IP进行溯源定位，对IP等攻击源头进行阻断。通过我们自研的API系统，可与防火墙/交换机等进行联动处置，还能为第三方提供威胁情报服务。

1、威胁监控及分析

　　从攻击视角、防御视角等多种视角，对网络内外部的攻击源头、威胁目标、脆弱性端口等按照威胁等级的高低进行分析、监控、预警及溯源。其中攻击视角指以攻击源IP为分析对象，对攻击链展开分析；防御视角指以受攻击目标IP为分析对象，对攻击链展开分析。

　　1）可发现新型的、分布式的攻击行为（目前此类自动化攻击的占比越来越高），满足等保2.0相关条款的要求；

　　2）对威胁源/目标IP 而不是孤立的事件进行威胁指数评分，有助于按照威胁严重程度有序地处置相关问题；

　　3）攻击视角可从攻击者的角度发现威胁源头，有助于从源头控制威胁，而不仅仅是被动地对孤立的威胁事件进行防御；

　　4）对所有威胁事件均可溯源，可作为问题分析、安全策略调整、事件立案以及数据二次分析统计的依据。

2、脆弱性监控及分析

　　对上下行网络流量进行实时监控，动态掌控全网与脆弱性端口情况。

　　1）实时监控全局网络中端口及服务的风险情况，动态掌控全网的脆弱性端口情况。

　　2）脆弱性端口监控：通过对流量数据进行分析，即可发现所有数字资产通过脆弱性端口与其它目标进行交互的行为，决了传统端口扫描工具存在的实时性不高、工作量大等问题；

　　3）可对与脆弱性端口的交互流量进行溯源。

3、网络应用服务分析

　　可对全网的上下行网络应用情况，按照流量、数据包数、关联IP数等维度进行分析及统计，并可对相应的数据进行下钻分析。

　　1）可精确定位全网中网络资源利用率靠前的应用，有助于对网络结构进行优化、对网络资源占用异常的应用进行排查并提出相应的优化、整改建议及要求；

　　2）发现网络中不规范、不合理的应用服务，有助于对相关风险进行整改。

4、流量监控与分析

　　可对全网的网络流量，按照网段、IP等视角，根据上下行BPS/PPS等维度，进行分析、统计及趋势预测；可精确定位网络资源占用最高的网段、IP以及业务所发生的时点；可对任意IP、任意时点的流量情况进行分析及溯源。

　　1）可对网络资源需求趋势进行精确分析及预测，对网络的扩展及优化有据可依，满足等保2.0需求；

　　2）可按需设定全网网络通讯日志的保存时限，满足网络安全法的要求；

　　3）遇到网络流量异常时，可对故障源头及数据特征进行下钻分析，无须进行事前抓包、摆脱功能繁杂的抓包分析工具。

5、零信任态势管控

　　对IT资产访问、应用服务访问、业务访问等，进行一站式管控；对合法及越权访问行为进行多维度的分析、展现及溯源；通过多级信任级别机制，而非简单的黑白名单机制，实现对业务授权及数据权限的灵活控制；零信任相关功能与流量分析、溯源等相关功能，无缝衔接。

　　1）对IT资产访问、应用服务访问、业务访问等，进行一站式管控；

　　2）对合法及越权访问行为进行多维度的分析、展现及溯源；

　　3）通过多级信任级别机制，而非简单的黑白名单机制，实现对业务授权及数据权限的灵活控制；

　　4）零信任相关功能与流量分析、溯源等相关功能，无缝衔接。

6、威胁态势与趋势分析

　　提供威胁态势与趋势分析，从全局的角度准确把控网络安全最核心、重大、突出的问题，帮助监管单位或部门快速合理决策。

7、威胁管理与处置

　　目前已实现以下两种IP阻断功能：

　　通过自研的API接口，可与交换机、防火墙进行联动处置；

　　通过BGP协议，对威胁IP实现快速阻断。