1、平安态势感知与预警平台技术实施方案2.2.1.1 网络流量数据采集流量审计引擎负责对内外网的流量镜像文件进行采集、市计和还原，还原后 的流量日志会加密传输至平安大数据中心。流量审计引擎支持全协议审计，包含 网络第2层至第7层数据流量，并支持特定的协议或IP进行自定义检测以及支 持自定义IP地址、URL、域名与文件的访问监控。通过审计分析流量数据，详 细记录所有的审计数据包，可展现审计数据包的时间、客户端IP、服务端IP、 应用层协议、报文、返回码、详细信息等，这些信息通过加密通道传送至平安大 数据中心统一处理。2.2.1.2 流量沙箱分析APT沙箱主要负责对传感器还原后的文件进行沙箱检测、静态2、检测与动态 检测等多种检测，及时发现有恶意行为的文件并告警，告警日志可传给态势感知 平安运营平台供统一分析。通过沙箱对文件进行高级威胁检测，沙箱可以接收还 原自传感器的大量PE和非PE文件，使用静态检测、动态检测、沙箱检测等一 系列无签名检测方式发现传统平安设备无法发现的高级威胁，并将威胁相关情况 以报告行为提供给企业平安管理人员。沙箱上的相关告警也可发送至分析平台实 现告警的统一管理和后续的进一步分析。2.2.1.3 日志数据采集日志采集引擎负责对资产日志进行采集，包括平安设备的日志、主机服务器 的日志以及应用系统的日志采集。通过使用Syslog、SNMP Trap OPScc、FTP协 议3、日志收集，支持主动采集和被动接收等多种方式对日志进行采集。日志采集引 擎具备以下多种能力。 支持目前主流的网络平安设备、交换设备、路由设备、操作系统、应用 系统等； 支持常见的虚拟机环境日志收集，包括Xen、VMlVare、Hyper-V等 应该可以通过自定义配置将用户不关心的日志过滤掉； 支持对收集到的重复的日志进行自动的聚合归并，减少日志量； 支持将收集到的日志转发，当原始日志设备无法设置多个日志服务器时,可以通过本系统的日志转发功能将日志转发到其他日志存储设备。 设备厂家包括但不限于：Cisco（思科），Juniper,联想网御/网御神州， F5,华为，H3C,微软，绿盟，飞塔（fort4、inet）, Foundry,天融信，启 明星辰,天网，趋势，东软，Nokia, Checkpoint, Hillstone（山石）， 安恒，珠海伟思，BEA,中国电信，安氏，帕拉迪，ape, arbor, clam, 戴尔（dell）, digium,东方电子，EMC,中国电力科学研究院,Eudora, google,冠群金辰,linksys, Mcafee, netapp, NAS（美国国家平安局）, 永达，sonicwall, vigor,天存，西岭，Symantec （赛门铁克）， Hardened-PHP, foundertech（方正），三零盛安，allot,蓝盾，IBM, 金诺网5、安，网威，nortel （北电）,citrix （思杰），watchguard,中兴， 阿帕奇，WINDOWS 系统日志,Linux/UNIX syslog、ITS. Apache 等； 支持常见的虚拟机环境日志收集，包括Xen、VMWare Hyper-V等。资产、用户数据采集主要采集资产、用户信息数据，包括用户的基本信息，以及账户的基本信息 等，主要包括用户编号、人员信息、主账号名称、手机号码、账户的变动信息、 账户状态、资产基本属性等信息。通过使用数据源采集接口中的呢bService接 口采集这类标准化数据，只需提供对应的接口和网络连接方式即可完成数据的采集。数据类型采集内容采集方式采集6、接口用户信息数 据编号、人员信息、主账号、主账号类型、 主账号名、手机号码、生效时间、失效时 间、创立时间、修改时间、创立人、所属 组织、归属地区、最近登录时间、邮箱、 性别、国别、证件类别、证件号码、状态、 认证策略离线采集WebService主机资产数 据主机ID、厂商、型号、操作系统、管理IP 地址、所属业务系统、所属平安域、平安 管理员、端口、协议、普通帐号、提权方 式、超管帐号离线采集WebService数据库资产 数据主机ID、厂商、型号、操作系统、管理IP 地址、所属业务系统、所属平安域、所属 主机资产ID、平安管理员、数据库帐号、 数据库实例名、安装路径离线采集WebServi7、ce中间件资产 数据主机ID、厂商、型号、操作系统、管理IP 地址、所属业务系统、所属平安域、平安 管理员、数据库帐号、数据库实例名、安 装路径离线采集WebService网络设备资 产数据厂商、型号、操作系统、管理IP地址、所 属业务系统、所属平安域、平安管理员、 端口、协议、普通帐号、提权方式、超管 帐号离线采集WebService平安设备资 产数据厂商、型号、操作系统、管理IP地址、所 属业务系统、所属平安域、平安管理员、 端口、协议、普通帐号、提权方式、超管 帐号离线采集WebService资产端口数 据主机ID、端口值、创立时间、更新时间离线采集WebService资产系统数 据ID8、名称、版本、厂商、描述、父系统ID、 创立时间、更新时间离线采集WebService资产业务系 统数据业务系统ID、业务系统名称、父业务系统 ID、创立时间、更新时间离线采集WebService资产状态数 据资产编号、设备名称、设备IP、CPU使用 率、内存使用率、磁盘使用率实时采集WebService建立平安态势感知与预警平台总体平安态势感知大屏对现网的平安状况进行监测、感知以及预警，并采用动态可视化的技术，实 时在整体网站的被攻击情况和攻击数量的来源IP等，网络系统整体平安状态、 平安告警等功能。2.2.2.1 内网平安态势感知整体感知内网的平安威胁态势，实现内网服务器异常登录、账户异常9、访问等 平安分析场景，实现平安事件的多维度统计，从近7天平安事件态势分析，当天 内网平安事件数量、异常资产、账户态势分析，感知整体内网平安态势。攻击态势感知感知整体网络被攻击的态势平安态势，实现攻击的类型、近7日的攻击趋势 分析，当天攻击趋势分析，攻击者深度分析，感知网站被攻击的态势。2.2.2.4 异常访问行为态势感知整体网络环境的被访问的态势，实现访问终端、攻击、访问者来源地、 访问行为等维度分析，并实时对异常访问进行告警。可以为网站平安和业务运营 提供参考数据。2.2.2.5 异常流量态势感知整体网络环境的异常流量态势，包括外网攻击的异常流量和业务操作的 异常流量，并实施对异常流量行为进10、行告警。2.2.2.6 恶意操作态势整体感知网络系统中的系统、设备、中间件、数据的我恶意操作态势，并从 系统类型、资产等维度进行态势分析和可视化。2.2.2.7 资产平安态势通过大数据分析，综合分析资产或业务系统遭受攻击、恶意操作以及系统自 身的脆弱性情况。以业务系统视图呈现资产平安态势，业务系统名称、包含资 产数、被攻击次数、攻击者数量、攻击类型数、恶意操作类型、操作者数量、操 作次数等。2.228攻击者溯源攻击溯源联动分析是以攻击手法作为模型进行检测，这些攻击手法的模型源 自于攻击者历史攻击的特征的累计识别。该系统的攻击溯源，依靠多个云端引擎库和智能算法的结合、依托于互联网 大数据深度挖掘11、分析技术、联动了互联网其他平安厂商共同组成了攻击溯源体系。 支持查询攻击者历史攻击轨迹以及历史攻击特征以及攻击者信誉度、相似攻击者 等功能。222.9威胁情报管理功能通过从云端获取（在线查询、云端推送或离线拷贝至本地威胁情报库）威胁 情报，本地系统可自动创立分析规那么，对本地网络中采集的数据进行实时比比照 对，发现可疑的连接行为；可利用情报对平安事件进行溯源分析。威胁情报告警将呈现威胁情报的上下文信息（包含了 IOC、攻击组织、攻击 范围、攻击危害、攻击行业等信息），同时展现历史上所有相关的日志。安恒提 供云端威胁情况，并提供标准接口。支持如下功能：1查看各威胁库的数据量情况2查看各威胁库的数12、据量种类3查看各威胁库的更新频率4支持关联分析5威胁情报本地离线导入功能6威胁情报在线一键更新功能7 Oday漏洞防护策略包导入功能8本地网络系统资产威胁检测功能威胁预警通过态势与预警平台，关联分析多维大数据，实现发现现网系统中存在的安 全事件、平安风险点，进行实时平安威胁预警。2.2.2.10 平安态势报表用户可查看访问流量报表、平安防护报表，平安防护报表包含攻击次数态势 分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统 计、攻击事件统计、攻击威胁等级统计等。提供定期自动生成标准的周报、月报、 年报，提供word、pdf等多种格式的报表。2.2.2.11 数据检索提供支13、持原始日志搜索和标准化日志搜索。实现快速的海量日志检索。提供 以下功能：1、提供日志的搜索输入框及搜索按钮，可全文检索设备的原始日志；2、可输入关键字包括不限于设备IP、日志发生时间、原始信息；支持输入 时间段、表达式等条件；3、搜索结果于搜索框下方显示，多条内容以列表方式显示摘要，支持翻页，支持关键字高亮显不；4、所有日志均可以标准化接口形式提供；5、支持搜索结果从前端导出，以excel格式导出。2.2.2.12 系统管理系统管理功能包括平台运行情况的展示、用户权限管理、系统日志管理、数 据采集配置管理、和数据结构及字典查询。本模块提供支撑平台的基础保障能力。 提供以下管理功能： 系统运行情14、况展示系统运行情况展示用于实时观测平安威胁分析与预警平台的各组件的可用 性、性能和数据质量。 系统性能监控展示支持平安威胁分析与预警平台的服务器（包括采集器）性能使用情况监控及 展示。 数据处理情况展示支持平台的日志采集数量、日志解析数量、日志入库量、日志转化率、日志 入库率的统计展现。 用户权限管理支持灵活地配置用户权限，方便系统管理员进行管理。平安威胁分析与预警 平台应支持基于系统功能对象的角色定义，支持用户组机制。同时，为了使系统 自身的帐号口令纳入4A系统进行统一管理和审计，系统帐号口令的设置应满足 4A技术规范的要求。 系统日志管理支持记录系统运行过程中产生的登录日志、操作日志、管理15、配置日志和系统 自身告警日志等，日志格式必须满足4A系统技术规范要求。 数据采集器配置管理数据采集器配置管理包括采集器运行状态监测和采集器策略配置。包括数据 采集器属性信息、运行状态监测以及采集任务的管理等。提供高级威胁分析能力病毒木马高级持续性威胁监测通过部署高级平安设备，实现对互联网出口端的全流量数据采集和深度分析, 将分析后的数据传送至大数据平台，结合威胁情报数据进行深度关联分析，构建 机器学习模型，发现其中的攻击事件。利用网络流量分析技术，异常访问定位技 术、邮件社工分析技术、恶意文件分析技术、动态行为分析技术、云端的高级分 析和威胁情报技术来分析检测发现APT攻击，极大提高APT攻击16、检测的成功检测 率和减少误报情况。2.2.3.1 威胁变种检测通过结合公司防病毒软件、恶意文件检测系统实现，对恶意文件、恶意代码 的检查能力，定位利用文件进行攻击的攻击路径和感染的终端、系统等检测。网站运行监控通过部署网站监测引擎和引进平安公司的专业平安服务，实现7*24小时对 网站可用性监测、网站应用漏洞检测、网页木马检测、网站后门利用检测、网页 防篡改监测等能力。并实现网站各类平安风险的统计和跟踪展示。2.2.3.4 平安事件溯源结合威胁情报库，攻击路径溯源模型，可视化展示对网络威胁程度较高的攻 击者，并展示该攻击者的攻击路径，定位到平安事件的责任人。漏洞信息态势分析通过导入扫描设备的报告17、和结合平安威胁情报库数据，进行网络漏洞信息的 态势分析，分析整体网站系统的漏洞方面展示系统自身脆弱性情况。以漏洞维度、 资产、重要资产维度进行漏洞态势分析和可视化。平安事件事件管理对平安事件进行分级分类展示，方便各级信息平安管理员按照平安事件严重 程度进行分析，如果确认为需要调查处置的平安事件，转入平安处置流程。并跟 踪平安事件的处置流程。未知威胁分析结合威胁情报库数据，分析挖掘现网系统存在的风险点和Oday漏洞等，并 进行态势统计分析。现网系统平安环境评估分析通过建立大数据分析模型，跟踪现网系统的平安态势，分析平安设备对平安 事件的相应效率、系统漏洞态势、资产防护状态等多维指标，综合分析评估18、现网 系统平安环境。2知识库管理实现信息平安各种规章制度、操作指南、标准文件、典型案例等内容的维护 管理，并提供全文检索工具，方便信息平安管理员检索知识，为平安管理员处理 类型的平安事件提供有效的指导和方便平安管理人员的培训等。3工程实施方案硬件部署平安态势感知与预警平台在核心业务网的部署模式如下列图所示:木工程的硬件设备部署拓扑如下图，设备部署要求和位置如下。（1） 在互联网出口端需要1个分光器，1台DPI （流量审计设备）设备，1台APT （流量深度分析设备）设备，用于全流量数据的采 集和深度分析，对流量文件进行分析,并部署1台日志采集引擎， 用于公共区域的日志数据采集；（2） 在业务内网19、区域，部署1台日志采集引擎，用户内网区域的日志数据采集，采集后的数据汇聚在平安大数据中心，部署1台分光 器和1台DPI设备，用于内网流量的审计采集；（3） 大数据存储节点实现SDC功能和为平安态势感知与预警平台提供集中化存储数据支撑；（4） 调度服务器实现相关分析指令的下发至大数据平台并处理平台返回的结果数据进行入库；（5） WEB服务器实现态势感知相关数据的界面呈现。考虑平台的扩展和平安业务增加的需求，平台设计过程中考虑如下扩展方式。 系统采用开源的组件规划，支持硬件的动态扩展;概述31.1 高校的网络平安特点31.2 高校的网络系统风险分析51.3 设计原那么5工程总体设计81.4 工程目20、标81.4.1 实现平安大数据采集和集中化存储81.4.2 建立平安态势感知分析平台91.4.3 实现平安威胁预警平台91.5 功能设计91.5.1 建立平安大数据中心91.5.2 建立平安态势感知与预警平台121.5.3 提供高级威胁分析能力16工程实施方案191.6 硬件部署191.7 平台硬件需求201.8 软件组成201.9 平台功能21 平安态势感知与预警平台采用模块化思想设计，支持分析功能和模型的模块化扩展。1.10 平台硬件需求系统核心硬件设备包括专用设备和通用服务器两局部，具体内容见下表。表 中给出的设备数量为最小配置，具体工程中实际需要的设备数量要根据数据量的 大小及分析响应21、时延要求来确定。设备名称功能用途操作系统应用软件定制程序最小数量日志采集设备主机、平安设备、 中间件等R志的 采集CentOS6.5Mysql, java口志采集引擎SOC1流量审计设备全流量数据的审 计分析和采集CentOS6.5Mysql, C/C+全流量审计引擎DPI1数据存储服务器统计数据的存储CentOS6.5Hbase4分析计算服务器大数据实时分析 和离线分析引擎CentOS6.5Elasticsearch,Airflow,Storm, Kafka大数据实时 分析和离线 分析引擎4可视呈现服务器数据可视化服务器CentOS6.5Mysql, java, redis大数据智能 平安分22、析平 台1软件组成软件名称功能用途版本号运行环境备注Hadoop大数据基础平台CentOS6.5必选Hbase统计数据的存储CentOS6.5必选Elasticsearch离线分析引擎CentOS6.5必选AirflowETL1CentOS6.5可选Storm大数据实时分析CentOS6.5必选Java相关开发语言CentOS6.5必选Kafka分布式消息系统CentOS6.5必选Mysql关系型数据库服务5.1CentOS6.5可选redis非关系型数据库服务CentOS6.5可选C/C+全流量审计引擎开发语言C+11CentOS6.5必选Spark离线模型运行环境CentOS6.5必选1.23、11 平台功能功能模块定制内容1.系统管理1.1角色管理。实现系统管理员、平安管理员等不同岗位角色的添加、修改 及其权限管理。1.2用户管理。实现各级用户的新增、修改、停用、密码重置等功能，并设 置用户角色权限。1.3报表管理。实现丰富的内置报表、自定义报表的设计，制定报表生成计 划，快速生成月报、季报、年报等各类分析报表。1.4接口管理。系统运行状态数据输出到监控平台，采集引擎的状态监控。2.大屏展示2.1全网平安态势感知感知、平安事件发现、溯源、取证、处置大屏；2. 2平安事件多维度统计态势分析大屏3.平安分析3.1行为审计。对重要信息系统及其运行环境相关日志数据进行关联分析， 根据访问者24、（用户、终端等）行为表达的时间、空间、访问内容、访问轨迹、 访问者自身属性等特征维度进行建模，形成访问者行为画像，直观展现访问 者操作行为特征，并进行行为审计。3.2业务分析。根据重要信息系统用户登陆、业务操作、系统管理、接口访 问等行为日志进行建模，及时发现违规业务、窃取信息资源等行为。3.3高级威胁分析。病毒木马高级威胁监测分析、网站状态监测、网页防篡 改、钓鱼网站与舆情监测。3.4平安事件溯源。定制平安事件溯源模型，结合威胁情报库，对平安事件 进行溯源、取证。3.5平安事件处置跟踪。全生命周期跟踪平安事件，在相关平安管理员完成 调查处置后填报处置结果，并支持在平安设备上以下发规那么等方式25、进行自动 化联动处置。3.6态势分析。重要信息系统的网络整体运行状态、总体平安状况，进行整 体态势进行展示和呈现，及时发现可能潜在的平安威胁。3. 7结合威胁情报数据，联动分析平安事件，发现剩余未知风险和系统平安环 境评估。3.8平安预警。实现对根据平安分析场景（网络攻击、越权访问、可疑入侵 等）平安事件进行实时报警。4.平安事件告警4.1平安事件告警。根据定制开发的40各平安分析场景，进行平安事件告警。4.2 平安事件聚合。支持根据平安设备/日志源/攻击类型等维度进行平安事 件聚合。4.3 平安事件溯源。支持根据平安事件告警内容钻取平安事件的明细。5.数据检索5. 1原始日志检索5. 2平安26、事件检索。支持对平安分析场景分析出的平安事件进行检索，支持用 户自定义检索规那么，并支持检索结果导出。6.数据报表提供丰富的内置报表、自定义报表的设计，制定报表生成计划，快速生成月 报、季报、年报等各类分析报表，支持用户查看和导出7.资产管理7. 1.对采集到的资产数据进行管理和拓扑，并统计分析资产的漏洞情况7. 2.支持WEB站点资源的导入和维护8.威胁情报8.1支持威胁情报的本地导入和一键在线升级8. 2支持威胁情报检索8. 3支持网络系统资源威胁情况查询9.知识库管理支持对知识库的查询、检索、添加和删除操作。1概述目前，全国各高校教育信息化建设如火如荼，学校内部、学校间的联网也越 来越紧27、密。学校已经完全从象牙塔时代过渡到了和信息时代紧密结合的时期。校 园网络平安建设是一个系统工程，它包含防火墙、入侵防御检测、防病毒、网络 行为审计、漏洞扫描、灾难备份、平安集中管理等一系列平安措施。学校信息系统的平安保障体系可以分为三个层次：一是基本平安环节，这些 平安环节是很多系统平台本身就提供的，如操作系统或者数据库；其次是对基 本平安要素的增强环节，利用这些增强环节能够对系统起到更可靠的保护作用； 再其次是扩充的平安机制，提供对学校信息安保系统现有安保设备的统一管理、 大数据宏观融合分析诊断整体安保态势。在我国，近几年随着网络技术的开展，互联网应用的普及和丰富，互联网安 全的问题也日益严28、重，利用信息技术进行的高科技犯罪事件呈现增长态势。中国 政法大学危机管理研究中心研究说明，我们高校网络平安事件至少发生39起，黑 客入侵有25例，其中主要集中在黑客入侵网站，篡改网页内容，骗取钱财，篡改 学生成绩，获得非法钱财等。教育行业的数据因其精准性，数据价值高，安保设 备策略老旧以及校园网内的计算机系统管理比拟复杂等原因，易发生黑客入侵盗 取敏感数据进行售卖等。1.1高校的网络平安特点高等教育和科研机构是互联网诞生的摇篮，也是最早的应用环境。各国的高 等教育都是最早建设和应用互联网技术的行业之一，中国的高校校园网一般都最 先应用最先进的网络技术，网络应用普及，用户群密集而且活跃。然而校园29、网由 于自身的特点也是平安问题比拟突出的地方，平安管理也更为复杂、困难。与政 府或网相比，高校校园网的以下特点导致平安管理非常复杂：1 .校园网中的计算机系统管理非常复杂校园网中的计算机系统的购置和管理情况非常复杂，比方学生宿舍中的电脑 一般是学生自己花钱购买、自己维护的。有的院系是统一采购、有技术人员负责 维护的，有些院系那么是教师自主购买、没有专人维护的。这种情况下要求所有的 端系统实施统一的平安政策（比方安装防病毒软件、设置可靠的口令）是非常困 难的。由于没有统一的资产管理和设备管理，出现平安问题后通常无法分清责任。 比拟典型的现象是，用户的计算机接入校园网后感染病毒，反过来这台感染病毒30、 的计算机又影响了校园网的运行，于是出现端系统用户和网络管理员相互指责的 现象。更有些计算机甚至服务器系统建设完毕之后无人管理，甚至被攻击者攻破 作为攻击的跳板、变成攻击试验床也无人觉察。2 .开放的网络环境由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽 松的。比方，网可以限制允许Web浏览和电子邮件的流量，甚至限制外部发起的 连接不允许进入防火墙，但是在校园网环境下通常是行不通的，至少在校园网的 主干不能实施过多的限制，否那么一些新的应用、新的技术很难在校园网内部实施。3 .有限的投入校园网的建设和管理通常都轻视了网络平安，特别是管理和维护人员方面的 投入明显缺乏。在中国31、大多数的校园网中，通常只有网络中心的少数工作人员， 他们只能维护网络的正常运行，无暇顾及、也没有条件管理和维护数万台计算机 的平安，院、系一级的专职的计算机系统管理员对计算机系统的平安是非常重要 的。4 .盗版资源泛滥由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的 传播一方面占用了大量的网络带宽，另一方面也给网络平安带来了一一定的隐患。 比方，Microsoft公司对盗版的操作系统的更新作了限制，盗版安装的计算机系统 今后会留下大量的平安漏洞。另一方面，从网络上随意下载的软件中可能隐藏木 马、后门等恶意代码，许多系统因此被攻击者侵入和利用。1.2 高校的网络系统风险分析以上32、各种原因导致校园网既是大量攻击的发源地，也是攻击者最容易攻破的 目标。因此导致当前校园网常见的风险如下：1 .普遍存在的计算机系统的漏洞，对信息平安、系统的使用、网络的运行 构成严重的威胁，影响用户的使用、信息平安、网络运行，据经济参 考报5月的一遍报告称，从2014年4月至2015年3月，1088个大学的网 站中存在3495个平安漏洞已被发现，其中，75%的网站都面临着很高的 被攻击风险；.外来的系统入侵、攻击等恶意破坏行为，有些计算机已经被攻破，用作 DOS/DDOS攻击的工具；拒绝服务攻击目前越来越普遍，不少开始针对 重点高校的网站和服务器，这些行为给校园网造成了不良的影响，损害 了学校33、的声誉；2 .攻击手段隐蔽多样化，攻击者伪装技术日益成熟，难以确定攻击者的身 份，做出因对方针；3 .现有的安保设备普遍策略老旧，无法满足现有的新型攻击的安保需求。1.3 设计原那么参考国家信息化领导小组关于加强信息平安保障工作的意见和“平安态 势可视化”的思想，本方案平安体系建设的原那么如下：加强信息平安保障工作的总体要求是：坚持主动防护、综合平安态势感知的 方针，全面提高信息平安防护能力，重点保障基础信息网络和重要信息系统平安, 创立平安健康的网络环境，保障业务系统的稳定运行，提高高校网络安保能力。 本方案重点把握以下几方面的原那么：1 .坚持主动防护的原那么要特别重视攻击者源头分析，通过34、对平安事件深度溯源分析、攻击者渗透分 析，预先感知高危的1P和系统的威胁风险点，将被动防御转变为主动防护。2 .综合平安态势感知的原那么要特别重视制定好平安防范整体方案，从系统整体和全局的角度考虑；要结 合实际，针对每一种平安威胁、平安风险和每一个具体环节，坚持分析过去的安 全环境、当前的平安现状，综合感知未来的平安风险点。3 .管理与技术并重的原那么在信息平安保障体系的建设中，管理是根本，技术是手段。管理以技术为基 础，技术以管理做保障，本方案通过对平安态势的可视化，为平安维护人员提供 高价值的辅助决策。4 .平安与投入相平衡的原那么安保能力的提升不可防止地要占用系统资源，加大系统应用开发的35、本钱。因 此，平安系统的建设应当全面考虑不同高校现有的软硬件设施，权衡利弊，在服 务、平安和本钱之间找到一个最正确平衡点。一方面要认识到平安是相对的，花多 大代价都不可能绝对消除系统的平安隐患，系统的平安建设需要一个不断认识、 不断更新和不断完善的过程；另一方面也要明确，尽管平安是相对的，但是还是 应当立足当前实际，采用最正确的技术防范策略和经济有效的防范措施，想方设法 地提高系统的平安保密强度。5 .统一规划与分布实施的原那么统一规划就是要从整体考虑、统一要求、统筹安排，强调整体性、完整性和 一致性。规划的实施要根据应用实际，可以有计划地分阶段进行，也就是分步实 施，在不同阶段均有里程碑式交36、付物。在系统建设进程中，在不断完善对系统安 全认识的基础上，逐步采用先进技术与管理措施，不断强化平安保障体系。平安 建设是一项长期、复杂而艰巨的任务，而且平安本身也是一个不断变化的过程, 在平安建设中没有一劳永逸。因此需要在统一规划的基础上，采取分阶段实施的 方式来逐步建设平安体系，并且建立威胁情报，以便及时了解最新的国内外平安 威胁事件。2工程总体设计平安态势感知与预警平台通过建立平安大数据中心，实现网平安类、管理类、 流量数据以及资产、用户的基本数据的采集、标准化和集中化存储，并在平安大 数据中心的基础上建立平安态势感知与预警平台（以下简称态势与预警平台）， 实现全网的平安要素分析、平安威37、胁事件联动分析、异常行为快速发现的能力以 及实现整体网络的平安态势可视化能力和整体校园网络环境安保能力综合评估。2.1 工程目标实现平安大数据采集和集中化存储重点实现整体网络平安态势感知，建立平安态势感知与预警平台，网络环境 平安类、管理类、流量数据以及资产、用户的基本数据的采集。数据采集层实现 全流量审计引擎、日志采集引擎和资产、用户数据的采集接口。其中全流量审计 引擎实现内网和互联网的镜像流量审计和采集，日志采集引擎实现主机、服务器 以及平安设备的日志采集，资产、用户数据的采集接口实现网络资产和用户的数 据的采集，并支持离线数据的导入功能，最终将采集到的数据上传至态势与预警 平台，经过统一38、的ETL （清洗、转换和标准化）处理之后存入平安大数据中心。 支持采集的数据类型。序号数据类型采集引擎采集方式1流量数据全流量审计引擎实时镜像采集2主机、服务器、平安设备日志日志采集引擎协议采集3DNS日志日志采集引擎协议采集4操作系统进程数据日志采集引擎协议采集5邮件日志、证书相关数据日志采集引擎接口采集6资产、用户数据采集接口接口采集7扫描报告采集接口离线导入和协议发送建立平安大数据中心，并实现对采集引擎的状态监控和采集数据的审核、标 准化、管理补齐、数据标签和集中式存储。采用分布式部署和考虑容灾备份，保 障平安数据中心的存储空间和高可用性，并提高其他应用系统的数据接口，实现 数据的共享能39、力。2.1.1 建立平安态势感知分析平台重点实现建立态势与预警平台，实现对平安数据中心内存储的数据的分析应 用，实现多维大数据关联分析，实现全网的平安要素分析。、异常行为快速发现的 能力以及实现整体网络的平安态势可视化能力，并累计本地威胁情报。实现扩充本地威胁情报，将恶意文件、高级持续攻击者的IP、平安专业服 务提供的检测数据以及态势与预警平台发现的平安事件等数据，扩充至本地威胁 情报，并实现与态势与预警平台联动分析，实现网络平安事件的自动发现和整体 网络平安环境的评估能力。2.1.2 实现平安威胁预警平台重点工作在于平安事件的全生命周期跟踪处理，实现平安事件溯源并累计安 全事件的特征，合并分析之后扩充至本地威胁情报库，实现未知平安威胁的发现, 实现整体网络平安风险点预警。从真正意义上实现将传统的平安防护转变为具有 智能自学习能力的大数据自动平安分析、预警与溯源一体化的整体网络平安运营 平台。2.2 功能设计建立平安大数据中心通过建立平安大数据中心，实现网络环境平安类、管理类、流量数据以及资 产、用户的基本数据的采集、ETL和集中存储。