集团公司网络安全监测与管控系统方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
重点客户和路由器报表推送
采集路由器BPS,PPS, FPS信息,并分析路由器的流量组成, 形成报表。
并根据用户的配置,对目标用户进行数据推送。 推送可以配置时间段,推送频率 根据路由器信息建立历史流量报表,并使用动态基线异常监 测报警功能对流量进行监测和异常报警。
重点客户和路由器报表推送
通过504内网根据用户关注的重点IP和IP段,配置成为重点客户 监测对象。 通过504内网的配置页面配置推送的目标用户信息,需要推送的报表 内容,时间段信息,推送频度等。 推送的数据包含数据内容和图片格式的统计结果信息。
• 通过汇总、分析上述数据,利用第三方的网站云检查能力,掌握全省 范围内的网站类安全事件态势。
(3)网站数据爬取主动监测功能
• 复用舆情系统中网站爬虫所获取到的页面数据,借助数据中心的大数 据分析能力,通过特征比对的方式,发现网站漏洞、被篡改、被挂马 等网络安全事件
(4)离线日志数据分析
• 针对重保网站,借助数据中心的大数据分析能力,对其海量用户访问 日志进行大数据分析,发现其中的网络攻击行为。
●门户层:实现网络信息安全管理平台的监测任务管理、 安全事件统一展现、安全预警推送、接口管理、系统运 维管理等功能。
●引擎层:实现网络信息பைடு நூலகம்全监控相关的业务逻辑
●网站安全监测子系统:重保网站监测、安全事件云监测、网页 数据的安全分析以及网站访问日志的安全分析
●异常流量监测子系统:异常流量事件监测、客户数据自动推送 以及路由器流量矫正功能
集团公司网络安全监测与管控系统方案
2018-11
平台总体架构
●采集层:多系统多部门共享数据及互联网管理部门共享数据, 实现信安、网安各类数据的统一获取和有效整合。
●存储层:对各数据源数据进行关联分析和综合运用,支撑数 据分析和业务管控需要
●应用层:通过标准的统一接口,进行数据的共享、指令的下 发及管理
网络架构
国家中心
各分中心
整体网络分为504内网以 及对外服务平台所在的公 网。
内网系统依托于流监测系 统的三级的分布式架构上, 分为国家中心,分中心与 采集层。
内网与外网使用跨网数据 交互系统进行数据传输。
外部公网
客户系统
跨网数据交互 504系统内部
国控 数据中心
监控数据
江苏分中心
DDOS定位 任务下发
硬件设备报价
序号 名称
型号和规格
制造商/型号 分项价
防火墙 1
支持并发连接数1600000,网络吞吐量2Gbps,网络端口4 天 融 信 GFW4000个10/100/1000BASE-T接口和4个SFP插槽,支持VPN
UF
本期系统架构
●基础: 统一系统资源平台 ●提升2项监测能力
●即网站安全事件的监测能 ●流量异常监测能力
●建设2项网安手段一体化管理功能:
●网络安全事件的一体化推送预警功能 ●网络安全系统一体化运维管理功能。
本期系统架构
●整个网络安全管控平台结构
●门户层、引擎层、以及接口层组成 ●为本期所建的四个平台提供整体的安全防护。
本期系统架构
●接口层: ●系统对接:云检测平台、流监测系统以及DNS日志采集, ●采用多种数据采集方式获取数据:网站数据、DNS日志、 流检测数据、网络安全数据。
●安全防护系统 ●实现本期建设内容的整体安全防护,达到等级保护三级的 安全防护要求 ●通过部署防火墙、UTM网关以及网络审计系统,实现平台 的边界防护、入侵防护、病毒防护以及安全审计。
重点IP流异常监测
重点监测对象
1分钟实时流量报表 DDOS监测与定位
ORACLE数据库
原始FLOW信息留存
独立存储留存
重点监测对象可以配置为IP或者IP段。 监测的内容分为流量报表,详细FLOW信息的留存以及DDOS监测定位。 1.流量报表按1分钟(普通用户5分钟)为间隔自动生成客户流量报表,IP TOPN,端口 TOPN等详细数据报表。
网站安全监测子系统
(1)重保网站的(点监测)功能 • 现有的网站被黑系统、挂马系统实现技术比较单一(爬取指定
URL页面,匹配关键字)。 • 新建网站漏洞扫描、被黑发现系统,实现深入的、细粒度的网
站运行状态监控,第一时间内发现、预警网络安全事件。 • 采用多元化的网站被黑识别手段,实现对重保网站被黑、被挂
对外推送接口-2
内网服务器根据管理员配置的客户信息,根据事件的紧急性, 定时或者及时打包并加密结果数据,并生成客户以及数据描述信 息(json文件),一起发送给跨网数据交互服务器(加密传输)。 交互服务器留存json信息,并保存日志,转发该部分数据到外网 服务器(加密传输)。
对外推送接口-3
根据json文件中的具体客户信息,向客户服务器发送加密过的文 件信息。根据传输状态返回给504内网系统该客户是否成功接收 数据。
2.重点监测对象FLOW数据快速推送,独立存储(使用MongoDB )重点客户的FLOW 信息以提高查询速度,当客户需要详细数据时。 3.重点监测对象DDOS监测与自动定位。
活跃IP地址统计
采集路由器的每对IP信息,匹配该IP的流入和流出流量。当该 IP存在于出入两方向,则用该IP作为真实IP地址。 使用该IP地址上传到国家中心,针对全国IP的进行全国流量排 名,流量最多的省份为该IP所在省份,并矫正全网的地址信 息库。 这两部分内容联合组成本省的活跃IP信息。 该IP信息每日更新一次,并推送给用户。
总控节点
流监测采集机
数据检索 申请
汇聚节点
定位数据交互 采集机
采集机 采集机 业务数据交互
采集层
对外推送接口-1
根据客户所需的业务数据类型配置推送端IP地址,密钥(支 持对称加密的单钥和非对称加密的公钥和私钥),具体数据需求 (可选择具体报表,FLOW详细数据以及进行DDos监测并推送 监测结果,DDos定位信息等)。
马页面的高精准发现,尤其提高网站后门文件、被黑图片的识 别功能。
网站安全监测子系统
(2)第三方网站云检测(面监测)功能
• 定义并实现网站类安全事件的数据同步接口,并开放给多家安全厂商 、技术支撑单位(可包含奇虎360、知道创宇、杭州安恒等)试用
• 最终根据测试效果选择一家(或多家)单位,采取购买服务的形式, 完成江苏省网络安全事件的实时上报。