【项目交付直播】XX项目网端云项目交付

项目背景

  XX集团有限公司作为内蒙古重要的民营企业，但集团网络安全建设年久失修，四个数据中心独立运营，数据相互访问，基础安全建设不足，安全问题层出不穷。不管是在攻防实战演练中还是在目常业务运行过程中，客户都面临严重的安全隐患。为强化XX集团安全的健壮度，建立常态化、长效化的新型安全运营指挥技术和管理体系；通过自动化的手段，以科学合理的方法实现最短时间内协调设备资源、人力资源、管理资源，对安全事件进行有效处置，并实现集团统一的网络安全协同运营，保障集团网络空间安全、稳定，相关系统持续、有序、安全运转。

项目规划

项目组织架构

项目方案规划

XX集团安全体系技术架构规划分为总体功能和平台运行管理两部分。总体功能包括六大功能模块：分别是监测数据采集预处理，监测数据分析，数据总线，展示与应用，威胁情报，平台运行管理。

1.监测数据采集预处理：确定监测数据范围，分别是东胜数据中心、罕台数据中心、棋盘井数据中心、北京数据中心4部分；在监测点处，通过潜伏威胁探针对全流量进行采集、预处理和预检测，同时对主机日志、安全设备日志和告警信息，进行采集和汇总。

2.监测数据分析：基于规则特征，以及时间序列分析、离群点检测、深度学习等机器学习检测技术，对DNS Flow引擎、NetFlow引擎等进行本地化训练，在本地网络下进行流量行为建模分析。发现集团外网中异常流量，如恶意邮件、未知病毒横向传播、木马远控等，定位异常行为，如暴力破解、慢速扫描等。

3.数据总线：利用集团平台内部数据交换接口、数据采集接口、外部接口等实现监测数据分析后的集中采集和转发，为展示和应用提供数据。

4.展示与应用：根据决策者、管理人员和运维人员不同的需求和关注重点，安全监测平台对检测分析结果进行多维度展示。针对关键业务资产和网络关系，提供安全总览、攻击监测、分支监管、外联监测等高度可视化界面。并以风险业务视角、风险终端视角、安全域风险视角、安全事件视角快速形成告警并通过工单模块实现快速通知专业的安全驻场人员，实现问题的快速响应与处置。实现高效预警与应急处置机制。实现安全事件的发现、分析、通告、整改的全流程闭环管控。

5.威胁情报：集团安全监测平台威胁情报模块可收集多个来源的威胁情报数据，并完成格式标准化工作，然后通过单向传输设备或者数据交换平台推送到内部的威胁情报库中。

6.平台运行管理：包括平台的管理、存储、自身安全防护以及监测平台信息库，为平台的总体功能实现提供支持。

项目交付

1.安全监测平台部署

探针以旁路模式部署，实施简单且完全不影响原有的网络结构，降低了网络单点故障的发生率。此时探针获得的是链路中数据的“拷贝”，主要用于监听、检测整个网络中的数据流及用户或服务器的网络行为，以及实现对用户或服务器的TCP行为的采集。

在东胜数据中心部署1台流量采集探针，采集该地区用户/服务器区域的流量，并做到整个网络中流量统计。

在罕台服务器区边界节点部署1台流量采集探针，采集服务器区域的上下行流量。

在棋盘井环网边界旁路部署1台流量采集探针，采集边界设备上下联接口流量。

在北京数据中心接入区部署1台流量采集探针，采集服务器区域访问流量。

项目周工作总结

项目问题闭环

2.安全运营服务部署

围绕整个XX集团安全监测平台部署安全运营服务，需要完成安全运营的基础工作，至少需要包含：资产管理、漏洞管理、威胁管理、事件处置、线下巡检、定期汇报等工作。通过“平台工具+专家服务”的方式，构建起7*24小时的持续服务，利用安全运营服务时刻洞悉网络的事件根因，在威胁未发生之前实现最大化精准预警，并进行安全策略调整；对已确定的安全威胁持续监测，并进一步验证策略的有效性；从而实现主动快速响应，精准拦截黑客攻击，保障网络安全的目标。

价值呈现

1、云网端方案符合公司平台化战略定位，通过整合各类安全产品和服务，为客户提供全方位的解决方案。通过持续的技术创新和与合作伙伴的紧密合作，我们将实现公司的向上突破，开拓新的市场和客户群体。

2、创建一个具有行业特色的样板点客户，以吸引潜在客户。市场团队可以利用这个案例来扩大业务客户群体，并将其作为公司运营和组织行业的典范，供参观和行业圈子沙龙活动使用。

感谢分享，每天进步亿点点