方案概述

根據監(jiān)管要求，目前黨政機關及企事業(yè)單位的Web系統(tǒng)管理基本原則是“誰主管，誰負責；誰運營，誰負責，誰接入，誰負責；誰使用，誰負責”，市教委仍然具有監(jiān)督、檢查、指導的職責，在教育城域網建設過程中，進行統(tǒng)籌規(guī)劃，為各區(qū)教委分配了IP段并統(tǒng)一建設相應的業(yè)務系統(tǒng)、資源系統(tǒng)等平臺。但在教育網絡Web系統(tǒng)的管理中仍然存在許多問題：

◆ 無法準確的了解網絡中到底有多少Web站點；

◆ 網站的申請、審核、查詢等工作主要基于人工，工作繁瑣且辦公效率無法提高；

◆ 缺乏對于網站的上線檢查機制；

◆ 對于Web系統(tǒng)無法進行包括篡改、暗鏈、后門、漏洞等日常監(jiān)控；

◆ 無法對有問題或不合規(guī)的網站進行阻斷；

◆ 無法建立有效的統(tǒng)一防護機制；

◆ 不清楚站點存在什么樣的風險；

由于針對Web系統(tǒng)的網絡訪問控制措施被廣泛采用，且一般只開放HTTP等必要的服務端口，因此已經難以通過傳統(tǒng)網絡層攻擊方式（查找并攻擊操作系統(tǒng)漏洞、數據庫漏洞）攻擊網站。然而，Web應用程序漏洞的存在更加普遍，隨著Web應用技術的深入普及，Web應用程序漏洞發(fā)掘和攻擊速度越來越塊，基于Web漏洞的攻擊更容易被利用，備受的青睞。攻擊者攻擊Web系統(tǒng)，一般會采取兩種手段來達到博名、獲利的目的：

◆ 篡改Web系統(tǒng)數據

◆ 竊取用戶信息

態(tài)勢感知數據來源

態(tài)勢感知是以安全大數據為基礎，因此在數據來源方面，態(tài)勢感知應該具備主動采集有效數據的能力，避免過度依賴外部威脅情報或第三方設備的數據。另外，態(tài)勢感知的數據來源要豐富，除了通過自有設備，在用戶網絡內部進行主動的全流量檢測數據提取，保障數據的真實性和有效性。同時基于標準日志格式，收集廣泛的第三方設備日志，用于輔助分析和安全事件追溯。當然外部威脅情報也，這樣才能夠對內部潛伏威脅的檢測分析提供及時而相對全面的情報數據。

智能檢測分析

態(tài)勢感知必須依賴智能化分析，才能從大量數據中分析出有效的安全問題。檢測分析能力是核心，基于大數據的態(tài)勢感知應該結合流量特征、行為分析建模、各類監(jiān)督學習算法、機器學習、大數據關聯(lián)等技術進行檢測分析。

安全可視化

從兩個維度的可視化：一個是全網安全態(tài)勢、全網風險監(jiān)控大屏等宏觀全局可視，輔助決策；另一個是從業(yè)務維度展示安全現(xiàn)狀，然后從攻擊鏈的角度，讓用戶看到資產的失陷狀態(tài)微觀層面可視，簡化運維。

響應處置

能夠在安全事件過程中及時止損。而這就需要通過全局性的分析，發(fā)現(xiàn)威脅之后聯(lián)調各安全設備進行協(xié)同響應處置。在攻擊者發(fā)動攻擊之前，協(xié)同防御設備進行策略調整，阻斷其攻擊；在已經潛入內部的攻擊者造成破壞之前，立刻評估可能造成的損失范圍和程度，并及時響應和處置。

態(tài)勢感知體系結構

WebRAY監(jiān)控平臺由管控中心和探測引擎兩大部分組成。整個系統(tǒng)以分布式部署，其中管控中心負責掃描任務的配置、調度、統(tǒng)計、展示等管理功能。

系統(tǒng)通過事件與資產屬性的關聯(lián)、事件與資產弱點的關聯(lián)、事件與網絡拓撲的關聯(lián)、事件與告警的關聯(lián)等多個維度進行關聯(lián)分析，通過歷史數據取樣預測未來安全態(tài)勢。

態(tài)勢感知應為響應處置的“大腦”，要實現(xiàn)“全天候、感知網絡安全態(tài)勢”，“全天候”是一個“時間”和“條件”的概念；“”是一個“空間”的概念；“感”對應“觀察”；“知”對應“理解”；“網絡安全”意味著對應的認知域；“態(tài)”對應“元素的意義”；“勢”對應“近期未來的狀態(tài)”。因此，觀察、理解和預測，構成了態(tài)勢感知工作的三個核心環(huán)節(jié)。

通過建立安全威脅感知平臺，提升風險管控及態(tài)勢感知能力、對信息安全事件響應及應急處置能力；提升網絡與信息安全管理和分析水平；進而提升整體網絡安全防護水平。

◆ 動態(tài)感知

全面梳理信息安全監(jiān)測技術和措施，結合點（安全基線維度）、線（合規(guī)、預警、審計維度）、面（態(tài)勢分析維度）三個功能層次，與安全情報收集分析相結合，實現(xiàn)對重要資產的動態(tài)監(jiān)控，增強信息資產感知、脆弱性感知和威脅感知能力。

◆ 智能監(jiān)控

全面提升安全情報收集能力與告警分析能力，通過對安全監(jiān)控場景進行設計，結合云計算與大數據挖掘技術，實現(xiàn)威脅準確定位，預警自動分發(fā)，變被動監(jiān)測為主動預警。

◆ 主動響應

健全完整的監(jiān)控體系，組建結構合理、素質優(yōu)良的監(jiān)控隊伍，對發(fā)生的安全事件進行快速響應，有效縮短安全事件發(fā)現(xiàn)到處置的延遲。

◆ 全景可視

以直觀的可視化界面提供全面、豐富的歷史數據、實時數據和智能分析結果，全面展現(xiàn)公司信息網絡當前安全狀況和未來一段時間的發(fā)展態(tài)勢，為信息安全人員開展信息安全態(tài)勢分析、安全預警和處置提供支持，同時為單位提供直觀的信息安全決策依據。