仁和诚信-大数据态势感知系统-一体化网络安全监控运维管理专家

一、需求/背景

近几年，随着云计算与大数据技术的发展，主动攻击行为与高级攻击技术（APT）的复杂性不断升级，恶意代码向智能化发展，产生多种形态变种。相应威胁和风险环境已经发生了巨大的变化，新一代的高级安全技术和防护策略也在快速发展，比如以风险和安全检测为基础的方法，大量利用了威胁情报和人工智能技术。这就要求传统的SOC来适应这些新的变化，用户需要认识到传统的以防护为核心的策略已经失效，用户资产可能已经被破坏。网络安全体系必须切换到以监控和响应为核心，通过持续监测和检测，及时响应来减轻和限制攻击造成的损失。
另外一方面，国家法律法规日益完善，随着《中华人民共和国网络安全法》施行、《信息安全技术信息系统安全等级保护基本要求2.0》出台，对政企要求更加严格；
《中华人民共和国网络安全法》
第二十一条
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。
第五十一条
国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。
第五十二条
负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。
《“十三五”国家信息化规划》
全天候全方位感知网络安全态势。加强网络安全态势感知、监测预警和应急处置能力建设。建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。建立政府和企业网络安全信息共享机制，加强网络安全大数据挖掘分析，更好感知网络安全态势，做好风险防范工作。完善网络安全检查、风险评估等制度。加快实施党政机关互联网安全接入工程，加强网站安全管理，加强涉密网络保密防护监管。
公安部《信息安全技术信息系统安全等级保护基本要求2.0》（等保2.0）中关于集中管控的要求
a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；
b) 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析；
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。

二、产品概述

NGSOC采用大数据库和自适应安全架构，以数据库和威胁情报驱动，通过基于可信度安全检测工具、流程和策略来对抗实时威胁，进而实现情景感知、行为感知和态势感知。帮助用户建成一个新型的适应自身环境特点的网络安全免疫系统。
与传统SOC相比，NGSOC具备以下特性：

大数据
数据驱动是NGSOC 的基本属性，必须采用大数据平台架构为支撑，支持超大数据量的采集、融合、存储、检索、分析、态势感知和可视化。
情报驱动
安全分析依赖于安全情报。NGSOC情报来自超过60个威胁情报源，超过5个国家的威胁情报。每天收集超过10万条最新情报，可插装新的异构威胁情报学习模型。
多维度化
支持多维数据源的采集，包括各类设备日志、原始流量、终端与用户行为等；覆盖预警、防护、监测、响应各个环节，能够集成资产配置库（CMDB）、漏洞管理、配置核查、身份管理等数据源，并引入外部威胁情报数据，进行积极的预警和防御。
人工智能
建立起智能化的安全分析能力，实现异构模型预测质量评估、模型与数据拟合度评估、超过10种模型的交叉学习、基于可信度的网络恶意行为检测，实现人工自能对抗。
人机交互
提供可视化的分析工具，安全分析人员根据收到的线索进行人机交互查询和分析，尤其是高级安全分析和威胁追捕。
可视化
支持资产的可视化、类攻击可视化、策略可视化、风险可视化、合规可视化、业务安全可视化以及可视化攻击分析等。
协同响应
开放的API接口模式，支持跨组织之间的情报共享，响应协作，以及设备之间的协同响应处理。

三、核心功能

更全的数据采集能力

NGSOC的数据采集是进行安全分析、监测和响应的基础。NGSOC的大数据处理能力使得系统可以采集更多的安全相关数据。NGSOC的数据采集包括IT资产数据、IT资产监控指标数据、IT资产的日志和报警数据、网络流量数据、威胁情报数据，以及支持第三方产品相关数据的导入等。

安全防御

NGSOC将为安全设备提供安全智能引擎和情报数据，采用深度防御策略，自动化协同安全能力，实现安全策略的可视化。

持续监测

持续检测和监控能力是NGSOC 最重要的能力。由于云计算与大数据等技术的成熟，NGSOC 具备了处理大规模数据的能力基础，从而实现了安全持续监测。

快速响应

: 发现任何可疑行为或攻击行为时，NGSOC自动调配安全响应团队进行事件响应，将技术、流程、人员有效结合起来，并提供自动化的设备联动能力，从而实现快速有效的应急响应能力。

溯源取证

传统 SOC 由于缺乏相关的手段，无法做到对攻击者的溯源取证，而现在随着威胁情报、攻击欺骗、高级分析技术等发展，NGSOC对攻击者进行深入分析，形成攻击者画像，和溯源取证的能力。

风险预警

风险预警能力是NGSOC 实现闭环的重要能力。预测能力使安全系统可从外部监测黑客行动，主动预测对现有系统和信息具有威胁的新型攻击，主动评估风险并优先解决暴露的问题。该情报将反馈到防御和检测功能，从而构成整个处理流程的闭环。

威胁情报共享

威胁情报是对抗今天复杂的网络攻击者的关键。仁和诚信的情报库，来自多家组织机构积极共享威胁情报数据来得到更完整的对手活动情况，以此来帮助优化组织的网络防御。

智能恶意代码检测

NGSOC采用人工智能技术，通过协议还原、沙箱行为分析、用户行为分析、动态域名分析、恶意程序特征匹配、动 / 静态 IP 黑白名单等检测与分析技术，及时发现用户本地环境下正在发生的安全威胁，并与云端推送的情报数据进行多维匹配（如 IP 匹配、域名匹配、URL 匹配、邮箱匹配、样本 MD5 值匹配等），产生精准的本地安全威胁告警（如病毒木马、恶意程序、异常主机、信息泄露等），40多万恶意代码样本，每天更新1万最新恶意代码样本，提高用户对未知威胁的发现和处置能力。

可视化展示与分析

NGSOC的可视化展示与分析功能让企业相关的安全运营人员、风险管理人员、业务人员、决策层领导更容易理解和分析面临的安全攻击、当前的网络安全态势、企业的风险状况、合规状况等。

数据采集安全防御持续监测快速响应溯源取证风险预警情报共享恶意代码监测展示/分析

更全的数据采集能力 NGSOC的数据采集是进行安全分析、监测和响应的基础。NGSOC的大数据处理能力使得系统可以采集更多的安全相关数据。NGSOC的数据采集包括IT资产数据、IT资产监控指标数据、IT资产的日志和报警数据、网络流量数据、威胁情报数据，以及支持第三方产品相关数据的导入等。

: 安全防御 NGSOC将为安全设备提供安全智能引擎和情报数据，采用深度防御策略，自动化协同安全能力，实现安全策略的可视化。

持续监测 持续检测和监控能力是NGSOC 最重要的能力。由于云计算与大数据等技术的成熟，NGSOC 具备了处理大规模数据的能力基础，从而实现了安全持续监测。

: 快速响应 发现任何可疑行为或攻击行为时，NGSOC自动调配安全响应团队进行事件响应，将技术、流程、人员有效结合起来，并提供自动化的设备联动能力，从而实现快速有效的应急响应能力。

溯源取证 传统 SOC 由于缺乏相关的手段，无法做到对攻击者的溯源取证，而现在随着威胁情报、攻击欺骗、高级分析技术等发展，NGSOC对攻击者进行深入分析，形成攻击者画像，和溯源取证的能力。

: 风险预警 风险预警能力是NGSOC 实现闭环的重要能力。预测能力使安全系统可从外部监测黑客行动，主动预测对现有系统和信息具有威胁的新型攻击，主动评估风险并优先解决暴露的问题。该情报将反馈到防御和检测功能，从而构成整个处理流程的闭环。

威胁情报共享 威胁情报是对抗今天复杂的网络攻击者的关键。仁和诚信的情报库，来自多家组织机构积极共享威胁情报数据来得到更完整的对手活动情况，以此来帮助优化组织的网络防御。

智能恶意代码检测 NGSOC采用人工智能技术，通过协议还原、沙箱行为分析、用户行为分析、动态域名分析、恶意程序特征匹配、动 / 静态 IP 黑白名单等检测与分析技术，及时发现用户本地环境下正在发生的安全威胁，并与云端推送的情报数据进行多维匹配（如 IP 匹配、域名匹配、URL 匹配、邮箱匹配、样本 MD5 值匹配等），产生精准的本地安全威胁告警（如病毒木马、恶意程序、异常主机、信息泄露等），40多万恶意代码样本，每天更新1万最新恶意代码样本，提高用户对未知威胁的发现和处置能力。

可视化展示与分析 NGSOC的可视化展示与分析功能让企业相关的安全运营人员、风险管理人员、业务人员、决策层领导更容易理解和分析面临的安全攻击、当前的网络安全态势、企业的风险状况、合规状况等。