一、项目背景及目标

由于银行互联网应用系统的越来越普及，网络边界安全也变得更加重要，而传统网络安全设备告警仅依赖于规则的有效性，容易漏报、误报且缺乏进一步分析判断的依据，无法对攻击事件进行准确定位和回溯取证，同时系统无法对外发攻击进行检测和清洗、无法检测虚假源IP攻击等行为，在日常安全防护过程中无法做到快速、准确的对攻击事件进行研判及处置，缺乏有效的安全研判工具，无法准确定位攻击。另外网络安全要素复杂，网络安全业务需求存在多样性。

互联网安全综合应用平台可搭配一系列安全产品进行组合，提供完善、整体或者应对专项问题的解决方案，支持漏洞扫描系统、WEB应用防火墙、攻击欺骗诱捕系统、资产管理系统、上网行为管理、智慧防火墙以及终端管理系统等，提高安全运营的管理、技术和流程水平。

二、创新点

互联网安全综合应用平台在态势感知平台上进行功能以及性能的扩充，包含日志采集器和网络流量传感器、日志采集、存储和检索、资产风险评估、资产管理、脆弱性管理、威胁分析、威胁检测、处置响应、安全运维、监测与报表、态势可视化、系统管理和安全运营服务。同时与网络安全加固相结合，在态势感知的框架中融合了WAF、IPS、IDS、DDOS、业务安全网关、蜜罐等安全设备，增强网络流量监测能力，构建双链路冗余互联网接入区，打造统一互联网安全综合应用平台。

三、技术实现特点

1.设备功能

根据分析网络安全涉及的各个部分，调研网络安全设备功能，进行风险评估，例如，可根据互联网应用类型，针对互联网出口薄弱部分进行增加WEB应用防火墙、业务安全网关、蜜罐等设备。

2.联动性能

（1）网络流量传感器。网络流量传感器用于对现网流量数据进行流量还原及流量检测，将生成的网络日志与威胁日志上送至互联网安全综合应用平台。传感器具备数据采集和数据外发能力，能够对数据的采集策略、外发策略进行灵活配置。并能够针对网络流量进行安全检测、反病毒、漏洞防护、防间谍软件、IOC情报检测等威胁分析，并将分析后的威胁日志上传至平台。

（2）日志采集器。日志采集器是对网络内各业务应用系统、安全设备、服务器、终端等设备，通过主动采集或被动接收等方式对系统、应用或安全日志进行采集并进行范式化预处理，方便IT人员或安全分析人员对日志数据流进行实时关联分析和数据分析。

（3）互联网安全综合应用平台。互联网安全综合应用平台基于大数据架构，能够支撑大并发量计算和查询。互联网安全综合应用平台用于存储网络流量传感器和日志采集器提交的流量日志、威胁日志、设备日志和系统日志，并提供应用交互界面。平台基础应用层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理，可通过多台设备建立集群以保证存储空间和计算能力的供应。

互联网安全综合应用平台在强有力的基础大数据架构的支撑和CEP关联分析引擎强劲检测能力的辅助下，建立了一套完善的威胁检测、响应和处置流程的支撑体系，可通过平台对资产、脆弱性、拓扑等基础IT管理属性和威胁告警、风险等安全属性进行全生命周期管理。功能涵盖从威胁发现、展示、归纳到处置响应联动的闭环能力。

四、项目过程管理

1.需求分析和调研阶段

此阶段时间段为2020年12月至2021年2月，其间主要完成了网络安全现状分析、互联网应用类型梳理和网络安全构架的分析设计。提交了网络安全分析报告、网络安全架构设计、互联网应用安全改造等文档。

2.网络架构设计阶段

此阶段起始时间为2021年3月至2021年6月，其间主要完成了互联网安全出口规划设计工作，态势感知应用系统设计说明书等文档。

3.网络联调和上线准备阶段

此阶段起始时间为2021年8月至2021年9月，其间完成了网络安全设备的上架测试，加固设备与态势感知系统联调、测试以及试点行上线准备工作，提交了互联网安全综合应用平台的整体设计逻辑、上线方案、系统操作设置等文档。

4.互联网应用上线阶段

此阶段起始时间为2021年8月至2021年9月，其间完成了互联网应用系统安全出口业务测试，并根据测试结果，陆续将互联网应用系统搬迁至新的互联网安全出口区。

五、运营情况

1.安全监测的全面性

监控提供7类功能，分别是告警、风险、漏洞、资产、工单、系统维护和日志统计，此外用户也可以根据业务场景创建自己的监控指标和视图。互联网安全综合应用平台提供6种面向不同安全场景的态势感知监控界面：资产风险态势感知、全网漏洞态势、外部威胁态势、内网威胁态势和安全运营态势。

2.安全运维的便利性

支持拓扑绘制，直观管理资产在网络中的位置。支持按照资产组或者业务组织架构进行网络拓扑的绘制，资产或资产组风险值直接在拓扑图中展现，有效直观地反馈出当前网络安全状况。

提供了交互式的拓扑绘制功能，并内置了高质量的拓扑图标，以保证能够输出高质量拓扑图。支持将已有的资产数据关联到拓扑中，另外，支持将已绘制好的拓扑图被另一个拓扑图引用，形成子拓扑，支持对子拓扑图的下钻功能。

3.应用监测的可靠性

通过互联网安全综合应用平台的建设，对互联网应用访问行为进行监测，对HTTPS的加解密，提供设备对HTTPS的处理性能，具备智能语义分析，可内置对SQL注入、命令行注入等攻击检测的语义分析规则。可智能攻击者锁定，支持智能识别攻击者，对网站连接发起攻击的IP地址进行自动锁定禁止访问网站，可配置攻击者识别策略和算法以及攻击者锁定时间。

六、项目成效

1.实现互联网应用的安全出口加固

对现有互联网出口进行网络安全加固，新增部署WAF、蜜罐、探针、业务安全网关等网络安全设备，构建构建双链路冗余互联网接入区，打造统一的互联网安全综合应用平台。

2.将态势感知与安全加固相结合，提升网络安全运营效率

互联网安全综合应用平台在威胁情报领域独有的数据优势和技术优势，将云端大量的威胁情报样本作为数据分析来源，针对使用不同日志数据（如：DNS、上网行为日志等）检测内部主机连接攻击者远程命令和控制服务器，进而发现失陷主机的需求。防止由于失陷带来的数据泄密、系统破坏等关键风险。安全管理人员对平台内置的本地威胁情报实时升级，配合可选的云端威胁情报分析平台进行进一步的分析，了解攻击者背景信息，以及攻击者的相关网络资源和历史攻击行为，并进行深入追踪。同时，本地威胁情报也应用在多数据关联分析和威胁溯源场景中，给用户快速补充攻击者上下文信息，提升威胁分析、溯源效率。

七、经验总结

通过互联网安全综合应用平台的建设，实现互联网安全出口的加固，同时具备流量采集和监测能力，能够支持国内外数十家厂商的上百种常见设备的日志进行自动解析、过滤、富化、内容转译和范式化，可以通过可视化界面配置日志解析规则和策略，实现对新接入日志的解析。可接入的数据包括网络日志、安全日志、终端日志、业务日志和威胁日志等。支持的采集方式包括Syslog、DB、SNMP、Netflow、API接口、镜像流量、文件等。很好的将互联网安全出口与态势感知相结合，既高可靠的保障了应用层面的安全性，也充分融合了态势感知平台。使得网络层面与应用层面逻辑关联更加紧密，完善了网络的统一运维体系。