项目背景

当前网络与信息安全领域，正在面临多种挑战。一方面，企业和组织安全体系架构日趋复杂，各种类型的安全数据越来越多，随着内控与合规的深入，传统的分析能力明显力不从心，越来越需要分析更多的安全信息、并且要更加快速的做出判定和响应。另一方面，新型威胁的兴起，高级可持续攻击要求有长时间的数据才能分析入侵行为和评估遭受的损失。传统的SIEM很难处理多样化的非结构数据，并且传统的应用/数据库架构局限了系统的性能，其能存储的历史数据时长、存储事件的汇总度、查询分析的速度均受到限制。信息安全也面临大数据带来的挑战。我们需要更深层次的事件关联处理、分析和展现，而当前分布式计算，存储和通信，内存计算，智能分析等技术已经逐步成熟应用，安全数据分析需要使用这些新技术在事件关联、处理和展现能力上进行提升。
为了应对日益严重的网络安全威胁，各单位、各部门在网络上部署了大量的网络设备、安全防护设备和应用服务系统，网管人员采用网络管理系统监控网络设备产生的事件信息，运用入侵检测、防火墙、网络防病毒等单一类型或独立设备的管理系统监控安全防护设备产生的事件信息，利用应用服务系统自身机制监控相应的事件信息，利用操作系统的事件机制监控事件信息，对产生的各类事件信息进行分析，根据研究判断情况实施相应的应急响应，保证网络运行安全顺畅。实际上，这些设备（系统）产生的事件格式不同，事件风险等级划分标准各异，由于缺乏海量事件信息的自动、综合的分析手段，无法快速抽取、定位、汇总重要的安全事件，难以有效地评估当前网络的安全态势，实施应急响应缺少必要的科学依据，影响了安全防护保障的效果。为保证网络安全运行，必须实施有效的安全防护保障。计算机网络安全防护保障是防护、监测、响应的有机结合。

项目必要性

各级企业、集团、政府等通过部署多种安防设备，如防火墙、入侵检测、入侵防御、网闸等，增强了网络安全的可靠性，但随之而来的信息安全隐患也摆在了面前。在大数据时代，原来局部的信息、孤立的信息迅速转变为全面的信息、整体的信息，这种海量信息便具有了很高的商业价值，成为高度敏感信息，普普通通的信息被集中之后甚至会成为国家秘密，如个别单位的地址信息、人数 信息、经费信息如被收集完整，就可能构成国家秘密。今年以来，不断发生的社保信息泄露等一系列泄密事件给我们敲响了警钟，尤其是国家重点能源企业更应重视信息数据的安全。与此同时，根据国家相关要求，各级大型企业、政府、能源集团等要强化网络安全顶层设计，构建关键信息基础设施安全保障体系，做到全天候全方位感知网络安全态势。

解决方案

建设目标：本系统通过对全网信息资产以及相关环境的数据采集、统一管理与安全分析，实现全网综合安全感知，通过智能安全处理保护信息环境稳定安全，同时通过持续检查与预警实现7*24小时安全防护
建设内容：统通过全量数据采集，包括网络设备、安全设备、主机、路由器、交换机、资产信息、用户业务数据等，逐步完善建设大数据平台基础，在此基础上通过建立各类情报库的完善和丰富工作。数据经由数据分析引擎进行分析产生告警，并通过安全联动实现动态的安全防护能力。告警交由各子系统如安全监测子系统、通报处置子系统、追踪溯源子系统、工单子系统等进行进一步处理。
方案总体设计：网络规划、架构设计、功能设计、大数据平台、集成设计、部署设计

方案优势

方案有效及时落地：大数据态势感知系统通过多个项目的实施部署，积累了大量相关经验，特别在有关网络威胁发现、安全运维、追踪溯源等方面有着卓越的优势，针对不同行业进行不同的安全运维，有效将项目落地，解决用户安全运维的需求。
业务导向，契合用户需求：大数据态势感知系统坚持业务导向，密切结合用户的自身业务需求，可组建专门定制项目团队进行定制开发工作，真正解决用户的痛点问题，彻底将网络安全中的不确定因素量化出来。
基于大数据平台，解决信息孤岛：与传统SOC不同，我方大数据态势感知系统采用先进的ELK大数据平台，并进行专门的性能优化，真正将大数据技术落地到用户本地。系统可支持PB级数据存储，亿级数据秒级查询性能。
基于流式的数据挖掘与分析：大数据态势感知系统内置大数据分析引擎，其采用先进的流式数据处理算法，将数据在内存中进行关系分析运算，支持多种表达式运算，真正挖掘到网络中存在的威胁。
强大的追踪溯源能力：大数据态势感知系统能够快速检索本地的海量数据日志，并可进行关联查询发现攻击者留下的痕迹，绘制出攻击者的攻击路径。
多产品协同，安防加固：大数据态势感知内置API机制，若允许可与其他安全产品进行安全联动，有效进行安防加固。