政府欧亿·体育（中国）有限公司-锐捷安全态势感知解决方案 01 锐捷安全态势感知建设理念 — 让安全看得见 锐捷安全态势感知解决方案架构 锐捷安全态势感知解决方案，基于“可发现”、“可预测”、“可协同”“可度量”能力构建为出发点，整体方案设计分为三层：安全信息采集层、安全分析管理层、云端协同处理层。 在安全信息采集层方面:不同的网络设备、安全设备，服务器等组件构成了用户网络的基础，同时获取了大量的安全基础信息，锐捷安全态势感知解决方案，充分考虑业务流量采集、未知威胁信息采集、安全日志信息采集三个维度，进行多维度的安全信息获取。 在流量采集层面，通过UAC探针部署于服务器区及出口区，对重要业务流量进行识别审计，同时将安全信息实时同步至BDS安全分析平台，实现对业务安全的建模和综合分析。 而对于未知威胁的防范，传统基于特征码的检测方式，必须在威胁文件获取及分析识别后才能部署，有天然的滞后性，导致无法应对0day等类型攻击，为此基于安全沙箱的安全分析通过模拟各类运行环境通过实际运行，从运行结果判定文件的风险程度，很好弥补了传统特征码检测方式的不足，同时BDS大数据分析平台依据从沙箱分析同步的结果，进行综合性关联分析，应对未知威胁风险，除兼容第三方沙箱产品外，锐捷安全沙箱产品也预计于下半年正式上市。 在日常网络中的发生的大部分安全事件在日志中或多或少都会留下痕迹，但随着网络规模的越来越大，如何高效利用海量日志数据成为难题，一般规模的业主单位，一天网络日志条目数至少数上百万条，靠管理员人工分析显示是不现实的，为此锐捷安全态势感知方案中，将日志作为非常重要的安全信息来源，通过海量的日志采集、存储、分析实现对安全事件的深度关联分析，最大程度挖掘日志的安全价值。 安全分析管理层，依托于锐捷BDS大数据安全分析平台为核心组件，通过对所有采集到的安全信息进行高效的存储及建模分析，实现对网络安全风险的精准定位，对于BDS核心组件平台的功能设计，将在后面进行重点讲解。 云端协同处理层:锐捷态势感知方案的云端协同处理层也同时包含了云端威胁情报中心与云安全分析中心，通过威胁情报中心最新安全情报的信息同步，实现对用户网络最新威胁风险的实时监测预警，同时云安全分析中心支持预警下发、模型库在线升级、安全专家远程支持等多种服务能力。实现对用户网络全面的安全分析及态势感知。 解决方案一句话描述：整体方案实现了海量数据收集并标准化，构建安全大数据仓库；日志、资产、漏洞关联分析，直击要害问题；工单系统+知识库，简单闭环安全问题；量化呈现安全业绩，实时跟踪安全态势。 详细描述见如下框图内容。 方案组件简述： 省局/市局部署RG-BDS：包含可选的RG-BDS-S超级日志版软件、RG-BDS-A增强版软件、RG-BDS-C基础版软件、RG-BDS 1000E-C基础版硬件（-S和-A用集群节点授权RG-BDS-Cluster-LIS-1、另外还包括RG-BDS-X-LIS-1Y: A/C/1000E-C的服务授权、监控节点授权RG-BDS-LIS-100） 区县局基层单位部署日志采集器：RG-BDS-collect提供基础网络环境下各类日志信息的集中采集。 区县局基层单位部署探针RG-UAC-6000-E系列：提供服务器区应用访问及出口区行为审计数据的采集。 ● 大数据架构底层设计，支持大规模网络的弹性扩展 ● 多维度、海量安全信息的采集、存储、建模、分析 ● 丰富的场景化安全分析模型，实现安全风险的精准定位 产品特点 RG-BDS 大数据安全平台概述 安全分析 态势感知 信息采集 建模分析 预警预测 面临主要的问题： 越来越庞大的安全信息如何高效的存储、范式化以及利用？ 如何构建更适合用户场景的分析规则 ? 海量安全信息采集与分析面临的问题 灰色框的需要与Hadoop版本结合使用 系统技术架构的重构： 基于ES技术的底层设计，解决海量数据的高效存储及分析 在超大规模场景中，ES也可以配合Hadoop平台同时使用 标准化 漏洞数据 运行状态 设备告警 系统特性 ... 日志采集 数据对象 安全数据采集 安全脆弱性感知 可用性感知 信息补齐 数据清洗 数据压缩 全文检索 机器学习 查询分析 风险感知 攻击检测 预警预测 历史挖掘 关联分析 安全分析 大数据技术 数据处理 数据对象 RG-BDS大数据安全平台的解决之道 多类型的日志兼容能力，BDS已内置60多个厂商，180多款设备的日志支持，涵盖业界主流厂商网络设备、安全设备、操作系统、中间件等。 未标准化设备，在系统收集日志样本后，可快速完成定制开发 （1）强大的日志兼容能力 内置安全分析模型 （云端可持续增添，也可随威胁情报自动建立新的分析模型） 提供多维度的安全分析能力，目前内置100+安全分析模型，实现安全深度分析，做到安全问题的实时追踪、溯源和举证，满足综合安全分析要求。 威胁情报 流量分析 （2）丰富的安全分析模型 区县A 区县B 市局（统一安全分析平台） 纵向网 分布式日志采集器 支持总分部署方案，满足市局对区县的安全信息采集与分析需求，通过平台（部署在市局）+采集器（部署在区县），实现分布式日志采集、统一安全分析需求。 （2）支持总分部署模式，满足统一安全分析需求 系统漏洞扫描模块，内置48000+漏洞检查插件，可实现对关键系统及设备的漏洞检测，为系统安全加固提供重要参考。 漏洞扫描 应用系统 中间件 操作系统 安全设备 网络设备 数据库 内置漏洞扫描插件 （3）自带漏洞扫描模块，提高系统风险检测效率