1. 核心需求
结合当前网络安全形势、CNCERT分中心职责定位及现有短板,围绕预警监测防护一体化建设目标,梳理形成五大核心需求,为方案设计提供精准导向:
1.1 预警监测防护一体化需求
建立省级网络安全预警监测防护一体化平台,形成对全省网络安全状况的预警监测防护一体化能力。需要具备对各类网络攻击的发现、分析、溯源能力。需要支持对重点网站、重要系统的实时监测。
1.2 基础库支撑需求
需要联合省分中心和重点合作单位,共建本地化、可持续、标准化的网络安全基础数据库,完善漏洞库、资产指纹库、威胁情报库、安全规则库等核心资源,建立统一的数据治理机制,实现数据自主可控、规范报送、实时更新、共享复用,提升安全决策的精准性和科学性。
1.3 资产态势感知需求
实现对全省重点网络资产、应用、数据、脆弱性及威胁活动的可视化呈现与动态管理,重点识别敏感应用与脆弱性,实现全省资产“一张图”管理,直观地展示工业网络环境的安全态势,包括资产态势、运行态势、脆弱性态势、网络攻击态势等。
1.4 智慧运营需求
需构建覆盖“省分中心—合作单位”的网络安全预警监测防护一体化平台,运用大数据、人工智能、机器学习等技术,提升资产识别、威胁监测、脆弱性管理、态势研判的智能化水平,通过可视化大屏实现安全态势“一屏通览、一屏调度”,优化事件处置流程,提升安全运营效率和处置精准度。建立常态化的安全运营、技术赋能、应急演练和人才培训服务体系。
1.5 数据传输与终端安全需求
需强化数据传输环节的加密防护,补齐终端与移动安全短板,构建“网络-数据-终端-应用”全链条纵深防御体系,实现对各类终端设备的全覆盖防控、重点数据的全生命周期保护,防范各类网络安全风险。
1.6 安全服务支撑需求
建立统一出口的安全服务窗口,提供标准化安全赋能机制。需要提供安全技术咨询和指导、安全检测和风险评估、安全培训和应急演练等服务。
2. 总体设计
2.1 总体架构设计
分中心标准化建设网络安全预警监测防护一体化平台,采用“云边协同”架构,总体架构采用“五横三纵”立体化设计。五横为自上而下的服务层、应用层、平台层、数据层、基础设施层,实现从底层设施到顶层服务的全链条支撑;三纵为贯穿始终的安全保障、标准规范、运维管理三大体系,确保平台稳定、安全、合规、高效运行。
首先安全数据通过多种方式进行采集,采集的渠道包括自主监测数据(探针监测、日志采集、资产探测等)、合作伙伴共享数据(国家CNCERT、安全厂商等)、用户上报数据(热线、邮件、平台等)、第三方情报数据(境内外权威情报)、行业专项数据(重点行业数据)等;数据类型涵盖资产信息数据、安全事件数据、威胁情报数据、漏洞数据、日志数据、流量数据、配置数据、测评数据、服务数据等。 自主监测数据可在合作单位上部署智能采集器。
采集的数据进入平台层的大数据平台,是数据汇聚的核心枢纽,主要负责各类网络安全数据的采集、汇聚、清洗、转换、脱敏、分级分类、存储和管理。然后一部分数据被选取到基础数据库(漏洞、资产指纹、威胁情报、安全规则等)中。同时平台层集成了可视化资产、EDR管理、密码管理和AI模型计算环境等底座功能。为上层的应用层提供相关能力。
应用层整合六大核心应用模块,承接服务层需求,实现各业务场景的智慧化应用支撑,确保业务功能落地。各应用模块采用微服务架构,支持弹性扩展,互联互通、数据共享。具体包括漏洞管理、安全验证、安全运营、资产测绘、数据传输保护、终端与移动安全等功能。可通过平台侧集成自动化渗透测试、入侵攻击与模拟安全验证系统、可视化资产与安全运营系统、数字加密网关和EDR平台端功能,合作单位侧部署数据加密网关和EDR安全卫士来实现。
服务输出层面向政府部门、关键信息基础设施运营单位、绿色能源企业等各类服务对象,结合不同场景的安全需求,提供全周期、定制化的安全服务。具体包括安全测试评估服务、安全赋能服务、安全加固、预警通报和应急处置等功能 。
2.2 总体拓扑架构设计
建设的网络安全预警监测防护一体化平台总体拓扑架构,以CNCERT省分中心为核心中枢,合作单位为接入节点,形成“分中心—合作单位”两级联动、上下协同的网络拓扑结构。采用“1+N”的分布式部署、集中化管理架构:
“1”:省安全分中心(核心节点),部署网络安全预警监测防护一体化平台,包括基础数据库、安全运营中心、核心分析引擎等。以分中心为统一出口,承担四大核心职能:
- 承接总部任务,落实总部下达的测试评估、漏洞处置、应急演练等工作任务,按时上报工作进展;
- 全省安全服务落地,开展本省的测试评估、安全赋能、事件上报等工作;
- 数据采集上报,采集本省的安全数据,经审核后上报总部,确保数据真实、准确、及时;
- 协同处置,配合总部处置跨省网络安全事件,开展本省内的网络安全事件处置工作,实现安全能力下沉,提升省网络安全保障水平。
“N”:广泛部署于各合作单位的轻量级探针、终端安全代理(EDR Agent)、加密网关等。政府部门、重点行业企业等服务对象通过安全接入链路(VPN、专线等),对接分中心预警监测防护一体化平台与安全运营节点,实现双向交互:
- 接受安全服务,包括测试评估、漏洞通报、安全赋能、技术培训等;
- 数据报送,按规范向分中心报送本单位的资产数据、漏洞数据、事件数据等安全信息,形成数据闭环。
接入要求:采用国密算法加密接入,确保数据传输安全;服务对象需指定专人负责数据报送和服务对接,配合分中心开展安全工作。
所有节点通过安全加密通道与省级中心互联,实现数据的实时/准实时上传、指令下发与协同响应。对外与CNCERT国家中心、其他分中心、重要威胁情报源进行安全数据交换与协同。
