| 项目背景project
为进一步发挥中国移动业务支撑部安全建设的成果所积累的价值,并有效支撑中国移动业务支撑网安全能力提升,需要在各省范围整合安全数据资源,形成统一的安全数据中心,基于大数据技术构建集中共享、威胁分析的全面安全数据分析平台。中国移动通信集团业务支撑系统部在结合各省公司安全及大数据规划和建设现状基础上,遵照公司大数据总体战略规划,结合广西移动业务支撑部安全建设现状,建立符合实际需求的省级安全威胁分析与预警平台。
..................................................................................................................................................................................................................................................................
| 项目内容 content
利用省公司现有的安全系统、安全设备,逐步演进为“安全数据集中存储、安全威胁分析与预警场景不断扩充、分析能力与数据对外开放”的高价值安全信息存储及分析平台;充分探索新技术,跟踪重要安全问题方法方法、加快对安全威胁的认知实现及有效预警。主要建设内容如下:
关键安全分析技术和模型
多维度数据融合分析 - 对全流量数据、日志数据、弱点数据进行融合关联,跟踪弱点的利用过程,对各个业务系统的进行针对性识别分析
攻击溯源模型 - 实现攻击影响范围识别和疑似攻击团伙识别
流量基线模型 - 结合业务系统的被访问规律,分析和建立动态流量基线模型,用于识别流量异常、ddos、cc攻击等行为
病毒木马高级持续性威胁监测技术 - 联动apt设备,采用沙箱仿真分析,实现对高级持续性威胁的检测
全网感知支撑与情报利用 - 采用威胁情报数据,发现全网威胁情报,第一时间修复保障或加固的web资产,为保障系统安全,采用离线威胁情报包的方式进行情报更新
用户画像分析 - 通过分析手段,借助以前攻击信息数据,抽象描绘出以前攻击情况的信息全貌,以便整体掌握以往攻击情况的整体态势,建立个体用户画像和群体用户画像
基于安全场景的可视化呈现 - 基于不同的安全场景,建立安全态势感知模型,建立指标提取、分析、展现规范。最终可以输出模型告警、报表、管理视图、领导视图
..................................................................................................................................................................................................................................................................
| 项目价值value
打通广西移动多个业务平台的数据交互和业务数据共享
通过构建sdc(安全大数据中心)实现安全类、管理类以及其他基础环境数据的集中存储和共享,实现多个安全业务平台的数据交换
建立集中式安全告警体系
本平台作为安全告警的集中输出窗口,通过与工单系统对接,实现集中安全运维,大大提供安全运维效率
活动重保支撑平台
平台内置活动日历和重保经验知识库,可在重保期间,进行活动安排、关键指令下发等关键活动,亦可作为重保培训的实战平台
项目推广
本项目的经验和成果可快速推广至全国其他运营商省公司
