重保任务重，HW压力大？看多维融合重保解决方案如何为您解忧！

01提高组织协同效率

• 解决应急响应、应急预案等关键安全活动缺乏信息化支撑的问题，导致组织协同效率低，包括内部组织、外部组织（安全外包服务提供商）。
• 解决多厂商、多人协同，沟通成本高、执行效率低、速度慢的问题。

02解决安全数据孤岛问题

• 解决多设备、多品牌、多平台（态势感知平台、SIEM、WAF、IPS/IDS）数据孤岛，数据协同难度大，误判高、可维护性差的问题。
• 解决具有相同或重复任务的大量告警时，容易产生告警疲劳，可能导致响应时间延长的问题。

03优化成本，提高质效

• 解决重保任务重、HW压力大、7*24小时安全监控和应急响应要求的问题。
• 解决重保期间需要投入大量人力、物力的问题。

04提升响应能力

• 解决数十分钟完成告警研判、攻击封堵，封禁后，人工解封、人工重复操作、耗时耗力的问题。
• 解决无法实现7*24小时自动处置，需要人员三班值守的问题。
• 解决安全响应事件缺乏流程化管控，沟通强度高、及时性不高的问题。

05解决自动化技术赋能安运的问题

• 解决安全设备无法自动化巡检、分析、预警的问题；
• 解决安全报表无法自动化生成的问题；
• 解决安全设备无法联防联动的问题；
• 解决无法自动化封禁、解封的问题。

1全网资产梳理，构建资源全周期的管控体系

全网资产洞悉，掌握资产变更，事件响应聚焦，精准运营，组建以资产为中心的安全管控模型。

2解决孤岛

用流程化、自动化驱动安全任务执行，实现跨品牌、异构安全环境下，全面整合安全设备、安全系统之间的数据，解决各安全设备之间信息孤岛问题，提升安全攻击分析、研判效率。

3设备联动

构建防护“智能助手”，帮助运维人员将事件应急响应处置过程自动化、流程化、标准化。实现安全监控设备、安全分析设备和安全阻断设备进行联动，提高攻击阻断、应急响应的实时性。

4自动化

用流程引擎自动化驱动安全任务执行，并构建场景化，实现安全设备自动化巡检、分析、预警、安全报表自动化、安全设备联防联动、自动化封禁及解封、全自动完成多项任务协作。

5智能分析

实现攻击阻断准确性需求，结合威胁情报信息、地理位置信息、白名单、阶梯解封模型等技术，解决攻击阻断的及时性和准确性，对攻击IP进行自动化分析和过滤。

平台价值描述

建立完整的“预测、防御、检测、响应”闭环，深化“全面、整合、自动化、验证”理念，实现高效率的应急响应，助运维人员将事件应急响应处置过程自动化、标准化、集成化，具体如下：

• 自动化：将分析、研判后的攻击地址自动化下发边界防火墙进行阻断。
• 标准化：自动提取安全态势感知平台、SIEM、IDS等设备的安全告警信息。
• 集成化：联动威胁情报系统，资产管理系统、运维监控系统。

用户收获以及解决的问题

01提高组织效率，提升重保效率

实现快速、高效、精准的攻击阻断，安全设备自动化监控与分析，实现7*24小时无人值守；实现组织协同数字化，安全运维管理数字化。

02解决时效性问题

采用自动化技术，解决人工维护时效性弱的问题，提升重保保障能力和水平；实现全自动完成多项协作任务：识别封禁对象、判断黑白名单、丰富封堵IP信息、下发封禁指令、下发解封指令、维护封禁列表。

03提高安全事件响应处置效率，构建安全应急响应管理平台

实现人人、人机协同的“作战室”，安全团队可根据不同角色身份，在安全事件响应过程中指派不同任务，协同工作，提高应急处置工作效率；实现预案管理、演练管理、应急管理及应急指挥数字化。

04解决安全数据孤岛

实现多设备、多品牌、多平台（态势感知平台、SIEM、WAF、IPS/IDS）数据统一存储；安全设备通过规则引擎、流程引擎实现安全设备自动化联防联动。

05实现网络安全管理信息化、自动化

实现运营保障功能、测试管理功能、威胁管理功能、等保管理功能及互联网监测功能信息化、自动化。

成果分享

落地过程

01资产梳理，构建资源全周期的管控体系

资产梳理是安全管控的第一要务，需要持续的迭代资产管理。方案中建议构建完善、全面的资产管理体系、资产关联关系、逻辑资产和物理资产的关系，并且进行持续的监控，对资产的位置变动、运行变动、状态异动均需要及时预警。

首先，在资产梳理中，我们引入了全周期资产管理系统，并且把终端管理系统、数据中心监控系统（DCIM）、业务智能运维系统、安全运营中心/态势感知平台等四个系统的数据汇聚到全周期资产管理系统中，构建完善的IT资产管理系统。

其次，在IT资产管理系统中构建二次流程，将终端设备领用、租借、网络设备及服务器上架下架、云主机上线下线、业务系统上线下线以及安全策略列表等进行流程化管控，对资产的增、删、改进行实时的监控和全过程管控，确保资产管得住、控得住，为下一步的安全设备联防联动提供精准的数据支撑。

最后，建立自动化的资产漏洞及安全基线扫描策略，将资产漏洞和不安全配置项与资产进行关联，建立立体化的资产管控体系。

在多维网络安全重保平台上，我们提供了系统化的完善的整体解决方案，包括IT融合管控平台、多源数据整合平台、业务智能运维系统、DCIM系统、终端监管系统、多云融合平台以及流量分析等子系统，既可以满足接入客户现存的监控平台，保护投资，也可以增强及弥补当前监控系统的短板，构建更加系统化的整体监控平台。

02安全数据整合及联防联动

1多源攻击告警信息提取

●多种方式收集安全态势感知平台（绿盟、天融信、启明星辰、奇安信、绿盟、安恒、中睿天下等）、SIEM、IDS（绿盟、安恒、启明、深信服等）等的攻击告警信息。

2安全自动化技术、降低误封率

● 采用剧本、工作流自动化等技术，替代原有的人工频繁、重复的任务，以提高网络安全团队的效率；

通过解封算法、白名单技术，关联外部威胁情报、地理位置情报能力，提升处置过程的准确性，降低攻击IP误封给业务正常运行带来的风险。

3防火墙联动、攻击阻断

●采用二次开发接口方式与边界防火墙（绿盟、天融信、启明星辰、迪普、华为、H3C、山石、奇安信等）进行交互，实现读取数据、下发策略、获取状态，实现联动和攻击自动化阻断。

4多种封堵模式、提高系统灵活性、完善的攻击封堵报表

●采用“重保”和“日常运维”两种封堵模式，通过自动化设计器自定义应急处置流程。既可确保重保期间攻击IP封堵的自动化和全面性，也可灵活适应各种应急响应场景。系统提供完善的攻击封堵报告，支持在线查看以及导出下载。

03自动化设计与实施

由专业的安全技术团队整理安全运维的痛点，针对痛点形成解决方案，并完成自动化需求分析和场景设计，然后在多维网络安全重保平台中实现流程编排、规则引擎设置及剧本编写，通过测试、演练、试运行后完成正式上线。

自动化设计与实施的具体案例如下：

01WAF防火墙自动化运维场景

需求痛点：

“护网HW”是国家部署的一项以攻促防，查漏补缺，筑牢网络安全防线的重要行动。运维人员需要每天不断查看多个Web防火墙中的数据，识别高危攻击，执行IP封禁，工作量大，占用大量的运维时间，及时性差且存在人力瓶颈。

解决方案：

• 通过实时抓取安全威胁信息，分析攻击事件特征，识别高危攻击源，即时对源IP实施封禁。
• 自动查询威胁数据，核对攻击频率，对高危IP进行封禁，并发送预警邮件至管理员，解放安全运维的人力资源。
• 实现7*24小时自动监控，提升了威胁响应及时性，实现安全事件处置闭环，提升网络安全防护能力。

02安全系统巡检运维场景

需求痛点：

网络安全多设备、多品牌、需要多人协同完成巡检任务（态势感知平台、SIEM、WAF、IPS/IDS），耗时耗力，缺乏发现故障的流程化、完整的跟踪记录和责任的划分与监督。导致安全事件出现后很难快速、准确地找到根本原因，也无法及时地找到相应的人员进行处理和修复。

解决方案：

自动进行系统巡检，解决了人工维护时效性差的问题，提升业务稳定性，降低运维支出。

04安全事件应急响应

05安全应急响应管理

05网络安全管理信息化、自动化

联系方式

贵州派诺信息技术有限公司

http://www.gzpilotsafe.cn

商务咨询 陈总

电话：17708510971

邮箱：5077511@qq.com

技术咨询 刘总

电话：18987870098

邮箱：282216785@qq.com