网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　威胁数据不能贯通，无法追溯到攻击源头：当该省运营商的任一家分支单位遭受攻击，省公司又如何发现攻击者是否对其他分支单位也进行了攻击，以及攻击者具体的攻击信息，并溯源到攻击者的源头，防止攻击者再次入侵其他分支单位。

　　分布式集群部署，省、市网络安全协同联防

　　基于某省运营商的网络安全现状，以及下属市分公司整体情况，天眼与该省运营商达成合作。天眼通过“分布式集群”部署模式，对运营商省公司DCN出口、互联网出口、云平台出口，以及省内近20个地市公司DCN出口总计约150G大流量实时监测，帮助该运营商实现省公司、各地市公司流量的全面采集与威胁检测，最终达到告警在省平台统一分析和展示的目标，提升了省、市公司网络安全协同联防能力。

　　图 某省运营商APT高级攻击态势监测项目

　　在省公司侧，通过部署在省机房的天眼流量传感器对省公司DCN出口、互联网出口、重点业务出口逾100G流量进行采集监测。经天眼探针检测分析后，把相应的告警数据及流量日志转发到本地机房的天眼分析平台集群，同时把还原出的文件转发至本地机房的天眼文件威胁鉴定器。接着，文件威胁鉴定器对文件进行检测分析后将告警数据转发至分析平台集群。分析平台再通过对收集到的探针、沙箱数据进行整体分析后，精准定位省公司存在的网络安全威胁。

　　在各地市侧，将天眼探针部署至近20个地市公司机房，对各地市DCN流量进行采集分析，并将检测后的告警数据、流量日志通过专线转发至省机房的分析平台，分析平台基于收到的数据进行集中分析，实现省公司对各地市公司网络威胁的统一监测与管理。

　　应用效果明显，自运营让天眼价值最大化

　　“部署了天眼之后，我们现在可以通过省统一的分析平台可视化查看到全省及所有地市公司的安全态势，包括威胁事件态势、资产态势、脆弱性态势等各类展现攻击情况的态势。”正如该省运营商网络安全部相关负责人所说，天眼帮助运营商全省各市公司持续监控攻击、统一处理威胁，就像交通路网智能监测系统一样，可以对重大突发事件预测预警及应急处置，还可以对全省路网运行及重大交通突发事件指挥调度。

　　省各地市单位部署了天眼之后，分别将流量的原始数据和日志数据传输到省公司天眼分析平台，与省公司各节点探针搜集上来的数据进行碰撞、综合关联分析，自动将数以万亿的零散告警形成智能化的攻击事件链条，并对受害目标及攻击源头进行精准定位，最终达到对攻击者入侵途径的研判与溯源。“原来近20个地市的网络安全各做各的，现在天眼帮我们把省市的安全都串联起来，换个角度讲，只要攻击者从任何一个市进来，我们都能掌握他的行踪轨迹，看他是否也侵犯到了其他市，从而追溯到攻击源头。”该省运营商网络安全部相关负责人表示，天眼系统帮助集团有效提升了网络安全持续防护能力，保证了省运营商业务的正常开展。

　　不光在攻击检测有效性上发挥了作用，在事件响应处置高效自动化方面，天眼与终端、防火墙等设备协同联动的能力，也切实帮助该省运营商快速定位到感染主机和恶意软件，及时阻断威胁，提升了威胁响应和处置的效率。

　　终端上检测出恶意软件，通常需要调用杀毒软件尽快查杀；检查出内网在连接外部非法IP，可能需要调用防火墙去封禁...这些设备都需要去人工调用，费时费力，威胁响应效率不是很高。“而天眼的自动化能力，则完全摆脱了这种模式。我们日常发现恶意告警之后，通过天眼平台可以1秒内联动其他设备下发操作，比如联动防火墙封禁IP”。该省运营商客户表示，有了天眼之后，安全人员的威胁运营效率大大提升。

　　2021年，为满足政企客户“建党百年庆典期间”对信息基础设施的安全防护与保障需求，助力各级政府、企事业单位营造建党百年的良好氛围，该省运营商启动建党百年“守护行动”，活动期间防护准确率100%，有效保障了关键信息基础设施和政企客户的网络安全稳定。

　　“我们没有用乙方的安服同事，运营天眼设备的人员都是我们集团内部自己的人，因为天眼设备的易用性，让我们有信心把天眼设备用好，天眼设备的管用性，也让我们想投入自己的人员去运营。”该省运营商网络安全部相关人员表示，从威胁监测到响应处置，再到溯源分析，每一个环节他们都亲历过，也真真实实感受到天眼在检测能力和检测效率上的优势，他们愿意主动投入人员自运营，让天眼的价值充分发挥。

　　图 天眼网络安全态势大屏

　　后记：