产品简介：

随着新技术应用和新基建发展，网络安全威胁层出不穷。同时由于组织现有安全建设缺乏有效及长远的安全运营规划，导致安全建设效果不理想、安全运维效率低、安全工作价值难体现等问题。随着内控与合规的深入，相关政策和标准在安全运营和管理方面都提出了明确的要求。因此，亟需建立一套横向贯穿孤立设备，打破数据孤岛的整体安全运营中心。

在此背景下，聚铭网络自主研发了“聚铭下一代智慧安全运营中心”，它是提升用户网络安全建设管理工作的智能化指挥作战中心。平台以“人机共生，智慧运营”为核心理念，依靠大数据挖掘、AI算法、智能降噪等关键技术，构筑全流程自动化的安全动态防御体系。结合用户实际安全场景和业务需求提供专业报告和安全指导，动态优化安全工作流程、组织架构和配套制度，做到弱人工化、重智能化的安全运营，最终实现安全设备、安全数据、安全管理“效能最大化”的目标。

产品体系架构：

1、数据中心安全集中建设：通过下一代智慧安全运营中心的建设，对网络安全状态、数据资产、API数据风险、数据流转、数据安全风险等实时监控分析，同时通过可视化大屏呈现数据资产风险、敏感数据、资产失陷、网络攻击威胁、脆弱性等安全概况，提供一个全面的可视化安全运维平台，方便及时了解整体的网络状况以及安全风险等级。

2、安全联防联控：以资产为核心，为现有安全基础设备产生的告警事件提供充足的研判数据，通过自动编排处置，及时做出处置措施，避免人工参与造成的威胁处置滞后问题；支持自动通知资产所属管理员，让不在信息中心管辖内的资产在出现安全事件时能及时通知到资产所属部门/单位；支持联动边界设备、数通设备，对威胁进行封堵。

3、三化六防安全运营建设：通过对组织、制度、流程的不断建设及优化，建立符合自身情况的常态化运维、应急响应、应急演练等流程或机制，当出现网络安全事件后第一时间响应，保证业务不中断。建设“一个安全管理中心”管理下的“三重防护体系”，逐步建立“实战化、体系化、常态化”的安全防护体系，打造“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护能力。

产品核心功能：

1.安全运营体系化

以资产为核心，在加强安全防御能力的基础上，提升安全设备检测的精准性，强化事件分析、自动响应及处置能力。通过整合安全事件深度分析及海量情报检测能力，建立预测预警机制，并针对性改善安全防御体系，最终达到高效检测、防御新型攻击威胁、直观呈现安全态势与安全建设成果的目标。

通过网络安全制度、策略、流程的梳理，形成安全运营中心的工作机制，实现安全运营的自动化。

2.资产为中心的安全治理

资产识别：系统提供数据目录自动发现识别管理功能。网络资产、数据资产识别可以帮助用户更轻松的发现和理解数据源，使资产以资产目录及资产索引方式直观展示。

敏感数据发现，数据分类分级：系统内置敏感数据特征库，通过关键字、正则表达式、算法等构建丰富的特征项，用于定义敏感数据识别的匹配策略配置，同时特征项支持自定义敏感数据类型和特征，比如个人敏感数据、商业敏感数据、政务敏感数据等。数据分类分级主要用于维护数据类别标签及数据风险等级。平台内置丰富的数据分类分级模型，并支持自定义数据类别标签及数据风险等级，可通过敏感数据发现任务自动打标或手动打标。

资产全生命周期管控：平台采用主被动结合方式，探测网络内存活的设备、系统、组件、数据库、数据仓储等，形成网络资产、数据资产台账，并采集资产通用属性及安全属性信息，识别影子资产、无效资产等问题资产。对资产威胁问题处置流程进行闭环，集问题发现、通知、整改、验证、归档五位于一体。结合漏洞与基线数据对资产进行全方位分析，管理资产的合规情况。

3.数据安全风险评估

动态数据安全风险监测通过对协议及流量实时分析，关注访问源、访问对象、访问方式，梳理数据资产使用状态，数据全链路流动，对数据使用行为和数据接口进行安全审计和风险评估。

静态数据安全风险评估，结合漏洞探测、文件扫描、访问控制检测等技术。对静态数据存储和访问系统的漏洞、访问控制机制、加密措施、安全审计和监控机制、备份和恢复策略等进行检测。从而对数据风险全面、准确的检测。

4.网络安全风险评估

遵循ISO/IE27001：2013信息安全管理标准，通过识别和评估电子信息和系统的保密性、完整性和可用性的风险，全面评估企业的网络安全风险。

识别资产：采集及识别网络环境中的各类资产，包含了对业务运营至关重要的所有设备、数据和应用程序；

评估漏洞：评估资产的风险漏洞，包括识别网络攻击者可能利用的各类脆弱性，例如漏洞、违规基线、弱口令等。

网络安全风险管理：在汇总网络环境内所有风险漏洞后，在GB/T 20984-2022标准的指导下，综合评估资产受攻击情况的严重程度、频次以及脆弱性情况，给每一受影响资产进行风险赋值，为资产风险处理优先级提供决策依据。

5.API数据安全检测

API应用程序接口是一组定义、程序及协议的集合，通过 API 接口实现计算机软件之间的相互通信。API 同时也是一种中间件，为各种不同平台提供数据共享。

通过对API的全面安全监测分析，评估整体数据接口的安全能力。包括识别API滥用、API自身脆弱性、影子API、私有API等API隐患。

通过流量中的数据采集、访问、导入、导出等行为，分析内部数据行为的安全状态。

通过对流量数据的加密状态，敏感数据的保护效果，评估数据传输安全性。

通过对流量中网络参数指标的分析，评估网络环境的稳定性和安全性。

6.API网关控制

客户需要向外部提供 API 接口进行功能访问与数据处理，API 网关成为外界与内部系统之间的入口，处理API 请求，提供统一的API 接入同时提供基础的安全防护能力， API 网关安全管控措施包括:

· 访问控制，多维度的 API 访问控制策略，提取 API 访问主体、客体进行访问控制策略碰撞，自动触发相关访问控制机制。

· 请求转发，结合认证、权限管理、环境、业务安全策略控制服务，实现应用前、后置 API 级的访问请求转发。

· 安全通道，对所代理的 API 调用进行全流量加密从而保证 API 访问通道安全

· 服务路由，将被代理 API 资源服务化,并根据服务类型做合理的服务路由编排，提高用户访问效率。

7.数据流转可视

构建企事业单位全网数据动态监测视图，流量设备合理采集数据活动记录，对关键数据资产的访问情况进行主动梳理，基于数据血缘分析技术，以数据资产承载对象、访问主体、存储位置、接口流向、数据标签等视角进行多维度统计分析，实现数据流转可视化。

8.数据包归类智能研判

平台可以快速接入各类告警信息，基于人工智能算法结合内置检测规则、专家经验对海量告警风暴自动去重降噪，减少冗余告警，聚焦处理核心安全事件。此外，通过自动化识别技术，对分类标记的噪音数据进行过滤，实现安全事件分类自动研判，加速威胁分类判定及处置效率，降低日常运维过程中安全运营人员处置海量告警数据的工作量。

除了本地平台助力安全威胁事件高速研判，平台还支持“云地协同，专家赋能”模式，本地运营人员可以将告警事件相关数据上送云端，云端安全专家在对攻击事件进行二次研判后下发检测规则至本地平台，本地安全运营中心在深度融合人工智能算法及专家级定制规则后对类似告警信息进行自动研判。

通过以上流程及能力，平台助力用户形成标准的告警事件研判处理流程，提升团队安全事件管理能力，让业务运行更可靠。

9.自动化编排响应处置

所有的攻击威胁发现，没有及时的闭环响应处置都是无济于事的，处置响应能力为安全运维人员提供便捷的处置方法和相关的处置建议，运营中心具备自动化编排响应能力和安全检测加固能力。

基于SOAR技术的自动化应急响应，将原本需要人员参与的安全事件处置流程转变为安全剧本。将事件处置过程中人、安全工具及能力、流程等参与元素和环节进行可视化组装编排，降低对人工参与的过度依赖。有别于单独的SOAR产品，聚铭安全运营中心通过能力接入将剧本编排能力与平台进行轻量化集成，编排能力与平台进行深度耦合，通过编排与运营两大体系协同作战增强安全运营合力。

平台独有的启发式联动响应能力，在不依赖三方安全设备开放接口对接的前提下，自动化执行响应剧本，进一步降低安全运营人员的工作负担，提升工作效率。

平台提供移动端接入能力，通过平台及移动端协同作战，能让安全运维人员不受时间及地点影响参与及响应安全事件处置流程，确保每一个漏洞能得到及时修复、每一个黑IP能得到快速封禁、每一个安全告警能得到有效处理。

聚铭下一代智慧安全运营中心创新利用安全设备、SIEM和SOAR，结合大数据分析技术、人工智能技术，寻找未知的攻击向量以及长期未检测出的攻击迹象，更加注重通过主动式、智能化的特性来实现合规性。平台总体具备五大核心安全能力，包括安全监控能力、威胁情报能力、攻击面管理能力、事件响应能力、取证分析能力。依托这五大能力可以帮助组织提升积极的主动防御能力和对高级威胁的洞察力，从而构建更加稳健的安全态势。

技术优势：

1、更体系：上下联动统一监管，安全运营整体掌控

预置安全运营自循环内部协同流程，覆盖安全问题发现、监控、告警、处置、知识库沉淀全流程，便于安全运维团队成员进行威胁分析和处置。

在“事前安全预防-事中安全监测和威胁检测-事后响应处置”整体方针指导下，通过可视化分析技术，直观呈现安全态势与安全建设成果，达到“事态可评估，趋势可预测，风险可感应，知行可管控”的安全运营目标。

2、更全面：主动被动全面采集，八大专项分析能力

八大专项分析能力：攻击威胁特征分析、威胁情报分析、失陷分析、文件还原威胁分析、异常行为分析、网络异常分析、隐蔽外连分析、其他安全分析，全流量立体化威胁检测，多层次、全方位覆盖安全分析的每一个层面。

全面采集网络安全数据，为态势理解和预测打下数据基础，主动式采集方式支持 WMI、SMB、KAFKA、CONSOLE、Telnet、SSH 等；被动式采集方式支持 Syslog、SNMP Trap、Netflow、Web Service 等。

3、更精准：精准失陷分析研判，六层溯源深度定位

六层溯源下钻深度挖掘：系统评分、失陷主机、多维威胁数据（情报、资产、日志、安全事件、脆弱性、流量）、事件级、会话级、PCAP 数据包，下钻分析安全事件无需分设备查看，一钻到底溯源取证。

基于“多重迭代验证”等专利技术精准研判安全事件和失陷主机，实现 100万：10:1 的安全事件降噪能力。

4、更自动：启发式联动响应处置，确凿证据定向抓捕

安全运营中心所具备的自动化编排响应能力，不仅能将分散的安全工具和能力通过流程进行可视化组装编排，平台独有的启发式联动响应能力，在不依赖三方安全设备对接的前提下，能自动执行响应剧本进行风险处置，降低对人工的过度依赖。此外编排能力与平台的轻量化集成、移动端与平台协同作战，将团队、工具和流程进行高度融合，极大增强安全运营合力。

使用绿色版终端抓捕工具，无需安装 agent，即可在失陷主机上对挖矿、木马软件、病毒程序等进行精准抓捕，让恶意软件无处遁形。

建设效果：

1、融合共建 高效运营

对接第三方安全设备，采集多维安全数据，构建异构融合的安全生态基座，提升安全运营效能。

2、设备纳管 联防联控

集中管控各类安全设备，实时监控运行状态及可用性，通过安全接口的统一策略联动，形成联防联控安全防御体系。

3、人机共生 化繁为简

通过自动化、智能化的内置流程模块，规范化安全运维工作，大大降低对应急响应和日常巡检的人工投入，让安全工作化繁为简。

4、云端赋能 持续生长

云端安全中心实时同步最新情报、配置、策略、运营等安全数据，在云端高级安全专辑协同服务加持下驱动安全运营体系持续生长。

应用场景：

场景一：等保合规建设

安全运营中心提供的流量威胁感知、UBA 、日志审计与检索等功能，可以帮助客户有效满足等级保护合规要求，同时安全运营中心可帮助客户实现等级保护标准要求中关于安全管理中心相关的要求，在满足等保要求的基础上，切实提升客户网络安防实力。

场景二：重要时期保障

针对企业机构重保场景，聚铭下一代智慧安全运营中心可化身为安全产品中的“指挥中心”——智能中台，专门负责各类安全产品的数据接入、协同分析和实时联动，为用户打造边界、流量、主机的纵深安全体系，实现对任何安全威胁的秒级封禁，守护用户在重保时期的信息安全，确保重保强攻防对抗下看得清、防得住。

场景三：运维资源不足

针对大量安全事件，面临溯源调查过程繁琐、响应速度过慢、运营知识随人员的流动而流失，所造成的安全能力断层、运维资源不足等问题，需要缩短 MTTR（平均修复时间），规范安全运营流程标准化，提升整体安全事件响应效率。聚铭下一代智慧安全运营中心可针对安全事件为客户提供安全编排剧本，实现高效的自动化响应处置。

· 剧本式响应：将原本需要人员参与的安全事件处置流程转变为安全剧本，降低对人工参与的过度依赖。

· 移动端协同响应：安全事件处置动作及结果推送至个人微信或群组，事件处置不受时间、地点限制，一键审批处理流程，自动执行编排剧本。

· 启发式联动：与第三方厂商设备联动，无需复杂对接，降低安全运营人员的工作负担。

· 轻量化集成：编排能力与平台进行深度耦合，增强安全运营合力。

场景四：多层级态势感知

针对大型集团或行业安全运营情况监管场景，上级单位需要对下级单位，或者集团总部需要对各分支机构的安全情况统一了解、统一监控。通过构建覆盖安全态势、平台态势、业务态势的一体化安全运营中心平台，实现客户多层级安全运营管理需求。

场景五：城市级安全运营中心

随着智慧城市建设的不断深入，国家对智慧城市安全运营的要求也逐步明确：智慧城市安全运营者不仅需要具备监测智慧城市安全风险，分析安全态势的能力，还要能够发现智慧城市安全事件和脆弱性，防范、阻断网络攻击等。聚铭下一代智慧安全运营中心满足智慧城市安全运营的专用性需求。

推广应用情况：

聚铭下一代智慧安全运营中心，通过“运营组件＋运营平台＋运营专家＋运营机制”的有机结合，助力企事业单位整体安全运营体系质量发展。目前，该运营体系已经在政府、高校、医疗、金融、能源等各细分行业领域超500+客户单位成功落地实践，累计发现40W+安全漏洞，日均响应用户2000+次，实现100%安全事件工单闭环率，极大地推进了我国网络安全和数据安全建设进程。