某能源集团现有能源开发、专业技术服务、炼化与销售、天然气及发电、金融服务5大业务板块，并积极发展新能源业务。集团及各单位建设千余套信息化系统，网络空间资产以数十万计，虽然方便生产经营，但同时也存在各类漏洞和威胁问题。
2.必要性
随着集团公司业务的迅速发展，网络规模越来越庞大，集团内各级单位、外部接入单位之间的数据交换量逐渐增大，网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大，主要问题如下：
1.网络和业务环境复杂：集团公司当前网络环境包含分布式的集团数据中心、二三级单位分支机构、云服务等，业务系统存在节点多、访问关系复杂的情况。
2.安全事件分析难度大：随着集团网络的不断延伸与扩展到下级单位，网络中的关键安全设备和业务服务器产生了大量的安全事件日志，安全人员难以在海量数据中追查网络攻击事件的攻击者和影响情况。
3.威胁追踪能力滞后：集团公司所在行业的业务属于各类黑客组织和个人的重点“关照”对象，面临0day攻击、APT攻击、社会工程学攻击等安全威胁，而传统的安全产品对于威胁定位和识别能力比较滞后。
4.缺乏安全事件还原技术：常规安全产品不能有效的识别和保存网络流量，使得安全运维人员难以还原“第一案发现场”，排查故障问题和安全问题的效率急剧增加。
5.缺乏未知威胁感知能力：每年国家组织的攻防对抗活动、重保活动中，集团公司对于未知威胁和“0day”漏洞造成的影响了解甚少，需要引入新的技术来提升未知威胁的感知。
3.价值提升点
自2021年开始集团公司以“十四五”信息化发展规划为指导，构建安全、可靠、稳定、高效的全流量安全防护体系，主要从以下几方面发挥价值：
1.健全集团数字化资产库建设：通过接入集团网络流量、网络设备和业务系统日志动态自动识别资产数据，并结合静态已有资产台账录入确认资产身份，实现“动态+静态”数字化资产库。
2.健全横向攻击监测预警能力建设：在满足等保2.0相关要求的前提下，通过对网络流量的深度分析，实现对内网横向攻击监测感知能力。
3.健全网络威胁分析能力建设：通过对集团办公网、二三级单位网络出口和集团互联网出口的全流量监测，提升了集团公司的安全威胁溯源能力、预警能力和安全保障。
4.健全攻击溯源反制能力建设：通过WEB检测、主动扫描、密级标志等安全手段，实现更精准的溯源和反制能力。
加强重要保障时期挂图作战能力：通过对各业务区域的网络流量分析与识别，结合地理空间数据模型关联，形成重要资产和数据的分布地图、关系图谱，再结合网络安全威胁情报碰撞，实现网络安全“挂图指挥”。

2019年-2022年，集团公司逐步开展建设全流量安全大数据运营平台，经过三年建设集团日常网络安全管理实现资产识别智能化、安全响应流程化、威胁处置自动化，业务发展已覆盖“感知洞察、风险可控、协同高效、数字创新”的十六字方针战略。
优势
1.基于业务视角的安全体系，是设计模式的创新
全流量安全大数据运营是一个体系化方案，是在网络对抗实战过程中，不断摸索总结和开发出来的，区别于传统的系统或平台的开发模式。全流量安全大数据运营平台一站式的数据处理、页面构造能力的低代码开发平台，提供了一种简单、快速和灵活的方式来构建应用程序，使非专业的开发人员（如现场安全工程师）也能够参与到应用程序的开发中。
2.集成多源异构海量数据，是应用和交互的创新
(1)数据多源提取快捷：全流量安全大数据运营平台允许从不同的数据源中提取数据，并将其整合到一个统一的数据模型中。提供各种数据处理功能，如筛选、排序、聚合等，以便安全分析和运维人员可以根据自己的需求对数据进行处理。
(2)数据共享交互便利：平台提供了各种与外部系统的连接方式，如API集成、数据库连接、Web服务等。这些连接方式允许用户将平台上构建的应用程序与其他系统进行数据交换和通信。用户可以通过配置和定义连接参数，实现与外部系统的数据共享和交互。
(3)应用集成开发灵活：用户能够将开发的应用程序无缝地与其他系统进行集成，并将其部署到适合的环境中。提供了更大的灵活性和可扩展性，使他们能够将应用程序部署到不同的环境中，满足不同的业务需求。同时，这也简化了应用程序的维护和更新过程，提高了开发效率和用户体验。
(4)不同品牌系统兼容：针对已经部署流量分析设备、日志审计设备可以利旧直接使用，并可以下发策略进行敏感数据发现、流转行为审计、数据使用监测、数据泄露及非法盗取行为识别，建设成本预估只有全新建设的20%。
3.安全大数据场景化应用，是业务和安全运营的创新
(1)集团业务资产发现和识别场景:通过流量监控等多种资产采集方式, 自动获取资产和开启的服务。对关注区域内的资产进行分析与统计, 便于安全运营部门, 对集团内重要信息系统资产、物联网设备资产等了解和掌控。
(2)漏洞引起的业务风险监测场景:根据系统预置常见、热门漏洞, 根据资产组件特征判断漏洞影响资产数量; 基于对资产和漏洞的统计分析, 对资产的数量、分布、组件应用以及漏洞、威胁资产进行深入的态势感知及告警, 实现资产、漏洞的安全监测。
(3)预警违规外联、数据泄密隐患场景:自动发现管理网内同时连接内网和互联网的设备, 上报设备内网IP地址、互联网出口IP地址、外联时间及访问的网址。自动发现内网环境下连通互联网的风险设备点, 上报设备信息, 及时预警。
(4)资产管理评估场景:监控资产设备使用规范性，发现企业内部的违规性行为， 精准推送资产漏洞并结合特制漏洞专扫、弱口令专扫等, 实现区域内网络资产合规性、违规性、存活性、脆弱性的综合检测与评估。
集团网络攻防演练评估场景:绘制业务资产运行状态图和威胁分布状态图，在业务运行、网络攻防和重要时期保障的实践中, 为业务安全、威胁情报、网络靶场等应用提供精准的攻击效果评估。

(1)资产暴露面收敛
A.资产暴露面梳理，通过镜像数据中心服务器区的流量，结合集团公司公网IP地址段信息，对业务资产的流量数据进行统计，形成各类协议、端口、应用流量TOP表。
B.资产热力分析，通过资产流量会话和资产操作统计，形成资产热力分析图。
暴露面收敛，通过资产梳理的结果数据和资产热力分析，对比资产所有端口一周内的流量变化情况，梳理出访问量比较小的边缘业务，关闭没有流量交互的端口，关闭不常用的边缘应用，从而减少资产暴露面。
(2)业务异常识别
通过对重点业务梳理，按照小时、天、月或者自定义周期，建立业务正常基线数据模型，通过周期性基线对比分析，从而发现异常通信行为及未知威胁攻击。
(3)资产访问控制
网络管理人员可以对指定的资产，选取连续七日内的流量作为数据来源，分别统计该业务各天内的访问关系，形成访问关系白名单列表。管理人员可以通过资产的资产白名单配置防火墙以及各种访问规则，完善资产的访问控制。