一、产品简介

北斗网络安全运营平台以大数据平台为基础，通过收集多元、异构的海量日志，利用关联分析、机器学习、威胁情报等技术，结合平台自动化安全技术，实现自动化线索取证、自动化威胁研判、自动化误报分析、自动化制定处置方案、自动化联动处置等安全事件运营自动化能力，为政企客户提供可持续提升安全事件运营能力的框架，为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。通过集成编排和自动化的技术，将安全专家的经验固化成剧本，让“安全专家”7x24小时的为政企客户提供安全值守服务。

二、功能指标

日常安全运维工作的有力工具

对于日常安全运维而言，核心的工作内容就是对IT资产中的网络设备、安全设备及重要业务系统进行持续监测，确保网络、主机、应用、业务、重要信息系统和人员资产的安全。更具体地说，就是要持续监测并识别针对各种IT资产的性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。借助网络安全运营平台，客户能够统一收集来自网络中IT资产的运行信息和日志信息，通过分析这些数据，识别各种攻击威胁、违规与信息泄露等行为，协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告，成为客户日常安全运维的有力工具。

先进的安全态势分析能力

平台能够综合收集到的安全信息要素，基于面向总体安全态势的认知和监测进行数据的融合、关联分析和挖掘分析。这其中包括对资产及业务系统受到的攻击威胁和自身风险程度的分析、复杂攻击的攻击过程及攻击目标分析、攻击的危害及影响范围分析、攻击威胁溯源分析、外部威胁情报与内部安全信息比对分析等，以多种分析手段支撑平台的安全态势分析

全方位的态势感知

平台通过资产态势、攻防态势、脆弱性态势、风险态势等多个维度来覆盖安全态势各个方面，来实现全方位的态势感知。

缩短响应时间

通过自动化技术，尽可能多的自动完成一个安全事件处置流程中相关步骤，从而缩短响应时间即MTTR。

释放人力

让安全专家从繁重的重复劳动中释放出来，将时间放在更有价值的安全分析，威胁猎捕，流程建立等工作上。

安全运营流程标准化

将公司的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控。

避免能力断层

将安全专家的经验固化成处置预案Playbook，让不同的人都可以遵循同样的方法来完成特定安全事件的处置流程，避免因为个人的离职导致某个领域的安全能力缺失。

运营流程指标可度量

因为运营流程都通过Playbook数字化管理且每一次的执行过程都记录在案，因此流程的KPI如MTTD、MTTR、TTQ、TTI等全部可评估，可度量，可追踪。

安全运营决策支撑

通过对公司的所有运营流程数字化管理、数字化执行、数字化KPI评估后，管理者可以有效的评估什么流程基本无用，什么流程执行效率不高，什么流程发挥了最大的作用，甚至什么安全设备在所有流程中被使用的价值最大。从而为以后的安全投资决策，安全团队建设决策提供有价值的数值化支撑。

满足等级保护2.0以及网络安全法的相关技术要求

网络安全运营平台在设计之初就充分考虑的国家制定的信息系统等级保护制度中对于平台的安全设计技术要求。平台能够帮助客户更好地遵从等级保护的基本安全要求和安全设计技术要求。

契合信息安全管理体系的监测与评审要求

平台参照《GB/T 20984 2007信息安全风险评估规范》、《 ISO 27005:2008 信息安全风险管理》等规范，以及 OWASP 威胁建模项目中风险 计算模型的要求，系统提供实用化的风险计算模型，实现了量化的安全风险估算和评估 。

三、典型案例（苏州银行自动化安全响应分析平台）

为了切实提高中小银行信息安全的主动防御和动态防护能力，基于SOAR技术研究、设计、研发自动化安全响应分析平台，让企业的安全专家从繁重的重复劳动中释放出来，将事件应急响应的经验转化为剧本，将企业的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控。从而极大程度的降低了MTTD（平均检测时间），能够更快更准确地检测出攻击和入侵。同时基于SOAR技术可以将处置过程编制成剧本，降低MTTR（平均响应时间），从而提升企业整体网络安全运营效率。在自动化安全响应分析平台中运营流程具备数字化管理能力，每一次的执行过程都记录在案，因此剧本流程的 KPI 如 MTTD、MTTR、召回率、准确率、覆盖率等全部可评估、可度量、可追踪。通过对企业的所有运营流程数字化管理、数字化执行、数字化KPI评估后，管理者可以有效的评估什么流程基本无用，什么流程执行效率不高，什么流程发挥了最大的作用，甚至什么安全设备在所有流程中被使用的价值最大。从而为以后的安全投资决策，安全团队建设决策提供有价值的数据支撑。

项目特点：

面向业务安全管理

系统内置业务建模工具，反映业务支撑系统的资产构成 ，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度分析业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。

全面的数据采集

可以通过多种方式来收集设备和业务系统的日志，例如 Syslog、SNMP、FTP、NETBIOS、ODBC、WMI、Shell、PowerShell等。

从实战出发的调查取证和自动化处置

平台支持利用SOAR引擎提供的剧本能力实现自动化取证能力，并提供取证工具可线上或线下辅助安全运营人员完成取证工作，并通过系统系统的分析研判工作台完成证据链梳理，线索拓线、溯源分析，提升安全运营人员分析研判效率，并借助SOAR剧本引擎实现自动处置实现快速止损。全面提升安全运营的分析研判和处置响应效率。

全面的漏洞管理

平台漏洞扫描模块支持与其他安全厂商漏洞设备集成，实现实时高效联动，内置配置核查功能 从技术和管理两个维度进行全面的资产和漏洞管控。

全面的威胁情报管理

系统支持通过API或人工方式维护外部威胁情报，并且支持通过内部的安全事件利用系统提供的调查取证、事件复盘功能生成内部威胁情报，并支持威胁情报的共享。系统支持基于威胁情报的预警分析、漏洞快速筛查、溯源分析等功能。