威努特态势分析与安全运营管理平台_安全态势感知系统

威努特态势分析与安全运营管理平台

威努特态势分析与安全运营管理平台，为实现企业的安全目标为宗旨，以等保、关保为参考依据，提供覆盖安全防护、安全运维、安全建设管理、安全工作考核全过程牵引和技术支撑。数据分析实现多种数据的多维度数据分析，建立各种模型基线，识别未知异常和威胁。通过多种探针多种协议，采集网络中的主机、设备、日志和原始流量信息。

立即咨询

首页 > 产品中心 > 网络安全 > 威努特态势分析与安全运营管理平台

安全运营现状和困难

客户价值（运营者视角） icon

资产业务关系更清晰
自动发现系统资产，全面刻画资产硬件、操作系统、应用程序、访问关系、安全策略、漏洞、告警信息

攻击可溯源
自动对系统遭受的威胁攻击进行统计、分析、溯源。

漏洞和风险可视
自动分析资产的漏洞和风险，提供多维统计报告。

海量告警问题得已解决
基于规则库对海量单点安全事件进行合并、去重、范化、分级、关联分析，大幅降低误告警。

运维效率显著提升
资产统一管理、策略统一配置、日志统一收集、告警统一分析

安全可视化
组态化拓扑，一张图展示系统所有资产、链路、运行、告警信息。

客户价值（等保合规视角） icon

下图为等保安全框架，从中可以看出，运营平台自身是安全管理中心和监督检查部分的产品实现，同时对定级备案、等保测评、监督检查等安全工作提供了技术支撑和数据参考。

客户价值（关保合规视角） icon

下图为关保安全技术框架，从中可以看出，运营平台本身是关保技术要求中的监测预警部分的产品实现，同时为识别认定、安全防护、检测评估、事件处置等技术环节提供了技术支撑和数据参考。

安全运营平台设计思想 icon

为实现企业的安全目标为宗旨，以等保、关保为参考依据，提供覆盖安全防护、安全运维、安全建设管理、安全工作考核全过程牵引和技术支撑。

贯穿落实常态化运营要求 icon

落实“三化六防”贵在满足常态化要求，切实将日常安全工作做到位，平台能够帮助运营者实现日常安全监测、安全巡检、安全事件分析、安全响应处置、定期进行漏洞检测、安全配置检查、安全风险评估，构建了安全防护、安全监测、分析预测、响应处置的闭环体系，切实落实常态化安全运营工作。

安全运营平台技术框架 icon

安全应用
基于采集和数据分析模型数据、实现态势分析、资产管理、监测预警、脆弱性管理、追踪溯源、事件处置、趋势预测、合规评估、数据报表等安全功能。

数据分析
实现多种数据的多维度数据分析，建立各种模型基线，识别未知异常和威胁。

数据处理
实现数据的过滤、去重、范化、转换等，通过ETL构建态势基础数据集。

数据采集
通过多种探针多种协议，采集网络中的主机、设备、日志和原始流量信息。

综合态势

从集团整体和分公司维度展示集团及下属公司资产和安全情况，该态势可反映系统全局资产和安全情况。

系统概览

以拓扑图、地图、园区图等方式展示集团及下属公司分布，悬浮展示各区域资产、漏洞、威胁情况。

安全概览

整体及各区域、风险评分、合规评分、风险资产排名、告警数量和趋势统计

资产概览

各类资产数量、运行情况、活跃情况

资产态势

展示系统整体和各区域各类资产数量、告警数量、服务分布和网络连接情况，该态势可反映系统整体资产和分布情况。

资产拓扑

组态化拓扑绘制，内置电力、轨交、能源、市政行业拓扑模板，基于模板简单修改即可完成系统拓扑的绘制，资产和拓扑动态关联，实时反映资产状态。

资产分布统计

统计各区域内各类资产数量、告警数量、防护情况

资产应用及服务统计

系统内各类资产数量、操作系统类型统计、活跃度统计、服务统计

运行态势

实时监测并展示系统内资产的可用性、运行情况、漏洞和告警情况。通过简单直观的颜色区别描述并展示系统资产的在线、离线、正常、异常、危险情况，该态势可反映系统整体运行情况。

可用性监测

通过简单直观的颜色区别描述并展示系统资产的在线、离线、正常、异常、危险情况。

运行异常监测

实时监测并展示资产CPU、内存、硬盘、网络链路状态

安全异常监测

实时监测并展示资产遭受的攻击和风险操作

脆弱性态势

采集并分析资产的脆弱性信息，包括各类漏洞、高危端口、系统或应用配置不合规项等，并对这些信息进行统计分析，该态势可反映系统整体脆弱性情况。

漏洞情况

统计分析网络、安全、主机、IT、工控、物联网等设备漏洞总数、高危漏洞总数、已防护漏洞数、热点漏洞数、高中低漏洞占比。

合规情况

统计分析各设备配置不合规，支持7大类60小类2000多条检查项。

区域横向对比

横向对比各区域合规评分、风险评分、资产数、不合规资产数、漏洞数。

网络攻击态势

基于攻击链分析法对系统遭受的各类攻击行为进行统计分析，识别出系统内各类攻击所处阶段、攻击来源、攻击时间、攻击次数、攻击手法、攻击路径，该态势可反映系统整体攻击情况。

攻击阶段统计

统计分析系统遭受的攻击情况、攻击链各阶段攻击情况、攻击趋势、频繁遭受攻击资产、攻击事件处置情况。

各阶段攻击统计

统计分析扫描探测、渗透入侵、下载植入、横向扩展、命令控制、攻击生效各阶段的攻击类型和攻击次数。

攻击溯源

针对网络攻击事件，寻找相关日志，识别威胁来源，追查攻击源头、攻击路径和攻击时间轴。

横向威胁态势

基于系统通信基线模型，对不同业务系统、不同区域之间的信息流动进行监测，对跨区通信、非法接入、非法外联行为进行统计分析，及时发现信息泄露、越权访问和违规操作行为，该态势可反映系统内部横向威胁情况。

跨区通信监测

不同业务系统一般是隔离的，不同业务系统间的通信存在一定安全风险，系统支持对跨区通信情况进行监测。

非法外联监测

支持对私接网络或利用隐秘通道非法外联或被控外联行为进行监测。

非法接入监测

基于网络会话和资产基线实时监测未知设备接入内网行为。

安全事件态势

对系统日志、安全事件、安全告警情况进行统计分析，反映系统整体安全事件总数、时间分布、类型分布，该态势可反映系统对安全事件的提取、提炼、关联分析情况。

日志统计

统计分析系统日志总量、时间分布、主要日志排名。

事件统计

统计分析系统安全事件总量、时间分布、主要安全事件排名。

告警统计

统计分析系统告警总量、时间分布、主要安全事件排名。

落实常态化监测，输出高可靠告警 icon

全面监测系统内的违规操作、攻击入侵、异常行为，基于智能分析引擎，对海量事件进行去重、归并、关联分析处理，屏蔽误报警，输出有价值的高可靠性告警。

追踪攻击源头，还原攻击路径 icon

从海量数据中挖掘取证，挖掘时间窗口内相关的所有访问行为和安全事件，从纵向时间维度和横向访问维度展示攻击路径。

摸清家底，资产全生命周期管理 icon

提供资产的台账梳理、变更记录、运行状态监控、漏洞和风险排查一站式全生命周期管理服务。

未雨绸缪，提前发现风险和漏洞 icon

联动漏洞、配置核查等安全设备，将设备检查结果与资产信息整合，提供资产维度、设备类型维度、设备厂商维度等多维度统计分析。

减少误报漏报，加强协同配合 icon

提高响应处理能力主要从两方面入手，一方面，提高自动分析能力，缩短人工分析时间，对单点安全事件进行关联分析，自动对事件原因、事件影响面进行分析，屏蔽误报警，同时能够基于基线模型提前挖掘预测未来事件的趋势，发现隐匿的高级的攻击行为。

合规情况自动自查，主动整改 icon

内置等保2.0知识库，自动对系统合规情况进行检查，提供不合规项整改报告，帮助安全管理员定期进行安全合规情况检查。

一站式安全运维，全面提升运维效率 icon

作为安全管理的统一入口，实现从设备状态监控、安全策略配置和下发、软件升级和授权、安全事件收集和处置，支持内网多区域管理及跨地域级联管理，解决多种安全设备带来的安全管理分散问题，显著提升日常安全运维效率。

丰富的安全知识库，夯实安全分析基础 icon

系统内置威胁情报库、病毒库、入侵检测特征库、资产指纹库，范化规则库、关联分析规则库、等保知识库、常见端口库、处置建议库，为各维度安全分析提供坚实基础。

多年安全经验积累，沉淀出特有安全态势 icon

资产态势

内置5000多种设备指纹，通过无损扫描自动识别各类资产，准确率达80%以上。基本信息：设备名称、IP、MAC、类型、操作系统、厂商、区域等信息。运行状态：CPU利用率、内存利用率、硬盘利用率、网口状态和流量信息等。端口服务：资产当前开启的监听端口和服务信息，识别高危端口。访问关系：资产当前和网络中其他设备的通讯关系，识别非法连接。

威胁态势

常规的SQL注入、XSS跨站、DDOS攻击、U盘滥用、非法设备接入、非法外联、非法软件安装、非法远程访问、非法命令操作等行为比较多见，也是安全态势中主要分析和展示的重点。

脆弱性态势

系统中的脆弱性多数来自设备和主机漏洞，为了保持系统稳定性，系统版本升级通常比较谨慎，而且很多应用存在的漏洞原厂已经不提供服务，呈现出“带病生存”的脆弱性态势，这其中的漏洞防护态势尤为重要。

多重关联分析，全面减少误报警 icon

多重关联分析，网络安全宏观感知 icon

基于基线模型的关联

资产基线

访问关系基线

网络流量基线

端口基线

网络白名单基线

程序白名单基线

基于规则的关联

系统中的脆弱性多数来自设备和主机漏洞，为了保持系统稳定性，系统版本升级通常比较谨慎，而且很多应用存在的漏洞原厂已经不提供服务，呈现出“（）带病生存”的脆弱性态势，这其中的漏洞防护态势尤为重要。

资产全生命周期管理，彻底摸清家底 icon

主被动结合自动梳理资产，自动生产资产台账，同时基于资产资产基线、网络会话，记录资产变更，监测未知资产接入。

区域级安全监测指标，方便横向对比 icon

将系统内各安全区或业务系统作为分析对象，提供基于区域的衡量指标，便于运营人员对不同区域安全状态进行横向对比。

区域通信基线

通过学习网络会话信息，建立整个网络的通信基线，然后根据基线判断网络中的异常通信异常连接。系统采用可视化的展示方式，构建网络的逻辑拓扑图，并以不同的颜色标识，表示跨区通信、非法外联、横向威胁、未知设备接入等异常连接。

各区域风险和合规评分

系统根据每个区域的等保级别进行合规评估，结合网络拓扑、设备配置等信息，参照等保要求，可完成大部分的自动化评估工作。根据每个区域的资产风险情况，评估计算每个区域的风险指数，描述区域的整体安全风险。

各区域防护占比

以区域为单位，对区域内的资产总数、告警总数、防护占比进行统计，支持区域及子区域指标统计。

事件规律深入挖掘，发现隐匿潜在威胁 icon

内置分析模型自动对系统内海量安全事件进行关联度挖掘，排查出潜在的威胁行为，便于提前跟踪和整改。

关联事件挖掘

系统采用经典的频繁序列模式挖掘算法PrefixSpan（Prefix-Projected Pattern Growth），结合安全事件的实际发生场景，去除噪音，从序列数据中找出全部频繁序列模式，从而发现安全事件之间的关联关系。这样后续就可以根据实际发生的安全事件，及时预判，及时告警，避免进一步的安全风险。

时间周期挖掘

系统对时间序列进行傅里叶变换，即时域频域转换，得到时间序列周期估计值。使用ACF（Auto-Correlation Function）算法计算对应周期的ACF自相关系数，取自相关系数最大且强相关的周期估计值。从而获得安全事件序列的周期特征，根据周期性进行预测和预判。

事件趋势预测

系统采用自回归移动平均模型ARMA(Auto Regressive Moving Average)进行趋势预测。根据特征提取后的网络流量数据进行模型建立过程，通过数据预处理、时间序列分解、模式识别、ARMA模型训练、模型评价等过程，最终输出训练好的模型，根据该模型进行时间序列的趋势预测和异常点检测。

多种可视化手段，全方位展示安全状况 icon

内置分析模型自动对系统内海量安全事件进行关联度挖掘，排查出潜在的威胁行为，便于提前跟踪和整改。

大屏可视

拓扑可视

系统内置多个行业的典型拓扑模板，可以快速绘制符合实际场景的网络拓扑图。组态化拓扑，集成展示系统网络连接、运行状态、资产画像、告警信息、流量信息多维信息。

攻击链可视

针对告警从历史日志挖掘分析攻击路径，并以拓扑连接图或攻击链的形式展示攻击过程，直观的展示事件发展的时间线和网络路线。

灵活可扩展规则库，兼容各类异构数据采集 icon

采集各类异构数据，进行标准化处理，为各种安全分析提供数据来源，同时挖掘安全数据价值，将事件数据转化成安全知识，共享给下属公司，提升整体安全运营水平。

自主研发，拥有多项专利技术 icon

部署方式

厂级小项目：被管设备在相同局域网内，能够帮助客户完成设备集中管理、状态集中监控、日志统一收集、告警集中监视处置。集团级大项目：被管设备分布在多个大规模局域网或者跨地域广域网，级联管理能够汇总同步下级节点的策略和安全数据，同时能够从上级节点实现安全策略的配置和下发。

探针列表

不同的项目探针选择会有不同的方案，总体原则是能够采集到流量数据和日志数据，同时为了避免数据传输量过大对网络造成影响，建议选配管理平台或日志审计先对数据进行初步分析。

典型案例-辽宁大唐新能源工业安全态势感知平台项目 icon

项目背景：辽宁大唐国际新能源有限公司（下属9家风电场及沈阳集控中心），建设完成全国首个新能源发电行业的区域工业安全态势感知平台，隶属于国家工业信息安全发展研究中心重点行业工控安全态势感知能力提升工程。安全效益：从整体网络信息安全水平提高来看，在生产控制大区部署主机安全卫士、日志审计、流量监测、行为管理等产品和设备，整个网络安全环境内主机、交换机、服务器等设备均在数据采样监视范围，做到了安全防护无死角，结合后端平台机器学习技术、大数据技术分析处理，提高了集控中心整体网络信息安全水平。在2020年、2021年全国“HW行动”过程中，集控中心生产控制大区网络安全事件发生数为0起。从运维效率提高来看，改善了传统安全设备产品彼此孤立、只能看到单点问题，发生网络安全攻击事件之后缺乏攻击还原手段，无法有效追踪和定责等被动局面。平台统一采集信息、统一威胁分析、统一监管设备、综合分析预警，让运维人员能在第一时间定位网络安全发生位置、判断网络安全事件原因，快速、准确的解决网络安全存在的威胁。

典型案例-黔源电力预警平台建设项目 icon

客户价值

实现电力监控系统网络安全从边界防护到纵深防御，从被动防护到主动防御，从单一设备防护到协同联动能力的提升；实现网络安全系统的集中管理，减少管理人员的工作量，降低企业人力资源的投入，通过技术手段弥补人工管理方式上的不足，提高并规范集控中心对自身及下属电站电力监控系统网络安全管理；工业态势感知平台基于业务的安全展示能力，能够从单纯的安全监测提升到业务安全监测，实现安全合规可视化；实现集控中心到下属电站电力监控系统全天候全方位感知网络安全态势，做到知己、知彼、知未来，增强网络安全防御能力和威慑能力。

解决方式

在安全 I 区计算机监控系统部署工控安全监测与审计系统、高级威胁检测系统、工控主机卫士、安全运维管理系统、日志审计与分析系统和统一安全管理平台，配置合理的安全策略构建计算机监控系统安全防护技术体系；在安全 II 区部署工控安全监测与审计系统、网络威胁感知系统、工控主机卫士、安全配置核查系统、工控漏洞扫描平台、安全运维管理系统、日志审计与分析系统和统一安全管理平台，配置合理的安全策略构建安全II 区安全防护技术体系；在不影响用户原有数据网络的前提下进行组网，根据国家相应政策要求组网采用业务带内管理带外方式，整体将数据采集后的汇聚及管理进行单独组网建设；将安全通信网络、安全区域边界和安全计算环境三个层面安全数据，从安全I 区和安全II 区通过电力专用单向隔离装置汇聚到工业态势感知平台进行分析、处理和展示，最终实现集控中心+ 下属电站电力监控系统网络安全态势感知。

产品推荐查看更多>>

McAfee管理

优化虚拟桌面和服务器的安全性McAfee Management for Optimized Virtual Environments (MOVE) AntiVirus 可为内部部署和云端部署的虚拟桌面和服务器提供先进的病毒防护功能。

高效稳定

安全可靠

立即咨询查看详情

山石云·界

山石云·界是专门为云计算环境设计的虚拟化网络安全产品，以虚拟主机形态，All In One 的理念继承了山石网科下一代防火墙产品的精髓。

高可用

安全可靠

立即咨询查看详情

亿格云枢SASE全球应用加速

亿格云基于云原生架构, 在阿里云、腾讯云、AWS、GCP等平台构建覆盖全球多云多活的亿格云枢SASE架构, 位于云端的SASE能力底座集成身份安全管理、终端安全管理、网络准入控制、终端安全防御、数据安全管理、零信任网络接入等能力, 对POP节点、终端访问设备进行统一管理。通过云原生提供的无限算力, 支撑企业灵活的终端规模扩展需要。

全方位专属保障

自动化弹性扩容

安全能力融合

员工体验佳

立即咨询查看详情

数字化社区查看更多>>