随着网络空间安全问题日益严重，各行业关键信息基础设施的安全受到严重威胁，网络安全事件频发，严重影响国家安全、社会公共安全和人民群众切身利益。针对这种情况，各行业亟需进一步加强监测预警的广度和深度，建立起一套全天候、全方位、全时段的网络安全态势感知与安全管理平台，为各行业提供网络安全监管工作提供监测预警、指挥协调、监督指导、考核评估的工作抓手。

奇安信网神安全感知与管理平台-行业版（以下简称：TSGZ）是基于大数据架构自主构建的一套面向行业的安全管理平台。该平台基于ISO27000信息安全管理体系、网络安全等级保护基本要求、计算机信息系统安全保密防护要求及检测评估方法(GJB5612)的要求的指导进行设计，为安全管理者提供资产普查、实时监测、数据分析等资产的威胁发现分析手段，并具备对威胁的事前预警、事中发现和事后回溯的能力，对威胁进行全生命周期管理。利用检查督查、考核评估机制促进下级相关单位的网络安全基础建设。通过建立上下级平台级联规范达到上下级平台数据共享，业务协同。

TSGZ继承了奇安信网神公司长期以来在安全事件管理产品上的丰富经验，同时融合目前先进的大数据技术，既能满足海量数据环境下的高效分析需求，又兼顾针对IT数字化转型的大量基础管理功能。

TSGZ在架构演进过程中，使用了大量新型安全技术，既可以帮助用户发现潜在威胁，也可以提供更丰富的威胁分析手段和能力。平台能够在发现安全威胁后及时提醒安全管理人员进行响应处置并进行全流程的跟踪。

在架构革新和新技术的推动下，TSGZ正在引领国网络安全态势感知产品市场的变革，根据权威资讯机构赛迪顾问的统计数据，奇安信网神态势感知产品在中国网络安全态势感知产品市场中市场占有率第一。

灵活的数据接入

数据接入能力是态势感知产品的核心能力，态势感知产品领先的大数据架构设计，能够支持国内外数十家厂商的上百种常见设备的日志进行自动解析、过滤、富化、内容转译和范式化，使得产品能够开箱即用。即便需要接入新设备的日志，用户可以通过可视化界面配置日志解析规则和策略，实现对新接入日志的解析。态势感知接入的数据包括网络日志、安全日志、终端日志、业务日志和威胁日志等。支持的采集方式包括Syslog、DB、SNMP、Netflow、API接口、镜像流量、文件等。

高性能关联分析

在日常安全运营工作中，真正的威胁往往会被淹没在大量的未确认安全事件中，如低危的防火墙、IDS和WAF告警等，而这些告警的分析确认和处置往往会成为令人头疼的问题。传统的安全检测能力主要依托特征库匹配的检测机制，虽然能够有效的检测并拦截普通的低级威胁，但也会产生大量的冗余和误报告警，如果不对安全策略和检测机制进行优化，安全管理人员无法在发生威胁的第一时间判断出哪些威胁造成了严重的影响，需要优先处置。

通过基于大数据架构设计的流式关联分析引擎，能够实时关联多维度数据，包括多数据来源的日志、威胁情报数据、资产管理数据、资产漏洞数据、关注的IP列表数据、可访问端口列表和可访问域名、URL列表等，对告警进行有效降噪。

多视角安全监测

态势感知提供多维度多视角的安全监测能力，可以从角色维度、资产维度、威胁维度和安全运营维度等多个维度输出不同的安全监测展示效果。

针对角色维度，系统提供了多种角色视图，方便运营和运维角色在使用过程中快速发现自己负责业务范围内的安全威胁并进行协调处置，同时为管理者提供了宏观的态势指挥视图，也为审计角色提供了数据统计与合规报告视图。这种从宏观到微观的视角整体设计，促使信息和网络安全管理者和运营人员能够借助系统快速协同响应，提升安全处置的工作效率。

丰富的威胁情报

根据Gartner对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标识、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可为资产相关主体对威胁或危害的响应或处理决策提供信息支持。现有的威胁情报其主要内容为用于识别和检测威胁的失陷标识，如文件HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签，所以威胁情报被公认为是最有价值的安全威胁检测手段。

安全感知与管理平台具备奇安信网神在威胁情报领域独有的数据优势和技术优势，将云端大量的威胁情报样本作为数据分析来源，针对使用不同日志数据（如：DNS、上网行为日志等）检测内部主机连接攻击者远程命令和控制服务器，进而发现失陷主机的需求。帮助企业防止由于失陷带来的数据泄密、系统破坏等关键风险。客户对平台内置的本地威胁情报实时升级，配合可选的云端威胁情报分析平台进行进一步的分析，了解攻击者背景信息，以及攻击者的相关网络资源和历史攻击行为，并进行深入追踪。同时，本地威胁情报也应用在多数据关联分析和威胁溯源场景中，给用户快速补充攻击者上下文信息，提升威胁分析、溯源效率。

强大的大数据技术

根据Gartner对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标识、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可为资产相关主体对威胁或危害的响应或处理决策提供信息支持。现有的威胁情报其主要内容为用于识别和检测威胁的失陷标识，如文件HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签，所以威胁情报被公认为是最有价值的安全威胁检测手段。

安全感知与管理平台具备奇安信网神在威胁情报领域独有的数据优势和技术优势，将云端大量的威胁情报样本作为数据分析来源，针对使用不同日志数据（如：DNS、上网行为日志等）检测内部主机连接攻击者远程命令和控制服务器，进而发现失陷主机的需求。帮助企业防止由于失陷带来的数据泄密、系统破坏等关键风险。客户对平台内置的本地威胁情报实时升级，配合可选的云端威胁情报分析平台进行进一步的分析，了解攻击者背景信息，以及攻击者的相关网络资源和历史攻击行为，并进行深入追踪。同时，本地威胁情报也应用在多数据关联分析和威胁溯源场景中，给用户快速补充攻击者上下文信息，提升威胁分析、溯源效率。

强大的大数据技术

通过全网软硬件资产的梳理，可以让安全管理者对网络资产实现底数清晰、责任明确、动态管理，为网络安全监督体系的管理、技术手段建设奠定良好基础，为后续的风险建模和安全防护提供支撑，有助于安全风险事件的责任落实、有效处置。

持续监控，实时掌握安全状况

安全感知与管理平台可以支撑行业主管部门管理者快速的、宏观的了解企业的整体安全态势，在安全监督工作中抓大放小，明确工作重点。

督办考核，推动网络安全建设

贴合行业主管部门督办考核的业务特点，建立完善的网络安全考核指标，通过对相关单位的专项检查与安全现状的考核机制促进网络安全建设工作。

深度分析，有效解答威胁原因

安全分析人员可以在态势感知检索采集和范式化后的海量结构化日志数据，对威胁告警、安全事件进行溯源分析，日志检索功能提供快捷模式和高级模式，满足不同用户对日志检索语法、溯源效率的要求。

态势感知提供了关联分析、多维分析、场景化分析等工具，使得安全分析人员能够对日志、告警、资产、漏洞、情报等证据信息进行归纳整理，帮助其拓展分析思路，辅助其多角度研判威胁，还原攻击过程和威胁发生的切入口。为客户找出安全防护薄弱点、进行安全加固、提高安全防护水平提供决策依据。