背景及挑战：安全形势严峻 

党政机关和事业单位等拥有涉及国家利益、公共安全、商业秘密等的重要信息资产，一直是黑客组织攻击的重要目标。数据显示，2015年我国政府网站被入侵次数为21674次，较2014年增长36.7%。

而伴随信息技术与电子政务的深入结合，政府部门等面临更加严峻的安全形势。一方面，网络的开放性使得政务信息系统面临被监听、被破坏的威胁。另一方面，出于整合共享交换目的建设的政务云、智慧城市、政府大数据中心等，面临信息被泄露、被窃取的风险。

• 如何摸清家底，提前发现漏洞等，将关口前移，防患勒索病毒等威胁于未然？

• 如何发现隐匿的威胁，尤其是APT组织发起的0-day、钓鱼邮件等未知威胁？

• 如何进行溯源，了解攻击者的来源、攻击手段、攻击过程等，做到知己知彼？

• 如何实现网络安全的统一调度、展示、管理，实现态势感知、联动联防？

解决方案：攻击溯源 精准防护

中睿天下为政府机构提供的威胁监测体系

WEB安全

政务外网主要面向公众、服务民生，为数据共享提供信息支持。截至2018年6月，全国政府网站总数为19868个，在线政务服务用户规模达到4.70亿。如何在海量数据中，及时发现隐蔽的黑客攻击，保障政务外网的可靠、稳定、正常运行？

睿眼·WEB

• 发现威胁：基于攻击者视角进行建模，监控所有端口及通讯协议的应用，实时监测并发现各种恶意入侵行为，包括利用0-day的APT攻击。

• 智能研判：创新引入“攻击链的组合”，在海量告警中自动研判攻击成功状态，并识别攻击手法及攻击影响，快速定位真实的威胁。

• 还原溯源：多维度还原攻击事件的详细过程，并溯源分析威胁的来源、目的等。

邮件安全

90%的网络攻击，都从一封钓鱼邮件开始。随着党政机关、事业单位对安全的重视提升，0day漏洞越来越难以被发现和利用，邮件系统成为黑客组织攻击的重点目标。传统邮件安全网关可有效防护病毒邮件等，但持续增长的APT钓鱼邮件等高级威胁未得到有效遏制。

睿眼·邮件

通过欺骗意图分析、反逃逸附件检测等，睿眼•邮件对邮件行为进行深度分析，专业检测APT（社工钓鱼）、BEC（商业邮件诈骗）、ATO（邮箱被控）等高威胁、易传播、难发现的邮件攻击，有效解决邮件安全面临的高级威胁。

内网安全

政务内网由党委、政府、法院等的业务网络互联互通形成，主要承载各级政务部门的内部办公、管理等业务信息系统，并实现互联互通、资源共享和业务协同。尽管政务内网与互联网物理隔离，但不一定安全。存在漏洞的内网中，只要有一台主机被控成为跳板，整个网络危在旦夕。

睿眼·网络

• 访问关系识别威胁：利用基于业务访问合理性的访问关系，识别内网中无恶意特征的隐藏威胁，尤其是高级攻击中的内部渗透、横向扩展。

• 主机关系还原攻击：通过梳理攻击关系，准确识别攻击路径中的跳板机，并关联分析攻击路径中主机行为，对攻击过程进行直观详细的溯源——攻击者从哪来，到哪去，详细做了什么。

资产管理

在“互联网+政务”的转型过程中，党政机关和事业单位配置了大量信息资产，网络结构也越来越复杂。系统内究竟有多少个IP？是否存在台账统计之外的信息资产？是否存在未修复的漏洞？是否存在非法开放的端口？

睿眼·资产

• 资产发现：主、被动相结合，快速发现在网资产，有效识别“幽灵资产”。

• 漏洞修复：对端口、操作系统等进行识别，结合漏洞详情,包括影响的系统类型、版本等，快速定位面临威胁的资产，有针对性地快速进行应急响应。

终端取证

APT攻击事件频发，这些攻击者组织有序、目标明确、技术高超、资金充足。政府同时具备较高的政治价值和经济价值，是他们最关注的攻击目标。但当前，市面上的产品主要关注检测恶意软件，缺乏针对攻击者活动轨迹进行检测的工具。

睿眼·终端

针对攻击痕迹进行检测，包括底层固件和操作系统层，能够检测出深度隐匿的黑客痕迹。

• 深度：深度检测未知木马后门，潜藏的黑客痕迹，底层固件中的恶意代码等。

• 高效：能够在极短的时间内，完成大量服务器的应急响应。

• 兼容：全面覆盖Windows、Linux等主流系统。

政务云安全

国家大力推动应用云计算技术，各级政府纷纷建设政务云，为当地党政机关、企事业单位统一提供计算、存储、网络、安全等基础云服务。现有政务信息系统逐步向政务云迁移，对政务云的安全也有了更高的要求。

睿系列

通过统一部署睿眼·web、邮件、网络等攻击溯源系统，中睿天下构建了一套覆盖攻击全生命周期的威胁监测体系，实现对整个攻击面的态势感知，以及对政务云平台整个网络安全的监测。

统一监管

无论政务内网、政务外网，还是政务云，都涉及统一建设，集中管理。具体到网络安全，表现为：

• 中央、省、地市、县等上一级对下一级的管理。

• 网信办等监管单位对全国重要信息系统的自主监测、预警通报、应急处置等。
  

睿系列

• 监测环节，通过睿眼·web、邮件、网络等的统一部署，实现对整个网络安全的监测和态势感知。

• 调度环节，基于全网监测，并无缝衔接各种威胁情报，通过部署睿云，实现全国范围内的统一调度、指挥、联动等，有效支撑不同部门、单位等的联动联防。

方案价值

• 威胁检测能力更强：基于攻击者视角研发，检测模型检测更深更细，威胁发现能力更强，尤其针对潜藏极深的未知威胁。
  

• 智能研判能力更强：检测模型创新引入“攻击链的组合”，颗粒度更细，攻击成功研判更精准，快速提升安全自动监控水平和应急响应速度。

• 溯源分析能力更强：追踪溯源恶意行为，并还原攻击的详细过程，快速定位威胁来源，更有针对性地进行加固或修复。

睿眼产品界面

成功案例：海关总署

海关是守护国家经济大门、维护国家经济安全的重要进出口贸易管理部门。作为国内最早使用计算机技术和信息化应用水平最高的行政执法部门之一，海关总署已基本形成“电子海关”“电子口岸”和“电子总署”的应用格局,服务于海关监管、关税征收、查缉走私等。

海关总署高度重视海关“互联网+政务服务”工作，致力于建设功能强大、应用配套、技术先进、运行安全的海关信息系统，使总署到直属海关的内、外骨干网可用性达到99.98%。

“睿眼”凭借卓越的「威胁发现」和「溯源分析」能力脱颖而出，为海关总署政务外网提供威胁监测，协助有效应对APT等高级未知威胁。