网络安全攻防演练与培训手册.docxVIP

网络安全攻防演练与培训手册

第1章安全态势感知与威胁情报

1.1企业安全态势全景监控

安全态势全景监控是指通过集成的安全数据平台，对全网设备、网络流量、主机状态及日志进行统一采集与融合分析，将分散的碎片化信息转化为可视化的全局态势图，实现从“被动响应”向“主动预控”的转变。在实际操作中，运维人员需配置至少50个核心业务节点的探针，确保数据采集的实时性不低于1秒，从而在攻击发生后的30秒内即可定位攻击源IP及入侵路径。监控体系需构建“横向到边、纵向到底”的覆盖模型，不仅包含业务网段，还需延伸至办公网及移动办公终端。例如，在部署时，应利用Wireshark协议分析插件深度解析TCP握手过程，识别常见的SYN洪水攻击特征，并自动将疑点流量标记为“高危”，防止因误判导致业务中断。

通过可视化大屏实时展示威胁等级分布，系统应能根据预设规则（如规则引擎）自动计算风险得分，将未授权访问、横向移动、数据泄露等行为划分为“低危”、“中危”、“高危”三个等级，并动态更新态势热力图，让管理层一眼看清当前网络的安全健康度。系统需具备多源数据融合能力，能够自动关联DNS查询行为、端口扫描结果与邮件发件内容，当检测到某台服务器频繁查询未知域名且同时发起端口扫描时，系统应自动触发告警，并包含攻击者IP、攻击工具指纹及攻击时间的关联分析报告。监控平台应支持自定义