1项目背景

根据《中国移动2018年网络安全工作要点与安排》要求，需要实现APT等新型攻击的监测，传统网络安全防护主要采取攻击行为感知、收集与分析、通报等防御手段，通过部署安全检测产品，基于攻击特征等方式进行攻击和安全状况的监测，随着贵州移动业务的迅猛发展，信息系统越来越多，资产也越来越多，随之面临信息系统安全管理、安全威胁的问题越来越多，贵州移动虽然已经采取了一些必要的安全监测和防护措施，但是只能被动的检测攻击“发生后”的事件，为了能够主动地检测攻击“发生前”的事件，把攻击扼杀在萌芽状态，需要开展威胁情报采集和分析，将威胁情报纳入贵州移动整体的安全“监测库”，以增强和实现攻击的主动防御和对APT等新型攻击的监测，帮助贵州移动在防御方面做出更好的决策，启动了2018年网络部网络安全威胁情报分析及风险管控支撑服务项目（网管）。

一、风险分析

根据风险管理模型，结合安全威胁情报和关联分析的结果，提供风险分析服务，风险分析的范围包括但不限于设备健康度、设备可信度、威胁分布、风险情况。

风险管理是安全管理模块的核心,它是以IT对象为基础，通过对IT对象价值、安全脆弱性、安全威胁因素关联后计算网络对象的风险值，并对网络对象的风险值实现动态的管理，为实时监控提供相应的管理界面。

系统采用定量和定性结合的风险分析办法实现对IT对象的风险评估和计算，定量的风险分析方法就是把构成风险的各个要素和潜在损失的水平赋予某种数值，当度量风险的所有要素（资产价值、威胁频率、脆弱性利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图通过各种数据，以及基于这些数据的计算公式来对风险进行分析评估的一种方法。

综合IT对象价值与网络对象包含的安全因素，风险模型下图所示：

按照总风险值大小从高到底排列。其中，“保密性风险”，“完整性风险”， “可用性风险”列分别代表该域在受到攻击时，它保密性价值，完整性价值，可用性价值的损失量。值越大，说明其损失的越多。例如，某域可用性风险的值最大，说明该域在可用性方面的安全问题最严重。

总风险值列的数值为（保密性价值，完整性价值，可用性价值之和）－（保密性剩余价值，完整性剩余价值，可用性剩余价值之和），也就等于保密性风险，完整性风险，可用性风险列数值之和。总风险值越大，说明该域的受到攻击后的损失越多。用户应该更多关注此域的安全问题。

各列的色彩旗子显示分别代表资产价值或其损失的价值：红（>1000 万），橙（100-1000万），黄（10-100 万），蓝（1-10 万），绿（0-1 万）。

由于域的风险值是其子域风险值与其直属的资产风险值的累加，因此父域的风险值肯定不小于其子域的风险值，越是上层的域风险值也就越大。风险/资产值给出直观的表示域风险与其下属的资产数量的关系。

总价值列的数值为资产保密性价值（C），完整性价值（I），可用性价值(A)之和。值越大说明其CIA 的综合价值越大。保密性风险，完整性风险，可用性风险列分别代表资产在受到攻击时，它保密性价值，完整性价值，可用性价值的损失量。值越大，说明其损失的越多。例如，某资产保密性风险的值最大，说明该资产在保密性方面的安全措施需要更多关注。

总风险值列的数值为（保密性价值，完整性价值，可用性价值之和）－（保密性剩余价值，完整性剩余价值，可用性剩余价值之和），也就等于保密性风险，完整性风险，可用性风险列数值之和。总风险值越大，说明该资产的受到攻击后的损失越多。用户应该更多关注此资产的安全问题。

事件风险列里的数值是该事件攻击其受影响资产，致使该资产受到损失的数值。数值越大，表示受影响资产的损失越大，即该事件的攻击力越强。发生次数是该事件对受影响资产的攻击次数。受影响资产是指该事件攻击的资产。威胁源指事件攻击的发起者的 IP 地址。发生时间记录着事件攻击受影响资产的具体时间。

由于不断会有新的事件攻击资产，因此该页面每30 秒钟会刷新一次，显示最新的10 个风险值最高的事件。

服务周期：每月

二、风险管控

依据安全威胁情报匹配安全事件，定义事件安全风险。根据风险管控标准，定义风险级别、所需管控资源、管控能力、管控措施复杂及难易程度等因素而确定不同管控层级的风险管控方式。

服务周期：每月