SOP安全运营服务平台是围绕资产、脆弱性、威胁安全三要素，结合安全服务的沉淀，深度融合多款自研产品能力，集暴露面监测、资产探测与管理、漏洞扫描与配置核查、攻击威胁诱捕与溯源、主机安全监测等功能于一身，打造的一款适用于多种服务场景的安全运营服务平台。

       一、产品功能架构

平台围绕资产，进行安全预警、安全检测、安全加固及安全响应。

    二、服务平台亮点

    1、围绕资产的服务理念

平台围绕资产，进行安全预警、安全检测、安全加固及安全响应。

    1）互联网暴露面监测

通过多外网云端扫描技术，探测互联网上潜在的未知资产，不必要开放的资产，并自动验证互联网资产是否存在可利用漏洞、弱口令，提供暴露面收敛等相关整改建议，监测数据通过本地平台统一展现和管理。包括但不限于：

 互联网资产详情：从基本信息到应用组件、应用指纹、开放端口等

 风险暴露面排查：远程访问端口、VPN入口、后台入口、弱口令、可入侵漏洞等

 未知资产排查：那些被忽略的域名、IP、应用、信息通道等

 生成暴露面监测报告：提供暴露面收敛整改建议，定期更新和审核。

 2）常态化安全监测服务

资产梳理：自动化探测主机、网站资产，包括探测主机操作系统、开放端口、应用服务、协议版本等，探测网站子域名、url、web框架、备案号等，形成资产清单，并实时更新。内置设备类别指纹60+，厂商指纹500+，操作系统指纹2000+，应用与数据库指纹24000+，web指纹6000+，可提供多种维度的资产数据。

主机漏洞监测：对主机进行常态化安全漏洞扫描，系统内置16万+漏洞检测库，漏洞扫描插件80000+，POC可入侵漏洞扫描插件3000+，web 代码漏洞扫描插件4000+，提供详细的主机漏洞台账与报告，并根据漏洞风险等级、漏洞被利用可能性、漏洞加固或规避措施等内容，为业主单位进行漏洞处置决策提供参考依据。

弱口令监测：对服务范围内主机中包含redis、smb、rdp、telnet、ftp、ssh、pop3、smtp、mysql、imap、vnc、snmp、vmauthd、postgres、mssql、oracle、mongodb、onvif等多种服务协议进行弱口令检测，并提供弱口令处置方案。

网站监测：对网站的“漏洞、篡改、黑链、敏感文件、敏感词、网马监测、可用性、域名劫持、网站主机环境安全监测”等9个维度开展实时监测，并通过邮件/微信告警等形式提供网站风险预警服务。

配置核查：对管辖范围内网络设备、主机、操作系统、数据库、中间件、应用软件、新上线业务系统进行增量基线配置核查及是否满足最小化服务原则进行配置，并提供相对应报告。

    3）事件响应及处置

内网威胁诱捕：在不改变单位的网络架构前提下（包括：不做镜像流量、不做牵引流量等），通过旁路部署，在“DMZ区”、“服务器区”、“终端区”分别生成仿真业务系统，与待监测的目标“IP、web”等资产网络可达，通过虚拟出来的蜜罐主机，在每个网段部署虚拟蜜罐，达到监测内网病毒威胁安全事件，并提前做安全预警。

主机威胁监测：在重要系统服务器部署主机安全监测软件，可主动监测恶意文件（webshell、病毒木马）、挖矿进程与病毒检测、网站篡改检测等，发现可疑的入侵事件，并实时将告警同步到平台，第一时间对攻击行为进行告警。

2、强大资产测绘和管理

用户只需提供少量信息，安全运营服务平台将会自动展开全面的资产测绘，发现存活资产、未知资产，包括IP、端口、子域名、网站等，并进行全栈指纹识别以及设备类型分析，形成一张自动实时更新的“企业、单位网络空间资产表”。

同时可对识别到的资产，周期开展网站风险监测、主机漏洞扫描、弱口令扫描，及时发现资产潜在的脆弱性、网站风险，从而形成 “网站资产风险清单”、“主机资产风险清单”。

3、基于下一代蜜罐技术的威胁检测

安全运营服务平台集成基于欺骗防护技术的威胁检测能力，通过诱骗攻击者入侵安全运营服务平台上生成的蜜罐主机，不仅可精准定位攻击源、回溯攻击行为，而且可在真实攻防对抗中，消耗攻击资源、溯源攻击者、反制攻击者，帮助用户解决攻易守难的困境，化被动防御为主动防御。

1）内网零死角监测

Ø 旁路部署：无需镜像、无需Agent、无需引流

安全运营服务平台基于SDN技术，采用非侵入式将欺骗节点批量化部署在网络中，无须在客户服务器中安装agent，无需进行流量镜像，无需进行引流即可将诱捕能力发布到全网各个网段，极大提高黑客攻击蜜罐的概率。

Ø 全网大量蜜罐覆盖

安全运营服务平台可在各个网络区域、网段快速生成多个高交互虚拟蜜罐。将蜜罐威胁监测能力进行全网覆盖。同时平台支持30+不同类型的高交互蜜罐服务，包括各类数据库、中间件、web应用、远程协议应用、大数据应用、物联网应用等，用户可以随意组合不同高交互蜜罐服务，实现在攻防对抗中根据实际情况随意调整不同网段的威胁诱捕策略。

Ø 零误报，全网威胁无遗漏检测

由于正常的业务行为不会访问蜜罐，任何访问蜜罐的行为基本都是异常的，因此蜜罐系统拥有极低的误报率。将蜜罐系统部署在内网中，可捕获内网失陷主机，提前预警，将威胁扼杀在摇篮。

2）互联网攻击预警

Ø 互联网部署

安全运营服务平台可快速生成完全模拟客户真实业务系统的蜜罐，仿真业务蜜罐可与真实业务系统完全一致。

平台内置了多个仿真业务系统，用户可直接使用。同时，也可以自定义新的仿真业务蜜罐，可将多个真实业务系统接入幻影系统中，生成完全仿真业务蜜罐。或者自建伪装服务集群，比如OA系统、ERP系统、VPN系统、邮箱系统，将这些系统接入平台，生成仿真业务蜜罐。

Ø 威胁发现及攻击者溯源

通过部署完全仿真业务蜜罐，可吸引真实攻击者（人）来攻击，捕获黑客攻击行为、溯源攻击者身份信息、社交账号等信息。

Ø 零误报，业务仿真度高，实施抓捕攻击行为

基于蜜罐技术捕获的威胁误报率极低，将仿真蜜罐部署公网上，可溯源黑客攻击行为以及黑客画像。通过对蜜罐捕获的数据进行分析，可以更好的了解攻击者的行为、手段、使用的工具等，从而有针对性地做出防御。

    4、精准的主机威胁监测

在重要系统服务器部署主机安全监测软件，可主动监测恶意文件（webshell、病毒木马）、挖矿进程与病毒检测、网站篡改检测等，发现可疑的入侵事件，并实时将告警同步到安全运营服务平台，第一时间对攻击行为进行告警。

     5、安全运营闭环管理

    平台基于安全运营的关键要素资产、脆弱性、威胁、人的维度，对安全运营生命周期进行可视化管理和分析。在不同阶段调度系统资源和数据资源，形成闭环管理，建立安全运营管理任务编排，自动生成各类脆弱性台账、失陷主机台账。

资产脆弱性问题根据用户角色和职责，通过Portal二级用户直接推送给各资产责任人进行处置，安全管理员实时跟踪处置情况，并通过平台进行复测确认脆弱性处置结果。实现安全资产及风险的持续跟踪和检测。

紧急事件可通过微信实时告警，管理员可对失陷主机进行一键微隔离处置。