网络威胁情报联防处置平台（网盾 k01）白皮书

一、需求分析

当前安全态势下，网络威胁种类复杂多变，现有安全解决方案依托于防护
设备的单打独斗能力，难以应对高级、持续、集团化的威胁。大型集团企业网
络结构通常覆盖全国，点多面广，互联网出口数量众多、内网区域访问控制不
够严格，攻击者极易进行迂回攻击。企业网络缺乏纵深防御能力、联防联控能
力、行业情报共享能力、反弹攻击外联检测等能力。
为了实现互联网侧全网全出口阻断，开展互联网侧情报共享，各区域之间
安全隔离，基于该场景公安部第一研究所开发了情报共享平台旨在通过平台对
网络威胁进行联防联控处置，平台立足行业进行安全联防联控，立足行业各大
型内部网络区域之间，监测跨区域攻击进行区间隔离，立足全行业的开展威胁
情报的共享进行联防。在互联网出入口处做攻击检测与阻断做到防护关口前移，
实现全行业区域共享；在内网跨区域之间加入区域联防检测，防止纵向攻击、
横向渗透现象。

二、方案概述

1、方案构成

网络威胁情报联防处置系统采用“公安部第一研究所威胁情报中心、行业
内部自有情报平台、集中管控平台、网络攻击阻断平台-网盾 K01”四部分共同
组成。如图所示：
 （1）公安部第一研究所情报中心：由网盾 K01 全行业攻击情报数据、网防
G01 全行业攻击情报数据、腾讯威胁情报数据、阿里威胁情报数据、反弹攻击
情报数据组成四部分组成。
（2）行业内部情报共享平台：由安全设备情报数据、第三方情报数据共同
组成。
（3）集中管控平台：负责多情报融合、统一策略下发、可视化展示、分区
分域管控等主要功能。
（4）网络攻击阻断平台-网盾 K01：面向互联网侧在互联网各出口部署网络
攻击阻断系统，基于外网安全情报对互联网到内网的攻击威胁进行精准识别和
阻断防护，达到一点监控、全网阻断的协同防御效果；面向内网侧，在各个区
域边界部署网络攻击阻断系统，基于私有安全情报和自建安全情报，对内网横
向渗透的攻击以及恶意反弹外联的攻击进行侦测和阻断，同时结合内网办公区、
生产区和 DMZ 等区域的安全域划分思想，实现对内网分区分域的监控与防护，
形成纵深防护的体系。
2、主要功能

2.1、公安部第一研究所情报中心

攻击 IP 画像
通过大数据技术提取有效的情报，形成完整的网络威胁画像库，展现明确
的攻击画像和详情。攻击 IP 画像类型包含拒绝服务攻击、扫描探测、暴力破解、
WebShell 攻击、恶意 IP、恶意代码攻击、木马蠕虫攻击、漏洞利用、僵尸网络、
代理 IP 及 TOR 节点，并具有特定的行业属性等标签。
行业情报
统计区分不同行业属性的情报数据，应用于不同行业场景从而下发的情报
数据更加具有专项性，使得封禁攻击精准度得到有效的提升
情报溯源
威胁情报中心集合了“网防 G01”、“网盾 K01”、腾讯、阿里云、360 等
第三方情报源，完整统计各个情报 IP 的历史攻击记录，系统支持对某个攻击源
IP 进行溯源，可以根据检索条件完整获取其最新的攻击历史轨迹，从而进一步
对情报 IP 进行辅助判断，确认其准确性。

2.2、行业内部自有情报平台

开放式多情报融合
一套开放式的能够支持多类型数据接入，进行自动化清晰的系统，能够实
现建立行业情报共享平台，通过情报平台与终端网盾 K01 实现情报数据交换，
辅助 K01 开展阻断监测。

2.3、集中管控平台

区域隔离
能够对网络进行分区分域管理，针对域间制订不同的访问控制规则，严格
控制威胁流量横向扩散传播保证域间的数据安全，构建出针对内网横向违规连
接和攻击渗透的纵深防护能力。
多情报融合
能够接入第三方情报数据源以及安全防护设备日志，对接入数据进行汇聚
融合，形成内网的威胁情报，通过 FTP、kafka 等多种方式下发给网络攻击阻断
系统进行实时阻断。
统一策略集中下发
统一设备管控、集中策略下发是网络威胁情报联防处置平台的一个重要功
能，可以对接入平台的网络攻击阻断系统进行管控，包含查看设备运行状态、
系统版本信息、全局策略下发、域间访问控制策略等功能。
攻击动态展示
能够动态展示实时攻击信息，将安全情报的采集、分析、共享、应急处置
与追溯等流程进行闭环，并使用可视化模块进行展示分析，钻取攻击轨迹、分
布和趋势等多维度信息，实现全局态势分析与攻击研判。

2.4、网络攻击阻断系统

自动监测与阻断
系统可支持自动值守与人工研判双模式，以适应不同安全防护级别的处置
需求。在自动值守模式下，系统可直接对威胁请求进行实时封堵，无需手动配
置；在人工研判模式下，系统可结合其他检测事件及业务系统的状态信息对情
报检测结果进行综合分析和二次甄别，通过增加人工判断确认来提升威胁处理
的可靠性。
被控外连检测
系统能够根据威胁情报的黑域名/IP 库及自定义库，对流量进行检测，能够
有效的发现受控主机的异常流量信息，并对服务器外联访问进行有效阻断。
统计分析
系统自带可视化统计分析模块，可对情报数据的更新状态、地理位置分布
情况及本地的情报检测态势进行直观的全局展示；通过首页的攻击源和被攻击
目标 TOP 统计信息，可快速定位当前网络的主要风险点，以便用户准确掌握安
全态势。

3、应用场景与典型部署

3.1、互联网侧出入口集中部署。

互联网模式部署采用互联网情报公有云、互联网区出口部署网络攻击阻断
系统以及内网部署集中管控平台相结合的方式，公安部第一研究所互联网云中
心数据机房的威胁情报中心，在互联网中源源不断的获取威胁情报数据，并与
第三方的威胁情报“腾讯、阿里”等厂商进行对接，进行针对性数据挖掘与分
析，对情报数据进行分类画像；互联网区在互联网边界部署网络攻击阻断系统，
监测边界安全状态，主动阻断威胁进入，保障系统边界安全。

3.2、行业内网分布式部署

行业内网分布式部署是在内部网络的各区边界部署网络攻击阻断系统，及
时阻断内网跨区渗透攻击，监测内网分区分域隔离状态、检测是否存在反弹外
连等。内网的安全管理区中部署私有集中管控中心和威胁情报共享中心，充分
发挥各内网里的安全设备的有效性，并通过与内网里的其它安全设备进行数据
共享，形成私有威胁情报，同时通过共享中心，对情报运用和网络攻击阻断系
统策略管理进行统一管理、集中调度、综合研判、快速处置。

4、方案特色

实现了一点监控全网阻断
公安部一所威胁情报中心，通过对全国各个行业单位部署的“网防 G01 系
统”与“网盾 K01 设备”，以及其他情报组织提供的情报进行多源融合与智能
分析，当任一网防 G01 系统或网盾 K01 设备监控到互联网攻击时，实时联动部
署的网盾 K01 系统进行拦截封堵，实现关口前移，并做到“一点监控，全网阻
断”。
实现了纵深防御，联防联控效果
域间横向流量纵深防御，内网分区分域隔离防护技术，依托私有威胁情报
信息及安全域监控审查策略，对内网横向流量中监测到的恶意渗透攻击、非法
访问连接、违规对外连接等进行自动化隔离阻断，实现内网间情报贯通、安全
隔离的效果。
实现了自动化监测与阻断
网络威胁的快速感知与响应机制，利用部署在全国各政企单位业务生产网
的 3000 万台 G01 节点与各行业用户互联网出口的近千台 K01 节点情报数据，可
以实现出口任意节点检测到的互联网攻击，可及时回传到公安部威胁情报中心，
并实时与各个 K01 设备情报源共享，以做出针对性防护，有效弥补传统的静态
防御已不能主动应对攻击方式的变化，真正实现网络安全防护由静态防御到动
态防御、被动防护转向主动防御。
实现了全行业情报共享
具有行业属性的情报数据对各种应用场景的使用将起到至关重要的作用，
由于由了行业特征，利用情报的安全过滤检测将会更加精准。
实现了指挥调度一体化
建设网络安全联动共享机制，形成安全检测与防护生态模型。K01 情报源利
用大数据分析技术、人工智能技术等，对所有情报做出噪音处理与有效研判，
通过风险监测、威胁识别、安全防护、应急响应、反馈升级等进行自驱动循环，
构建一套以人为本、以技术为驱动、以安全为导向、以业务流为组织的有机整
体，建设立体化防御体系。

三、产品性能

1、情报共享平台

参数指标 配置情况 备注
情报源更新频率 支持情报平台实时在线更新，并且更新频率
不低于 5 分钟。
情报数据 支持多情报数据源，能够通过类型、行业、
威胁等级进行区分，并且情报数据不低于 50
万条。
情报响应时间 支持 G01、K01 情报数据上传，情报中心收集
及融合整理数据时间不得高于 10 分钟

2、网络攻击阻断系统

参数指标 配置情况 备注
型号 YS-K-1000 YS-K-1000+
外形（机架） 1U 2U
接口规格 1 个 console 口，2 个 1 个 console 口，2 个
USB 接口； 6 个千兆 USB 接口； 2 个千兆
自适应电口，带 2 组 自适应电口；带 4 个
Bypass；带 2 个扩展 扩展槽
槽
硬盘容量 1TB 1TB
电源规格 冗余电源 冗余电源
新建连接数 >=15000/秒 >=60000/秒
最大并发连接数 >=1000000 >=3000000
旁路阻断率 >80% >80%
串联阻断率 >99% >99%
功能参数 支 持 串 联 与 旁 路 部 署 方 式 ， 支 持
channel 、 trunk 接 口 模 式 ， 并 支 持
MPLS、802.1Q 网络环境
支持串联与旁路部署下的情报匹配与拦截防
护，支持在旁路镜像检测的同时对问题访问
进行阻断拦截
支持将外部情报源聚合获取至本地，具备多
源情报决策模型，决策算法包含聚合、顺序
匹配及加权匹配
系统内置“网防 G01”情报源，更新频率不超
过 2 分钟；支持自定义添加情报源，接口可
支持 FTP、kafka 及 API 方式，且至少可添加
3 种以上情报源
情报源数据至少包含 CC 攻击、网络代理（代
理、TOR、暗网节点）、暴力破解、WebShell
攻击、恶意扫描（扫描器）、漏洞利用及恶
意 IP 类型
支持对情报源 IP 进行画像，可明确溯源攻击
历史时间、攻击类型、攻击目标 IP 及攻击目
标单位等，至少可溯源 5 条最近历史记录，
 以便进行研判辅助
支持自动值守和人工研判的攻击阻断方式，
并可根据不同安防等级设置封堵范围，包含
单个 IP、所在 C 段和所在 B 段 3 种范围，并
支持按情报类型匹配组合的阻断条件
支持手动黑白名单以及目标例外设置，并可
进行批量模板导入
支持整体攻击态势可视化展示，内容至少包
含当天及本周等范围的 TOP 情报源、TOP 被攻
击目标、攻击趋势及攻击次数统计，并可在
地图上进行直观的情报 IP 分布查看，同时可
直接在数据统计界面中进行人工研判操作，
动作至少包含信任和封禁
支持日志告警、攻击 IP 分析及被攻击 IP 分
析等审计列表，可通过丰富的组合筛选条件
进行详细风险审计

3、网络威胁情报联防处置系统

性能指标 性能情况 备注
设备外型 2U
硬盘容量 1TB
硬盘扩展 带 4 个扩展槽
电源规格 冗余电源
最大接入量 50 台
支 持第 三方 情报 方 Syslog、ftp
式
支 持第 三方 设备 类 WAF、IPS 等
型
功能参数 支持将第三方情报汇聚到本地，具备多种汇
聚接入方式如 FTP、syslog 等
支持对实时的攻击进行告警分析可以通过攻
击 IP 分析和被攻击 IP 分析等多维度进行汇
总展示
支持对被控主机非法外联进行监测并且进行
告警统计分析
支持区域隔离，对非授权访问进行阻断拦截
并且进行告警统计分析
支持集中下发配置策略给接入的网络攻击阻
断系统