一、需求痛点

企业网络安全面临多方面挑战：网络覆盖广泛且出口众多，易受迂回攻击，而现有防护体系主要针对边界风险，对主机层的攻击防护不足，导致检测精度和业务关联性不足，难以应对未来攻击手段的转变；同时资产台账和CMDB无法满足实战攻防下的资产问题管理需求；流量检测后缺乏证据链完整性，难以定位攻击源；单位的邮件网关在面对高级社工钓鱼邮件时，传统防守手法识别能力有限，需要采用关键技术进行更有效的检测识别；流量检测和终端安全需要探索新的联动能力，以应对NAT后的溯源问题，确保组织安全管理要求得到满足。

二、解决方案

1、网络威胁防护：通过数据汇集、实时联动、情报共享、联防联控，面对网络攻击实现”一点监测、全网阻断”，全面提升全企业纵深防御能力和应急处置能力，有效落实网络安全防护“关口前移”要求。

2、服务器端防护:实时感知主机与应用面临的威胁，预警并阻断网页篡改、漏洞利用、数据窃取、潜伏控制等网络攻击事件，帮助企业有效开展主机综合防护。

3、网络风险资产监测：通过快速检测风险资产，及时针对风险资产的漏洞进行响应，发送威胁情报，给出风险评估报告，提升网络风险处置的攻防速度。

4、终端入侵防护：抵御终端遭受的高级威胁，自动构建文件威胁档案库，结合情报平台实时发现黑灰产、挖矿等非法外联行为，并对遭受攻击主机进行自动线索取证及处置，提升对终端一体化运营能力。

5、邮件安全预警：利用恶意URL识别、恶意二维码识别、账号安全风险识别、威胁情报联动共享等关键技术，实时开展威胁情报联动共享，通过威胁及时预警实现全面应对邮件钓鱼及恶意程序攻击。

三、实际应用

为进一步提升企业网络安全防护能力，部署网防系列安全设备，解决安全防护现有需求，提升安全防护能力。

四、方案效果

1、对用户广域网进行有效的监控与阻断，以情报共享平台提供的情报进行多源融合与智能分析，实时联动部署的所有设备对安全威胁进行拦截封堵，实现 “一点监控，全网阻断”。

2、实时感知主机与应用面临的威胁，一键进行应急处置，对篡改网页、盗取数据、内网渗透等攻击行为进行检测阻断和应急响应，对事件发现、追踪溯源提供线索取证。

3、对终端安全类信息的全息建档，结合情报数据加持，在发现恶意IP、恶意URL、恶意域名等攻击信息后，可快速实现实时告警响应，并进行全网排查，通过防空体系的构建，所有数据可实现自动关联分析、自动取证、从而实现安全威胁的自动化运营管理。

4、汇聚各节点恶意发件地址库、URL库、恶意样本特征库等邮件威胁情报因子，组成行业级/跨行业级的邮件威胁情报库，实时共享，实现“一处预警、处处相应”，提升行业单位事前预警能力。