随着高校网络规模的不断扩大、应用的日益丰富，校园网络安全问题日益突出，山石网科提出以场景化、常态化、体系化和实战化为指导，分别做好精准防护、主动防护、整体防护和联防联控的网络安全防护工作，构建四化四防的智慧安全校园，实现校园网络及其应用系统的安全高效运行。

安全需求

如今高校网络信息资产越来越多，其承载的价值越来越高，也给安全运维带来了新的挑战。传统网络防御中防护设备各自为战，形成了安全运维的信息孤岛，无法从全局角度判断网络安全态势。

另一方面，攻防态势不断升级，高级网络攻击层出不穷，攻击行为越来越隐蔽，传统基于特征库的检测方法已无法应对不断升级的安全威胁。同时，攻击行为逐步发展为工具化、自动化，工具高度集成化与互联网化导致攻击成本越来越低。从而导致有限的安全运维人员面对海量的攻击时，只能淹没在海量信息确认中，无力开展事件调查和处理，网络安全面临巨大的挑战。

单一视角，存在监控盲区：
统的安全设备往往只能够防范某一方面的攻击行为，而且网络安全设备通常是管理员单点登录、监测并处理安全事件，存在无法掌握全网风险的问题。

资产分散，业务复杂：
校园网网络安全数据分散，校园采购了部分安全设备，并且部署在不同位置，分布零散。难以监测整体安全态势，网络规划和系统建设过程是一个阶段性、周期性的过程。但也造就了数据格式不统一、数据管理混乱的内部现状。

海量数据，威胁难以发现：
安全信息处理不过来，异常检测、关联分析难以实现，溯源困难，事件调查处理周期长，存储能力、处理性能、查询功能、分析能力等各个方面都已经无法应对当下的挑战。

外部威胁情报难以利用：
高级威胁情报、热点事件、以及同类环境发生威胁等情况时有发生，但大量已知的外部情报无法被有效利用，导致内部面临孤军奋战的处境，难以有效抵抗外部的攻击行为。

解决方案

资产管理与风险评估
全自动梳理高校服务器、终端与业务资产的能力，通过流量分析和手动录入的方式发现高校资产，对高校资产进行集中监控管理。

全网数据采集，全景安全态势呈现
高校的业务中会产生多种格式的数据源，比如：windows主机日志、linux日志、syslog日志、Netflow、Sysmon、设备日志等。山石智源智能安全运营系统具备全网数据采集的能力，智源的日志采集器可以收集、处理来自多种数据源的数据，实现全局数据采集，汇集全网安全信息构建网络安全大数据资源池。

AI智能驱动大数据统一关联分析
综合多种信息元素进行全局网络的流量分析、日志分析以及关联分析，深度挖掘潜在的威胁行为，发现攻击意图。实现全网单点信息结合，消灭信息孤岛的情况，将网络作为整体从而进行统一分析。

自动化预警处置
管理员通过平台内置工单系统，在发现威胁的第一时间可通过下发工单通知具体人员处理相应的威胁事件，并支持在处置过程中提供处置建议、记录处置历史以及事件的处置状态和完结时间。联动防火墙等安全设备安全策略实现违规访问类行为检测，检测到异常访问行为后可直接通过防火墙进行策略阻断，实现威胁事件应急响应。

态势呈现
安全运营平台对收集、关联分析、溯源后生成的数据进行汇总，加工，最终通过六个滚动大屏，直观展示综合安全态势/服务器安全态势/终端安全态势/威胁事件态势/弱点态势/区域态势。

方案价值

数据资产可管：
管理员只需将网络中可能存在的资产网段录入山石网科智源智能安全运营平台，平台根据网络流量信息自动识别真实存在的资产信息。无需管理员一台一台确认资产的真实性，摆脱繁杂的资产确认和整理工作。

提高运维效率：
运维人员不再忙碌于登录不同的系统进行资产状况的查看、风险的处置，无论资产和数据如何增加，运维人员都不必淹没在海量的安全信息中，只需通过安全运营平台就能够查阅所有的网络状况，解放运维工作，提高运维效率，降低运维成本。

满足等保要求：
智源能够满足全网日志的180天存储要求，同时也能够满足网络监测与预警响应处置的要求。