近年来，随着人工智能、量子计算、物联网等新技术的快速发展，网络安全面临着新的挑战，如网络攻击加剧、数据泄露等。维护网络信息安全，需要转变防护思路和不断加强技术研发来应对持续升级的安全威胁。为了更好维护国家网络安全，2023年5月1日政府出台了《信息安全技术 关键信息基础设施安全保护要求》提出主动防御活动以应对攻击行为的监测，主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施，开展攻防演习和威胁情报工作，提升对网络威胁与攻击行为的识别、分析和主动防御能力。和传统被动防御相比，主动防御可实现全局立体防护和实时智能检测，并对检测到的网络攻击进行实时响应，而后对其分析、取证、溯源、反击。改变了传统防御落后于攻击的被动局面。由被动防御向主动防护的转变，是网络安全产业发展的必然趋势。

一、方案目标

经纬信安构建“预测、预防、监控、分析和响应”于一体的自适应一体化主动防御体系，可实现数据采集、事件分析、安全可视，形成联防联控的能力，从源头上预防网络安全问题的发生，变被动防守为主动防御。

本方案通过构建一体化主动防御平台，可实现以下目标：

一、降低安全运营的复杂度，实现对整个攻击面全面可视化，及时发现高级复杂威胁及攻击；

二、统一的解决方案，降低安全运营的对接成本和使用成本；

三、能够提高安全运营的效率和价值，更快地发现威胁和自动化响应处理威胁事件，实现主动防御。

二、方案简介

经纬信安一体化主动防御解决方案以安全运营产品和服务，构建“预测、预防、监控、分析和响应”于一体的自适应网络安全闭环防御平台，实现智能驱动、自动响应和集约管控应对网络攻击；按照“发现早、管理严、及时堵、快处置”的总原则，达到“实战化安全运行、常态化安全防护、生态化安全协作”网络安全保障能力，全面提升网络信息系统攻击事前预警、事中处置和事后管控能力。

经纬信安一体化主动防御平台以纬将主动防御平台（XDR）为核心，以见未形风险评估系统（ASM）、经纬信安威胁情报中心（XTI）、戍将攻击诱捕平台（IDH）、经兵端点检测响应平台（EDR）、纬将网络检测与响应（NDR）、纬将自动化编排与响应（SOAR）为支撑，纬将XDR内置旁路阻断系统，配置流量探针，监测主机、诱捕和流量攻击，无缝衔接戍将攻击诱捕平台，具备主机检测、流量检测和蜜罐诱捕功能，具备不依赖其他产品的独立检测和响应能力。在独立检测响应基础上，纬将安全运营平台通过纬将SOAR，联动主流防火墙、WAF、态势感知等安全产品，实现联防联控的安全运营体系。

经纬信安一体化主动防御平台涵盖云、网、端的攻击监测，可以更快发现威胁和自动化响应处置威胁事件，以统一的解决方案，提高安全运营的效率和价值，实现主动防御。

三、建设方案

经纬信安一体化主动防御解决方案不仅具备独立检测响应，又可以通过纬将SOAR，连接其他安全设备，实现安全编排，有效整合各个网络安全产品，形成网络安全联防联控。

经纬信安一体化主动防御产品采用旁路部署的方式，不影响网络结构，部署拓扑图如下：

1. 清点互联网和内网资产的暴露面，加固和修复风险；
2. 对互联网区戍将攻击诱捕获取的外网攻击者，结合威胁情报预先加入黑名单，按照设置的响应策略自动旁路阻断攻击行为，主动防御；
3. 通过纬将XDR的流量探针、主机探针和诱捕探针，覆盖主机侧、网络侧的攻击检测，以及攻击诱捕的数据进行综合分析，辅助经纬信安威胁情报进行研判，实现对安全事件、攻击链的精准分析；
4. 及时阻断纬将捕获的外网攻击事件，加强内网的纵深防御；
5. 综合研判内网风险主机，进行限时隔离，及时自动隔断内网横向攻击，为排查赢取时间；
6. 通过SOAR将相应的策略进行编排，实现可视化安全编排和响应；
7. 通过SOAR将现有的态势感知、防火墙、WAF等安全设备通过API接口实现安全编排，联防联控。

四、方案价值

通过安全运营平台服务体系的导入，盘活已有网络安全设备，解决企业网络安全协同一体化防护问题。建立风险评估、攻击主动诱捕、威胁情报主动收集、威胁主动响应的扩展检测响应的能力，提前收集信息和攻击情报，做到精准检测威胁并实施主动防御。构建纵深防御和横向防控系统及主机侧攻击检测的企业级一体化扩展检测响应体系。

1、纬将扩展检测响应平台防御范围更广，纬将扩展检测响应平台强调威胁面整体防御，可以帮助企业识别和缓解对其IT基础架构面临的任何威胁，能够为拥有混合工作环境和复杂IT基础设施的用户提供信息和威胁数据，帮用户应对日益复杂的威胁，从而能够更好地保护其数据和运营。

2、纬将扩展检测响应平台拥有成本低，纬将扩展检测响应平台可以简化安全工具集，通常可以帮助用户提高效率并最大限度地利用资源，将端点、网络和云服务的检测和响应功能整合到单一平台中。

3、纬将扩展检测响应平台分析自动化，将所有威胁数据集中在一个仪表板中，在分析大数据的同时自动识别威胁并确定威胁优先级，使用户团队可以更好地优先考虑响应策略，极大地提高安全团队的效率。

4、纬将安全编排与自动化响应平台（以下简称纬将SOAR）通过将事件响应、编排与自动化、威胁信息加以组合，从而降低企业人力上的压力和工具重复性使用，有效减轻告警疲劳。

5、纬将SOAR能够快速主动遏制并降低威胁对环境的破坏，提高响应速度，纬将SOAR具备低代码编排能力使得安全运营团队轻松实现工作流的创建和改进，从而提升客户满足敏捷度。

6、通过剧本把最高水平的处置能力变成模板，可视化、可读解，使安全运营经验积累，团队的其他成员更好学习。

7、纬将SOAR平台可以提供自动化合规性报告审核功能，避免安全事件漏报、误报，提供规避风险的措施和自动合规性测量，保证合规性和数据隐私。

8、提供定制化服务，构建单位特有的响应剧本，实现串联各个网络安全，有效实现横纵向攻击联防联控。

9、经纬信安依托“实战化、体系化、常态化”理念，践行“主动防御、精准防护、联防联控”举措，建设自适应一体化联防联控主动防御产品体系，全面满足等保、重保、关保等国家法律法规提出的各项合规性要求，提供网络安全保障。

五、方案特点

主动检测：精准检测攻击，提前预警，事前防御；减少人工判断环节，即时响应，简化运维，提高效率。

主动防御：平台对主动检测的攻击进行拦截，从“被动防御+应急响应”向“主动防御+持续响应”的切换，形成安全闭环。

扩展检测响应：纬将扩展检测响应平台通过API接口，能够无缝衔接经纬信安自身产品：经兵端点安全、戍将攻击诱捕平台、戍将WAF、以及经纬信安威胁情报中心，并可以通过API接口联动主流防火墙、WAF等其他厂商的安全产品，联防联控。

自适应闭环：以PPDAR（预测、预防、监控、分析和响应）自适应安全架构，构建预测、防御、检测、响应于一体的自适应扩展检测响应体系，重点关注持续监测、快速响应能力建设，提高安全运维的工作效率。

经纬信安一体化主动防御方案曾荣获江苏省优秀实践案例第一名，蝉联收录《2021—2022年中国网络安全发展蓝皮书》、《2022—2023年中国网络安全发展蓝皮书》，荣获2023年江苏省信息技术应用创新优秀应用示范案例，荣获2023数字化创新优秀解决方案，其先进性、创新性赢得业内的高度认可。

该方案目前已广泛应用在金融、政府、能源、教育、医疗等行业，为客户构建主动防御的网络安全运营体系，让安全更高效。