：大模型时代下的网络安全建设思路 重新定义安全检测与安全运营 D I R ECTO RY 目录 02 安全 GPT 能力介 绍 03 部署形态与展望 01 安全困境 网络边界安全能力 企业一般都会划分了多个网络区域，如总部办公大楼、运维管 理中心、居家 / 出差等远程办公区域、分支机构、各地办事处等 边界处，通常已部署防火墙、网络入侵检测、 WAF 、流量探针 等边界防护等安全能力 等边界防护等安全能力 办公 / 计算环境安全能力 针对办公终端或数据中心的计算 / 存储等环境，通常已部署了终 端 / 主机防病毒、防火墙、网络入侵检测、流量探针、上网行 为 审计等能力，核心资源如数据库，还会考虑数据库防护、操 作 审计以及数据备份等机制 通信网络安全能力 主要针对外部网络接入， 通常已部署 IPSEC/SSL VPN 等技术， 实现网络接入与业务访问的安全控制， 计 安 全 态 势 感 知 漏 洞 扫 描 身 份 管 理 碎片化的传统防御， 0day 检测能力弱 安全研判 / 响应高 度依赖人，但高水 平人才供给长期不 足，且人的精力、 能力存在瓶颈 情报、自动化能力不 足，追不上攻击的变 化和发展 大语言模型助力攻击者批量、低成本产出高级攻击工具

安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络 关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检 测”。为落实《中华人民共和国网络安全法》有关规定，国家互联网信息办公室会同工业和信息 化部、公安部、国家认监委等相关部门相继发布网络关键设备和网络安全专用产品目录，确定 承担安全认证和安全检测任务的机构，明确认证检测结果统一发布流程，制定《信息安全技术 一发布流程，制定《信息安全技术 网络安全专用产品安全技术要求》强制性国家标准。 为进一步加强网络安全专用产品安全管理，推动安全认证和安全检测结果互认，避免重复 认证、检测，2023 年 4 月和 7 月，国家互联网信息办公室会同相关部门联合发布《关于调整网 络安全专用产品安全管理有关事项的公告》（以下简称《公告》），并更新《网络关键设备和网 络安全专用产品目录》（以下简称《目录》）。《 日起，停止颁发《计算机信息系统安全专用产品销售许可证》，停止 执行政府采购领域信息安全产品强制认证要求。列入《目录》的数据备份与恢复产品、防火墙、 入侵检测系统（IDS）等 34 类网络安全专用产品，需要按照《公告》要求进行安全认证或安全 检测后，方可销售或者提供。 2024 年，中国网络安全产业联盟（CCIA）启动《网络安全专用产品指南》（以下简称《指 南》）编制工作，4 月发布第一版，本书为第二版。《指南》第二版共收录了

推荐落地方案： 边界无限-靖云甲ADR 奇安信- 奇安信ADR 创新方向：供应链安全 推荐落地方案： 安全玻璃盒-供应链安全AI检测智能体与威胁情报 长亭科技- ”慧鉴”智能静态应用程序安全测试系统 创新方向：深度伪造检测 推荐落地方案： 中科睿鉴-端云协同多模态伪造检测方案 创新方向：大模型安全评估 推荐落地方案： 君同未来-大模型安全评估 奇安信-AI大模型安全技术评估服务 360-大模型安全评测平台 安恒信息-恒脑安全智能体开发平台 深信服科技-AI安全运营方案 奇安信-智能安全运营AISOC 360-360安全大模型夯实智能体发展基石 创新方向：安全威胁检测智能体 推荐落地方案： 深信服-全量威胁检测智能体 金睛云华-大模型赋能的自动化威胁检测&安全运营解决方案 微步在线-XGPT Agent 威胁分析与安全运营智能体 关键经营数据分析——现⾦流健康度继续下降 可信数据空间 为加快构建以 Management）、数据泄露防护 （DLP）、数据目录和威胁检测等产品， AI赋能的数据安全体系实现了对海量数据的分类分级、自动化脱敏、敏感数据识别、 泄露检测，威胁检测和实时响应，显著提升了对新型攻击的防御效率，例如在自动化敏感数据发现方面，基于自监督向量模型，跨本地、多云及SaaS环境自动识别敏感数据分 布，消除数据盲区；智能语义分析，利用大模型语义理解能力，精准检测“影子数据集”与误标信息，提升数据分类分级准

.......................................................................................10 2.3.3 安全检测................................................................................................... 根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008) 、《XX 信 息网计算机操作系统安全配置基本要求》 GA/T 1252-2005 用户接入网终端应安装经国家 有 关部门检测、认证的正版防病毒软件，实时监测各类非入侵行为，并保持及时更新系统补 丁、 封堵风险漏洞等功能。主要包括防病毒、系统安全加固、补丁管理、软件安全管理、 系统推 送等。 2.1.3.6 终端资产管理 2.1.3.9 终端异常处置 终端管理平台可对终端违规外联、终端漏洞情况、用户异常操作、应用软件异常、病 毒 木马入侵异常情况发现、分析和报警。 终端管理平台需要加强对哑终端的异常检测能力，支持哑终端异常检测能力，一旦发 现 终端异常，比如将哑终端替换成笔记本电脑， 非法接入信息网等异常行为， 系统能够及 时发现，告警， 并进行自动隔断或隔离处置， 最大程度降低安全风险。 2.1.3

安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络 关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检 测”。为落实《中华人民共和国网络安全法》有关规定，国家互联网信息办公室会同工业和信息 化部、公安部、国家认监委等相关部门相继发布网络关键设备和网络安全专用产品目录，确定 承担安全认证和安全检测任务的机构，明确认证检测结果统一发布流程，制定《信息安全技术 一发布流程，制定《信息安全技术 网络安全专用产品安全技术要求》强制性国家标准。 为进一步加强网络安全专用产品安全管理，推动安全认证和安全检测结果互认，避免重复 认证、检测，2023 年 4 月和 7 月，国家互联网信息办公室会同相关部门联合发布《关于调整网 络安全专用产品安全管理有关事项的公告》（以下简称《公告》），并更新《网络关键设备和网 络安全专用产品目录》（以下简称《目录》）。《 日起，停止颁发《计算机信息系统安全专用产品销售许可证》，停止 执行政府采购领域信息安全产品强制认证要求。列入《目录》的数据备份与恢复产品、防火墙、 入侵检测系统（IDS）等 34 类网络安全专用产品，需要按照《公告》要求进行安全认证或安全 检测后，方可销售或者提供。 2024 年，中国网络安全产业联盟（CCIA）启动《网络安全专用产品指南》（以下简称《指 南》）编制工作，4 月发布第一版，本书为第二版。《指南》第二版共收录了

网络安全实战攻防演习 防守方案 汇报人 XXX 致力于打造世界一流网络安全企业 1. 概述 网络安全实战攻防演习简介 检测国家关键基础设施与单位备案重要信息系统的安全问题和隐患，检验其 事件监测、安全防护与应急处置，快速协同、应急处突的能力。 目 的 涉及的行业众多、范围广泛，包含政府、金融、电力、运营商、重点企业等 国家关键基础设施行业，每年由选中单位上报资产或国家指定对应关键目标。 。 目 标 由国家公安部组织全国各部委、行业专家、网络安全专家进行指挥统筹，由 国家网络安全队伍、科研机构、部队、网络安全企业组成攻击检测队伍。 攻 击 检 测 方 针对真实关键目标开展红蓝攻防对抗，攻击方在不破坏目标正常业务工作的 前提下挖掘相关安全隐患，并将结果实时上报至指挥部，防护方依据监测的 安全事件开展追踪溯源、应急处置、安全防护工作。 形 式 2.攻击视角 从攻击者视角分析整体安全视图 分支机构无法突破打击供应链（研发） 国舜一所的金融工作站，攻防演练攻击队成员，从攻击者视角分析客户问题和隐患 攻击者视角 攻击方入侵方式及思路 攻防演练攻击战法中出现的新特征，传统安全防御手段难以检测 新型攻击战法介绍 利用百度文 库、 github 、 fofa 、脉 脉等渠道收集信息 利用网站、 VPN 、邮件 系统、 JAVA 等应用的漏 洞打开入口 迂回攻击下属单位，进 入内网后绕道攻击总部

等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 核心业务域（三级系统域） 乡镇、社区卫生中心 外联域 财务 系统 FTP 内网核心域 HIS 系统 EMR 系统 LIS 系统 HIP 系统 PACS 系统 OA 系统 手麻 检测 探针 负载 均衡 内网运维管理域 安全感知平台 运维堡垒主机 补丁分发系统 日志审计系统 防病毒服务器 漏洞扫描系统 内网前置 网闸 外网前置 局 社保 局 交换机 广域网优 化 下一代防火墙 （基础级） 交换机 检测探针 下一代防火墙 （基础级） 交换机 下一代防火墙 （基础级） 交换机 门诊区 行政区 住院区 药房区 上网行 为管理 下一代防火 墙 （基础级） 交换机 检测探针 交换机 下一代防火墙 检测探针 （增强级） 下一代防火墙 （增强级） 交换机 数据库审计 IaaS

建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综 合防御体系。应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、 安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技 术检测、安全可控、队伍建设、教育培训和经费保障等工作。” 由此以及具体的技术控制项的调整，可以确定，等保 2.0 由 1.0 防御审计的被 动保障向感知预警、动态防护、安全监测、应急响应的主动保障体系全面转变。 的管理制度中的“安全管理中心”独立为一个要求大类，包括“系统管理、审计管理、 安全管理、集中管控“等，为了满足等保 2.0 的核心变化——从被动防御转变为主动 防御、动态防御。同时完善的网络安全分析能力、未知威胁的检测能力将成为等保 2.0 的关键需求。 2.4 基本要求和对应产品技术 根据本次等保 2.0 通用要求中，在“一个中心三重防御”的思想下，进行具体技 术和服务拆分，对技术控制项及管理控制项进行二次分解，智安网络建议在整体控 访问控制、防盗窃和 防破坏、防雷击、防 火、防水和防潮、防 静电、温湿度控制、 电力供应、电磁防护 机房建设、物理安全 策略 电子门禁系统、视频 监控系统、防雷保安 器、火灾自动消防系 统、水敏感检测仪、 静电消除器、中央空 调、防静电设施、稳 压器、UPS、冗余供 电、电磁屏蔽 安全通信网络 网络架构 网络架构优化、安全 区域划分、安全产品 集成、带宽控制、设 备冗余 防火墙、流控、设备

Tomcat 从 5.5 这个版本及以后发行的版本默认都不存在 admin.xml 1、判定条件 根据不同用户，取不同的名称，各账号都 可以登录 Tomcat Web 服务器为正常 2、检测操作 访问 http://ip:8080/manager/html 管 理页面，进行 Tomcat 服务器管理 2 应删除或锁定与设备运 行、维护等工作无关的 账号 1、参考配置操作 被删除的与工作无关的账号 tomcat1 不能正 常登陆。 2、检测操作 访问 http://ip:8080/manager/html 管理页 面，使用删除帐号进行登陆尝试。 3 禁用超级用户启用 tomcat 1、参考配置操作 在普通用户的模式下，运行 tomcat 的启动脚本 2、检测操作 查看当前系统的 tomcat 进程，确认程序启动时使用的身份。 注意：通过 使用弱口令扫描工具进行检查时应注意扫描的 线程数，避免对服务器造成不必要的资源消 数字、小写字母、大写 字母和特殊符号 4 类中 至少 3 类。 检测方法 1、判定条件 检查 tomcat/conf/tomcat-user.xml 配置文件中的帐号口令是否符合配置口令复杂度要求。 2、检测操作 （1）人工检查配置文件中帐号口令是否符合； （2） 使用 tomcat 弱口令扫描工具定期对 Tomcat Web

人群密度分析 .................................................................................... 66 4.3 异常事件检测 .................................................................................... 70 4.3.1 突发事件识别 点区 域，实现对人群密度、异常行为等情况的监测。在城市管理、交通 监控以及突发事件应对中，AI 大模型能够主动识别潜在的安全隐 患，从而为决策者提供及时而精准的信息支持。 其次，在事件检测与响应方面，AI 大模型在图像识别和事件推 理中表现出色。这些模型可以基于行为模式识别异常活动，比如聚 众斗殴、盗窃或其他非法活动，提供预警机制，有助于提高第一响 应者的反应速度。此外，将 视频数据接入：系统需要能够接入多种格式的监控视频 数据，包括实时视频流和历史存档视频，以满足不同场 景的需求。接入系统需要支持主流的协议，如 RTSP、 HTTP 等， 以确保与现有监控设备兼容。 o 智能事件检测：借助 AI 大模型，系统需要实时分析视频 内容， 自动识别潜在的安全事件，如打斗、聚众、异常 行为等。模型应具备高准确率和低误报率，确保追踪如 盗窃、火灾、交通事故等事件的发生。 o