当前，网络空间已成为境外间谍情报机关对我国开展网络间谍工作的重要阵地，受政治动因驱动的APT组织能力已转变为全球网络空间竞争的领军要素。从全球范围看，APT组织攻击活动聚焦地区政治、经济等时事热点，攻击目标主要分布于政府、国防军工等行业领域。

我国已成为高级别持续性威胁（APT）攻击的主要受害国之一，面对的攻击数量持续增加，攻击手段日益复杂化，攻击目标呈现弥散特点，对我国网络安全领域产生了重大影响。

面对日益复杂的网络攻击手段，积极运用威胁情报能力，能够有效预判并应对潜在网络威胁的风险，发现攻击窃密事件，聚焦真实告警，建立安全态势感知能力。

中孚威胁情报平台，基于大数据技术构建的融合了海量高价值威胁情报，依托中孚安全大脑独有的专注于保密领域的高精准情报，融合多源高质量情报数据，赋能安全运营生态体系，成功追踪260+全球APT攻击组织，拥有千万级IoC高精准失陷情报，帮助用户及时发现失陷资产，为客户提供高性能、高可用、可扩展的威胁情报查询分析能力和威胁情报共享能力。 

系统架构

六大功能模块，做好全面威胁监测

多源情报管理

平台支持多源情报接入，实现外部情报和内部情报数据接入。平台内置多种情报校验规则，能够对接入情报数据进行验证，并输出校验报告。支持多种形式实现对威胁情报的检索和呈现，包括对单个对象、关系以及整体威胁情报的展示。

情报检索查询

系统支持 IOC情报的查询与展示，可输入 IP、域名、文件 Hash 值、URL 等常见参数进行情报的查询，快速获取威胁情报行为、时间、影响范围等完整历史记录信息，实现灵活、快速的情报获取机制。利用多种可视化界面将复杂的威胁事件进行多维度展现，包括情报内容展示、情报域名信息展示、情报图谱展示。

情报运营管理

通过行业经验积累和业务需求，可自定义配置情报标签，实现情报多元化标签管理。系统支持情报安全专家对海量威胁情报进行研判分析，以保证情报的有效性和实效性，从而实现威胁情报的持续更新和及时维护。

情报终端管理

平台支持对情报终端接入的认证、审核以及信息的推送、拉取功能，实现对情报客户端的全方位管控。通过对情报终端基本信息进行管理，建立情报终端管理台账，方便终端检索查询。对情报终端操作日志进行记录统计，便于维护情报终端运行状况。对情报终端设置认证审核机制，针对新加入和过期的设备默认处于未审核、停用的状态。

情报消费监控

平台对情报客户端的消费情况进行实时记录与展示，可以查看消费情报的详情。

APT 组织画像

为方便安全分析专家及安全运维人员对APT攻击进行深入分析、研判处置，系统提供APT团伙的画像档案查询功能；同时为用户刻画APT攻击组织画像，呈现APT攻击组织的地域分布情况、被追踪情况、APT攻击组织详情、APT关联报告等，便于用户了解并掌握APT组织的详细情况。系统提供APT组织检测规则的维护，提升APT攻击检测分析的能力。

互联网部署方式

隔离网部署方式

三重支撑能力，有效抵御各类高级持续威胁

多源情报接入

平台支持手动添加、批量导入、接口对接等方式接入不同来源或系统上送的威胁情报信息，快速完成威胁情报的对接，对重复情报进行合并，为接入情报进行标签化处理，为告警分析和处置提供支撑。

情报图谱分析

平台具备情报的图谱关联展示分析能力，自动对查询的情报进行深度关联分析，使用知识图谱的形式呈现威胁情报的关联性，支持对情报图谱进行人工新增关联，关联关系修改等维护操作。

情报级联共享

平台具备情报级联共享能力，支持上下级平台之间进行情报的分类共享，支持对情报按主题、按来源、按类型等维度进行上下级的共享，级联通道处理情报能力不低于10000条 / 秒。

面对防不胜防的APT攻击以及安全威胁，制订全面的纵深防御策略对于打击APT攻击至关重要。做好数据安全建设与防御工作任重道远，只有不断落实网络安全防范措施，提高技术防范能力，才能及早发现处置异常情况，杜绝安全隐患。