等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 VPN WAC 防火墙 +IPS+AV （新增） 服务器区 - 内网 汇聚交换机 S5560-30F-EI*4 台 无线 AP WA4320*121 台 全网防病毒 网络管理 绘制拓扑 网络日志 安全接入 身仹验证 互联网 防火墙 +IPS+AV （新增） 支付宝服务器 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 多种安全审计 云安全资源池 云 终端检测与响应 安全感知 万兆网络 40GE 网络 云安全集中管 控安全服务平台 2. 于租户安全资源池 3. 安全服务 安全措施说明： 1. 拓扑中标识的安全设备 漏扫系 统 堡垒机 安全管 理平台 于安全监 测中心 综合安全管理区 核心交换区 亏联网接入区 业务服务器群 公共服务数据库 DMZ 区 DNS 服务器区

......................................................................................15 1.3.1. 智能拓扑................................................................................................... ....................................................................................54 2.4.5.7. 主机拓扑管理................................................................................................. .........................56 2.4.7.1. 网络拓扑管理..................................................................................................56 2.4.7.1.1. 拓扑生成.......................................

IT 运维体系 人 (People) 流 程 (Process) 技 术 (Tech & Tool) ITIL 北塔一体化运维解决方案 平台架构图 网络拓扑 系统拓扑 虚拟拓扑 业务拓扑 视频拓扑 拓扑 中心 实时预警 历史故障 事件 中心 性能、运行报表 运维报表 考核报表 趋势分析 报表 中心 故障自动工单 服务台 SLA 知识库共享 流程 虚拟化 机房环境 故障 性能、状态 分布式数据采集 视频图像质量 主要 功能 网络拓扑 基础设施管理 主要 功能 智能—主机拓扑 基础设施管理 主要 功能 智能—虚拟化拓扑 基础设施管理 主要 功能 智能—业务拓扑 基础设施管理 智能—机房拓扑 基础设施管理 智能— IP 拓扑 基础设施管理 智能 主机管理 专业管理 原厂 agent 硬件管理 IPMI 硬件管理 专业管理 Ip 地址生命周期管理 自动台帐 通过自动采集分 析网络拓扑数据， 建立完整的 IP 地 址实时台帐，彻 底解决手工难题 • IP 地址 • MAC 地址 • 所在设备 • 所在端口 • 管理属性 智能 专业管理 Ip 地址生命周期管理 延迟符 可疑 IP 地址 直接定位 自动打开拓扑图并 直接定位该 IP 地址 智能 专业管理 Ip 地址生命周期管理

选取当前跳变路径,同时提出流表预下发策略,保证在路径切 换过程中通信不中断,减小了路由跳变带来的时间开销[３４]. (５)网络拓扑跳变指周期性主动或被动地更改网络拓扑, 使攻击者收集到的拓扑信息失效,进而一定程度上抵御了网 络嗅探等攻击. Rawski提出的拓扑跳变策略,可以从预先计算好的配置 中根据网络状态的安全等级周期性地选择变化,也可以由捕 获的网络 异 常 事 件 触 发 拓 扑 扑 跳 变[３５].Bai等 结 合 真 实 主 机 IP、操作系统类型等信息和添加的虚假主机构造虚假网络拓 扑,从跳变池中选择虚假网络拓扑进行随机拓扑跳变,并按照 拓扑差异值决定当前虚假拓扑的存活时间[３６]. ２)系统层 (１)容器迁移指将应用程序的镜像或容器镜像从一个主 机或容器集群移动到另一个主机或容器集群,动态地改变系 统的结构和配置,进而增加攻击者攻击系统的难度. Az 根据欺骗资源所属的系统层次进行分类 根据欺骗资源位于系统的不同层次,可以将欺骗防御技 术分为网络层欺骗、数据层欺骗和系统层欺骗. １)网络层 在蜜罐、蜜网等欺骗系统的网络层实施欺骗防御策略,如 掩饰或伪造IP地址、端口号、拓扑等网络层特征信息,旨在诱 骗攻击者捕获虚假的网络信息、重定向攻击,并主动捕获恶意 网络流量,以达到欺骗攻击者的目的. Zhang等通过蜜网网关和入侵检测系统 来 检 测、分 析 特 定的恶意流量

通场景提供身份认 证、数据资产汇聚、授权管理、存证溯源的个人数据空间解决方案。产品采用实名号卡、 证书签名、量子国密资源池与区块链技术，为实现政府、企业的个人数据可信流通保驾 护航。 方案示意图/拓扑图： （1）保障用户主权和数据安全，确保数据在授权、流通、使用全链路精细化授 权管控、安全传输和存证溯源。 （2）平衡数据利用效率与隐私安全保护的关系，激活个人数据要素潜在价值。 用户价值： 典型客户或目标客户： 对数据完成分类分级及原因分析。检出率超过90%+，100%提供字段分类决策依据，整 体准确性超过90%，其中在个人敏感信息字段模型准确识别准确率达98.7%。支持多模 态图片、文档处理，灵活配置行业规则，轻量化部署。 方案示意图/拓扑图： （1）构建可信决策体系：提高分类分级检出率，准确率，引入大模型根因分析 机制，理清责任归属问题。 （2）动态适配监管要求：能够动态适配各地不同的监管要求，适配不同行业分 类分级标准。 （3） 等新型高危未知威胁。靖云甲ADR融合了资产风险发现能力，可自动梳理应用组件依赖、 API接口等资产，识别已知漏洞、API风险、应用弱密码等，达到“动态防御、内外兼顾”的 一体化防护，真正实现战时可防+日常可用。 方案拓扑图： 1. 面对令客户谈虎色变的0Day漏洞、内存马等新型高危未知威胁，高效、精准防护和 查杀，保护客户核心应用，轻松应对攻防演练及可能发生的实网攻击。 2.面对日益严峻的外采供应链、老旧业务、云上应用及互联网暴露面风险，为客户应用

........................................................................................3 1.2 安全建设拓扑................................................................................................... .....................................................................................4 2.2 用户侧安全建设拓扑................................................................................................... 跨网安全访问与交换平台安全建设思路..........................................................................13 3.2 跨网安全访问与交换平台安全建设拓扑..........................................................................14 3.3 跨网安全访问与交换平台安全建设内容

通过攻防演练裁判视角总结网络安全存在的主要问题，内网安全十分薄弱 网络安全存在的突出问题 五是供应链风险巨大。产品供应商、软件开发商、第三方运维厂商安全意识薄弱，频繁出现泄露系统源代码、 网络拓扑、建设方案、接入 VPN 账号密码以及违规外联情况，给攻击方以可乘之机。 六是网络区域之间缺乏有效隔离。 DMZ 区与内网区直接连通，内网和生产网直接相连，内网大区之间缺乏纵深 防御，更没有监测 网络资产风险感知系统 ) 先外网、再内网，对网络资产进行全面、准确的 梳理，清晰的掌握攻击面暴露资产，存活主机、 端口、服务探测 • 资产异常变更情况 • 应用服务的上、下线 • 资产的拓扑结构 • 资产变化轨迹 • 资产安全风险（漏洞、弱口令、敏感信息 等） • 对网络资产进行全方位的风险评估， 主动发现网络资产上面存在的安全漏 洞、弱密码、应用风险、系统风险、 资产暴露性风险等，同时结合资产的

超长段列表耗尽节点资源；网络切片机制中，若切片标识认证薄弱， 攻击者可利用共享物理设备漏洞实现跨切片渗透；IFIT 检测机制可能 被攻击者注入非法报文干扰监测，或分析其携带的路径信息推测网络 拓扑；BIERv6 组播转发缺乏源认证，攻击者可伪造组播源注入虚假 IPv6 网络安全白皮书 - 8 - 数据或篡改组播路径实施流量劫持。这些 IPv6+特有的安全风险，需 通过针对性的防护策略 包丢弃、资源耗尽及转发环路等后果，恶意添加 TLV 字段更会加剧 资源消耗问题。 数据平面的被动监听攻击中，路径上的内部攻击者通过捕获数据 包收集 IPv6 头部和 SRH 中的 SRv6 信息，用于网络侦察与拓扑分 析。域边界过滤机制可有效阻止 SRv6 路由信息外泄，仅当网络出现 故障导致信息泄漏时，外部攻击者才有机会获取相关数据。此类攻击 虽不直接泄露用户数据，但收集的网络情报会为后续攻击提供支撑。 或重放记录包的方式实施，路径内外攻击者均可参与，其核心影响是 引发资源耗尽，降低网络可用性。 控制平面攻击聚焦于 SRv6 所依赖的路由协议、OAM 协议及集 中式架构。路由协议攻击涵盖被动窃听路由消息以推断拓扑，以及主 动注入虚假信息两种类型。攻击者可能发布伪造 SID、篡改最大 SID 深度（MSD）值或备份路径 SID，导致路径计算失效或流量误导向 次优路径。路径上攻击者具备更全面的操作能力，此类攻击将造成

................... 12 图表 10： 小样本学习方法及相关案例 .................................... 13 图表 11： 基于 RL 的拓扑优化可以根据特定应用需求预测改进的超材料设计 ... 14 图表 12： 近距离展示了单个光反应器小瓶从机器人底座转移到光反应器块的过程 ............................ Materials》- Dana Bishara 等，国联民生证券研究所 目前，科研人员成功开发出一个具有开创性的机器学习模型，用于预测石墨烯中的缺 陷。这项研究的核心目的是借助石墨烯薄片的热振动拓扑，来预测缺陷所处位置。研 究人员通过对石墨烯薄片进行分子动力学仿真，发现了任意分布的空位，同时计算出 了每个原子的振动能量。 该研究取得了突破性进展，提出了两种预测策略：一种是基于原子层面，通过原子索 。这样的 RL 优化方 法也可以用于设计其他具有特殊功能和可变结构的材料。 请务必阅读报告末页的重要声明 14 / 29 行业研究|行业深度研究 图表11：基于 RL 的拓扑优化可以根据特定应用需求预测改进的超材料设计 资料来源：《Reinforcement Learning-based Design of Shape-changing Meta materials》-

资产、风险和威胁等多角度态势 信息，构建加密网络空间态势感知能力。产品使用丰富的可视化效果对各类加密资产状态予以 呈现，可直观反映加密资产态势信息，自动生成加密资产业务拓扑和物理拓扑，直观展示各类 加密资产互连情况。且拓扑图支持自定义增删修改，体现安全投入价值，同时提升响应与处置 效率。 功能特点 ◎功能 97 统一威胁管理产品（UTM） 97 网络安全态势感知产品 ★赋能加密网络空间态势感知 加密资产态势信息，体现安 全投入价值，同时提升响应与处置效率自动生成加密资产业务拓扑和物理拓扑，直观展示各类 加密资产互连情况。拓扑图支持自定义增删修改。 ◎特点 ★主被动相结合的加密资产识别与拓扑绘制 基于加密要素的加密资产、加密服务识别与分析、基于加密资产信息、网管协议和路由协 议分析的加密资产拓扑还原。 ★基于加密资产视角的加密网络空间态势分析 掌握加密资产的流量态势、业务态 测，为企业的安全运营体系提供安全决策的数据 支持。 功能特点 ◎全面的资产管理 支持对工业资产自动精准识别和动态感知，构建细粒度资产信息。辅助手动编辑工控网络 拓扑和网络区域层级，实现工控企业网络中的工控资产和网络拓扑可视化。 ◎全面的流量分析 对生产控制网和生产管理网的网络流量状况进行实时采集和分析，可分析出主流的网络协 议、工业协议；识别出网络攻击流量和网络攻击行为；同时具备网络流量统计、网络性能分析、