还剩30页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
XX市电子政务外网安全态势感知解决方案科技股份有限公司二零一七年XX月目录
一、建设背景3
二、业务需求分析
42.1贯彻落实政策文件精神,全面加强信息化安全建设42安全事件分析难度大,安全威胁处理陷困局43作为信息安全建设试点,形成最佳实践5
三、电子政务外网监测技术框架结构61监测体系结构62监测事件类型
73.3业务区域监测范围与内容
83.1公用网络区
83.2互联网接入区
83.3专用网络区94分析与展示
93.
4.1分析
93.
4.2展示10
四、安全感知设计方案
104.1项目目标与方案设计思路
101.1项目目标
101.2方案设计思路102方案设计框架结构123方案设计拓扑134态势感知组件介绍
134.1潜优威胁探针
134.
4.2安全感知平台
154.
4.3安全服务云165推介产品清单17
五、方案价值
185.1业务访问关系可视化182全网风险可视化193安全治理可视化214安全服务化交付23电子政务外网建设是政务信息化建设的先导工程,XXX主管部门按照中央和省关于网络安全和信息化发展的工作要求,结合“负责信息安全的统筹规划和协调管理,协调信息安全保障体系建设的机构职能,以统筹协调全市各级党政机关单位全面提升基础电子政务网络、重要网站、信息系统的安全防御能力,构建XXX市电子政务网络信息安全保障体系为总体目标,从2013年起开展电子政务网络信息安全保障体系的规划设计及建设工作,目前项目各项建设工作进展正常近年来重点完成了两方面的工作一是有效支撑了全市每年联合开展网络信息安全和保密检查工作;二是构建全市电子政务信息安全服务支撑体系初步形成了我市电子政务网络与信息安全工作推进的长效机制,实现了信息安全保障工作的体系化和常态化,全面提高了电子政务平台的安全水平为了进一步加快我市电子政务外网建设,推动各级政务部门利用电子政务网络便捷的开展各类应用,充分发挥电子政务网络的公共设施作用和效能,根据相关政策文件精神,提升我市电子政务网络信息安全保障体系的服务能力,增加电子政务网络信息安全基础设施及技术手段,加强电子政务外网骨干网安全威胁监测能力以及市直机关单位重要业务系统安全风险深度监测预警能力,确保我市电子政务外网安全运行和电子政务业务健康发展是我市电子政务外网安全建设的主要课题二业务需求分析
2.1贯彻落实政策文件精神,全面加强信息化安全建设习总书记在2016年“419讲话”中提出“全天候全方位感知网络安全态势”,将网络安全的思维模式从单纯强调防护,转变到注重预警、检测、响应的格局,安全能力从“防范”为主转向“持续检测和快速响应”,实时防御将以威胁为中心,以数据为驱动解决安全问题十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,其中第四十四条明确指出国家建立网络安全监测预警和信息通报制度,相关部门应加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全检查信息2016年12月27日,国务院全文刊发了《“十三五”国家信息化规划》,再次强调了态势感知的重要性,“十大任务”中的最后一项,“完善网络空间治理体系和健全网络安全保障体系,再次提出“全天候全方位感知网络安全态势”同时,根据联合印发《国家电子政务外网安全等级保护实施指南》、《GW0203-2014国家电子政务外网安全监测体系技术规范与实施指南》等相关文件精神,加快建立健全电子政务外网安全态势感知监测平台,将有力提升我市电子政务外网安全
2.2安全事件分析难度大,安全威胁处理陷困局随着电子政务外网的不断延伸与扩展,网络中的设备数量和服务类型也越来越多,网络中的关键安全设备和业务服务器产生了大量的安全事件日志,安全运维人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,工作效率极低,难以发现真正的安全隐患云计算技术的发展将IT资产不断向虚拟化迁移,业务的增删查改变化大,IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量,安全边界变得越发模糊,而传统的安全防御模式还停留在网络与应用系统,导致看不清资产变化,看不清业务访问关系,更看不清内部的横向攻击、异常访问与违规操作,黑客一旦突破边界以后,往往利用合法用户身份渗透内部其他业务系统,窃取核心数据
2.3作为信息安全建设试点,形成最佳实践根据相关政策文件要求结合我市电子政务外网安全建设需求,形成一套符合我市电子政务外网防御、监测、响应为一体的安全体系,对于全面推进我市信息安全建设具有指导意义一方面消除高危安全隐患,提高抵御攻击能力,从整体上提高安全防护与监测水平,从而不足导致安全威胁扩散,落实我市电子政务外网安全7*24小时的事件实时分析、问题定位、快速响应机制,提升响应速度,提升响应效果,形成最佳实践
三、电子政务外网监测技术框架结构
3.1监测体系结构a)监测对象层确定国家电子政务外网安全监测的对象与范围,网络监测包括广域网、城域网、局域网监测,业务区域网络监测包括公用网络区、互联网接入区、专用网络区监测,业务监测包含基础支撑系统、业务系统、托管业务监测;b)监测内容层根据监测目标,确定重点监测内容监测内容包括设备与系统配置监测、设备状态监测、设备故障监测、系统运行状态监测、异常流量监测、脆弱性监测、病毒与木马监测、拒绝服务攻击监测、运维审计监测、数据交换监测、网络链路监测、认证与授权监测、网站安全监测、互联网行为监测;C)综合分析层实现监测数据的集中采集、存储和转发,为综合分析提供基础元数据利用综合日志分析、性能与可用性分析、安全管理分析、安全策略分析、风险分析、脆弱性分析、安全态势分析等技术,对监测内容进行综合分析,同时实现安全态势、知识库等的共享;d)交互展示层根据决策者、管理人员和运维人员不同的需求和关注重点,将系统的风险、安全态势、脆弱性、流量、合规性等统计分析结果以报表、图形等直观的方式进行展示;e)标准制度安全监测体系所涉及的信息系统要符合国家安全等级保护的相关要求和标准规范以及国家电子政务外网相关标准规范,同时在运维过程中遵循信息安全管理体系、信息技术基础架构库等体系要求,提升运维与管理水平
3.2监测事件类型a)安全事件监测通过多种方式对各类安全事件进行监测,并对事件进行分类、分级通过对事件的分析并发现问题,形成安全事件的上报与处理机制b)状态信息监测实现对安全设备、网络设备和系统的运行状态监测,掌握各类设备和系统的可用性状态信息c)运维监测实现对安全设备、网络设备和系统的运维操作审计发现违规行为或误操作d)脆弱性监测实现对安全设备、网络设备和系统的脆弱性监测发现资产所面临的安全风险e)互联网行为监测实现对接入单位的上网行为监测,发现访问互联网的违规行为或安全事件f)流量监测实现对网络流量的监测,掌握流量的分布与应用情况,发现引起流量异常的安全问题
3.3业务区域监测范围与内
3.
3.1公用网络区a)监测范围公用网络区的公共基础设备、重要信息系统;b)监测对象网络设备、安全设备、重要信息系统;C)主要监测内容1)网络设备和安全设备配置监测、设备状态监测、设备故障监测、运维操作审计监测、脆弱性监测;性监测、拒绝服务攻击监测、身份认证与授权监测、配置监测
3.
3.2互联网接入区a)监测范围互联网统一出入口、互联网数据中心;b)监测对象互联网统一出入口的设备、互联网数据中心的业务系统;c)主要监测内容:1)互联网统一出入口异常流量监测、病毒与木马监测、互联网链路监测、互联网行为监测;2)互联网数据中心业务系统的运行状态监测、脆弱性监测、配置监测
3.
3.3专用网络区a)监测范围为特定需求的部门或业务设置的MPLSVPN网络区域用户单位通过专用网络区接入的业务及信息系统的监测,由接入单位自主建设和管理;b)监测对象网络设备、链路;c)主要监测内容网络设备状态监测、异常流量监测、病毒与木马监测
3.4分析与展示
3.
4.1分析a)基于采集的信息,根据国家电子政务外网的安全要求和场景,采用多种关联分析技术进行综合分析,发现病毒感染、恶意代码、数据泄露、攻击入侵、设备故障、系统状态变化、人员违规行为与误操作等安全事件或问题;b)综合分析可借助安全管理系统、态势感知系统、综合审计系统等多种信息安全分析系统完成;c)综合分析可依靠专家团队进行;d)综合分析可结合安全知识库、专家决策系统,实现安全监测体系自动化分析;e)综合分析可采用专家分析法、层次分析法、机器学习、统计分析、自定义的数学模型分析等多种分析方法
3.
4.2展示将采集到的安全信息和分析后的安全问题进行实时可视化展示a)实时展示物理环境状态、拓扑状态、运行状态、安全状态等信息;b)展示日志、事件和告警信息,以及事件之间的关联关系;c)可查询追溯事件的相关原始信息;d)展示安全信息统计分析图形、报表四,安全感知设计方案
4.1项目目标与方案设计思路
4.
1.1项目目标本次XXX市电子政务外网安全态势感知方案设计,需要满足我市当前和长期的安全性需求,保护我市政务系统信息资产的安全总体目标是强化XXX市电子政务外网网络信息安全监测预警能力,主要解决当前电子政务外网信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高XXX市电子政务网络突发安全事件监测预警能力,实现市级电子政务外网核心节点和11个区县节点安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理
4.
1.2方案设计思路
2.1安全态势可视化原则电子政务外网的IT业务越来越复杂,网络变得更加开放,全网的风险可视是安全预警、响应的基础,我们需要对电子政务外网资产、用户、行为的关联性进行识别,才能看到网络风险,并进行安全处置资产层面,需要对新增资产和变动资产进行自动标记,同时各业务之需要对内部用户、外部访问用户、非法用户进行相关标记,并且将用户行为与相应资产进行关联;行为层面,需要对越权访问、WEB攻击、漏洞渗透等非法行为进行威胁预警
4.
1.
2.2网络威胁持续监测原则安全监测的重点不仅仅是监测事前黑客的攻击,还需要对已发生的事件进行持续监测,检测终端、服务器的异常行为,以弥补传统安全仅对事前攻击检测的问题同时,为了应对网络攻击不断升级的挑战,仅仅基于静态特征的检测是不够的,还需要通过安全协同,如CNCERT.CNNVD、MAPP、CVE等,对未知威胁、新型威胁进行持续的检测,根据检测结果快速制定策略以缩小未知威胁导致的影响范围;
2.3安全交付服务化原则安全的知识和技能越来越多,对人员能力要求越来越高为解放安全运维人员的运维难度,安全需要更简单的进行交付本地设备对数据进行采集与风险分析,通过工具化的运维手段,将安全问题通过自动化的工具进行定位,简化安全运维的复杂性同时基于闭环服务的安全设计理念,结合云端安全大数据平台的监测服务和专家团队联动,根据事件分类进行7*24小时主动响应,实现服务化的安全交付安全感知平台是基于威胁建模、行为分析技术,对全网流量进行检测分析的可视化平台,支持模块化的方式逐步引入多种数据源,基于大数据分析和威胁情报共享技术提供全网安全感知和预警服务>采集层基于探针/EDR/其他安全设备进行收据收集,数据来源更齐全>核心处理层采用安全感知平台进行简单交付,应用最前沿的UEBA(用户和实体行为分析)、威胁建模、机器学习等新型技术,特征检测和行为检测相结合,威胁检测能力大幅度加强;>威胁情报源以的千里马实验室为核心,结合CNVD、CNCERT、CNNVD、MAPP、CVE等众多合作单位,提供数据最广的威胁情报来源>展示/控制层面,提供资产状态、报表平台、全网可视化平台帮助用户直观的掌握现有业务安全风险>结合安全服务云打造7*24小时的安全服务,主动发现未知威胁对电子政务外网业务进行持续安全监测与快速应急响应,解决安全黑洞与安全洼地的问题,做到快速及时的发现和处理网络安全事件
4.3方案设计拓扑插入本市的部署拓扑在市级信息中心网络的重要汇聚结点和区县网络核心交换旁路部署潜优威胁探针,在市信息中心部署安全感知平台进行综合分析和展示,分支大屏可以让市局管理人员全局把控和了解全市电子政务外网的安全状态,对每个区县网络安全状态进行实时监测预警
4.4态势感知组件介绍
4.
4.1潜优威胁探针在核心交换层与内部安全域部署潜优威胁探针,通过网络流量镜像在内部对用户到业务资产、业务的访问关系进行识别,基于捕捉到的网络流量对内部进行初步的攻击识别、违规行为检测与内网异常行为识别传统的发生在内部的横向移动攻击边界防御无法进行检测,如通过失陷主机向内网业务资产发起的横向移动或者跳板攻击旁路安全检测探针设备能够对绕过边界防御的进入到内网的攻击进行检测,以弥补传统防御方式的不足姓理模块信息采集信息采集模块对内网设备基本信息进行采集,梳理内网资产信息,如设备名、开放端口、IP地址、操作系统、会话状态、使用协议等信息并且建立不通资产与实体之间内网的互相访问与会话关系,资产信息收集的结果以及资产访问的结果也将作为其他模块执行的判断数据攻击威胁检测模块通过多年积累的各类型攻击特征,对内网发起的横向攻击进行检测包括各种L2-L7层的DOS攻击,超过3000种Web攻击手段,3500条以上CVE攻击特征,各种应用层、网络层的僵尸网络特征,实时更新的恶意域名、恶意IP库核心业务配置模块获取信息采集模块采集的资产信息收集的结果以及资产访问的结果,建立业务资产数据库通过用户配置的各种业务访问黑白名单,以及定义的违规访问引擎,检测内网攻击者与内网恶意用户发起的内网违规操作
4.
4.2安全感知平台在内网部署安全感知平台全网检测系统对各节点安全检测探针的数据进行收集,并通过可视化的形式为用户呈现内网业务资产及针对内网关键业务资产的攻击与潜在威胁,并通过该平台对现网所有安全系统进行统一管理和策略下发大数据关联分析平台场景在这里包含的因素主要有5wlh who(谁)、when(时间)、where(地点)、what(行为主体介质)、how(方法)、to-what(行为客体)对获取的元数据样本,经过机器学习建立正常的用户业务访问行为模型,然后分析内部网络流量的行为,并发现异常异常行为监测的核心是运用机器学习及大数据技术,全面了解网络流量趋势并结合历史流量数据建立正常的用户业务访问模型,后续所有的网络行为与此模型进行比对发现异常,将对传统异常行为的人工分析通过技术手段实现每监测点安全风险的实时监控,并将数据输送至大数据平台进行关联分析,提升对黑客入侵的检测效果,弥补传统安全设备被绕过的短板大数据处理层的设计思路,整体架构基于hadoop的大数据处理平台,后端的存储基于安全大数据存储平台系统通过提取各个检测节点上报的标准数据元,并结合大数据海量提取、机器挖掘、聚类分析、归并整理、行为建模等方式,提取威胁类比、安全趋势、风险报告,并提供统一多维度的查询窗口,并配合策略中心输出安全加固建议安全威胁情报安全云威胁情报中心不断的挖掘和监测业内高危漏洞事件,并分析漏洞危害及影响范围,快速向用户告警当ODay漏洞事件爆发后,威胁情报预警与处置中心会在48小时内制作出针对该事件的热点事件库,事件库包含事件内容、详细威胁说明、检测工具、防护规则
4.
4.3安全服务云通过云平台,提供未知威胁、威胁情报、在线咨询、告警服务、安全专家7*24小时值守等内容于一体化的强大的云端安全服务防御,从静态转向动态过去防御都是基于静态特征的防御,对于新型威胁只能以周为单位进行特征的更新,让黑客可以轻松绕过防御体系将静态设备赋予云端安全检测能力,可以实现主动积极的防御,一旦某台设备发现新型、未知威胁可以通过云端快速进行更新,24小时内实现全网拦截监测,从定期转向实时过去的业务安全运维都是人工定期检查缺乏自动化、实时感知网站安全异常的能力结合云端自动化网站安全异常监测技术,可以在网站出现漏洞、篡改、黑链、挂马等安全事件时,在数分钟之内让用户获得通报和预警响应,从被动转向主动过去,由于自身团队缺乏专业能力,或者第三方安全服务流程复杂、响应慢,对于安全事件的处置相对被动造成严重危害后还未能消除隐患通过云端自动化分析+专家7*24小时在线服务,可以主动帮用户定位问题,并提供简单快速的处置方式在安全事件造成危害或事态影响扩大前及时恢复业务稳定运行
4.5推介产品清单五,方案价值
5.1业务访问关系可视化安全感知系统通过流量采集和自动分析的方式,可自动发现网络中的IT资产,包括IP地址、开放端口和服务等信息,通过和已有的运维资产台账的匹配,可以实现统计资产和实际资产的对应通过图形化线条连接的方式,可以一目了然地展示出网络当中IT资产之间的访问关系和业务逻辑,并用蓝、橙、红色分别标识出正常、可疑、确认的恶意攻击流量,或者正常、疑似和确定失陷的IT资产综上所述,通过展示首页的IT资产和业务逻辑可视,运维管理人员可以掌握全网资产状态和业务访问逻辑,对整个网络的安全状态有一个全局的了解,同时,图形化的展示方式也可以使管理人员快速发现和定位出现的问题和安全隐患的位置及可能影响到的业务
5.2全网风险可视化失陷业务可视对于任何业务资产,都可以通过双击下钻分析的方式,进一步图形化展现该业务与互联网、业务与业务之间、用户与业务之间的正常访问流量、攻击特征与可疑行为,辅助运维管理人员决策分析系统产生的业务已失陷告警,便于其进一步确认和定位安全问题原因、追溯黑客攻击链条和分析失陷业务可能产生的影响范围失陷业务举证模块可向管理人员提供安全感知系统将该系统定义为已失陷业务的判断依据,管理人员可以根据这些信息,通过平台失陷业务分析模块下钻和分析,进一步获取如攻击行为、外链行为、被攻击统计详细数据,并依据这些信息制定安全事件的处置策略用户风险可视通过对用户行为建模的手段,建立合法、善意用户的行为规律和业务逻辑,描绘正常用户的行为画像在此及基础上实时监测所有用户的网络访问并动态评价其安全风险,标记为低可疑、高可疑乃至已失陷,并按照可能的风险等级进行评级和排序,便于管理人员快速定位和验证©2000-2016制怖宝信月耐技段份有龈公旬版权所有3ICP§08126214^评估授权技私保护攻击有效性判断运维管理人员可以简单快速、一目了然地看到那些实际上已经产生安全威胁的实际攻击者和有效攻击行为,而非陷入到海量的日志分析和研判环节通过关联分析这些内部攻击者(内鬼、账号入侵、跳板等)和外部攻击者(攻击者、黑客等)攻击行为的风险和危害程度,关联和筛选哪些是针对业务的有效攻击行为,按业务重要性、攻击威胁程度进行排序,可以让管理维护人员把有限的精力集中到高危的有效攻击方面,节约人力成本,提高工作效率
5.3安全治理可视化攻击态势可视化全球攻击态势地图能够呈现攻击与外联的全球地理分布,以及各种攻击的排名情况,实现攻击态势可视化安全运维人员通过攻击者地理位置分布,结合自身业务使用用户特点,可以有效设置外部访问的黑白名单,降低业务被攻陷的风险安全态势可视化支持基于二三维地理空间分布的关联配置以将全网IP段、主机及关键节点与GIS地图拓扑进行关联在配置完成后,我们就可以对全网的综合安全信息进行网络态势监控,支持逻辑拓扑层级结构,从全网的整体安全态势,到信息资产以及安全数据的监测,进行全方位态势监控,支持全网各节点的信息查询,实时反映节点信息的状态,对节点信息安全进行全面监测安全管理人员能够对全网的安全状态一目了然,并且能够迅速定位安全威胁的主要地区、网段、主机,进而进行有效的安全响应及管控手段M«MratTOPW外联攻击可视化失陷业务及用户的外联是数据失窃和黑客入侵的重要特征通过外连风险的可视化监控,能够清晰看到发起外连访问的业务应用、外连的目的地、应用、外连时间、外连频率等信息通过这些信息,决策者能够有效看清高危外联行为并进行针对性的响应与建设决策工作
5.4安全服务化交付安全服务云是为VIP用户打造的专业安全服务体系,有别与传统被动应急响应服务新安全理念下的闭环服务设计旨在快速发现,主动响应问题主要由深圳安全专家、全国各区域安全服务工程师、攻防研究和开发团队三大部分组成由深圳安全专家团队运营大数据平台,根据事件分类做出主动响应安排序号部署区域设备类型1XXX潜伏威胁探针2XXXEDR组件3XXX安全感知平台4XXX安全服务567。