—
成功案例
successful cases
安全趋势
政府和重点行业单位面临高级威胁的风险增大
安全威胁近些年来发生巨大的变化,黑客攻击从传统带有恶作剧与技术炫耀性质逐步向利益化、商业化转变。apt的攻击迅速发展起来。apt是advanced persistent threat的缩写,即高级持续性威胁。它是指近年来,专业且有组织的黑客,针对重要目标和系统发起的一种攻击手段。
apt攻击和传统攻击源和动机有着明显的区别,apt主要来自有组织的犯罪集团或者公司、外国政府,目标是高价值的信息资产,例如商业秘密、知识产权、政治军事机密等。apt攻击者有强有力的组织性和资源保证,使得apt攻击融合了情报技术,黑客技术,社会工程等各种手段,针对有价值的信息资产和系统进行复杂的攻击。
apt攻击的对象,不再是信息系统本身,还包括可通过社会工程学攻击的管理信息系统的人。而传统的信息安全技术在apt攻击面前是无效的。因为apt攻击依赖、aet高级规避攻击等多种技术手段,基于特征的检测方法无法识别。apt攻击大量使用社会工程学与协同攻击,使得攻击的每个阶段都不满足攻击特征,攻击中的每个事件都是合法的或者低安全威胁的。因此超过80%的企业遭受过apt攻击,但绝大多数没有察觉。
以著名的针对伊朗核设施的震网apt攻击为例,攻击者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击,以此为第一道攻击跳板,进一步感染相关人员的盘,病毒以u盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种漏洞,包括多个0-day漏洞进行破坏,病毒更改了离心机中的发动机转速,这种突然的改变足以摧毁离心机运转能力且无法修复。在离心机失控后仍向控制室发出“工作正常”的报告,给伊朗核设施造成了极大的破坏
业界对安全威胁检测防御的思路已经发生了巨大的变化,认识到需要从过去单一设备、单一方法、关注威胁单一阶段、实时性进行检测演进到建立纵深防御的体系,从威胁攻击链的整体来看问题,因此基于大数据技术的威胁检测和调查分析技术孕育而生。
ddos攻击仍然造成很大影响
据cncert抽样监测,年我国遭受ddos攻击依然严重,攻击峰值流量持续攀升。为进一步推动ddos攻击的防范打击工作,cncert对全年大流量攻击事件进行深入分析,发现大流量攻击事件的主要攻击方式为tcp syn flood、ntp反射放大攻击和ssdp反射放大攻击。从攻击流量来看,反射放大攻击中的伪造流量来自境外的超过85%。cncert对ddos攻击资源跟踪分析,发现攻击资源(如控制端、被控端、反射服务器等)发起攻击的次数呈现幂律分布的特点,大部分攻击资源发起的攻击次数只有寥寥数次,而存在少量攻击资源被长期、反复利用发起了大量攻击事件。
威胁无法快速处置
安全是一场与攻防双方的时间竞赛。现在的安全凯时kb88官方网站的解决方案往往都是事后告警,并且大量的攻击告警会被淹没在浩瀚的告警报告中,安全管理员往往无法对真实的,最大威胁和破坏力的高级白帽子的行为进行实时掌握,只有等到最终系统被攻破,数据资产被盗取才能有所察觉。根据数据表明,现在黑客从发起攻击到入侵系统整个过程不到小时,但传统的凯时kb88官方网站的解决方案里面,光是响应一个攻击就要消耗到数小时时间。如果不能对云端海量数据的实时分析,安全事件关联查询,发现网络中的异常行为,并做威胁告警,那一定会面临数据失窃的现实。
宏观安全趋势态势不清晰
习总书记2017年4月19日网络安全和信息化工作座谈会行的讲话:要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。
全天候全方位感知网络安全态势是企业对于统筹管理电子政务外网全局安全的必要能力。全天候全方位态势感知的能力依托于机器学习和专家系统,对大范围样本数据进行安全分析,发现未知威胁。通过多维度(资产、漏洞、统计、规则)进行数据关联分析,发现潜在的安全问题。从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供了可靠保证。
我国安全体系虽然经过十多年的建设,但由于过去对安全的管理职能没有清晰、安全行业发展相对缓慢、各单位自筹建设,低水平重复建设率比较高。安全体系建设相对碎片化,离统筹规划、统一建设、同步实施的要求仍然存在较大的差距。
通报预警机制未成型
我国网络安全监测预警和信息通报制度主要有:第一,国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。第二,负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。第三,国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。第四,负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。第五,网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
安全事件与安全威胁的通报预警机制的建立是企业“运管”分离的有效体现。能够快速感知电子政务外网的安全事件、有效获取安全威胁的情报,进行快速的通报预警,才能及时采取有效的措施,及时处置安全事件,将安全事件的影响面和经济损失降到最低。
当前在全局上缺乏宏观安全态势感知的技术能力,缺乏有效的威胁预警信息的获取渠道,因此对于安全事件的通报、安全威胁的预警的工作难以进行有效的开展。
基础设施安全不完善
当前,企业基础安全设施的建设由于历史原因,建设较为分散、碎片化严重,过去基础安全设施建设规模小、效率低、集约化和专业化水平不高。互联网出口、数据中心、政务云等重要的安全区域防护措施相对落后。基础安全设施在满足《等级保护》的要求还存在差距。
广域网安全防护存在短板
具备强劲的互通力,但广域网内未部署任何防护设备,无法阻断病毒由主干“动脉”向分支“末梢”蔓延扩散,无法发挥广域网作为应用防护的第一道屏障作用,攻击影响性由点到面逐步扩大,对政务云及业务应用造成极大威胁。
安全接入控制能力不足
接入终端类型多、数量大、位置广,且没有进行“统一认证、统一权限”的接入控制,呈现无控制的“蜂巢”现状,造成全网终端资产不可视,不可知,不可管,以终端为跳板的外部入侵和违规外联等安全事件频发,由于攻击面不可控,面临严峻的安全挑战。
全网安全管理复杂
现有安全设备较多,加上即将完善的安全设备,这些设备就需要专业相关人员的大量工作来进行持续服务,但是随着网络技术的发展,网络安全的知识和技能会慢慢超出安全人员的知识储备,对于安全运维人员的要求也就越来越高,安全运维人员的成长速度跟不上技术的要求。因此,企业需要精简安全设备的人工运维工作,做到不必耗费太大的精力又能轻松对安全风险进行管控。
对抗新威胁能力不足
网络技术的发展和应用,网络安全形势也在不断恶化,各种攻击技术飞速发展、新型攻击技术不断出现并自成体系。目前出现的高级持续性威胁apt(advanced persistent threat)攻击可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料、各类情报并进行破坏活动,是对我国网络空间安全危害最大的一种攻击方式,严重威胁我国政府、电力、水利、金融、通信等关键基础设施的安全性。
当前安全基础设施相对还不够完善、新技术手段还没有补充。在应对新型威胁、未知威胁、高级威胁等困难问题时,缺乏信息来源、缺乏检测能力、缺乏有效的防御手段,导致因新威胁造成的攻击,出现疲于应付的情况。
协同联动机制缺乏
安全防御设施由于缺乏全局设计、缺乏统筹,虽然部署了安全设备,但相互之间缺乏协同联动的机制,使得安全设备之前形成了一个个的孤岛,无法有机的协同配合起来。在这种情况下,使得本来人力就不足的安全管理人员需要耗费大量的时间来处理各个安全设备不同的策略、不同的日志、不同的告警,安全管理工作开展的相对被动,严重制约了安全管理人员对安全的主动性。需要切实改善当前的情况,实现统筹规划、统一管理、协同联动的整体架构,充分发挥各安全设备的协同联动效果,实现安全闭环,减轻安全管理人员的工作难度,提升安全管理人员的主动性。
等级保护工作流程
等保2.0通用要求能力框架:一个中心三重防御
关于等级保护对象整体安全保护能力的要求:依据本标准分层面采取各种安全措施时,还应考虑以下总体性要求,保证等级保护对象的整体安全保护能力。
1.构建纵深的防御体系
从“通讯边界 > 区域边界 > 计算环境”分层落实各种安全防御措施,形成纵深防御方案。
2.采取互补的安全措施
各安全控制在层面内/间和功能间产生连接/交互/依赖/协调/协同等相互关联,共同作用于保护对象。
3.保证一致的安全强度
应防止某个层面安全功能的减弱导致整体安全保护能力在这个安全功能上消弱。
4.建立统一的支撑平台
标准提到使用密码技术、可信技术等,多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性等)均要基于密码技术或可信技术,应建立基于密码技术的统一支撑平台。
5.进行集中的安全管理
标准要求集中安全管理、安全监控和安全审计等要求,为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,应建立集中的管理中心。
二级等保方案
产品列表 | 配置选择 | 备注 |
|---|---|---|
ngfw(usg) | 必配 | 开启ips、av、vpn特性。区域边界隔离和访问控制。 |
主机杀毒软件 | 必配 | 计算环境的主机恶意代码防范。 |
日志审计系统(logauditor) | 必配 | 综合审计功能要求。 |
漏洞扫描(vscan) | 必配 | 计算环境的入侵防范和漏洞识别。 |
统一运维审计(uma) | 必配 | 如果运维设备比较多,建议增配。 |
web应用防火墙(waf) | 选配 | 如果有web服务器,建议增配。 |
抗ddos(anti-ddos) | 选配 | 业务对互联网依赖严重,容易受ddos攻击,建议增配。 |
数据库审计(das) | 选配 | 如果有数据库,必须配置,解决安全管理中心审计需求,否则不用配。 |
secomanager安全控制器 | 选配 | 对访问控制策略进行管理和调优。 |
三级等保方案
产品列表 | 配置选择 | 备注 |
|---|---|---|
ngfw(usg) | 必配 | 开启av、vpn特性。 |
ips | 必配 | 在区域边界入侵防范。 |
主机杀毒软件 | 必配 | 计算环境的主机恶意代码防范。 |
apt威胁检测系统(firehunter) | 必配 | 深度识别和阻断未知威胁。 |
上网行为管理(asg) | 必配 | 安全审计对上网行为的要求。 |
漏洞扫描(vscan) | 必配 | 计算环境的入侵防范和漏洞识别。 |
态势感知(hisec insight) | 必配 | 各类安全事件进行综合分析,联动防御。 |
日志审计系统(logauditor) | 必配 | 综合审计功能要求。 |
数据库审计(das) | 必配 | 审计要求,必须配置。 |
web应用防火墙(waf) | 必配 | 增强在web应用的安全能力。 |
统一运维审计(uma) | 必配 | 统一设备运维管理,并提供行为审计。 |
抗ddos(anti-ddos) | 必配 | 保证重要业务的连续性。 |
nac准入控制 | 必配 | 控制非授权设备接入内部网络。 |
secomanager安全控制器 | 必配 | 统一安全策略管理,策略优化。 |
网管平台(esight) | 必配 | 统一网管平台,对网络链路、安全设备、网络链路等进行集中监测。 |
iam | 必配 | 身份鉴别和用户权限控制,多因素认证需要根据情况采购对应指纹或人脸或短信网关。 |
主机入侵hips | 必配 | 进一步检测主机入侵行为。 |
数据库防火墙 | 必配 | 对数据库进行访问控制。 |
网络dlp数据防泄漏 | 选配 | 对数据安全进行防泄漏保护。 |
等保四级安全布防图参考
产品列表 | 配置选择 | 备注 |
|---|---|---|
ngfw(usg) | 必配 | 开启av、vpn特性。 |
ips(nips) | 必配 | 在区域边界入侵防范。 |
主机杀毒软件 | 必配 | 计算环境的主机恶意代码防范。 |
apt威胁检测系统(firehunter) | 必配 | 深度识别和阻断未知威胁。 |
上网行为管理(asg) | 必配 | 安全审计对上网行为的要求。 |
漏洞扫描(vscan) | 必配 | 计算环境的入侵防范和漏洞识别。 |
态势感知(hisec insight) | 必配 | 各类安全事件进行综合分析,联动防御。 |
日志审计系统(logauditor) | 必配 | 综合审计功能要求。 |
数据库审计(das) | 必配 | 审计要求,必须配置。 |
web应用防火墙(waf) | 必配 | 增强在web应用的安全能力。 |
统一运维审计(uma) | 必配 | 统一设备运维管理,提供行为审计。 |
网闸 | 必配 | 四级区域其他区域断协议数据交互。 |
认证服务器 | 必配 | 提供双向认证能力,用户自采。 |
抗ddos(anti-ddos) | 必配 | 保证重要业务的连续性。 |
nac准入控制 | 必配 | 控制非授权设备接入内部网络。 |
secomanager安全控制器 | 必配 | 统一安全策略管理,策略优化。 |
网管平台(esight) | 必配 | 统一网管平台,对网络链路、安全设备、网络链路等进行集中监测。 |
iam | 必配 | 身份鉴别和用户权限控制,多因素认证需要根据情况采购对应指纹或人脸或短信网关。 |
ntp服务器 | 必配 | 唯一确定的时钟产生,用户自采。 |
主机入侵hips | 必配 | 进一步检测主机入侵行为。 |
数据库防火墙 | 必配 | 对数据库进行访问控制。 |
网络dlp数据防泄漏 | 选配 | 对数据安全进行防泄漏保护。 |
等保2.0凯时kb88官方网站的解决方案-凯时kb88官方网站
——
成功案例
successful cases
凯时kb88官方网站的版权所有:深圳市卓成信息技术有限公司 备案许可证编号:
凯时kb88官方网站的版权所有:深圳市卓成信息技术有限公司 备案许可证编号: