首页 > 解决方案 > 公安办公内网高级威胁防护方案

公安办公内网高级威胁防护方案

产品文档

一.  背景和需求

公安内网是公安部门内部办公、业务支撑等的内部系统,包含办公网、WEB承载的内部服务应用、业务信息系统等,内含大量机密信息,一般是等保三级系统。其和互联网隔离,实现了和上下级单位的互联,通过边界网络满足外部接入、移动警务等业务访问和交换需求。其主要安全风险包括:

1.       通过边界接入网络的外部入侵。虽然已采取了网闸、单向传输等措施,仍然存在利用正常访问通道的攻击,如远程漏洞攻击、WEB攻击、文件攻击、远程控制等。

2.       来自上下级网络的跨网攻击。如木马、蠕虫等的传播,木马控制,远程漏洞攻击等。

3.       针对外部边界信息服务区的攻击。如WEB攻击、主机漏洞攻击、远程控制。

4.       针对内部信息服务区的攻击。如针对邮件、内部业务支撑系统、信息管理系统等的攻击。

5.       办公网终端感染各类恶意软件。用于实施跳板攻击或窃取机密数据。

此外,需重点关注上述风险中的高级威胁――APT攻击风险。APT常采用邮件捆绑攻击、未知恶意文件攻击、高级木马或间谍软件等未知恶意代码等技术,可以有效躲避传统安全检测,需要重点防范。

二.  方案设计

2.1  概述

通过在公安内网建立一套包括网络高级威胁检测和终端木马检测的方案,从网络流量和终端两个维度来检测针对重要目标的各类攻击行为,定位内部威胁源,检测和响应终端上隐藏的特种木马、间谍软件、黑客工具等恶意软件,尤其是未知木马、后门、间谍软件等APT技术要素。同时引入外部高级安全服务,定期基于该产品实施安全巡检,分析和处置发现的各类高风险问题,保障内网安全,满足等保要求,避免遭受APT攻击。

2.2  方案描述

在公安内网的接入网边界、内部重要服务区域前旁路部署网络高级威胁预警产品和终端木马深度检测系统,全面监测网络及终端上的各类威胁。

1.       边界网络高级威胁的监测

通过在各边界网旁路部署网络高级威胁检测产品,实时监控外部网络对内网的各类攻击,公安内网的主机的非法外联通信及数据窃取行为。

2.       内网重要目标的网络高级威胁的监测

通过在内网核心交换上部署一台高性能的网络高级威胁预警产品,并将内网重要业务区域的流量镜像到设备上,实现对内网各重要目标保护区域实施重点安全监测和响应。

1)      内部邮件、文件及业务服务器的监测。集中检测风险度高的邮件攻击,恶意文件捆绑攻击;服务器是否存在被木马控制的情况;针对业务应用的WEB攻击及网页木马。

2)      对外业务服务器区的监测。检测外部通过边界网络对其的WEB攻击、远程溢出攻击,检测服务器是否被植入木马及并产生外部异常通信行为等。

3)      管理运维区域区的监测。管理运维区通常是黑客攻破并对业务系统实施跳板攻击重要场所,因此需要实时监测其是否存在潜伏的特种木马、间谍软件等。

4)      办公网终端的恶意代码行为检测。办公网终端发起的各类恶意代码渗透攻击。

3.       终端木马深度检测

在公安内网各主机、边界网各终端上部署木马深度检测系统的终端探针。并在安全管理区域部署终端木马分析中心平台。各终端探针取证各主机上的可疑数据,发给分析中心平台进行终端恶意软件的集中分析和判定,支持对特种木马、间谍软件、黑客工具、流氓软件、嵌入非法行为的合法软件的深入检测。

4.       高级安全服务

东巽安全服务团队基于部署的东巽APT产品,提供定期(月/季)木马巡检服务,高级木马人工分析服务,帮助清除内网各类恶意代码和攻击威胁。

2.3  方案特点和优势

    实现对边界链路及内部网络攻击风险的全覆盖

    网络威胁类型的覆盖:文件/邮件攻击、远程漏洞攻击、WEB攻击、木马远控等

    终端威胁覆盖:木马、间谍软件、流氓软件、黑客工具、嵌入非法行为的正常软件等

    深度检测未知威胁,防范APT攻击

    实现终端和网络检测和响应的闭环方案及纵深防御体系

2.4  方案价值

    止损。防范APT攻击,保护核心资产。

    合规。构建满足等保深度检查要求的安全能力。

    创新。建设新一代安全方案,引领行业安全创新。