背景与需求
互联网/移动互联网及物联网业务的飞速发展迅速扩展了网络空间的内外部边界,也伴随着更多的安全风险,带来了更多网络攻击。此外,随着黑客技术的突飞猛进,很多高级攻击可以突破传统基于特征检测技术的安全产品,导致网络空间安全防护工作难度加大。而部分重要行业对网络安全的认识和重视程度不够,存在重建设轻安全运营的情况。
在这种背景下,如何有效落实针对辖区内党政机关、信息基础设施企业等的等级保护政策,以便被监管单位很好的落实公安等保政策要求的安全建设和安全措施,是摆在公安网监面前的重要挑战。网安需要一套技术平台来帮助落实等保定级后的持续监管、通报、检查和整改工作,从而有效落实安全管理的职能。
针对公安网安的业务需求,相关的技术平台需要满足以下需求:
- 实时监测针对辖区内各等保定级单位及关键信息基础设施的风险及攻击
- 全面感知各等保定级单位及关键信息基础设施的安全风险和威胁趋
- 获取最有参考价值的办案线索,增强调查分析的技术支撑,增强对攻击者和黑客等主体的溯源能力及发现和定位受害者的能力
解决方案
根据上述业务需求,基于城域网出口的分光流量,建设覆盖全市城域网的关键信息基础设施防护平台,帮助公安网监部门全面透视城域骨干网中夹杂的攻击流量,掌控全局安全态势,实施重点单位及关键信息基础设施的持续监测,建立通告、预警机制,落实安全等级保护的管理工作。
整个方案由流量导入系统和监测预警系统两大部分组成。其中分流器和DPI为城域网出口的现网设备,用于过滤无效流量,将威胁分析所需流量导入到监测预警平台中。监测预警平台包括4个主要组件部分:
- 前置流量检测子系统:包含流量采集和协议解码、文件还原、僵木蠕检测、入侵攻击、网站攻击检测、APT攻击检测
- 数据存储子系统:数据格式化、存储、查询
- 文件分析中心:多模板重沙箱分析平台,对未知文件进行深度分析
- 监测预警可视化:关键信息基础设施监控和预警;宏观/微观安全可视化
方案功能
1、全方位、7*24小时威胁监测预警
- 僵木蠕攻击:远控行为、隐蔽信道通信、失陷主机、远控主机、异常通信行为(木马)
- 入侵攻击:漏洞扫描、漏洞利用、暴力破解、异常登录、异常通信和访问
- 网站攻击:SQL注入,XSS等,WEBSHELL远程控制
- APT攻击:邮件攻击(鱼叉),WEB挂马攻击(水坑),文件捆绑攻击
- 全流量的协议解析及文件还原,充足沙箱(虚拟执行引擎)环境检测可疑样
2、未知恶意代码样本的深度分析
- 基于多虚拟机环境的重沙箱分析平台,分析未知恶意代码样本和文件捆绑攻击
3、攻击溯源分析
4、态势分析可视化
- 僵木蠕的态势分析、APT攻击态势分析、入侵攻击态势分析、网站攻击态势分析
- 多维度可视化形式:地图地理分布/时间线告警/统计/排名/趋势/分布等
方案特点
1、传统的基于SOC的方案不足
- 主要是基于三个基础组件:基于特征匹配的已知威胁的检测、传统SOC的集中管理功能、炫目的地图炮可视化
- 方案“告警风暴无法响应;只有已知没有未知威胁;以网站攻击为主,范围小”的不足
2、本方案作为新一代态势分析系统的亮点
- 广泛的威胁监测和预警能力。几乎覆盖互联网最重要的攻击类型
- 新一代的未知攻击分析能力。覆盖APT攻击分析和未知僵木蠕分析
- 新一代态势分析可视化。安全更易看懂,拒绝告警信息爆炸
- 充分体现宏观动态多方式展示,微观本地化数据深度分析检测机制
方案价值
- 基于平台对等保定级单位的持续威胁监测能力,更好了解定级单位对等保的落实效果,以便落实通告、检查、整改等系列等保管理工作
- 加强对辖区关键信息基础设施的安全风险管控能力
- 为等保和信息安全管理政策提供决策依据
