商密网木马威胁安全防护方案

背景与需求

某军工单位,总部位于北京,数百家分支机构位于全国各地。近年因为建设商密网数百家单位网络通过VPN设备经Internet网络实现互联互通。因为网络的互联互通容易造成网络内病毒、蠕虫、木马等恶意代码较差感染,同时因为经Internet进行互联,来自互联网上的攻击也需要重点防范。

《某单位商密网建设技术指南》要求针对木马防护要做到:1、要有“木马监控与防范系统”;2、该系统需与集团总部“监控中心”级联部署。功能上要能够实现发现木马、准确定位被感染主机、查清传播路径、提供清除木马方法建议、全面监控木马态势。

解决方案

根据《某单位商密网建设技术指南》要求,我们整体上规划木马威胁安全防护体系,采用分级部署方式,在总部部署监控中心和检测设备,在各分支机构网络出口部署检测设备,实现检测设备负责检测木马信息,并汇总至监控中的两级管控模式,并结合终端检测工具和人工服务团队,实现检测、告警、通报、处置的完整闭环防护体系。

整个方案由铁穹高级持续性预警系统、明镜木马深度检测系统、人工服务三大部分组成。其中铁穹高级持续性预警系统由多台铁穹检测设备和一台铁穹监控中心设备组成。

主要组件:
  • 铁穹检测设备:部署在总部及各分支机构网络出口,检测网络流量,识别木马通信行为并告警
  • 铁穹监控中心:收集汇总各铁穹检测设备的告警信息,并管理各铁穹检测设备的规则库及设备运行状态
  • 明镜木马深度检测系统:对终端进行深度信息收集和研判,识别高级、未知木马程序。与铁穹系统的检测定位功能结合使用,威力倍增
  • 人工服务:分析全球眼设备检测数据、分析终端木马样本、提供分析报告、出具清除、加固建议、协助清除终端木马等

方案功能

1、木马识别与发现
  • 利用全球眼检测设备对网络流量进行深度分析,识别已知、未知木马通信行为,并进行实时告警
2、木马追踪和地址定位
  • 全球眼系统通过IP地址定位技术,能准确定位内网主机和外网目标主机的IP地址,判断目标主机所在的国家和地区,并通过木马专家库定位木马家族及制作组成等信息
3、木马样本提取
  • 通过全球眼检测设备的定位功能,在被感染主机上采用明镜系统工具进行深度检测,提取木马样本,为人工分析提供支撑
4、木马清除及安全加固
  • 人工服务团队对木马样本进行深度分析,识别木马工作原理,提供清除建议和加固方案,同时提供清除操作支持
5、全局木马态势感知
  • 通过各铁穹检测设备的告警信息汇总与统计,从全局上了解全网的木马感染状态,为制定防护策略提供参考

方案特点

1、网络级的木马安全检测
  • 通过实时检测网络流量,识别木马通信行为,弥补传统安全软件(防火墙、入侵检测系统、防毒墙等)在网络层对木马检测的技术空白
2、基于行为和特征的检测方法
  • 通过特征检测识别已知木马,通过行为检测识别未知木马,两种核心检测技术的配合让木马检测率更高,降低漏报造成的木马威胁
3、木马全生命周期检测方法
  • 对木马植入、潜伏、活跃全生命周期的不同阶段特性针对性采用不同检测方法进行检测,多环节检测总有一环能够检测出木马威胁
4、闭环解决方案
  • 从检测、预警、通报、处置实现全方位闭环防护方案,真正实现整体木马威胁防护