關基安全保護
關鍵信息基礎設施(CIIs,以下簡稱關基)是國家或地區對經濟、社會、安全等方面至關重要的信息基礎設施,包括:電力系統、水利系統、通信系統、金融系統、物流系統、公共衛生系統、政務系統、交通運輸等。“關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重。”這些網絡空間戰略要地是攻防體系化對抗的核心焦點。作為國家的重要財產和戰略資源,其安全運行對經濟、社會、政治穩定和國家安全具有重要影響。
關基單位是APT重要目標,并在未來有更明顯趨勢,將成為網絡空間與物理社會相互影響的最為直接的體現。2023年5月1日《關鍵信息基礎設施安全保護要求》正式實施,面對以網絡攻擊、喪失功能、數據泄漏等為目的的關基風險,關基保護單位要做到關鍵業務連續運行及其重要數據安全防護。因此,確保關基安全運行,需要采取一系列措施。
解決方案
傳統的安全監測方法大都是基于已知異常的威脅規則庫進行監測,可檢測出已知安全威脅,但對未知威脅則無能為力,且對正在發生或已造成損失的入侵行為無法做到完整的溯源取證和損失評估。因此,在體系化對抗和系統性風險的新背景下,以“網絡全流量分析是行之有效的手段,因為再高級的攻擊,都會留下網絡痕跡。網絡攻擊者的行為和我們正常的網絡訪問行為是不一樣的”為理念,科來提出以下建設方案。該方案已在相關單位部署實施,取得了良好效果。
本方案包含科來網絡全流量安全分析系統(也稱安全審計系統,以下簡稱TSA)和科來網絡數據安全管理與分析平臺(以下簡稱“BFC”),通過在關鍵位置分布式部署前端探針和中心分析,將業務和資產作為串聯安全運營的核心,實現發現、管理、畫像及監測的一體化自動響應能力。
核心功能及能力
一、業務和資產的識別與分析
關基保護對象不是單一維度的可量化資產,而是動靜結合、關聯復雜、邊界模糊、維度多樣的資產集。企業安全中的漏洞管理正在向攻擊面管理發展,要做好攻擊面管理,對于業務和資產的識別、分析與管理是基礎,掌握越清晰、越詳細,對暴露面的收斂效果越好,并且是后續安全防護、監測預警、主動防御等的基礎。
業務的識別分析與業務行為全景畫像
分析網絡流量確定關鍵業務,及其與其他外部業務之間的聯系和依賴程度,通過評估關鍵業務指標判斷業務優先級,從而合理配置資源和保障服務質量。梳理與還原整個關鍵業務鏈的結構,了解各個環節之間的依賴關系和交互方式,優化關鍵業務鏈的運行效率和穩定性。
通過梳理業務對象,以及提供、使用業務服務的操作和方式,發現業務規律,刻畫業務形象;通過流量特征反映此服務業務狀態;通過對網絡業務行為的持續刻畫,實現網絡實體的異常行為發現,從而確定未知攻擊行為。
資產的識別分析與資產全景畫像
分析網絡流量確定關基資產,了解資產的組成和運行狀態,生成網絡、系統、數據、服務等資產清單,并分類分級,從而進行全面管理和監控。動態的資產探測和更新,能夠及時發現新增的資產或變更的資產狀態,保持資產清單的準確性和完整性。
對登記的所有資產的網絡通訊行為、威脅信息、組件信息、硬件信息等進行綜合展示,對任意資產通訊全景進行可視化展示和分析,對資產通訊行為進行標簽化描述,幫助用戶看清資產屬性。
風險識別和重大變更感知
監測和識別關鍵業務鏈中可能存在的威脅和脆弱性,識別出系統、網絡和應用程序中的安全風險點,并評估其影響程度,從而及早采取相應的安全措施。根據分析結果,可以為不同的風險問題確定優先級。
通過相應的數據流量和通信行為,可以監測到關基設施的改建、擴建或所有人變更等重大變更,并及時更新資產清單,將新增的設備、服務器或網絡連接等納入管理中,保持資產清單的準確性和完整性,并為后續的管理和維護提供依據。
二、安全防護與監測預警
安全通信網絡的安全審計
通過實時監控和分析進行安全審計,監測和識別潛在的安全問題和威脅,如異常的網絡連接、未經授權的訪問、惡意軟件傳播等行為,并及時采取相應的防護和響應措施,確保網絡通信的安全性。
安全計算環境的入侵防范
發現和識別可能的入侵行為和攻擊嘗試,基于分析結果,實施入侵檢測和防御機制,及時發現并阻止潛在的入侵活動,保護安全計算環境的完整性和可用性。
基于監測預警的安全態勢感知
對關鍵節點、關鍵業務、系統資產、安全日志、安全模型等進行威脅監測,結合歷史與實時監測數據、趨勢分析等手段,形成對異常行為的感知,并關聯關鍵業務運行信息,進行安全態勢的分析和預測。
三、主動防御與事件處置
以對攻擊行為的監測發現為基礎,幫助用戶收斂暴露面,提供攻擊手段溯源取證分析,開展攻防演習和威脅情報工作,提升對網絡威脅與攻擊行為的識別、分析和主動防御能力。
在對安全事件處置方面,提供防火墻策略驗證能力,實現對防火墻邊界防護效果的實時監測,讓用戶及時感知未生效的阻斷,發現訪問控制漏洞。科來提供策略閑置依據,輔助進行防火墻策略收斂,落實策略最小化原則,以最少的設備承載最大價值的策略。
方案優勢
領先的業務與資產識別能力
科來支持原始流量7X24小時實時分析,全量動態探查全網存活資產,保障資產與業務識別真實全面。在完整資產識別基礎上,科來支持1000種以上協議解析能力,支持3000種以上應用及42類應用類型的實時識別,實時解析關鍵協議指紋,讓用戶清晰掌握資產屬性。
全量存儲,溯源取證有據可查
網絡攻擊事件往往需要通過事后的關聯和回溯分析后才能有效定性和取證,科來提供網絡原始流量的全量存儲,能夠將當前檢測到的攻擊行為與歷史流量進行關聯,實現完整的攻擊溯源和攻擊調查與取證分析。
精細化的網絡與業務運維管理
從用戶應用的角度出發,通過對企業網絡的集中監控管理,全面掌握各類關鍵通訊數據,為用戶提供透明可視的網絡,實時監控網絡之間的通訊,將雜亂無序的網絡通訊進行有序梳理,為用戶提供精細化運維與管理能力。
相關產品
方案咨詢
科來二十余年專注網絡流量分析技術的研究與推廣,致力于將數據價值發揮最大化。我們將為您提供技術領先的產品,并分享科來多年積累的實戰經驗,助力您成功的數字化轉型與更進一步的核心競爭優勢。