關(guān)基安全保護(hù)
關(guān)鍵信息基礎(chǔ)設(shè)施(CIIs,以下簡(jiǎn)稱關(guān)基)是國(guó)家或地區(qū)對(duì)經(jīng)濟(jì)、社會(huì)、安全等方面至關(guān)重要的信息基礎(chǔ)設(shè)施,包括:電力系統(tǒng)、水利系統(tǒng)、通信系統(tǒng)、金融系統(tǒng)、物流系統(tǒng)、公共衛(wèi)生系統(tǒng)、政務(wù)系統(tǒng)、交通運(yùn)輸?shù)取!瓣P(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重。”這些網(wǎng)絡(luò)空間戰(zhàn)略要地是攻防體系化對(duì)抗的核心焦點(diǎn)。作為國(guó)家的重要財(cái)產(chǎn)和戰(zhàn)略資源,其安全運(yùn)行對(duì)經(jīng)濟(jì)、社會(huì)、政治穩(wěn)定和國(guó)家安全具有重要影響。
關(guān)基單位是APT重要目標(biāo),并在未來(lái)有更明顯趨勢(shì),將成為網(wǎng)絡(luò)空間與物理社會(huì)相互影響的最為直接的體現(xiàn)。2023年5月1日《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》正式實(shí)施,面對(duì)以網(wǎng)絡(luò)攻擊、喪失功能、數(shù)據(jù)泄漏等為目的的關(guān)基風(fēng)險(xiǎn),關(guān)基保護(hù)單位要做到關(guān)鍵業(yè)務(wù)連續(xù)運(yùn)行及其重要數(shù)據(jù)安全防護(hù)。因此,確保關(guān)基安全運(yùn)行,需要采取一系列措施。
解決方案
傳統(tǒng)的安全監(jiān)測(cè)方法大都是基于已知異常的威脅規(guī)則庫(kù)進(jìn)行監(jiān)測(cè),可檢測(cè)出已知安全威脅,但對(duì)未知威脅則無(wú)能為力,且對(duì)正在發(fā)生或已造成損失的入侵行為無(wú)法做到完整的溯源取證和損失評(píng)估。因此,在體系化對(duì)抗和系統(tǒng)性風(fēng)險(xiǎn)的新背景下,以“網(wǎng)絡(luò)全流量分析是行之有效的手段,因?yàn)樵俑呒?jí)的攻擊,都會(huì)留下網(wǎng)絡(luò)痕跡。網(wǎng)絡(luò)攻擊者的行為和我們正常的網(wǎng)絡(luò)訪問(wèn)行為是不一樣的”為理念,科來(lái)提出以下建設(shè)方案。該方案已在相關(guān)單位部署實(shí)施,取得了良好效果。
本方案包含科來(lái)網(wǎng)絡(luò)全流量安全分析系統(tǒng)(也稱安全審計(jì)系統(tǒng),以下簡(jiǎn)稱TSA)和科來(lái)網(wǎng)絡(luò)數(shù)據(jù)安全管理與分析平臺(tái)(以下簡(jiǎn)稱“BFC”),通過(guò)在關(guān)鍵位置分布式部署前端探針和中心分析,將業(yè)務(wù)和資產(chǎn)作為串聯(lián)安全運(yùn)營(yíng)的核心,實(shí)現(xiàn)發(fā)現(xiàn)、管理、畫像及監(jiān)測(cè)的一體化自動(dòng)響應(yīng)能力。
核心功能及能力
一、業(yè)務(wù)和資產(chǎn)的識(shí)別與分析
關(guān)基保護(hù)對(duì)象不是單一維度的可量化資產(chǎn),而是動(dòng)靜結(jié)合、關(guān)聯(lián)復(fù)雜、邊界模糊、維度多樣的資產(chǎn)集。企業(yè)安全中的漏洞管理正在向攻擊面管理發(fā)展,要做好攻擊面管理,對(duì)于業(yè)務(wù)和資產(chǎn)的識(shí)別、分析與管理是基礎(chǔ),掌握越清晰、越詳細(xì),對(duì)暴露面的收斂效果越好,并且是后續(xù)安全防護(hù)、監(jiān)測(cè)預(yù)警、主動(dòng)防御等的基礎(chǔ)。
業(yè)務(wù)的識(shí)別分析與業(yè)務(wù)行為全景畫像
分析網(wǎng)絡(luò)流量確定關(guān)鍵業(yè)務(wù),及其與其他外部業(yè)務(wù)之間的聯(lián)系和依賴程度,通過(guò)評(píng)估關(guān)鍵業(yè)務(wù)指標(biāo)判斷業(yè)務(wù)優(yōu)先級(jí),從而合理配置資源和保障服務(wù)質(zhì)量。梳理與還原整個(gè)關(guān)鍵業(yè)務(wù)鏈的結(jié)構(gòu),了解各個(gè)環(huán)節(jié)之間的依賴關(guān)系和交互方式,優(yōu)化關(guān)鍵業(yè)務(wù)鏈的運(yùn)行效率和穩(wěn)定性。
通過(guò)梳理業(yè)務(wù)對(duì)象,以及提供、使用業(yè)務(wù)服務(wù)的操作和方式,發(fā)現(xiàn)業(yè)務(wù)規(guī)律,刻畫業(yè)務(wù)形象;通過(guò)流量特征反映此服務(wù)業(yè)務(wù)狀態(tài);通過(guò)對(duì)網(wǎng)絡(luò)業(yè)務(wù)行為的持續(xù)刻畫,實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)體的異常行為發(fā)現(xiàn),從而確定未知攻擊行為。
資產(chǎn)的識(shí)別分析與資產(chǎn)全景畫像
分析網(wǎng)絡(luò)流量確定關(guān)基資產(chǎn),了解資產(chǎn)的組成和運(yùn)行狀態(tài),生成網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、服務(wù)等資產(chǎn)清單,并分類分級(jí),從而進(jìn)行全面管理和監(jiān)控。動(dòng)態(tài)的資產(chǎn)探測(cè)和更新,能夠及時(shí)發(fā)現(xiàn)新增的資產(chǎn)或變更的資產(chǎn)狀態(tài),保持資產(chǎn)清單的準(zhǔn)確性和完整性。
對(duì)登記的所有資產(chǎn)的網(wǎng)絡(luò)通訊行為、威脅信息、組件信息、硬件信息等進(jìn)行綜合展示,對(duì)任意資產(chǎn)通訊全景進(jìn)行可視化展示和分析,對(duì)資產(chǎn)通訊行為進(jìn)行標(biāo)簽化描述,幫助用戶看清資產(chǎn)屬性。
風(fēng)險(xiǎn)識(shí)別和重大變更感知
監(jiān)測(cè)和識(shí)別關(guān)鍵業(yè)務(wù)鏈中可能存在的威脅和脆弱性,識(shí)別出系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序中的安全風(fēng)險(xiǎn)點(diǎn),并評(píng)估其影響程度,從而及早采取相應(yīng)的安全措施。根據(jù)分析結(jié)果,可以為不同的風(fēng)險(xiǎn)問(wèn)題確定優(yōu)先級(jí)。
通過(guò)相應(yīng)的數(shù)據(jù)流量和通信行為,可以監(jiān)測(cè)到關(guān)基設(shè)施的改建、擴(kuò)建或所有人變更等重大變更,并及時(shí)更新資產(chǎn)清單,將新增的設(shè)備、服務(wù)器或網(wǎng)絡(luò)連接等納入管理中,保持資產(chǎn)清單的準(zhǔn)確性和完整性,并為后續(xù)的管理和維護(hù)提供依據(jù)。
二、安全防護(hù)與監(jiān)測(cè)預(yù)警
安全通信網(wǎng)絡(luò)的安全審計(jì)
通過(guò)實(shí)時(shí)監(jiān)控和分析進(jìn)行安全審計(jì),監(jiān)測(cè)和識(shí)別潛在的安全問(wèn)題和威脅,如異常的網(wǎng)絡(luò)連接、未經(jīng)授權(quán)的訪問(wèn)、惡意軟件傳播等行為,并及時(shí)采取相應(yīng)的防護(hù)和響應(yīng)措施,確保網(wǎng)絡(luò)通信的安全性。
安全計(jì)算環(huán)境的入侵防范
發(fā)現(xiàn)和識(shí)別可能的入侵行為和攻擊嘗試,基于分析結(jié)果,實(shí)施入侵檢測(cè)和防御機(jī)制,及時(shí)發(fā)現(xiàn)并阻止?jié)撛诘娜肭只顒?dòng),保護(hù)安全計(jì)算環(huán)境的完整性和可用性。
基于監(jiān)測(cè)預(yù)警的安全態(tài)勢(shì)感知
對(duì)關(guān)鍵節(jié)點(diǎn)、關(guān)鍵業(yè)務(wù)、系統(tǒng)資產(chǎn)、安全日志、安全模型等進(jìn)行威脅監(jiān)測(cè),結(jié)合歷史與實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)、趨勢(shì)分析等手段,形成對(duì)異常行為的感知,并關(guān)聯(lián)關(guān)鍵業(yè)務(wù)運(yùn)行信息,進(jìn)行安全態(tài)勢(shì)的分析和預(yù)測(cè)。
三、主動(dòng)防御與事件處置
以對(duì)攻擊行為的監(jiān)測(cè)發(fā)現(xiàn)為基礎(chǔ),幫助用戶收斂暴露面,提供攻擊手段溯源取證分析,開展攻防演習(xí)和威脅情報(bào)工作,提升對(duì)網(wǎng)絡(luò)威脅與攻擊行為的識(shí)別、分析和主動(dòng)防御能力。
在對(duì)安全事件處置方面,提供防火墻策略驗(yàn)證能力,實(shí)現(xiàn)對(duì)防火墻邊界防護(hù)效果的實(shí)時(shí)監(jiān)測(cè),讓用戶及時(shí)感知未生效的阻斷,發(fā)現(xiàn)訪問(wèn)控制漏洞。科來(lái)提供策略閑置依據(jù),輔助進(jìn)行防火墻策略收斂,落實(shí)策略最小化原則,以最少的設(shè)備承載最大價(jià)值的策略。
方案優(yōu)勢(shì)
領(lǐng)先的業(yè)務(wù)與資產(chǎn)識(shí)別能力
科來(lái)支持原始流量7X24小時(shí)實(shí)時(shí)分析,全量動(dòng)態(tài)探查全網(wǎng)存活資產(chǎn),保障資產(chǎn)與業(yè)務(wù)識(shí)別真實(shí)全面。在完整資產(chǎn)識(shí)別基礎(chǔ)上,科來(lái)支持1000種以上協(xié)議解析能力,支持3000種以上應(yīng)用及42類應(yīng)用類型的實(shí)時(shí)識(shí)別,實(shí)時(shí)解析關(guān)鍵協(xié)議指紋,讓用戶清晰掌握資產(chǎn)屬性。
全量存儲(chǔ),溯源取證有據(jù)可查
網(wǎng)絡(luò)攻擊事件往往需要通過(guò)事后的關(guān)聯(lián)和回溯分析后才能有效定性和取證,科來(lái)提供網(wǎng)絡(luò)原始流量的全量存儲(chǔ),能夠?qū)?dāng)前檢測(cè)到的攻擊行為與歷史流量進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)完整的攻擊溯源和攻擊調(diào)查與取證分析。
精細(xì)化的網(wǎng)絡(luò)與業(yè)務(wù)運(yùn)維管理
從用戶應(yīng)用的角度出發(fā),通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)的集中監(jiān)控管理,全面掌握各類關(guān)鍵通訊數(shù)據(jù),為用戶提供透明可視的網(wǎng)絡(luò),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)之間的通訊,將雜亂無(wú)序的網(wǎng)絡(luò)通訊進(jìn)行有序梳理,為用戶提供精細(xì)化運(yùn)維與管理能力。
相關(guān)產(chǎn)品
查看行業(yè)應(yīng)用實(shí)踐
方案咨詢
科來(lái)二十余年專注網(wǎng)絡(luò)流量分析技術(shù)的研究與推廣,致力于將數(shù)據(jù)價(jià)值發(fā)揮最大化。我們將為您提供技術(shù)領(lǐng)先的產(chǎn)品,并分享科來(lái)多年積累的實(shí)戰(zhàn)經(jīng)驗(yàn),助力您成功的數(shù)字化轉(zhuǎn)型與更進(jìn)一步的核心競(jìng)爭(zhēng)優(yōu)勢(shì)。