背景信息
网信办自2014年成立以来,各地在逐步完善加强其网络安全信息化方面的领导管理地位,该部门统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略,在网络安全行业占有重要地位。
业务挑战
针对项目背景,西青区网信办通过此次安全项目建设,增加安全检查能力与运维能力的建设,提升本单位内部安全管控能力,同时加强对辖区委办局进行安全事件监控及寻求安全领域专业服务商。
网信办自身安全能力建设
随着安全能力建设、监管要求的加强,区级网信单位面临着自身建设安全防护的工作。西青区网信办自身网络安全管理、建设专业性较薄弱,内部系统除日常防火墙外,并没有任何安全防护建设,为弥补基础网络安全保障设备的缺失,降低、消除各类入侵风险管控和基础安全建设的薄弱环节,需对基础安全保障类设备进行补充部署。
辖区专业监管能力建设
西青区网信办作为重要网信工作监管部门,对辖区单位承担着风险监控、安全事件管控的职责。需要对辖区重要单位进行网站安全监测,掌握门户网站安全监管把控;同时定期进行网络安全培训赋能,提升网信办专业形象;然后定期进行网络安全扫描检查,输出整改要求,提升监管专业性。
态势分析平台建设
为更好集中呈现安全态势,要建设网络监管展示大屏。在安全管控方面,通过检测设备和分析系统发现攻击行为并作为分析证据。针对区教育局、区档案馆特点设定单独的安全策略,过滤一些低风险或者不可能成功的攻击行为,从而减少管理员关注日志告警的工作量,也使得重要攻击行为能够得到重点体现。
辖区专业监管能力建设-测试2
西青区网信办作为重要网信工作监管部门,对辖区单位承担着风险监控、安全事件管控的职责。所以需要对辖区重要单位进行网站安全监测,掌握门户网站安全监管把控;同时定期进行网络安全培训赋能,提升网信办专业形象;然后定期进行网络安全扫描检查,输出整改要求,提升监管专业性。
解决方案
项目主要内容包括安全数据采集、大数据分析平台建设、可视化呈现系统三部分。
实现路径:
多合一硬探针部署在重点单位互联网环境中,检测结果数据通过互联网线路传输,统一上报给数据采集系统;
网站安全监测以云服务远程方式对重点单位网站进行7*24小时实时监控并将采集的数据通过互联网传送到采集器中;
异常流量监测设备NTA、高级威胁监测设备TAC、漏洞扫描检测设备部署在本地,检测结果数据上报给数据采集系统;
所有通过互联网线路进行数据传输均采用SSL加密技术,将互联网采集的数据传输到大数据分析平台外网数据采集器进行数据格式范式化处理;
最终所有安全数据均从数据采集器经安全隔离设备进入专网大数据分析平台进行数据关联分析,分析后在可视化呈现系统呈现。
可视化呈现系统
网络安全态势生成是依据大量数据的分析结果来显示当前状态和未来趋势,而通过传统的文本或简单图形表示,使得寻找有用、关键的信息非常困难。
大数据分析平台建设
大数据分析平台采集到的数据经过清洗、格式范式化处理后发送给数据存储与转发系统。数据存储与转发系统针对收集到的源数据与范式化后的元数据进行存储
安全数据采集
针对大型集中型的关键信息基础设施如电子政务云、党政机关网站群、互联网数据中心(IDC)、大型企业和教育部门等区级重要网络汇聚节点部署专业的多合一安全检测探针
安全数据采集
针对大型集中型的关键信息基础设施如电子政务云、党政机关网站群、互联网数据中心(IDC)、大型企业和教育部门等区级重要网络汇聚节点部署专业的多合一安全检测探针
安全数据采集
针对大型集中型的关键信息基础设施如电子政务云、党政机关网站群、互联网数据中心(IDC)、大型企业和教育部门等区级重要网络汇聚节点部署专业的多合一安全检测探针
安全数据采集
针对大型集中型的关键信息基础设施如电子政务云、党政机关网站群、互联网数据中心(IDC)、大型企业和教育部门等区级重要网络汇聚节点部署专业的多合一安全检测探针
客户价值
安全态势感知平台为西青区网信办提供有效的安全分析模型和管理工具,准确、高效地感知整个网络的安全状态以及发展趋势,对网络的资源作出合理的安全加固,对外部的攻击与危害行为可以及时的发现并进行应急响应,有效的实现防外及安内,保障信息系统安全。
01看清业务逻辑
信息安全的核心目标是解决核心业务的安全、稳定运行,如果安全检测系统不了解信息系统的资产有哪些、业务逻辑关系如何,而是无论在哪一个客户的网络中都复用同一套安全判断准则,那么它提供的检测能力显然是脱离实际的,所以威胁检测和安全感知的首要需求就是看清业务逻辑。
02看见潜在威胁
信息安全是一个涉及多个领域的复杂问题,攻击者可能包括外部黑客、心怀不满的员工、以及内外勾结等各种情况,攻击途径更是包括了暴力攻击、社会工程学、恶意代码、APT、漏洞利用等等数百种不同手段。防御者需要全面监控,但攻击者只需要一点突破即可,如果没有系统的检测能力,即使别人告诉你被黑客攻击了,都找不出黑客是怎么攻击的。而新一代的未知威胁检测和安全感知技术,正是由于其对现有业务及其逻辑关系具备深入的理解,就能够有别于传统检测系统,实现更加全面的潜伏威胁检测和安全态势感知分析能力。
03看懂安全风险
信息安全系统除了需要能够及时发现问题外,还需要保障系统的易用性,确保客户技术人员能够方便快速的发现安全问题、了解影响范围、定位问题源头,提供响应的展示告警和分析举证服务。只有人性化的安全事件分析告警和举证分析服务,才能真正为安全保障部门的事件分析和快速处置提供有效帮助。
04辅助分析决策
除了专业的威胁检测和风险分析效果,安全感知的核心目标还是全面展示安全态势与辅助安全决策分析:
安全态势展示:可视化的形式呈现关键业务资产及针对关键业务资产的攻击与潜在威胁,通过全网攻击监测、分支机构监管、风险外联监测等多个不同视角的大屏展示,提供对失陷业务和主机的报告导出和分析服务,为信息安全主管提供驾驶舱式的辅助决策服务;
辅助决策分析:通过访问逻辑展示、主机威胁活动链分析、安全日志举证和查询、以及基于特定资产的深度业务逻辑分析和威胁攻击链钻取(潜伏威胁黄金眼),更是可以快速定位问题影响和源头,进行相应的分析研判。
获得荣誉
为推进大数据与实体经济、民生服务、社会治理加速融合,促进数据资源开放共享和挖掘应用,天津市互联网信息办公室、天津市大数据管理中心组织开展了大数据应用场景解决方案征集和评审工作。
北京神州绿盟科技有限公司的《CII安全保卫平台建设方案》获得大数据应用场景优秀解决方案。
为推进大数据与实体经济、民生服务、社会治理加速融合,促进数据资源开放共享和挖掘应用,天津市互联网信息办公室、天津市大数据管理中心组织开展了大数据应用场景解决方案征集和评审工作。
北京神州绿盟科技有限公司的《CII安全保卫平台建设方案》获得大数据应用场景优秀解决方案。
相关产品
态势感知平台防火墙入侵检测漏扫全流量威胁分析系统
相关方案
绿盟全流量威胁分析系统(TAM)
关键信息基础设施态势感知平台解决方案(CIIP)