张旭
(英利能源(中国)有限公司 河北省保定市 071000)
从上个世纪九十时代到现在,黑客的攻击手段在发生重要变化,总体上呈现更加智能化、复杂化的趋势。攻击目的从最初的黑客炫耀、破坏、窃取数据,转向以牟利为主的黑灰产产业化运作为主,如僵尸网络、挖矿程序、用户数据窃取等;从攻击技术手段来看,在最开始的僵木蠕、漏洞利用、口令入侵为主,演变成更加复杂的攻击方式;从攻击层面看,从最初的网络层攻击向应用层的攻击演进。
勒索病毒也在不停的创新,邮件钓鱼、口令传播、最新漏洞蠕虫传播、MBR 篡改等无所不用其极,此外勒索病毒也利用Exploit Kit 等黑色产业链进行攻击。另外,当前防病毒软件或硬件网关,基本上以依靠病毒特征库为主,而针对经过变种的病毒、木马或者未知恶意代码,不具备监测能力。
总之,新形势下,企业面临更加严峻的信息安全挑战。
企业整体安全加固解决方案是现有设备的基础上,解决在安全建设初期单纯满足合规性建设,或者仅规划传统的纵深防护安全能力,缺乏完善的主动防御技术和持续检测技术带来的风险。主要解决思路如下:
2.1.1 基于安全风险评估情况,夯实基础安全架构
通过持续性的风险评估,进行安全架构的升级改造,缩小攻击面、减少风险暴露时间。包括:安全域改造、边界加固、主机加固等内容。
2.1.2 加强持续检测和快速响应能力,进一步形成安全体系闭环
针对内网的资产、威胁及风险,进行持续性检测;基于威胁情报驱动,加强云端、边界、端点的联动,实现防御、检测、响应闭环。
2.1.3 提升企业安全可视与治理能力,让安全了然于胸
基于人工智能、大数据技术,提升全网安全风险、脆弱性的可视化能力,大幅度提升安全运维能力,以及应急响应和事件追溯能力。
企业的建设涵盖互联网、内部网络等,承载大量核心业务应用,结合企业实际业务需求,需要设计符合企业的整体安全加固框架,如图1所示。
图1:企业整体安全加固技术架构图
2.2.1 基础安全架构优化
在现有的安全设备基础上,经过风险评估与安全架构咨询,进行企业的安全基础架构的升级扩展。主要内容包括:
(1)结合下一代防火墙L2-L7 安全防护能力,进行安全域的改造、安全边界加固等;
(2)内网终端及服务器的安全加固。基于终端检测响应,加强安全基线检查、恶意代码防护、防暴力破解等能力;
(3)部署安全感知平台和潜伏威胁探针,实现安全风险的集中监测;
(4)加强云安全、移动安全、数据安全等方面的建设。
2.2.2 形成防御-检测-响应闭环体系
企业安全解决方案,可构建“防御、检测、响应”闭环体系。主要包括:
(1)基于安全云脑的威胁情报、云端检测能力,与下一代防火墙、EDR 等安全设备联动,实现主动的安全防御;
(2)基于云眼、云盾等云端安全能力,针对互联网业务提供安全监测和流量清洗服务;
(3)基于安全感知平台进行企业内网威胁检测与风险可视,并与下一代防火墙、EDR 等产品联动,实现联动封锁和自动化响应。
按照“安全可视+动态感知+闭环联动”的安全模型,用户、终端、网络接入与传输和业务等全业务链必须有机统一,进行有效联动,才能真正带给用户安全。
安全不仅必须保证远程用户与数据中心资源之间的透明,而且还要考虑到复杂网络环境:穿过分支机构、核心,进入数据中心再进到外面的云中。一个完整的业务链,包括用户(即用户行为)、终端、网络、业务四个层面。因此,不仅需要保护这四个层面每一个层面的安全性,还需要保护整合业务链条的整体安全性。全业务链的安全不仅必须是数据中心架构的一部分,同时也是更广泛解决方案的组成部分。
基于业界领先信息安全理念,采用业界领先的大数据、人工智能技术安全,建立了安全感知平台,为所有业务场景提供云端的威胁感知能力。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据主动发现威胁。无论是网络内部产生的威胁,还是由外网带入的威胁,通过联动接口,利用“安全大脑”基于大数据技术分析出的检测结果,利用边界和终端、移动接入的安全控制能力,实现对整个网络威胁的联合感知和联合防御。
3.3.1 闭环
动态响应、安全设备的联动是大数据背景下的网络安全体系的重要组成部分。通过大数据预测和云管理,保证安全策略能够符合最新的网络安全要求。同时,也可以根据安全感知平台的预警信息,基于运营与情报中心对安全设备、网络设备进行策略备注,从而有效减少安全事件的发生。
3.3.2 联动
安全联动是一种通过日志采集技术将网络中网络设备、安全设备等的日志信息采集并处理,通过关联分析技术提取出企业安全威胁分析需要的日志信息,通过安全态势界面呈现,并对安全威胁事件做安全响应的一种技术。
作为数据中心出口和终端用户访问互联网的出口,数量众多的用户通过该出口进行互联网访问,需保障链路实时可用、流量可控;在与互联网对接后,可能会遭受DDoS 攻击、网络攻击,从而造成链路中断、内部IT 系统被入侵,甚至被非法分子远控后向外发起攻击、窃取关键重要数据或借机发布负面言论。
双机部署防火墙,在网络出口需提供需在互联网出口边界进行隔离和访问控制,开启防DDOS 攻击,防病毒模块,从2-7 层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击;双机部署上网行为管理设备对互联网出口流量进行识别并对流量进行管控,提高带宽利用率的同时保障用户上网体验。
分支机构、银企互联通过安全接入区域,连接到核心交换区,访问、使用部署在数据中心上的业务系统。
存在非法越权访问、网络攻击、病毒传播,以及带宽资源拥塞风险。
通过双机热备、旁挂或串行等方式,部署下一代防火墙、上网行为管理设备等设备。
核心交换机采用双机热备方式部署,保证业务系统的高可靠性和高可用性;
采用静态路由和带认证的动态路由协议方式,保证路由安全可控(此条亦针对其他有关联的路由设备,如三层交换、路由器、防火墙等)。
旁挂安全资源池以及相关安全组(如下一代防火墙软件、堡垒机软件)等,以及潜伏威胁探针等,进行全网核心流量的检测与审计。
按照不同物理位置、业务功能、部门等划分VLAN,实现各楼栋终端的子网划分;
办公终端上安装防病毒软件和终端安全管理软件;
部署内网准入认证方式,有效管理内网终端认证,同时为审计策略、有效防御身份冒充、权限扩散与滥用等提供管理基础。
该区域说明如下:该安全域对业务环境下的网络操作行为进行集中管理与细粒度审计;用于监控内网安全域之间的流量,对流量中的威胁进行实时检测并统一呈现,从而需要以下安全部署。
对于内网虚拟机内部流量不可视、虚拟机的安全防护缺失的情况,通过在每台主机上部署轻量级端点探针Agent,在运维管理区部署EDR 管理平台(可在现有虚拟机上部署);提供全面基于虚拟机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现,避免某台虚拟机被攻陷后,带来的进一步横向攻击导致虚拟化平台全部陷入瘫痪的境地,同时EDR 支持虚拟机杀毒功能,进一步构建起虚拟机对病毒、木马等威胁的隔离。
部署数据库安全审计系统,可以保护对数据库非法操作及时告警与审计、保障非法操作的准确溯源、保护数据库中账号安全、统计分析安全现状,并能以可视化报表从多维度分析数据库的安全现状等四方面保障数据库的安全。
部署日志审计系统,能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行安全分析及合规审计,及时、有效的发现异常安全事件及审计违规。
部署漏扫设备(基线核查系统),基线核查系统协助用户实现企业内安全配置和漏洞的集中采集、风险分析和处理的工作。
部署运维堡垒机,有效管理内网运维,有效避免运维安全事故,主要实现集中账号管理、身份认证、授权管理、审计运维等功能。
部署业务应用安全防护视频防火墙,视频网络协议优化、从2-7层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击,提供在网络出口需提供需在互联网出口边界进行隔离和访问控制,行为审计。
针对勒索病毒、0Day 攻击、APT 攻击、社会工程学、钓鱼等新型威胁手段,传统安全防护已经失效,安全建设必要符合最新理念以及技术发展趋势。方案基于“融合安全、立体保护”的下一代安全体系,对比传统边界防护为主的体系方案 ,能够从容应对各种类型最新的威胁,显著提升企业的风险管理能力。
在持续攻击、内部威胁增大的时代,企业需要完成对安全思维的根本性切换,从”被动防御”+“应急响应”到“积极防御”+“持续响应”,建立完整的“预测、防御、检测、响应”闭环。尤其是结合人工智能、大数据、终端检测响应等新技术,在未知攻击检测、勒索病毒检测与预防、内鬼防护等方面日趋发挥关键作用。
所有防御能力都源自可视性——显然,我们无法防御看不到的东西。方案从可视的深度、可视的广度两个层面有明显的提升,加强全网资产、风险、脆弱性等检测等手段,基于业务的视角,实现安全风险的可视、可控、可管。在全面安全可视基础上,企业可以极大降低运维的复杂度,提升安全治理水平。
以上就是在电子信息工程中网络安全等级保护加固方案的设计,及方案优势的分析。通过网络安全等级保护的加固,可以从根源上提高信息安全的保护,让网络环境更改健康,为企事业单位提供有效的工作环境,以创造更高的价值。