網(wǎng)信辦自2014年成立以來,各地在逐步完善加強(qiáng)其網(wǎng)絡(luò)安全信息化方面的領(lǐng)導(dǎo)管理地位,該部門統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)、政治、文化、社會及軍事等各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題,研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略,在網(wǎng)絡(luò)安全行業(yè)占有重要地位。
針對項(xiàng)目背景,西青區(qū)網(wǎng)信辦通過此次安全項(xiàng)目建設(shè),增加安全檢查能力與運(yùn)維能力的建設(shè),提升本單位內(nèi)部安全管控能力,同時加強(qiáng)對轄區(qū)委辦局進(jìn)行安全事件監(jiān)控及尋求安全領(lǐng)域?qū)I(yè)服務(wù)商。
網(wǎng)信辦自身安全能力建設(shè)
隨著安全能力建設(shè)、監(jiān)管要求的加強(qiáng),區(qū)級網(wǎng)信單位面臨著自身建設(shè)安全防護(hù)的工作。西青區(qū)網(wǎng)信辦自身網(wǎng)絡(luò)安全管理、建設(shè)專業(yè)性較薄弱,內(nèi)部系統(tǒng)除日常防火墻外,并沒有任何安全防護(hù)建設(shè),為彌補(bǔ)基礎(chǔ)網(wǎng)絡(luò)安全保障設(shè)備的缺失,降低、消除各類入侵風(fēng)險(xiǎn)管控和基礎(chǔ)安全建設(shè)的薄弱環(huán)節(jié),需對基礎(chǔ)安全保障類設(shè)備進(jìn)行補(bǔ)充部署。
轄區(qū)專業(yè)監(jiān)管能力建設(shè)
西青區(qū)網(wǎng)信辦作為重要網(wǎng)信工作監(jiān)管部門,對轄區(qū)單位承擔(dān)著風(fēng)險(xiǎn)監(jiān)控、安全事件管控的職責(zé)。需要對轄區(qū)重要單位進(jìn)行網(wǎng)站安全監(jiān)測,掌握門戶網(wǎng)站安全監(jiān)管把控;同時定期進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)賦能,提升網(wǎng)信辦專業(yè)形象;然后定期進(jìn)行網(wǎng)絡(luò)安全掃描檢查,輸出整改要求,提升監(jiān)管專業(yè)性。
態(tài)勢分析平臺建設(shè)
為更好集中呈現(xiàn)安全態(tài)勢,要建設(shè)網(wǎng)絡(luò)監(jiān)管展示大屏。在安全管控方面,通過檢測設(shè)備和分析系統(tǒng)發(fā)現(xiàn)攻擊行為并作為分析證據(jù)。針對區(qū)教育局、區(qū)檔案館特點(diǎn)設(shè)定單獨(dú)的安全策略,過濾一些低風(fēng)險(xiǎn)或者不可能成功的攻擊行為,從而減少管理員關(guān)注日志告警的工作量,也使得重要攻擊行為能夠得到重點(diǎn)體現(xiàn)。
轄區(qū)專業(yè)監(jiān)管能力建設(shè)-測試2
西青區(qū)網(wǎng)信辦作為重要網(wǎng)信工作監(jiān)管部門,對轄區(qū)單位承擔(dān)著風(fēng)險(xiǎn)監(jiān)控、安全事件管控的職責(zé)。所以需要對轄區(qū)重要單位進(jìn)行網(wǎng)站安全監(jiān)測,掌握門戶網(wǎng)站安全監(jiān)管把控;同時定期進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)賦能,提升網(wǎng)信辦專業(yè)形象;然后定期進(jìn)行網(wǎng)絡(luò)安全掃描檢查,輸出整改要求,提升監(jiān)管專業(yè)性。
項(xiàng)目主要內(nèi)容包括安全數(shù)據(jù)采集、大數(shù)據(jù)分析平臺建設(shè)、可視化呈現(xiàn)系統(tǒng)三部分。
實(shí)現(xiàn)路徑:
多合一硬探針部署在重點(diǎn)單位互聯(lián)網(wǎng)環(huán)境中,檢測結(jié)果數(shù)據(jù)通過互聯(lián)網(wǎng)線路傳輸,統(tǒng)一上報(bào)給數(shù)據(jù)采集系統(tǒng);
網(wǎng)站安全監(jiān)測以云服務(wù)遠(yuǎn)程方式對重點(diǎn)單位網(wǎng)站進(jìn)行7*24小時實(shí)時監(jiān)控并將采集的數(shù)據(jù)通過互聯(lián)網(wǎng)傳送到采集器中;
異常流量監(jiān)測設(shè)備NTA、高級威脅監(jiān)測設(shè)備TAC、漏洞掃描檢測設(shè)備部署在本地,檢測結(jié)果數(shù)據(jù)上報(bào)給數(shù)據(jù)采集系統(tǒng);
所有通過互聯(lián)網(wǎng)線路進(jìn)行數(shù)據(jù)傳輸均采用SSL加密技術(shù),將互聯(lián)網(wǎng)采集的數(shù)據(jù)傳輸?shù)酱髷?shù)據(jù)分析平臺外網(wǎng)數(shù)據(jù)采集器進(jìn)行數(shù)據(jù)格式范式化處理;
最終所有安全數(shù)據(jù)均從數(shù)據(jù)采集器經(jīng)安全隔離設(shè)備進(jìn)入專網(wǎng)大數(shù)據(jù)分析平臺進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析,分析后在可視化呈現(xiàn)系統(tǒng)呈現(xiàn)。
可視化呈現(xiàn)系統(tǒng)
網(wǎng)絡(luò)安全態(tài)勢生成是依據(jù)大量數(shù)據(jù)的分析結(jié)果來顯示當(dāng)前狀態(tài)和未來趨勢,而通過傳統(tǒng)的文本或簡單圖形表示,使得尋找有用、關(guān)鍵的信息非常困難。
大數(shù)據(jù)分析平臺建設(shè)
大數(shù)據(jù)分析平臺采集到的數(shù)據(jù)經(jīng)過清洗、格式范式化處理后發(fā)送給數(shù)據(jù)存儲與轉(zhuǎn)發(fā)系統(tǒng)。數(shù)據(jù)存儲與轉(zhuǎn)發(fā)系統(tǒng)針對收集到的源數(shù)據(jù)與范式化后的元數(shù)據(jù)進(jìn)行存儲
安全數(shù)據(jù)采集
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
安全數(shù)據(jù)采集
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
安全數(shù)據(jù)采集
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
安全數(shù)據(jù)采集
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
大數(shù)據(jù)分析平臺建設(shè)
大數(shù)據(jù)分析平臺采集到的數(shù)據(jù)經(jīng)過清洗、格式范式化處理后發(fā)送給數(shù)據(jù)存儲與轉(zhuǎn)發(fā)系統(tǒng)。數(shù)據(jù)存儲與轉(zhuǎn)發(fā)系統(tǒng)針對收集到的源數(shù)據(jù)與范式化后的元數(shù)據(jù)進(jìn)行存儲
大數(shù)據(jù)分析平臺采集到的數(shù)據(jù)經(jīng)過清洗、格式范式化處理后發(fā)送給數(shù)據(jù)存儲與轉(zhuǎn)發(fā)系統(tǒng)。數(shù)據(jù)存儲與轉(zhuǎn)發(fā)系統(tǒng)針對收集到的源數(shù)據(jù)與范式化后的元數(shù)據(jù)進(jìn)行存儲
安全數(shù)據(jù)采集
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
安全數(shù)據(jù)采集
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
安全數(shù)據(jù)采集
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
安全數(shù)據(jù)采集
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
針對大型集中型的關(guān)鍵信息基礎(chǔ)設(shè)施如電子政務(wù)云、黨政機(jī)關(guān)網(wǎng)站群、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)、大型企業(yè)和教育部門等區(qū)級重要網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署專業(yè)的多合一安全檢測探針
安全態(tài)勢感知平臺為西青區(qū)網(wǎng)信辦提供有效的安全分析模型和管理工具,準(zhǔn)確、高效地感知整個網(wǎng)絡(luò)的安全狀態(tài)以及發(fā)展趨勢,對網(wǎng)絡(luò)的資源作出合理的安全加固,對外部的攻擊與危害行為可以及時的發(fā)現(xiàn)并進(jìn)行應(yīng)急響應(yīng),有效的實(shí)現(xiàn)防外及安內(nèi),保障信息系統(tǒng)安全。
01看清業(yè)務(wù)邏輯
信息安全的核心目標(biāo)是解決核心業(yè)務(wù)的安全、穩(wěn)定運(yùn)行,如果安全檢測系統(tǒng)不了解信息系統(tǒng)的資產(chǎn)有哪些、業(yè)務(wù)邏輯關(guān)系如何,而是無論在哪一個客戶的網(wǎng)絡(luò)中都復(fù)用同一套安全判斷準(zhǔn)則,那么它提供的檢測能力顯然是脫離實(shí)際的,所以威脅檢測和安全感知的首要需求就是看清業(yè)務(wù)邏輯。
02看見潛在威脅
信息安全是一個涉及多個領(lǐng)域的復(fù)雜問題,攻擊者可能包括外部黑客、心懷不滿的員工、以及內(nèi)外勾結(jié)等各種情況,攻擊途徑更是包括了暴力攻擊、社會工程學(xué)、惡意代碼、APT、漏洞利用等等數(shù)百種不同手段。防御者需要全面監(jiān)控,但攻擊者只需要一點(diǎn)突破即可,如果沒有系統(tǒng)的檢測能力,即使別人告訴你被黑客攻擊了,都找不出黑客是怎么攻擊的。而新一代的未知威脅檢測和安全感知技術(shù),正是由于其對現(xiàn)有業(yè)務(wù)及其邏輯關(guān)系具備深入的理解,就能夠有別于傳統(tǒng)檢測系統(tǒng),實(shí)現(xiàn)更加全面的潛伏威脅檢測和安全態(tài)勢感知分析能力。
03看懂安全風(fēng)險(xiǎn)
信息安全系統(tǒng)除了需要能夠及時發(fā)現(xiàn)問題外,還需要保障系統(tǒng)的易用性,確保客戶技術(shù)人員能夠方便快速的發(fā)現(xiàn)安全問題、了解影響范圍、定位問題源頭,提供響應(yīng)的展示告警和分析舉證服務(wù)。只有人性化的安全事件分析告警和舉證分析服務(wù),才能真正為安全保障部門的事件分析和快速處置提供有效幫助。
04輔助分析決策
除了專業(yè)的威脅檢測和風(fēng)險(xiǎn)分析效果,安全感知的核心目標(biāo)還是全面展示安全態(tài)勢與輔助安全決策分析:
安全態(tài)勢展示:可視化的形式呈現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)及針對關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅,通過全網(wǎng)攻擊監(jiān)測、分支機(jī)構(gòu)監(jiān)管、風(fēng)險(xiǎn)外聯(lián)監(jiān)測等多個不同視角的大屏展示,提供對失陷業(yè)務(wù)和主機(jī)的報(bào)告導(dǎo)出和分析服務(wù),為信息安全主管提供駕駛艙式的輔助決策服務(wù);
輔助決策分析:通過訪問邏輯展示、主機(jī)威脅活動鏈分析、安全日志舉證和查詢、以及基于特定資產(chǎn)的深度業(yè)務(wù)邏輯分析和威脅攻擊鏈鉆取(潛伏威脅黃金眼),更是可以快速定位問題影響和源頭,進(jìn)行相應(yīng)的分析研判。
為推進(jìn)大數(shù)據(jù)與實(shí)體經(jīng)濟(jì)、民生服務(wù)、社會治理加速融合,促進(jìn)數(shù)據(jù)資源開放共享和挖掘應(yīng)用,天津市互聯(lián)網(wǎng)信息辦公室、天津市大數(shù)據(jù)管理中心組織開展了大數(shù)據(jù)應(yīng)用場景解決方案征集和評審工作。
北京神州綠盟科技有限公司的《CII安全保衛(wèi)平臺建設(shè)方案》獲得大數(shù)據(jù)應(yīng)用場景優(yōu)秀解決方案。
