关键信息基础设施(CIIs,以下简称关基)是国家或地区对经济、社会、安全等方面至关重要的信息基础设施,包括:电力系统、水利系统、通信系统、金融系统、物流系统、公共卫生系统、政务系统、交通运输等。“关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。”这些网络空间战略要地是攻防体系化对抗的核心焦点。作为国家的重要财产和战略资源,其安全运行对经济、社会、政治稳定和国家安全具有重要影响。
关基单位是APT重要目标,并在未来有更明显趋势,将成为网络空间与物理社会相互影响的最为直接的体现。2023年5月1日《关键信息基础设施安全保护要求》正式实施,面对以网络攻击、丧失功能、数据泄漏等为目的的关基风险,关基保护单位要做到关键业务连续运行及其重要数据安全防护。因此,确保关基安全运行,需要采取一系列措施。
解决方案
传统的安全监测方法大都是基于已知异常的威胁规则库进行监测,可检测出已知安全威胁,但对未知威胁则无能为力,且对正在发生或已造成损失的入侵行为无法做到完整的溯源取证和损失评估。因此,在体系化对抗和系统性风险的新背景下,以“网络全流量分析是行之有效的手段,因为再高级的攻击,都会留下网络痕迹。网络攻击者的行为和我们正常的网络访问行为是不一样的”为理念,科来提出以下建设方案。该方案已在相关单位部署实施,取得了良好效果。
本方案包含科来网络全流量安全分析系统(也称安全审计系统,以下简称TSA)和科来网络数据安全管理与分析平台(以下简称“BFC”),通过在关键位置分布式部署前端探针和中心分析,将业务和资产作为串联安全运营的核心,实现发现、管理、画像及监测的一体化自动响应能力。
核心功能及能力
一、业务和资产的识别与分析
关基保护对象不是单一维度的可量化资产,而是动静结合、关联复杂、边界模糊、维度多样的资产集。企业安全中的漏洞管理正在向攻击面管理发展,要做好攻击面管理,对于业务和资产的识别、分析与管理是基础,掌握越清晰、越详细,对暴露面的收敛效果越好,并且是后续安全防护、监测预警、主动防御等的基础。
业务的识别分析与业务行为全景画像
分析网络流量确定关键业务,及其与其他外部业务之间的联系和依赖程度,通过评估关键业务指标判断业务优先级,从而合理配置资源和保障服务质量。梳理与还原整个关键业务链的结构,了解各个环节之间的依赖关系和交互方式,优化关键业务链的运行效率和稳定性。
通过梳理业务对象,以及提供、使用业务服务的操作和方式,发现业务规律,刻画业务形象;通过流量特征反映此服务业务状态;通过对网络业务行为的持续刻画,实现网络实体的异常行为发现,从而确定未知攻击行为。
资产的识别分析与资产全景画像
分析网络流量确定关基资产,了解资产的组成和运行状态,生成网络、系统、数据、服务等资产清单,并分类分级,从而进行全面管理和监控。动态的资产探测和更新,能够及时发现新增的资产或变更的资产状态,保持资产清单的准确性和完整性。
对登记的所有资产的网络通讯行为、威胁信息、组件信息、硬件信息等进行综合展示,对任意资产通讯全景进行可视化展示和分析,对资产通讯行为进行标签化描述,帮助用户看清资产属性。
风险识别和重大变更感知
监测和识别关键业务链中可能存在的威胁和脆弱性,识别出系统、网络和应用程序中的安全风险点,并评估其影响程度,从而及早采取相应的安全措施。根据分析结果,可以为不同的风险问题确定优先级。
通过相应的数据流量和通信行为,可以监测到关基设施的改建、扩建或所有人变更等重大变更,并及时更新资产清单,将新增的设备、服务器或网络连接等纳入管理中,保持资产清单的准确性和完整性,并为后续的管理和维护提供依据。
二、安全防护与监测预警
安全通信网络的安全审计
通过实时监控和分析进行安全审计,监测和识别潜在的安全问题和威胁,如异常的网络连接、未经授权的访问、恶意软件传播等行为,并及时采取相应的防护和响应措施,确保网络通信的安全性。
安全计算环境的入侵防范
发现和识别可能的入侵行为和攻击尝试,基于分析结果,实施入侵检测和防御机制,及时发现并阻止潜在的入侵活动,保护安全计算环境的完整性和可用性。
基于监测预警的安全态势感知
对关键节点、关键业务、系统资产、安全日志、安全模型等进行威胁监测,结合历史与实时监测数据、趋势分析等手段,形成对异常行为的感知,并关联关键业务运行信息,进行安全态势的分析和预测。
三、主动防御与事件处置
以对攻击行为的监测发现为基础,帮助用户收敛暴露面,提供攻击手段溯源取证分析,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。
在对安全事件处置方面,提供防火墙策略验证能力,实现对防火墙边界防护效果的实时监测,让用户及时感知未生效的阻断,发现访问控制漏洞。科来提供策略闲置依据,辅助进行防火墙策略收敛,落实策略最小化原则,以最少的设备承载最大价值的策略。
方案优势
领先的业务与资产识别能力
科来支持原始流量7X24小时实时分析,全量动态探查全网存活资产,保障资产与业务识别真实全面。在完整资产识别基础上,科来支持1000种以上协议解析能力,支持3000种以上应用及42类应用类型的实时识别,实时解析关键协议指纹,让用户清晰掌握资产属性。
全量存储,溯源取证有据可查
网络攻击事件往往需要通过事后的关联和回溯分析后才能有效定性和取证,科来提供网络原始流量的全量存储,能够将当前检测到的攻击行为与历史流量进行关联,实现完整的攻击溯源和攻击调查与取证分析。
精细化的网络与业务运维管理
从用户应用的角度出发,通过对企业网络的集中监控管理,全面掌握各类关键通讯数据,为用户提供透明可视的网络,实时监控网络之间的通讯,将杂乱无序的网络通讯进行有序梳理,为用户提供精细化运维与管理能力。
相关产品
方案咨询
科来二十余年专注网络流量分析技术的研究与推广,致力于将数据价值发挥最大化。我们将为您提供技术领先的产品,并分享科来多年积累的实战经验,助力您成功的数字化转型与更进一步的核心竞争优势。