背景
按照我國網(wǎng)絡安全法要求���,網(wǎng)絡運營者應加強信息基礎設施網(wǎng)絡安全防護,加強網(wǎng)
絡安全信息統(tǒng)籌機制、手段、平臺建設�����,加強網(wǎng)絡安全事件應急指揮能力建設����,積極
發(fā)展網(wǎng)絡安全產(chǎn)業(yè)���,做到關口前移���,防患于未然;落實關鍵信息基礎設施防護責任���,行業(yè)���、企業(yè)作為關鍵信息基礎設施運營者承擔主體防護責任。
當前安全態(tài)勢下����,網(wǎng)絡黑產(chǎn)的產(chǎn)業(yè)化、集團化應用趨勢明顯;網(wǎng)絡成為某些惡意組織發(fā)起攻擊的主要途徑���,網(wǎng)絡威脅種類也更加復雜多變���,現(xiàn)有安全解決方案難以應對高級�����、持續(xù)����、集團化�����、武器化的威脅����。安全情報成為輕量級的解決復雜網(wǎng)絡攻擊、實現(xiàn)實時威脅預警及攻擊追蹤溯源的重要手段����。進而����,公安部第一研究所基于威脅情報中心,實時發(fā)現(xiàn)和共享安全情報信息,研發(fā)了一套以安全情報驅(qū)動的,具備邊界實時預警和防御的體系平臺一網(wǎng)絡攻擊阻斷系統(tǒng)(網(wǎng)盾K01)���。網(wǎng)盾K01針對網(wǎng)絡邊界防護設計,依托政府網(wǎng)站綜合防護系統(tǒng)(簡稱網(wǎng)防G01)約5萬防護終實時感知互聯(lián)網(wǎng)安全威脅���,采用大數(shù)據(jù)情報分析。多源融合等多項技水研究�����,融合產(chǎn)業(yè)界頂尖的安全情報能力在網(wǎng)絡邊界進行基于情報的研判����、預警和威脅攔截,實現(xiàn)了情報的有效落地和防護邊界的前移���,并最終形成了集安全情報的態(tài)勢感知�����、溯源畫像���、旁路阻斷及專家研判等功能于一體的綜合防護系統(tǒng),具備全面的情報發(fā)現(xiàn)運用能力及靈活的拓撲場景適應性����,可以在各個行業(yè)的不同業(yè)務場景下法慧及時有限的安全防護作用���。
產(chǎn)品與定位
網(wǎng)盾K01設備部署在互聯(lián)網(wǎng)出入口,對監(jiān)測到的惡意攻擊源進行自動化阻斷,實現(xiàn)一點監(jiān)測����、全網(wǎng)阻斷的效果,是網(wǎng)絡安全聯(lián)動處置的有效手段����。惡意攻擊源一是來自于公安部-所部署在互聯(lián)網(wǎng)上的成千上萬臺網(wǎng)防G01系統(tǒng)監(jiān)測節(jié)點,提取、滾動�����、整合面向金融�����、電力���、能源、交通等關鍵信息基礎設施行業(yè)的惡意攻擊源IP;二是來自于網(wǎng)盾K01設備監(jiān)測的攻擊本行業(yè)關鍵信息系統(tǒng)的惡意源IP����。通過多級部署�����、集中監(jiān)測����、聯(lián)動處置能夠快速在互聯(lián)網(wǎng)所有出入口進行攻擊攔截�����,幫助用戶全面掌握網(wǎng)絡攻擊態(tài)勢�����。同時,通過對惡意攻擊源IP進行細粒度畫像,解決攻擊誤報�����、追蹤溯源等問題�����。網(wǎng)盾K01系統(tǒng)具備人工研判和自動阻斷兩種模式,支持第三方情報源導入,簡單���、高效,是網(wǎng)絡安全防護關口前移的有效措施�����。
功能與優(yōu)勢
旁路阻斷
在旁路部署模式下�����,當監(jiān)聽檢測到威脅的同時���,可以通過另外一條通信鏈路���,主動構(gòu)造阻斷數(shù)據(jù)包分別發(fā)送至訪問端與服務端,達到攔截封禁攻擊的效果�����。
情報聚合
威脅情報中心通過智能融合�����、順序匹配與加權(quán)匹配等算法模型將多個安全情報源數(shù)據(jù)聚合���,并且保持與情報源高頻率更新互動�����,以保證威脅判斷依據(jù)的新鮮度和準確率����。
攻擊IP畫像
通過大數(shù)據(jù)技術提取有效的情報����,形成完整的網(wǎng)絡威脅畫像庫,展現(xiàn)明確的攻擊畫像和詳情。攻擊IP畫像類型包含暗網(wǎng)���、網(wǎng)絡代理�����、暴力破解����、Webshell攻擊���、惡意掃描����、Web攻擊等。
情報溯源
威脅情報中心可以對互聯(lián)網(wǎng)上部署的網(wǎng)防G01防護數(shù)據(jù)進行收集�����,統(tǒng)計各個情報IP的歷史攻擊記錄����,系統(tǒng)支持對某個攻擊源IP進行溯源,可以獲取它最新的攻擊歷史軌跡���,例如某個IP在某個時間以某種形式攻擊過某個單位����,從而進一步對情報IP進行輔助判斷���,確認其準確性����。
自動值守
系統(tǒng)可支持自動值守與人工研判雙模式����,以適應不同安全防護級別的處置需求。在自動值守模式下����,系統(tǒng)可直接對威脅請求進行實時封堵�����,無需手動配置;在人工研判模式下,系統(tǒng)可結(jié)合其他檢測事件及業(yè)務系統(tǒng)的狀態(tài)信息對情報檢測結(jié)果進行綜合分析和二次甄別���,通過增加人工判斷確認來提升威脅處理的可靠性����。
態(tài)勢可視化分析
系統(tǒng)自帶可視化統(tǒng)計分析模塊���,可對情報數(shù)據(jù)的更新狀態(tài)�����、地理位置分布情況及本地的情報檢測態(tài)勢進行直觀的全局展示;通過首頁的攻擊源和被攻擊目標TOP統(tǒng)計信息����,可快速定位當前網(wǎng)絡的主要風險點���,以便用戶準確掌握安全態(tài)勢����。
關鍵技術與指標
通過全網(wǎng)部署的網(wǎng)防G01終端對各類攻擊進行檢測識別,當任一網(wǎng)防G01終 端監(jiān)控到攻擊時,可實時聯(lián)動全網(wǎng)邊界部署的網(wǎng)盾K01系統(tǒng)進行攔截封堵,做到-一點監(jiān)控,全網(wǎng)阻斷����,實現(xiàn)關口前移的防護思想。
情報發(fā)現(xiàn)與聯(lián)動處置技術
威脅情報中心實時處理網(wǎng)防G01終端和網(wǎng)盾K01設備檢測上報的攻擊及防護日志���,通過大數(shù)據(jù)技術挖掘利用高危的���、鮮活的攻擊源情報,供網(wǎng)盾K01設備實時讀取使用���,從而實現(xiàn)攻擊源情報的發(fā)現(xiàn)與聯(lián)動處置�����。
攻擊畫像技術
依托海量的安全告警日志���,對攻擊源進行全面的多維畫像分析,全面提取手段特征�����、指紋特征、目標規(guī)律�����、時間規(guī)律等畫像信息���,- -方面為攻擊源打標簽�����,方便聚類管理與行為分析,另一-方面用于威脅評分的計算分析����。
攻擊溯源技術
任意流量中命中匹配的攻擊源情報都可以調(diào)用攻擊溯源接口進行該攻擊源的攻擊軌跡展示,方便用戶研判攻擊源情報的準確性,確認是否需要對此攻擊源的訪問流量進行封堵���。
攻擊流量識別技術
系統(tǒng)內(nèi)置攻擊檢測引擎����,可以根據(jù)不同協(xié)議建立對應的檢查點,并通過機器學習從海量原始數(shù)據(jù)中提取服務���、請求����、網(wǎng)絡及系統(tǒng)等關鍵參數(shù)信息來進行安全建模,甄別攻擊流量���,同時�����,采用上下文語義關聯(lián)分析技術實現(xiàn)綜合決策���,提升攻擊識別的準確性。
主動防御技術
旁路部署模式下���,系統(tǒng)可以通過監(jiān)聽口對鏡像流量進行分析檢測���,發(fā)現(xiàn)攻擊時,系統(tǒng)可以模擬服務器端和客戶端通信模式及狀態(tài)細節(jié)����,主動構(gòu)造井發(fā)送阻斷數(shù)據(jù)包,中斷后續(xù)會話�����,從而達到封堵攻擊的效果。
態(tài)勢感知技術
網(wǎng)盾K01設備通過與威脅情報中心及網(wǎng)防G01終端的數(shù)據(jù)聯(lián)動技術�����,形成了一套從云端到邊界再到終端的態(tài)勢感知與響應體系����,將安全情報的采集、分析����、共享、應急處置與追溯等流程進行閉環(huán)�����,并使用可視化模塊做展示分析���,鉆取攻擊軌跡、分布和趨勢等多維度信
部署特性
支持串聯(lián)與旁路部署方式�����,支持channel. trunk接口模式,并支持MPLS���、802.1Q網(wǎng)絡環(huán)境
阻斷特性
支持串聯(lián)與旁路部署下的情報匹配與攔截防護�����,支持在旁路鏡像檢測的同時對問題訪問進行阻斷攔截
情報源支持
支持將外部情報源聚合獲取至本地����,具備多源情報決策模型�����,決策算法包含聚合���、順序匹配及加權(quán)匹配
系統(tǒng)內(nèi)置網(wǎng)防G01情報源����,更新頻率不低于5分鐘;支持自定義添加情報源����,接口可支持FTP及API方式,且至少可添加3種以上情報源
情報源數(shù)據(jù)至少包含暗網(wǎng)攻擊����、僵尸網(wǎng)絡���、網(wǎng)絡代理、暴力破解����、webshell攻擊、惡意掃描�����、漏洞利用及惡意IP等類型
溯源畫像
支持對情報源IP進行畫像�����,可明確溯源攻擊歷史時間���、攻擊類型、攻擊目標IP及攻擊目標單位等���,至少可溯源5條最近歷史記錄以便進行研判輔助
攻擊阻斷支持
支持自動值守和人工研判的攻擊阻斷方式���,并可根據(jù)不同安防等級設置封堵范圍�����,包含單個IP����、所在C段和所在B段3種范圍�����,并支持按情報類型匹配組合的阻斷條件
支持手動黑白名單設置����,并可進行批量模板導入
統(tǒng)計分析
支持整體攻擊態(tài)勢可視化展示,內(nèi)容至少包含當天及本周等范圍的TOP情報源����、TOP被攻擊目標、攻擊趨勢及攻擊次數(shù)統(tǒng)計���,并可在地圖上進行直觀的情報IP分布查看����,同時可直接在數(shù)據(jù)統(tǒng)計界面中進行人工研判操作����,動作至少包含信任和封禁
支持日志告警�����、攻擊IP分析及被攻擊IP分析等審計列表����,可通過豐富的組合篩選條件進行詳細風險審計
產(chǎn)品與部署
串聯(lián)部署
網(wǎng)盾K01串行部署于出口與內(nèi)網(wǎng)業(yè)務之間�����,可采用如下接入模式:
1���、透明橋接入2���、 二層vlan接入3、channel接入
旁路部署
網(wǎng)盾K01旁路部署在出口路由交換設備鏡像側(cè)����,進行流量實時監(jiān)聽;同時接路通信線路,可主動構(gòu)造數(shù)據(jù)包進行威脅阻斷���,可支持如下接入模式:
1���、MPLS 2、802.1Q
問題及解答
1�����、網(wǎng)盾K01的防護特色是什么?
-點監(jiān)控����,全網(wǎng)阻斷。網(wǎng)防G01系統(tǒng)會將監(jiān)測到的安全事件上報至情報源�����,而每臺網(wǎng)盾K01都會實時從情報源中獲取情報IP,一旦監(jiān)測到由情報IP發(fā)起的訪問流量����,就直接對其進行阻斷封禁,因此所有網(wǎng)盾K01的情報信息都是新鮮井且同步的�����,這樣就可以做到任意一-個網(wǎng)防G01節(jié)點發(fā)現(xiàn)問題IP�����,將實時通知所有邊界部署的網(wǎng)盾K01設備,一旦發(fā)現(xiàn)問題IP入侵���,立刻進行封堵����,實現(xiàn)全網(wǎng)阻斷的效果����。
2、網(wǎng)盾K01中的特色防護中情報源指的是什么?
情報源包含了暗網(wǎng)IP����、Tor節(jié)點IP、代理IP�����、非法掃描�����、惡意IP及漏洞利用等各種類型的攻擊IP情報���,是由公安部一所全網(wǎng)部署的網(wǎng)防G01系統(tǒng)實時檢測與統(tǒng)計的����,具備可靠的新鮮度和時效性���,可以為網(wǎng)盾K01的攻擊防護提供最直接的判檢測依據(jù)�����。
3���、網(wǎng)盾K01可以做旁路阻斷部署嗎?
可以。網(wǎng)盾K01可以串聯(lián)部署來進行防護���,也可旁路部署���,在監(jiān)聽檢測的同時對問題流量進行阻斷,阻斷效率可以達到80%以上���。
4�����、網(wǎng)盾K01旁路阻斷的原理是什么?
網(wǎng)盾K01在旁路監(jiān)聽時���,可以對流經(jīng)對聯(lián)設備的流量進行檢測���,如果發(fā)現(xiàn)有問題流量時,可以通過另外一個互聯(lián)接口����,主動構(gòu)造阻斷數(shù)據(jù)包,發(fā)往訪問源和目標服務器來中斷連接����,從而達到旁路阻斷的效果。
5����、已部署大量安全設備,是否仍有必要部署網(wǎng)盾K01?
現(xiàn)有的安全防護設備����,只能依賴自身的規(guī)則庫對攻擊進行檢測,無法直接對IP的黑白與否做甄別和湖源�����,也無法與其他單位檢測到的安全事件互相共享,因此很容易被偽裝潛伏����,在真正的安全對抗中非常被動。網(wǎng)盾K01作為一道關口���,直接前移至邊界,將整個網(wǎng)絡覆蓋起來����,并且可以實時獲取全網(wǎng)最可靠的情報信息,對風險訪問進行自動識別封堵����,實現(xiàn)了關口前移主動防護有不可替代的價值。
應用場景
單個單位部署場景
情報感知:
網(wǎng)盾K01系統(tǒng)通過與情報源實時聯(lián)動�����,感知獲取全網(wǎng)網(wǎng)防G01系統(tǒng)收集的安全情報信息�����,對經(jīng)過流量的訪問源進行識別���,甄別暗網(wǎng)�����、Webshell客戶端及Web攻擊等攻擊類型�����。
自動處置:
網(wǎng)盾K01基于情報數(shù)據(jù)對流量進行攻擊檢測����,并對威脅情報直接進行IP封堵,實現(xiàn)自動處置����。
I行業(yè)統(tǒng)籌部署場景
集中監(jiān)控:
在各分支節(jié)點邊界部署網(wǎng)盾K01系統(tǒng),分別保護對應的網(wǎng)絡區(qū)域����,同時采用級聯(lián)監(jiān)控系統(tǒng)進行集中展示,對全局態(tài)勢進行綜合分析�����,實現(xiàn)統(tǒng)籌調(diào)度�����。
云天安全訂閱號
云天安全服務號
