经验分享:
成功经验在于“数字”思维的运用,“数字”方法的最佳实践:
1、全局化分析,充分发挥大数据“1+1>2”的优势对网络流量进行全局分析,充分发挥大数据平台“1+1>2”的优势,捕获传统方案难以发现的安全风险。
2、“数字”动态化,以应对动态变化的网络威胁
实现网络威胁按“时间“维度的动态化分析,将分析结果“数字化”、“可视化”,通过数据把握行为态势和趋势,实现网络安全风险主动发现,网络安全威胁等级划分等,大幅提升了新型网络攻击行为的检测能力。
3、“轻量”改动,“最大”检测
(1)不影响原有的网络拓扑
只要保证需要监管的网络逻辑上互通,仅需在交换机或者虚拟化管理平台上进行简单的命令配置即可,无需改变原有的网络拓扑。
(2)避免增设新的故障点
除系统本身,无需新增其他附加的设备,避免增设新的故障点。
(3)规避数据集成风险
被动接收数据源发过来的flow数据即可,无需主动对接数据源,把一对多问题变成了多对一。
(4)避免信息泄露的风险
数据的采集只提取数据包的网络部分,不涉及包内容,避免了信息泄露的风险。
成果展示:
一、数字化转型成果概述
方案面向全网流量,结合大数据分析技术和自研的行为分析算法对异常行为进行分析和挖掘,成功、实现网络攻击行为检测技术向数字化转型,在线形成异常网络流量检测与分析、异常网络应用检测与分析、网络威胁检测与分析、网络脆弱性检测与分析、风险诊断、攻击溯源、态势分析、趋势分析等一站式的网络安全服务能力。
方案采用全新的大数据底层分析架构,能够捕获传统难以发现的分布式网络攻击、内网IP发起的网络攻击、通过东西向网络进行横向传播的攻击行为、新型网络攻击等。同时,能够将数据处理能力提升至TB级以上,项目实施周期同比缩短90%以上。
二、面向用户及应用场景
方案面向关键互联网出口、网安、网信办、通信管理局、运营商、IDC服务商、高校、电力、交通、银行、证券、能源、工业企业等大型及复杂网络,可适用于TB级以上的大型及复杂网络、含虚拟化的混合网络、跨地域部署的网络、需要对东西网络进行管控的网络等传统方案难以部署的网络应用场景。
三、方案特点及优势
1、“全局化”的监控视野
实现全网流量数据监控与分析,对TB级以上的大型及复杂网络、含虚拟化的混合网络、安全设备比较少的网络、跨地域部署的网络等都可以统一纳入监管。
2、“动态化”的眼光
实现按时间维度的异常行为大数据分析,通过从态势变化、趋势变化等角度对网络异常行为、网络脆弱性等进行分析。
3、“规律化”的检测手段
从规律层面对异常行为进行检测分析,能够应对动态变化的网络威胁。
4、“智能化”的规则进化
通过AI技术实现行为规则自动化调整优化,能够动态发现新型的网络攻击。
5、“多元化”的分析视角
将网络异常行为区分为主动和被动,攻击视角及防御视角,及时发现由内部IP发起的网络攻击或通过东西向流量进行横向传播的网络攻击。
6、“常态化”的脆弱性管控
对脆弱性端口进行常态化管控,实时发现新型脆弱性端口以及所有与脆弱性端口交互的异常行为。
7、“一站式”的溯源取证
对发现的所有安全事件,均可实现一站式溯源取证,精准快速定位攻击源,解决溯源难、耗时长的问题。
四、方案价值
(一)通过方案的部署,将能够获得以下“5”大主要网络安全威胁管理能力:
1、轻便灵活的部署力:用1-2周的时间,在不影响网络拓扑,不采集用户通信信息的情况下,就能部署一套政务网络全网的网络威胁管控方案,能够提供一站式的网络安全服务能力。
2、一站式的管控力:提供流量监测与分析、网络应用监测与分析、威胁监测与分析、脆弱性监测与分析、风险诊断、攻击溯源、态势分析、趋势分析等一站式的网络安全服务能力。
3、主动敏锐的发现力:对新型网络攻击行为的检测更加主动,对利用新型端口、非常规端口进行横向传播的攻击行为也能第一时间发现。
4、可复制的决策力:轻松对异常流量、异常网络应用、网络威胁、网络脆弱性等安全风险进行规范化管理,可按照风险等级高低、威胁的轻重缓急进行有序处理。
5、完备快速的证据力:对发现的所有安全事件均可实现一站式快速溯源取证。
(二)方案可用于:
1、为业务的运行保驾护航:为业务的安全稳定运行保驾护航,减少因遭受网络攻击而造成的经济损失、负面社会影响。
2、重大活动网络安全保障:协助做好金砖会议等重大活动的网络安全保障,配合做好护网行动的攻击检测等。
3、树立网络安全领域标杆:协助企事业单位建立健全网络安全体系建设,树立网络安全领域标杆。
4、信息共享:可与国家级、省级的态势感知平台进行对接,对平台发现的新型网络攻击及最新的网络攻击态势可为第三方提供威胁情报服务,扩大行业影响力。
5、联手治理:与网安、网信办、通信管理局等网络安全监管单位建立常态化合作,上报发现的网络安全威胁源头,对事件的溯源信息可作为其立案侦查的依据,快速提升网络安全监管单位安全治理工作效率。
6、联合研究:对发现的新型网络威胁、最新的网络安全态势等可作为网络安全相关课题研究对象进行联合研究,进一步推动网络安全行业理论与技术的科技创新,产出新的知识产权。