信息化觀察網(wǎng)

在不影響網(wǎng)絡(luò)拓?fù)?、不需要流量分光鏡像、不需要部署流量探針、不需要在終端設(shè)備安裝代理程序、不依賴于其它安全設(shè)備的日志的情況下，一站式地解決了傳統(tǒng)工控環(huán)境下關(guān)鍵網(wǎng)絡(luò)東西向攻擊難管控、虛擬化設(shè)備內(nèi)部行為難管控、新型攻擊行為難監(jiān)測(cè)、脆弱性端口難全天候排查、通信日志存在盲區(qū)、威脅源頭無法區(qū)分輕重緩急等諸多問題與難題，并可對(duì)所有威脅事件進(jìn)行溯源取證。

應(yīng)用行業(yè)：某核電站、某運(yùn)營(yíng)商、某銀行、某高校

客戶網(wǎng)絡(luò)安全系統(tǒng)診斷：

作為“新基建”的重要部分，“工業(yè)互聯(lián)網(wǎng)”是新一代信息通信技術(shù)與先進(jìn)制造業(yè)深度融合所形成的新興業(yè)態(tài)與應(yīng)用模式。但新技術(shù)帶來新機(jī)遇的同時(shí)，也帶來了新問題：

1、現(xiàn)有大部分安全產(chǎn)品基本都是針對(duì)互聯(lián)網(wǎng)入口及關(guān)鍵服務(wù)器設(shè)備南北向的異常行為進(jìn)行管控，對(duì)東西向異常行為難以管控；

2、按照時(shí)間、空間維度通過降低攻擊頻次，采用分布式、自動(dòng)化攻擊等繞過安全設(shè)備檢測(cè)的新型網(wǎng)絡(luò)攻擊行為難以管控；

3、虛擬化平臺(tái)、云桌面、超融合等平臺(tái)的異常行為難以管控，內(nèi)部某臺(tái)設(shè)備一旦被入侵，現(xiàn)有的安全措施將形同虛設(shè)；

4、現(xiàn)有安全措施只能對(duì)互聯(lián)網(wǎng)出口、關(guān)鍵節(jié)點(diǎn)上的網(wǎng)絡(luò)通信行為進(jìn)行記錄，一旦發(fā)生安全事件，日志的留存將無法滿足《網(wǎng)絡(luò)安全法》通信日志保存六個(gè)月以上的安全要求。

5、目前僅能通過漏掃等設(shè)備對(duì)網(wǎng)絡(luò)脆弱性端口開放情況進(jìn)行階段性定期地掃描排查，排期之間尚存在大量的空檔期。對(duì)于在空檔期間開放使用的網(wǎng)絡(luò)脆弱性端口難以管控。

6、事件的溯源需要跨平臺(tái)多級(jí)排查，難以在一個(gè)平臺(tái)上完成對(duì)所有安全事件的溯源取證工作。

7、網(wǎng)絡(luò)中部署的各類網(wǎng)絡(luò)安全監(jiān)控及預(yù)警平臺(tái)，大都是孤立的安全事件驅(qū)動(dòng)，針對(duì)各種安全事件，難以區(qū)分輕重緩急，處置難度大。

案例應(yīng)用成效：

1、“全方位”安全監(jiān)管：異常行為無死角監(jiān)管

采用自主原創(chuàng)的大數(shù)據(jù)及人工智能技術(shù)，對(duì)核心層、匯聚層、甚至接入層的全端口流量進(jìn)行統(tǒng)一分析及管控，實(shí)現(xiàn)包括東西向網(wǎng)絡(luò)異常行為、新型網(wǎng)絡(luò)攻擊行為、虛擬化平臺(tái)內(nèi)外部的異常行為、辦公設(shè)備內(nèi)外部異常行為在內(nèi)的全網(wǎng)異常行為無死角的安全監(jiān)管！

2、“全方位”日志留存：通信日志全方位記錄

全方位地對(duì)所有安全區(qū)域、各IT資產(chǎn)之間的網(wǎng)絡(luò)通信日志進(jìn)行記錄及溯源，滿足《網(wǎng)絡(luò)安全法》日志留存的要求！

3、“精細(xì)化”運(yùn)營(yíng)管控：精細(xì)到應(yīng)用級(jí)+端口級(jí)

流量管控精細(xì)到應(yīng)用+端口級(jí)，不僅對(duì)各個(gè)應(yīng)用對(duì)應(yīng)的網(wǎng)絡(luò)架構(gòu)的合理性、合規(guī)性一目了然，對(duì)第三方平臺(tái)或自研程序違規(guī)外聯(lián)、越權(quán)掃描、隱蔽后臺(tái)服務(wù)等行為均能一一發(fā)現(xiàn)！同時(shí)，實(shí)時(shí)監(jiān)控設(shè)備與脆弱性端口之間的通信情況，為數(shù)據(jù)/業(yè)務(wù)非法訪問提供證據(jù)，為網(wǎng)絡(luò)應(yīng)用規(guī)范化及標(biāo)準(zhǔn)化提供參考依據(jù)。

4、“一站式”事件溯源：一個(gè)平臺(tái)完成事件溯源

對(duì)平臺(tái)發(fā)現(xiàn)的所有安全事件均可在一個(gè)平臺(tái)上實(shí)現(xiàn)逐級(jí)溯源取證。

5、“指數(shù)化”威脅處置：威脅源頭分級(jí)管理

按照威脅類別、攻擊頻率、影響范圍等對(duì)威脅源頭進(jìn)行多維度的威脅指數(shù)綜合評(píng)分，并進(jìn)一步按照威脅指數(shù)的高低判斷事件的輕重緩急，對(duì)威脅資產(chǎn)進(jìn)行有序處置。同時(shí)，結(jié)合各類事件進(jìn)行態(tài)勢(shì)分析、趨勢(shì)分析，可為下一步安全決策提供依據(jù)。

平臺(tái)創(chuàng)新性

1、整體系統(tǒng)架構(gòu)的創(chuàng)新：

?不影響網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、無需分光鏡像、不需要安裝客戶端程序，避免了引入新系統(tǒng)導(dǎo)致新的安全風(fēng)險(xiǎn)，節(jié)省了因端口鏡像而產(chǎn)生新的硬件投入及后期運(yùn)維成本；

?數(shù)據(jù)源采用通信設(shè)備普遍采用的、標(biāo)準(zhǔn)化的Netflow、sFlow、IPFix等格式數(shù)據(jù)，核心層、匯聚層、接入層通信設(shè)備甚至虛擬化平臺(tái)都已經(jīng)普遍支持，在邏輯網(wǎng)絡(luò)互通的情況下，只需少量的配置命令即可把數(shù)據(jù)接入平臺(tái)；

?不依賴于其它安全平臺(tái)、安全設(shè)備的日志，可節(jié)約跨系統(tǒng)對(duì)接所產(chǎn)生的時(shí)間及人力成本，規(guī)避因跨系統(tǒng)數(shù)據(jù)對(duì)接導(dǎo)致的不可控風(fēng)險(xiǎn)；

2、核心檢測(cè)原理的創(chuàng)新：

擺脫了傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品對(duì)包特征的依賴，從通信規(guī)律而不是數(shù)據(jù)特征的層面來檢測(cè)網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)。（“術(shù)”上升到“道”）

3、AI閾值自動(dòng)優(yōu)化技術(shù)：

通過AI技術(shù)實(shí)現(xiàn)對(duì)檢測(cè)閾值的智能調(diào)整及優(yōu)化。

4、杜絕通信數(shù)據(jù)泄密：

傳統(tǒng)安全產(chǎn)品，網(wǎng)絡(luò)上傳輸?shù)膬?nèi)容甚至本地的文件都要被它全方位地“體檢”一遍，關(guān)鍵系統(tǒng)密碼、敏感信息等都逃不過它的“法眼”。存在對(duì)這些內(nèi)容進(jìn)行管控的需求，但大部分情況下大家都不希望甚至不允許通信的具體內(nèi)容被第三方應(yīng)用所監(jiān)控。

本方案所采用的數(shù)據(jù)源，不涉及通信的具體內(nèi)容，排除了安全產(chǎn)品本身成為數(shù)據(jù)泄密最大風(fēng)險(xiǎn)點(diǎn)的情況。