安全挑战
随着信息技术不断发展,信息安全给安全监管部门提出新的挑战,而且我国目前信息系统安全产业和信息安全法律法规及标准不完善,导致国内信息安全保障工作滞后于信息技术发展。
为了提高国家信息安全保障能力,2015年1月,公安部颁布了《关于加快推进网络与信息安全通报机制建设的通知》(公信安[2015]21号)文件。《关于加快推进网络与信息安全通报机制建设的通知》要求建立省市两级网络与信息安全信息通报机制,积极推动专门机构建设,建立网络安全态势感知监测通报手段和信息通报预警及应急处置体系。明确要求建设网络安全态势感知监测通报平台。实现对重要网站和网上重要信息系统的安全监测、网上计算机病毒木马传播监测、通报预警、应急处置、态势分析、安全事件(事故)管理、督促整改等功能,为开展相关工作提供技术保障。
第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》,中明确提出建立网络安全监测预警和信息通报制度,将网络安全监测预警和信息通报法制化。·
随着企业信息化的不断发展,公司信息化资产数量日趋增多、系统的关联性和复杂度不断增强,亟需建立一个信息安全综合管理平台,做到事前预警、事中监控、事后分析,全面提升信息安全管理与防护水平。通过安管平台降低运维成本,提高运维效率。主流企业的IT架构正在向“大数据”逐步演进,并希望通过“大数据计算”的方式解决企业遇到的各种安全和运维困境。
综合以上问题, 需要一套全新的安全管理系统来应对传统网络和海量数据带来的所有挑战,该系统能够通过数据采集和大数据分析,利用机器学习等先进技术,协助企业IT运维人员和安全分析人员快速发现威胁。针对企业 IT 资产情况进行全方位的监控和告警,进行网络安全威胁的统一管理。
方案概述
随着“互联网+”的全面推进,信息技术在国家社会经济建设中的应用也越来越广泛,新型的网络安全威胁也更加突出,传统以“防护”为主的安全体系将面临极大挑战。未来网络安全防御体系将更加看重网络安全的监测和响应能力,充分利用网络全流量、大数据分析及预测技术,大幅提高安全事件监测预警和快速响应能力,应对大量未知安全威胁。
绿盟安全态势感知解决方案对骨干网络出口和重要网络节点进行严密监控,及时预警大规模网络攻击和病毒传播,保障重要信息系统的网络安全。通过绿盟安全态势感知平台,可以有效支撑安全监控部门开展网络安全工作,实时掌握网络安全态势。
通过绿盟态势感知平台对原始流量进行采集和监控,对流量信息进行深度还原、存储、查询和分析,可以及时掌握重要信息系统相关网络安全威胁风险,及时检测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击等恶意行为,保障重要信息系统的网络安全。
宏观层面,绿盟安全态势感知平台严密监控、切实防范大规模网络攻击。微观层面,绿盟安全态势感知平台监控保障重点信息系统的网络安全,实现安全事件的预警、检测、响应、取证。按照“统一规划、分级部署、协同共享”的原则,建设形成多级互联互通的通报平台,构建覆盖全网的网络安全态势感知、安全监测和通报预警体系。
运营服务方面,态势感知解决方案提供可管理的威胁检测和响应服务,为企业提供集安全威胁检测设备,安全威胁分析平台及安全服务专家于一体的安全运营服务。
特点优势
01
深度包检测技术(DPI)与深度流检测技术(DFI)相结合
相比传统检测技术,深度包检测技术加入了应用层分析,能够准确识别各种应用。基于DPI技术,可以精准识别各种网络入侵、僵木蠕等事件; 深度流检测技术是基于流量行为的应用识别技术,不同的应用类型体现在会话或数据流上的状态不同,可以实现基于应用的流量异常检测; 两者相结合能够对某一特定特征痕迹,结合流量、日志进行深度分析,从而发现高级威胁。
02
已知威胁检测技术与未知威胁检测技术相结合
随着攻击手段的发展,仅仅使用基于特征的已知威胁检测能力已经不够了,面临如今APT攻击频发的状况,态势感知平台利用沙箱技术实现对未知威胁检测能力,提高了对新攻击手段和技术的识别能力,并提高APT攻击事件的发现能力。
03
安全事件分析引擎与攻击链模型相结合
通过安全事件分析引擎,将安全告警日志整合成安全事件,大幅度减少安全数据处理工作量;基于攻击链模型,将安全事件还原成黑客攻击的过程,形成证据链,提高调查取证能力。