语言
中文 英文
助力1200+行业客户成功构建网络资产安全防线
首页 > 全行业

国网某省电力公司网络安全分析室

建设背景


网络空间作为继陆、海、空、天之后的的“第五疆域”,已成为当前国际战略争夺的焦点。习近平总书记指出:“没有网络安全,就没有国家安全”,就是对此深刻的诠释。充分认清当前网络安全面临的严峻形势,从维护国家安全和社会稳定的高度,充分认识开展关键基础设施信息系统安全防范建设的重要性和紧迫性是一项重大的政治任务,国家从多个层面,多个文件均对关键基础设施及重要信息系统的安全监管及防护提出要求,电力系统作为我们最重要的关键基础实施,安全性更要加倍重视。

国网信通网安【2017】 70号文,《国网信通部关于印发公司网络安全分析室建设指导方案的通知》要求,要求建立网络安全分析室,切实履行《中华人民共和国网络安全法》的要求,做好关键信息基础设施保护工作,提高公司系统应对各类网络安全威胁和时间的发现,研判和快速处置能力。


客户现状


国网某省电力公司,目前已经部署有部分的安全监控及防护设备、对公司信息外网、信息内网进行安全监控与防御,目前部署的安全监控分析及防护手段如下:


◆ 信息外网


(1)互联网出口部署有安全综合网关,实现防火墙、入侵防御、抗DDOS等防护功能;

(2)DMZ区部署有Web防护及网页防篡改系统,实现对DMZ区所有网站、包括APP、微信公众号的安全防护及页面防篡改;

(3)互联网出口部署有APT高级威胁分析系统,实现对出互联网流量的安全分析,包括受控主机、Webshell、敏感信息泄露等的监控分析;

(4)互联网区域部署有Web安全态势感知平台,实现对省电力公司所有外网网站的全面安全监控、包括篡改、挂马、敏感词、暗链、钓鱼等的安全事件监控、以及对网站的漏洞监控,确保网站出现安全问题第一时间知晓并处置。


◆ 信息内网


(1)省网出口部署有APT高级威胁分析系统,实现对出省流量的安全分析,包括受控主机、敏感信息泄露等的监控分析;

(2)数据中心出口部署有Web防护系统,实现对DMZ区所有网站安全防护及页面防篡改;

(3)数据中心出口部署有网站安全治理平台,实现数据中心内部网站的Web资产自学习,Webshell监控、安全事件监控、安全漏洞扫描等。


建设思路


◆ 固化国家专项网络对抗演习中的有效模式,建立完善的网络安全监控、分析、处置、指挥保障等管理机制和流程;

◆ 通过建立网络安全分析室实现网络安全各项资源一体化,将网络安全监控的各个模块集成到一个统一平台,形成并肩作战能力,构建以预警监控为主题的事前主动防御体系,应对日益突出的新型网络安全威胁;

◆ 按照国网要求,在网络安全分析室日常安全分析中,结合现有安全支撑手段,有效利用S6000的各项功能,实现网络安全监测分析,情报信息收集等,实现动态感知、智能监控、主动响应、全景可视的业务目标;

◆ 配备专职人员,集中开展网络安全监测、分析、溯源和取证,全面提升公司网络攻击监测审计和关联分析能力、对各类攻击威胁及时发现和精准溯源能力、跨业务部门的协同应急处置能力这“三个能力”,确保网络安全“可控、能控、在控”。日常时期,保持周期性的安全监控和分析处置机制,严格控制安全事件影响范围。在重点保障阶段,网络安全分析室转变成安全指挥中心,指挥安全事件的处置,确保信息通信网络及系统安全稳定运行,充分发挥日常时期及重点保障时期网络安全检测分析处置的功能。


建设方案


通过对安全设备信息进行统一分析,集中展示,实现对安全设备、安防系统产生的日志、告警进行初步研判分析,发掘特征明显的攻击类事件,直接下发至事件处置组进行应急处置。

◆ Web安全感知

通过Web安全态势感知平台对互联网所有网站进行安全监测、监控网站敏感内容篡改、挂马、钓鱼网站、暗链等,以及网站WEB安全漏洞、系统安全漏洞等,确保第一时间发现问题,第一时间预警通告。


◆ Web安全防御

通过Web安全防护系统对所有网站进行防御、防护包括SQL注入、XSS等各类攻击,并进行直观展现攻击数据。


◆ DDOS感知防御

通过DDOS攻击防御系统实现对公司网络的防护,防护各类流量型攻击,包括SYN-FLOOD,UDP-FLOOD,CC攻击等各类流量型攻击,并进行实时感知。


◆ 未知威胁感知

随着安全技术的发展,各种有目的的黑客组织越来越多,往往采用一些未知手段进行潜伏式入侵攻击,因此,高级威胁分析系统成为比不可少的安全监控手段,通过APT设备,实现对未知威胁的感知分析。


◆ 威胁情报分析

通过某省电力公司对数据分析获取的恶意ip等威胁情报以及国网总部通报的威胁情报信息,合作伙伴的威胁情报信息等进行综合研判分析,设置防护策略,有效提升安全监控及防护能力。


◆ 溯源分析

安全监控及防护设备对各类安全威胁起到了足够的监控及防护作用,但是缺乏数据关联分析,通过溯源系统,实习对各种恶意行为的关联分析,追踪溯源,黑客IP画像等。


◆ 攻击监测

通过入侵监测系统等,实现对网络的各类攻击行为监测,及时处置。


◆ 恶意流量分析

通过恶意流量分析平台,实现对僵木蠕、后门、病毒、敏感信息、攻击行为等的恶意流量监控分析。


◆ Web安全治理

通过安全治理平台,实现数据中心Web业务系统资产发现,后门发现,审核备案,上线监测,Web指纹识别,安全监测等。


◆ Web资产识别及Web弱口令识别

通过定制开发的Web弱口令识别系统,识别网络中的各类Web系统,包括网站及物联网设备,并定制开发不同的Web弱口令检测插件,实现特色的Web弱口令监测系统。


◆ 大屏展示及数据关联分析

通过展示大屏,将各平台的安全分析数据展示平台进行统一展现,统一监控分析。

国网某省电力安全分析室从安全的多个方面综合考虑,提取多种安全相关数据,做到预警研判,技术处置,实现对各类数据的关联分析,直观大屏展现。