网络安全态势感知解决方案
方案概述
网络安全态势感知方案是针对网络信息安全态势感知、安全监测、通报预警、威胁情报、追踪溯源、流量检测和应急处置进行统一管理的综合解决方案。通过方案能够帮助网信办、公安行业用户进行全面的掌握关键信息基础设施、重要门户网站、信息系统网络安全态势,辖区内暗网流量情况以及对IP进行溯源,开展预警通报、应急处置和网络安全综合管理工作。
方案背景
随着信息化的日渐深入,互联网正在成为国家的关键信息基础设施,各种基于网络的应用也日益广泛,网络安全关系到国家和社会的根本利益。监管单位需要保障政府、教育、医疗、金融、能源、企业、事业单位网站及业务系统严肃性、保密性及安全性。
需求分析
◆开展对辖区内网络资产摸底工作,对资产安全态势进行监控、监测;
◆及时监测页面篡改、网站后门、僵尸网站、敏感词、暗链,检测恶意流量、安全漏洞、网站木马等情况;
◆及时发现网络安全事件线索和趋势分析,如勒索病毒等发展态势;
◆及时通报预警重大网络安全威胁,实时掌握网络安全态势;
◆对辖区内涉藏、涉毒、涉赌、涉黄等网络犯罪行为进行踪、溯源,形成证据链条;
◆对辖区内中存在的暗网等重大犯罪组织进行追踪和定位;
◆遵循行业建设建设规范和国家相关法律发规;
解决方案
遵循建设规范
遵循态势感知安全建设方案
方案优势
孤岛文件检测
业务系统的Webshell一般对系统危害较大,而当前扫描很难抓到webshell原理如下图所示。盛邦安全通过对webshell组织进行研究,刻画出400多个犯罪组织样板,通过采用图谱分析法分析,将结果植入到烽火台预警平台,通过主动探测引擎,快速准确的发现可疑文件,如“后台管理页面、敏感测试页面、框架插件文件、孤岛后门文件等”。此技术在2018青岛上合会议安保中发挥了重要作用。
基于机器学习的跳板/暗网节点发现机制
暗网节点常常采用跳板机采用层层加密进行通信活动,因发现难、检索难、取证难等特点成为网络世界的地下网络,逃逸在监管范围之外。针对此,本方案结合机器学习,对TOR、Shodowsocks等跳板软件的行为进行建模,通过步态识别算法对辖区内跳板节点。在线部署效果具备99.3%的准确率。
工控资产安全检测能力
态势感知系统无缝集成了工控漏洞检测能力,提供三十多个厂商、数百种工控型号相关的资产发现、工控漏洞检测、工控病毒的检测和发现能力。
全流量多维度流量发现技术
全数据流量检测,多种技术混合使用,发现隐藏在水下的犯罪行为。