一、背景及需求分析
当今网络空间已经成为了重要的战场,让我们回顾一下,在过去一年中网络空间经历过的一些大事件:
2018年2月9日,韩国平昌冬奥会开幕式当天遭遇黑客攻击;
2018年2月25日,冬奥会才刚闭幕,我国国内医疗行业的勒索病毒事件就爆发了;
2018年3月中旬,中国某军工企业被美、俄两国黑客攻击;
2018年3月末,思科高危漏洞 CVE-2018-0171在清明小长假期间被黑客利用,发动攻击,国内多家机构中招;
2018年8月,台积电遭到勒索病毒攻击,三个 7纳米产线停摆,损失多达17亿元;
随后我们的法院、高校、国土等行业的部分客户,也遭遇到勒索病毒的侵袭……
在开展安全建设工作的过程中,我们看到很多客户面对当下的威胁,存在防御能力的不足。我们可以看一下从上世纪90年代到现在为止,威胁持续进化的过程,从传统的恶意代码,如今已经演变成针对特定的目标对象开展高级的持续性攻击,以及近几年来势汹汹的勒索病毒,网络攻击呈现出对抗强、干扰多、线索散等诸多特点,而传统的技术通常无法有效防御上述威胁。
二、云网端一体化防护,融合网络安全解决方案架构
时迅迪提供“网端云”解决方案,通过“网络+终端+云端”的体系化建设思路来全面保障客户的安全建设切实有效。
“网端”: 将众多安全能力融合在一台设备中,提供L2-L7层的完整保护,从基础路由到IPSEC等组网技术并不断的叠加安全功能,如IPS、邮件安全、病毒检测、僵尸网络、网址过滤、应用识别到WEB保护,提供一站式全面防御能力。
“终端”:对客户的网络和终端(PC和服务器)进行全面的保护,我们不仅要让客户拥有有效的产品,同时在面对“专业的安全人员长期不足的现状”下,建立了轻量级的运营中心,让客户看得见终端风险,并能够迅速处置风险,往往通过一个人即可简单有效的管理企业的安全工作。
“云端”:在安全人员运营的过程中,安全能力始终是最核心的要素,构建云端安全大脑,迅速定位本地设备网络和终端无法识别到的威胁。
三、网端云融合网络安全解决方案价值
全面落实等级保护2.0合规要求
网端协同联动,让安全更加简单有效:云网端协同举证、一键处置、智能免疫,简化安全运营
安全运营升级,安全待办事项一键处置:风险快速处置闭环
轻量级安全运营中心,降低安全能力总体拥有成本:统一分析与展示,统一运维管理
一、数据防泄密背景
近年来,多家知名公司多次出现敏感数据的泄密事件,给这些公司带来不同程度的影响,也引起了业界对于敏感数据泄密的高度重视。大家均在质疑:为何会在安全密不透风的数据中心中将这些敏感数据泄密出去呢?因此,如何确保数据中心关键核心业务系统数据防泄密的问题已经被各大公司纳入安全整改的重要议程。
对于网络数据的泄密途径,员工在日常工作当中需要使用及时通讯软件、邮件、浏览器等工具与合作伙伴或业务方进行沟通或资料共享,在这个过程中,员工有意无意的资料外发、数据明文传输、黑客数据窃取等都成为了数据泄密风险途径。
二、数据防泄密方案架构
时迅迪提供的数据防泄密方案架构通过以下方式实现:
网络部分:通过各类网络外发管控与审计、邮件外发管控与审计、身份认证与传输加密实现网侧安全
终端部分:采用PC终端与移动终端安全合规管控措施、外设使用管控措施、工作域运行沙箱环境、桌面云数据不落地等实现终端数据防泄密。业务系统层面主要通过业务访问授权与操作监控、数据库审计等手段实现业务端数据防泄密。
业务部分:通过业务访问授权及操作监控,进行操作留痕;通过数据库进行访问审计杜绝重要业务数据外泄;同时采集网、端、业务系统的访问日志和相关数据进行综合分析,实现全链路用户行为分析与数据外泄行为可视,并提供审计追踪与事件处置响应手段。
方案部署从网络结构划分为:互联网接入区、核心交换区、安全管理区、内网办公区域、业务服务区和桌面云服务器区。
保护对象是业务服务区中的业务系统数据或存储在服务器上的各类数据,当然在本地终端可能也会有一些敏感数据。
防护对象是远程接入的各类PC终端、移动终端以及本地接入终端,包括外部人员和内部员工以及攻击者。
通过在互联网接入区部署AC数据防泄密网关,实现网络边界数据防泄密控制。在安全管理区部署VPN、数据泄露分析平台、数据库审计和EMM、EDR管理端,实现远程和本地用户接入身份认证和加密传输、数据防泄密综合分析与可视、数据库安全审计等功能。
对PC终端和移动终端安全EDR、EMM和终端管理软件,实现终端合规安全管理、文档加密、安全审计功能。
方案价值主要体现在以上七个方面,实现终端管理全覆盖、电子文档透明加解密、网络传输防泄密、云桌面安全防护、适配各类防泄密场景、智能泄密分析引擎、全方位泄密追溯。
一、态势感知解决方案背景
从政策层面来看,国家是非常重视网络安全,习主席在4.19网络安全座谈会上提到没有网络安全,就没有国家安全,网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,
要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。
另外,安全事件频发的本质是攻守双方能力的不对等。一次成功的黑客攻击,攻击方可以做到速战速决,而防守方为了及时发现入侵并控制安全事件带来的影响,往往需要耗费大量的建设时间和人力成本。在外部威胁变化越来越快的今天,我们凭借自身的安全能力已经很难有效应对。
二、态势感知解决方案架构
时迅迪提供的态势感知解决方案定位为客户的本地安全大脑,是一个集检测、可视、响应等多功能于一体的大数据安全分析平台,让安全可感知,易运营,更有价值。
产品设计以全流量分析为基础,基于探针等安全组件采集全网的关键数据,以安全感知平台为安全大脑核心,结合威胁情报、行为分析、UEBA、机器学习、大数据关联分析、可视化等技术对全网流量实现全网业务可视和威胁感知,从而实现全面发现各种潜伏威胁。同时,提供易运营的支撑体系,便于安服专家或运维体系的介入和应急响应,提高事件响应的速度和高级威胁发现能力。
数据采集层
采集包括终端数据、流量采集、中间件数据、第三方设备日志、威胁情报对接。该层提供多种接口进行流量、日志数据的采集和对接,支持syslog、webservie、restful api、wmi等方式采集。
数据预处理层
对采集的数据进行预处理,包括数据清洗、数据归并、数据富化,最终数据转换为平台可理解的格式化数据,以文件的形式进行存在,等待分析。
大数据分析层
读取经过预处理后的数据进行离线计算,或读取ES(Eleastic Search)数据进行实时机算。在此进行全网安全数据的检测、分析和统计,并结合威胁情报、行为分析、智能分析等技术,发现安全威胁现状,同时,内置的多条安全关联规则可将数据进行归并告警。
数据存储层
分析数据和结果存储在ES引擎(Eleastic Search)中,可提供快速的检索能力。同时,对用于近期需要快速呈现的统计结果数据存放到MongoDB,可快速读取,相比ES引擎无需渲染和消耗内存。
数据服务层
基于APP的方式设计整个数据可视化的展示,基于从数据存储层获取数据的接口,读取展示数据,提供各种数据的安全可视服务及对外接口服务。可视化使用ext作为JS框架,基于ECharts作为图形库,以vue架构作为大屏可视化呈现支撑
三、态势感知解决方案价值
一、安全合规等级保护解决方案背景
2014年2月27日,中央网络安全和信息化领导小组成立,习近平、李克强担任正副职,中央网络安全和信息化领导小组第一次会议上习主席提出。
2016年4月19日,在网络安全和信息化工作座谈会上的讲话(即419讲话)。
二、安全合规等级保护解决方案框架
网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个流程。在等级保护全流程中,涉及到四个不同的角色,分别是:运营和使用单位、公安机关、时迅迪科技、测评机构。
在方案设计阶段,以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件,并结合行业特性要求、监管单位要求、用户提出的额外安全需求进行系统性方案设计。在满足相应等级安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上,最大程度发挥安全措施的保护能力。
三、安全合规等级保护解决方案价值
践行前沿网络安全理念,打造网络安全生态圈,提倡“持续保护、不止合规”的等保核心价值。以可视化的方式让用户看清资产、业务关系,看懂威胁、安全风险;对网络中各类风险持续检测,将安全运营工作化繁为简;构建本地协同、云端联动的动态保护体系,让用户感受到等级保护带来的实际价值。
一、零信任接入安全解决方案背景
越来越多业务对外发布,面向全体员工、供应商、合作伙伴,需要尽可能地业务缩小暴露面,降低被恶意扫描、攻击、入侵的风险
使用角色、群体复杂,需要通过双因素等手段进行身份认证强化;当访问环境、访问时间发生变化进行强化认证,确保身份合法性
远程办公接入终端的安全是薄弱的环节,需要持续检测终端环境是否安全,比如是否安装了补丁、杀毒软件;是否存在危险的进程等;访问业务全周期终端环境是否都安全
用户接入内网后,访问行为需要进行安全审计(基础);发现可疑、异常访问行为需要进行收缩访问权限
业务安全发布尽量不要改变员工的使用习惯,对供应商的业务发布的业务也尽量不要强制安装客户端,更好体验更轻量化运维
二、零信任安全接入解决方案架构
时迅迪提供的零信任安全架构是基于零信任理念构建的新一代安全解决方案。控制中心为统一控制大脑,实现用户认证、用户授权、多源信任评估、动态访问控制策略等。以身份为中心,构建可信访问、智能权限、极简运维的零信任安全架构。
三、零信任安全接入解决方案价值
以身份为中心
自适应身份认证,实现认证安全增强。当用户访问使用弱密码时需进行增强认证,当用户在异常时间段登录时需进行增强认证,当用户在异地登录时,必须进行增强认证
安全和体验最佳平衡,在授信终端上、在内网环境中登录时免辅助认证、客户端一键登录等
可信访问
同时支持HTTPS代理和SSL访问隧道,针对B/S、 C/S结构应用提供加密隧道传输;
结合用户实时的身份信息、终端环境信息和应用敏感度,能实现对不同安全要求的应用,以及不同范围的用户进行不同安全力度的应用准入,实现动态的访问控制
智能权限
动态权限控制,当发现终端环境、身份、行为存在风险时,通过收缩用户的访问权限,降低被攻击入侵的风险。
支持智能权限基线,对于远程办公人员众多的企业,利用权限基线工具,能够帮助IT运维人员更快速地梳理清楚各角色的访问权限,确保提供员工最小化权限的同时,也能有效减少IT人员权限梳理的管理成本
极简运维
B/S业务免客户端登录,跨平台跨浏览器;业务从互联网收入内网后不改变用户原有使用习惯;同时也大幅降低IT人员在用户终端侧的运维压力
终端诊断工具,自助进行终端诊断,收集日志,降低运维人员排查、运维难度
一、安全体检服务简介
众所周知,信息安全具有动态性、相对性等特征,任何网络、任何系统都可能存在安全 隐患,所有的安全事件大部分都是由于这些安全隐患被攻击者利用而导致的,因此对于组织单位来说,如何提前发现和防范这些安全隐患成为能否减少安全事件的最关键因素。
二、安全体检评估服务内容
三、安全体检服务价值
提升组织对于内部系统的漏洞检测能力
全面掌握组织内部的安全漏洞
为组织业务系统测评、检查等提供有效的依据
为组织制定科学、有效地安全加固方案提供依据
降低因为漏洞导致安全事件发生的概率
一、园区数字化新的安全威胁
在全球智能化趋势下,ICT基础设施将无处不在,业务环境从封闭走向开放,面临更加多样化的安全需求。运营商、企业客户如何保障关键业务永续在线,如何提升安全运维效率,如何构建新解决方案的安全能力,成为尤为重要的三大需求。
传统安全防御手段不足:
威胁判断技术颗粒粗
无法自动免疫主机逃逸
威胁检测的周期长
分层部署的安全防御体系
安全业务管理复杂
二、HiSec 安全智简园区解决方案架构
安全分析器
以大数据智能安全分析系统(CIS,CyberSecurity Intelligent System)为核心组件,该组件具备对包括高级可持续威胁(APT)在内的各类安全威胁,可基于大数据技术进行精准检测、态势感知、Kill-Chain溯源等。辅助的分析器还包括华为FireHunter沙箱,能够实现50余种常见文件类型检测,基于动态行为的捕获和学习,可实现对“灰色”文件的判断,并联动执行器进行智能处置。
安全控制器
相当于“中枢神经”,以华为SecoManager安全控制器为核心组件。该组件定位于面向多租户的全生命周期安全策略管理、业务编排。可以获取SDN控制器拓扑和资源管理输入,结合分析器的智能检测结果,以及从采集器中收集的数据,对执行器进行业务管理和策略优化
安全执行器/采集器
相当于“四肢”,执行器/采集器主要负责安全防御动作的采集上报和执行。上报的形式可能包括Syslog日志、事件、Metadata、NetFlow、漏洞、信誉等等,执行的动作可能包括告警、阻断、报表呈现、短信通知等等。执行器/采集器包括三种主要形态:以交换机、路由器为代表的网络设备,以防火墙为代表的专业安全设备,以及以探针为代表的第三方网元。
三、HiSec 安全智简园区解决方案价值
感知全网安全态势
图形化界面帮助客户直观理解全网安全态势,并可以根据区域、关键资产去查看对应的风险,并给出处理建议。运维人员可以快速找到自己负责的区域和资产,并根据安全状态和处理建议对这些设备进行系统升级、安装补丁等安全加固的工作。
快速发现高级威胁
基于强大的流量、日志采集和大数据分析检测技术,发现现网中的高级威胁攻击,帮助客户实时快速发现网络中的安全威胁事件。
秒级安全联动响应
通过和安全控制器、安全设备的快速联动,实现秒级响应,大大提高安全响应速度和效率。并可以进行手动或自动的安全策略联动,对安全威胁进行处置,防止和降低其对网络和业务的影响。
安全策略智能运维
基于动态应用访问关系的智能策略运维,提供应用互访关系展示,已上线策略动态调优,新上线策略仿真验证功能,为管理员应对海量安全策略提供了强有力的支撑。
