奇安信科技集团股份有限公司
公司简介
奇安信科技集团股份有限公司(以下简称奇安信,股票代码688561)成立于2014年,专注于网络空间安全市场,向政府、企业用户提供新一代企业级网络安全产品和服务。凭借持续的研发创新和以实战攻防为核心的安全能力,已发展成为国内领先的基于大数据、人工智能和安全运营技术的网络安全供应商。同时,奇安信是2022年冬奥会和冬残奥会网络安全服务与杀毒软件的官方赞助商;此外,公司已在印度尼西亚、新加坡、加拿大、中国香港等国家和地区开展网络安全业务。
甲方荣誉
根据赛迪、IDC数据等第三方机构数据,奇安信在终端安全、大数据智能安全检测与管控、安全管理平台、云安全等新兴领域,市场占有率均为行业第一。
2021年,赛迪,中国网络信息安全市场销售额、终端安全市场份额、安全服务市场份额、云安全市场份额、云计算安全市场份额、威胁检测与响应市场份额第一;
2021年,IDC,咨询服务市场份额、安全资源池市场、中国政府行业IT安全软件市场、中国态势感知解决方案市场、IT安全咨询服务厂商市场、托管安全服务市场份额、终端安全软件市场份额、安全分析和情报市场份额第一。
近期部分荣誉
奇安信入选北京市经济和信息化局和北京市工商业联合会公布的首批20家“隐形冠军”企业名单
奇安信入选“2021年APEC工商领导人中国论坛”发布的“中国数字经济产业示范样本50”名单
奇安信内生安全框架荣获2020“世界互联网领先科技成果”
奇安信智能威胁检测和分析项目荣获2020通信学会科技奖二等奖
奇安信天眼申报项目荣获2021年信息社会世界峰会冠军项目奖
奇安信“支撑零信任安全架构的人工智能信任决策系统”项目荣获第十届吴文俊人工智能科技进步奖
奇安信“大数据流式分布式关联分析引擎Sabre”荣获2021数博会领先科技成果奖
奇安信双向网闸获中国信息安全测评中心最高级别认证
奇安信零信任安全项目获我国智能科学技术最高奖
科创板225家上市企业有效发明专利排行榜发布奇安信位列第五
奇安信位居“2021年中国网安产业竞争力50强”榜首
奇安信获评2020年首批“北京市用户满意企业”
奇安信入围工信部“信创解决方案创新奖”
奇安信四个项目入围工信部车联网身份认证和安全信任试点项目
奇安信零信任入选工信部《2021年大数据产业发展试点示范项目名单》
奇安信“工业安全态势感知与管理平台(IMAS)”获“2020-2021年度中国工业数字化建设优秀产品奖
奇安信连续三年位居“北京民营企业科技创新、社会责任百强双榜单“前列
成功案例
(1)奇安信打造的智慧矿山工业互联网安全纵深防御体系荣获 “5G+工业互联网”优秀案例
2020年11月21日,中国 5G+工业互联网大会成果发布会在武汉召开。会议期间,工业和信息化部新闻宣传中心发布了2020中国“5G+工业互联网”优秀案例评选结果,奇安信凭借为黄陵矿业打造的“智慧矿山工业互联网安全纵深防御体系”,获得此项殊荣。
黄陵矿业是陕西煤业化工集团所属大型现代化核心企业,现已成为煤、电、路、建筑建材、生态农业等产业多元互补、循环发展的大型现代能源化工企业。公司现有四对矿井,总产能1550万吨;总装机容量730MW的煤矸石电厂;年运输能力2000万吨、长50公里的铁路专用线;年产1亿块粉煤灰制砖厂和参股建设的100万吨粉煤灰水泥项目等。
随着工业互联网建设如火如荼地开展,黄陵矿业着手开展了数字化、智能化建设,工业生产网络也随之从封闭逐步走向开放,生产网、管理网、互联网越来越多地相互联通,网络的互通互联造成了生产网络规模越来越复杂,网络威胁和安全风险也在不断增加,发生网络安全事故造成的损失也越来越大。
“煤矿作为国家关键基础设施的重点领域,是社会生产和居民生活的物质基础。近年来,煤炭行业与工业互联网的融合及促进已势不可挡。”奇安信工业安全专家说,“与此同时,新形势下, APT、0DAY等高级威胁成为常态,传统外挂式的防护手段已经失效。这就需要基于内生安全框架,来保障工业信息系统安全。”
根据黄陵矿业工业控制系统现阶段的安全现状,基于内生安全框架,奇安信为黄陵矿业建立以“纵深防护”为核心的工业安全体系,通过工业安全主机防护系统(IEP)、工业防火墙(ISG)、工业网闸(ISS)、工业安全监测系统(ISD)、工业安全态势感知与管理平台(IMAS)等软、硬件组合方式,对黄陵矿业井工矿工业生产系统进行集中的工业安全监测、工业边界防护、工业主机加固、工业网络安全管理及态势感知等。
图 井工煤矿工控系统网络安全防护拓扑
- 针对边界防护,奇安信在黄陵矿业的生产网与办公网之间部署了工业网闸,实现企业网络和工业网络两个安全域之间访问控制、协议转换、内容过滤和信息交换。同时,奇安信在井工煤矿工控系统的不同区域的边界部署了工业防火墙,通过深度解析多种工控协议,运用“白名单+智能学习”技术建立煤矿工控网络安全通信模型,阻断一切非法访问,仅允许可信的流量在网络上传输,达到对重要控制系统的安全保护目的。
- 针对煤炭控制系统主机,奇安信为黄陵矿业部署了兼容工业应用软件的工业主机安全防护系统,利用白名单技术阻止控制系统遭到病毒木马和恶意攻击的威胁,确认无误后再接入控制网络。在客户端,黄陵矿业安全运营人员可通过工业主机防护控制中心,对工业主机终端进行集中策略配置、安全风险管控、终端版本推送、授权管理、以及终端单点维护和功能定制化。
另外值得注意的是,为了帮助客户更加全面的掌握安全全貌,奇安信还部署了工业安全监测系统,对工业环境的资产、异常行为、非法访问等通过进行集中监控和安全审计,实现区域内控制网络安全状况实时反馈,对外部入侵的行为进行告警,同时生成当前生产网络的行为日志和运行日志,便于安全事件的追溯和分析。与此同时,网络安全状态还可通过工业安全态势感知与管理平台进行“可视化”的呈现,全面提升了黄陵矿业工业安全防护的整体水平。
智慧矿山工业互联网安全纵深防御体系建设,能够有效监控黄陵煤矿集团工业系统的运行状态,实时监测和发现工业网络环境中的安全风险,提高安全防护能力,避免因工业网络安全攻击造成的损失,促进煤炭行业高质量发展。
2020中国“5G+工业互联网”优秀案例的评选工作,由相关行业协会、科研院所、咨询机构、代表企业、主流媒体等专家,综合多个维度完成,旨在把握工业制造转型升级需求,充分发挥标杆企业的示范带动作用,助力5G与工业互联网深度融合发展,推动产业界更广泛的合作交流。
(2)让全国医疗卫生机构广泛借鉴的“江干模式” 是怎么做网络安全的?
走路十几分钟,头疼脑热就能治好;小病不用去大医院排队挂号,免去舟车劳顿之苦。
近年来,基层医疗卫生改革深入开展,数字化水平大幅提升,给患者和医生都带来了极大便利。但随着医疗数据的开放共享,信息安全也面临新的挑战。
图片来源于网络
基层医疗机构数量众多,规模较小,地理位置分散,导致信息化和网络安全建设层次不齐,总体水平相对落后。不仅自身广泛存在着后门程序、僵尸网络、木马蠕虫、勒索病毒等安全问题,同时由于需要接入卫生专网,更给卫生专网和数据中心带来巨大安全隐患。
如何保障医疗数据信息安全,保护患者隐私,满足信息安全等级保护要求,确保医疗服务稳定开展?
如何将网络安全防御框架“下沉”到医疗卫生体系末端,让基层医疗机构也具备事前防控的“积极防御”体系?
面对这些问题,2020年1月开始,浙江省杭州市江干区卫生健康局携手国内领先的网络安全公司奇安信,以奇安信态势感知与安全运营平台(简称:NGSOC)为核心,建成全国首个覆盖社区卫生服务中心的网络安全运营样板,打造了让各地医疗卫生机构广泛借鉴的“江干模式”。
杀毒、重装、格式化 基层网络安全“三板斧”
“没有部署网络安全系统之前,社区卫生服务中心的电脑一遇到蓝屏死机、中毒卡慢,通常招数就是先杀毒,不行就重装系统,甚至格式化硬盘,然后数据恢复。”江干区卫生健康局信息中心负责人谈起几年前的基层信息化现状,依然是感慨万千。
江干区,隶属于浙江省杭州市,是杭州城市发展战略的轴心所在,也是杭州的交通枢纽中心,曾先后获评全国科技工作先进区、全国卫生先进城区、全国社区建设示范区、浙江省科技进步先进区等荣誉。江干区卫生健康局作为区医疗卫生健康管理职能部门,打造出了3个全国百强社区卫生服务中心,曾先后接待国务院医改办、国家卫健委基层卫生司、体改司、中国社区卫生协会、WHO扩大免疫规划组、国家卫健委免疫规划督查组等行业专家的多次考察与调研。
习近平总书记曾多次强调,“没有网络安全就没有国家安全,没有信息化就没有现代化。”在与民生紧密相关的卫生系统中,随着信息化建设的普及,医共体建设的有序开展,卫生系统常遭遇的各类勒索病毒、木马等高级攻击手段也蔓延到了卫生体系的末端,直接威胁基层医疗机构业务平稳运行和卫生专网的安全。
江干区卫生健康局信息中心的负责人对此深有体会。他总结了五个方面:
首先是各社区机构信息建设普遍规模小,网络安全关注度低,对卫生专网构成不可忽视的威胁。
其次是资源相对紧张,信息化先天建设方面存在缺陷,自身不具备建设网络安全监测的能力。
第三是一线医护人员比重高,网络安全意识薄弱,更易感染木马病毒。社区卫生服务中心的IT人员基本上只有一名,日常工作繁杂,身兼多职,无暇处理各种安全问题。
第四是地理位置较为分散,难以进行统一监管、安全赋能。江干区卫生健康局辖区内有8个街道社区卫生服务中心,以及卫生健康局机房数据中心、青山湖IDC机房数据中心,地理位置很远,安全管理难度很大。
最后是基层区域卫生专网数据中心亦需要相关专业的安全能力保障。由于数据中心承载了重要业务和敏感数据,一旦被攻击,导致业务停顿、数据泄密等,其损失不可估量。““在部署NGSOC之前,街道社区卫生服务中心的网络安全停留在安装杀毒软件这样的被动防御层面。基本是各自为战、事后补救,非常被动。”江干区卫生健康局信息安全负责人鲁主任表示,“对于卫生系统专网的监管者和运营者来说,由于缺少指导和开展相关网络安全工作的工具和数据,无法对网络安全做到高效运营和深度管控,很容易让专网的重要业务和敏感数据,暴露于攻击者面前。”
安全分析、服务等优势明显 奇安信NGSOC脱颖而出
江干区卫生健康局始终对网络安全高度重视,2018年,当基层区域卫生信息化建设完成之后,几乎同期,整个系统就全线部署了奇安信天擎等安全产品。2019年开始,为了强化安全分析、威胁发现和管理能力,构建积极防御体系,态势感知和安全运营的建设部署被列上日程。
“几家厂商竞争非常激烈,经过几轮筛选,奇安信走到了最后。”提起选择过程,鲁主任谈到,参与的几家厂商各有千秋,都有很强的实力。考虑到卫生健康局现状,主要考量参与厂商的两方面能力:首先是安全分析能力,其次是安全服务能力。
高性能无疑是安全分析能力的基础保障。当时,2家竞标厂商提供的是一体机的方案,1家提供了2台服务器的方案,而奇安信是唯一一家提供基于三台服务器高性能并发方案的厂商。
谈到这次项目实施,鲁主任回忆了当时的一个小插曲。
从2019年底招标确定下奇安信作为合作伙伴,到2020年初NGSOC等主要设备基本到位,和奇安信的合作非常顺利。即便中间受到春节和疫情因素影响,奇安信仍然在复产复工之后,第一时间进行上门部署。不过,当时却遇到过一次意外。
“三台服务器几次调试,同步总是不成功,延迟比较厉害。”奇安信项目工程师向卫生健康局信息中心反馈了部署中遇到的问题。
“所有业务都是正常的,应该不是网络的问题。”卫生健康局信息中心当时也感到很困惑,但第一反应并没有想到网络设备的因素。
三月初的杭州乍暖还寒,那几个晚上,奇安信工作人员经常干到深夜,一次次的调试,排查故障,寻找原因,甚至凌晨一两点才离开机房。
到3月10日,鲁主任感觉有些奇怪,于是带上网络技术人员,去现场反复排查网络设备,终于有了重大发现,找出了故障原因。
“原来,当时我们用的是某网络设备厂家型号较老的交换机,为了2台做堆叠,后来增加了两块万兆光板卡和两块电口板卡进行数据交换,当时从业务正常运行的层面,没发现异常。但在测试中发现,2块新的板卡,在数据同步的时候,未能达到千兆。所以当流量很大的时候就会出现延迟。” 鲁主任表示。
当晚,信息中心就对网络设备进行了系统升级,之前数据同步延迟的问题彻底得到了解决。“之前我们都以为是NGSOC安装调试的问题,没往网络设备上想。现在想起来,奇安信人的敬业态度和认真负责着实让人钦佩。”
不仅如此,奇安信的专业服务和快速响应能力也让鲁主任记忆深刻。“网络安全的核心是人,再强大的产品,再聪明的机器,都需要人来运营,人来使用。奇安信提供了日常巡检服务、应急响应服务、重要时期安全保障服务,尤其是每月都有专业的NGSOC分析报告,对月度告警情况、僵木蠕毒活动事件、安全处置建议等详尽分析。”
提前洞悉威胁 将安全风险化于无形
“我们为客户提供的不是单一产品,而是一套在防御、检测、响应、预测、持续监控分析周期内提供威胁发现和响应综合性一体化平台。”负责江干项目的奇安信浙江分区医疗销售总监蒋宝尧表示。
在威胁发现和感知方面,通过部署NGSOC,可提前洞悉各种安全威胁,同时联动本地防火墙、终端安全管控系统以及云端的威胁情报数据,能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源,并为后期安全加固提供有效依据。
对于客户最关心的性能和安全分析能力,
一方面,奇安信NGSOC具备千亿级数据处理能力,可以大大提升安全分析和响应的速度和效率;
另一方面,NGSOC基于国内首款分布式关联分析引擎Sabre,通过场景化检测规则、机器学习和关联分析进行多维度威胁研判,大幅降低了威胁检测的误报率和漏报率,其DGA域名检测准确率高达99.94%。
图 业务资产外联态势
图 外部威胁态势
图 内网威胁态势
在边界防护方面,通过部署防火墙对整个网络形成分区分域,一方面对内外网出口及重要边界进行安全防护,另一方面可以更好的进行访问控制。
在联动方面,该项目形成“云管端”联合解决方案,将终端安全管控、控制中心、新一代防火墙“病毒云查杀”、云端反馈和NGSOC等实现无缝联动,提升告警和阻断效率。
而在服务方面,奇安信推出了专业运营服务,将人、数据、工具和流程,四个维度进行了有机的结合,彻底帮助卫健委下属部分机构客户解决产品不能用、不会用的问题,让态势感知实现了真正落地。
网络威胁持续降低 解决缺钱缺人两大矛盾
对于该项目,奇安信负责人归纳了四方面的效果。
首先是威胁告警事件数量明显降低。
结合NGSOC提供的持续监测威胁告警信息,安服人员协助客户进行了积极处置,经过半年多的持续安全运营,目前已完成相关后门、病毒的排查和处置工作,江干区卫生专网威胁告警事件总体已呈现明显下降趋势。
- 其次是发现反复感染风险并及时处理。
通过NGSOC发现了部分卫生服务中心存在反复感染迹象,由安服人员进行了协助排查并及时处理,提高了区卫生健康局的网络安全监管处置能力。客户通过监测中心定期下发病毒、漏洞扫描任务,针对安全风险进行有效的事前排查,并与终端控制系统联动进行实时防护。
- 第三是解决了社区卫生网络安全的人财问题。
通过区卫生健康局统一规划、统一建设、统一运营,有效解决了社区卫生服务中心无资金投入、缺网络安全人员运营的问题,这种集约化的投入和管控方式,不仅极大节省了人力和财力,也有效减少了社区卫生终端对卫生专网造成的安全威胁。
- 最后是形成安全能力下沉的典型经验。
该项目针对医疗卫生体系大数据时代的安全需求,基于大数据思维下沉安全业务流程和企业体系架构,以数据为核心,形成医疗卫生体系末端安全能力下沉典型经验,打造出体系化、合规化、可视化、持续化、可复制的江干模式,现已吸引了省内多个市区县卫生健康局前来考察调研和学习。
杭州江干区卫生健康局的“江干模式”运行成功之后,在全国医疗卫生行业迅速获得广泛借鉴。
仅仅一年的时间,就有广西医疗保障局、内蒙古医疗保障局、河南省卫健委、吉林省卫生健康中心、天津市河西区卫健委、武汉市卫健委等数十家单位,纷纷借鉴江干模式,将安全管理前移到规划建设早期阶段,并将态势感知融入系统运行维护过程之中,实现常态化的威胁发现与响应处置工作,变被动防御为主动防御,构建起“关口前移,防患于未然”的网络安全管理体系,进而显著提升医疗卫生行业的信息安全保护和智慧治理水平。
(3)四个转变 看能源巨头国家电投的网络安全运营之路
“你只有探索,才能知道答案。”——法国作家儒勒·凡尔纳
“在网络安全运营这条道路上,国内几乎没有能借鉴的行业成熟先例,没有可参考的成功经验模式,只有通过自己的探索,才能找到适合集团自身的运营模式。”
国家电投集团信息技术有限公司网络安全部副总经理(国家电投集团网络信息安全实验室副主任)张萌多次提及“探索”这个词语,概括了这家清洁能源巨头在安全运营实践中的心路历程。
图片来源于网络
作为我国五大发电集团之一,国家电投集团(全称为国家电力投资集团有限公司),是中央直接管理的特大型国有重要骨干企业,肩负保障国家能源安全的重大责任,致力于建设具有全球竞争力的世界一流清洁能源企业。
2020年,国家电投在世界500强企业中位列316位,业务范围覆盖46个国家和地区,现有员工总数13万人,拥有62家二级单位,其中5家A股上市公司、1家香港红筹股公司和2家新三板挂牌交易公司。
在信息化和网络安全方面,国家电投一直按照价值导向、问题导向砥砺前行。早在2016年,当网络安全防护建设仍处于设备堆砌阶段之时,国家电投就已意识到运营的紧迫性和必要性,并率先开启了安全运营探索之路。
从产品堆叠到运营为先
2015到2016年,网络安全行业正在经历一场历史性的变革,以数据驱动为核心的安全理念,正式登上了历史舞台。适逢RSAC 2016提出“connect to protect(用连接去保护)”,以被动防御为核心、机械堆叠网络安全设备的方式逐渐走向了历史。
“在2016年以前,整个行业都普遍存在一个状况,虽然部署了很多网络安全设备,却无法回答集团领导的三个灵魂拷问:谁攻进来过?干过什么?什么东西被拿走了?即便是到现在,也有大量的机构不能回答这三个问题。” 回想当年的行业网络安全现状,张萌依然是记忆深刻。
“那些年,大家对网络安全建设都是以购买安全产品为主,没有安全运营的概念,大家基本上就是按照当时的等保合规等监管要求,安装防火墙、杀毒软件、入侵检测系统这些,再安排几个人,保证这些设备正常运转就可以了。”
然而在信息化建设和数字化转型不断深入,新型网络威胁尤其是APT攻击、勒索病毒等层出不穷的背景下,电力行业作为关键信息基础设施,其网络安全重要性日益凸显。越来越多企业意识到,即便堆砌再多的网络安全设备,也无法改变‘盲守’、被动挨打的情况,建立更积极主动的安全防护体系势在必行。
“和很多单位不同的是,从一开始,我们的理念就是以运营为核心,而不是仅仅按照合规的要求,部署相应的产品、平台或者工具。” 张萌表示。
在运营为先的思想指导下,2016年开始,国家电投逐步建立了覆盖全集团大部分单位的SIEM(安全信息和事件管理)平台,以大数据作为底层架构,采集全量系统日志,实现安全事件的监控和应急处理。
然而,安全团队很快发现,SIEM想要充分发挥自身的价值有着很大的局限性:作为彼时最炙手可热的安全产品和技术之一,SIEM需要依赖高质量的日志,从中找出潜在的非法行为。
很快一个难题就出现了,也就是日志采集。日志采集绝非“眉毛胡子一把抓”的过程,这其中涉及到日志的类型、内容、存储、检索、分析,以及跨部门的协调、管理等等诸多挑战,都需要安全团队一一解决。
“在当时的情况下,这些问题都很棘手。” 张萌表示,“不能否认SIEM是好产品,但缺乏有效的安全运营手段。就像一个厨师,应当按着自己心中的菜谱搭配食材,而不是对着杂乱无章的厨房,构思着虚无缥缈的满汉全席。”
从合规驱动到实战导向
到2019年,国家电投在思路上有了显著的变化。那一年,公安部提出了 “三化六防”新思想,以“实战化,体系化,常态化”为新理念,以“动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”为新举措,构建国家网络安全综合防控系统,深入推进等级保护和关键信息基础设施保护的积极实践。
在网络安全防护体系建设中,国家电投不仅单纯考虑政策监管和合规需求,更要将 “三化六防”理念贯穿进去,其中率先落地的就是实战化和常态化。
“基于实战化的思想和需求,我们第一步要解决威胁检测的问题。比如我们拥有什么资产?这些资产有哪些脆弱点?是否被攻击?具体是什么攻击?攻击是否成功?攻击的影响是什么?该采取什么应对措施?应对措施是否有效?未被攻击的如何预防?这其实就是国家电投现在所说的安全运营要完成的工作。”
张萌认为,区别于过去面向合规的安全运维,安全运营更强调网络安全与信息化的融合,通过运营过程,让网络安全人员与设备发挥出应有的效果,从而实现网络安全风险可控可接受的目标。
在这一年,国家电投部署了奇安信态势感知与安全运营平台(NGSOC),以NGSOC做为安全运营工作的核心威胁感知支撑工具,在实战化安全运营方面迈出了重要一步。
“实战化安全运营体系的建设不是一蹴而就的,我们上线NGSOC,首先要解决谁来攻击,用什么方式的问题,让安全威胁可见、可知、可控。否则就是两眼一抹黑,看不到敌人、被动挨打。”
NGSOC上线的效果也是立竿见影。安全运营团队借助奇安信NGSOC平台的技术支撑能力,同期构建无缝协同联动机制,国家电投在安全监测预警、威胁分析和主动防御方面的能力大幅提升。自上线来,月均采集和存储约89亿条安全日志,月均发现约75起威胁攻击,包括webshell上传、挖矿木马、勒索软件、远控木马等破坏性强、影响范围大的高威胁安全事件。
图 国家电投综合安全态势大屏
在资产梳理及漏洞修复方面,NGSOC上线至今,持续梳理总部资产及下级单位资产、网段信息,对多个系统进行漏洞检测、修复及复测,修复率高达91%。
而在2020年网络攻防实战演习中,运营团队通过NGSOC对威胁告警进行监测分析,发现并处置安全威胁事件65件,结合威胁情报信息共封禁攻击IP地址74667个,提交防守报告16份,圆满完成了防守任务。
从局部实践到规模化推广
当国家电投通过集团数据中心以及数家二级单位,完成探索成功的第一步之后,下一步的任务,就是按照集团公司统筹规划,将该模式推广到整个集团。
图 国家电投安全运营框架图
据介绍,目前安全运营中心主要覆盖了数家单位,包括集团数据中心、中国电力、成套公司、山东核电、姚孟电厂、横琴热电、重燃公司等等。按照集团规划,2021年,计划在集团范围全面扩展覆盖,堪称近百倍级的量级扩张。
“量变势必带来质变,随着未来集团安全运营中心的建立,将面临效果和效率的双重挑战。”张萌表示。
- 首先是效率方面的挑战。
目前,网络安全运营在集团数据中心已经稳定,每天产生2亿多条日志,告警归并之后,大约2000多条告警。这些告警主要依赖于专业人员来分析处理,效率比较低。
在规模化后,预估日均告警数量将有数十倍甚至百倍的提升,投入数十倍的员工当然是不现实的,因此必须提升安全运营的效率。例如整合NGSOC平台和主机安全系统,实现安全威胁告警自动化分析判断;再例如面对历史同类的告警,系统按照现有的SOP执行自动化的分析判断。
“在这个问题上,我们也在测试最近比较火热的SOAR产品。从技术理念上来说,我们将所有的安全产品划分为三个阶段使用,‘ 感知’阶段、‘ 分析与辅助决策’阶段、‘ 行动’阶段。SOAR能提供自动化安全编排和响应能力,我们将SOAR定位为‘ 分析与辅助决策’阶段和‘ 行动’阶段的‘ 执行管家’,希望能在规模化运营时期,大幅度提升我们安全运营的分析与行动效率。”
- 第二是来自效果的挑战。
随着规模越来越大,网络环境越来越复杂,威胁数量、攻击形式都会激烈增加,安全运营需要对威胁预警和脆弱性,实现更全面、更精准的发现和处理。
如何解决这些问题,国家电投已探索了很多经验。举例来说,在日常和实战攻防演习期间,国家电投优先修补有公开POC或者EXP的漏洞(即已验证可被利用的漏洞),而不是追求大而全、修补所有漏洞,这样能在投入(工作量)和安全风险之间寻求相对平衡,在尽量降低安全风险的同时,又符合安全运营的投入产出比原则。
同时,国家电投非常注重场景积累和经验复用。张萌表示,没有绝对的网络安全,将所有未知的威胁全部阻断是非常不现实的,因此我们的重点目标,是避免系统被相同的攻击手法打穿两次,不能在一个问题上反复栽跟头。所以遇到一类问题,一类场景,都将其沉淀下来,形成标准化的SOP积累,为将来全面走向系统化提供基础。
截至目前,国家电投安全运营团队总结出了12类大场景,若干个小场景,并将其运营工作固化下来,以便能够让新的安全运营人员快速上手复用,满足规模增长和人数增长的需求。同时为系统功能更新、SOAR自动化编排等做准备,实现自动化编排,显著提升效率。
从能力输出到价值共鸣
“沿着旧地图,找不到新大陆”。
探索的道路注定布满荆棘,在网络安全运营这条路上,有国内领先安全企业的持续参与,国家电投走的并不孤独。
张萌表示,“我们选择合作伙伴,不单考虑对方的产品和技术能力,更要考虑双方是否有共同的运营价值观和运营理念。”
展望“十四五”期间,张萌提到,国家电投将继续坚持高标准要求、高目标定位、高水准建设理念,在“十三五”基础上,构建一体化的安全管控体系、安全技防体系、安全运行体系,全面实现“由被动防护转向主动防御、由静态保护转向动态保障、由加固监测转向安全可控”的三个转变,打造“精细化安全管控、体系化主动防御、实战化安全运行”的总体效果,为集团公司建设具有全球竞争力的世界一流清洁能源企业,提供强有力的支撑保障。
(4)看全国用电量最大省份的电力公司 如何保障数据安全?
“电力数据是‘金矿’,要交换和流转才能创造更大价值,但这个过程面临的安全风险是最为复杂的。从外部的钓鱼攻击、勒索软件、蠕虫木马,到内部的非授权访问、U盘外拷、邮件外发等行为,都可能导致敏感数据的泄露,造成巨大损失。”国家电网山东省电力公司(简称:山东电力)互联网部副主任王勇这样谈到。
经济要发展,电力须先行。电网作为国家关键基础设施的重要组成部分,其安全性和可靠性需要进行重点保障。
近年来,随着电力企业数字化转型的深入推进,大、云、物、移、智、链等数字技术被广泛应用,电力企业的信息化水平进一步提高,电网安全和服务水平得到大幅提升,但新技术深化应用的同时也带来新的安全隐患,其中数据安全面临的挑战尤其严峻。
图 国网山东电力网络监测响应与指挥调度中心
国网山东电力服务的电力客户大约4915万,全省2020年用电量约6940亿千瓦时,位居全国第一。
为了应对新的安全形势,更好保障电网安全运行,从2018年开始,国网山东省电力公司构建了以“四梁八柱”为核心框架的网络安全防护体系。
尤其在数据安全防护方面采用零信任安全解决方案,构建了“没有授权进不去,未经许可拿不走、数据泄密赖不掉”的全过程数据安全防护体系。
电力数据是“金矿” 安全挑战迫在眉睫
农业社会,经济发展的决定因素是土地和劳动力;工业时代,资本、技术等成为核心生产要素;而在数字经济时代,数据成为推动经济增长的核心力量,被中央明确为“第五大生产要素”。
近年来,数据安全事件频发。公开数据显示,2020年全球数据泄漏的记录达到310亿条,超过了过去15年的总和。今年的数据泄露可能会更严重,就在3月份,国际外汇交易平台FBS超过160亿条用户信息遭到泄露,全球数百万客户受到影响。不久前,由于软件供应链被攻击,多个日本政府部门敏感数据泄露,包括参与东京奥运会网络安全演习的约90家组织安全管理人员的个人信息被泄露。
“电力大数据好比是一座‘金矿’,有人想从中‘淘金’,有人想往里‘灌沙子’,无论是开采利用,还是流转传输,都会引发各种安全事件。”王勇表示。对于山东电力的数据特点,王勇归纳了三个方面:
首先是规模大:电力企业存储的电网数据量巨大。以山东电力为例,电网运行每天产生的数据超过2TB,其中还不包含视频、图像等非结构化数据。
其次是种类多:电网数据既包含电网运行产生的实时数据,又包含企业经营产生的业务数据。既有结构化数据、非结构化数据又有采集量测类数据。
第三是价值高:电力数据准确而及时,通过电力数据可以为经济(比如电力看经济)、民生(比如住宅空置率分析、电力旅游发展指数、精准扶贫成效评估)、产业发展(比如小微企业复产分析)、征信(企业电力信用评级)等宏观分析提供有效数据支持。
“由于电力行业数据规模大、价值高等特征,很容易成为攻击者目标。电力企业信息安全尤其是电网数据安全防护日益成为企业、政府乃至整个社会关注的焦点。山东电力将网络安全与人身安全、电网安全、设备安全一起列为公司四大安全,进行重点保障。”王勇表示。
“四梁八柱”为整体框架 四步完成“零信任”建设
“数据安全防护工作需要做到知己知彼,电网数据面临的安全威胁主要来自内部和外部两个方面。”
王勇谈到,从外部来看,由于电力高价值的特性,导致电力公司面临的外部攻击居高不下,每天互联网出口监测到的外部攻击平均超过15000次;从内部来看,随着社会工程学等攻击逐年增加,数据泄密风险与日俱增。根据业内有关调查数据显示,在涉及用户个人隐私的泄密事件中,内部泄密比例高达2/3。
为了应对新的安全形势,更好保障电网安全运行,山东电力构建了以“四梁八柱”为核心框架的网络安全体系。
图 “四梁八柱”网络安全框架
四梁包括管理、技防、运营、队伍等四个方面;而八柱则包含数据、终端、系统、工控、研发、运行、作业、攻防八个细分场景的安全。
四梁为横,构建安全上层建筑;八柱为纵,筑牢网络安全之基。
其中,数据作为安全防护的重中之重,结合内外部数据安全威胁,山东电力提出了以保障数据安全为核心,采用零信任及纵深防御的安全理念,构建“没有授权进不去,未经许可拿不走、数据泄密赖不掉”的全过程数据安全防护体系的数据安全防护建设目标。
在项目实施方面,山东电力通过与奇安信集团合作,引入其零信任安全解决方案构建数据安全防护体系,主要针对数据中心的业务入口和数据接口进行汇聚、收敛,综合引用了软件定义边界、身份安全、API安全、终端安全等相关技术,形成一个整体的解决方案。
在项目建设中,山东电力与奇安信基于对电力系统及其网络安全态势的评估,将数据安全建设按照以下四个层次进行开展:
首先是实施数据分级分类,以数据分级分类结果作为数据安全防护的主要依据,明确防护重点。
山东电力通过制定《电网企业数据安全分类分级指南》对数据进行分级分类,按照数据的重要程度分为1-4四级,按照数据敏感性分为公共、企业、个人三类,以数据分级分类结果作为安全防护的依据。
第二是构建零信任数据安全访问平台,利用技术手段实现数据访问控制,强化数据访问过程管控。
其中包括利用可信应用代理,进行基于用户和终端风险的应用访问控制;利用可信API代理进行基于数据访问风险的接口访问控制,满足数据中台+微应用新形势下的动态可信访问控制要求。
图 零信任安全访问平台
第三是夯实数据访问的可信环境,将身份认证贯穿数据访问全程,实现访问数据的人员可信和设备可信。
在人员可信层面,实现基于动态令牌的多因子身份认证,减少账户冒用风险,保证数据访问过程人员可信。在设备可信方面,利用可信环境感知客户端构建终端安全状态评估能力,当用户终端出现风险事件(如感染木马、开启录屏等)时,零信任体系实时阻断此终端对敏感数据的访问。
最后是完善数据泄露事后应急机制,利用数字水印与日志分析,实现数据泄露追踪溯源。
通过部署数据防泄漏工具,阻止通过即时通讯、U盘、邮件、打印机等方式导出敏感信息的行为;即便是拍照外发,也可以通过暗水印技术找到泄露源头。与此同时,将访问控制日志、应用访问流量与终端DLP日志汇总关联分析,追踪数据泄密链路,确定泄密数据范围,溯源泄密人员。
让数据流转可查可控 内外兼防构筑安全防线
据国网山东省电力公司互联网部建设运行技术处网络安全专责陈剑飞介绍,零信任体系经过公司一年多的运行,取得了如下的效果。
- 在访问控制方面,通过用户访问持续评估,实现安全风险联防联控。
零信任的全面身份化原则,打破了传统基于网络边界、分区分域的防护理念,适应电网信息化当前发展实际,尤其是微应用场景下边界模糊的环境。
零信任数据安全防护体系基于用户身份、终端身份、应用身份和接口身份执行访问控制,让数据流转过程中每一个环节都可查可控,使数据流转更安全更可信。
- 在防内鬼方面,通过零信任体系对内形成强大震慑,有效防范内部人泄密。
根据威瑞森发布《2021年数据泄露调查报告》称,61%的数据泄露与凭证数据有关,85% 的违规行为与人为因素有关。
通过和奇安信合作的零信任数据安全防护体系实施,尤其是离线多因子身份认证和终端可信环境感知的知识普及,大大提高了山东电力全员安全意识。尤其是公司员工防泄密、防社工意识大大加强,起到了防患于未然的效果。
- 在协同联动方面,对外形成协同联动,共同打击犯罪。
当前网络攻击犯罪的情况愈演愈烈,山东电力形成了与网信办、公安厅协同联动的工作机制,在上合组织峰会等历次重大活动的网络安全保障工作中取得了较好成绩。
零信任作为一个架构级解决方案,工程实施是否会很复杂?是否需要业务做较多改造呢?
陈剑飞表示,得益于奇安信零信任解决方案良好的业务适配能力,在整个适配过程中,业务和现有身份认证基础设施几乎没有做任何改造就完成了对接,这大大增强了后续场景推广应用的信心。
数据安全的防护只有起点 没有终点
“网络安全的本质是人与人的对抗,数据安全的防护只有起点没有终点。”王勇谈到。
自从实施零信任体系以来,山东电力从边、端两个维度有效完成了敏感数据流转、存储和外发的识别和管控,未发生数据安全事件,有效保护了电网数据安全。
对于未来,王勇表示,山东电力将践行人民电业为人民的企业使命,保障电网安全可靠运行,确保数据安全。一方面,将通过人工智能技术加大对异常行为的智能分析,实现策略自动优化和风险提前预警;另一方面,将加大零信任体系与中台的全面融合,实现数据的内生安全防护。
(5)全国最繁忙机场是如何建设网络安全的?
“网络安全是第一道防线,也是最后一道防线。”
图 成都双流机场(来源于网络)
作为客流量全球Top3的民航机场,成都双流机场(简称双流机场)并没有将网络安全局限于防病毒防黑客、防数据泄密等层面,而是将保障业务平稳运行作为了安全建设的重要使命。
成都双流机场是中国中西部地区最大的国际机场,其客流量一直保持着高速增长。不久前,2020年全球民航机场客流量Top10名单出炉,双流国际机场以4071.2万人次跻身全球第三。航旅纵横大数据则显示,2021年春节期间,双流机场的国内旅客吞吐量排名第一,成为全国最繁忙的机场。
承载如此大的旅客吞吐量,并保持业务连续不中断,不出现重大安全事件,要归功于双流机场强大的信息化系统,以及匹配的网络安全保障。从2016年开始,双流机场就和国内网络安全龙头企业奇安信达成了合作,并在5年的历程中不断进阶,完成了从架构安全到被动防御,再到积极防御的跃迁。
IT环境越复杂 安全挑战越严峻
习近平总书记曾指出,安全是民航业的生命线,“要坚持安全底线,对安全隐患零容忍”。不过,作为最现代化的交通运输方式,民航经常成为网络攻击重要目标。
2018年9月,英国机场航空显示系统遭勒索软件干扰;2019年9月,泰国狮航数千万条旅客记录泄露,在地下论坛上曝光和交换;2020年5月,英国易捷航空遭遇网络攻击造成900万客户数据泄露……
近年来全球范围针对民航系统的网络攻击屡见不鲜,频频造成巨大损失。
“民航行业的IT环境非常复杂,业务系统繁多,资产类型冗杂,各个单位之间,如机场与航司、机场与空管等横向连接千丝万缕,做好安全防护的难度很高。如果只是从单一的维度去做防护或者检测,很难面面俱到,无法全面解决网络安全各种问题;而网络安全的木桶效应又很明显,如果一个点没有做好,就可能被全面攻破。”双流机场网络安全项目负责人归纳了三点挑战。
首先是复杂网络带来的挑战。双流机场目前共有信息网、安防网、综合业务网等8大生产专网,以及办公区网络、贵宾专网等,各类PC终端和物理服务器数千台,这给安全运维和安全风险分析等工作带来很大挑战。
其次是部门繁杂、终端多样带来的病毒入侵挑战。双流机场部门众多,终端类型复杂,过去防病毒措施和U盘管控机制不严格,终端中了病毒很难定位问题源头,只能治标不治本,导致总是反复感染病毒。
最后是对安全事件缺乏溯源分析的手段。在几年前,双流机场在接收到监管单位的安全事件通报时,尤其是出口IP有连接恶意域名的访问请求时,往往没有手段可以分析定位问题终端;以前在发生了安全事件时,也无法进行分析溯源,不知道为什么被攻击,这也导致防御非常被动。
先后部署网站和终端防护 安全从加固底板开始
面对繁杂如麻的安全挑战,双流机场没有“眉毛胡子一把抓”、追求一步到位,而是遵循分布实施、循序渐进的原则。
2015年,美国系统网络安全协会(SANS)首次提出了网络安全滑动标尺模型(The Sliding Scale of Cyber Security),它将企业在应对外部攻击时分为五个信息安全能力阶段,分别是基础架构、被动防御、积极防御、威胁情报以及进攻反制。该模型给双流机场提供了清晰的建设路径。
图 网络安全滑动标尺模型
根据滑动标尺模型,安全建设从滑动标尺模型从左到右,是一种明确的演进关系,而最早双流机场和奇安信的合作,就始于一次官网安全防护项目。
2016年9月,双流机场的官方网站,突然遭到了异常攻击。客户首先意识到,需要借助专业的安全厂商,增强网站安全能力。这也是双流机场第一次接触奇安信。
图 双流机场信息系统安全建设总体设计
基于双方在安全方面有众多共同的理解和认知,通过交流、招投标等一系列的项目环节,最后由奇安信提供网站安全防护方案。在该项目中,双流机场部署了奇安信网站云监测、云防护系统(安域)、网页防篡改等产品,持续使用到现在。
在使用过程中,双流机场对奇安信的产品性能、技术能力和专业服务等有了更深刻的了解,不久后双方又达成终端防病毒的合作。在该项目中,通过部署天擎终端一体化安全管理系统,奇安信为双流机场构建了集中统一的防病毒体系,实现了新型病毒查杀能力。
同时还集成补丁管理、终端运维管控、移动存储介质管理、终端准入控制、企业软件管家等多种终端安全管理功能,进而提供良好的终端安全运维管理能力,改变了相互割裂、各自为阵的局面。
从网站安全到终端防病毒等项目建设,双流机场在基础架构防护和被动防御方面的安全能力已显著增强。但随着2017年6月1日《网络安全法》的正式实施,双流机场开启了强化态势感知能力、实现积极防御的网络安全升级。
践行态势感知与安全运营 强化积极防御能力
据相关负责人回忆,根据《网络安全法》要求,系统日志至少要保存6个月以上,这个给双流机场当时的IT部署带来了一定的挑战。
当时,双流机场网络安全团队比较了日志服务器及 “态势感知与安全运营平台”等几种方案,最终发现,后者无论从综合建设成本、合规性、日志审计存储、溯源分析等方面,都显著优于日志服务器方案。
因此,双流机场选择了多家主流安全厂商来调研和比较,其中只有奇安信提供了基于全流量的数据存储和事后人工分析,可基于流量进行人工溯源。同时奇安信的威胁情报能力在业内首屈一指,能为态势感知提供很好的支撑,加上产品强大的多源数据关联分析能力,最终双流机场确定了奇安信提供的“态势感知与安全运营平台”(NGSOC)解决方案。
图 态势感知与安全运营平台(NGSOC)组成
相较于传统被动防御等安全产品,NGSOC可以全面收集网络中的所有设备日志,进行统一的存储、分析、可视化展示,从而为制定安全策略、问题排查、了解全网安全状态提供支撑。
它不仅可替代传统的日志审计类和入侵检测产品,还能解决传统的日志审计类产品性能不足、采集能力有限的问题,并避免传统IDS产品大量误报的问题。
图 双流机场内网威胁态势
在使用过程中,双流机场对NGSOC在资产管理(CMDB)方面的卓越表现印象深刻。据介绍,与很多基于产品视角所不同的是,NGSOC可以更基于运营者的视角,通过结合资产价值、脆弱性信息、威胁信息,对全网资产进行风险评估,量化风险指标,帮助用户更好了解和掌控安全风险,为用户提供有力的决策支撑。
得益于NGSOC的稳定表现,双流机场进行了数次升级和扩容,大幅提升检测和响应能力,为打造积极防御、构建完善的安全运营闭环奠定了坚实基础。
安全建设“三同步” 将“事后补救”转为“事前防控”
从部署网站安全防护,到终端一体化安全管理,再到民航行业践行网络安全态势感知与安全运营方案的引领者,双流机场在信息化和网络安全建设中,越来越深刻意识到,网络安全正在前所未有的紧密嵌入到业务流程之中,安全风险等同于业务风险,安全建设也亟待从“事后补救”思维转向“事前防控”的过程。
2020年,奇安信向业界发布了内生安全框架,董事长齐向东表示,“在未来的数字经济时代,网络攻击带来的后果往往不可承受,整个行业需用内生安全框架,建立完善的、‘事前防控’的网络安全协同联动防御体系,推动网络安全产业更上一层楼。”
“安全公司需要具备更强的顶层设计和咨询规划能力,能够立足甲方视角、信息化视角,将网络安全和数字化做到‘三同步’:同步规划、同步建设、同步运行,才能给业务稳定运行提供保障。” 双流机场网络安全相关负责人也持类似观点。
“民航安全无小事”,网络攻防是一场永无终场的战争。作为国内客流量最繁忙、信息化水平极高、业务环境非常复杂的双流机场,其网络安全建设方面的进阶和探索,对同行无疑具备很好的借鉴意义。
明星产品解决方案
1)网络空间安全态势感知与协调指挥系统
网络空间安全态势感知与协调指挥平台定位于赋能监管安全新抓手,对标全球领先新态势。平台通过“能力三要素,四中心一平台”构建网络空间安全治理体系,从顶层架构设计出发,技术与管理双驱动,提供综合性网络安全态势感知与协调指挥平台。为监管部门打造网络安全的宏观、中观、微观一体化的综合治理体系,实现战略决策、战役指挥和战技方法能力。
(1)产品功能
宏观-战略决策——洞悉区域网络安全治理过去、现在、未来,从全局视角进行一条线和一面体现的网络安全管理,实践策略性经营,体现管理智慧。
中观-战役指挥——以关键信息基础设施为管理核心,面向互联网基础设施演进弹性扩展监管范围,技术与管理充分配合,打造平时与战时场景化的指挥管理中心。
微观-战技治理——使用因果链的安全分析方法,针对具体对象按照业务导向,实践结果事故整改、内因漏洞修补、外因威胁预警的处置闭环。
资源治理——摸清家底,管理资产、多源融合异构数据、信息、与知识。协同共享,科学管理
持续监测——动态与静态配合监测,主动与被动互为补充,实时、短周期、长周期发现。
闭环管理——日常通报预警,重大活动安保,重大事件应急,统一资源调度与通讯联动。
决策指挥——历史态势分析,当下态势洞察,未来态势预测,安全内因、外因、结果聚类统计与趋势分析。
(2)产品优势
监管合规——全面满足国家监管部门对态势感知的标准要求,构建网络安全监管新抓手;
三级一体——打造网络安全的宏观、中观、微观一体化的综合治理体系,打通协同联动与应急指挥重要环节;
理念领先——采用技术与管理双驱动先进理念,为监管部门提供综合性网络安全态势感知与协调指挥能力;
云地结合——拥有云地结合的安全大数据能力,数据量业界第一;
多维分析——多维场景化分析、情报信息、线索分析、智能建模等;
情报支撑——丰富的威胁情报能力,提供精准的本地化威胁情报;
乐高组件——可视化组件自定义编排,提供丰富的组件元素;
应急指挥——全面满足重大安保活动与突发事件的应急指挥要求;
丰富案例——大量监管行业态势感知实战成功经验;
灵活服务——架构解耦灵活,客户导向服务。
2)态势感知与安全运营平台(NGSOC)
奇安信网神态势感知与安全运营平台(简称NGSOC)以大数据平台为基础,通过收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报等技术,帮助政企客户持续监测网络安全态势,实现从“被动防御 ”向 “主动防御” 的进阶,为安全管理者提供风险评估和应急响应的决策支撑,为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具,已经在1000+大型政企单位落地实践。
(1)用户价值
安全数据集中存储——实现海量多源安全数据的集中采集和存储,能够对安全数据进行查询、统计、关联分析,满足合规要求的同时,最大化利用安全数据的价值。
精准检测高级威胁——通过威胁情报、机器学习、关联分析和基线分析等多个维度进行威胁的检测,提升威胁检测准确度,快速定位真正的威胁。
提升分析研判效率——通过场景分析、实体分析、事件调查等威胁分析工具,结合安全运营工作实际场景,帮助提升安全事件研判和溯源的效率,及时进行响应处置。
持续监测资产风险——帮助建立资产风险评估能力,实现资产安全风险综合评估,反映资产安全状态,以量化的方式体现资产安全风险和安全工作成果。
(2)产品功能
数据采集与存储——支持国内外数十家厂商的上百种常见设备的自动解析、过滤、富化、内容转译、归一化,支持通过Syslog、DB、SNMP、Netflow、API接口、镜像流量、文件等多种采集方式。
流量检测——通过全流量检测技术,可还原数十种网络协议,对失陷主机、网络入侵、网络病毒、异常流量、DDoS攻击等进行精准检测。
威胁情报——基于奇安信在威胁情报领域独有的数据优势和技术优势,将云端大量的情报经过专业团队层层筛选后,将最有价值的失陷情报源源不断的推送至NGSOC,并将其应用于关联分析、日志匹配等场景。
关联分析——平台搭载分布式流式关联分析引擎SABRE,提供多源数据关联分析、灵活的威胁建模、丰富的上下文信息展示能力,帮助提升威胁检测精准度。
场景分析——针对于企业客户经常遇到的一些安全场景,平台进行了重点抽象,形成预置的分析场景,辅助安全运营人员进行综合判断,提升响应处置效率。
攻击回溯——奇安信在业界率先提出了冷热数据的概念,对于最近时间发生的高频查询数据通过热数据模式存储,整体的数据搜索方面会支持百亿级的数据秒级检索。
威胁预警——当出现重大网络安全事件时,通过下发威胁预警包,帮助用户第一时间掌握是否遭受到攻击,失陷的设备包括哪些,业务是否受到影响,网络攻击走向,如何应急处置。
资产管理——通过结合资产价值、脆弱性信息、威胁信息,对全网资产进行风险评估,量化风险指标,帮助用户更好的了解和掌控安全风险,为安全决策提供有力支撑。
持续监测——通过从宏观到微观的分析思路,基于平台强大的数据查询和关联分析能力,结合丰富的BI组件,将威胁以安全人员的视角呈现在安全仪表板之上。
态势感知——NGSOC预置11个展示网络安全态势感知的大屏视图:全网脆弱性态势、资产态势、威胁预警态势、攻击者态势、综合安全态势、安全运营态势、外部威胁态势、内网威胁态势、资产风险态势视、业务资产外连态势、攻防演练态势,分别从不同的安全运营角度对网络安全态势进行呈现。
(3)产品优势
先进的大数据架构——NGSOC是建立大数据技术架构之上,成功解决了海量数据采集、存储和计算的难题。分析平台的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。
强大的威胁检测能力——NGSOC搭载分布式关联分析引擎SABRE,预置500+关联分析规则, 100+语义支撑。基于机器学习的DGA检测技术,检测准确率达99.94%。平台通过全流量检测技术,可还原数十种网络协议,对失陷主机,网络入侵,网络病毒,异常流量、DDoS攻击等进行精准检测。
完善的安全运营闭环——NGSOC在强有力的基础大数据架构的支撑和分布式流式引擎强劲检测能力的辅助下,建立起了完善的威胁处置与响应流程的支撑体系。用户可通过平台对安全数据的全生命周期管理,形成覆盖威胁发现、威胁分析、响应处置和持续监测的安全运营闭环能力。
专业的安全运营服务——奇安信集团具有专职产品运营服务团队,可提供原厂驻场安全运营、远程托管运营、运营方案咨询及运营技术培训服务,帮助客户提升安全运营效率,体现安全运营价值,解决无人运营的实际困难。
3)威胁监测与分析系统(天眼)
奇安信网神威胁监测与分析系统(天眼)是以攻防渗透和数据分析为核心竞争力,聚焦威胁检测和响应,为客户提供安全服务与产品解决方案。天眼基于网络流量和终端EDR日志,运用威胁情报、规则引擎、文件虚拟执行、机器学习等技术,精准发现网络中针对主机与服务器的已知高级网络攻击和未知的新型网络攻击的入侵行为,利用本地大数据平台对流量日志和终端日志进行存储和查询,结合威胁情报和攻击链分析对事件进行分析、研判和回溯,同时结合边界NDR、终端EDR以及自动化编排处置可以及时的阻断威胁。
(1)用户价值
高级威胁的精准检测——与传统的安全检测方案相比,天眼系统可以快速并精准发现网络威胁攻击,准确率高,误报率低。
重大安全事件的快速响应——基于威胁情报的上下文,天眼系统可以帮助安全运营人员发现、研判和处置重大安全事件如:永恒之蓝、APT事件、NotPetya、BlueKeep、Sodinokibi。
网络攻击的回溯和分析——天眼系统还原和存储网络流量的元数据,可以帮助用户回溯已经发生网络攻击行为,分析攻击路径、受感染面和信息泄露状况。
满足新等保的合规要求——天眼系统满足了新等保2.0对网络攻击检测和分析要求。
(2)产品功能
高级威胁检测——适用威胁情报、文件虚拟执行、智能规则引擎、机器学习等技术,天眼系统可以检测和发现高级网络攻击和新型网络攻击,涵盖:APT攻击、勒索软件、WEB攻击、远控木马、僵尸网络、窃密木马、间谍软件、网络蠕虫、邮件钓鱼等高级攻击,并基于可视化技术,清晰的展示网络中的威胁。
异常行为检测——基于网络流量数据,天眼系统运用大数据分析和机器学习技术建立网络异常行为检测模型,内置非常规服务分析、登录行为分析、邮件行为分析、数据行为分析等数种场景,实现对新型攻击和内部违规的检测和发现。
告警响应处置——天眼系统为企业用户提供攻击告警的列表、统计、查询、调查等功能,且提供基于ATT&CK标签分析告 警的能力,并支持终端EDR联动、防火墙NDR联动与自动化编排处置,帮助安全运营人员快速研判和处置告警事件。
攻击回溯分析——天眼系统支持全包取证分析,并提供线索可视化图谱拓线分析能力(威胁狩猎)能为企业用户呈现一次攻击的完成过程,帮助用户对网络攻击进行回溯和深度分析。
(3)产品优势
领先APT检测和追踪——奇安信具有专业安全专家团队分析和追踪APT攻击,奇安信威胁情报中心监测到的针对中国境内政府机构、科研教育、大型企业等组织单位发动APT攻击的境内外黑客组织累计达47个,最早可追溯到2007年。
国内领先的威胁情报能力——基于多维度、覆盖全球的数据收集能力,利用云端大数据技术自动化处理配合顶尖安全研究团队的人工运营,为用户提供精准的威胁情报。基于上下文关联的情报,帮助用户对告警进行快速分析、研判和处置。
强大的协同联动能力——通过终端EDR联动、防火墙NDR联动与自动化编排处置,帮助用户快速定位感染主机和恶意软件,并及时的阻断威胁,提升网络攻击的响应和处置能力。
海量数据的运算和检索——天眼创新的采用搜索引擎技术作为本地数据存储和检索核心技术,这样可极大提高检索性能,为企业提供TB级的数据快速搜索能力,可为企业本地的大规模数据保存、攻击证据留存和查询、实时关联分析提供坚实的技术保障。
丰富的行业案例——天眼系统帮助公检法、金融、政府部委、运营商、石油石化、电力、教育、医疗等各行业客户发现和处置超过百起APT攻击事件,为十九大、全国两会、一带一路峰会等国家级网络安全保卫活动以及攻防演习期间提供重要支撑。
4)终端安全管理系统(天擎)
奇安信天擎终端安全管理系统(简称“天擎”)是注重实效的一体化终端安全解决方案,通过“体系化防御、数字化运营”方法,帮助政企客户准确识别、保护和监管终端,并确保这些终端在任何时候都能可信、安全、合规地访问数据和业务。天擎基于奇安信全新的“川陀”终端安全平台构建,集成高性能病毒查杀、漏洞防护、主动防御引擎,深度融合威胁情报、大数据分析和安全可视化等创新技术,通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能,帮助政企客户构建持续有效的终端安全能力。
(1)用户价值
能力一体,简化管理——采用一体化设计思路,即平台一体化、功能一体化、管理一体化,大幅降低终端安全体系建设、运行、扩展的复杂性。
防御闭环,风险可控——对安全威胁进行闭环防御,即预防、防护、检测、响应,有效防御各种已知、未知安全威胁,大幅降低安全风险。
管控到位,合法合规——对资产、用户、行为、数据等进行全生命周期的精细化管控,确保终端符合内外部的相关要求,真正做到合法合规。
效果清晰,按需提升——提供数字化运营方法、可视化运营工具,实时呈现终端安全效果,针对性分析当前不足,便于按需提升终端安全系数。
(2)产品功能
系统合规与加固——对操作系统的安全配置、漏洞补丁、软件安装合规性等方面进行检查和修复,通过契合的安全基线核查、有效的漏洞补丁管理、统一的软件管理,及时进行系统加固,达到收缩暴露面、“强身健体”的目的。
威胁检测与响应——集成多个防护引擎,再结合奇安信强大的攻防研究能力及丰富的规则库储备及生产能力,实现对可疑行为、已知病毒、未知病毒和各类攻击的实时拦截、高效检测、准确定位、完整溯源,并有效防御针对停服系统的漏洞利用攻击,确保终端始终安全。
终端管控与审计——通过对终端的管控、运维、审计,构建完善的主机管控与行为审计体系,实现对终端的外接设备、移动存储设备、系统行为、网络行为、应用进程等多层次的管控与审计。
终端数据防泄漏——根据预先定义的策略,实时扫描存储和传输中的数据,评估数据是否违反预先定义的策略,并根据预设自动采取诸如警告、隔离甚至阻断等保护动作;根据企业的管理要求对文件的打印、屏幕及截屏添加水印,对关键信息的外泄形成有效震慑,集成资产管理、文件追踪、通道管控等功能,通过资产管控和安全水印等安全措施,实现终端数据防泄漏及泄露追踪。
管理与安全运营——通过管理中心实现全网终端的统一管理及策略、任务的统一下发,同时可利用其配套的安全管理平台实现基于量化指标的数字化安全运营。
(3)产品优势
多擎查杀,准确高效——依托奇安信深厚的攻防技术及安全大数据积累,自主研发的奇安信云安全引擎(QCE)、猫头鹰(QOWL)、海狮人工智能(QDE)及天狗(QTVP)等多个防病毒及主动防御引擎,天擎具备强大且高效的病毒查杀及攻击防御能力,多次高分通过国际权威安全能力测评。特别是采用天狗第三代漏洞攻击防护引擎,基于内存指令序列检测实现对0Day漏洞、后门攻击的防护,真正解决了针对停服系统的漏洞攻击问题。
功能一体,集中控制——以奇安信全新的“川陀”终端集中管理平台为技术底座,基于“一体化”理念设计,天擎只需要“一个客户端程序 + 一套管理平台”,即可实现补丁管理、病毒查杀、终端管控、检测与响应、数据防泄漏等各种终端安全能力,是一个功能全面、扩展灵活、兼容性好、资源占用低、运维管理简便的一体化终端安全解决方案。
多维嵌套,精细管控——得益于多年服务大型政企客户的经验,天擎充分理解大规模部署及复杂应用场景下的管理需要,提供策略模板、场景策略、用户策略、分组策略及灵活的用户权限管理等多项功能,让客户能够通过精细化、细粒度的终端管控设置,真正解决特定终端、特定用户、特定场景下的多维管控难题。
端网协同,联防协控——天擎可以与奇安信旗下的天眼新一代威胁感知系统、零信任安全系统、智慧防火墙(NGFW)、互联网控制网关(ICG)等产品实现深度的终端数据共享,为边界安全产品提供多维的访问控制决策支撑;还能接收并执行由天眼新一代威胁感知系统、安全运营中心下发的威胁处置指令,大幅提升攻击事件的响应效率。
指标驱动,实战运行——天擎配有终端安全运营平台(ESOP),将安装率、实名率、正常率、合规率等数字化指标与可视化分析技术相结合,为政企客户提供安全运营效果追踪及决策支撑,并通过持续的漏洞、病毒情报运营,帮助客户更好地对日常终端安全事件进行处置。
分类纳管,各成体系——不同操作系统、采用不同硬件架构的办公终端、业务终端、用户终端、移动终端、泛终端早已出现在IT系统中,它们同样需要被保护。对不同的终端进行分类纳管,资产有效登记管理。
基线检查 安全接入——基线核查功能通过参考相关的国家标准、行业标准,建立检查模板,对网内终端的基线配置进行检查和量化评估。天擎的基线核查功能内置了安全等级保护二级和三级检查模板,还可以根据业务需求自定义检查模板,灵活控制检查标准。
威胁追踪 有效防御——天擎对终端的安全威胁具有强大的防御、检测和响应能力,集成了奇安信自研的多个防护引擎及部分第三方扩展引擎,并基于奇安信强大的攻防研究能力及丰富的规则库储备及生产能力,面向政企终端实现精准防护、高效检测和联动响应,为终端的安全运行提供有力保障。
5)云安全管理平台
奇安信网神云安全管理平台,具有云化场景的全类别纵深防御安全能力⸺稳定且高可用。灵活的紧耦合和松耦合部署模式,优化客户资源配置,基于等保而高于等保要求,为云上云下业务提供丰富、可编排、可运营的安全资源池。
(1)用户价值
快速满足云安全等保合规需求——从东西向、南北向、主机层、应用层等全方位进行新等保技术对标,形成全面安全防护能力,保障安全合规。
快速构建租户的纵深防御能力——相对于传统的纵深防御能力交付方式,云安全管理平台基于多租户架构,提供可运营的安全服务平台,使得云上租户能够快速构建自身的纵深防御系统。
助力云安全运营业务增值共赢——以平台方式,定义了租户和云运营方的权责共担模型. 业务流程管理实现自服务、订单审批、计量计费等功能,将安全资源服务化,为云服务方提供业务增值。
(2)产品功能
自助服务——租户可通过云安全平台提供的管理门户提交安全设备申请,经管理员审批订单后,用户申请的资源即会出现用户资源列表内,实现从用户资源申请、审批到分配部署流程化。
服务编排——通过图形化的方式,对安全组件进行拖拽,实现服务链的自动化编排。
安全策略配置——集中部署集成、统一、完整的安全防护策略配置功能,可通过直观的用户视图,查看和配置防火墙、VPN等各安全组件的安全策略。
云平台适配——适用于多种云平台、非云平台、混合云中的安全防护。针对不同场景,支持灵活的用户管理和资产管理,实现从云业务到安全的无缝过渡。
大屏仪表展示——全面采集各类云安全数据,综合运用可视化技术手段,形成了包括攻击地图、威胁类型及来源、安全组件防护效果、攻击行为趋势、云中站点受威胁等全面的安全态势呈现。
(3)产品优势
安全产品服务化——提供丰富的云安全资源(如主机安全、智慧防火墙、web应用防火墙、数据库审计、堡垒机、综合漏扫、日志审计、东西向流量全流量分析、服务器加固等),保障云上租户/业务的安全性,同时通过策略组合满足云计算等级保护扩展要求的合规性。
安全能力一体化——提供丰富的控制层功能,如概览可视化、云安全态势感知、安全组件管理、日志统一管理、用户管理、系统管理等云上安全运维管理功能,提供云安全运营方丰富的管理手段,提高整个云安全资源平台的易用性和可管理性。
安全运营自动化——提供丰富的运营管理功能,如云安全市场、订单管理、计量计费等运营增值功能,租户可申请云上安全资源,在线选规格并下订单,为云运营方提供可运营增值的服务平台。
灵活的部署模式——云安全资源池可以通过部署独立资源池无缝接入到用户的网络中,独立资源池不仅支持安全组件的串行引流和还可以支持旁路检测类的安全组件引流。在非独立资源池场景下,也可以将安全组件部署在用户云平台VPC内,在最贴近业务的位置提供防护能力。
6)新一代智慧防火墙
奇安信网神新一代智慧防火墙是一款能够全面应对传统网络攻击和高级威胁的创新型防火墙产品,可广泛运用于政府机构、各类企业和组织的业务网络边界,实现网络安全域隔离、精细化访问控制、高效的威胁防护和高级威胁检测等功能。该产品在下一代防火墙基础上超越性的集成了威胁情报、大数据分析和安全可视化等创新安全技术,并通过与网络威胁感知中心、安全管理分析中心、终端安全管理系统等的智能协同,为用户在网络边界构建数据驱动的新一代威胁防御平台。
(1)用户价值
智慧防御一一全面防护网络攻击
通过威胁情报、安全大数据和协同联动等新技术的运用,极大消除传统防御盲区,有效防御并预防病毒、漏洞利用、恶意软件、僵尸网络等主流威胁由网络边界侵入,进而实现全面、高效的业务网络防护。
智慧感知——及时洞察潜在威胁
基于精准的高级威胁发现能力和配套的可视化工具、平台运用,显著增强网络的全局可见性和网络威胁的感知能力, 通过实时洞察威胁态势、防御漏洞和失陷资产,及时发现网内潜伏的异常风险及高级威胁。
智慧管理一一提升响应处置效率
基于智能化的人机协同设计及配套的管理分析平台,持续助推用户的安全运营落地,大幅降低规模化部署用户的运维管理成本,避免误配置风险,并显著提升快速响应和处置的能力。
(2)产品功能
基础防火墙功能——支持多种形式灵活部署,具备负载均衡、VPN、虚拟系统、高可用性等功能,并可防护扫描、泛洪、异常数据包等传统网络攻击。
精细化应用控制——可精确识别3000余种网络应用及用户、终端、地理位置、传输内容等信息,并可实现应用、用户、内容多维一体的精细化管控。
高性能威胁防护——深度集成一体化威胁防护引擎,可对500余万流行病毒、5000余种漏洞利用攻击和1000余种间谍软件行为等提供高性能防护。
智能化协同防御——支持与云端、终端安全系统智能协同,实现病毒云查杀、威胁情报实时处置、应急响应策略推送、高风险终端管控等高级安全功能。
失陷检测及处置——可对网络流量产生的行为数据执行威胁情报检测和深度分析,实时预警本地的失陷主机,并对受害l P、威胁源执行一键处置。
可视化关联分析——能够将应用、用户、内容、威胁、地理位置等多维信息以图形化关联呈现,并通过递进式的数据钻取实现高效的安全分析。
(3)产品优势
数据驱动安全创新——充分运用奇安信集团储备丰厚的安全大数据和互联网威胁情报,并与云端、终端安全系统展开智能协同,以数据驱动、协同联动打破传统静态、被动、孤立的防护模式局限性,使安全有效性和防御实时性实现了跨越式提升。
系统架构高效可靠——采用卓越的第四代SecOS操作系统,基于单引擎异步并行处理、管理和数据平面分离及诸多数据处理机制优化,设备可在大流量、复杂场景、多安全功能开启情况下始终保持高性能,并确保在极端条件下依然稳定可靠。
全景式平台化管理——提供丰富的平台化安全管理工具,针对规模化部署场景,通过 “安全管理分析中心(SMAC) ” 、“网络威胁感知中心”等配套平台,可对多达上千台设备实现集中状态监控、统一管理运维、全网分析预警和全局处置响应。
- 智慧城市网络信息安全解决方案
智慧城市是运用新一代信息技术破解城市发展问题,包括管理、民生、经济、政治等等多个方面,强调系统、智慧地有效解决城市化过程中的“惠民、兴业、善政”问题,奇安信可提供在智慧城市网络信息安全框架下的全系安全产品与服务。
(1)行业背景
智慧城市是运用新一代信息技术破解城市发展问题,包括管理、民生、经济、政治等等多个方面,强调系统、智慧地有效解决城市化过程中的“惠民、兴业、善政”问题,其重点在于发现问题、分析问题、解决问题。智慧城市利用先进的IT技术同时综合城市发展的法律、文化等智慧集成,形成知识积累和智慧判断、发明创造的循环递归发展,智慧城市是一个复杂的生态系统,是城市化发展的必然阶段,智慧城市的发展没有终点。
由于在空间、实时性、主题性等维度缺乏足够精确的数据,以及数据分析技术的相对落后,所以早期捕捉城市形态和功能及其相互关系的研究受到了局限。随着以“大(数据)”、“智(能装备)”、“移动互联网”、“云(计算)”为代表的第三代信息技术在城市中的广泛布局与应用,技术进步使“智慧城市”的高速发展成为可能。作为一个完整的生态系统,传感器相当于神经末梢,用以感知城市各部分的细节反应;互联网相当于神经网络,用以进行信息的传输与交换;云计算相当于神经中枢系统,用以分析、指挥城市各部分的精确操作;大数据相当于血液与养料,用以支撑整个生态系统的正常运行;而参与者(智慧城市用户、管理者、决策者)相当于一个个的细胞,作为真实存在的实体用以组成整个“智慧城市”生态系统,并完成整个系统的正常运行与新陈代谢。因此新一代信息技术是智慧城市发展的重要手段和支撑。而作为一个完整的生态系统,还需要以公平正义的法律作为智慧城市发展的保障;进而上升到健康、积极的文化作为智慧城市可持续发展的根基。
为达成“全面物联、充分整合、激励创新、协同运作”的终极目标,各地根据自身的条件所推动的智慧城市建设路线图也必然各不相同,随之而来的安全建设需求也必须因地制宜,但作为一个框架性的解决方案,我们面向各地需求都可以遵从如下逻辑进行需求梳理并得出最佳的“智慧城市”安全解决之道。
(2)解决方案
顶层设计对智慧城市网络信息安全建设的成效至关重要。目前全球智慧城市建设都还还处在摸索过程中,而网络信息安全体系建设也刚刚起步,亟需全面整体的技术模型来规范安全的各个关键要素,尤其在中国条块分割的行政体系下,智慧城市安全建设如果没有一个整体性的顶层设计指导,在实施过程中必然会遭遇各自为政、安全漏洞、防御失衡、责任缺失等一系列阻力,大大增加智慧城市网络信息安全建设失败的风险。
在智慧城市网络信息安全建设过程中,必须坚持顶层设计、依法管理、可管可控、安全高效四大原则。在此总体原则指导下,梳理各地智慧城市的安全需求、国家法律要求、以及各地方法规文件规范,进而导出基于技术、管理、组织、运营四大体系的顶层设计方案。
在顶层设计的基础上,深入了解当地智慧城市可用安全资源现状,逐层细化完成其监测/响应手段、防范手段、恢复手段的建设,同时辅助地方主管单位完成当地安全组织结构的规划与建设,并结合建设方案为当地法规制度的完善提供参考意见,与建设过程同步还需要考虑未来智慧城市网络信息安全运营平台的建设。由此从智慧城市“安全需求”分析到“控制目标”分解,进而根据“安全目标”完成网络信息安全“保障体系”建设的顶层设计实现路径就清晰的呈现在了我们面前。
(3)方案优势
根据奇安信智慧城市网络信息安全框架的总体思路,基于各地智慧城市网络信息安全的顶层设计,任何一个智慧城市都应该根据自身情况建设智慧城市网络信息安全的技术体系、管理体系、组织体系、运营体系。
其中技术体系是智慧城市“以防为主”设计理念的重要体现,奇安信从“事先防范、事中响应、事后恢复”三个方面进行综合设计,面向等级保护物理安全、网络安全、主机安全、数据安全、应用安全的五大安全技术领域分别提供安全保障的解决方案,同时考虑到智慧城市自身的技术特点,奇安信还在基础安全、应用安全领域提供包括分角色域内权限管控、智慧城市应用上线准入等机制在内的技术安全保障方案。
组织体系是各地政府主导的智慧城市在安全建设中最关心的问题,因为安全责任边界的划分决定着未来运营过程中各参与机构的配合权限与安全责任,尤其是在涉及到敏感数据交换的过程中发生安全事件后的溯源与追责问题。因此在整个智慧城市安全组织体系设计中要明确区分决策层、管理层、执行层、监督层各角色的职责与权限分配。其中管理层一般定义为地方政府主管领导、各业务单位(委办局)安全主管领导;管理层定义为智慧城市的主管部门、智慧城市平台的建设单位负责人(总包方);执行层定义为平台具体建设单位、大数据平台的实际运营单位(机房、网络、平台运维)、基于平台的智慧城市应用开发运营单位(智慧城市相关APP开发商)、以及网络信息安全的服务团队;监督层定义为智慧城市的安全监督单位、平台建设单位的安全监督部门、第三方安全服务团队的安全监督部门。
管理体系是智慧城市“全面保护、可管可控”的设计理念的重要体现。安全管理需要在组织建设的基础上贯穿“智慧城市”生态系统的全生命周期。完整的管理体系应该是有战略方向、有法规依据、有流程控制、有作业指导的可落实的体系。奇安信可在整个智慧城市平台的设计、开发、发布、运营过程中,提供完整的安全策略、安全制度、安全操作流程、标准作业程序建议与安全事件的应急预案。
奇安信安全运营体系是智慧城市“依法管理、可管可控、安全高效”设计原则的集中体现。不仅提供日常信息安全技术平台,日常信息安全管理流程和控制指标,还能提供“智慧城市”安全决策、合规管理和监测响应的能力。
(4)产品体系
奇安信可提供在智慧城市网络信息安全框架下的全系安全产品与服务,包括面向云端的云安全、数据安全、虚拟化安全、代码安全、以及传统安全产品;面向终端的天擎、天机、蓝信等安全产品;面向网络的天堤安全产品;面向安全态势感知的天眼产品体系。此外,为解决地方政府网络空间安全防御资源有限、安全事件应急处理能力不足等问题,奇安信还提供面向智慧城市分级别的安全服务。
奇安信面向智慧城市的全线安全产品与服务均基于奇安信安全监测与响应中心的“数据驱动”,通过奇安信安全大数据的实时分析比对,在最大程度上确保智慧城市网络信息安全的快速发现、全面保障与及时响应。奇安信安全监测与响应中心是基于“威胁预警、云端感知”的企业级CERT, 秉承“持续、 专业、 有效”的原则, 通过创新的“互联网+安全服务”业务模式建立起“提前发现问题、实时感知问题、专家解决问题”的闭环工作管理机制,为智慧城市提供覆盖事前、事中、事后的一站式专业安全产品与服务。
- 金融行业终端安全一体化解决方案
奇安信天擎新一代终端安全管理系统是奇安信面向政府、企业、金融、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。
(1)业务挑战
随着IT技术的飞速发展以及互联网的广泛普及,金融企业都建立了网络信息系统。虽然防火墙、入侵检测系统等常规的网络安全产品可以解决信息系统一部分安全问题,但计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节。据权威机构调查,超过85%的安全威胁来自企事业单位内部。在国内,高达80%的计算机终端应用单位未部署有效的终端安全管理系统和完善的管理制度,造成内部网络木马、病毒、恶意软件肆虐,各种0day漏洞、APT攻击层出不穷。
同时系统与应用软件的安全漏洞使得黑客入侵有机可乘;自主知识产权操作系统的缺乏,使得国内广大XP用户在停服后面临前所未有的挑战。除此之外,金融企业内部网络与终端安全问题还包括:
终端病毒、木马问题严重,不能高效有序查杀;
全网被动防御病毒、木马的传播与破坏,无法应对未知威胁;
不能及时发现系统漏洞并进行补丁分发与自动修复;
IT资产不能精确统计,资产变动情况掌握滞后;
终端单点维护依靠大量人工现场处理;
未经认证的U盘、移动硬盘等移动存储介质成为病毒传播的载体;
光驱、网卡、蓝牙、USB接口、无线等设备成为风险引入的新途径;
终端随意接入网络,入网后未经授权访问核心资源;
非法外联不能及时报警并阻断,导致重要资料数据外传流失;
终端随意私装软件,恶意进程持续消耗有限网络带宽资源;
(2)解决方案
奇安信天擎新一代终端安全管理系统是奇安信面向政府、企业、金融、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。奇安信天擎新一代终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。主要功能模块如下:
具有以下特点:
威胁发现
天擎终端可以收集终端上的各种安全状态信息,包括:漏洞修复情况、病毒木马情况、危险项情况、安全配置以及终端各种软硬件信息等。这些安全状态信息会汇集到服务器端的控制中心,使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。
立体防护
天擎终端具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、安全审计等多样化的防护手段,从准入、防黑加固、病毒查杀、软件和终端行为控制等多个层次,为用户构建立体防护网,确保企业终端安全。
安全管控
天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、流量管理、软件统一分发卸载、终端安全策略管理等多种管理功能,管理员可以通过控制台直接对网内所有终端进行统一管控。
终端检测和响应(EDR)
通过天擎的EDR模块细粒度的采集及分析终端的进程socket事件、进程dns事件、带附件邮件发送接收事件、出入文件事件和接收上传附件事件、终端软硬件资产、行为信息等相关数据并接收个威胁情报平台发送的告警信息等线索来快速定位问题根源,对威胁事件进行深度挖掘和关联,将入侵的链路完整呈现,这样才能进行有效的处置并提供安全基线、防止同类攻击再次发生。(流程如下图所示)。
奇安信天擎为内网用户提供一体化智能漏洞修复方案,帮助内网终端用户快速发现各类补丁,提供补丁修复功能,且还有奇安信首创的补丁安装蓝屏修复机制,防止补丁修复异常带来的系统无法正常使用,确保终端都能及时、准确的打上补丁,以有效降低漏洞带来的其他安全风险。天擎还能为客户提供独有的大数据引擎(Big Data Engine:BDE)系统,将全网终端日常运维数据汇聚存储分析,并能显示客户内部的病毒木马爆发趋势及病毒种类排名做可视化的展示,也可根据客户的行业特点和客户运维管理所需的要求定制报表,为管理员提供更佳有效的终端安全运维依据,提高终端安全管理水平。
(3)方案优势
终端安全一体化
功能一体化:集终端防病毒和安全管控于一体的终端安全管理系统;
平台一体化:完美兼容Windows、Linux、国产操作系统;
数据一体化:结合云端大数据和威胁情报,有效感知本地安全态势。
病毒防御多维化
多引擎技术:拥有领先的云查杀引擎、系统修复引擎、QEX脚本查杀引擎、启发式引擎、QVM人工智能引擎,有效查杀已知和未知病毒;
立体化主防:具备隔离防护、5层入口防护、7层系统防护及8层应用防护等主动防御技术;
智能自学习:通过海量病毒样本数据自学习,QVM-II人工智能引擎无需频繁更新特征库、病毒检出率仍远超传统查杀引擎;
“非白即黑”安全策略:具备及时发现和抵御未知威胁的能力,并可以通过与奇安信天眼系统进行联动,有效抵御APT攻击。
安全管控智能化
资产管理:自动识别全网终端资产信息,实时监控系统状态并告警,保障业务连续性;
安全策略管理:通过非法外联、外设管理、进程控制、主机防火墙、桌面安全加固等多元化方式,提升终端安全等级;
漏洞补丁管理:对全网终端漏洞进行扫描并关联,根据终端分组或操作系统类型错峰下发补丁;
网络安全准入:支持旁路应用准入、802.1x准入及其它多种准入技术,对不满足安全性检查的终端不予接入网络,并引导到修复区进行安全修复;
审计管控:全网文件安全审计,外设使用审计,多级管理,多种报警方式,实现高效的全网管控。
降低运维成本
减少服务器开销:传统终端解决方案需要多套系统实现,防病毒、桌管、准入、审计各自一套系统,每一套需要单独架设服务器。终端一体化可减少服务器开销;
降低人力投入:多套终端系统,需要投入大量人力来学习并应用相关产品,终端一体化可降低人力投入,只需要学习一套系统即可;
降低终端资源占用开销:多套系统占用大量终端内存等物理资源,导致系统异常缓慢。终端一体化可大幅降低终端资源占用,减少物理资源投入。
- 卫健委威胁感知监管平台与运营解决方案
近年来《互联网安全威胁报告》显示,医疗行业已成为发生数据泄露最多的行业,奇安信通过采用大数据技术,利用可视化技术以图形化的方式展示各单位内网络安全状况,并能实现对全单位核心业务网络流量的长期存储与分析,及时发现潜在的异常行为和高级威胁。
(1)行业背景
卫生行业作为社会组成的重要部分,在信息化快速发展的同时一直非常重视网络安全建设,早期已经部署了“老三样”,即网络防病毒、防火墙和网络入侵检测,对保障卫生行业网络与信息系统的安全正常运转起到了重要作用。
近年来《互联网安全威胁报告》显示,医疗行业已成为发生数据泄露最多的行业,未经授权的泄密成为医疗行业数据安全的首要风险。在国内近75%医疗卫生机构的内网中存在安全威胁问题,内部勒索、病毒、恶意软件频现,各种威胁漏洞、APT攻击等问题层出不穷,非法获取病人信息已经形成产业化的趋势,利用特种木马、0day漏洞、水坑攻击、钓鱼攻击甚至威胁更大的APT攻击,已是传统防火墙、IDS、杀毒软件等安全防护设备无法发现和阻止。
对于医疗卫生行业现有的安全防护体系来看,依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念,传统安全防御体系的设备和产品很难检测例如勒索病毒、水坑攻击等有组织的APT高级可持续威胁攻击。省卫生健康委员会作为行业网络安全监管单位,在现有的技术和数据条件下也很难第一时间掌握我省医院的网络安全威胁形势和高级可持续威胁的攻击情况,同时基于国家对网络与信息系统网络安全等级保护的要求,需要做针对性的完善,因此为了应对各方面的需求,我们规划建设省卫生行业高级威胁感知分析系统项目,建立对高级可持续威胁发现的技术措施和能力体系,提升我省医疗卫生行业网络安全威胁发现的能力,进一步完善卫生行业的信息化建设和网络安全保障能力。建立并督促落实统一的网络安全运营中心,提升医疗卫生行业的风险管控能力,利用基于高级威胁感知分析系统和威胁情报来提升未知威胁的发现能力,协助医疗卫生行业从被动防御阶段向主动防御阶段转变。
数字经济时代,安全是所有0前面的1。伴随“互联网+医疗健康”推进,医疗企业和机构所面临的网络信息安全风险也被成倍放大,提升安全风险防范意识,加强信息安全体系建设,才能有效保障和驱动医疗信息化的良性发展。当前,随着医疗信息化建设的提速,医疗信息安全建设保障工作需要得到普遍关注和重视;解决医疗信息安全相关威胁和挑战,需要继续加强在医疗信息安全领域的投入、建立系统化的网络安全防护保障体系。
(2)客户需求
- 落实国家政府和行业政策法规要求
- 贯彻全天候全方位感知网络安全态势的要求
- 有效满足网络安全等级保护新标准的要求
- 提升行业监测预警能力,落实行政监管服务职能
- 抵御新型网络安全攻击,促进协同联动防护能力
- 强化网络安全应急响应、重要时期安全保障技术支撑能力
(3)解决方案
方案内容
本项目建设通过采用大数据技术,利用可视化技术以图形化的方式展示各单位内网络安全状况,并能实现对全单位核心业务网络流量的长期存储与分析,及时发现潜在的异常行为和高级威胁。逐步形成“网络安全威胁感知和大数据应用技术驱动的网络安全监管与保护工作“的创新模式。部署示意图如下:
威胁发现分析系统
威胁发现分析系统包含发现与分析两大功能,发现:来自于传感器提交的流量日志、告警日志。分析:可对所有数据进行快速的处理并为检索提供支持,还能将存储的日志与威胁情报进行碰撞以及进行日志关联性分析产生告警并能在4K的屏幕上展示威胁态势,此外分析系统支持对告警进行深度分析,对告警进行调查分析,以攻击链的视角还原告警中的受害主机被攻击的整个过程,最后以word/pdf形式导出调查报告呈现。
威胁分析系统
通过对威胁发现分析系统告警数据进行大数据分析,提供对全省各医疗机构的威胁攻击情况,掌握各医疗机构单位网络与信息安全状况,能够通过系统的威胁监测和发现能力,及时进行报送发现、发生的网络安全攻击事件和威胁情况。同时发布一些医疗行业内的网络安全预警信息,根据预警信息,各医疗机构可对安全隐患进行排查,实施预防控制措施。同时可以组织对我省医疗卫生行业网络与信息安全趋势分析、研判工作,汇总我省医疗卫生行业的网络安全威胁态势情况,汇总医疗机构的网络受攻击、入侵、破坏、有害程序传播、漏洞隐患等网络安全事件情况,支撑综合分析我省医疗卫生行业关键信息基础设施、重点网站和重要信息系统安全运行状况及保护工作情况。
安全运营中心
建设高级威胁运营中心,提供本地驻场运维支撑服务,运维支撑服务可有效减少用户运维压力,提高系统使用率及准确率,驻场安服人员针对系统提供7*24小时运维响应及支持,涉及到系统的监测运维、事件的验证和确认、事件的分析溯源、事件的下发通报以及配合用户其他工作等内容。
安全运营服务
建设包括安全监测、通报预警、重大活动安保,通过构建信息数据可信性、唯一性流转体系,实现网络安全事件监测、通报、考核的全过程信息化管理,全面提高威胁分析系统与通报预警系统的准确性、时效性、实效性,切实提高工作效率;实现安保期间对重点保护对象网络安全隐患和安全事件的及时发现和响应能力。
应急演练服务
通过采购安全厂商技术支撑服务,为省卫健委提供医疗行业应急演练技术支持,通过攻防演练平台对演练对象进行模拟攻击,检验医疗行业网络安全防护能力、发现能力及响应能力,掌握全省医疗行业网络安全现状。
(4)客户价值
客户收益
- 强化监管职能落实能力
- 提升行业监测预警能力
- 提升行业威胁发现能力
- 促进协同联动防护能力
- 满足等保2.0技术要求
(5)应用场景
部署方案
部署架构如下图所示:
企业大事记
2014年成立,接连提出“数据驱动安全”、“44333”等安全理念,成为国内产业发展的风向标。在“永恒之蓝”爆发后,72小时内先后派出3000多人服务1700多家单位,树立起行业应急响应标杆。2018年研制出第三代网络安全技术,构建网络安全新秩序在国内率先打造了创新的“零信任”基础架构。
2019年中国电子战略入股,奇安信正式成为网络安全国家队”。四大网络安全研发平台建设基本建成,支撑“新赛道”产品快速研制发布。
在首届北京网络安全大会上提出“内生安全”理念,再次引领产业发展。2019年12月正式成为北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商。
2020年1月应对未知漏洞攻击奇安信发布业界首款第三代安全引擎“天狗”,疫情爆发后,大年初一奇安信第一时间成立“新型冠状病毒感染的肺炎疫情防控支援团”, 数千位员工奔赴抗疫一线,通过7×24小时网络安全服务驰援火神山、雷神山等全国各地上千家医疗机构。2020年5月13日,作为第一批倡议方,与国家发展改革委等发起“数字化转型伙伴行动”倡议。
7月22日,奇安信(股票代码:688561)正式登陆科创板。8月在北京网络安全大会上推出新一代网络安全框架,目的是通过“新管理”让网络安全体系具有动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控的能力。11月2020世界互联网大会上,新一代企业网络安全框架(内生安全框架)荣膺“2020世界互联网领先科技成果”。
提出“经营安全安全经营”
2021年1月,腾讯安全与奇安信达成战略合作。 2月,知识产权产业媒体IPRdaily与incoPat创新指数研究中心联合发布“科创板225家上市企业有效发明专利排行榜”,奇安信位列榜单第五。同时,奇安信入选科创50指数样本股。 3月,阿里云与奇安信达成战略合作。在北京网络安全大会上,奇安信提出“经营安全,安全经营”理念,通过打造认知、安全和授信三大能力,让网络安全体系动起来,不断循环升级,让安全能力与日俱增。12月21日,北京市经济和信息化局联合北京市工商业联合会公告北京市第一批“隐形冠军”企业认定名单,奇安信上榜。