一、建设背景
近些年来随着大数据、人工智能、移动互联网和云计算等新兴技术的应用和发展,我国进入了万物互联的大数据时代,信息安全、网络安全的重要性日渐凸显。网络空间的主权争夺、网络空间军事化趋势明显,国家级网络安全事件发生及安全冲突的风险进一步加大。
财政系统对网络安全的重视程度日益提高,出具了一系列的安全制度及指导意见,形成了网络运营安全、关键基础设施、网络安全产品和服务等领域的安全建设体系。
2017年下放了《财政网络安全总体策略》,其中提到要具备网络安全监测和威胁情报收集能力,能够在网络边界、安全域及接入边界等关键网络节点处对网络攻击行为、恶意代码、垃圾邮件、未知新型网络攻击等进行安全监测和预警。
二、建设目标
建立健全XX财政系统病毒防御体系,形成市、县两级财政统一的一体化病毒防护体系,按照统一建设,分级管理原则,通过全网边界防护、网络防护、终端防护等形成多层次纵深防御,以XX财政为主体建设统一管理分析平台,建设威胁情报共享、分析机制,动态生成防护策略,智能化运维系统,各区县建设操作维护中心,提升XX财政和各区县财政的协同能力,并具备对未知病毒的发现分析能力及联动阻断。
健全各区县的安全系统风险评估和应急响应工作机制,制定应急预案并定期组织演练;
定期对市中心和各区县相关工作人员进行新产品、网络安全、攻防等技术培训,提升全网安全体系运行维护管理,及时发现问题和问题整改。定期进行安全状况巡检和评估,及时消除安全隐患和漏洞。
三、编制依据
财信办【2017】11号财政部关于印发《财政网络安全总体策略》的通知
《财政网络安全总体工作方案》
四、技术体系规划
4.1清查IT资产盘点网络安全域划分
清查自身的IT资产,做到清楚设备部署位置、安装年限及运行状态,对现有网络安全域划分进行记录,基本上分为纵向上联区、安全防护区、办公终端区及横向互联区四个部分。
4.2确保终端防病毒软件全面部署
入网终端必须统一安装防病毒软件(由于特殊原因不能安装防病毒客户端软件的电脑,须记录相关原因),安装后不得自行关闭和卸载,安排专人定期检查防病毒引擎和病毒库的更新情况。
4.3杜绝违规外联,做好终端安全管控
实现“入网实名制,合规方准入”的终端接入管理目标,全面覆盖终端安装、交付和使用过程中的安全管控的全要素。实名入网、合规准入,准确了解入网终端的用户、型号、网络接入端口、物理地点等基本情况对终端安全性进行检查,只有符合要求(安装统一防病毒软件、入域、安全补丁更新到最新)的终端才允许接入财政内部网络。
4.4网络安全边界做好监测和防护
财政纵向网络是财政内网的重要组成部分,做好区县纵向网络的安全检测,不但能保证域内的业务和终端的安全使用,同时能够保证纵向网的安全运行。因此在区县的专网核心交换机旁路部署网络威胁检测系统,通过对域内流量的实时检测和识别,发现漏洞攻击、异常行为、勒索以及未知威胁等内容,同时将发现的安全事件提交市级统一安全威胁中心,由其防止和遏制攻击事件、勒索软件事件所需的深入分析和威胁情报。
4.5部署安全管理平台,了解全网安全态势
区县部署一套安全管理平台,通过接入深度威胁发现探针、病毒网关探针等,实时监控专网及内网的安全情况,做到病毒早发现早处理。同时能够将安全事件统一上传至市级安全管理平台,提供XX财政的安全威胁情报中心,做到全市/区/县共建共享威胁情报,协同处置。
五、详细技术建设规划
5.1网络拓扑
(1)在运营商机房内部署一台威胁检测设备,用于对病毒的检测及源和目的IP地址的发现,从而确定病毒的传播方向,及时提醒进行防护。
(2)在财政内网出口部署1台AE防病毒网关,用于对财政内网出入的病毒进行拦截,做到内防输出,外防扩散,保证区县传输给市财政、省财政的网络数据不会存在病毒,将病毒范围限制在最小的单位里面。
(3)在县财政局部署一套安全管理平台,对财政的内网、专网进行监测,可以及时的发现病毒情况,并且能够将该病毒事件记录下来,配合运维管理平台进行调查取证,方便定性追责;同时该平台可以将本单位的安全情况上传至市级安全管理平台内,使市级平台能够总管全部区县安全情况,统一安全情报,做到病毒及时预警。
5.2设备部署说明
5.2.1财政专网设备部署说明(运营商机房部署)
(1)专网威胁检测(运营商网络)
(2)部署位置:在运营商机房部署1台高级威胁检测设备,实行全网威胁的实时侦测、病毒定位和预警。
运营商提供的专网需要建立“主动安全”、“病毒定位”的防御体系:通过对全网流量的实时检测和识别,发现漏洞攻击、异常行为、勒索以及未知威胁等内容,提供发现、防止和遏制针对APT攻击、勒索软件事件所需的深入分析和威胁情报。
5.2.2财政内网设备部署说明
(1)网络边界防护-防毒墙
部署位置:在区县财政内网边界处部署1台冗余的防病毒网关设备,实现网络边界病毒防御。
防病毒网关检测并阻止恶意程序,如病毒,蠕虫,僵尸网络,间谍软件,网页木马,邮件病毒等;可拦截间谍软件的回拨企图,阻止间谍软件下载;阻止恶意程序通过即时通信程序进行扩散;防止访问与间谍软件或网络钓鱼有关的网站;阻止恶意程序通过邮件进行扩散。
(2)网络安全管理平台
部署位置:在网络运维区域部署一台网络安全态势感知系统,用于对全网网络安全情况进行统一分析,统一展示。
接入县级安全设备作为探针,结合深度威胁检测设备、防病毒网关等多种探针,对财政的内网、专网进行监测,可以及时的发现病毒情况,并且能够将该病毒事件记录下来,配合运维管理平台进行调查取证,方便定性追责。同时与市级平台进行级联,为市级平台提供多类型、多角度、多数据类型的安全情报,从而完善市级威胁感知运维平台,并能与县区共享安全情报,统一对安全威胁进行分析,统一管理,统一处置,从而建设成为市区县两级安全情报威胁中心。
5.3设备功能简介
5.3.1高级威胁检测
深度威胁发现设备是一款 360 度的网络流量分析产品,可掌握全网络的流量来侦测并响应 APT 攻击与未知威胁。能够侦测所有端口并且检测 100 多种通讯协议应用,为用户提供最全面的网络威胁侦测,采用三层式的侦测方法,第一层是静态分析,第二层是动态分析及行为侦测,第三层是事件关联,目的就是为了发掘隐匿的攻击活动。 根据静态分析、动态分析、事件关联的汇总分析结果来实现威胁侦测的可视化, 独特的侦测引擎配合定制化沙箱动态模拟分析,能够快速发掘并分析恶意文档、恶意软件、恶意网页、C&C 通信数据以及传统防护无法侦测到的定向式攻击活动,深入的威胁情报分析能力可协助安全管理员快速响应,并可与安全产品实现安全联动,同时也可以与第三方情报中心透过公开标准分享威胁情报,建立一个实时的定制化安全体系来检测和防御 APT 攻击。
深度威胁发现设备是第三代威胁管理解决方案,旨在提供突破性的高级持续威胁 (APT) 和针对性攻击的可见性、洞察以及控制功能。
深度威胁发现设备部署旁路监控模式。它通过连接到交换机的镜像端口来监控网络通信,快速部署效果明显,不会造成网络中断。
5.3.2网关防病毒/入侵防御
网络边界需要采用防毒墙网关病毒过滤设备,防止病毒以文件、邮件、网页等方式从外部网络进入到内部网络,方案设计在XX财政局内网、专网边界处对病毒和入侵行为进行过滤,实现第一道安全防护。通过在网络边界部署防病毒网关,实现网关级防病毒和入侵防御。
防病毒网关功能用于检测并阻止恶意程序,如病毒,蠕虫,僵尸网络,间谍软件,网页木马,邮件病毒等;可拦截间谍软件的回拨企图,阻止间谍软件下载;阻止恶意程序通过即时通信程序进行扩散;防止访问与间谍软件或网络钓鱼有关的网站;阻止恶意程序通过邮件进行扩散。
1.采用安全智能防护网络,对已知和未知病毒进行防范。
2.对基于网络应用的病毒传播进行高级防护
3.对基于网络应用的间谍软件进行高级防护
4.对基于网络应用的网络钓鱼行为进行阻断
5.配合已知、未知威胁分析治理方案,对未知威胁、新型病毒进行识别及阻断
6.降低服务器及桌面端恶意软件清除成本,保证业务连续性。
防病毒网关支持以桥接、路由、混杂、多WAN/ISP及旁路模式部署在传统物理网络环境中,支持BYPASS模式,最大程序保护网络出口、内网、数据中心以及分支机构的数据安全。
5.3.3安全管理平台
安全管理平台以企业内安全数据为核心,信息资产为基础,对企业用户网络内的安全告警事件进行监控和分析,以多层级追溯钻取为核心工作流程,协助安全管理员进行安全监测、威胁分析、响应处置的集中安全运营平台。主要功能如下:
(1)智慧门户功能:智慧门户提炼展示统计平台各项分析监控指标,展示系统监控资产信息和采集数据总量、各种类型统计信息,综合展示系统安全态势,包括:网络攻击、有害程序、安全告警系统、资产类型分布及受攻击、感染有害程序的资产信息。依据最新威胁情报发布安全公告。
用户可以选择重点关注内容,如:挖矿、勒索、Webshell、拒绝服务、威胁源、恶意代码的各种统计信息,针对关注点可快速下钻跳转到相应的专题模块对安全问题一探究竟。
(2)安全数据中心:安全数据采集通过前台简单配置,通过向导方式,将用户企业内各类安全设备,通过主动采集或被动接收等方式对日志进行采集,运用海量信息采集与处理方法,实现安全数据的接入,并完成安全日志信息的识别、过滤、关联、补齐和富化。
安全管理平台能够自动监听检测类探针设备,选择接入设备即可启动数据采集及解析日志过程。此外,支持100+种主流安全厂商的安全设备,仅需配置采集与数据处理进程名称,即可进行数据采集与解析,真正实现第三方设备的一键接入,为企业用户构建安全态势感知生态提供数据支撑。
安全数据中心支持安全数据的采集管理、数据超集处理、数据采集信息展示和数据处理状态展示。实现企业内安全日志信息采集、数据抽取、数据传输、数据转换。提供默认解析规则,提供对采集日志的智能标记补全功能,能够对收集的日志补全其相关联的属性,补全字段包括源目的IP的对应国家、省份、城市信息,源目的IP对应的资产、资产类型、业务系统、安全域、所属组织机构等信息;日志解析实现建立解析字段和字段属性的映射关系,实现解析字段转义,能将映射后的属性的值按照不同的映射类型转义成不同的内容。
(3)态势大屏:安全管理平台安全态势大屏用于展示各业务运行状态、各类网络攻击行为及其引起的各类安全事件、整体安全态势,能够持续的、多维度的监测资产、威胁、脆弱性、事件、风险等分类态势指标变化情况,展示的内容具备及时、准确、重点突出的特性。平台将分别从防病毒维度,直观展示企业的安全现状,涵盖企业宏观安全状态、企业末端终端微观安全状态、企业外部至内部的威胁、内部威胁横向扩散的威胁、企业内部至外部的威胁、威胁情报态势、资产态势。
(4)安全分析中心:支持将收集到的各类安全设备安全日志、边界和内部流量分析结果数据、防病毒产品日志,结合平台威胁情报信息,分析企业内受病毒感染的资产情况、遭受的勒索软件威胁等威胁,能够有效识别企业用户面临的病毒威胁、勒索软件威胁等多种恶意代码威胁。同时,能够判断恶意代码威胁的真实性,结合平台内置丰富的安全可视化视图,对恶意代码威胁带来的安全隐患及时告警,并告知用户威胁带来的危害与处置建议。支持利用平台内置的分析流,实现恶意代码威胁的威胁溯源。
5.4解决方案价值
通过在财政专网部署高级威胁检测设备,在内网部署防病毒网关设备并将设备连入安全管理平台,构建其基于协议分析和文件分析的APT发现、威胁管理系统,提供区县财政对于APT攻击及未知威胁的识别能力,快速定位新生威胁源头,同时能够对于内部感染源、传播源进行处理。
提供信息网络安全可见性:
全面威胁侦测能力
智能分析平台,自动分析海量日志
威胁可见性,感染源可见性,重点事件可见性
提供信息网络安全的可控性:
精准定位,精准分析
即时阻断高危威胁,提高业务网路的可用性
层层过滤威胁攻击,确保网络安全性
提供信息网络安全的可操作性:
威胁治理方案,专家治理提供前瞻性解决方案
7X24 中国病毒实验中心结合全球资源,提供最快速的威胁响应覆盖全国服务商网络,提供现场服务。
变被动响应为主动管理
提前预警网络的安全威胁,将其控制在萌芽状态,信息技术部门的信息安全管理工作将从事后响应变为主动出击,开创信息安全管理工作新的模式。
建立起完善的风险管理机制,对于发现的新威胁、新病毒,还可以通过流程的配合得到厂家的专业支持,以实现早发现早处理,进而螺旋式提升信息安全管理水平。
有效地满足相关监管要求
满足工信部提出的《木马和僵尸网络监测与处置机制》要求;
满足财政行业发布的相关监管要求。