<ol id="3dfv1"></ol>

        <big id="3dfv1"><th id="3dfv1"><thead id="3dfv1"></thead></th></big>

              <video id="3dfv1"></video>
              <strike id="3dfv1"><listing id="3dfv1"><form id="3dfv1"></form></listing></strike><th id="3dfv1"></th>
              <meter id="3dfv1"><cite id="3dfv1"></cite></meter>

                  <pre id="3dfv1"><track id="3dfv1"><th id="3dfv1"></th></track></pre>

                    安全產品

                    電力行業安全態勢感知解決方案

                    來源:聚銘網絡    發布時間:2020-02-21    瀏覽次數:
                     

                    行業背景

                    關鍵信息基礎設施關系國計民生與社會穩定,對其進行入侵攻擊容易造成巨大危害,產生顯著影響。電網作為一種典型的工業控制系統,也是國家關鍵信息基礎設施,一旦遭受攻擊將可能造成電力安全生產事故,甚至引發大面積停電,后果非常嚴重。近年來爆發的伊朗“震網”事件、烏克蘭大規模停電事件及今年爆發的比特幣勒索病毒事件表明,能源、電力行業已成為網絡攻擊的重點目標。

                    近年來,隨著電力工業控制系統采取分區分域和縱深防御策略,通過實施內外網安全隔離、電網生產大區與管理信息大區安全隔離等關鍵安全防護工程,系統安全防護體系逐漸得到完善。但是,隨著工業控制系統和設備中新的漏洞、后門等脆弱性信息的發現和披露,電網工業控制系統面臨更加隱蔽的、更加曲折的惡意攻擊風險(例如APT)。

                    從總體上看,電力行業工業控制硬件安全問題長期得不到解決。過去幾十年我國建立的大量電力基礎設施、發電配電領域,基本是依靠使用國外裝備和控制系統建立起來的。國外廠商設備普遍存在未知的漏洞以及可能存在的后門,一些領域的安全漏洞已經隱藏數年,成為國家安全的重大隱患。

                    從實際情況看,一是電力行業工業控制系統運行環境存在大量漏洞和隱患。二是電力行業工業控制網絡安全標準不夠完善。由于缺乏相關標準,不能適應基礎設施建設和運營企業的安全需求,也嚴重阻礙了電力產業的技術創新和發展。


                    建設依據

                            《中華人民共和國網絡安全法》

                            GBT22239-2019《信息安全技術網絡安全等級保護基本要求》

                            GB∕T 36047-2018 《電力信息系統安全檢查規范》

                            《電力行業信息系統安全等級保護基本要求》


                    傳統的網絡安全防護不能適應新的要求

                    針對關鍵信息基礎設施(例如電網)尤其是針對工業控制系統(SCADA)的攻擊越來越引人關注,由于關鍵信息基礎設施通常具備較高的防護水平,因此攻擊者往往采用APT攻擊的方式來達到目的,APT攻擊具備以下特點:

                    1)   高級:威脅背后的操縱者有能力進行全方位的情報收集。不僅包括通過計算機入侵獲取信息,而且還可以擴展到傳統的情報收集,如電話攔截技術和衛星成像技術。雖然攻擊的個別手段可能無法被歸類為特別“先進”,但操縱者通??梢愿鶕枰_發更為先進的工具。他們經常結合多種方法、工具和技術,以保持接觸和嘗試并最終攻陷目標。

                    2)   持久:操縱者會執著的進行特定任務,而不是隨機的搜索目標。這種區別意味著,操縱者會受到外部實體的指揮,通過持續檢測和接觸,以實現針對目標的任務。如果操縱者暫時無法取得進展,他們通常會不斷的重新嘗試,并最終取得成功,操縱者的目標之一是保持長期訪問目標,而不是取得一次性的攻擊機會。

                    3)   威脅:APT是一種威脅,因為它同時具備了能力和意圖。APT攻擊的關鍵在于協調人的行動,而不是盲目的執行自動化攻擊。操縱者有明確的目標和動機,具備足夠的技能、組織力和資金。

                    APT攻擊使網絡安全和現實環境中的安全一樣引起了大型企業和政府組織的高度關注,因此建立一個基于網絡安全攻擊事件的態勢感知平臺迫在眉睫。


                    信息安全設備運維的要求

                    隨著信息安全設備的不斷增加,防火墻、入侵檢測系統(IPS)、入侵掃描系統(IDS)、流量監控等安全設備的廣泛使用, 網絡結構越來越復雜;而且網絡用戶成份越來越多樣化,引發的各種病毒和網絡安全事件會越來越多。當前的網絡管理已經不能滿足需要,因為在通常情況下,每增加一款設備或應用,就需要一種新的工具來管理它,這樣,網管人員需要管理和查看的設備、管理軟件越來越多,但他們之中的每個又只能解決或查找其相關設備應用的問題,而不能夠對網絡的整體進行評估和管理,這樣一方面造成網絡管理成本居高不下,另一方面由于網絡管理人員不能全面獲取網絡有效信息,在網絡管理中只能充當救火員的角色。目前網內存在以下問題:

                    1)   如何防范網絡故障和提高故障解決效率。

                    隨著網絡的復雜化與多元化,網絡應用的不斷加載,網絡故障、間歇性網絡問題發生的頻率也隨之逐級增高,如何對網絡故障快速定位,找到故障發生的真正原因,是保障電力信息網持續可靠運行的關鍵。

                    2)   如何實現對網絡、應用問題的責任劃分。

                    電力信息網中運行著大量的服務和設備,一旦網絡出現問題,需快速區分是網絡問題還是應用問題,而當前對網絡和應用問題的分析手段相對缺乏,問題解決效率遲緩。

                    3)   如何及時發現網絡異常行為及新型病毒、木馬和攻擊,避免網絡出現重大故障甚至癱瘓。

                    當遭受新型病毒、木馬和攻擊時,殺毒軟件、IPS等被動防御設備往往束手無策,如何快速發現并確定攻擊類型及攻擊源頭是保證電力信息網安全運行的關鍵。

                    4)   如何了解、分析業務系統的各種性能參數,協調網絡資源的分配,保障業務系統的正常運行。

                    電力信息網中運行著大量的系統流程化管理業務如ERP、EAM、SCM,視頻業務和語音業務等,要保障這些業務的高效運行,就需要對各種業務系統進行性能分析,如延遲、數據包分布、流量、利用率等,需要了解各條鏈路是否超支?在使用什么業務?是哪個用戶在用?各種業務的流量特征是否與最初設計的策略一致?鏈路改造、設備升級是否達到預期效果?應用部門是否又上了新業務?新業務上線對網絡和原有應用造成什么影響?并根據不同的網絡狀況協調網絡資源的分配。

                    5)   如何對網絡安全事件進行鑒定與取證。

                    如何對已經發生的故障或安全事件進行分析發現,并提供有效的證據,完善故障和安全處理機制。特別是網絡或應用出現間歇性故障后,很難分析其產生的原因,而再次出現的時間無法確定,因此難以解決,這好像網絡中存在一個不定時炸彈,使網絡和應用時刻處于危險之中。


                    建設目標

                    為應對網絡安全挑戰,彌補傳統防御手段的不足,需要構建一套主被動一體的防御體系,來應對已知威脅和未知威脅的攻擊;另一方面,利用大數據、AI、UEBA等技術對安全設備產生日志的關聯分析、深度分析更好地發現潛伏威脅,從而避免各個安全設備之間相互孤立的防御局面;另外,在某些特殊情況下,網絡一旦發生安全事件,排查分析日志,人工關聯分析,耗費大量精力,通過部署安全感知設備,將會大幅減少人力排查時間,而且排查更加全面、更加精確。

                    《網絡安全法》和等保2.0,均已明確提出了要加強內網未知威脅的檢測和通報預警工作,因此,日益迫切的信息系統安全、等級保護要求我司不斷完善和升級網絡整體安全性能。

                    建設原則

                    標準性原則:技術方案的設計與實施應依據國內或國際的相關標準進行;

                    規范性原則:服務提供商的工作中的過程和文檔,具有很好的規范性,可以便于項目的跟蹤和控制;

                    可控性原則:項目進度要與時間計劃表的安排一致,保證甲方對于項目管理的可控性;

                    開放性:系統遵循各種IP網絡國際標準和安全標準,有助于與其他系統的聯運與協作;

                    可擴展性:系統設計時具備良好的擴展性,采用模塊化設計,不同模塊可以集中和分布部署,中心處理服務器根據規??梢圆渴鸲嗯_等不同方式;

                    互操作性:系統提供與現有系統的接口,包括網管系統、安全系統、流量監控系統,推進和實現集中管理、集中監控、集中派單、集中配置、集中支援;

                    安全性:系統涉及整個IP網絡的敏感信息,設計時充分考慮了管理數據的保密性、可用性、完整性的要求,對項目過程數據和結果數據嚴格保密,未經授權不得泄露給任何單位和個人,不得利用此數據進行任何侵害甲方網絡的行為,否則甲方有權追究乙方的責任;

                    經濟性:在設計方案時,要充分了解甲方現有網絡結構及設備狀況,再充分考慮利用現有網絡和硬件設施的情況之下,考慮購置新設備;

                    重點部署、分布實施:安全系統工程是融合設備、技術、管理于一體的系統工程,需要全面考慮;同時,盡量考慮到涉及網絡安全的重點因素,充分考慮可擴展性和可持續性,從解決眼前問題、夯實基礎、建設整個體系等方面作好安全工作;

                    盡量減少對現有網絡應用的影響:部署時要盡量減少對現有網絡結構和應用系統的影響。同時也要充分考慮安全產品和現有網絡結構、網絡產品、網絡應用的兼容性,保護網絡建設的投資。


                    建設方案

                    態勢感知對信息系統中各類主機、數據庫、應用和設備的安全事件、用戶行為、系統狀態的實時采集、實時分析、異常報警、集中存儲和事后分析,采用分布式、跨平臺的統一智能化管理模式,對各類網絡設備、安全設備、操作系統、WEB服務、中間件、數據庫和其它應用進行全面的安全管控。主要基于“看清業務邏輯、看見潛在威脅、看懂安全風險、輔助分析決策”的思路進行設計實現的,態勢感知系統整體邏輯架構如下:

                    業務邏輯

                    信息安全的核心目標是解決核心業務的安全、穩定運行,如果安全檢測系統不了解信息系統的資產有哪些、業務邏輯關系如何,而是無論在哪一個網絡中都復用同一套安全判斷準則,那么它提供的檢測能力顯然是脫離實際的。所以態勢感知系統解決的首要就是看清業務邏輯;對業務系統核心資產進行識別,梳理用戶與資產的訪問關系,對業務資產存在的脆弱性進行持續檢測,及時發現業務上線以及更新產生的漏洞及安全隱患,通過業務識別引擎主動識別新增業務資產以及業務訪問關系。

                    潛在威脅

                    信息安全是一個涉及多個領域的復雜問題,攻擊者可能包括外部黑客、心懷不滿的員工、以及內外勾結等各種情況,攻擊途徑更是包括了暴力攻擊、社會工程學、惡意代碼、APT、漏洞利用等等數百種不同手段。防御者需要全面監控,但攻擊者只需要一點突破即可,如果沒有系統的檢測能力,即使別人告訴你被黑客攻擊了,都找不出黑客是怎么攻擊的。態勢感知系統需要提供全面的威脅檢測和分析能力。

                    對繞過邊界防御的進入內網的攻擊進行檢測,彌補傳統靜態防御不足;對內部重要業務資產已發生的安全事件進行持續檢測,第一時間發現已發生的安全事件;對內部用戶、業務資產的異常行為進行持續的檢測,發現潛在風險以降低可能的損失。

                    海量威脅情報關聯,通過國內外權威情報庫和云端安全分析平臺強化新型威脅檢測能力。

                    安全風險

                    信息安全系統除了需要能夠及時發現問題外,還需要保障系統的易用性,確保網管人員能夠方便快速的發現安全問題、了解影響范圍、定位問題源頭,提供響應的展示告警和分析舉證服務。態勢感知系統應提供安全事件分析告警和舉證分析服務,提供基于系統業務邏輯的業務訪問視圖,安不安全、哪里不安全一目了然;失陷業務、風險用戶和有效攻擊等不同維度分析和展示安全風險,方便管理人員定位安全問題。

                    提供告警頁面訪問邏輯展示、主機威脅活動鏈分析、安全日志舉證和查詢服務,可以快速定位問題影響和源頭,并進行響應的分析。

                    輔助分析決策

                    除了專業的威脅檢測和風險分析效果,態勢感知系統還應提供可視化的形式為用戶呈現關鍵業務資產及針對關鍵業務資產的攻擊與潛在威脅,并提供全網攻擊監測、分支機構監管、風險外聯監測等多個不同視角的大屏展示,提供對失陷業務和主機的報告導出和分析服務,為信息安全主管提供駕駛艙式的輔助決策服務。


                    預期效果

                    對象失陷風險感知

                    對象失陷的含義是相關主機、賬號、網站等對象由于某些原因,如遭受魚叉攻擊或水坑攻擊而被植入各類木馬、勒索軟件以及蠕蟲等惡意程序,從而產生相應的異常行為,導致重要數據被泄漏、重要文件被加密等;嚴重還會在內網(包括工作網絡或生產網絡等)肆意傳播(橫向傳播)最終造成企業相關重要信息資產(不僅指有形資產還包括無形資產)的損失。

                    一般而言對象的失陷會包含探測、植入、回傳、橫向傳播、收集數據以及數據外穿等若干階段,如果在其中任意一環發現問題,則能夠防止損失,估象失陷風險的感知是聚銘安全態勢感知與管控平臺的核心內容,如下圖所示:

                    外部攻擊威脅感知

                    外部威脅是指有外網主機或系統對內網的主機或系統發起的網絡攻擊或可能的非法連接及探測。

                    網絡攻擊一般是指攻擊者利用受害者主機或系統存在的一些缺陷/漏洞或者配置上的不足或者網絡拓撲存在的問題,使用專用工具或手段對其進行探測、嘗試、滲透,試圖最終獲得目標主機或系統的控制權,或者使受害者無法正常運行。

                    另外,可能的非法連接是指利用受害者主機或系統在某種情況下出現了不應暴露的端口,從而被非法入侵者所利用,如錯誤地將一些遠程登錄服務、數據庫服務等暴露在公網環境。

                    聚銘安全態勢感知與管控平臺充分探知上述這些威脅,從而達到實時監控、實時處理的目的。

                    外連攻擊威脅感知

                    外連威脅是指內網主機或系統對外網相關主機或系統發起的攻擊或可疑連接,若存在此類威脅則說明內網主機可能存在失陷危險。

                    內網主機或系統的失陷原因可能存在多種可能,如因為從某些網站或服務器下載、安裝了有害的程序或木馬,或者被郵件釣魚(如魚叉攻擊)誘使打開了危險郵件,或者插入移動介質而被感染了有害程序或木馬,或者被內網其它主機所滲透而植入了有害程序;用戶應特別重視此類危險;但也不排除內網有主機或系統主動發起了對外網的攻擊。

                    從信息安全的角度而言,如果網絡中出現外連攻擊威脅,則其風險其實要較外部的攻擊威脅更大,從而更應引起相關安全人員的注意。

                    內部互連攻擊威脅感知

                    內部互連威脅是指有內網主機或系統對其它內網的主機或系統發起的網絡攻擊或可能的非法連接及探測。

                    內部互連攻擊一般是指內網失陷主機對其它內網主機進行探測、嘗試、滲透,試圖最終獲得目標主機或系統的控制權,從而在內網橫向擴散、收集數據、破壞系統。

                    其中,有一類為可能的非法連接是指利用受害者主機或系統在某種情況下出現了不應暴露的端口,從而被非法入侵者所利用,如錯誤地開放一些不應打開的端口。

                    脆弱性感知

                      脆弱性是一般是在部署時或運行時就自然存在于系統中的;系統運行的操作系統、應用軟件均可能存在較為嚴重的脆弱性,另外錯誤或不當的配置也會造成系統存在脆弱性;對于高危的脆弱性,如“永恒之藍”等應給予做夠的重視。

                    聚銘安全態勢感知與管控平臺能夠充分利用平臺集成的相關工具對這些脆弱性進行主動的發現和提示,以防止用戶由于不恰當的配置或者未能及時修補漏洞而造成的風險,從而導致出現口令被破解、漏洞(特別是網站資產)被利用等安全事件的發生。

                    故脆弱性的感知也是“主動安全”的重要一環,可以做到防患于未然。

                    云端綜合安全感知

                            云端綜合安全感知可以實時采集監控指標,提供及時有效的安全告警、響應,通過云端預警功能,根據不同行業和資產的系統類型,對可能存在的威脅,云端下發安全預警,線下及時排查和進行相關的安全防護。


                    產品特點

                    大數據技術

                    集群 + 動態擴容

                            系統采用大數據技術設計,支持集群方式部署,存儲集群高可用,可以無限擴展存儲節點,擴展存儲空間,容災能力強、具備自動發現集群設備、無需停機

                    采用業界標準技術

                    通過授權訪問,既保障了數據不被廠商綁定,又保障了數據的安全性

                    大數據檢索技術

                             采用大數據全文檢索技術,索引分布式存儲,分布式并行查詢,近自然語言,方便使用、快速發現問題

                    海量數據存儲

                    不僅可存儲各類日志信息,對于產生安全問題的原始數據包也能存儲并下載

                    精準解析

                    • 利用網絡流量分析探針,解析各類主流網絡協議,如HTTP、DNS、SMTP等,對相關元數據可進行查詢和分析,無需單獨接入其它設備日志
                    • 開放的自有標準化語法解析器,靈活度高、精確度高、快速自定義標準化解析
                    • 內置了大量的標準化腳本,適應各類主流設備和系統的精確解析

                    精確分析

                        關聯場景:基于統計和基于關聯

                               1、基于統計包含:平均統計、方差統計,支持按天、按周統計

                                2、基于關聯包含:狀態關聯、時序關聯、歸并關聯、篩選關聯、端口關聯

                        多維度關聯

                               支持事件與基線關聯分析、事件與漏洞關聯分析、事件與事件關聯分析

                        智能行為分析

                               對多方向網絡連接數據及其它用戶異常行為自動進行基線分析,無需配置

                    豐富展示

                        1、豐富的圖形化展示:儀表板、業務拓撲圖
                        2、用戶自定義儀表板展現業務數據
                        3、實時監控:便于發現異常、隨時挖掘分析
                        4、熱圖分布:追蹤攻擊來源,發現幕后黑手

                    完整的動態安全問題發現和防御體系

                          1、系統可選內置網絡流量探針,無需第三方提供網絡攻擊威脅數據接入支持

                          2、系統內置漏洞掃描、基線檢查等模塊,主動檢查,及時加固

                                  3、通過日志與漏洞等關聯分析被動防御,發現威脅,抵御風險
                     
                     

                    上一篇:2020年02月21日 聚銘安全速遞

                    下一篇:因嚴重 IE 漏洞 微軟再為已停止支持的 Windows 7 發布安全更新