项目背景
西南民族大学是中央部属高校,隶属于国家民族事务委员会,是中国民族高校最高学府之一,囊括文、史、哲、经、管、法、教、理、工、农、医、艺等12个学科门类。学校内部署有各个院系、研究所的重要服务器和信息系统、存放有重要的科研文献和机要信息,网络信息安全面临很大的挑战。学校内服务器和信息系统分散、网络安全措施和手段参差不齐,并且釆用的都是传统的被动式安全解决方案,缺乏对整个园区网络安全态势的整体把控,无法主动识别潜在威胁、并及时有效地对威胁给出应对措施
方案介绍
客户的需求,方案设计在客户需求,在校园网络中部署态势感知平台进行网络安全加固。
网络入侵检测探针:探针以旁路模式部署与核心交换机内网区域节点,实施简单且完全不影响原有的网络结构,降低了网络单点故障的发生率。此时探针获得的是链路中数据的“拷贝”,主要用于监听、检测局域网中的数据流及用户或服务器的网络行为,以及实现对用户或服务器的TCP行为的采集。
态势感知分析平台:在核心交换机旁挂部署态势感知分析平台,收集全网探针采集的流量数据;收集现有操作系统、交换设备、安全设备的日志进行分析,并通过可视化的形式为用户呈现内网业务资产及针对内网关键业务资产的攻击与潜在威胁;并通过该平台对现网所有安全系统进行统一管理和策略下发。
客户价值
1全网业务资产可视化
通过态势感知平台主动探测网络中的业务资产,同时检测探针可基于流量自动识别业务系统下属的业务资产,将已识别的资产进行安全评估,包括漏洞分别情况、开放的端口等,并对弱口令进行有效识别,将资产的配置信息与暴露面进行呈现。通过网络数据包分析,对未备案的新增资产进行实时告警,及时发现脱离管控的违规资产。
2数据中心业务访问关系可视化
依托于3D网络拓扑结构可视化技术,通过访问关系展示用户、业务系统、互联网之间访问关系,基于全网业务对象的访问关系的图形化展示,包括用户对业务、业务对业务、业务与互联网三者关系的完全展示,并提供快捷的搜索。供IT人员在业务迁移和梳理时直观的查看业务关系,是否有遗漏的业务未被防护、是否存在内部攻击、是否有业务外连、是否存在外部攻击等行为。另外,可呈现该用户已经通过哪些应用、协议和端口访问了哪些业务,这些访问是否是攻击、违规、远程登陆等行为。可清晰的看出已对哪些业务存在影响,也能推导当前用户是否已失陷(或可疑)。
3多维度威胁检测能力
提供漏洞利用攻击检测、Web应用攻击检测、僵尸网络检测、业务弱点发现等多位的威胁检测能力;主动建立针对性的业务和应用访问逻辑规则,对检测到的违规访问在安全感知平台上通过可视化方式展示,及时知道内网存在违规的行为;将可能失陷的终端对业务系统的访问路径、存在异常流量及行为的终端/服务器的访问路径进行预警,帮助管理员及时响应安全事件并进行安全策略调整。通过场景关联分析引擎对同类事件进行聚合,对相关事件进行关联,定位主机威胁活动链。
4安全风险告警和分析
通过外发异常流量、网页敏感词、篡改、挂马等检测技术确定业务系统/资产是否已被攻击,并将资产存在的后门进行检测,并通过邮件告警等方式向管理员告知已失陷的安全事件。
5全局视角态势可感知
结合外部威胁攻击态势、横向攻击态势、外连攻击态势、业务资产脆弱性态势对全网安全态势进行整体评价,以业务系统的视角进行呈现,可有效的把握整体安全态势进行安全决策分析;从多个维度为关注不同安全视角的用户提供灵活的选择方式;将所有风险业务、风险用户及其所有安全事件、举证、风险和建议都导出来,形成安全态势分析报告。
|
