【连载】2016年中国网络空间安全年报(十)
2016年中国网络空间安全年报
报告在第一章中分析了目前在互联网空间中存在的典型风险、各类攻击、病毒传播等安全威胁以及趋势,基于上文的数据分析结果,可以一定程度上指引和辅助判断信息安全领域的技术发展方向,以便更明确地应对当下与未来的威胁。在第二章中,将会应对当前的主流安全问题,充分吸收了前沿的“机器学习”、“威胁情报”、“自适应安全架构”等技术理念,提出新型的安全防御思路,引导安全从业者提升现有防御能力,并展示了基于这些技术方法在G20杭州峰会、第三届世界互联网大会中网络安全保障应用的实践成果,具有理论与实践结合的借鉴意义。
7. 新形势下的安全防护模式
7.1. 基于自适应安全架构的新型防护模式
随着网络安全的重要性逐渐提升,重要时期的网络安保也成为了重中之重,在各类世界级活动、国家级活动中开展的网络安保工作,是对网络攻防对抗技术的充分考验,安恒提取以往经验,并基于当前的网络安全态势,结合新型安全防御思路,制定了一整套完整的保障方案,充分利用各类安全设备、应急处置设备与风暴中心的先知态势感知平台、玄武盾云防护平台以及飞天镜大数据安全分析平台以及专业的安全团队结合,可为各重大活动提供有力的支撑。
图7-1 重要时期保障方案
整个安保方案采用“数据+事件+安全环路”的安全闭环的思路,该保障思路与Gartner在2015年提出的自适应安全架构(Adaptive Security Architecture)来应对高级定向攻击的架构保持一致,形成了预测->防御->监控->回溯的四个阶段:
- 首先通过使用先知云监测对活动核心系统、重点网站进行安全漏洞的拉网式排查,彻底发现关键信息系统中的基础信息数据、漏洞以及互联网的威胁情报等数据,以供预测其中存在安全风险与可能遭受攻击的情况;
- 其次结合玄武盾防护平台的攻击检测能力,及时发现攻击事件并防御主要的已知攻击行为;
- 然后通过飞天镜大数据分析平台,获取来自玄武盾、各类安全检测设备、防御设备的日志,分析保障数据和威胁情报数据以及安全事件,提取攻击者的特征、网络指纹等数据,全面分析当前攻击情况下的残余攻击和未知威胁,并形成持续性的分析与监控;
- 最终将分析结果如黑客特征、行为特征等再次返回对接玄武盾云防护中心、或对接到相应的防护设备上,及时阻断后续的系列攻击行为,将被动防御转变为主动防护。
7.2. 新型防护保障模式技术特点
2016年安恒公司主要保障的重大活动包括G20世界峰会和第三届世界互联网大会,凭借自身过硬的技术实力,在大会前期,针对检测出的漏洞安恒工程师都给各被检查单位提供针对性的修复建议,并积极推动促进整改与加固,消除安全隐患;在大会期间保持高度戒备,全程监控并成功拦截、抵御海量攻击行为,及时发现可疑访问并通过大数据分析技术准确溯源进行了阻断。在这套安全保障实践中,提取并采用了以下方法,实现主动防御:
1. 结合威胁情报深度分析,挖掘隐藏弱点事前预警
通过飞天镜大数据分析平台分析先知云提供的威胁情报数据,对重点防护资产进行漏洞分析,资产属性分析,综合评估当前资产的安全状态,挖掘隐藏弱点,通过事前预警,保障安全工作,有的放矢。
图7-2 安全状态识别,挖掘隐藏弱点
图7-3 先知云风险预警数据可视化
2. 安保数据实时大数据分析,挖掘残余攻击与未知风险
根据攻击事件的详细数据,结合威胁情报数据,对攻击事件进行路径还原,对攻击意图进行还原,建立攻击者行为模型;根据安全设备对事件的响应情况数据,建立残余攻击未知风险检测模型,检测残余攻击与未知风险。
图7-4 挖掘残余攻击与未知风险
3. 分析结果对接防御中心/设备,及时阻断攻击行为
使用机器学习和大数据技术,实时分析保障数据,并将大数据分析结果与防御平台或设备对接,及时阻断残余的攻击行为或者现有安全设备无法发现的未知攻击行为,保障安全环路。
图7-5 分析结果对接处置平台
图7-6 玄武盾云防护可视化
8. G20杭州峰会安全保障实践
基于以上新型的自适应安全架构保障模式,安恒作为核心安保单位圆满完成最近的几次重要安保活动,包括G20杭州峰会、第三届世界互联网大会等,获得了国家的认可。下文将对这几次的保障成果进行数据分析,展示在新模式下的安保服务,不仅能够保障网络安全,还可以从安全数据中挖掘大量信息,以促进对大会与网络态势的感知。
8.1. G20杭州峰会安保工作投入
本次G20杭州峰会网络安保工作重点保障峰会相关信息系统及网站、关键信息基础设施及基础保障业务系统、大型商业网站及浙江省杭州市重要政府、宣传网站以及其他相关涉峰会信息系统等进行全方位安全监测以及防护。
8.1.1. 部署先进设备,夯实防护设施
本次安恒通过优先部署最先进网络安全设备和配套安保服务手段来保障峰会网络安全,其中提供的网络安保内容包括安全渗透,安全基线检查,等保合规检查,安全加固,安全监控,安全审计,安全保障,安全值守,应急响应,安全设备购买及租赁,安全咨询,安全方案提供及安全事件应急响应等,统筹调度大量业内最新最先进的安全专业设备、计算资源、网络资源等各类资源共计779套,使本次峰会网络安保工作组得到充足的专业技术装备支撑。
表8-1 G20峰会网络安全保障设备
8.1.2. 加大人员投入,抓好统筹协调
G20峰会网络安保期间,安恒从全国各地抽调集中各部门精兵强将到总部G20安保一线,综合其技能特长、工作经验、工作职能等综合因素,分配至各工作小组进行安保工作,除峰会安保工作领导小组外,安恒共调集309位专职人员进行全程的安保工作,其中参与现场值守的人员计238人,值守共计36552人天。现场值守人员职能与人天如下表:
表8-2 G20峰会人员投入
未完待续