《ISC&数说安全:2022十年网安行业代表性案例(160页).pdf》由会员分享,可在线阅读,更多相关《ISC&数说安全:2022十年网安行业代表性案例(160页).pdf(160页珍藏版)》请在三个皮匠报告上搜索。
1、ISC 2022十年网安行业代表性案例网络安全本质是攻防的对抗,不同用户所面对的安全威胁既有共同点,也有差别,但同行业用户的趋同性比较强,通过案例分享提高全行业的安全防护能力于水平是一个好方法。ISC十年推出网络行业代表案例评选,对于大家通过案例学习同行的最佳实践经验,提升网络安全防御水平意义重大!赛博英杰创始人 谭晓生网络安全由合规驱动发展到价值驱动,已经成为一种非常注重场景化和实用性的领域,讲究的是最佳实践,因此,典型案例往往是一项技术或产品,体现其价值的最为重要的证明。本届ISC建立起十年案例这一评选,非常符合网络安全目前的发展阶段,有意义、很及时!数世咨询创始人 李少鹏ISC创于十年前
2、,十年间ISC助力中国网络安全企业成长创新,为中国网络安全带来了无限活力。未来十年,ISC将继续以“创新”为使命,为数字时代的中国网络安全发展助力增彩。赛迪顾问业务总监 高丹案例是从现象到本质的过程,其中既有理论,也有实践。网络安全产业发展需要不断实践探索,案例就是实践过程中最好的知识总结。ISC十年案例评选活动对我国网络安全产业最佳实践形成积累,对促进产业发展有非常积极的作用。数说安全创始人 于江如今,全球数字化转型蓬勃发展,数字安全面临的挑战也愈发复杂。我们希望通过本次ISC 2022十周年系列评选,能为行业的未来提供一份高价值、可参考的发展样板,共同为数字化行业的进程添砖加瓦,而这也是我
3、们举办此次活动的重要价值。360数字安全集团副总裁、ISC主理人 卜思南不管是国家高层战略的推动、还是数字化经济蓬勃发展背景下安全重要性越来越提升,网络安全行业正酝酿着一场百花齐放的大爆发。这样的背景下,我们看到网络安全领域正在经历着越来越细分的发展趋势,这实际上是客户对安全的实战需求和应用场景不断具体化的表现。网络安全行业代表案例的评选,则是让各行业各领域具有代表性的网络安全解决方案得以呈现,给市场以指引作用。我们期待更多的优秀案例诞生,为国家整体网络安全建设提供思路!安全419创始人 张毅专家寄语金融行业优秀案例 中国建设银行构建智慧安全运营体系项目.008 平安壹钱包DevSecOps智
4、适应威胁管理体系落地实践.011 平安科技SOAR落地实践项目.015 东吴证券RAMS信息系统支撑平台.019 国投云云上云下一体化安全建设项目.023 API数据安全访问控制平台建设项目.028 某金融行业客户睿眼Web攻击溯源案例.034 XDR扩展威胁检测响应系统落地实践.041 宁盾 人+端一体化身份方案落地实践.046上海证券“多媒体”系统AI智能防御建设项目.050制造行业优秀案例无锡普天铁心二期产线工控安全建设项目.055某大型汽车制造企业主机安全防护项目.060“爬梳剔抉”车企数据,“曲突徙薪”数安风险.064政企行业优秀案例浙江省湖州市大数据发展管理局DSM项目.071湖北
5、中烟某卷烟厂生产控制系统网络安全建设项目.075政务安全通信与移动办公解决方案落地实践.079天津信创安全工程一期建设项目.083某地方健康码疫情防控个人信息保护项目 .086某部委主机安全防护服务项目.091某市开发区大数据中心资产测绘与漏洞验证服务项目.095目录生活服务行业优秀案例 东方航空应用安全集中管理平台建设.121重庆机场网络安全防护建设项目.北京市热力集团等保合规建设项目.100 华能山东公司供热管网控制系统网络安全防护项目.105 百胜中国基于 XDR 方案的纵深防御体系.110 国家管网集团北方管道安全建设项目.115交通行业优秀案例125运营商行业优秀案例电信行业数据安全
6、治理实践.129南宁国家级互联网骨干直联点检测系统建设项目.135能源行业优秀案例中国海油统一身份管理认证平台建设项目.143吉林油田数字化转型工业互联网安全建设项目.150建筑行业优秀案例中核二二基于零信任身份管理解决方案落地实践.156结语致敬数字安全探索数字化转型的汹涌波涛,让传统的业务模式不断被颠覆、地域限制边界逐渐被打破、数字与物理空间日益弥合,持续为经济增长提供新的动能。然而在高度数字化的发展进程中,不断加剧的安全风险也裹挟而来,网络安全开始扮演着越来越重要的角色,已经成为护航数字经济发展的基座。ISC历经十年岁月传承,不断推动着网络安全技术、产业、生态的突破升级,在此过程中见证了
7、中国安全力量愈发走向世界的舞台。在数字中国成为时代主旋律的当下,ISC站在变革节点,将凝聚和携手行业,筑牢数字经济持续发展的安全底座。网络安全优秀技术成果的落地实践对提升网络安全产业发展质量、夯实国家网络安全基础、提高我国数字经济核心竞争力、实现经济高质量发展具有重要支撑保障作用。为了挖掘网络安全产业优秀技术成果,本届ISC 2022 联合数说安全,集聚业内权威专家评审,重磅上线十周年案例评选活动,向全行业发起代表性案例征集活动,为数字安全未来发展的预判分析给予有效引导。本次案例评选活动经过海选、专家评委打分初筛、线上答辩及专家评审最终评选出十大网络安全最具代表性案例和 31 个网络安全优秀案
8、例,涉及金融、政企、运营商、能源、交通、服务业、建筑业和制造业等领域,帮助客户及广大企业把握数字经济发展趋势和规律,充分发挥技术及丰富应用场景优势,打造数字经济新优势,加快推动数字产业化,赋能传统产业数字化转型升级。ISC 十周年案例评选活动金融行业优秀案例序号案例提供方案例名称1360 数字安全集团中国建设银行构建智慧安全运营体系项目2悬镜安全平安壹钱包DevSecOps智适应威胁管理体系落地实践3雾帜智能平安科技SOAR项目4八分量东吴证券RAMS信息系统支撑平台建设项目5安全狗国投云云上云下一体化安全建设项目6众图识人API数据安全访问控制平台建设项目7中睿天下某金融行业客户睿眼Web攻
9、击溯源案例8未来智安XDR扩展威胁检测响应系统落地实践9宁盾宁盾 人+端一体化身份方案落地实践10中云网安上海证券“多媒体”系统AI智能防御建设项目 制造行业优秀案例序号案例提供方案例名称1木链科技无锡普天铁心二期产线工控安全建设项目2360 数字安全集团某大型汽车制造企业主机安全防护项目3云集至“爬梳剔抉”车企数据,“曲突徙薪”数安风险 政企行业优秀案例序号案例提供方案例名称1美创科技浙江省湖州市大数据发展管理局DSM项目2安帝科技湖北中烟某卷烟厂生产控制系统网络安全建设项目3北卡科技政务安全通信与移动办公解决方案落地实践4360 数字安全集团天津信创安全工程一期建设项目 5炼石某地方健康码
10、疫情防控个人信息保护项目6安芯网盾某部委主机安全防护服务项目7云科安信某市开发区大数据中心资产测绘与漏洞验证服务项目 “2022 十年网安行业代表性案例报告”入选结果公布运营商行业优秀案例序号案例提供方案例名称1安华金和电信行业数据安全治理实践2金睛云华南宁国家级互联网骨干直联点监测系统建设项目 能源行业优秀案例序号案例提供方案例名称12 中国海油统一身份管理认证平台建设项目中海油惠而特吉林油田数字化转型工业互联网安全建设项目建筑行业优秀案例序号案例提供方案例名称1易安联中核二二基于零信任身份管理解决方案落地实践 生活服务行业优秀案例序号案例提供方案例名称1北京热力集团北京市热力集团等保合规建
11、设项目2天地和兴华能山东公司供热管网控制系统网络安全防护项目3360 数字安全集团百胜中国基于XDR方案的纵深防御体系建设4聚铭网络国家管网集团北方管道安全建设项目 交通行业优秀案例序号案例提供方案例名称1默安科技2天翼安全 东方航空应用安全集中管理平台建设项目重庆机场网络安全防护建设项目金融行业优秀案例01【金融行业优秀案例】ISC 2022008中国建设银行构建智慧安全运营体系项目案例提供方:360 数字安全集团案例关键词:安全运营、漏洞管理、威胁情报案例背景:在数字化转型过程中,新金融科技蓬勃发展,如物联网理财、互联网现金贷、证券、保险、手机银行、P2P支付、移动支付等,呈现出业务模式和
12、服务对象多元化特征。全天候、多渠道的金融科技在带给客户方便快捷体验的同时,安全风险急剧升级,针对金融基础设施的攻击手段更是层出不穷。作为中央管理的大型国有银行 中国建设银行(简称“建设银行”)秉持“数字经济,安全先行”的理念,已在网络中的各个关键位置部署了大量的安全基础设施防御产品。为了更好地应对网络安全风险和业务安全风险,保障关键资产安全,建设银行亟需对旧有安全运营体系内零散的安全资源进行整合,重构对应的安全资源与服务能力。经过多方面考察,建设银行最终选择与 360 政企安全集团牵手,共同构建位于建设银行总部的智慧安全运营系统,筑牢网络安全的生命线。360 数字安全集团拥有数字化安全能力,基
13、于安全大数据和资产漏洞管理数字化,以大数据分析为核心、以事件处置为主线,联动威胁情报,可为建设银行构建智慧安全运营平台,切实帮助其提升数据集中化、决策智能化、处置自动化水平,这也正是建设银行选择牵手 360 数字安全集团的关键原因。关键挑战:建设银行是国有五大商业银行之一,其主要经营领域包括公司银行业务,个人银行业务和资金业务,设有14741 个分支机构,服务亿万个人和公司客户。在基金、租赁、信托、保险、期货、养老金、投行等多个行业拥有子公司,境外机构覆盖 31 个国家和地区,拥有各级境外机构 200 余家。按一级资本排序,建设银行在全球银行中位列第二。近年来,互联网技术不断深化应用,建设银行
14、正在以现代金融服务方式为起点,与不断更新的互联网技术融合,将银行传统的柜面业务引向网络。但伴随而来的是,要面对海量的安全日志数据、应用日志数据、业务数据、外部数据及互联网威胁情报数据等各种安全相关数据的安全分析需求。数字化转型背景下,新金融业务场景带来网络安全风险升级,迫使建设银行亟需建立智慧运营和多元协同的新一代安全体系。CASE 01【金融行业优秀案例】ISC 2022009因此,建设银行对于智慧安全运营系统项目提出了两方面需求:基于建设银行企业级安全架构和数据架构,依托大数据云服务,亟需搭建建设银行数字安全底座,如对IT智慧运营方面:安全运营需要一个动态、立体的防护体系,包括安全设备、安
15、全技术、安全管理等多个层面,以及为建设银行建立可持续进化的安全能力,来适应新金融业务场景,满足智慧安全运营相关业务需求。因此,资产、威胁情报、漏洞信息、网络流量、端点设备行为进行数字化。有了数字安全基础,在云端安全大脑的赋能下,才能进一步提升建设银行的安全事件检测分析能力,应对高级别常态化攻击。多元协同方面:作为大型央企集团,建设银行总部需要对全局安全状况进行监控和向下预警,从全视角维度发现潜在的真实攻击事件,为安全处置决策提供支持。因此,建设银行亟需构建多元协同、深入融合的安全防御体系,确保动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控,实现高效协同的安全防护与运营。解决方案:鉴
16、于建设银行业务转型带来的安全难题,以及提出的具体需求,360 专家团队将智慧安全运营项目进行了全面部署。首先,为客户建设安全分析平台和漏洞管理平台。安全分析平台建设包括告警集中监控、场景规则管理、关联分析能力以及数据分析可视化建设。漏洞管理平台建设主要满足资产数字化、漏洞情报预警、漏洞在线处置和漏扫任务编排等需求。具体而言,就是切实为建设银行解决全方位安全监测的问题。基于大数据云平台,对多元化的IT资产数据进行统一采集、管理和数据治理,形成企业级IT资产数据整合池和统一视图;建设了IT资产管理、漏洞管理、情报管理应用,构建全行漏洞全生命周期管理流程;依托大数据云服务,开发安全运营平台所需的大数
17、据安【金融行业优秀案例】ISC 2022010全分析引擎。其次,以安全分析引擎为核心,强化多场景安全分析。以安全分析引擎为核心,紧贴金融业务特点优化检测分析模型,将安全事件与网络和业务运行环境进行关联,透过更广泛信息相关性分析,识别潜在的安全威胁。完成对检索、流式、关联引擎的平台功能释放调试,持续开展ASIA中低危告警分析,推进异常登陆行为、主机文件上传、攻击链事件、URI资产采集、权限提升、横向移动、数据泄露等典型场景的安全分析、建模和落地执行。此外,还通过云端情报知识赋能,实现安全能力可持续进化。360 数字安全集团为建设银行在云端提供漏洞众包、威胁情报、实战靶场、安全培训等多类云端服务和
18、大数据赋能,实现本地安全大脑到云端服务的交互,使得安全能力得到持续地提升和进化。创新性与优势:科技创新必然带来新的风险,当前商业银行金融科技创新步伐持续加快,系统的复杂性、用户的多样性、应用环境的差异性对网络安全提出了更高的要求。建设银行也在持续优化智慧安全体系,不断提升安全服务和保障能力。智慧安全体系在 360 智慧安全运营平台不断赋能下,通过将云端安全大脑的安全情报、知识、专家能力赋能本地智慧安全运营平台,帮助建设银行融合安全系统,全方位守护了金融企业的网络安全。智慧安全运营平台基于真正的大数据架构,实现了对多源异构海量数据的快速轻便采集与范式化;利用交互式数据可视化技术,可以通过不同维度
19、全面展现整体安全态势;结合威胁情报信息,通过内置高效关联分析以及机器学习等智能化模型对数据进行全面实时的安全分析;结合MITRE ATT&CK 攻击战术与技术框架,实现了威胁检测、溯源取证、威胁预警和智能防御,让安全“可知、可辨、可溯、可控、可管、可视”。与 360 数字安全集团的通力合作,是建设银行进一步完善金融安全生态圈一个缩影。互联网环境下,每个企业都不能独善其身,必须与外部机构形成合力,多措并举才能防控金融科技风险。应用效果:“目前,建设银行智慧安全运营已经达到了实时掌握安全态势自动生成、线上处置安全事件、实时跟踪处置情况的效果,解决了 看得见的问题。我们也在与建设银行沟通,进一步建设
20、覆盖全部安全运营场景,提高发现、预警和处置与业务相关的威胁能力,助力实现安全运营集团一体化。”360 该项目负责人表示。【金融行业优秀案例】ISC 2022011平安壹钱包 DevSecOps 智适应威胁管理体系落地实践案例提供方:悬镜安全案例关键词:DevSecOps、敏捷安全、开发安全案例背景:平安壹钱包电子商务有限公司(以下简称“平安壹钱包”)隶属于中国平安保险(集团)股份有限公司(以下简称“平安集团”),其以支付为核心,提供理财、购物、生活、借贷、航旅等多样化场景的金融理财与消费支付服务,为企业提供完善综合的支付解决方案。平安壹钱包持续依托平安集团综合金融优势,不断推出创新、便捷、惠普
21、的金融服务。随着互联网和金融业务的快速发展,兼具一定互联网属性的平安壹钱包在企业数字化转型的过程中,为满足业务需求要求自身的业务系统和应用程序可以保持高速迭代。在这种情形下,平安壹钱包在三年前决定使用DevOps开发模式,加速自身的开发流程。在之前的开发模式下,往往都是由安全部门发现漏洞后提出修复意见给到研发部门,但由于安全部门和研发部门之间存在跨部门沟通的问题,往往导致漏洞难以及时被解决;并且在企业数字化转型的背景下,各部门都有业绩压力,研发部门更容易将安全部门的修复意见理解为一个业务层面的需求,从而对这个需求进行反驳和挑战。因此,如何将安全能力无感知的融入到DevOps流程中,同时将信息安
22、全管理工作透明化,建立统一的自动化检测流程是平安壹钱包在企业数字化转型中面临的最大挑战。关键挑战:Gartner副总裁兼院士级分析师Neil MacDonald表示:企业正投入越来越多的资源以应对信息安全与风险。随着企业数字化转型进程的推进,容器、中间件、微服务、DevOps等新技术理念的演进,加速了软件行业的发展,但同时也导致软件设计开发的难度和复杂性加剧,软件供应链安全问题愈发复杂,全链路安全防护难度不断加大等问题。平安壹钱包在构建整个DevSecOps敏捷安全管理体系的过程中,主要面临以下四个挑战:1、以往的安全介入时间太靠后,往往在软件上线前进行安全测试,无法做好敏捷开发模式下的安全运
23、营和防护,已无法满足新兴网络技术带来的各种安全威胁;2、传统应用安全测试过程中存在重放数据包产生的脏数据问题,极大地影响了开发效率;CASE 02【金融行业优秀案例】ISC 20220123、传统应用安全测试工具难以整合到DevOps流水线中,开发流程与测试流程仍处于割裂状态,无法实现软件产品的快速迭代、持续交付;4、传统的安全管理体系无法应对DevOps开发模式下的敏捷开发、持续交付,无法及时形成安全管理闭环。因此,平安壹钱包提出 安全开发体系 3.0 落地实践,与悬镜安全联合定制开发和服务引入SAST、SCA、IAST、DAST等开发安全工具链,与CI/CD、DevOps平台集成,打造企业
24、DevSecOps智适应威胁管理体系建设,在上线前完成安全扫描工作,通过采用AST工具,可有效识别漏洞,对漏洞进行统一的规范性命名与标准化描述、实现及时检测与修复漏洞,为企业安全保驾护航。解决方案:悬镜安全将多年的红蓝对抗经验融合到平安壹钱包的DevSecOps智适应威胁管理解决方案中,打造包括威胁建模、开源治理、风险发现、威胁模拟和检测响应在内的软件开发全生命周期安全解决方案,协助客户建立DevSecOps CI/CD黄金管道,利用关键CI/CD自动化工具链技术(IAST应用安全测试、SCA第三方组件成分分析、RASP运行时应用自保护),实现CI/CD自动化工具链对业务系统的支撑。CI/CD
25、自动化工具链包括:威胁建模:夫子ATM情景式威胁建模平台;开源治理:源鉴OSS/OpenSCA开源威胁管控平台;风险发现:灵脉IAST灰盒安全测试平台;威胁模拟:灵脉BAS威胁模拟与安全度量平台;检测响应:云鲨RASP自适应威胁免疫平台。平安壹钱包应用流程架构【金融行业优秀案例】ISC 2022013创新性与优势:1、国际领先的代码疫苗技术在DevSecOps赛道,悬镜安全拥有的 28 项原创专利级核心技术和智能算法,既能诊断应用自身存在的漏洞和缺陷,也能积极防御外部未知威胁,实现数字化应用出厂免疫。通过将悬镜安全的代码疫苗技术对接平安壹钱包已有的神兵DevOps平台,在企业内部构建一套完整且
26、闭环的DevSecOps CI/CD黄金管道体系,实现CI/CD自动化工具链对业务系统的支撑。2、独创第三代 DEVSECOPS 智适应威胁管理体系悬镜安全探索出的基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第【金融行业优秀案例】ISC 2022014三代DevSecOps智适应威胁管理体系,目前已帮助数百个行业头部企业创新实践,通过打通软件开发生命周期的需求、设计、开发、测试及线上运营等关键阶段,实现漏洞数据统一分析,整体关联,全程治理。3、多行业覆盖达市场应用率第一悬镜安全提供的第三代DevSecOps智适应威胁管理体系,目前已经覆盖金融、能源、智能制造、运营
27、商、泛互联网等多个行业,根据中国信通院权威发布的 中国DevOps现状调查报告显示,悬镜安全IAST技术占据市场应用率第一。平安壹钱包通过引入悬镜安全DevSecOps工具链能够使安全团队准确并全面的了解应用中存在的安全风险态势,加速企业数字化转型进程。应用效果:做好DevSecOps敏捷安全体系建设,配套工具链技术的支撑非常重要。悬镜灵脉IAST灰盒测试平台作为一种新兴的交互式应用安全测试工具,在落地实践过程中表现出高检出率、低误报率及柔和嵌入现有DevOps体系等新特性,可为金融行业的数字化业务系统提供相对准确的安全测试和审查帮助。悬镜灵脉IAST灰盒测试平台非常好地融入到平安壹钱包Dev
28、Ops的落地实践中,对于平安壹钱包DevSecOps文化建设有着极其重要的意义。虽然平安壹钱包在DevSevOps敏捷安全解决方案的落地建设中总支出约 500万人民币,但通过该解决方案的落地使得平安壹钱包整体项目的漏洞平均风险值下降了35%,项目平均高危漏洞数下降了45%,并且该比例正在持续下降,因此帮助平安壹钱包避免了因安全漏洞出现给其带来的数亿元人民币的潜在损失。经验总结:随着数字化转型成为国家战略,各行业的组织都在把数字化转型作为企业首要的变革方向和战略。企业数字化转型是指产业与数字技术全面融合,提升效率的经济转型过程。软件程序的性能状况直接影响了企业数字化业务的顺利开展。因此,保障软件
29、的应用性及安全性有助于加速企业的数字化转型的进程。平安壹钱包在实行数字化转型的过程中,也曾遇到企业内部跨部门沟通困难、研发部门将安全作为阻碍业务发展的因素之一导致协作困难等情况。但通过引入悬镜DevSecOps智适应威胁管理解决方案,实现将安全无缝集成,建立 “自上而下管理,自下而上负责”的统一安全观念,让安全不再只是安全人员的事,而是融入到整个团队中。【金融行业优秀案例】ISC 2022015案例提供方:雾帜智能案例关键词:安全运营、SOAR案例背景:2019 年底负责全集团安全的平安科技公司,已经构建了比较完善的安全管理体系和安全技术体系,具备快速准确地识别网络攻击事件或威胁的能力,但在安
30、全事件自动化应急响应领域还希望有更高的提升,尤其是全面改善徒手应急响应应对自动化、智能化的网络武器攻击的现状。因此,平安科技希望通过构建安全自动化运营体系来加快应急响应速度,减少安全事件带来损失。平安科技在安全运营现状中的主要痛点是集团安全监控中心每天有大量的安全威胁告警事件需要处置,大量的响应处置主要通过SOC系统工单下发到下级专业公司,再由各专业公司安全人员进行处理,其中亟待解决的问题包括:安全事件的处置及时性依赖人员在岗状态;安全事件分析和诊断需要查询数十个产品、界面或指令;安全事件响应缺乏自动化支撑,速度、水准、质量很难得到保证、安全处置经验难以沉淀不利于安全团队成长。因此,客户开始寻
31、求新型的安全产品或解决方案通过自动化、人机协同等方式解决安全事件运营这一难题,尤其是应急响应最后一公里的问题:实现自动化、标准化的完成安全应急处置;可视化、低代码化完成安全事件流程的图形编排;智能化、协同化地完成安全团队的协同作战。关键挑战:1)安全事件数量庞大,安全运营人力成本越来越高每天的安全告警事件数量达到数万条,经过相关系统再次自动分析后仍然有数千条需要人工介入处理,安全运营人员疲于应对,很难保障所有安全事件都可以高质量完成;2)事件响应的自动化处置水平有待进一步提升安全运营人员每天需要花费大量时间在多个系统的查询、分析界面来回切换,会花费大量时间在重复低效的工作上;3)安全运营复杂程
32、度和难度越来越高安全设备和系统越来越多,有些安全运维或相关系统没有良好的使用界面,原厂仅提供API接口,后期还需开发人员去做编程对接才能使用,加剧安全运营的复杂程度;CASE 03平安科技SOAR 落地实践项目【金融行业优秀案例】ISC 20220164)安全告警事件分析能力与处置经验难以复制和传承安全运营人员需要较长时间的培训和经验积累才可以胜任工作,这大大影响了安全运营工作整体的效率。解决方案:平安集团安全运营平台在已经具备了安全事件收集、关联分析、事件告警、工单流程等安全能力的基础上,对安全系统集成、联动以及安全事件自动化处置能力提出了更高的要求。在该方案中,客户通过自研的海量安全事件监
33、控运营平台NGSOC结合创新网络安全公司雾帜智能的HoneyGuide智能风险决策系统,充分利用SOAR安全编排能力,消除安全系统/工具之间的数据壁垒、互操作壁垒,也将安全运营人力从系统运维中解放出来,让安全运营人员更专注于安全编排、剧本编写以及一些更高阶的技术分析工作,从而全面提升风险定位和事件响应效率,缩短MTTR。创新性与优势:平安科技的SOAR项目是国内金融科技领域首个大规模场景的落地实践,也是真正通过安全编排自动化为安全运营极速降本增效的典型示例,同时这也是平安科技为保障企业和客户的信息安全,不断地全面构建综合网络安全能力方面,持续关注、持续投入、持续创新的印证。本项目在线虚拟作战室
34、解决了安全事件运营过程中人人、人机的协同的问题,通过SOAR安全剧本编排解决了安全事件响应过程过度依赖人工的问题,从而实现全面加速安全响应这一目标。平安科技 NGSOC+SOAR 解决方案架构【金融行业优秀案例】ISC 2022017 SOAR 安全剧本模板图 SOAR 大幅提升安全运营效率该集团公司的安全运营事件处置工作陆续迁移到SOAR平台上,在运行的自动化剧本包括:主机隔离、主机隔离回退、IP资产定位、WebShell事件调查、钓鱼邮件处置、病毒事件处置、弱口令事件处置、VPN异常事件处置等 7 个类别的 60 多个自动化执行剧本。应用效果:通过部署和运营SOAR解决方案,客户安全运营极
35、速将本增效。通过SOAR剧本可实现分钟级或秒级的应急响应,达到几十倍甚至上百倍的效率提升。【金融行业优秀案例】ISC 2022018客户内部技术专家曾在多个安全会议上分享起内部SOAR落地时间的成果,对SOAR在安全运营层面带来的价值非常认可,如:“第一,比如信息富化一个剧本,能让我们的事件响应人员不再需要登录多个系统去查询IP和主机的归属、设备类型、安全基线等。当安全人员接到事件时,富化的信息都自动带来了。就算我们一天处理 200 个事件,每个事件查询,SOAR帮助节约 3 分钟,光这项一天下来就能节约 1.25人/天,这个人就能用来做更高级的工作;第二,我们有 6 个场景实现全自动响应,这
36、种事件场景下,大幅度节省了人力成本。”经验总结:当然任何一项新技术在落地过程中都不是一蹴而就的,还需要安全运营人员认真使用和持续运营。要想SOAR解决方案能够在实战场景中得到落地,在具体落地实施过程中,还需要充分考虑以下三点:1.安全剧本场景是否足够丰富;2.安全能力对接是否足够全面;3.如何通过产品能力帮助客户拉齐不同安全组织之间的能力水位。在该客户项目成果落地一年后,客户取得了特定安全场景极速降本增效的运营实战效果,并且将不同专业公司对于相关场景的安全响应处置能力提升到了基本相同的水平,进一步达成了集团赋能下属安全团队能力的目标。即便如此,平安集团在网络安全运营方面仍然有更高的追求,希望未
37、来可以将更高比例的安全事件通过SOAR去处置,更多的经验通过安全剧本去沉淀,更便捷的协同工作通过SOAR去落地。【金融行业优秀案例】ISC 2022019东吴证券RAMS 信息系统支撑平台案例提供方:八分量案例关键词:RAMS、数据安全CASE 04案例背景:近几年,网络犯罪分子不断翻新攻击手段,服务器数据存储面临着恶意篡改、文件管理混乱、行为记录遗失等数据风险。证券行业站在金融安全的第一线,如何构建出由内而外的安全生态体系,形成各环节协同高效的主动防护能力,显然已变得至关重要。随着证券业务的发展,券商系统面临着多重运维压力,越来越快的业务响应需求和大量并发交易,业务可靠性、连续性需求日益增加
38、;设备或配置频繁的更新,系统迁移带来的风险陡增,对偶发性问题定位不准确或无法定位,运维感知力薄弱等。过山车般的行情冲击对各大券商信息系统的支撑能力形成严峻的考验,如何在安全可靠的前提下保持系统稳定可靠运行,释放市场交易对券商IT系统提出的高可用性、业务连续性压力,以实现对业务系统各类资源及运行状态的集中掌控,成为很多券商IT部门面临的首要课题。关键挑战:证券行业站在金融安全的第一线,在网络安全环境和形势的持续变化中,在监管追责日趋严厉的信息化趋势中,亟需切实有效的制定安全策略。安全作为公司信息技术对业务的重要支撑,一方面需要自身具备机密性,另一方面遵从国家号召,信创改造,用自研的核心技术更好的
39、为业务服务,创造更大的效益。传统券商基础运维架构越来越复杂,设计技术和平台日益增多,数据治理和规范较差,难以有效整合利用;各类数据生成维度和颗粒度不一致以及数据量井喷,常规运维工具基本不具备TB级数据吞吐计算能力;运维数据的存储、分析、可信度难以控制管理,数据价值难以提升;管理层对数据分析结果、实时性要求增高,离线计算场景向实时场景转变。传统运维平台难以满足数据时代运维需求,引入大数据分析技术是运维发展的必然趋势。【金融行业优秀案例】ISC 2022020解决方案:针对证券经营机构信息系统的可靠性、可用性、可维护性以及安全性设计了具备RAMS四大特性的综合应用平台,为行业信息系统支撑服务提出了
40、统一的解决方案。基于RAMS框架的理念,我们定义了整个系统的功能范围,以及与功能范围相适配的应用的框架,从下而上平台应用分为四个层次。为了实现系统的设计功能,对于应用框架中的各个层次,我们整合了多种技术:(1)整个系统处理的对象主要包括:基础设施、通用服务、业务系统,三个方面。基础设施主要负责物理层、操作系统相关部分的信息采集以及远程操作的执行。通用服务主要处理一些典型的数据库、Web容器等,监控它们的实时状态,并远程控制。业务系统主要通过日志、接口、进程、报文等信息获得业务系统的状态,或者通过可能存在的运维接口控制业务系统的运行;(2)采集通信层包含数据采集、传输的技术,我们系统内部使用的主
41、要包括通用探针负责指标采集、命令执行;拨测探针部署在互联网上,测试对外接口状态;Socket二进制通信、HTTPS、Syslog采集日志、SPAN报文旁路实现交换机的网络报文和流量的采集;SNMP实现采集网络设备状态信息;消息队列是消息的传输过程中保存消息的容器;(3)一体化运维包括:接入层的Haproxy、虚拟IP;RabbitMQ消息队列;以及各层用到的核心IT技术;(4)数据中心部分逻辑处理数据的相关技术,提供了从存储到计算平台到算法的一体化全方位的大数据支撑。其中存储相关的HDFS、HBase、MongoDB、文件系统、Infl uxDB、关系数据库、ElasticSearch搜索引擎
42、等技术为监控数据提供了多样的存储媒介、满足了不同的存储需求;计算平台相关的MapReduce运行一些批处理任务、Spark运行流式计算任务(Spark Streaming)、Hive执行类SQL查询、Pig主要数据挖掘相关算法计算平台,为大数据的处理提供了计算能力支撑。数据中心支持的主要算法包括聚类算法、【金融行业优秀案例】ISC 2022021决策树算法、离群检测算法、数据关联等,为挖掘数据价值、高效运维、智能运维等提供了可能性;(5)安全支撑主要包括经典的安全技术(病毒扫描、漏洞扫描、补丁安装等);可信计算、区块链防篡改特性等技术实现边界安全、计算环境安全、数据安全。平台创造性的使用了可信
43、计算、区块链技术,并在底层支持国密算法,为系统的可信环境支撑依据数据安全提供了强有力的保障。通过可信Agent在目标机器上构建了从硬件芯片到操作系统到软件层面的可信链条;通过白名单定义了目标机器的可信行为,确保主机始终处于可信任的状态;通过防篡改Agent实现系统关键数据的完整性防护;(6)平台底层采用探针和Agent等方式采集数据并汇总至一体化运维。一体化运维的功能模块,采用微服务的架构模式,服务按照业务能力进行划分,集群部署;前端数据展示层,采用前后端分离的模式,基于Vue和Element UI的前端框架开发了一套用户交互友好的页面。创新性与优势:其一,创新性的使用区块链技术实现金融关键数
44、据、代码与信息的全生命周期的不可篡改,抵御恶意攻击、高鲁棒性,提升金融关键数据的可靠性与安全性。优化区块链现有主流拜占庭共识算法,改善当前区块链需要穷举半数以上节点投票共识才能完成交易的高运算特性,创新的增加信誉系统的权重共识比例因子,大幅度减少区块链节点信息的共识计算成本,加快区块链上数据的传送速度。使得传统区块链技术能够大量减少了共识节点的共识结算量,执行速度提高了 10 倍以上。其二,行业内首次使用可信计算技术防范恶意程序入侵与可疑代码执行。通过建立自动化的金融关键信息系统基础设施的进程白名单与用户行为白名单,有效识别内外部威胁进程。及时辨别内外部的异常行为,有效发现入侵以及渗透工具的长
45、期潜伏破坏如窃取数据的后门木马、APT或者勒索病毒攻击等,将内外部威胁在第一时间发现并及时处置。其三,实现多维度、全链路的一体化运维蝶变转型。平台采用自主研发探针技术采集与分发、运维大数据分析、运维行为画像、镜像流量业务性能分析、APM全链路性能监测、CMDB配置管理、RPA自动化运维机器人、无纸化运维流程等技术实现多维度、全链路的一体化主动运维转型。其四,基于可信区块链的DevSecOps主动防御体系。通过建立自动化的金融关键信息系统基础设施的白名单,主动识别内外部威胁进程,限制了入侵者可能实施的攻击手段,进而降低了用户画像技术对大数据集规模的需求,更精简聚焦用户。【金融行业优秀案例】ISC
46、 2022022应用效果:经济效益:降低证券系统故障发生概率,提升业务稳定性2015 年底上线至今,RAMS信息系统支撑平台提供监控报警两万余次,盘中紧急切换预警 18 次,拦截非既定程序 159 次,故障预判 5 次。充分发挥信息技术对业务价值提升的作用,每年为公司减少直接经济损失 5000万元以上,间接创造收入 1000万元以上。提高信息执行效率,节省IT相关人力 RAMS信息系统支撑平台能够更有效地通过技术手段完成系统运行、基础保障、信息安全等相关的传统IT工作。平台上线至今替代的传统人力成本为 8 个IT运维与管控人员。社会效益:该项目具有较好的推广价值,已经有超过 10 余家券商同行
47、业专家现场进行了交流与学习。申请 3 篇专利,获得 3 篇软件著作权,获得多项荣誉奖项。经验总结:缺乏关键用户的参与:项目实施有大量的工作需要项目组落实,但客户人为项目实施事软件供应商的事,只要学会使用即可,导致实际结果与预期有差异。优化方案:我们不仅要“一把手”的参与,还需要关键用户的支持,关键用户起到桥梁的作用,关键用户必须全程参与项目实施,协调方案讨论、需求确认、计划审定并于实施人员一起推动项目实施。培训效果急于求成:客户对软件的功能、流程及设计思想认识不足,坚持过去的模式,引起后期数据输入错误多,实施人员不得不花费大量时间核对数据,纠正数据错误。优化方案:培训一定要让客户了解实施的整个
48、过程以及各个阶段的内容和目标,让客户明白实施能给客户带来的价值是将软件先进的设计思想与企业的实际结合,能够帮助客户解决问题。【金融行业优秀案例】ISC 2022023国投云云上云下一体化安全建设项目案例提供方:安全狗案例关键词:XDR、云原生安全CASE 05案例背景:随着业务的不断增多,云计算的成熟应用,网络的规模和复杂度都在不断提升,传统数据中心和云环境以及其中运行的服务器、虚拟机、容器成为关键基础设施,随之而来面临的困难就是如何更快、更有效、更全的解决关键基础设施的安全问题,以及如何将传统数据中心和云环境统一进行管理。因此,对于国投云网络安全建设来说,网络安全建设工作并不是采用简单的防护
49、手段,传统的“查缺补漏”已经难以解决云计算环境下的安全需求,必须建立体系化的网络安全保障能力,在技术、管理、运营等方面实现统一的设计规划、统一的策略配置、统一的运行维护,构建完善的网络安全体系,全面提升网络安全防护水平。关键挑战:基于云上安全防护组件的资源控制技术企业级云或云原生安全产品要求运行于主机上的云安全代理软件运行稳定且性能消耗低,在业务高峰期也不能影响业务应用正常运行。现有云上安全防护组件往往都是由多个安全代理软件堆叠而成,在实际环境中将产生严重的性能消耗,影响业务正常运行,已成为阻碍安全产品应用的关键因素。解决方案:为了解决云上安全防护组件大量消耗性阻碍安全产品应用的问题,本项目创
50、新提出“N合 1”轻代理开放式技术架构和云工作负载安全Agent资源控制自适应算法,以实现多安全场景云工作负载稳定运行。“N合 1”轻代理开放式技术架构只需在单主机上部署一个Agent底座,通过插件灵活扩展就能同时满足宿主机安全、容器安全、微隔离、漏洞补丁等场景,避免了现有方法在单主机上须部署多个Agent软件的弊端。【金融行业优秀案例】ISC 2022024云工作负载安全Agent资源自适应算法则是在传统的内核态进行资源控制和隔离的基础上,研发了用户态进程CPU资源占用率控制技术,在内核版本不支持Cgroup和单纯的CPU资源控制的应用场景中能够对进程CPU资源占用率实现有效控制,针对用户需
51、求灵活设置控制策略,既有效提高了CPU利用率,也保障关键业务的资源分配。基于该算法的云上安全防护组件几乎涵盖所有传统安全防护功能,并达到单核CPU 1%,峰值5%的低能耗。“N 合 1”轻代理技术架构图 AGENT 资源自适应算法逻辑图【金融行业优秀案例】ISC 2022025同时本项目中还采用了基于AI的云工作负载网页后门查杀技术核基于多维度运行时监控算法的云工作负载新型攻击检测技术。针对不同攻击类型,该技术的具体应对策略如下:(1)Java内存马攻击检测技术,获取JVM运行时的字节流,提取其class字节码的ConstantPool、Method,进而检测恶意特征,可高效查杀Filter、
52、Servlet、Agent等多类内存木马;(2)WEB远程代码执行攻击检测技术,从进程中获取实时数据,并基于规则进行分析,可实时检测ATT&CK攻击链的各阶段;(3)容器逃逸攻击检测技术,将进程监控技术应用在Docker容器新场景,可在攻击前中后阶段高效开展检测。创新性与优势:1.一体化云工作负载安全防护平台一体化云工作负载保护平台是基于主机agent的解决方案,实现跨物理机、公有云、私有云、混合云等多种数据中心环境,为(云)主机提供了配置和漏洞管理、网络流量可视化、系统完整性监控和管理、应用程序控制(白名单)、攻击阻止和内存保护的五大核心保护策略以及高级行为检测、漏洞防御、蜜罐和杀毒软件的基
53、础支持能力。主要功能如图:2.基于“XDR”的纵深防护体系基于“XDR”的纵深防护体系是以安全大数据中台和SOAR为核心,构建一个统一的、开放的、人工智能驱动的检测和响应方法,收集和关联所有现有的安全工具,实现纵深式的防护体系来保护整个企业被攻击面。在架构上,将覆盖网络侧(含南北向、东西向)、主机侧、容器侧、蜜罐诱捕的等全栈纵深检测和响应能力,一体化云工作负载安全防护平台主要能力【金融行业优秀案例】ISC 2022026 基于“XDR”的纵深防护体系架构形成联合发现和联合抵御的纵深防护局面,并且没有供应商锁定,充分利用现有的安全工具,不会强迫将安全堆栈迁移到单个供应商的防火墙、SOAR、EDR
54、当中。3.漏洞情报运营体系基于同一个Agent底座,构建漏洞补丁管理统一运营,对全网的漏洞信息进行扫描及管理,提供系统漏洞补丁的一键修复,并具有可对接的API接口,帮助单位进行漏洞补丁运营,从而简化用户的工作量,实现全网主机的漏洞补丁的管理,降低安全风险,提高工作管理效率。漏洞情报运营体系采用OVAL+NASL多漏洞引擎扫描技术并结合POC验证,对指定范围内的漏洞扫描、查找操作系统、web容器、应用组件框架、网络设备、数据库等安全对象存在的安全风险、漏洞和威胁。多漏洞引擎扫描技术中的漏洞检测库结合安全狗多年的研究积累,形成一套精准的漏洞情报库,漏洞情报库中将高危、必需修复的漏洞进行分类,当用户
55、发起漏洞检测时可自动检测标注出高危必打漏洞,用户仅需一键点击修复,系统即可对高危漏洞进行补丁安装,流程全自动,安全可靠。漏洞情报运营体系架构如下:漏洞情报运营体系架构【金融行业优秀案例】ISC 2022027应用效果:在项目初建之期,通过漏洞补丁统一运营平台对业务系统进行风险评估,对 31 个关键重要业务系统发现1640 个漏洞,并对重要的业务信息进行加固整改,同时完成对网内其他信息设施的漏洞发现及补丁修复,帮助企业在事前就做到系统的安全加固,减少漏洞风险面暴露,避免作为黑客入侵的关键手段所利用。同时在安全攻防演习期间,帮助用户进行指挥协同、统筹管理、应急响应的重要支撑,保障演习工作的顺利进行
56、。在防守工作中 7*24 小时安全监测、分析,及时发现攻击和异常情况,针对网络安全事件提供自动化应急手段和应用处置工作。在演习期间,累计拦截各类攻击 567705 次,处置安全威胁 15377 次,在安全事件当中有效抑制网络攻击行为,消除网络安全风险起到了至关重要的作用。经验总结:随着云计算的普及,用户信息化已逐渐上云,在传统IT架构和云IT架构的相结合下,网络安全面临更复杂多样的安全问题和需求保障。通过本项目的成功落地解决了如何在现代信息化安全建设环境多样化的场景下构建全面的安全保障能力。若将本次项目成果应用扩展到各行业的企事业单位以及工业网、车联网、IT和OT融合的 5G网络、边缘计算等新
57、型场景中,可以为这些信息数据中心提供云上云下一体化纵深防御相关的安全风险、威胁、安全防护、管理运营进行最佳实践,具有最佳示范意义和推广价值。【金融行业优秀案例】ISC 2022028API 数据安全访问控制平台建设项目案例提供方:众图识人案例关键词:数据安全CASE 06案例背景:数据作为建行重要的战略资产,驱动线上业务快速发展,加速企业战略化转型。而伴随着数据的高度集中和广泛使用,数据安全风险也日益加剧。其中,数据滥用风险防范机制相对薄弱,而公民隐私保护意识不断加强,国家相关法规逐渐完善,监管要求日趋严格,数据滥用风险防范需求尤为紧迫,亟需通过相关信息安全系统的建设,规范数据使用行为,保护客
58、户隐私信息,为数字建设系上“安全带”。在数字化转型的强驱力下,数据已经成为企业发展的核心竞争力,数据资产是企业战略决策可实现性高度依赖的判决因素,这些数据资产一旦被竞争对手获取并利用,对企业造成的灾难是难以估量的。为治理数据安全乱象,国家陆续推出了针对隐私信息保护和数据安全相关的法规和标准:网络安全法、民法典、刑法都落实了隐私数据保护的法律法规,个人信息保护法 数据安全法构建我国数据安全完善的法律体系。在国家大力推动数据安全治理的大环境下,解决企业数据安全合法合规问题迫在眉睫。因此需提供用户数据权限统一视图构建能力,可视化展示用户在各应用中的数据权限;同时也应支持基于客户隐私数据授权信息,实现
59、对隐私数据的访问控制;需支持API自动识别能力,帮助管理人员获取系统有多少API接口,接口被多少应用调用,数据资产有些什么变更,是否有不明数据资产或违规数据资产等;需支持对敏感信息自动识别能力,识别并标识业务办理、数据共享、系统间交互过程中传输数据的敏感字段等。关键挑战:行内业务办理时由于业务数据体量庞大,重要数据没有进行重点管控,业务人员可随意查看和下载。因此,业务人员就可能会有意或无意滥用职权,访问不该访问的数据,带来一系列严峻的安全风险。例如:通过信息化系统财务系统、OA系统、BI系统越权查询核心数据库敏感信息;业务人员权限冒用,冒用他人权限进行数据操作;内部员工利用遗留后门接口获取敏感
60、数据;未经用户授权将隐私接口违规开放给第三方,造成数据泄露;数据安全管理员摸不清隐私数据使用现状,导致安全管理难以执行;应用开发工程师对隐私数据保护安全意识薄弱,不清楚哪些属于敏感数据,在开发过程中可能出现隐私数据泄露问题,并且出现问题后难以调整数据访问控制机制;应用之间调用API接口传输数据,导致不知道哪些API传输了隐私数据,也无法审计谁【金融行业优秀案例】ISC 2022029访问了隐私数据,更无法控制谁能访问隐私数据。基于此现状,建行亟需构建集中的用户数据权限管理体系,建立数据权限视图,根据业务应用场景,提供多种数据访问控制机制。解决方案:API数据安全访问控制系统(简称:DAC)的设
61、计采用了基于属性的数据访问控制(ABAC)引擎,可根据应用数据上下文、访问环境、访问用户、访问对象的多种因素进行综合判断,实现动态、细粒度的访问控制。ABAC访问控制具有即时生效的特点,策略改变/属性改变后访问控制的结果即时生效。同时,ABAC访问控制不受限于应用系统的数据存储技术,可应用到各业务系统,促使业务部门可以更加便捷、安全的实现对业务数据中隐私信息的保护。数据资产自动识别1、应用API自动识别:自动识别API接口作为DAC主要能力之一,除了能对应用中所有的接口进行测绘外,还提供体系化的管理方法,企业只需在应用系统集成DAC后,执行一次API接口测绘,访问控制系统会自动识别出应用系统中
62、所有的API接口,并按照自定义的接口分组规则,对识别到的众多接口自动执行分组归纳。通过整理接口与应用、接口与接口之间的层级关系,企业可清晰掌握信息系统中的接口资产,并对资产进行灵活高效的管理。此外,API接口的识别和管理也为全面实现数据安全奠定了基础。【金融行业优秀案例】ISC 20220302、数据敏感字段自动识别:运用科学的运算法则,结合内生的数据分级分类方法,为应用赋能自动识别敏感字段所属数据类型与分级,且将识别的敏感数据应用到多个方面,如对接口或分支上的敏感字段统计并展示,帮助企业了解信息系统的数据风险所在。访问控制上下文构建 1、构建访问控制上下文模型:以数据本身为基点,从发起访问的
63、用户、应用以及访问环境出发,抽象出各主体的属性类型,构建由访问主体、访问客体、访问环境属性组成的结构模型,即DAC系统所指的访问控制上下文。企业根据业务需求依托上下文模型提供的属性数据,灵活扩展所有属性作为访问控制条件,制定出全方位的数据安全保护机制。2、自动同步访问控制所需的属性数据:根据上下文而设定的访问控制方法,能灵活匹配不同业务场景下的访问控制需求,策略一旦完成,且投入到组织的生产环境使用后,在执行访问控制策略时功能模块将自动同步其所需的属性数据,而无需过多的人工干预,减少因人为管理造成的系统错误的同时,也减少了组织为此投入的人力成本。【金融行业优秀案例】ISC 2022031 数据分
64、级分类管理 DAC内置了一套通用的数据分级分类方法,对电话号码、身份证号码等具有共识性的敏感字段的识别和脱敏配置默认规则,在数据测绘阶段系统运用识别规则识别并标记敏感数据字段,在执行数据访问控制时,运用脱敏规则对需要动态脱敏的数据按规则进行脱敏。创新性与优势:1)基于属性(ABAC)的访问控制策略引擎:基于属性定义的权限管理模型(ABAC),不但可以满足原有 RBAC 的静态权限管理需求,还可满足多种复杂业务场景下动态的数据访问控制需求。该权限管理模型已经在很多数据安全要求极高的机构广泛应用,可以有效解决应用系统、大数据、云平台的精细化权限控制问题;2)数据细粒度访问控制:提供用户访问应用、应
65、用之间调用的数据权限最小化,根据用户主体、访问环境、业务上下文及要访问的目标数据进行动态访问控制,有效解决企业业务应用涉及的敏感数据安全问题;3)多层级控制范围的安全策略:可全局掌控数据安全,也可根据不同应用或接口下不同业务需求定制化安全策略,满足具有特殊数据安全的业务场景;4)低代码的开发配置平台:低代码身份开发平台可快速实现客户的高度定制化需求,覆盖从简单到复杂的应用场景,技术人员根据低代码开发平台功能,快速配置贴合用户业务的新数据模型、业务流程,大幅降低实施和定制化开发成本;5)易于集成的SDK嵌入模式:应用系统嵌入数据访问控制架构由SDK集成方式完成,即使企业拥有复杂的应用环境,也能通
66、过简单的代码嵌入SDK即能获取数据访问控制能力,完成系统数据安全保护的改造。【金融行业优秀案例】ISC 2022032应用效果:不同身份的用户在提交同样的访问请求,或者同一用户在不同业务中提交相同字段的访问请求时,所能看到的数据权限范围是有差异性的。比如:普通员工只能看到普卡客户的个人信息,经理能够看到普卡、金卡客户的个人信息,而总经理具有最高的数据权限,能够看到普卡、金卡、白金卡所有客户的个人信息;在办理个人业务时,在客户非临柜办理业务时不显示个人敏感信息,在客户临柜是显示个人敏感信息。客户收益:1、快速满足相关法律法规对个人隐私数据的保护要求,同时能够帮助企业提升对数据治理的能力,满足不断
67、变化的监管侧要求;2、对业务人员、客户隐私数据的应用系统进行细粒度的访问控制,阻止潜在风险的发生,有效降低信息泄露风险,保护客户切身利益;3、提升企业对信息系统中隐私数据的发现与管控能力,帮助安全管理人员摸清企业隐私数据使用情况。【金融行业优秀案例】ISC 2022033经验总结:面对上百个信息系统中,上万个数据接口的数十万的敏感字段的安全访问,系统需要快速完成资产识别并设计访问控制策略,这在实施上本就是一件周期长且繁琐的事情。为了提高效率,首先对数据资产的梳理设计自动识别能力,包括应用API接口自动识别、业务分支自动识别、以及分支数据结构和敏感数据的自动识别,助力企业理清应用系统的数据现状;
68、其次进行策略管理,提供基于数据属性从发起访问的用户、应用以及访问环境出发抽象出各主体的属性类型,构建由访问主体,访问客体,访问环境属性组成的结构模型。基于此,企业可以根据业务需求依托上下文模型提供的属性数据,灵活扩展所有属性作为访问控制条件。最终高效解决问题,使原本需要 3-6 个月周期才能完成的访问控制功能开发缩短到一周内完成,极大的降低了研发与运维成本。【金融行业优秀案例】ISC 2022034某金融行业客户睿眼 Web 攻击溯源案例案例提供方:中睿天下案例关键词:威胁情报、Web攻击溯源CASE 07案例背景:近年来,网络安全形势愈发严峻,病毒勒索、黑客入侵、信息泄露等信息安全事件层出不
69、穷,黑客和网络犯罪分子利用瞬息万变的技术,捕捉技术漏洞和人为错误对金融机构进行有组织的攻击,造成了数百万美元的损失和市场声誉风险,给金融行业带来了巨大的损失。不间断的网络攻击威胁事件始终是金融机构迫需要解决的难题,金融机构需要寻找准确、有效应对安全挑战的创新解决方案,降低风险,维护消费者对金融平台的信任。关键挑战:某金融行业客户的互联网区域部署众多Web应用,有效防护和检测Web应用安全是其信息安全领域的一项重点工作。经过多年的网络安全建设,该金融客户已初步建立了网络安全防御体系,但目前在安全监测方面仍存在较大的不足,亟需对应用系统特别是Web应用,建立安全监测机制,实时感知和检测网络中的漏洞
70、,进一步提升其互联网出口的安全性。解决方案:中睿天下依据Web攻击检测溯源、三层安全架构、风险管理体系的设计思路,结合该金融客户互联网业务逻辑架构,设计规划了此次解决方案的部署架构。该方案采用的部署架构是将Web攻击溯源系统通过旁路的方式接入到客户互联网专区,管理接口负责与统一监控平台进行联动,镜像接口负责采集双向进出互联网区域的Web应用层流量。同时,该方案规划部署了睿云统一监控平台,负责管理Web攻击溯源系统,在管理平面执行策略命令等管理操作。【金融行业优秀案例】ISC 2022035该解决方案主要采用以下关键技术建立 WEB 应用安全防御体系:(1)流量深度分析技术:从时间、会话、协议、
71、事件等不同维度进行网络流量追踪分析,根据发现的异常事件进行深度追踪、溯源,快速确定潜在的威胁,全面评估事件的危害;(2)纵深检测技术:建立纵深检测体系,覆盖攻击者攻击的主要环节。即使某一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测;(3)攻击研判技术:智能研判技术采用智能匹配深度报文检测,操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术实现智能化、自动化的工具,对攻击事件进行关联分析、聚类分析、攻击成功研判;(4)攻击场景还原技术:基于攻击者视角,在攻击路径的每一个环节设置有效的检测和防御措施,通过攻击溯源技术关联分析每个攻击事件,还原攻击的全
72、过程,揭示系统漏洞及攻击来源。该解决方案的功能特点有以下几点:(1)威胁检测:从时间、会话、协议、事件等不同维度进行网络流量追踪分析,基于攻击模型与攻击行为检测,以攻击者视角出发,参考攻击者思路进行建模收集、归纳、验证攻击行为信息;并根据验证结果的危害程度,划分等级进行呈现及响应,全面展示事件的危害;一体化云工作负载安全防护平台主要能力【金融行业优秀案例】ISC 2022036(2)攻击研判:智能攻击研判技术采用深度报文检测、操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术,实现智能化、自动化对攻击事件进行关联分析、聚类分析、攻击成功研判;(3)攻击过程还原:对攻击事件进
73、行深度分析,全量储存黑客的攻击路径,包括攻击次数、攻击手法、攻击工具等关键信息,将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”,极大地方便了用户对攻击态势的清晰认知。不仅如此,还可以实现攻击过程回放功能,以黑客视角真实还原出攻击细节,为后续的溯源提供了强有力的现实依据;威胁检测告警【金融行业优秀案例】ISC 2022037(4)黑客攻击画像:领先的溯源技术可帮助用户最大化地搜集攻击者信息,分析攻击者的来源、身份、背景、目的,以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握数据,再联动云端威胁情报中心的攻击者档案,完成对黑客的精确画像。同时,系统还能依据攻击行为辨别出攻击者是否采用跳
74、板、关联恶意域名等拓展资源,从而保障了溯源与检测的准确度;(5)告警响应处置:系统可配置邮件通知与短信通知,根据实际情况配置预警通知的选项,包含特定资产IP、威胁程度、攻击特征、攻击状态、阈值、触发时间段等,当遭受攻击事件时,可通过邮件或短信提供实时报警提示,助力安全运营人员及时处理威胁。同时支持协同处置,通过联动防火墙下发响应指令,及时阻断威胁,保护资产;(6)威胁可视化:系统支持 3D/2D地球方式实时展示攻击详情,提供 3D展示数据模式与业务模式的切换,业务模式可针对不同业务区域的划分进行威胁展示,数据模式可展示后门弱点数、攻击状态、各项威胁指标Top5 等关键告警数据与统计,清晰呈现威
75、胁态势;【金融行业优秀案例】ISC 2022038(7)安全报表:系统为用户提供威胁报告、安全周报、资产报告等丰富的报表报告。其中,威胁报告、安全周报支持导出,当前具备HTML、PDF两种类型。威胁报告主要展示攻击统计、攻击成功事件、致命威胁事件、攻击图表统计等威胁详情;安全周报主要展示对应时间段的威胁态势,报告中提供安全评级、黑客数量、检测攻击数、成功攻击事件及黑客攻击趋势、攻击类型分布、攻击资产统计、黑客工具统计、恶意IP分布等图表统计;让安全运营人员清晰且全面地掌握威胁动态。资产报告主要展示资产的脆弱性,包括漏洞数量,漏洞特征,已处理漏洞,未处理漏洞等,提醒运营人员及时处理漏洞,降低安全
76、风险。创新性与优势:1、深度检测,有效发现未知威胁 采用了中睿天下自主研发的多层检测引擎,并集成了由中睿天下核心成员多年研究而成的千余种攻击模型,能够适用于不同的生产环境,使检测成功率更为精准、检测范围更为广泛、检测效果更为优良,尤其是在面对复杂攻击或 0-Day攻击时也能具备出色的检测能力;2、关联分析,精准研判攻击结果 基于多年的攻防经验,总结出基于攻击结果的研判方法论,通过挖掘数据包中的请求包与返回包信息,对攻击成功与否给予研判。并解决传统安全防御设备所面临的告警数据量大,价值信息难提取等问题,最终形成以事件为单位的聚类分析,研判出攻击伤害;【金融行业优秀案例】ISC 20220393、
77、分析溯源,完整溯源安全威胁 能够对攻击事件进行深度分析,全量储存黑客的攻击路径,包括攻击次数、攻击手法、攻击工具等关键信息,将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”,清晰完整地呈现攻击态势。最大化地收集攻击者信息,分析攻击者的来源、身份、背景、目的以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握的数据,再联动云端威胁情报中心的攻击者档案,完成对黑客的精确画像。让用户准确地知道是谁攻击了我,攻击了我什么,使用了什么手法,资产是否沦陷,窃取了什么信息;4、响应处置,及时消除安全风险当威胁发生时,通过系统预算制定通知策略,可使用短信、邮件等方式进行告警;同时,通过处置联动功能,发送
78、指令给防火墙设备,对外网IP进行封禁,对内网IP进行通信阻断,快速消灭威胁,为资产保驾护航;5、安全可视,清晰掌握威胁态势能够将攻击成功事件、攻击等级、攻击次数、后门数、弱点数、威胁排行等威胁态势以 3D/2D地球的方式进行可视化实时展现,让用户清晰掌握潜在安全风险及每一次发生的安全风险。进一步提升其互联网出口的安全性。应用效果:1、满足国家监管要求威胁事件是网络运营人员用以了解攻击详情的最佳方式之一,所以留存威胁事件至关重要,系统可设置威胁数据库存储时间为 770 天,符合 中华人民共和国网络安全法第二十一条:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不
79、少于六个月,满足国家的政策要求;2、提高应用安全防护能力该金融客户依靠目前已建设的安全防护体系,威胁检测主要依赖于规则库及主动防御,依然存在部分漏报、误报的现象。睿眼Web攻击溯源系统基于“攻击模型”的双向流量检测方法将会大大加强现有安全体系的检测能力,同时可以帮助其提高安全防护的整体防护能力;3、提高工作效率节约客户成本此前,该金融客户通常在攻击事件发生后,需要通过人工分析大量安全设备告警信息,服务器日志等信息,才能分析出攻击的详情,以及资产的损失。通过部署睿眼Web攻击溯源系统,在事件发生的同时立即作出分析,判断攻击状态成功与否、还原攻击场景、追溯攻击者以及能够迅速判断资产弱点和后门,大大
80、提高安全分析效率。同时第一时间得出的分析结果有助于提高响应的效率,节约大量人力资源成本;【金融行业优秀案例】ISC 20220404、完善客户网络安全防御体系该金融客户已部署的传统安全产品,缺乏有效的检测与响应机制,通过部署睿眼Web攻击溯源系统,不仅能有效检测到威胁并及时响应处置,同时能把攻击过程完整地展示出来,使管理者明确了解到攻击者是如何一步步进行攻击的,哪儿存在弱点和后门,并给出对应的修复方案,并且能对攻击者的攻击目的、身份背景、利益关系等进行分析溯源反制。经验总结:通过实施部署中睿天下睿眼Web攻击溯源解决方案,提高了安全威胁检测成功率、精准率,尤其在面对未知威胁攻击时更能体现技术优
81、势。在攻击溯源方面,对攻击者背景信息、攻击工具、攻击手段、攻击特征等进行深度分析,完成对黑客的精确画像,最终实现攻击反制。另外,该方案的实施部署不仅提高该金融客户的Web应用系统防护水平,还帮助其在信息资产、基建设施安全可控的前提下大力发展金融数字经济,以此带动整个金融行业数字产业增长。同时围绕睿眼Web攻击溯源系统技术在金融领域的应用实践、应用示范、人才培养等关键环节,探索行业发展路径,促进行业信息安全集聚发展,发挥了先行先试和示范带动的作用。【金融行业优秀案例】ISC 2022041XDR扩展威胁检测响应系统落地实践案例提供方:未来智安案例关键词:XDR、安全运营CASE 08案例背景:与
82、大多数组织中的安全运营团队一样,该银行客户的安全运营团队深陷在海量告警中,缺少有效告警治理手段。系统每天单流量侧产生的告警量超过 600万,数量庞大,告警分析研判工作压力极大。尽管已部署大量的异构安全设备,但对于日常安全工作中的告警仍然无法进行有效的威胁溯源,看不到攻击路径。而告警中又存在大量误报,诸如一些正常的业务SQL或老系统中无法更改的SQL,常常被误报为“SQL注入”,给安全运营工作带来了严重负担。无法有效研判告警背后隐藏的实质影响,客户常常纠结于诸如是否要关注FTP匿名登陆、SQL注入之类的问题。同时,受团队规模小和整体技术水平偏薄弱的影响,使团队高度依赖安全产品,客户现场部署了多套
83、异构的全流量威胁检测安全设备,导致在分析某一条告警时需要在不同的设备间进行跳转、分析,不但没有完全实现综合研判,还使安全工作更加复杂。重重困难下,客户的安全运营团队亟待获得自动化告警研判、分析的能力,以释放安全运营压力。关键挑战:1、安全能力孤岛现象明显 客户IT系统中孤岛式的安全能力建设模式缺乏对全局安全数据的可见性,高级威胁的发现越来越难以通过单一的安全能力来实现。传统孤岛式的安全能力建设模式通过在终端、网络、云工作负载等不同的网络位置独立部署安全产品来进行威胁检测,每个安全产品只能看到局部的有限数据,对全局的安全可见性不足,存在盲区。2、告警量居高不下 系统中每天产生海量告警,安全运营人
84、员在处置告警时不得不在多个安全产品之间频繁切换,导致安全运营人员长期处在“救火”的状态,但处置效率低下。3、安全运营效率低、技术门槛高 现有安全产品的自动化程度不高,联动处置能力不足,导致客户的安全运营严重依赖安全人员的技术水平,而团队整体技术水平又偏低。【金融行业优秀案例】ISC 20220424、传统被动式防御手段无法应对新型攻击手段 客户采用的被动安全防御策略及其能力难以应对外部不断变化的新安全威胁。需要从被动防御走向主动的、更积极的检测和响应,在安全防护、威胁检测、安全事件处置、问题修复等方面形成全方位、立体化的防御体系。5、安全投入成本高 传统安全体系下分散建设的安全产品间协同能力不
85、足,安全建设成本高昂,缺乏可演进的安全架构方案,导致客户需要对安全运营体系建设不断增加投入。解决方案:未来智安XDR具备终端和流量的全面检测能力,XDR平台智能化事件分析引擎(AiE)自动将每天千万级零散告警生成几十条完整攻击事件,攻击检测有效性提升百倍以上,同时可以实现事件响应处置的高效自动化,可将威胁事件运营效率从过去小时级提高到分钟级,运营效率提升 8 倍以上。胁检测响应系统通过跨端、跨流量的立体化威胁检测手段 针对该银行客户所面临的告警量大、溯源困难、误报率高、异构安全设备多等问题,未来智安X D R 扩展威提供远胜于传统安全工具堆叠的全面精准、智能高效未来智安XDR解决方案部分的告警
86、研判、分析回溯能力。,为安全运营带来完整的上下文和威胁的可见性,【金融行业优秀案例】ISC 2022043创新性与优势:完整攻击事件回溯:从每天 600万条零散告警到每天 10 条以内的完整攻击事件呈现,让客户清楚看到包括黑客通过何种方式入侵内网,如何横向移动,如何跨网段扩散等行为在内的完整攻击链路。安全防护策略“左移”:通过场景化分析,利用XDR遥测能力(上下文数据)进行偏业务安全的异常发现,如员工私搭建、违规搭建FTP站点,违规使用、自建服务器等,提前发现可能存在的安全风险。挖掘出有价值告警:未来智安XDR威胁活动模块内置高价值告警挖掘模型,如“SQL注入之后发起的数据库提权”、“FTP匿
87、名登录之后发起的文件下载/外发”等,自动帮助运营团队做出有价值的判断。自动化告警研判:内置上百条告警研判剧本,并可根据客户业务现状进行调整,自动化对最新增加的告警进行研判,并修改告警状态,如核实、误报、可疑等,提高客户安全运营和告警研判效率。多源告警关联分析:未来智安XDR能接入其他安全设备告警/数据,并进行统一研判,如XDR发现告警,则自动关联出其他安全设备发现的同一攻击,安全团队无需在相互独立的安全设备间跳转,大大提高告警处置效率。创新性与优势:1.基于终端和流量的统一遥测技术 未来智安XDR通过详细采集端点设备发生的各类活动和行为,为威胁发现和事件调查分析提供足够的上下文可见性。2.基于
88、行为的检测技术 通过围绕主机行为结合网络流量的上下文数据识别异常行为,实现对已知和未知威胁的感知和发现。3.事件调查分析技术 从安全运营视角为用户呈现安全事件,并回溯分析。未来智安XDR扩展威胁检测响应系统架构【金融行业优秀案例】ISC 20220444.多设备扩展与自动化编排技术 XDR通过标准API接口实现多个设备的数据扩展接入以及联动处置。5.威胁检测、研判和调查技术 基于威胁情报的检测、研判、调查是XDR必备的技术能力,在威胁的研判过程中,威胁情报可帮助分析人员快速获得与该威胁相关的其他上下文信息,便于对威胁进行二次研判。6.机器学习与 AI 技术 通过机器学习技术,在网络入侵和恶意文
89、件检测中深入运营机器学习和AI技术,模拟人工研判过程,实现更加快速、有效的威胁检测。7.海量数据分析能力 未来智安XDR平台提供高速日志采集与流计算、大规模数据湖、图计算、全文检索等方面能力,以支撑威胁检测与响应场景下的数据采集、检测、调查、统计、检索等各类场景。应用效果:该银行业客户通过未来智安XDR扩展威胁检测响应系统首先有效解决了海量告警问题,将数百万的告警量收敛成 10 条以内的安全事件,为安全运营团队提供清晰的威胁问题来龙去脉,提高告警研判和响应效率,通过未来智安XDR告警治理进行有效的告警收敛,安全人员面对的告警量降低 100 倍。同时,通过自动化编排技术,将安全运营专家的问题解决
90、思路和方法嵌入到系统中,降低对人工团队的技术依赖性,提高团队的响应速度,及时有效的帮助用户将业务损失最小化。不仅如此,未来智安XDR系统还具备开放、灵活的可集成性,拥有多源异构数据接入与治理能力,天然的模块化、可插拔、可灵活扩展的特性,支持与已有安全产品的无缝整合和数据共享,总体拥有成本降低44%,在以创新技术强化客户全面安全运营能力的同时,也有效利用客户以往安全建设投入,降本增效。经验总结:由于金融行业业务的特殊性,往往率先于其他行业用户践行网络安全的创新技术,由此导致安全运营体系建设中异构情况严重,此次项目实施的过程中,如何有效利用客户以往安全建设成果、保障多源异构数据的接入和充分利用,是
91、对未来智安XDR系统的最大考验。此次项目的顺利实施,得益于未来智安XDR平台内置基于主机的EDR威胁检测能力与基于流量的NDR威胁检测能力,提供扩展的邮件、文件、云负载等扩展检测和遥测数据接入能力,通过XDR平台的前置CEP流式实时检测引擎和基于异常行为的场景化检测能力,实现全面的攻击链检测,让威胁不存在检测盲点。【金融行业优秀案例】ISC 2022045 未来智安XDR七大核心技术能力让安全检测全面、高效、低成本【金融行业优秀案例】ISC 2022046案例提供方:宁盾案例关键词:身份认证管理、远程办公、宁盾人+端一体化身份方案落地实践VPNCASE 09案例背景:某公司是国内首批中外合资基
92、金管理公司,也是国内首家由信托公司和外方资产管理公司发起设立的中外合资基金管理公司。随着移动化办公、远程办公场景需求增长,该客户在使用VPN或登录网络设备时,存在大量弱口令,无法保障员工账号密码安全性,加强账号密码安全性不仅关系着企业数据资产的安全,也是等保 2.0 等法律法规的要求。同时有线、无线网络办公场景,企业要对员工及访客进行入网身份认证和访问控制管理,进一步加强对入网的“人员”和“终端”的合规性检查,提升企业内网安全基线。基于此,客户希望在远程办公场景下,登录深信服SSL-VPN和安恒堡垒机验证账号密码后,再次认证用户绑定的动态令牌,增强身份管理和密码强度,提高安全性;同时企业内部采
93、用有线网络办公,对入网的终端进行合规检测,合规后才放行;为员工和访客提供免费无线网络,员工验证域身份,访客使用手机获取验证码上网。关键挑战:该公司所在的金融行业是 等保 2.0、护网行动、银保监协会等重点关注领域。在数字化转型过程中,金融行业面临着诸多挑战。如:1.存在弱密码隐患 重要入口(VPN、云桌面、堡垒机等)存在安全隐患,且相关法律法规要求各设备登录需要采用二次身份鉴别技术;2.多个业务系统账号密码混乱企业内存在多个业务系统,员工需要记住多套账号密码,且为图便利,账号密码设置得过于简单,存在安全隐患;3.网络设备权责不规范 办公期间(业务期间),网络设备管理人员配置设备时操作不规范及权
94、限不明确,发生问题时难以及时排查定位故障及追责;【金融行业优秀案例】ISC 20220474.接入企业网络的人员复杂 企业内人员身份多样,有员工、外包人员、临时访客、长期供应商等,网络接入难以对人员和终端实现有效管控和审计。解决方案:该方案中安全技术应用情况:1.多因素身份认证用户远程办公场景下,登录深信服SSL-VPN和安恒堡垒机验证账号密码后,再次认证用户绑定的动态令牌,增强身份管理和密码强度,提高安全性。2.统一身份管理和单点登录客户自研了单点登录系统用于整合多个业务系统登录问题。宁盾统一身份管理和单点登录不仅可以整合多个业务系统,还可以对账号进行自动化/半自动化生命周期管理,降低运维压
95、力。3.网络设备 AAA 管理在二期项目中,该客户与宁盾将在网络设备AAA管理上进行合作。宁盾 3A解决方案兼容各种厂商网络设备,针对数据中心网络设备统一认证登录、细粒度(具体到某个命令)的命令授权、详细的审计记录。制定业务时间段内的网络设备操作合规性,敏感命令的实时监控预警。增强运维人员身份安全,实现事前有防护、事中有记录、事后可追溯。4.有线网络终端准入客户使用有线网络办公,增加宁盾准入引擎设备旁路在核心交换机旁,分析终端流量,识别终端加域信息,合规即放行,反之执行定义的虚拟防火墙和有线portal认证策略。5.无线网络 PORTAL 认证为员工和访客提供免费无线网络,接入网络时员工验证域
96、身份,访客使用手机获取验证码认证上网。宁盾后台记录相应日志。【金融行业优秀案例】ISC 2022048解决方案:宁盾 方案产品组成部分:DKEY AM,NDACE 多因素部分:深信服VPN、安恒堡垒机使用RADIUS协议和宁盾DKEY AM一体化认证平台对接,宁盾DKEY AM同步AD域控作为VPN和堡垒机登录的账号源。用户远程拨入VPN和堡垒机时需要输入域账号密码和动态密码。准入部分:NDACE旁路在交换机上做镜像流量分析,拉取网关所在防火墙上的SNMP,获取终端IP+MAC的绑定关系。通过流量分析终端是否加域,加域即为合规;反之执行虚拟防火墙和portal策略,只允许终端访问特定业务,外来
97、人员因业务需要使用有线网络,弹出portal页,由内部员工提供账号给予上内网权限。无线部分:思科WLC和DKEY AM对接,实现三层portal认证,员工和访客进入不同站点。员工使用域账号密码认证;访客使用短信认证方式,后台开启手机号黑白名单功能,访客连接网络需向管理员申请,管理员将访客手机注册进DKEY AM平台内,访客输入手机号获取验证码上网。创新性与优势:方案优势:1、VPN、堡垒机远程访问,增加动态令牌实现双因素认证,加强设备安全,为远程办公提供有效的安全保障 2、有线终端使用宁盾准入引擎检测终端合规性,有效的控制了员工自带移动设备接入内网,增强内网安全 无线portal认证,为员工和
98、访客提供免费无线网络服务,验证入网身份后台留存相应日志,并配合深信服AC,联动审计。应用效果:宁盾 人+端一体化身份方案,为账号密码认证增加一层保护,保障办公安全;准入方面实现多分支机构统一身份认证及终端安全接入,支持访客、员工等多角色用户统一认证管理,实现基于用户身份的访问控制及上网实名审计,极大地提升了内网安全基线,快速实现等保合规。经验总结:对于混合办公时代,多场景下的企业身份安全管理一体化建设,重点是关注“一体化”方案。先将IT基【金融行业优秀案例】ISC 2022049础架构层打通,才能应对多个场景的身份管理和访问控制需求,并且能应对未来可能出现的场景需求。宁盾一体化身份方案可以有效
99、打破传统在目录、端、网络、应用、多云等场景下相对孤立的身份管理模式,帮助企业用户降低在目录服务和身份管理上的投入,包括采购成本、交付成本、运维成本、机会成本等,为企业构建更加高效经济的新一代身份管理体系。正如在该案例中,产品上只需一个软件系统和一个硬件设备,就能解决以上问题,对企业而言,不仅降低了采购成本,也降低了安装部署、运维成本,提高了办公和运维效率。【金融行业优秀案例】ISC 2022050上海证券“多媒体”系统 AI 智能防御建设项目案例提供方:中云网安案例关键词:人工智能技术、Web安全防御、0-Day攻击CASE 10案例背景:上海证券拥有可支撑上海证券市场高效稳健运行的交易系统及
100、基础通信设施,拥有可确保上海证券市场规范有序运作、效能显著的自律监管体系,对网络安全尤为重视,建立了严密的网络安全防护体系。但当前的安全防护模式在技术手段上所采用的正则匹配方式相对单一,依靠静态固化的规则无法有效应对各种变种的应用层威胁。特征检测机制会从零散分布在正常业务语句中的特征进行判断,如业务中的一些业务语句、句子甚至文章往往被认为是攻击特征,从而导致误判;而利用各种编码及攻击混淆手段进行的攻击语句,往往能够伪装成正常流量,绕过安全防护的规则判断。随着安全研究投入的逐步加大,网络攻击进入 0-Day 时代,WEB 应用的 0-Day 攻击所引起的入侵所占比例超 90%。现有的应用安全防护
101、失效,无论是基于黑名单、动态混淆还是行为预测,对于 0-Day 防护几乎为零;同时,由于黑名单规则库的工作原理,应用层防护设备没有办法开启所有规则库,利用陈旧漏洞攻击的手段变得难以防护。关键挑战:随着 2020 年新冠病毒疫情的爆发,给全球经济造成了严重的影响。疫情的全球流行正在改变着人们的生活和工作的方方面面。以这次疫情为鉴,积极主动的排查感染者,找到感染源,并快速隔离比被动的药物治疗显得更为有效。通过这次疫情,我们可以发现网络空间的恶意攻击和生物领域病毒对人类的攻击,从某种程度上极为相似。此次疫情的病毒属于未知病毒,是我们从未发现过的,现有的治疗手段对其毫无作用,而传播速度又非常的快,影响
102、面非常广。在网络空间里 0-Day攻击同样具有类似的特点,一旦发生传播速度极快,具有相同漏洞的系统很容易遭到攻击,现有的被动防御系统无法有效拦截。令人担忧的事实是,目前攻击手段越来越复杂,攻击程序越来越聪明,很多攻击程序甚至可以绕过传统的安全防御系统,尽管不断有安全更新和补丁,但攻击的数量仍在上升,给站点的安全管理带来了很大的压力。解决方案:【金融行业优秀案例】ISC 2022051一、解决方案思路中云网AI防护者是一款利用人工智能算法实现的Web应用防火墙产品,遵循云原生架构原则,结合多种威胁监测技术以及行业领先的大数据关联分析及机器学习技术,为“多媒体”系统的安全,构筑完整高效的安全防御模
103、型。二、方案的核心组件 AI防护者的智能安全引擎包括:协议解析引擎、行为识别引擎、数据矩阵引擎、威胁分类引擎和智能安全决策组成,不依赖于规则、签名、固定基线或训练数据,而是从不断变化的数字环境中,形成对每个请求和响应、URI、表单及他们之间的所有复杂关系的多维理解,将非正常业务流量拦截,并进行威胁分类和校验,形成安全告警日志。三、部署方式 中云网安AI防护者采用反向代理的方式部署,逻辑上串联在多媒体系统前端,不影响原有网络拓扑架构,即可实现web安全防御。【金融行业优秀案例】ISC 2022052四、防护模型建立过程:AI防护者的安全模型模型建立分为三个阶段:第一阶段 自动学习(auto-le
104、arning)阶段:利用内置的中云网安AI引擎和先进的机器学习(ML)算法,基于零信任机制,动态识别用户访问行为,并根据应用系统业务流程,动态生成安全防护模型。第二阶段 安全学习(safe-learning)阶段:设置可信IP,并通过学习可信IP的访问模式(学习正常流量特征),快速进行辅助学习,优化安全防护模型。第三阶段 主动防御(positive security)阶段:开启AI防护者主动防御模式,可以识别所有已知和未知的攻击,主动拦截所有非可信访问。创新性与优势:AI防护者-Web安全免疫系统,该技术在运行的业务中学习业务的数据和行为,他会基于大量的访问请求和响应进行计算,并随着业务发展不
105、断学习。通常来说,对Web应用系统的威胁通常不是正常的业务访问,而是绕过现有Web应用访问控制规则或新型的Web攻击Payload,这些模式都将形成新的威胁,该免疫系统可以在前期Web脆弱性探测阶段即可及时发现和阻断,脱离规则库和威胁情报的依赖,该模式很好的避免了供应链攻击。同时,任何基于HTTP/HTTPS对Web应用的渗透测试均被阻断,防止了0-Day漏洞利用和Web应用自身漏洞的利用攻击,同时规避了新型漏洞出现时梳理排查受影响资产的手忙脚乱和下线业务进行修复的压力,该技术的应用极大降低Web防护运维工作量和运维难度。应用效果:证券“多媒体”系统AI智能防御方案主要为客户带来以下收益:1、
106、防御未知攻击任何绕过现有Web应用访问控制规则或新型的Web攻击,都因与正常访问模式存在差异而被检测出来,尽管它是 0-Day漏洞攻击;【金融行业优秀案例】ISC 20220532、防御更精准AI防护者从不断变化的数字环境中,形成对每个请求和响应、URI、表单及他们之间的所有复杂关系的多维理解,并发现潜在威胁的微妙偏差,从而使攻击识别率大于 99.9%,误报率小于 0.1%;3、持续学习优化中云AI算法会基于大量的访问请求和响应进行计算,并随着业务发展不断学习;4、减少人工运维中云AI防护技术不依赖于规则、签名、固定基线或训练数据,无需更新特征库、运营规则、基线加固及管理热补丁等。经验总结:人
107、工智能安全防御技术必会成为未来解决安全保护、安全攻防对抗的最佳方式,当前网络安全防御理念和技术还停留在依赖对已知漏洞、已知攻击payload的特征标注和攻击规则匹配上,是不足以抵抗新型网络安全威胁的,因此,安全防护观念需要发生改变。另外,利用人工智能技术为被保护应用创建独有的安全防护模型的方案,必然需要学习过程,所以提升学习效率将是我们优化的方向。制造行业优秀案02055【制造行业优秀案例】ISC 2022无锡普天铁心二期产线工控安全建设项目案例提供方:木链科技案例关键词:工控安全、等保合规CASE 01案例背景:无锡普天铁心股份有限公司积极响应国家号召,推动数字化工厂建设,缩短产品设计周期、
108、缩短产品设计周期、提高生产效率和生产方式的灵活性。为实现 GB/T 39116-2020 智能制造能力成熟度模型第四级的相关要求,木链科技积极协助无锡普天铁心股份有限公司完善信息安全能力域的相关要求。驱动因素:内在因素体现在安全能力缺乏与数字化程度落后的现状,严重限制了企业用户的发展,主要体现在在生产线的扩容、集中统一的数字化高效管理,完备的工业安全防护体系等方面。外在因素体现在近年来层出不穷的工业安全事件,为企业带来巨大的损失;国家逐步出台相关政策法规,为企业进行工控安全建设提供了明确的技术指导。客户需求:根据 GB/T 39116-2020 智能制造能力成熟度模型以及 中华人民共和国网络安
109、全法相关要求,合规性需求包含补充主机恶意代码防护功能、提升工控系统边界防护能力、提升安全运维能力实现数据防泄露、构建基于工业协议深度解析的关键设施防护能力、实时网络监测、建设基于自学习、自优化的集中管控能力、日志存储需求、搭建离线验证环境。安全运营需求包含建设工控系统脆弱性分析能力、打造网络安全动态防御能力。056【制造行业优秀案例】ISC 2022关键挑战:1.原网架构过于复杂在项目启动调研阶段之后,木链科技安全团队深入用户工业现场,详细调研、考察、核对工业参数与架构。经调研发现用户原工控网架构错从复杂,并存在系统性风险。各个安全关键节点及其间的通信并未得到有效防护。2.改动过程风险不可控在
110、确定好方案之后,用户对项目的安全实施与交付提出了要求,即需在不影响业务正常运行的前提下进行施工、上架、部署工作,并在可接受的时间间隔内,完成串联安全设备的接入与正常运行。木链科技经过严密讨论后第一时间通过工控安全实验室的方式还原用户工业现场,并通过数十次测试,全方位保障改动过程中的风险可控与项目顺利进行。3.兼容性挑战面对用户工业控制系统中的各品牌工业自动化软件及控制器,交付能够兼容不同协议的安全产品也是一个主要的技术性挑战。用户工业现场包含西门子、德国倍福、三菱等品牌设备及其配套软件。木链科技安全团队经过调研后立即采取行动,对西门子、德国倍福、三菱等品牌产品的固件提取与协议解析工作,持续优化
111、产品与软件代码,确保兼容性风险降到最低。解决方案:木链科技通过构建“三位一体安全体系”,以全面安全防护、统一安全管理和持续安全服务为手段,提升工控系统安全防护能力,保障工业企业生产安全。结合用户生产网络现状,本方案在保障结构安全、行为安全、主机安全的基本原则上再实现统一的集中管控。实现产线控制器、生产网络边界隔离,通过在各个边界位置部署安全隔离装置,基于安全策略对跨越边界的网络流量进行管控,包括:通过IP/MAC绑定和流量规则等方式识别与限制非法内联、非法外联和不必要的通用网络服务的行为;通过黑名单的方式,识别和限制恶意代码;通过正则匹配,识别和限制垃圾邮件等一系列措施。057【制造行业优秀案
112、例】ISC 2022 提升网络监测审计能力:网络监测审计能力对于工控系统稳定运行至关重要,通过在生产网核心交换机上配置端口镜像功能,可以将流量无损地引入至流量审计设备。流量审计设备基于安全策略,通过黑名单、白名单、规则匹配和数据时空关联分析等技术,发现异常行为并进行安全告警,让操作人员能够第一时间对事件进行处置,避免发生更严重的影响。构建基于协议深度解析的入侵防御能力:边界防护除了访问控制策略,还需做好入侵防御。在工控网中,主要的网络攻击针对于管理层的服务器、过程监控层的上位机以及现场控制层、现场设备层的下位机,因此相较于信息网来说,入侵防御上对工业协议解析有更为严格的要求,需要能够对OPC、
113、Modbus、S7、ADS等常见工控协议进行解析,并能做到指令及的控制,以防止攻击利用合法的指令进行非法的操作;同时针对于管理层、过程监控层的攻击,需要做好针对应用层的防护。主机终端进行安全加固:生产网络系统中的主机、服务器通常采用Windows操作系统,经过多年的运行后积累了大量漏洞与安全隐患,因此主机、服务器的需要进行必要的安全加固,通过安全策略配置和白名单软件,从恶意代码防范、用户权限、身份鉴别、访问控制、端口管控、网络服务等多个方面提高主机终端的防护能力。保障运维过程安全可控:生产网络系统的运维过程涉及外部厂商远程接入,这一行为具有极大的安全风险,通过运维审计设备能够实现运维过程中用户
114、管理、登录管理、访问控制、接入管理等功能,并对运维过程中的各类操作行为进行记录和审计,确保运维过程安全可控。安全策略集中管控、联动,构建“三位一体”安全防护体系除了依赖不同的安全措施或防护设备,在工业控制系统不同层面进行防护,还需要通过安全管理中心对安全设备进行精准配置,实现不同设备基于安全策略进行联动防护,形成动态防护效果,提高安全防护能力。058【制造行业优秀案例】ISC 2022创新性与优势:1.工控协议深度解析木链科技基于浙江大学AAA战队的技术能力,通过产品研发和项目实施逐步完成了工控网络协议解析能力建设和项目经验积累。通过对常见的Modbus、Enthernet/IP、OPC、DN
115、P3、PROFINET、S7、CIP、ADS、IEC-61850 协议簇等多种工控协议的深入研究,木链科技实现了对 23 种通讯协议的指令级解析和 13 种工控协议的深度语义级解析(且仍在持续增加),具备行业领先的协议解析技术能力,并且可以根据客户现场的网络通讯协议情况,进行定制化开发,使安全防护设备更好地适配客户现场,提供更为完善、精准、有效的防护能力。2.深度结合用户现场情况木链科技一直以来都以积极的态度倾听用户的声音,协助用户梳理、引导网络安全方面需求,并根据用户现场的实际情况,为用户提供针对性的解决方案。木链科技坚信,真正优秀的产品和解决方案,绝不是堆砌高大上的名词,一定是从客户出发,
116、深入调研现场情况,在网络架构、纵深防御、协议支持等多方面,与用户现场情况深度结合。3.涉及产品业内领先木链科技是专注于工控系统攻防技术研究、安全产品开发的科技创新型企业,对比系统集成商和部分工控安全厂商,产品在技术研究领先性、技术支持及时性、产品迭代快速性、产品价格灵活性等多方面均具有无可比拟的优势。应用效果:本案例设计过程中充分考虑各种政策、法规、标准、文件要求,融会贯通 网络安全法、GB/T 22239-2019 网络安全等级保护基本要求、工业控制系统信息安全防护指南中各项要求,结合用户实际需求,提出具有针对性的产品,使用户满足合规性要求。木链科技助力企业用户落实安全生产主体责任,夯实数字
117、化转型安全基础,保障安全生产,提升生产效率,激发新增长点,实现高质量发展目标,并最终激发行业“领头羊”效应,推动了地区乃至全行业的工业互联网安全建设进程。客户评价:本次项目帮助我们完成了数字化转型中最重要的一环,目前经过安全防护体系的构建,各部门的数字化转型工作有了必要的安全保障,安全事件的溯源和防护能力都有显著提升。经验总结:在项目交付的过程中,木链科技安全团队也遇到了一些预料之外的问题。例如用户的少数工控机由于版本问题导致无法兼容工控安全主机卫士,之后我们协同用户技术部门,对业务软硬件与安全产品进行了兼容适配,059【制造行业优秀案例】ISC 2022最终解决了兼容性的问题。在项目实施过程
118、中,用户额外提出了一个要求,即对未来的产线扩容与更改,留下冗余空间。木链科技安全团队立即响应,临时改变策略并进行可行性分析与实验,最终在不影响交付进度的情况下满足了用户的全部需求。木链科技安全团队在项目中不断的成长,经验在不断的积累。在下一次的定制化工业互联网安全防护体系建设项目中,木链科技安全团队将吸取之前项目的经验,为用户设计出更加贴合实际需求的方案与产品。060【制造行业优秀案例】ISC 2022某大型汽车制造企业主机安全防护项目案例提供方:360 数字安全集团案例关键词:EDR、主机检测、安全运营CASE 02案例背景:某大型汽车制造企业,一直以来都重视科技投入和科技创新,随着数字化建
119、设的浪潮,该企业加速信息技术基础平台建设和信息化产品、管理系统的开发应用,快速提升信息技术的应用水平。2020 年以来,面对严峻复杂的国际形势特别是新冠肺炎疫情的严重冲击,该企业坚持自主研发与引进吸收相结合的原则,组建面向客户的专门产品研发团队,建立客户需求快速反应机制、新产品市场评估机制,以及同业产品信息收集整理和比较分析机制,增强创新产品的市场适应性和功能先进性,确保产品创新的质量和效益,进一步利用信息化优势加速提升核心竞争力。数字化战略的推进,离不开网络安全提供的重要保障。随着科技信息化的逐步推进和数字化的演进,网络安全形势也愈来愈复杂和严峻,在外部黑色产业链的利益驱使下,黑客的规模越发
120、庞大,各种基于社会工程学、0-Day、APT攻击等方式发起的新型攻击手段不断出现,网络安全问题呈现出多元化的发展趋势,尤其是针对应用业务系统的安全问题日趋复杂化,面对网络安全问题的快速变化,目前主流的应对方案依然是基于大量安全产品的简单组合,存在防护局限性。关键挑战:该企业内部的业务服务器,由于其所承载的数据及服务的重要性,因此成为网络攻击的核心目标。针对服务器主机的安全防护,采用的是传统防御方式,整体防御效果不足,主要表现在:1、缺乏安全大数据技术支撑,“看见威胁“的能力严重受限。针对服务器主机的攻击越来越频繁,即使在隔离网的情况下,通过社会工程、0-Day的手段也能实现渗透。网络攻击越来越
121、高级化、隐匿化,勒索病毒、挖矿木马以及APT高级攻击,对内部业务服务器的安全造成严重威胁。安全大数据是看见威胁的基础,如果缺乏足够规模和质量的安全大数据,就无法构建全面、精确的威胁检测评估模型,就无法看见针对业务主机的隐匿攻击。2、无法掌握主机系统的实时安全状态,无法实现完整的攻击溯源。攻防对抗是一个持续的过程,需要对历史安全事件进行全面有效分析,才能找到攻击者的攻击规律和攻击061【制造行业优秀案例】ISC 2022特点,从而提供有效的补救响应措施。原有的主机监控技术,受限于用户层Hook技术的局限性,存在检测不全面以及攻击绕过的问题。同时,主机安全防护策略由于缺乏对海量数据集中化存储分析的
122、能力,造成安全数据碎片化,不利于进行数据管理的统一规划,无法提供详细的主机事件日志,对高级攻击无法进行完整的调查、分析和溯源。3、缺少自动化的威胁联动处置能力,难以最大化压缩攻击者的攻击时间。发现威胁与处置威胁,是紧密结合的关联步骤。在实际的网络安全攻防场景下,需要最大化缩短MTTR时间,减少威胁扩散面以及攻击面,从而减少业务服务器被攻击造成的损失。原有技术架构还未能打通安全运营平台与主机安全软件的数据通道,在发现威胁时无法实现联动处置,影响了整体的威胁处置效率,降低了整体的主机安全运营质量。解决方案:围绕业务服务器安全为核心,建立主机安全检测与响应体系,通过持续监测异常进程行为、检测安全风险
123、、威胁风险深度调查以及提供补救响应手段的方式,补充传统终端安全产品防御高级威胁能力的不足,在对抗高级威胁中获得更好的效果与更快的效率,尽可能压缩攻击者的攻击时间,减少高级威胁最终达到目的可能性并实现以下效果:1、登记上报主机资产,对主机资产的硬件资产及软件属性进行统一管控。2、对威胁攻击、木马病毒攻击做到实时动态监测和主动告警及防御。3、强化主机针对APT的检测能力,有效定位攻击及影响范围。4、结合大数据关联分析技术,强化安全事件攻击分析溯源能力。5、配合安全运营平台的SOAR模块,可以从安全运营平台下发处置指令至 360 EDR客户端,打通安全数据链路,缩短MTTR时间,实现基于7*24*3
124、65 高效响应和阻断。062【制造行业优秀案例】ISC 2022360 EDR客户端程序分别部署在该企业的下属分支机构的服务器、生产服务器上及公有云服务器上,实时监控主机侧的恶意行为。通过EDR打点相关数据(网络、文件、进程、注册表等)送入本地的安全运营平台,基于完整的主机侧安全事件日志,结合数据检测引擎、关联分析引擎、云端情报赋能,形成云地一体化的主机整体态势感知体系,帮助安全运营人员进行主机威胁的分析、溯源和响应。APT攻击比较复杂,不容易被侦测。针对APT攻击,360 EDR提供了APT专项检测功能,发现主机上的APT攻击痕迹。APT检测,从APT行为特征(进程、注册表、文件、网络和系统
125、等行为)、环境特征(信息、磁盘和共享、系统进程列表、进程ID对应的启动服务、系统补丁版本信息等)、样本特征(如APT组织远控后门)三管齐下,全面检测。借助APT检测能力,安全分析人员可以发现APT攻击的蛛丝马迹。创新性与优势:360 应该说是国内最早有EDR雏形的公司,360 EDR终端具备的终端数据采集、数据分析、告警产生和传统的EDR的过程是相同的,但又有独特之处:1、海量安全大数据360 云端安全大脑提供EB级大数据情报赋能,让 360EDR具备全局视野。海量的云端安全大数据,可构建出覆盖面足够广、精确度足够高的检测防御模型,是EDR产品发现攻击者痕迹的必要基础。360 已汇集了超 30
126、0 亿程序文件样本,22 万亿安全日志、90 亿域名信息、2EB 以上的安全大数据,位列全球前三,东半球第一。基于 360 云端安全大脑来的大数据赋能,360 EDR可帮助政企用户实时同步全球威胁,持续增强对APT攻击的检测和感知能力。2、“运营商”级别的大数据分析能力由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件类似的行为当中,因此检测需要对海量历史数据的反复检测能力,实现威胁可视。这要求产品具备强大的数据运算能力和分析能力。作为 360 EDR的关键支撑部分,360 拥有业界最大的安全基础设施,360 核心安全大脑可以为 360 EDR提供“运营商级别”的分析算力,可瞬间调用超过百万颗CPU
127、参与计算、检索与关联,对海量多异构数据进行分析,结合全网APT情报,快速画出完整攻击链图谱,确保各类威胁全面可视。3、业界独有的虚拟化层检测技术数据采集质量,决定了EDR的检测效果。如果终端安全产品信息采集和攻击者处于同一个层次,就无法有效监测恶意攻击行为。360 终端的异常行为捕获能力和传统EDR不同,传统EDR使用微软标准API加hook,这些采集容易被攻击绕过。360 EDR提供超越内核级监控能力,利用CPU的硬件虚拟化机制增强64 位系统的安全防护,对进程创建、进程注入、模块加载、注册表值写入、文件写入等行为进行全面监控,同时还能直接检测内核与应用层 0-Day漏洞利用行为,有效对抗A
128、PT绕过攻击。总的来说,360 EDR内置的核晶引擎更靠近系统底层,可以直接获取到底层漏洞利用的行为,针对高级攻击行为的检测捕获能力更精准更全面。063【制造行业优秀案例】ISC 2022应用效果:通过部署 360 EDR,该企业部署在公有云以及本地网络的主机和服务器均纳入高效防护范围,针对主机的入侵攻击行为,能够被实时侦测并捕获。对于APT攻击在内的高级网络攻击,安全分析人员可以基于360EDR所绘制的攻击链路图以及ATT&CK技战术图谱,结合EDR客户端上报的完整事件日志,可以实现全面威胁狩猎,发现潜在攻击行为。在响应处置方面,360 EDR与安全运营平台的SOAR能力结合,基于预案编排实
129、现威胁自动化处置,大大缩短MTTR时间,从而实现对全网主机事件的事前监测、事中评估和事后处理,让安全可见、可知、可控,成功构建面向主机的检测-分析-溯源-响应闭环运营体系。经验总结:服务器主机是网络攻击的核心目标,其重要性不言而喻。要做好云主机或服务器的安全防护,需要在威胁检测能力、分析溯源能力以及响应处置能力三大方面入手,任意一块存在短板,均会影响到主机整体的安全防护效果。由于安全大数据影响了威胁可视的全面性,大数据分析能力影响EDR的检测精确度以及溯源质量,安全专家的知识库和攻防经验更会直接影响EDR的整体运营效果。360 EDR凭借在安全大数据、17 年实网攻防知识库、以及大量实战化经验
130、的安全专家支撑下,基于 360 安全大脑赋能,规避了传统EDR的防御弊端,能够很好满足数字时代(云)主机高级威胁防护要求。064【制造行业优秀案例】ISC 2022“爬梳剔抉”车企数据“曲突徙薪”数安风险案例提供方:云集至案例关键词:数据安全、安全合规CASE 03案例背景:信息化建设加速了企业发展的步伐,同时也给企业数据信息监管带来越来越多的挑战。近几年来,汽车制造行业数据信息泄露事件频发,2018 年纽约时报 7月 20 日报道,有多家车企公司的敏感文件遭到了曝光,包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、蒂森克虏伯和大众等,共曝光了 157 千兆字节的数据,涉及机密文件 4700
131、0 个。由此可见数据安全事件及问题已经触目惊心,而数据泄露事件的发生不仅会造成企业声誉和经济的损失,也可能影响社会的稳定繁荣甚至国家安全。目前国内已颁发 网络安全法、信息安全技术个人信息安全规范(GB/T 35273-2017)、数据安全法等相关法律和规范,以及欧盟 通用数据保护条例(GDPR)、美国 2018 年加州消费者隐私法案(CCPA)等法案法规的发布和执行,都说明各国对于数据安全的高度重视和治理决心。个人数据用于组织在产品研发、精准营销、客户服务、生产管理等环节,社会生产无时无刻都要接触数据、使用数据,而上述的法律法规中对个人数据的保护以及数据获取原则、方法、法律责任都有明确而详尽的
132、规定和要求。关键挑战:1、数据资产私搭乱建,存在重大安全隐患某汽车集团的DBA或运维工程师拥有极高权限,拥有对数据资产的较高操作权限,为了方便工作上线新资产和下线旧资产的情况就比较随意,缺乏规范性。诸如这类未登记审批等情况会导致数据安全设备无法对其进行感知和防护,从而加大了数据泄露的风险。2、账户信息不清晰,无法统一管理 数据库账户是操作数据中内容的主要源头之一,如不清楚该账户的来源、负责人及操作等就无法在出现数据安全事件时进行实时风险定位,事后也无法进行事件追溯,加大了后期管理难度。3、数据资产不清晰,安全防护千疮百孔 云集至利用数据资产梳理系统对此客户整体数据资产进行了摸底,发现实际数据资
133、产量要远大于已登记065【制造行业优秀案例】ISC 2022数据资产量,并且内部人员对数据资产的类型、分布以及状态等情况不清楚,那么就造成安全防护设备保护不全等情况,从而加大了数据泄露的风险,如数据库中敏感信息漏加密出现明文、审计系统留存的日志不完整等等。4、敏感信息未分级,无法避免一刀切 数据对企业行业来说是最重要的资源之一,尤其是敏感数据。那么为了防止出现数据泄露等事件的发生,企业一直将整体数据资产进行保护处理,例如利用数据库加密系统对整个数据库、表、字段、数据进行加密处理,这样不仅浪费了资源,还增加系统或网络的相应速度,从而给整体业务带来影响。解决方案:1、数据资产识别利用先进的数据库自
134、动嗅探识别技术对整个IP网段或端口的范围进行搜索,发现整个范围内存在的数据库类型及文件服务器,涵盖结构化数据和非结构化数据,包括Oracle、MySQL、SQL Server、DB2、Sybase、高斯、达梦、金仓、Hive等。解决客户以下问题:帮助客户摸清,数据库情况。2、敏感数据的发现利用内置敏感数据特征库,通过关键字、正则表达式、算法等构建丰富的特征项,用于定义敏感数据识别的匹配策略配置,同时特征项支持自定义敏感数据类型和特征,比如客户个人敏感数据、公司敏感数据等。解决客户以下问题:敏感数据不清晰,且不规范:通过敏感数据内置识别规则和自定义规则快速有效的在海量数据中准确的提取出敏感数据,
135、对其进行等级打标签处理。066【制造行业优秀案例】ISC 20223、数据分类分级:数据分类分级主要用于维护数据类别标签及数据风险等级。系统内置丰富的数据分类分级模型,并支持自定义数据类别标签及数据风险等级,可通过敏感数据发现任务自动打标或手动打标。解决客户以下问题:数据分类分级进行保护、安全合规检查。067【制造行业优秀案例】ISC 20224、资产风险分析:资产风险分析可以从海量数据资产中快速发现和定位敏感数据资产,追踪敏感数据的使用情况,并根据安全管理规则,实时推送资产风险,以确保能实时了解资产数据的安全状态并制定相应防护方案。对于敏感资产的动态变化形成的异常事件的提醒。解决客户以下问题
136、:数据资产动态监控:对客户数据资产进程全程监控,利用安全管理规则对动态变化的资产进行了分析排查,对异常事件发出了提醒,及时采取措施避免了数据安全事件的发生。5、资产安全报表通过内嵌的报表功能为用户丰富的数据资产专项报表,如整体资产统计报表、敏感数据梳理报表等供用户分析审核。同时管理员可自定义生成doc、csv、pdf等格式的报表。解决客户以下问题:数据资产直观展现、支持合规性等多种报表。6、数据流量分析敏感数据流向是通过网络流量侦听、精细SQL语句解析等技术,结合SQL语句的操作模型共同完成的流向分析;系统会对敏感数据的访问情况进行实时学习,并针对敏感数据的流入与流出两部分,动态的实现数据流向
137、管理。解决客户以下问题:对敏感数据流向进行管理。7、数据资产管理系统提供数据资产安全管理功能,在有效识别数据分布的同时,协助用户更了解企业内部数据资产的安全情况。同时,智能化的探索梳理结构化数据间、非结构化数据间的敏感数据关系,根据敏感数据间的关系生成敏感数据地图等。解决客户以下问题:准确了解敏感数据之前的关系。068【制造行业优秀案例】ISC 2022创新性与优势:1、节省人力成本,自动形成资产台账 梳理环境中的所有数据信息,包括元数据和数据本身两个维度,自动形成资产台账,节省人工成本提高至少 60%的工作效率和 30%的准确率,为安全防护体系的建设、安全策略的配置、资产的日常管理提供直观依
138、据。2、全程监控数据流向,降低数据安全风险对数据流转、使用的动态情况进行全程 24 小时监控和梳理,形成数据流向,帮助用户识别数据使用过程中的风险和隐患,有效避免 30%的风险。3、全程管理数据资产,实现资产管理目标形成资产台账之后,资产情况不会一尘不变,会有新资产上线,数据梳理系统会实时监控新资产的上线并进行告警,从而实现 100%数据资产的管理目标。4、系统协同防控,加强数据安全体系建设资产梳理系统可以作为资产流转权限的鉴别中台。数据安全设备遇到数据流转时,可以到资产梳理系统获取该数据的相关信息,以便确定该数据的流转是否符合管理要求,符合要求放行,不符合要求拦截,能够避免近 15%的风险行
139、为,实现数据安全体系的协同防控。069【制造行业优秀案例】ISC 2022应用效果:1、全面梳理,形成资产台账对客户结构化及非结构化数据进行全面梳理,包括元数据、数据库、表、字段、账户信息、敏感数据等多方面,形成资产台账,为安全防护体系的建设、安全策略的配置、资产的日常管理提供直观依据。2、实时监控,追踪数据流向对客户资产数据流转、使用的动态情况进行监控和梳理,形成数据流向,帮助用户识别数据使用过程中的风险和隐患。3、协同防控,提供有力支持资产梳理系统可以作为客户资产流转权限的鉴别中台。数据安全设备遇到数据流转时,通过资产梳理系统获取该数据的相关信息,以便确定该数据的流转是否符合管理要求,符合
140、要求放行,不符合要求拦截,实现数据安全体系的协同防控。经验总结:该项目利用数据资产梳理系统粗粒度技术对客户整体结构化及非结构化数据资产进行深度挖掘和扫描,一小时内共盘点出结构化数据库数十个和非结构化文件数百个。利用细粒度技术对数十个数据库中其中两个数据库进行挖掘扫描,30 分钟共盘点出近千个数据库表、数千个字段项,并对字段项中的数据进行了五个等级的打标处理,解决了数据级别划分的刚性需求。对资产梳理的同时,对数据库账户也同步梳理,识别数据库账户数十个并纳入平台进行审计。通过 30 天24 小时全天候对静动态数据实时监控分析,发现新资产上线和旧资产下线情况以及少量的疑似风险操作,均已发出告警。期间
141、接受内部数据资产检查共两次,满足自查要求。政企行业优秀案例03071【政企行业优秀案例】ISC 2022浙江省湖州市大数据发展管理局 DSM 项目案例提供方:美创科技案例关键词:数据安全、态势感知CASE 01案例背景:根据 浙江省数字化改革总体方案,自 2021 年起,未来 5 年内将围绕建设数字浙江目标,全面推进数字化改革。其中,由浙江省大数据局牵头推进一体化智能化公共数据平台建设任务,将进一步完善数据资源体系,推进数据目录、数据归集、数据治理、数据共享、数据开放、数据安全等工作。关键挑战:1、联动各类安全能力集一体,构筑数据全生命周期安全体系数据使用安全:对内外部人员进行集中认证、访问控
142、制及敏感数据脱敏处理,可通过工单系统进行临时的数据库访问授权;数据共享交换安全:保证数据共享交换过程中的流动安全,发生数据泄露事件后可进行溯源定责;数据安全与风险监测:全面掌握安全事件与安全态势,及时应对安全风险。2、搭建安全能力池,统筹监管各委办局进行安全建设需建设统一的数据安全管理中心,统筹区域各委办局进行安全建设,并能够系统掌握其安全建设情况,给予督促指导。解决方案:美创科技以 数据安全法、浙江省数字化改革总体方案及 浙江省公共数据安全管理总则等相关要求为依据,通过建设部署一体化、智能化的覆盖公共数据全生命周期的数据安全技术体系,实现一体化保障公共数据平台安全,智能化发现公共数据安全风险
143、,辅助公共数据安全建设规划决策。1、数据安全统一管理中心通过数据安全管理平台,接入数据库防水坝、数据静态脱敏、敏感数据动态脱敏、数据水印溯源等数据072【政企行业优秀案例】ISC 2022安全资源能力,统一调度和联动各类安全资源进行自身的安全能力建设。此外,还可利用平台独有的“多租户”功能,快速为区域各委办局建设DSM能力。通过部署数据安全管理平台,该大数据局作为监管端,采用多租户管理模式,为各委办局分配安全防护事件存储空间。各委办局被添加成为租户后,作为被监管端,实现与该大数据局共用一套数据安全管理平台,无需额外自建,即可拥有DSM能力。同时可根据不同委办局的安全诉求,来开通相应的安全服务能
144、力,达到安全能力的按需开通。通过数据安全管理平台,除进行自身的安全风险监测外,还可统一监管各委办局安全建设情况。073【政企行业优秀案例】ISC 20222、流动数据安全监测服务在数据开放共享及交换过程中,实时监测数据的流向和使用情况,包括涉敏数据的使用情况监测等。3、数据安全运营通过美创数据安全管理平台完成数据安全运营中心建设,集中进行资产、防护策略配置和工单审批,实时展示资产受访问状态、面临风险状态以及绩效考核评估和风险评估等。创新性与优势:美创科技数据安全管理平台是一款旨在解决当下各类安全平台无法有效协同、运营管理成本日益增大、企业无力应对日益复杂的安全威胁,帮助用户实现资产规范管理、安
145、全多端联动、运营增值的企业级数据安全高效智治产品。产品集成全流量聚合存储、海量信息处理和查询、资产全量识别盘点、用户行为(UEBA)深度分析、大数据实时智能响应等功能,帮助用户充分盘活用户数据安全防护场景,实现资产全域可管、风险全域可视、策略全域联动。1、数据资产全盘快速梳理自动发现海量数据资产,通过资产目录和分类分级,建立资产核心管理池,结合风险评估、资产画像、数据权限等实现数据资产集中智能治理和监测。2、数据安全高效管控与防护通过资产、身份、风险智治,威胁情报搜集、自动编排技术实现数据安全多设备协同联动响应,高效安全防护。3、数据安全态势全方位感知资产分布、风险可视等多维度分析大屏,快速展
146、示当前防护目标、防护效果,实现风险可视、可管。4、租户安全能力共享以多租户技术实现多个租户之间共享系统实例,同时实现租户的个性化定制,并针对不同的租户进行数据隔离,实现资源共享,按需分配。应用效果:1、统一安全管理,运维降本提效政务云上统一搭建数据安全资源池,将安全资源以服务形式提供给租户,避免各委办局重复建设,大大降低了数据安全保障工作过程中人力、物力、时间成本的投入,同时保证数据安全建设统一性;2、监测预警及时,应急响应规范提供日常风险检测,当发现风险事件时及时预警,当发生数据安全突发性危害事件时,详细规范的 数据074【政企行业优秀案例】ISC 2022安全应急响应管理制度以及相应的应急
147、响应预案提供指导;3、上级联态势感知,中心指挥调度态势感知支持级联,不仅各委办局可以查看本单位的安全态势,上级单位还可监管各委办局综合态势。另外还可以通过接口上报数据,使更上级单位查看本级以及与本级平行的其它各单位的综合态势;4、可复制、可推广此次建设贯彻落实了 浙江省数字化改革总体方案中一体化智能化公共数据平台关于数据全生命周期安全防护体系要求,为我省各大数据局政务服务数字化改革先行探路,提供了“可复制、可推广”模板,具有非常高的借鉴意义;5、安全合规同时会用数据安全管理平台大大加强了该大数据局整体数据安全防护能力,有效保障大数据局的信息安全,并满足 网络安全法、数据安全法及等保相关法规要求
148、。经验总结:1、结构化数据库事前、事中、事后全流程安全保障技术体系成熟,非结构化数据库安全防护手段单一;2、数据追踪溯源技术处于研究发展阶段,大规模应用实践尚未开启;3、数据安全技术起步研发较晚,部分技术尚不具备落地应用条件,例如数字血缘追踪技术、数据字段打标签技术;4、现有系统庞杂,性能消耗较大,占用系统资源,数据安全技术改造落地难度较大。075【政企行业优秀案例】ISC 2022湖北中烟某卷烟厂生产控制系统网络安全建设项目案例提供方:安帝科技案例关键词:工业安全、态势感知CASE 02案例背景:湖北中烟工业有限责任公司前身为 1916 年创立的南洋兄弟烟草公司汉口分公司,至今已走过百年历程
149、。公司组建于 2003 年 8 月,隶属国家烟草专卖局(中国烟草总公司)。公司组建后,负责统一管理湖北卷烟工业企业及多元化生产经营企业,公司现下辖武汉卷烟厂、襄阳卷烟厂、恩施卷烟厂、三峡卷烟厂、广水卷烟厂、红安卷烟厂等 6 家卷烟生产厂以及卷烟材料厂、新业薄片公司和红金龙(集团)公司等多家子公司。经营范围涵盖烟草制品的生产、销售,烟用物资、烟机进口和卷烟出口业务,与烟草制品生产销售相关的其他生产经营、多元化经营、资产经营等。随着网络信息技术迅猛发展,数字化与信息化深度融合,工业互联持续深入趋势愈发明显,病毒、木马等传统网络威胁向工业控制系统逐步蔓延,勒索攻击等新型攻击模式不断涌现,工控安全事件
150、频发,工控安全漏洞数量逐年增长,中高危漏洞占比居高不下,工业企业的定向攻击行为逐渐增多、攻击手段也愈发新型多样,智能制造行业等工业领域成为了重点风险领域,整体安全形势严峻。特别是烟草行业作为智能制造的代表性行业,近年来饱受勒索病毒及挖矿病毒的困扰。关键挑战:在面对外部工业领域严峻的安全形势下,湖北中烟下属各卷烟厂在工业网络安全建设方面主要有以下安全诉求:卷烟厂工业控制系统的操作员站、工程师站、服务器等物理主机大部分采用Windows操作系统,上位机、HMI、服务器的操作系统、应用软件较少补丁升级,导致工业控制系统主机防护能力脆弱,一旦遭受病毒、恶意代码攻击,极易造成系统瘫痪,故需要对这些操作员
151、站、工程师站、服务器等物理主机进行安全加固措施。卷烟厂的工业控制系统中缺乏网络状态监控和操作日志行为审计措施,缺乏网络事件记录和跟踪能力,如发生网络安全问题,很难对事件发生的根源进行定位,需增强工业控制网络的监测能力。卷烟厂缺少对生产网络中控制系统和安全设备的安全统一监视和管理的综合平台,无法对设备资产管理、设备运行状况监控、安全报警、安全事件感知、记录和分析及后续处理的统一管理,无法分析和评价各车间区域整体主机设备运行的优良状况。076【政企行业优秀案例】ISC 2022解决方案:针对湖北中烟某卷烟厂的实际安全需求,通过实地调研和分析,建设一套稳定、先进、高效的安全防护、安全监测体系,实现对
152、工控网络内的服务器、操作员站、工程师站等主机的安全防护,展现湖北中烟某卷烟厂的生产网络的整体态势,提升卷烟厂的整体工控安全监管水平和防御能力。本项目方案涉及湖北中烟某卷烟厂制丝车间、卷包数采车间、动力能管车间三个车间的生产控制系统,设计的技术方案的示意图如下所示:技术方案示意图 部署方案077【政企行业优秀案例】ISC 20221)多级统管平台,针对需求开发 与同类别方案相比,本项目设计的方案增加的相关安全设备所采集的信息更加全面,也更具合规性,能完全适应工控系统安全防护在稳定性与机密性的共同需求。方案中所有信息安全产品均为我公司自主研发,自主可控,安全产品联动安全性更高,真正做到了贴近工业现
153、场的安全监测和防护。2)主动防御监测,应对未知威胁 通过构建的主动防御监测体防护体系,在满足合规性的同时,更是实现对网络攻击特别是未知的新型网络攻击的检测与分析。3)轻量级部署,不影响正常生产 本次方案部署的主机加固产品,占用主机内存很小,而且兼容性好,支持在大部分windows和linux操作系统上安装部署,安装后不会影响原有主机的正常运行;工控安全监测与审计系统和工控流量日志分析系统产品都是采用的旁路部署的方式,部署时不需要更改原有的生产网络的架构,对卷烟厂的网络几乎不会有影响。4)扩展体系建设,全生命周期支撑 安全防护上提供适用不同强度、不同业务场景的工控安全防护方案;技术服务上提供专家
154、级的咨询服务、运维服务、评估服务以及人工加固等;方案制定上提供可智能升级的工控安全解决方案,满足合规性构建的同时,满足用户实际需求;体系建设上融入管理和支撑体系,全面考虑人、物、事等多维安全保障,体现动态安全的前沿思想。应用效果:本项目解决了原本卷烟厂网络安全防护建设片面化、局部性等不成体系的问题,为行业网络安全技术健康发展树立了标杆,具体表现在:1)设计构建统一的网络安全综合防护平台,实现了生产网与管理网安全的协同,安全事件的溯源分析,形成总体防御的集中管理能力,包括事件的分析与研判、攻击路径的分析与预判、威胁情报的集中管理、安全脆 项目亮点分析图078【政企行业优秀案例】ISC 2022弱
155、性与安全加固的集中管理等,形成由工控安全统一行为管理平台及安全态势感知平台作为安全大脑的整体综合安全防御能力,这种防护模式的试点具有引领烟草行业生产企业网络安全建设的示范效应。2)着力解决了资产管理、安全数据管理、威胁认知、态势感知能力、应急响应能力、安全管理体系等重大问题,推动企业数字化、网络化、智能化的快速发展以及工业互联网的提速建设。3)提升安全管理水平和运维效率 解决了生产系统关键网络设备、终端设备、安全设备等设备的信息集中采集和统一管理问题;对车间主机和终端的关键业务提供白名单保护,保障生产的运行稳定;协助建立完整的资产档案信息,明确资产责任人,以及资产使用及处置规则,根据资产管理制
156、度建立工控系统资产清单;提供对生产网络的恶意软件、入侵攻击、安全隐患进行检测;提供对关键信息系统专项威胁进行监测,如:APT攻击、漏洞利用攻击、僵木蠕毒进行监测;通过平台提供资产风险的实时展示、告警信息的实时推送,通过关联事件分析问题溯源从小时级下降到分钟级,防护的及时性和效率性得到了显著提高,减少运维人员工作量。经验总结:项目实施过程中遇到的问题:1)由于用户现场设备性能差别较大,很多主机设备性能较低,导致主机防护系统无法全面安装。2)没有专门的网络安全管理人员,人员安全意识不足。3)资产管控维护制度不完善,造成资产清单老旧与当前网络状态不符,对安全分析与后期运维造成影响。可优化措施:1)在
157、项目资金充裕的前提下,建议增加采集设备数量,并将流量远程发往采集设备。2)可根据条件让用户更新相关老旧设备,无法更换的择使用更轻量化主机防护系统,减少管控模板以便实现主机设备的一部分管控。3)明确项目实施目标和用户方配合人员职责,在实施中用户网安人员需充分参与,通过培训,边做边学,以便用户方人员的安全意识与技术水平。普及资产管控对安全分析与运维的重要性,协助建立资产全生命周期管理制度。079【政企行业优秀案例】ISC 2022政务安全通信与移动办公解决方案落地实践案例提供方:北卡科技案例关键词:数据安全、移动办公CASE 03案例背景:2022 年 4 月 19 日,中央全面深化改革委员会第二
158、十五次会议审议通过了 关于加强数字政府建设的指导意见,强调要全面贯彻网络强国战略,把数字技术广泛应用于政府管理服务,推动政府数字化、智能化运行,为推进国家治理体系和治理能力现代化提供有力支撑。政务数据涵盖公民、企业、政府部门、社会组织等多个领域的个人敏感信息和重要数据,一旦泄露将会对公民隐私、商业秘密、政府调控决策乃至国家安全造成巨大威胁,因此保障政务数据安全是推进数据治理和数字政府建设的底线。在这样的环境下,守住政务数据安全的前提,又能持续高效办公,是政务单位的第一要务。近年来,公职人员用微信办公造成信息外泄的事件层出不穷,暴露出在政务工作中使用公用通信系统,存在极大的安全隐患。2021 年
159、 11 月国家保密部门发文,明令禁止党政部门使用微信讨论工作与传文件,并开展清查整顿。客户单位亟需一款移动安全通信系统,能够解决传输工作信息与工作秘密渠道缺乏的问题,实现高效的移动办公与安全通信。关键挑战:近年来,使用手机处理公务的情形越来越普遍,很多公职人员将微信应用于日常工作中,但是使用微信等公用通信系统办公,存在极大的安全隐患。主要表现在:(1)公用通信系统主要用于社交,缺乏严格的身份认证机制,对用户隐私的保护力度不足。工作对象与社交对象同处一个通讯列表,用户容易因为误操作等原因,将工作文档、重要消息误发送至他人,导致外泄等问题。(2)公用通信系统因架构开放、数据明文存储,使用公网进行工
160、作文档、资料的传输,会将文件直接暴露在公网上,容易被黑客攻击窃取,导致工作文档外泄。(3)使用公用通信系统进行重要文件传输,权限管控能力基本为零,文档一旦发送出去,发送方就失去对文档的管控能力,在该平台及对方手机上可长期留存,无法撤销,被用户随意截屏,泄露后也难以追查。080【政企行业优秀案例】ISC 2022(4)由于公用平台服务端存储用户的通信数据且具备解密能力,数据容易被大数据分析,管理员滥用权限、平台被入侵时留存数据等都可能导致用户的数据泄露。解决方案:咔信是一款面向政府部门的、可以快速、私有化部署的专用加密即时通信系统。通过高强度数据加密和严格的身份认证技术实现数据流加密与安全通信;
161、具备安全文档功能,实现文件加密传输、阅读对象可控、文档可追踪;用户可以自主管控通信服务器,数据不会留存在公用的通信系统上。手机上安装“咔信”APP,只有授权用户才可接入系统,实现全球可达的高强度加密通信,避免黑客威胁与机构监听,确保政府部门进行快速、便捷的移动办公与安全通信。一、系统架构 咔信安全通信系统由通信服务器、移动端手机用户及PC端共同构成。二、核心技术(1)国产密码算法在安全通信领域的深度研究:多年安全通信领域深耕,自主深度掌握相关加密、通信算法,具备国际、国产密码算法研发、改造、优化相关核心技术。(2)通信内容全生命周期防泄防伪防篡技术:自主研发具有国产商密型号的软硬件密码产品,基
162、于国产密码算法的数字证书、数字签名和数据加解密技术,从信道保护、密钥管理、信源端端加密、沙箱防护、一话一密等多个维度确保通信全生命周期防泄、防伪、防篡,为通信提供前向和后向安全保证。(3)具备自主容错能力的弹性架构技术:自研的弹性架构技术,实现了物理部署分布式、逻辑处理分布式、数据管理分布式、系统负载分布式,系统各服务节点松耦合并行运行,具备完善的横向扩展与容错恢复机制,最大限度保证了业务节点和性能的扩展,相比业界其他系统架构,具有高安全、高性能、高容错、易部署、易扩展等特点。081【政企行业优秀案例】ISC 2022(4)自主可控快速私有化部署及智能寻址技术:独有的快速私有化部署技术,可针对
163、各种复杂的网络环境,提供灵活多样的快速部署方案,支持公有云、私有云、独立部署、分级部署及内网、外网和内外网混合部署。(5)基于零信任模型的身份鉴别与访问管控技术:基于自研技术的零信任身份认证与访问管控体系,具备身份认证、信任评估、动态访问控制、业务安全访问等核心安全技术,使系统具有“进不来”、“拿不到”、“看不懂”、“改不了”、“赖不掉”等特性,提供全方位、全生命周期的安全防护。(6)基于国密算法的安全文档及全流程管控技术:自研基于国产密码算法的安全文档数据格式和文档管控技术,可实现文档独立加密、动态授权,分发流转过程、阅读记录可知可控,泄密可溯源。非法用户无法访问和查看文档,合法用户只能在授
164、权访问范围内使用文档,实现了文档“在共享中保护,在保护下共享”。创新性与优势:作为安全通信类产品,咔信获得了业界领先的权威资质:首家通过了中国人民解放军信息安全测评中心检测、国家密码管理局密码产品型号认定、公安部信息安全专用产品销售许可证、国家信息系统安全等保三级认证、公安部信息安全产品检测中心检测、中国信息安全测评中心检测。咔信经权威部门检测认证,拥有自主知识产权,确保了产品应用于军队、政府部门工作通信的合规性。对比其他移动安全通信系统,咔信具有十分明显的优势,具体表现在:(1)部署敏捷性:服务器能够即插即用。(2)通信秘密性:用户完全私有化部署,数据不留存于公用服务器上。(3)服务器防追踪
165、:可快速更换IP,避免黑客跟踪和攻击。(4)严格的身份认证:采用多重认证技术进行严格的身份认证。(5)国密算法:采用国密算法进行数据加密。(6)敏感信息保护:具有增强的阅时保护与阅后销毁功能。(7)文档安全可控:对文档进行全周期安全管控。(8)加密音视频通话:实现了安全便利的加密语音与视频通话。082【政企行业优秀案例】ISC 2022应用效果:客户单位表示咔信通过私有化部署实现自主管控,使用国密算法实现数据安全,不仅具备常用通信功能,而且安全文档、阅后即焚、加密音视频通话等特色功能十分出色。通过使用“咔信”,既满足了单位对通信安全性的高需求,又为便利工作开展提供了强有力的支撑,对单位的工作开
166、展具有重要价值。经验总结:在具体执行过程中,应注意把控时间节点、务必按计划开展实施工作,注意设置检查节点,并在每个节点完成时做好风险评估,根据实际情况对计划进行调整,以确保方案真正落地。083【政企行业优秀案例】ISC 2022天津信创安全工程一期建设项目案例提供方:360 数字安全集团案例关键词:信创安全、等保合规CASE 04案例背景:信息技术创新应用(信创)作为一个万亿级市场,不仅是数字时代国家安全的重要保障,更是关乎国家信息安全的强国战略。按照国家信创产业发展战略规划,从 2020 年开始,信创产业进入高质量发展的战略机遇期。在国家重大软件工程的支持下,信创产品和解决方案将陆续在电子政
167、务、金融与能源等领域规模化推广应用。作为全国信创产业链条最全、产业聚集度最高的城市,天津市的信创产业已经具有一定的规模。随着2020 年底将至,天津市将有近 10万台覆盖党政各部门电子公文系统的终端完成国产化替代并规模化上线,天津信创工程的安全保障工作将迎来第一次正式挑战。为保障天津市信创工程顺利度过年底第一次安全大考,于 2021 年完成信创安全基地的一期建设。关键挑战:面对信创工程建设过程所面临的各种威胁,虽然有等保相关规定支撑信创工程安全保障工作的进行,然而,一方面,等保只能为信创工程提供安全基线,无法提供深入的、进一步的安全防护;另一方面,现有信创安全保障存在安全体系不成熟、产品未经实
168、战、外部势力虎视眈眈等诸多问题。这些都阻碍着天津信创安全保障工作的有效进行,过往Wintel体系下的安全实践足可以印证这一点。中华人民共和国网络安全法相关条例指出:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。网络安全法为天津市信创工程的安全保障工作指明了方向,即在等保制度基础之上,实行进一步的安全防护,这也是信创网络安全基地的建设初衷。084【政企行业优秀案例】ISC 2022解决方案:天津信创安全基
169、地一期将基于现有的技术、标准以及产品,完成快速搭建,凝聚核心力量,为天津信创工程提供安全保障。天津信创安全基地(一期)将会建设一个靶场和两个中心(信创网络安全靶场、信创漏洞综合管理中心和信创安全运营和应急响应中心),以“一靶场两中心”为信创安全基础设施,为天津市信创产品供应商和信创用户提供公共服务。同时,为保证“一靶场两中心”有足够的能力应对即将到来的“第一次大考”,将从两个方面提供保障,一方面,通过云端大脑的能力加持,持续提升信创安全基地的安全应对能力;另一方面,为保证信创安全基地系统的持续正常运行,建立同城灾备中心,负责基地采集的信创安全数据的备份和基地业务系统的灾难恢复。085【政企行业
170、优秀案例】ISC 2022创新性与优势:目前国内信创产品尚处于由能用向好用的阶段发展,各地主要是以解决信创产品的适配需求,缺乏信创安全层面的顶层规划和整体设计,天津市信创安全基地的建立填补了国内空白。通过推动信创标准建设,打造信创安全发展地区标杆,实现信创安全能力闭环,助力信创产业向更健康模式发展,为信创工程提供安全保障服务。应用效果:1、提供全方位的信创安全服务,降低信创用户和落户“中国信创谷”的信创企业前期安全成本投入,保障信创企业更好的专注于信创技术的研发和创新,为信创产业的持续发展提供助力。2、有利于汇聚更多的信创企业入驻信创谷,吸引更多人才来津发展,助力将天津打造成为我国信创产业自主
171、创新的重要源头和原始创新的主要策源地。经验总结:1.基于“多练多测”原则,不断摸索与积累科学有效的经验方法,建立长效的安全保障机制,形成常态化的安全能力水平,营造长远的安全产业生态环境。为天津市信创产品提供产品的安全性保障,为天津市信创产业的持续健康发展助力。2.天津市信创安全基地将是信创工程保障工作有效进行的载体,不仅为天津信创工程的安全保障工作提供了完备的方案,同时为安全保障工作的落地实施提供了一整套基础设施。3.立足服务天津,辐射全国,逐步形成效应,将天津信创安全基地打造成国家级信创安全基地模板和全国标杆,为国家信创产业的发展做出贡献。086【政企行业优秀案例】ISC 2022某地方健康
172、码疫情防控个人信息保护项目案例提供方:炼石案例关键词:数据安全、等保合规CASE 05案例背景:健康码是为各地居民便利出行提供健康信息申报、动态健康状态展示、外出务工健康证明申报等多种服务的便民信息系统。疫情下,全国各省/市总共建设了超过 500 个健康码系统,作为历史上首个覆盖 14 亿人口(包括出入境人员)的超级数字政务应用,其日均总访问量达到将近百亿次,亮码次数多达十亿次。健康码系统通过大数据分析疫情风险,为各级机关应急决策提供依据,并在追溯传染源、切断传播途径、实现精准抗疫中发挥了重要作用。与此同时,健康码系统也在进行快速迭代,推出一系列复学、复工、复产以及提振消费方面的创新实践,并逐
173、步转变为“城市码”,成为日常性的数字化公共服务平台。作为保障民众顺畅出行的通行凭证,健康码替代了纸质通行证,基于大数据技术,从各种渠道广泛收集个人隐私信息用于疫情分析,实现自动化、可追溯、数据流通、非接触式身份验证。看似简单的“亮码”动作,背后有着复杂的系统处理流程,健康码作为全面抗疫社会治理的基础设施,与医疗机构、电信运营商、海关、民航、铁路、社区等应用系统紧密相连,包含了大量的公民隐私信息,例如:姓名、身份证号码、联系方式、位置轨迹数据、电信运营商漫游数据、交通出行信息、出入境信息、海关检验检疫数据、确诊、疑似等病情087【政企行业优秀案例】ISC 2022病例数据、密切接触者数据、医学检
174、测数据、发热门诊数据、疫情社区及重点活动场所数据、健康信息档案、社区登记信息、采集点收集的数据、用户填报数据等。虽然在疫情最严峻的时段,民众对于健康权与隐私权之间的选择上更倾向于健康权。但是,随着 个人健康信息码参考模型 个人健康信息码数据格式 个人健康信息码应用接口等相关行业规范相继出台,明确规定个人健康信息服务及其应用应达到GB/T22239-2019 等级保护第三级的要求;健康码在应用端应被妥善保护,采用符合国家密码管理要求的算法进行加密保存,其使用宜配合用户的口令确认。因此,对数据监测的隐私提出了明确的保护要求,确保特殊情况下的动态平衡。疫情之下,个人信息数据不但关系到每个人的切身利益
175、,也关系到国家公共安全与社会稳定,如何在进一步推动大数据应用的同时,加强数据安全与个人信息保护,成为疫情防控常态化下渝康码必须面对的课题。炼石结合健康码的应用系统特点及数据安全防护的技术要求,针对某地个人隐私数据、内部业务流转数据等信息,提供数据加密脱敏、访问控制及审计,为用户提供以数据为中心的免改造安全防护。关键挑战:对于某地方健康码的加密改造,无法通过改造应用系统增强数据安全能力;同时,无法在应用系统工作时段对数据实施加密处理,因此只能利用夜间极短的时间快速部署;解决方案需满足个人健康信息服务及其应用应达到GB/T22239-2019 等级保护第三级的要求;数据量巨大,需针对 3000万当
176、地人民的个人隐私信息,包含姓名、年龄、体温数据、居住地、职业、轨迹、居住地、职业、轨迹等,进行数据加密保护;系统访问量大,加密执行需具备高性能、高可用性,不能影响系统的正常使用;时间紧,上线时间临近,任务重。解决方案:健康码背后是一套复杂的大数据应用系统在支撑,其中包含了数十个子系统,并且集成和打通了卫健委、公安、电信运营商、卫生医疗机构、民航铁路等机构的系统和数据,业务逻辑复杂、数据交互实时性要求极高。通过对存量应用系统开发改造的方式实现密码合规和安全增强,周期长难度大,对 7*24 小时运行健康码业务也存在中断风险。所以需要易于落地的创新密码技术,敏捷实施对健康码数据的安全保护。因此,针对
177、健康码应用密码技术的应用路线应考虑如下方面:对未来的增量系统:以合规为牵引,以落地实践为参考,按照商用密码体系标准执行健康码密码技术方案设计与落地。对目前的存量系统:以评促改,以安全合规为基线,建议采用易部署、免改造的密码技术路线,敏捷实施对健康码数据的安全保护。088【政企行业优秀案例】ISC 2022炼石方案以应用层为抓手,重建安全访问机制,实现数据细粒度防护。作为典型的存量系统,某地方健康码于 2020 年 7月试点上线了数据加密保护,涉及到 10 个核心应用服务、56 台应用服务器、1.5 亿条敏感数据,在进行充分测试演练后,前后分两批各使用 5 小时完成了切割上线,目前该方案已顺利实
178、施并成功交付,加密后对用户体验完全没有影响,保护了当地 3000万人民的隐私信息。某地方健康码没有采用传统“堆砌硬件密码机+代码开发改造”模式,而是采用了免改造数据安全创新技术,基于高性能商用密码模块,在应用层实施数据加密,实现了面向服务侧的敏感数据存储加密,与面向用户侧的数据动态脱敏。该技术路线实施周期短,可使商用密码技术保护健康码数据安全迅速见效,也从技术路线上初步验证了商用密码技术保护海量健康码数据的可行性。结合某地方健康码服务系统行业特点,对应用层的健康码、社区互扫、卡口、工作台、基础服务、外部服务等各个环节涉及数据作系统性梳理,分析找出身份信息、位置、移动轨迹、健康信息等需要加密保护
179、的数据,通过部署AOE面向切面的模块,免开发改造应用,仅通过配置的方式便可以敏捷实施。同时兼容所有数据库类型,包括商业数据库、开源数据库、国产数据库以及新的大数据。将数据加密、访问控制、审计相结合,确保访问控制一定经过加解密的一个环节,构建“防绕过”的数据安全防护机制,实现高置信度的审计,打造以密码技术为核心,与系统安全技术相结的实战化防护体系。部署和实施方案089【政企行业优秀案例】ISC 2022创新性与优势:1、应用免改造、敏捷部署 方案在应用内部署加密模块,应用无需改造,实现敏捷实施,有效控制流动中的数据。不改变之前的运行机制,也不影响企业现有系统的稳定性,可保证已上线系统的正常运营,
180、实现服务侧存储加密。2、面向用户终端侧实施动态脱敏 方案通过在应用系统内部署加密模块,管理员通过设置加解密策略,提供“主体到应用内用户,客体到字段级”的安全防护能力,实现面向用户侧动态脱敏、面向服务侧存储加密,有效防范内部业务人员越权、外部黑客入侵拖库等风险。3、高性能国密算法支持 炼石通过专利保护的PCT技术,先将国密SM4 的S盒代数变换到AES的S盒上,再用英特尔AES-NI的指令集加速,保障密码算法性能的大幅度提升,实现在单颗CPU能跑到 140Gbps的吞吐。在加密手机号时,每秒能加密 5000万条手机号,保障业务不受影响。4、支持丰富的数据库类型 方 案 支 持 丰富的 数 据 库
181、类 型,如:关系 型 数 据 库Oracle、MySQL、Postgres等,数 据 仓库Teradata以及NoSQL MongoDB等。用户只需在应用中进行模块配置,重启服务即可完成安装。5、支持多平台、多语言、场景化封装 方案支持国外密码算法的同时,还可以提供国密算法(SM2/SM3/SM4/SM9)能力,业务封装层提供面向应用开发人员的、结合业务要素的密码封装接口,让应用软件开发者可以无门槛实现集成密码能力。090【政企行业优秀案例】ISC 2022应用效果:炼石于 2020 年 7月 18 日接到需求,除 3 天调试之外,仅用 2 天时间实现上线。对于某地方健康码的 9个业务系统中
182、11 个字段的 8000万条记录进行有效的加密保护,实现实战化数据防护,目前系统运行良好。经验总结:一方面,通过免改造数据安全创新技术对已上线健康码存量系统和未来增量系统中的隐私数据进行加密保护,意义重大且具有较强的示范效应,因此在创新时更需要兼顾密评合规。另一方面,应用免改造数据安全创新技术,有助于引导行业出现更多的技术创新、提升高质量密码供给,复制推广到其他行业,比如政务、金融、教育、医疗、文旅、制造业、运营商、互联网等,这对商用密码在全社会推广、做大做强商用密码产业起到积极作用。091【政企行业优秀案例】ISC 2022某部委主机安全防护服务项目案例提供方:安芯网盾案例关键词:主机安全、
183、内存保护技术、安全运维CASE 06案例背景:某部委经过多年发展和努力,信息化建设卓有成效,不断完善党政机关电子公文系统建设,转变业务模式,推动单位数字化发展,并按照党中央指示分批开展党政机关电子公文系统国产化替代工作,构建自主可控技术体系。同时,大力开展网络安全建设,按照“一个中心,三重防护”的总体思路,构建了符合法律法规要求的网络安全防御体系。然而,随着国际环境日趋复杂,网络空间安全也面临着越来越大的挑战。由于单位应用规模持续增长和业务复杂度不断提升,网络边界逐渐模糊,主机所面临的风险显著提升。新冠疫情的爆发和持续也使一些业务由线下变为了线上,使该单位主机所面临的风险进一步加大。一旦主机系
184、统遭到入侵,将可能导致数据泄露、数据破坏、服务终止等情况发生,给单位工作秩序造成严重影响,甚至会影响单位的社会信誉。因此,需完善单位网络安全防御体系建设,提升主机系统应对新型威胁的能力,以确保单位信息化业务安全有序开展。关键挑战:(1)漏洞利用/内存攻击防护能力不足漏洞利用防护/内存防护是主机安全的核心要素之一。从漏洞方面来看,漏洞的修复至少要经历漏洞发现、补丁发布、验证适配、正式修复四个阶段,修复周期往往历经数周乃至数月。内存安全方面,对于传统主机安全设备而言,内存访问行为是不可见的。而很多攻击都始于内存破坏,并以此作为后续攻击的立足点。0-Day、Nday漏洞的存在以及内存防护能力的缺失,
185、均会给单位网络安全带来很大隐患。(2)高级威胁应对能力存在短板尽管单位部署了大量安全产品,但这些产品威胁检测原理多基于特征签名、系统日志、网络流量等静态特征,难以有效应对变种威胁、未知威胁等新型威胁。黑客组织利用诸如内存攻击、内存马攻击、无文件攻击等高级攻击手段仍然可能突破现有网络安全防线,实现对主机设备的远程控制。(3)横向渗透防护能力缺失对主机尤其是云主机的安全防护,最大的难点在于安全隔离和东西向流量的监测。通常,通过网段的划092【政企行业优秀案例】ISC 2022分来实现主机的域间隔离。然而,当主机规模较大时,会不可避免地形成较大的安全域,这使得主机攻击面显著增大,横向渗透防护能力的缺
186、失导致一旦域内单台主机遭到攻陷,安全域内所有主机都可能遭到横向渗透。解决方案:1、核心技术:行为分析技术:尽管攻击样本纷繁复杂,但其攻击动作触发的敏感行为是有限且收敛的。因此,基于行为分析技术来检测威胁,是真正做到“对症下药”的技术方案。通过实时监测内存中进程行为,关注恶意代码的敏感行为点,有效提升高级威胁和未知威胁检测能力。关联分析技术:采用行为关联分析技术,针对攻击和风险行为进行上下文关联分析,对攻击者ip地址、攻击时间、关键行为路径等特征信息进行综合分析、溯源,为攻击事件排查、分析和复盘提供有力依据。2、建设内容:完善主机安全建设,部署安芯网盾内存保护系统,构建覆盖内核层、系统层和应用层
187、有机结合的主机安全立体防护体系,使主机能够有效防御漏洞利用/内存破坏攻击、无文件攻击、内存马等各类高级威胁,并能有效防御横向渗透行为。构建内存、系统、应用三层纵深防护:通过内存层可以发现程序在内存中的一些后门、溢出、属性修改等恶意行为,在系统层可以结合系统调用和恶意执行动作发现恶意代码攻击,可以确保运行环境的安全,结合RASP监控应用程序内部一些攻击,例如内存马攻击,从而实现三层防护纵深效果。建设安全检防一体化能力:通过实时监控应用程序操作和执行行为,并利用行为分析、动态枚举等手段,实现对恶意行为的检测、响应和阻断等,打造“检测-分析-响应-溯源”的闭环处置能力。建设 0-Day/Nday漏洞
188、防护能力:基于对系统底层方法/函数的监测技术,通过分析关键函数执行行为093【政企行业优秀案例】ISC 2022和执行过程,发现已知威胁变种和未知威胁攻击,降低对特征签名、网络流量、系统日志的依赖,从而实现对Nday漏洞乃至 0-Day漏洞利用的防护。建设横向渗透防护能力:形成黑客工具专项防护能力,能有效发现Cobalt Strike、Mimikatz、Psexec、冰蝎、哥斯拉、蚁剑等常见黑客工具行为,并实施阻断,保护安全域内主机免遭横向渗透。3、技术架构:内存保护系统采用B/S架构,管理端(监控Server)单独部署,轻量化Agent端部署在受保护主机。客户通过https方式访问管理端进行
189、安全运营管理。创新性与优势:操作系统出于自身安全性、稳定性等因素考虑,系统越来越封闭,传统的通过API Hook的动态监控方式对高级威胁的防护效果已经受到极大制约,出现检出率低、误报率偏高的情况。尽管高级威胁攻击在基于API监控的检测方法上蛛丝马迹甚少,但是最终会在内存中“展现”和执行,所以内存成为所有威胁的汇聚点。在冯诺伊曼体系结构中,任何数据都需要经过CPU进行运算、都需要经过内存进行存储,理论上基于CPU指令集和内存这一层面实现的安全防护可以有效防护所有威胁。基于此,安芯网盾想到了一种新的思路来应对此类高级威胁,也就是在内存和CPU指令集这一层来构建安全方案,在应用层、系统层、内核层提供
190、有机结合的立体防护。内存保护系统正是基于这一理念,通过使用内存访问监控、程序行为分析、行为关联分析等前沿技术,摆脱了传统端点安全设备对特征签名、系统日志、网络流量等静态特征的依赖,为用户提供端点立体化安全解决方案。094【政企行业优秀案例】ISC 2022应用效果:内存保护系统的部署不但提升了主机安全防护系数,还从根本上提升了威胁事件实时响应能力和恶意行为拦截能力,在全国攻防演练对抗期间成功发现并拦截了Chrome 0-Day漏洞利用攻击,得到用户的好评。其基于系统底层的监控技术有效提升了检测精确度,降低误报几率,降低运维成本,提升运维效率,推进用户单位安全运维敏捷化、自动化建设。不仅如此,内
191、存保护系统通过运行在应用程序内部,获取到了更为详细的攻击信息,从而为开发人员提供更多的情报信息来帮助安全开发人员改进代码,加快产品迭代效率,从而更好地推进用户单位数字化转型。经验总结:在本项目中,我们发现,最大的问题来自用户方运维人员对于网络安全事件的分析和研判。由于本项目所涉及产品技术比较新颖且偏向系统底层,导致系统日志的分析难度有所提升。因此,应从安全运维角度入手,一方面,进一步加大对用户培训力度,另一方面,为用户提供专职的技术支持人员,确保项目能为用户带来最大价值。095【政企行业优秀案例】ISC 2022某市开发区大数据中心资产测绘与漏洞验证服务项目案例提供方:云科安信案例关键词:资产
192、测绘、Web应用安全CASE 07案例背景:依据 中华人民共和国网络安全法、信息安全等级保护管理办法等文件要求,为了更好的保障管委会信息系统正常稳定安全运行,应对可能发生的网络攻击,采购网络安全资产测绘与漏洞验证服务。该项目服务内容主要是聚焦 IT 资产,协助管委会摸清家底,管控安全风险。在开发区大数据中心明确授权和监督下,按照制定的范围,以攻击者视角全面覆盖资产和暴露面,持续探测网络空间资产风险,帮助开发区大数据中心时刻洞察网络空间资产,主动掌控资产动态,处置网络安全隐患,及时缓解网络安全风险。关键挑战:近年来,发达国家都针对网络安全颁布了专门的法令和政策,但是世界范围内仍然不断的发生着重大
193、网络安全事件,我们针对近年来发生的严重安全事件进行了分析,发现了网络攻击的三个变化趋势:攻击对手的改变:攻击者已经不再是单兵作战的普通黑客,而是具有国家级背景、使用军事级技术的专业部队,网络对抗实则已经升级为国家之间的对抗。攻击手段的改变:攻击者首先排查被攻击目标的网络资产暴露面,找到防护薄弱的攻击面暴露资产,寻找可供利用的漏洞,有针对性的进行精确打击,攻击速度和效果都有了质的提升。攻击目标的改变:国家基础设施已经成为攻击者首选的攻击目标,国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的企、事业单位均为高危目标群体。解决方案:从攻击者角度出发,重新定义企业信
194、息资产:攻击者不止关注硬件设备,更多关注的是设备上承载的业务系统,如企业员工将内部敏感信息上传至第三方托管平台黑客利用敏感信息直接进入内部系统,所以信息资产管理仅管理主机和网络设备等硬件是不够的。096【政企行业优秀案例】ISC 2022开发区大数据中心和所辖企业主要面临的问题有:1)企业安全漏洞常态化检测能力不足网络攻击是不分时间及场合的,这就要求防守方也必须具备常态化的检测防御能力,但很难有企业可以达到,这就给攻击者留下可乘之机。2)大数据中心、企业威胁可视化能力不足大数据中心和企业本身也不清楚资产信息和安全漏洞信息,企业安全建设是否真正达到效果具备应付实战的能力仍是未知的。3)全面的资产
195、探测评级能力不足企业内外部资产其实是处于实时的动态演化的过程之中,安全团队往往无法实时掌握资产的演化,漏洞发现能力滞后,给攻击者带来了攻击时间窗口,从而造成企业损失。4)企业对数字化资产威胁认识不足当前企业在进行全面的数字化转型,企业需识别暴露的有风险的数字资产,包含“企业数字足迹、品牌保护、组织的账户接管风险等”以上是数字化转型阶段的新的安全威胁,企业对此方面认识度十分匮乏。针对以上问题,通过云科Web应用安全检测系统,挖掘互联网和企业内网数据集,或模拟采用侦察技术的攻击者等方式和手段,来全面分析组织资产,结合智能算法合理进行数字建模与分析,对组织当前资产、漏洞、风险情况进行及时分析,掌握每
196、一个安全数据状态,提高企业风险管理水平和效率。097【政企行业优秀案例】ISC 2022通过资产测绘与漏洞验证服务,开发区企业安全漏洞管理能力有了明显的提升,主要体现在:1)实现企业安全数据分析系统通过多种方式对漏洞进行收录和异构数据融合,同时结合开源网络情报,对企业业务相关的信息也加以收录、甄别、关联,将离散的数据通过安全分析智能引擎,进行数据建模,实现深度的安全漏洞挖掘与关联。2)实现漏洞全生命周期管理对行业漏洞库和企业整体组织架构成员,进行漏洞监测、漏洞预警、下达处置任务、追踪处置结果等工作,实现落地监测发现、分析研判、情报预警、响应处置形成闭环。3)实现企业资产安全管理通过自动探测资产
197、信息,结合漏洞管理模块功能,精确检测验证联网设备存在的漏洞情况,发现新入网设备、违规入网设备、隐匿及僵尸设备,监测针对联网资产的攻击行为,完成联网终端资产漏洞攻击面的盘点和收敛。4)实现威胁可视化可实现资产普查、风险探测、风险管理于一体的综合资产探测与详情可视化展示系统,帮助客户掌握网络空间资产安全风险态势,提升资产安全治理水平,降低资产安全维护管理成本。创新性与优势:本项目引入的云科web应用安全检测系统,其中包含了6 个相关技术点“外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)、漏洞评估(VA)、弱点/漏洞优先级技术(VPT)、开源网络情报(OS
198、INT)”平台是一个开放的技术体系,通过引入攻击面管理技术后,除了对上海临港新片区大数据中心的网络资产安全脆弱性进行检测之外,还增加了以攻击者视角对其资产进行持续发现、清点、分类、优先级排序和监控的整个过程做出如下安全管理:098【政企行业优秀案例】ISC 2022资产的识别及清点:可以识别未知的(影子)数字资产(如网站、IP、域名、SSL证书和云服务),并实时维护资产列表;漏洞修复及暴露面管控:将错误配置、开放端口和未修复漏洞根据紧急程度、严重性来进行风险等级分析以确定优先级;云安全与治理:识别组织的公共资产,跨云供应商,以改善云安全和治理,采用外部攻击面管理技术可以提供全面的云资产清单,补
199、充现有的云安全工具;数据泄漏检测:监测临港新片区参演单位内部信息系统的数据泄漏情况,如凭证泄漏或敏感数据;应用效果:先于攻击者发现漏洞并加以弥补是最经济的信息安全解决方案。但是没有技术支持,靠离散的资产测绘、漏扫扫描等,无法实现威胁信息的关联性利用分析。如此海量数据需要大量及专业人员来进行分析,随着业务系统增加其难度呈几何数上升。通过资产测绘与漏洞验证服务,可以有效的将资产测绘、漏洞挖掘、漏洞验证、漏洞管理、补丁推送、威胁情报融为一体,实现高可用、高智能结果交付,减少系统建设费用和人力资源的投入。企业采用服务后有效的提高了攻击门槛,通过数据分析至少有效缩减 90%漏洞暴露面,通过“企业安全数据
200、分析、漏洞全生命周期管理、企业资产安全管理、威胁可视化”使企业可以,准确定位最急需处理的风险,快速、有效的进行安全防护。在后续的服务升级过程中,又实现与企业现有的管理系统对接:通过数据接口,实现更丰富的管理方式和内容,使企业之前的投入得到进一步增值。经验总结:在如此严峻的网络安全形势下,关键信息基础设施企业,他们掌握着国家的重要资源,一旦遭到破坏不仅可能会带来巨大的经济损失,还会严重危害到国计民生、公共利益甚至国家安全。是什么原因导致企业在处于如此尴尬的境地,我们在分析后总结了以下三点原因:攻防双方信息不对称:资产多、变化快、人力少,这些都是大中型企业在进行网络资产管理中客观存在的困难,企业根
201、本无法清晰的掌握自身需要防护的网络资产暴露面,不能及时全面的了解网络资产中存在的安全隐患。“战时”应对能力不足:缺乏有效的网络安全威胁感知能力,阻断网络连接成为被攻击者在网络攻防中最“可靠”的防护手段。网络安全依赖于周期性的安全评估:渗透测试安全评估往往是周期性或以事件驱动的,但网络攻击是持续不断的,企业需要能够实现风险持续性监测与分析的产品,深入发现暴露的问题和风险,持续有效地对风险进行处理,从而提高攻击门槛,缩减修复窗口期。生活服务行业优秀案例04100【生活服务行业优秀案例】ISC 2022北京市热力集团等保合规建设项目案例提供方:北京热力集团案例关键词:等保合规、工控安全CASE 01
202、案例背景:北京热力集团以网络安全等级保护 2.0 标准(以等级保护二级和三级为主)进行整体网络安全技术体系建设,并完成安全设备、安全策略的实施部署,提升当前信息系统的安全防御能力,同时将继续完善补充整体网络安全技术体系建设,并完成安全设备、安全策略的实施部署,提升当前信息系统的安全防御能力。北京热力集团正在针对机房进行网络安全整改,建立网络安全总体策略,提升安全防护能力。根据以往的技术研究,换热站可能面临来自工业互联网或者生产管理网的系统攻击,网络的边界点,存在遭受来自企业信息层病毒感染的风险,不仅如此,各个生产数据采集子系统、工程师站、操作员站、都在同一网络中,一般与上层数采网络或集中管理中
203、心无隔离防护。关键挑战:北京热力集团亟需建设符合国家信息系统网络安全等级保护三级标准的热力集团亦庄数据中心信息安全防护体系。在充分考虑三级系统业务性能与安全防护的基础上同时兼顾其余 23 套二级系统的安全防护,从管理、技术、运维三个层面,构建科学的、结构化的自适应信息安全保障体系,实现“预测、防御、检测、响应”自适应防御效果,完成信息安全整改建设工作,达到“拿不走、打不瘫、可预测、可追溯”的主动防御目标,确保热力集团信息系统风险可控以及稳定、高效、高水准的运转,并最终通过国家信息系统网络安全等级保护测评。同时也需要尽快解决换热站工控安全上的重点问题,提升其工控系统整体安全防护能力和抗攻击能力,
204、为后期工控信息安全建设的全面开展提供依据和样板。解决方案:根据热力集团信息系统的业务系统定级情况,在进行安全防护技术体系详细设计时,充分考虑热力集团信息系统的业务系统面临的威胁风险和安全需求,并遵循 信息安全技术 网络安全等级保护基本要求,通过对101【生活服务行业优秀案例】ISC 2022安全通信网络、安全区域边界、安全计算环境、安全管理中心的设计,形成“信息安全技术体系防护”的信息安全技术防护体系,形成防御类、监控与审计类两大类安全能力。(1)安全通信网络安全通信网络主要涉及的范畴包括网络结构、通信传输、可信验证方面。热力集团亦庄数据中心拓扑设计为双核心星型原则,以核心路由交换为中心连接,
205、生产部业务区、对外服务区(DMZ)、集团业务区(包含信息化、财务、收费、热计量等),机房。通过常规的动态路由的算法,实现三地间访问的高可用性。热力集团四惠数据中心拓扑设计为双核心星型原则,以核心路由交换为中心连接,工控业务区、生产业务区和机房。(2)安全区域边界安全区域边界主要涉及的范畴包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证方面。按照国家网络安全等级保护三级相关的基本要求:在核心路由交换旁路部署网络准入系统实现对网络的非授权设备私自入网、内网设备私自联到外部网络。网络准入系统能够实现IP、MAC、交换机端口的唯一绑定,统一管理网络内各层级交换机,统一管理交
206、换机端口、网络内IP地址的使用情况。当发现未授权IP接入或未授权端口开启时,进行报警并且自动关闭交换机端口。在信息化业务区域和工控业务区域边界部署网闸设备,针对区域边界通过访问控制策略进行边界访问管控。在工业务区部署工控防火墙,能够实现对工控网络非法访问、非法操作以及异常控制指令的实时监测和防护。在核心路由交换旁路部署网络回溯系统,根据网络架构设计,将流经核心路由交换的网络数据和集团业务区内部的网络数据通过镜像方式发送给网络回溯系统,由网络回溯系统针对所有网络行为进行分析,当检测到违规网络行为时进行告警。同时旁路部署APT系统,通过探针收取网络内的所有数据包进行分析,实现针对未知的新型网络攻击
207、的检测与发现,并提出相应的解决措施。在安全管理区配置部署网络诱捕分析系统,通过对业务系统访问请求进行监控,发现并诱捕非法访问请求,并还原攻击方式,有利于针对业务系统的安全加固和防护。(3)安全计算环境安全计算环境主要涉及的范畴包括身份鉴别、访问控制、入侵防范、资源控制等方面。按照国家网络安全等级保护三级相关的基本要求:通过在生产业务管理区部署堡垒机和全网可视化平台,对网络设备和安全设备包括路由器、交换机、防火墙等关键策略数据以及用户统一用户登录系统和堡垒机中用户、权限的提取和解析,并运用可视化技术,实现安全域基础架构的分析与展示、合规数据流的分析与展示、合规访问路径的分析与展示、安全策略合规矩
208、阵的分析与展示。通过在安全管理区部署数据加密系统,数据加密系统中的加解密技术来保证在数据传输和存储过程中的完整性和保密性。102【生活服务行业优秀案例】ISC 2022(4)安全管理中心安全管理中心主要涉及的范畴包括系统管理、审计管理、安全管理、集中管控方面。按照国家网络安全等级保护三级相关的基本要求:在生产业务管理区内划分出安全管理域,通过部署堡垒机实现对网络中网络设备、安全设备、主机等进行管理。通过全网可视化平台进行各类安全设备流量进行收集,并进行集中分析,发现可能存在的问题并进行识别、告警。通过在安全管理域部署全景流量分析,能够将集中配置的业务的各个应用与前端设备采集链路关联,并将相关应
209、用、警报设置自动下发到前端设备上。通过在安全管理域部署漏洞扫描系统,对系统进行扫描可及时了解网络的安全设置和运行的应用服务,及时发现安全漏洞。(5)两网隔离对热力集团下属各类办公场所,实现内外网的两网隔离。逻辑上隔离开办公网网段可以访问互联网的所有路径,且专机专用,即访问办公网的主机只能访问办公网,且办公网网段不能与互联网相连。做到了高效隔离,起到的应用的安全防护的效果。(6)工控安全防护根据自主研发的工控安全防护装置,使换热站工控环境和上位整个系统平台之间,具备边界防护、监测审计、集中管理等安全防护功能。创新性与优势:在应用架构中涉及到公共服务业务(掌上热力)、核心关键业务(生产部业务、集团
210、业务)和内部相关系统,结合了业务重要性、部署环境、性能需求进行统筹考虑合理规划安全域和安全防护策略,确保业务与安全的融合、统一。业务应用系统涉及用户包括采暖用户、内部办公用户、决策用户以及系统运维用户,需要结合用户类型、访问方式、角色权限等对安全访问策略进行统筹考虑,实现人、账户、系统、策略统一,确保应用系统的访问、操作安全可控。应用系统所承载数据类型多样、关系复杂,结合了数据重要级别、数据交互方式围绕数据采集、处理、交换、存储、销毁全生命周期建立统一数据安全防护策略,包括统一数据交互策略、数据存储策略,统一数据资源管理策略以及数据加密策略。103【生活服务行业优秀案例】ISC 2022应用效
211、果:为了满足京公网安限字2020第 09 号网络安全监督检查限期整改通知要求,经过共同努力,整体的安全防护水平得到了整体的提升,主要体现在:各网络区域间网络进行分区分域的采取安全防护手段,能够检测和阻断来源于内部或外部的攻击。保证了跨越边界的访问与数据流通过边界设备提供的受控接口进行通信,对非授权设备私自联到内部网络的行为进行检查或限制,对内部用户非授权联到外部网络的行为进行检查或限制,限制了无线网络的使用,保证了无线网络通过受控的边界设备接入内部网络。网络边界或区域之间根据访问控制策略设置了访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。根据会话状态信息为进出数据流提供了明确的允许
212、或拒绝访问的能力,对进出网络的数据流实现了基于应用协议和应用内容的访问控制。实现了对重要的用户行为和重要安全事件进行审计,通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制,保证了通过人机接口输入或通过通信接口输入的内容符合系统设定要求。实现了检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。实现了对登录用户进行身份标识和鉴别,并且实现了限制非法登录次数和当登录连接超时自动退出等相关措施,采用了口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用
213、程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。完善了网络安全事件应急预案,提供了相关系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险处置方式,在相关指导下开展了应急演练工作,对潜在的网络安全事件进行调查和评估的能力得到了提高。供热控制系统作为我市关键信息基础设施重保系统,安全态势感知探针已在各节点部署,不仅覆盖了集团主要业务系统,也覆盖了其供热子企业,整体提高了威胁情报分析能力。经验总结:随着信息安全行业的不断发展以及企业对信息安全越发重视,传统的安全防护手段已经逐渐难以满足企业的信息安全需求。问题主要集中在对企业资产的画像
214、不清晰,威胁响应的不及时和管理制度的不完善上,切实提升关键信息基础设施安全保护能力和应急处置水平,提高网络安全协同配合和联合处置能力,强化网络安全纵深防御、重点防御和主动防御的体系建设,变被动防护为主动防御、变静态防护为动态防御、变单点防护为整体防控、变粗放防护为精细防护,切实掌握工作主动权,有效应对网络安全威胁,识别大风险、消104【生活服务行业优秀案例】ISC 2022除大隐患,杜绝网络安全事件发生,才能有效确保信息系统稳定运行。此外,随着供热行业中各个换热站的安全防护的当前状态是不一致,比较难于把所有待升级的换热站统一升级到同一状态。在已有的功能模块中,含有一些重复的功能,浪费了一些配置
215、资源。某些工控安全防护设备不是单一提供部分功能,对换热站的部署环境有了格外的要求,也导致了后期适配的难度。105【生活服务行业优秀案例】ISC 2022华能山东公司供热管网控制系统网络安全防护项目案例提供方:天地和兴案例关键词:工控安全、等保合规CASE 02案例背景:城市供热系统作为城市热力供应的重要组成部分,是城镇建设的重要基础设 施之一,供热系统的安全稳定运行也是国民经济、社会运行的重要基础。近几年 来,随着全球工业信息和互联网的快速发展,工业企业信息安全领域遭受恶意攻 击事件时有发生,这些针对工业自动化设备、网络设备和工业控制系统的漏洞攻 击、信息窃取、信息探测、恶意攻击对企业生产、信
216、息安全以及社会公共秩序造 成严重威胁。华能山东公司所辖供热公司的供热管网控制系统属于典型的物理分散、系统 分散、风险分散的系统,极易受到各种形式的攻击,对供热管网控制系统形成恶 意破坏和攻击以及其它非法操作,导致供热管网控制系统发生重大事故,给企业 声誉带来负面效应,存在巨大的安全风险。因此华能山东公司提出了供热管网控 制系统网络安全防护风险研究和管理平台构架研发的科技项目,该项目由北京天 地和兴科技有限公司和华能山东公司共同完成。关键挑战:城市热力站地理位置分散,覆盖面广,大部分城市热力站通过电信运营商互联网网络与控制系统的数据通信,调度中心控制指令和各热力站实时控制数据以不安全的传输协议进
217、行数据传输,极易被恶意攻击者窃取信息数据或者对信息数据进行篡改,导致无法真实传递控制指令和反映当前热力站控制系统运行状态。基于上述现状,市政供热行业现阶段的安全挑战有:1、日常安全巡检难度大市政供热网络一般具有管网数量多、分布范围广等特点,因此对实现集中监控、无人值守的工业控制网络,难度较大。供热管网对边界防护、异物入侵、图像对比、行为识别、分析预警等业务分析需求越来越多,迫切需要视频流的数据挖掘分析技术守护日常的管网运行安全;同时打破视频数据孤岛问题,供热管网实现对识别对象进行分析预警预测数据挖掘分析更为迫切。2、供热行业数据安全的需求106【生活服务行业优秀案例】ISC 2022供热行业相
218、关单位的数据格外引人注目,除了企业内的财务、行政、人力等管理数据外,更多的敏感数据为供热用户信息等。任何由内外原因疏漏导致的数据泄漏都将使企业遭受重创,后果会很严重。供热行业的管理趋于数字化,网络安全法及更多法律法规的出台,可能会加剧企业保护数据安全的负担。但数据是核心的信息资产,企业必须适应环境的变化,不能消极、退让、躲避,只有不断寻求更佳的安全防护体系和措施才是真正的办法。3、供热行业业务安全的需求安全不仅仅只是保护基础设施,更要保障业务系统的安全。也就是说,将安全控制融入到业务流程之中,对业务操作中的安全控制点进行同步监测,进而提前做到安全态势感知,防患于未然,并节省宝贵的事件响应时间。
219、解决方案:管网控制系统属于典型的物理分散、系统分散、风险分散的系统,系统目前 处于防护的开放状态,极易受到各种形式的攻击,对供热管网控制系统形成恶意 破坏和攻击以及其它非法操作,导致供热管网控制系统发生重大事故,给企业声 誉带来负面效应,存在巨大的安全风险。天地和兴公司的 AI 赋能城市供热 管网安全防护一体化解决方案,能够 全面保障管网安全,有效预防和避免数据泄露现象,减少或避免因人员操作管理失误造成的损失,具体的应用场景如下:107【生活服务行业优秀案例】ISC 20221、安全的物理环境对换热站的视频监控中的蒸汽/烟雾泄漏、液体滴漏等异常生产环境视频适配 AI 算法,对异常视频画面进行智
220、能分析并告警。2、安全的通信网络对供热公司的业务网络进行分区优化,具备控制功能的自控系统独立组网,在换热站与供热管网控制系统链路部署加密设备,进行身份认证与数据传输加密防护。其他生产相关但不具备控制功能的划分到管理信息网络。3、安全的区域边界在自控系统网络边界(外联DMZ区和管理信息网)部署工业网闸,对自控系统区域进行安全隔离。在供热管网控制系统核心交换机旁路部署入侵检测系统,通过交换机镜像功能,把网络出入口、重要安全域的通信数据送给入侵检测系统进行实时检测。4、安全的计算环境针对市政供热企业工控网络中的相关应用服务器、管理操作终端等主机系统,设计安装部署主机安全防护软件系统,实现了对人机交互
221、界面的主机系统必要的安全管控。白名单的主动防御机制可占用更小的系统计算资源,实现最大的防护效能;有效的实现主机防病毒、防第三方软件的非授权安装与使用,主机系统外接口的管控,USB 外接存储设备的认证管控、防病毒与操作行为审计,为主机系统安全运行提供必要的安全保障。5、安全的管理中心在热管网控制系统划分出安全管理域,部署日志审计系统、堡垒机系统及定制开发安全管理平台,安全管理平台采用两级管控平台的创新布局,实现报警分级、管控分权的网络安全平台建设,可向上对接上级监管机构的管控平台。本方案通过对供热公司供热管网控制系统的网络架构、边界及系统风险进行明确,对其面临的网络安全风险进行研究,依据等级保护
222、要求,就现有控制系统的网络安全问题,提出针对性的安全防护解决方案,从区域隔离、接入双向认证、网络通信链路防护、软件系统安全、集中监管、主动防护等方面出发,构建了供 热控制系统网络安全纵深防御体系,确保终端和主站之间的通信链路安全,保障 终端和主站之间传输数据的保密性和完整性,同时实现主站和终端之间的双向身 份鉴别;重点防范各种主动攻击对系统的恶意破坏和攻击以及其它非法操作,防 止由此导致供热管网系统事故,确保供热公司供热系统的安全运行,具有很强的 现实需求。创新性与优势:1.实现了市政供热行业网络安全从被动防御向主动防御的转变。通过部署网安综合防护网关、AI视频智能分析算法和数字证书系统的一体
223、化防护方案,使供热系统建设达到“智能检测”、“智能上报”、“智能响应”的安全防护体系,全面提升供热企业的安全防护和安全管控能力。108【生活服务行业优秀案例】ISC 20222.构建了供热控制系统网络安全纵深防御体系,确保终端和主站之间的通信链路安全,保障终端和主站之间传输数据的保密性和完整性,同时实现主站和终端之间的双向身份鉴别。3.自主AI算法引擎创新引用,安全防护设备采用了自主研发的AI算法引擎,将OT与IT的防护引擎算法分析、知识库、防护功能进行了一体化设计,实现了对供热行业未知威胁的态势感知,助力供热企业安全生产运行。4.完善供热行业工业互联网安全产业链,贴合业务场景化安全建设,推动
224、企业数字化转型升级。5.指导企业树牢网络安全意识,落实网络安全工作责任制,防范网络风险,切实加强网络安全监测预警、信息通报和应急处置能力,确保供热管网系统安全运行,具有很强的现实需求、示范作用。6.助力供热管网行业企业加强生产安全和服务风险管理能力,深化全生命周期资产运用水平有重要意义。7.方案运用的创新技术建成了完善的供热系统网络安全防护体系,研发的安全防护体系产品技术指标达到国内先进水平。应用效果:针对供热管网控制系统网络特点出发,设计了从技术方面规避风险的基本原则和实施方案,对安全防护难题进行了分析,在现有网络安全产品及规范标准框架下建设具有自主产权的供热管网网络安全防护系统架构,构建了
225、供热控制系统网络安全纵深防御体系,防范了各种主动攻击对系统的恶意破坏和攻击以及其他非法操作,防止由此导致供热管网系统事故;建设了安全、可用、具有可扩展能力的网络安全防护平台。本解决方案通过对供热公司供热管网控制系统的网络架构、边界及系统风险进行明确,对其面临的网络安全风险进行研究,依据等级保护要求,就现有控制系统的网络安全问题,提出针对型的安全防护解决方案,从区域隔离、接入双向认证、网络通信链路防护、软件系统安全、集中监管、主动防护等方面出发,构建了供 部署和实施方案109【生活服务行业优秀案例】ISC 2022热控制系统网络安全纵深防御体系,确保终端和主站之间的通信链路安全,保障终端和主站之
226、间传输数据的保密性和完整性,同时实现主站和终端之间的双向身份鉴别;重点防范各种主动攻击对系统的恶意破坏和攻击以及其它非法操作,防止由此导致供热管网系统事故,确保供热公司供热系统的安全运行,具有很强的现实需求;对与公司其它供热系统具有广阔的应用前景和示范作用。经验总结:通过从客户的实际需求及实际特点出发,设计了从技术方面规避风险的基本原则和实施方案,对安全防护难题进行了分析,在现有网络安全产品及规范标准框架下建设具有自主产权的供热管网网络安全防护系统结构,构建了供热控制系统网络安全纵深防御体系,防范了各种主动攻击对系统的恶意破坏和攻击以及其它非法操作,防止由此导致供热管网系统事故;构建了安全、可
227、用、具有可扩展能力的网络安全防护平台。110【生活服务行业优秀案例】ISC 2022百胜中国基于 XDR 方案的纵深防御体系案例提供方:360 数字安全集团案例关键词:XDR、威胁情报、安全运营CASE 03案例背景:疫情的冲击和人们消费习惯的改变,让原本竞争激烈的零售行业,更加风云变幻。那么如何破局?旗下拥有肯德基、必胜客等品牌的连锁巨头百胜中国或许能给到一点参考。在疫情期间百胜中国的营业额依然稳步增长,线上线下融合发展,一方面线下确立了加速迈入 20000 家门店的里程碑目标。另一方面在疫情防控的艰难时期,线上订单激增,据统计,2020 年该公司线上订单约占总订单数 80%,线上营收额近
228、70 亿元。这一切,要归功于企业数字化战略布局的成效。早在 2015 年百胜中国就启动了数字化转型,并一直致力于打造以提升服务及消费能力为目标的数字化生态系统。基于公有云和三个数据中心,该企业建设了一系列内部业务系统和互联网零售外卖系统,为全国 1600 多个城市上万家零售网点的 40 多万员工、千万级用户提供互联网零售、门店运营、供应链管理、智能外送等服务。庞大的数字会员基础与强劲的数字化能力,也使其整体提高了运营效率,并为快速扩张打下了坚实的基础。正是在数字化探索的过程中,也让该企业认识到了网络安全对于数字化生态系统的重要意义。“我们参考了360 安全大脑理念和安全运营能力框架,与 360
229、 一起构建了一套(1+N)*X 安全体系,目前已经完成了三期建设,覆盖网络安全、终端安全、数据安全、应用安全以及业务安全场景。同时采用公/私有云两类云环境对行内提供业务资源服务。”百胜中国安全负责人介绍说。关键挑战:在新零售时代,面对庞大的线上线下业务体系,如何保障全国范围上万家零售网点、千万级用户的互联网零售外卖业务安全,成为百胜中国需要逾越的网络安全鸿沟。此外,该公司正在通过数字化、自动化、物联网与人工智能等技术提升食品安全、取代人工操作、改善店面总体效率,更加迫切需要数字安全道路上的“同行人”和“懂行者”。后期工控信息安全建设的全面开展提供依据和样板。111【生活服务行业优秀案例】ISC
230、 2022为筑牢数字安全防线,2019 年,该公司选择和业界领先的网络安全公司 360 数字安全集团进行了洽谈,后者的 360 本地安全大脑已经在技术要求最高的金融领域,积累了很多成熟经验与案例,这也自然而然地让其成为了百胜中国的首选合作对象。双方在外部威胁可发现、内部风险可感知+安全运营可闭环、云端赋能可持续+实战能力可检验等方面开展了项目建设,实现安全能力从被动式单点防护到主动式纵深防御的有序演进,保障了百胜中国全国性零售业务的运行安全。在接触的初期,360 数字安全集团就帮助客户梳理出了安全痛点,让客户对潜在的网络安全风险有了更全面的认识。第一,零售业务价值高,容易成为重点攻击和勒索的对
231、象。该零售企业面向互联网公众服务,每年产生近 90 亿营收,业务价值高,极易成为黑客重点攻击和勒索的对象。此外,客户关键业务系统和服务器部署在互联网侧,资产直接暴露在黑客视野,直接提升了遭受高级别攻击的风险。第二,商业数据敏感性强,一旦泄露,损失重大。客户在混合云环境部署了大量业务系统,包括用于面向公众服务的零售外卖服务平台、用于提升经营决策效率的门店运营管理系统、用于优化外送订单服务的智能外送系统、用于管理运营流程的供应链管理系统等,这些业务系统存储了大量进、销、存、管理及运营数据,涉及客户核心商业机密,数据敏感性极强,一旦泄露,将给企业带来严重的经济损失。第三,服务中断影响大,企业信誉及经
232、济将遭受双重损失。企业面向全国千万级用户,提供 24 小时互联网零售外卖服务,通过持续性无间断服务,保障企业收益的稳步增长。在这种经营模式下,一旦遭受攻击导致业务中断,除了给企业带来巨大的经济损失外,还会丧失客户的信任,给企业品牌声誉带来不可挽回的影响。112【生活服务行业优秀案例】ISC 2022第四,地域分散协同性低,风险难以及时有效处置。该企业业务范围遍布全国 31 个省 1600 多个城市,覆盖供应链管理、商品加工生产、门店销售、经营管理等多个部门,风险及威胁处置往往需要跨地域、跨部门进行,协同性低,处置周期长,导致安全威胁得不到及时解决,安全隐患无法立即排除,企业长时间暴露在风险环境
233、中。解决方案:“三步走”战略,从被动式单点防护到主动式纵深防御“客户方针对已经存在或可能面临的网络安全风险,当时给我们提出了防御高级威胁、防范内部风险、保障业务连续、提升处置效率等方面的安全需求,根据需求,我们迅速制定了以本地安全大脑为核心的安全体系建设及持续运营 三步走战略,从根本上为客户解决网络安全的隐忧。”360 数字安全集团该项目负责人回忆说。早在 2019 年,即合作第一期项目时,双方就在着力提升外部威胁可视能力,以解决“看得见”的问题。部署流量探针、威胁情报平台,建设安全大数据分析中心,汇聚各类零散的基础单点检测防护设备的告警日志,进行集中监测分析,从海量告警中获得准确事件信息等一
234、揽子基础设施建成后,就收到了一定的效果。实现了安全事件可视化运营以及流程化处置,具备了一定的攻击溯源能力,整体运维管控效率得到有效提升。“与 360 一起建设上述平台后,最大的变化是态势感知系统获得了海量的 360 云端威胁情报赋能,这是我认为与国内其他网络安全厂商相比,最具备独特优势的地方,这也给予了我们继续充分合作的信心。”百胜中国安全负责人介绍说。113【生活服务行业优秀案例】ISC 2022有了第一年合作的成功经验,让双方接下来的合作更加顺畅,2020 年,双方构建的多维检测与响应体系(XDR),即在终端、网络、应用、DNS等关键服务、云等构成网络空间的各个要素位置中,设立根据安全大脑
235、云端指令灵活调整规则的“神经元”,来实现对安全威胁或者其造成的异常现象的捕获和感知。“事实上,XDR的核心思想是充分理解来自众多安全工具的警报,降低误报率提高检测和响应效率,将安全运营团队从告警疲劳中解脱出来,将更多时间和精力用于分析真正关键的威胁。”360 数字安全集团该项目负责人表示,在一期流量检测的基础上,通过引入 360 全景攻防知识图谱,接入EDR、CWPP、Sysmon 等终端数据,最终构建生态XDR体系。此外,二期项目建设了风险管理平台和漏洞管理平台、SOAR自动化响应处置、安全风险评分体系等,从根本上解决终端威胁不可视的问题。多维数据交叉关联分析,大幅降低了误报,提升了高级威胁
236、攻击事件检测、溯源能力,实现自动化安全事件闭环处置流程,提高安全事件处置效率。不知攻,焉知防。在具备了看见高级威胁的能力后,项目下一步就是要提升高级别威胁对抗能力。进入到2021 年,第三期项目将安全大数据分析中心升级为本地安全大脑,提升高级威胁攻击事件检测和溯源追踪能力并扩展覆盖的安全场景;增加AES安全评价体系和红蓝对抗实战演练,面向实战,评估安全体系有效性;强化了云端赋能,对接 360 云端安全大脑,实现安全能力的可持续提升;并且拓展UEBA分析能力,深入业务场景,从信息安全拓展到业务安全领域。“在共计三期的合作当中,我们基于本脑底座,建设SRC应急响应中心、安全监测中心、安全运营中心,
237、且有良好的落地效果。到目前为止,我们已经联合建设了共计 147 个传统网络安全场景、63 个数据安全和UEBA场景,15 个SOAR场景建设,共计发现近 200 个高危安全事件,这和本脑的核心能力是分不开的。”该公司安全负责人感慨说。创新性与优势:“随着线上业务的蓬勃发展,我们也面临着更多更复杂的网络安全挑战。应对这些挑战,正如 孙子兵法的一句名言 浑浑沌沌,形圆而不可败;纷纷纭纭,斗乱而不可乱带给我们的启示,安全攻防如同行军打仗,首先我们要有一个好的阵营,安全的建设正是如此,我们要先打好这样的基础。其次要有好的阵法,相当于在瞬息万变的战场上,安全运营不可乱了阵脚,可以说安全运营才是整个安全体
238、系的重中之重。”百胜中国安全负责人表示。360 数字安全集团为该项目提供了“周道”的安全运营服务。在数据源梳理、安全规则调优、安全场景优化以及处置流程改进等方面,为用户构建一套可运营、可持续、可成长、可输出的安全能力,这也是 360人的愿景。114【生活服务行业优秀案例】ISC 2022应用效果:以安全场景优化为例,该项目建立并持续优化漏洞攻击、主机异常、web攻击、异常通信、扫描探测、账号异常、数据泄露等 200 多类威胁分析场景,覆盖网络安全、Web应用安全、终端安全、数据安全等多个外部威胁和内部风险场景;在处置流程改进方面,结合实际业务场景,优化处置预案,将告警分析研判、定位溯源、处置判
239、断、处置计划制定、处置方案执行等复杂的过程编排为自动化流程。该公司安全负责人说:“安全运营能力的验证是安全运营中一个很重要的环节,只有这一块做好才能形成一个真正的闭环。我们通过 360 安全实战平台的模拟攻击以及全局的红蓝军对抗来对整个防御体系进行自我检查。”可喜的是,经过安全专家团队持续的运营服务,整个项目的安全事件监测、分析及处置效能得到了大大提升,安全事件检出率大于等于 98%,安全事件阻断率大于等于 95%,安全防护有效率大于等于 90%。三年磨一剑,今朝展锋芒。百胜集团安全体系建设及持续运营项目历时三年,实现了安全能力从被动式单点防护到主动式纵深防御的有序演进。数据是最完美的诠释,在
240、安全体系化评估方面,360 数字安全集团为其建立了安全风险评分体系,实现了网络、数据、应用、主机、终端 5大维度的评分及可视化;在外部威胁防御方面,2021 年发现并处理了暴力破解、挖矿木马、WebShell后门、恶意程序等重大攻击事件两百多起;在内部风险管控方面,2021 年发现并处理了异常邮件发送、数据泄露、账号异常等内部严重违规事件近百起。该公司安全事件零损失,风险处置能力从小时级提升到分钟级。经验总结:“前路漫漫,安全之路永不停歇,在四期的规划中,我们会考虑建设WARROOM联合作战室、EDR和态势感知的解决方案、威胁狩猎能力、多元情报融合能力等,也希望携手 360 以及更多的网络安全
241、公司,构建智慧安全运营体系。”百胜中国安全负责人说道。115【生活服务行业优秀案例】ISC 2022国家管网集团北方管道安全建设项目案例提供方:聚铭网络案例关键词:工业安全、态势感知、等保合规CASE 04案例背景:国家管网集团北方管道有限责任公司(简称“北方管道公司”)是国家石油天然气管网集团有限公司的直属企业,是我国境内成立最早的管道运营管理专业化公司,下设 27 处分支机构。北方管道公司起始于 1970年为缓解大庆原油外运瓶颈而建设的东北“八三”管道工程。当前,随着工业互联网与自动控制技术的融合、5G通信技术的普及,IT和OT深度融合呼之欲出。这给工业控制领域带来了新机遇,同时也带来了新
242、的网络安全威胁。国外针对工控系统的网络攻击,如“震网”病毒、“火焰”病毒、乌克兰电网被攻击事件,以及国内一些工控系统网络安全事件引起了国家的高度关注。恶意软件及恶意工具层出不穷,定向勒索攻击、工业网络间谍事件也逐年增长,工控安全事件给人们带来巨大的损失。油气管道行业的工控系统作为生产系统的核心,必须加强网络安全建设,着力提高工控系统网络安全应急处置能力,构建联防联控的工控系统网络安全体系,杜绝网络威胁攻击,实现油气管道行业工控系统的安全。国家管网集团北方管道有限责任公司采用的工业控制系统(Industrial Control Systems,以下简称工控系统),是由各种自动化控制组件以及对实时
243、数据进行采集、监测的过程控制组件,共同构成的确保工116【生活服务行业优秀案例】ISC 2022业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监视控制系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)等,以及确保各组件通信的接口技术。数字经济已经成为全球经济发展的主线,成为重塑全球经济格局的重要力量。数字技术的应用,也为油气产业注入了新动力。近年来,国家管网北方管道有限责任公司围绕其产业价值链,开展一系列数字化转型实践,但作为传统能源企业,也面临一定的困难和挑战。针对国家管网集团北方管道有限责任公司的数字化转型,提出了
244、通过加强顶层设计,推进数字技术与业务深度结合,突破数据治理瓶颈,推动智能应用研发等措施,提高油气企业运行效率,推动价值体系重构和转型升级,助推油气业高质量发展。关键挑战:在此项目中,聚铭网络专业团队技术人员通过调研发现,国家管网集团北方管道有限责任公司目前主要面临着“操作系统安全漏洞”、“病毒等恶意代码的侵袭”、“拒绝服务攻击和网络风暴”、“黑客入侵与应用软件安全漏洞”四大潜在风险,公司对外部和内部的网络攻击行为缺乏有效的监测及防御技术手段,在安全事件发生后可能无法及时定位找出问题根源。(1)操作系统安全漏洞 PC+Windows的技术架构现已成为控制系统操作站(HMI)的主流,任何一个版本的
245、Windows自发布以来都在不停的发布漏洞补丁,为保证过程控制系统相对的独立性,现场工程师通常在系统开始后不会对Windows平台打任何补丁,这就导致存在被攻击的漏洞。117【生活服务行业优秀案例】ISC 2022(2)病毒等恶意代码的侵袭 工控系统每年都会大规模地爆发病毒,特别是新病毒。在操作站上,即插即用的U盘等存储设备滥用,更给这类病毒带来了泛滥传播的机会。(3)拒绝服务攻击和网络风暴 网络风暴经常是由于ARP欺骗引起的fl ood攻击,或者是工控信息网络因环路故障造成的网络风暴,这种攻击往往发生在同一网段的控制区域中,占用大量的带宽资源,导致工控系统疲于处理各种报文,将系统资源消耗殆尽
246、,使工业系统报文无法正常传输。(4)黑客入侵与应用软件安全漏洞 对于分布式的大型工控网,为了控制监视方便,常常会开放VPN tunnel方式接入,因此也就不可避免的给黑客入侵带来了方便之门。解决方案:1、系统与网络总体架构 国家管网集团北方管道有限责任公司管道监控系统按照区域和功能,主要由中央综合监控站,现场控制站,外部设备客户端三个部分组成;按照网络层,主要由现场控制层、现场监控层、中央监控层、外部网四层网络组成。A.总部大数据综合监控平台:总部大数据综合监控平台主要为中央综合监控人员服务。总部系统通过与现场生产系统集成、互联,从而实现控制中心的集中监控,实现实时数据采集、历史数据存储和备份
247、,同时,提供远程数据访问接口。现场生产系统主要是各个输配站控制系统,包括PLC、DCS、SCADA系统。通过互联网,需要获取国家管网集团北方管道有限责任公司相关数据的主要是业务部门、政府监管部门。B.现场控制站:现场控制主要为现场运营人员(主要包括输配站值班站长、值班员)服务,为生产人员服务。输配站主要采用PLC、DCS、SCADA系统。聚铭网络流量智能分析审计系统通过旁路监听所有工控交换机流量,实现专用传输网络与总部大数据平台通信。C.外部设备客户端:国家管网集团北方管道有限责任公司与外部业务部门之间需要进行相关生产数据的通讯,同时,国家管网集团北方管道有限责任公司也需要接受政府部门的监管(
248、安监局),这之间也存在相关数据的传输。2、解决方案与典型部署 聚铭网络流量智能分析审计系统融合了IT、OT领域的网络流量安全分析,以全流量还原为基础,结合工控网络行为审计、网络质量检测、网络攻击检测、威胁情报分析、异常流量挖掘、文件安全检测、失陷分析等技术,能够实现对工控网络中IT及OT流量全面、实时进行威胁感知及行为分析。118【生活服务行业优秀案例】ISC 2022针对国家管网集团北方管道有限责任公司工控系统业务特点,聚铭网络最终与客户敲定,在客户工控生产网络各机组核心交换机和区域边界交换机部署聚铭网络流量智能分析审计系统,对工业数据进行深度检测,实时审计信息网与控制网之间的数据流量合规性
249、,从而在工控系统的入侵防护、防勒索等方面为客户提供支撑。创新性与优势:1、技术先进性 IT、OT全流量深度解析。全面审计系统内置的智能协议识别技术,高速、准确地识别上千种协议,检测各种协议伪装行为。病毒、木马入侵检测。从恶意文件本身特征、恶意文件通讯特征、加密通讯特征等方面发现隐藏的木马及病毒。违规操作和异常指令检测。对IEC104、MODBUS等工控行业常用的工控协议深度解析的基础上进行指令审计,并采用智能动态基线、模式信息熵等AI算法,识别工控网络中的未授权设备、异常指令操作、异常通讯中断等不合规通讯。全流量回溯,还原作案现场。系统可配置对网络协议的数据包全量留存或自定义部分留存,在发现安
250、全事件时,可以通过上下文分析,还原作案现场。全景网络威胁态势感知。系统从外部威胁、外联威胁、内部互联威胁三个方向全面监控网络威胁态势感知情况,并通过大屏投放监控,实时预警告警。2、商业模式及应用模式先进性聚铭iNFA油气管道解决方案,通过旁路部署的方式在工业网络的各汇聚/核心交换机处获取镜像流量,对工控网络中IT及OT流量全面、实时威胁感知及行为分析。这一应用模式,能够帮助石油石化等工业企业在落实“工业 4.0”、中国制造 2025的过程中,有效解决IT与OT网络融合所带来的一些安全问题,有效119【生活服务行业优秀案例】ISC 2022应对石油石化行业所面临的高级威胁。应用效果:1、管理上实
251、现收益:可视化管理:实现了工控网络资产可视化、安全风险可视化管理,可以动态识别接入设备,并且将网络内的风险威胁情况通过大屏实时呈现出来。定位更精准:通过Kill-Chain 技术、失陷分析等方式,精准定位到具体的失陷主机,并支持举证分析与威胁,详细展示各个失陷阶段的具体安全事件与原因。运维更高效:通过黄金眼,可以直接看到失陷主机的影响范围,确保处置不遗漏;通过失陷分析的方式,让运维人员摆脱海量安全事件、告警的困扰,从关注几十万条告警到只需解决十几台失陷主机,聚焦问题所在,极大提升运维管理效率。处置更简单:发生安全问题时,可以通过流量分析设备的阻断功能,一键完成异常流量的阻断。2、生产上实现收益
252、:保障了生产网络的稳定性以及公司运营人员和运营质量的可靠性,提升生产效能。3、安全上实现收益:通过外连威胁、外部威胁、内部互联威胁等多种分析方式,全方位感知网络态势感知。同时通过流量分析设备的集群部署,能够方便的监测整体安全态势。通过异常行为分析、异常流量分析、未知威胁分析等多种分析方式,及时发现工控系统可能存在的漏洞被攻击问题,有效应对高级威胁;同时,通过情报库的离线更新功能保持情报的有效性。经验总结:聚铭iNFA油气管道解决方案成功保障了国家管网集团北方管道有限责任公司信息系统的安全运行,并起到了很好的示范作用。该方案后续经过在嫩江尼尔基水利水电有限公司、北京城市轨道交通咨询有限公司、大唐
253、国际金坛热电公司、国电电力朝阳热电有限公司等客户项目中的实践,均满足了客户的安全防护需求,证明具有良好的可复制性与推广性。另外,基于等级保护“一个中心、三重防护”的体系思想,聚铭网络也将致力于将此方案打磨完善,以全面覆盖智能制造、石油化工、电力、冶金行业、轨交信号系统等工控安全行业企业MES管理、生产监控和生产控制各层级,构建安全通信网络、安全区域边界、安全计算环境和安全管理中心一体化的安全方案。交通行业优秀案例05121【交通行业优秀案例】ISC 2022东方航空应用安全集中管理平台建设案例提供方:默安科技案例关键词:DevSecOps、开发安全、应用安全CASE 01案例背景:新一轮科技革
254、命和产业革命的兴起,让数字化成为这个时代最大的技术变量,数字经济正逐渐成为推动全球经济发展的重要驱动力。2021 年,随着 “十四五”规划的发布,建设数字中国成为国家层面最迫切的任务,同时也在数字化应用场景中提出建设智能交通和智慧民航。作为国家关键信息基础设施的运营者之一,民航局随后印发 关于“十四五”期间深化民航改革工作的意见,鼓励民航主体大胆尝试与数字化转型相适应的新技术、新理念、新方式、新方法,优化组织机构,大幅提升企业的经营效率。中国东方航空股份有限公司(以下简称“东航”)总部位于上海,是中国三大国有骨干航空公司之一,是首家在纽约、香港、上海三地挂牌上市的中国航企。近年来,客户的信息化
255、建设步伐在技术推动和政策引导下快速推进,应用安全的重要性迅速提升,在信息系统运行生命周期中,因开发代码的快速迭代、系统应用的更新产生大量的高危漏洞,极易造成数据泄露和信息安全事件的发生。针对目前应用安全漏洞管理生命周期过程中发现的需求,急需建立应用安全集中管理平台,实现自动化、高覆盖度和高频率的安全扫描和资产监控,具备分钟级主动安全风险发现和处置能力。高效闭环管理安全漏洞,快速响应和推动漏洞修复,达到有效降低安全风险的目的。关键挑战:国际知名咨询机构Gartner曾表示“到 2020 年,可利用的漏洞中有 99%仍是安全和IT专家们已知的、存在至少 1 年以上的漏洞”。至 2017 年以来,W
256、annaCry、GandCrab勒索病毒等信息安全事件频发,及122【交通行业优秀案例】ISC 2022近年来从攻防对抗中获得的直观感受,已知安全漏洞发现与补救不力是出现安全事故的主要原因。及时发现并修补关键漏洞,最重要的措施是增强全面的检测能力和高效的漏洞闭环管理能力。通过对客户现有工作流程的深入了解,默安科技发现并总结客户在数字化转型过程中所面临的安全需求:内网资产庞大、漏洞扫描困难;需要人工编写测试脚本、大量人工持续干预完成测试,耗时较长;手工根据CVSS国际标准进行复杂风险计算;安全人员需要繁琐重复编写大量的解决方案和漏洞测试报告;产生大量资产沟通邮件和电话,资产确认困难;项目检测过程
257、中大量的信息收集邮件沟通和漏洞跟踪流程,导致问题解决异常复杂化,大量消耗信息安全人员的精力和时间;无法量化漏洞产生的风险;无法精细化漏洞运营。解决方案:1.采用资产发现管理工具,实现高自动化扫描与监控 部署默安科技巡哨智能资产风险监控系统。由于巡哨采用DAST引擎,在对大量目标进行扫描时,可不分语言不分框架,无需在业务上部署东西,直接接入流量,开始扫描即可发现漏洞。通过运用资产发现管理工具,可自动获取公司所有服务器、域名、IP资产等信息,基于资产信息实现自动化、高覆盖度和高频率的安全扫描和资产监控。2.采用分布式扫描器,实现多种途径的漏洞发现通过部署雳鉴IAST交互式应用安全检测系统、雳鉴SA
258、ST静态应用安全检测系统,并提供定期人工渗透测试服务,实现多种途径的漏洞发现。漏洞扫描全面部署办公网段、数据中心、互联网出口三个节点,并接入已有扫描器全方位展开漏洞扫描检测。通过灰盒、白盒检测平台的建设,结合集团现有安全工具,形成完整的安全工具链,可实现系统安全漏洞及安全研发流程集中化管理。3.建立安全开发管理体系建立一套能够有效执行落地的安全开发管理体系,规范集团安全开发管理过程。建立安全需求管理流程、建立安全设计管理流程、完善安全开发管理流程、完善安全测试管理流程、完善安全上线管理流程,明确各个环节的安全管理职责和安全分工。123【交通行业优秀案例】ISC 20224.建设漏洞管理平台 默
259、安在长期的开发安全实践经验中沉淀出一套漏洞管理平台的建设经验,可将软件成分分析SCA、白盒审计SAST、灰盒IAST、黑盒DAST及第三方引擎进行集成,提供覆盖开发全生命周期的威胁建模与安全检测能力。平台强大的漏洞数据的清洗能力,不仅可以整合各引擎的安全数据,也兼容外部的漏洞与威胁情报,所有漏洞均统一纳入对漏洞生命周期的跟踪管理流程,通过任务派遣与跟踪反馈,监控相关人员的漏洞修复及审批效率,实现一体化的漏洞管理闭环。5.安全知识赋能通过对开发/测试人员进行开发安全的培训,提升人员的安全意识和安全技能,并能够有效地运用到应用开发过程。6.安全需求知识沉淀对各环节检测出的漏洞产生因素数据分析,形成
260、安全威胁资源库和安全需求基线库;持续维护更新成东航独有业务场景下业务安全需求分析库,有力提高安全需求分析的完备性,减少安全需求分析工作量。7.对接 DEVOPS 平台,助力实现 DEVSECOPS针对研发流程修订,加入安全环节流程,配合SDL安全工具落地工作,研发编码完成后自动对代码进行安全检测扫描,对接漏洞发送到应用安全集中管理平台项目组及时修复,对接DevOps平台测试阶段自动置入安全检测插件,功能测试阶段即完成灰盒安全能检测工作,发现以往只能人能发现的各类逻辑漏洞,实现DevSecOps。创新性与优势:1.方案优势1)实现漏洞平台与态势平台的融合2)安全风险一站式闭环管理 3)建立专有安
261、全知识库124【交通行业优秀案例】ISC 20224)全面提升自动化能力,实现漏洞管理的线上运营5)实现集团漏洞趋势6)形成DevSecOps解决方案2.技术领先优势1)业界最完整工具链,及专业可落地的流程体系面对应用安全集中管理需求,默安科技不仅能提供资产发现管理、SAST、IAST等必须的漏洞检测管理工具和手段,通过六年积累也已形成当前业界最为完整的开发安全工具链作为能力支撑,包括雳鉴系列的STAC、SAST、IAST、SCA等工具,可将漏洞检测能力覆盖至软件开发全生命周期,随时补齐缺失的安全能力。在平台交付时,同时提供一套完整的流程、制度和实施指南,以及更细层面的流程执行配套表单工具。2
262、)多次获得国际权威知名机构认可默安科技的SCA产品连续两年作为中国唯一厂商入选Gartner软件成分分析市场指南,作为亚太地区唯一IAST厂商获得Gartner推荐。默安的雳鉴IAST,作为专业的漏洞检测工具,具备三大技术优势:1、在业内率先支持业务逻辑漏洞检测;2、解决两大技术难题:API未授权访问的检测和主动插桩中脏数据拦截;3、业内领先的隐私数据泄露风险的自动发现功能。3)安全团队落地经验丰富,提供“陪伴式安全服务”默安科技安全团队由 16 年以上安全从业经验、深耕甲方安全开发一线,具备多个成功落地项目实践经验的多名资深安全专家组成,在政府、央企、银行、保险、证券、交通、智能制造、互联网
263、等领域有着十分成熟的落地经验和实践成果。平台建设期间,安全团队深度参与,并以“陪伴式安全服务”的方式对客户的相关员工进行多元化的安全赋能,提供工具使用、安全技能与意识培训。应用效果:方案部署前,客户主要通过人工编写脚本及单点扫描设备的方式,在全程人工干预下完成安全测试工作。检测出漏洞后,同样通过手工方式计算漏洞风险级别,并制定修复期限,随后由信息安全人员人工编写出带有详细修复解决方案的漏洞报告,通过大量的电话、微信、邮件深入沟通修改和确定修复方案,进行漏洞修复、复测,直至漏洞关闭。现有应用漏洞的发现和处置管理流程繁琐、自动化程度低、人工成本高且漏洞检出率无法保证。方案部署后,通过应用安全集中管
264、理平台的建设满足客户对安全漏洞和安全事件的整改控制要求;确保内外网系统的安全稳定运行,满足信息安全合规项的检查;实现对高危安全漏洞及时进发现整治;有效提高了网络区域内的整体安全水平,健全高危资产的管理;从 0 到 1 建设了漏洞管理闭环机制;通过漏洞管理平台的建设,为进一步完善企业安全体系提供可靠的数据支撑;有效提升了企业安全效率,节省人力成本预计高达数百万。125【交通行业优秀案例】ISC 2022重庆机场网络安全防护建设项目案例提供方:天翼安全案例关键词:安全运营、Web应用安全CASE 02案例背景:近些年,伴随着航运业智能化的深入细致,民用航空主要依靠网络技术来提高航空运输的安全性和效
265、率,系统的互联性和对技术的依赖导致了新型网络安全风险的出现。根据 2020 年ImmuniWeb(安全测试机构)年初曾发布过一个针对全球大型机场的网络安全、合规性和隐私的研究。结果显示:“全球 100 个最大的机场中有 97 个存在与易受攻击的Web和移动应用程序、公共云配置错误、暗网暴露或代码库泄漏有关的安全风险”。随着国家对网络安全建设的逐渐重视,民航行业的网络安全问题也受到关注,国际民航组织大会第四十届会议于 2019 年 10 月首次通过了一项与航空有关的网络安全战略,表示:“国际民航组织对全球航空网络安全的愿景是,民航部门能够抵御网络攻击,并在全球范围内保持安全和值得信赖,同时继续进
266、行创新和发展”。随着 网络安全法的出台,系列民航网络安全规章制度日益完善,民航网络与信息安全检查办法、民航网络与信息安全信息通报办法、民航网络与信息安全管理暂行办法、“民航信息系统安全等级保护定级指南”、“民用航空关键信息基础设施确定指南”,民航网络信息安全管理规定(暂行)相继出台,明确对民航系统网络的所有者、服务者提出了更多的要求。关键挑战:民航安全无小事,网络攻防是一场永无终场的战争,网络信息安全是当前民航安全发展所面临的新挑战。从购票到安检、托运、登机、落地,国内大多国际机场可以说在每个环节上都逐步地实现了一系列的智慧化和智能化。然而,高度的智能化、智慧化,意味着更加复杂,而复杂意味着安
267、全风险越大。机场对外需要满足监管机构严格的监管要求,对内提升内控安全水平,因此,如何实现高效集约化安全运营,提升管理效率成为重庆机场所面临的两大关键难题。126【交通行业优秀案例】ISC 2022解决方案:项目建设以客户痛点为出发,将客户网络安全隐患梳理为旅客服务、数据保密、高效运营、精细管理四个场景,并围绕客户愿景,解决网络安全、数据安全、设备安全、业务安全四大难题,实现关键信息基础设施安全、高效、稳定运行的目标。通过“云网边端用”的一体化防护方案,成功化解客户网络安全管理难题,使安全管理效能进一步提升。云堤抗D-横向分析,知己知彼:针对某机场 2.2G的互联网出口宽带,部署云堤抗D,利用中
268、国电信拥有庞大的骨干网带宽资源的天然优势,对流量进行实时监测,同时依赖于全球分布的 36 个近源清洗防护节点,及时发现DDoS攻击流量,并通过BGP注入方式快速牵引清洗,最高可独享T级防护能力,将攻击流量遏制于攻击源头,保障了客户网络带宽安全无拥塞。广目切入 深挖风险,排除隐患:借助“HW”和“建党百年”的契机,利用广目广目全面、准确、可扩展的优势,对互联网资产暴露面进行排查,帮助客户全面发现弱口令、系统安全漏洞、数据未脱敏等方面的安全隐患,让客户资产可视透明,以便监管。大脑上线 智慧运营,立体防护:结合安全网关硬件部署天翼安全大脑,协助分析系统间相互调用关系,对流量进行控制、对上网行为进行审
269、计,为客户提供了可视化、一体化运维,帮助客户解决缺少运维审计日志导致无法整体监测分析全网的攻击行为、安全事件、异常流量的问题,实现高效一体化防护。创新性与优势:随着网络安全威胁日益严峻,优秀的网络安全产品能够更好地为我国数字化转型发展保驾护航。天翼安127【交通行业优秀案例】ISC 2022全大脑通过本地安全能力与云端平台的联动,为客户提供创新网络安全服务。1)是自主可控中国电信作为网络运营商,国家网络安全战略的秉承者和实施者,提供的产品必须自主可控,天翼安全大脑拥有的“大脑”和网关,全部实现国产化;2)是云端协同当前大部分客户内网联动外网的一体化安全体系设计普遍不足,安全事件监测预警体系和应
270、急响应能力普遍不足。天翼安全大脑能实现云端最大化协同防御,面对各安全厂商多样化的本地安全网关设备,首先云端要提供标准化原子能力接入规范,需要各厂家配合完成安全网关的改造,和互联网专线进行高度融合和匹配;然后需要实现智能联动,精准防控;3)是数据赋能面对全国运营商级大数据,需要强大的AI智能算法能力,对海量的数据进行智能分析,及时发现威胁,精准溯源定位;四是专家托管,有超千人安全专家团队,提供远程+本地安全支撑,为客户提供贴身服务。应用效果:直接效益:为客户实现网安一体化的便捷服务,保住在国家“降低通讯成本”指导意见下,客户作为互联网公司的网络价值;客户以零维护、零部署的形式,直接购买服务,降低
271、了运维难度。社会效益:保障驻该机场单位及自身的网络正常运行,得到场内认可,提升了重庆机场信息公司在网络领域的权威性。业绩效益:借助部署的安全产品保障能力,使得机场顺利通过了离港、大数据、门户网站系统等系统的等保三级评测,保障了客户重要业务系统平稳安全运行。其他效益:丰富机场内部互联网企业销售产品,实现了线路高价值收益。运营商行业优秀案例06129【运营商行业优秀案例】ISC 2022电信行业数据安全治理实践案例提供方:安华金和案例关键词:数据安全CASE 01案例背景:数字化转型已经成为我国乃至全球主要市场的趋势,企业无法忽视转型为自身业务所带来的生命力。在此基础上,如何更加安全地保障企业的数
272、字化转型,降低数据安全风险,释放数据价值,成为了诸多转型企业中的重点工作。中国电信股份有限公司新疆分公司的通信网络与支撑系统均属于国家关键信息基础设施,无论从国家安全还是企业自身业务需求考虑,持续提升对重要敏感数据的安全保障能力与管理能力成为现阶段的重中之重。在此基础上,该客户亟需一套集成多种安全监测策略,能够自动准确识别敏感数据资产,并能够进行分类分级,按照有针对性的安全外发使用策略,结合数据流转的各个环节,监测可能产生的数据安全风险,达到实时监测、精准定位、高效管理能力的综合监测溯源管理平台。从而达到在保障数据使用自由而安全的同时,满足国家及行业相关法律法规的要求。关键挑战:1)不明确 A
273、PI 接口的访问视图随着云计算、大数据、人工智能等技术的蓬勃发展,移动互联网、物联网产业加速创新,应用程序接口作为数据传输流转的重要通道发挥着举足轻重的作用。然而,在Web应用及API技术带来上述积极作用的同时,伴随而来的数据安全问题也日益凸显。针对大量应用和接口每天发生的海量数据行为,该客户缺乏统一的方式方法了解应用数据行为全貌,尤其是无法掌握涉及敏感信息的应用数据行为情况,无法了解产生敏感数据行为的人群主体,同时存在很多提供给第三方开发商以及很多临时需求产生的API,使用后无人管理等问题,无论是数据安全管理者或是使用者都无法对应用及接口资产做到全量的盘点梳理。2)无法追溯数据使用行为为了防
274、范数据安全风险,加强数据使用行为监控,当前需要开展数据使用行为巡查工作,合理设置数据操作日志保存期限以满足责任可追溯等需求。目前该客户缺少数据导出、删除、修改等敏感操作或异常行为的检测能力,例如,缺少对敏感表的访问权限、操作权限和影响行数的有效监控、无法针对不同客户端和账户130【运营商行业优秀案例】ISC 2022的失败登录频次进行监控、无法针对高危语句操作、SQL注入、批量数据篡改和大规模数据泄露等风险行为监控,以及无法针对高频次执行的语句行为进行监控,更无法通过监测得到回馈和告警,这给数据管理者带来了诸多不便和障碍。3)缺乏对敏感数据、重要数据的识别分类及脱敏能力在该客户后台数据库中,储
275、存着大量的敏感信息,一旦发生信息泄密行为,不仅会造成重大的财产损失,也会对企业声誉造成严重影响。当前该客户的敏感数据可能分散在成百上千张表和字段中,元数据的管理工作越发繁重,目前该客户缺乏对重要数据的识别及脱敏能力,无法高效地对数据进行分类分级,更无法快速完成脱敏工作。4)不具备长效化运营、联动及快速处置能力随着该客户数据中心应用系统不断增多,其数据库及数据的规模也持续扩大,如何使得该客户的数据库系统实现对数据的动态监管,自动化完成对数据的定期检查,以及如何快速为数据安全管理人员和受控人员建立起数据安全管控平台,针对不同级别数据的操作及流转进行管理、审计,脱敏等,均是该客户目前在数据安全层面亟
276、需解决的问题,需要建立起长效化运营技术手段及机制,提升该客户的数据安全整体检测及防护能力。解决方案:安华金和的数据安全运营理念是将数据安全的管理体系及运营体系提升到与安全技术能力建设同等重要的高度。对于该客户而言,需建立起“一站式、体系化”的数据安全运营平台 集合数据资产梳理、数据库审计、数据脱敏、API审计等,通过可视化的信息呈现与工作引导,真正实现“统一部署、统一监控、统一管理、统一运营”的数据安全日常化、可持续的运营目标,除传统意义上利用技术工具来执行操作的数据使用人员之外,数据安全的管理方和运营监督方也要具备相应的手段来完成自身角色所承担的任务,使得“管理、技术、运营”三个体系相辅相成
277、,共同推动整体解决方案落地实践。131【运营商行业优秀案例】ISC 2022 通过持续优化数据安全策略、推动数据安全规范要求与业务相结合,并针对已发生的数据安全事件的处理方式及后续风险提出整改措施,实现“从制度指导与策略制定到事件识别与风险处置,再回归到优化改进制度及策略”的运营闭环。建立起以“决策层、管理运营层、治理防控层、业务运行层”为核心的数据安全管理链,自上而下,由下往上地形成战略规划、执行落地、改进优化,监督运营的协同及迭代,共同组建成某电信公司的数据安全运营模型。安华金和数据安全运营管理解决方案可从多方面为企业提升数据安全技术支撑保障能力:1)API 接口梳理监测 通过建设应用接口
278、安全审计子平台,覆盖电信应用接口、数据库等各类数据交互相关数据资产,逐步实现对该客户所有接口资产的全面梳理、安全监控和运营工作的可视化分析展示,实现对所属的数据资产及业务API接口进行全面 7*24 小时持续运营工作监控和大数据实体分析,使得应用接口安全审计系统可以实时监测该客户的数据流向,通过数据地图的形式呈现数据交互的状态,同时以可视化大屏的形态展示该客户数据安全现状,为安全管理人员提供全知视角,便于溯源和排查,精准定位安全风险。通过采集流量的方式收集内部数据访问、数据操作等行为,以广泛数据联动捕捉更多细节,避免关键用户、系统和应用数据被泄漏。数据安全管理及接口安全系统通过自动发现并梳理应
279、用及接口资产清单、管理应用及接口资产基础信息、提供应用及接口资产的敏感标签管理以及敏感数据资产的使用和分布情况,使得该客户能够了解自身哪些接口存在潜在安全风险,哪些接口会流出敏感数据,由此进行针对性的重点关注和防护。对于命中敏感数据泄露风险规则的行为实时报警并同步记录下所有发生敏感数据的行为,通过可视化敏感数据行为地图和行为画像的展示,为后续弱点分析、事件溯源等功能提供基础明细数据。2)数据操作安全审计 通过数据安全审计子平台的建设,规范数据使用流程,按照合法授权收集、传输、存储和使用数据,从132【运营商行业优秀案例】ISC 2022而形成全生命周期的数据全量行为记录,实现核心数据的安全监控
280、能力,加强事后审计和稽核,有效预防内部隐私数据的滥用。收集该客户内部数据访问及操作信息,通过广泛数据联动捕捉更多细节,避免关键用户/系统数据被遗漏。数据库安全审计系统以大数据、分布式等技术为支撑,以保障数据库安全为目标,实现多节点审计平台用户统一登录、数据统一存储、管理、分析和统一安装等,进一步提升该客户数据安全洞察能力,使其具备风险状况、运行状况、性能状况、语句分布的实时监控能力。梳理该客户数据库行为建模。建立学习期,归类SQL语句模板,并结合会话信息、应用关联信息,实现数据库行为建模。基于建模语句的波动情况,进行有效分析和深入挖掘,提供实时告警能力,降低数据库信息泄露的损失。构建违规行为特
281、征库。可以针对不同的数据库访问来源提供对敏感表的访问权限、操作权限和影响行数的有效监控,避免大规模数据被泄露和篡改。根据该客户的业务安全场景,选择建模数据并梳理恰当的建模特征,利用数据安全审计系统内置的分析场景,初步在该客户建立起安全分析框架,同时与数据安全运营平台进行统一联动,实现统一调度、统一分析、统一处置、统一协同。3)基于电信行业标准的重要数据的识别及脱敏能力通过数据分类分级脱敏管理子平台的建设,按照基础电信企业数据分类分级方法、基础电信企业重要数据识别指南,形成数据分类分级模板,实现对数据的快速分类,建立统一、准确、完善的数据架构基础,实现集中化、专业化、标准化的数据管理,并全面厘清
282、数据资产,对数据资产实现规范化管理。数据分级有助于该客户根据数据的不同级别,确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施,进而提高机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性。针对重要及敏感信息数据的外发,采用脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,为数据的安全使用提供基础保障。通过提供灵活的策略和脱敏方案配置,以及高效可并行的脱敏能力,快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全地应用于多样化的使用场景。快速梳理敏感数据类型及分布情况。敏感数据梳理在敏感数据自动发现基础上,伴随人工辅助对数据列、敏感数据关系
283、的调整,最后达到更精细准确的敏感数据管理。构建脱敏场景模板,根据各类数据应用场景制定不同的脱敏方案。针对开发及测试环境的脱敏方案可保证脱敏后数据具有唯一性及确定性,而针对数据分析场景,可保证脱敏后数据的可还原性。对于同一类应用场景,将若干脱敏策略组合成为适用于该场景的脱敏方案,脱敏方案制定后,可被重复利用于该场景下不同批次数据的脱敏需求。4)数据安全运营平台 以数据资产为核心,形成数据资产级与数据级的元数据统一管理,实现对数据资产的基础属性管理、安133【运营商行业优秀案例】ISC 2022全使用风险监测、安全防护等数据安全场景的联动。打破“单品堆砌+独立功能点拼凑”的传统安全建设思路,结合实
284、际业务场景构建行之有效的数据安全解决方案。在充分利用该客户现有安全设施的基础上,集成多种安全监测策略,自动准确识别敏感数据资产,并进行初步分类分级,按照有针对性的安全外发使用策略,结合数据流转的各个环节,监测可能产生的数据安全风险,达到具有实时监测、综合防护、精准定位、高效管理能力的集监测、溯源与综合管理的统一数据安全运营平台。通过对已产生的数据安全事件的运营,了解其类型分布,识别频发的数据安全事件来源,为相关数据安全建设提供目标性的参考。根据数据安全事件发生的趋势,对相关建设成效进行直观呈现;根据所发生的安全事件在数据资产中的对应分布状况,锁定安全事件高发的数据资产,界定出需要予以重点关注的
285、数据资产范围;根据数据安全事件的状态稽核,通过量化指标帮助监督方了解数据资产负责人对安全事件的处置数量和进度。根据数据实际使用情况抽象出多个数据业务场景,将数据采集、应用业务、运维区业务、数据离线共享分发,数据对外接口等业务场景的数据交互方式,进一步抽象出数据安全措施来支撑和保障业务的安全,并分析出相关安全措施之间的先后依赖关系,梳理出对应业务场景的数据安全监测与防护工作业务流,最终形成完整的数据安全场景化操作步骤。创新性与优势:数据安全运营管理平台通过“数据资产、安全策略合规、安全事件、安全风险”四大维度的运营手段,量化每个维度的数据安全管控建设指标,明确哪里做的好、好到什么程度,又有哪些做
286、的不足、哪里需要改进和优化等,不断丰富和提升数据安全建设的完整性和成熟度。同时,通过“管理、技术、运营”三个体系的建设,为客户带来如下价值:1)数据安全运营高效化;2)数据安全监测可视化;3)数据安全管理集中化;4)构建数据安全运营平台,实现数据安全监测和风险趋势感知能力;5)建立安全监控与运行监测中心,对数据安全事件做到心中有数,形成强有力的管理抓手;6)配套数据安全规范和标准建立落地;7)持续感知数据资产状况、同步完善备案;8)掌握风险分布和风险趋势,提前应对安全合规策略的落实情况。134【运营商行业优秀案例】ISC 2022应用效果:通过数据安全咨询服务与数据安全运营平台的建设,实现对数
287、据安全能力、数据资产、数据安全配置进行统一收集、监控、展示及配置。安全管理人员只需要通过单点登录,即可进行安全配置、日志查看、风险检索、策略管理等日常操作;实现重要数据资产安全统一管理、集中管控,提升数据安全技术支撑保障能力,落实集中监控能力和业务侧的基础防护要求,并对接现有数据安全管控平台,形成数据安全的整体监控和防护能力,实现数据发现、策略管控、事件监测、风险分析等能力的建设,形成数据安全闭环管理。实现数据资源安全运营、数据安全策略运营、数据安全事件运营、数据安全风险运营等能力的建设,为数据安全提供信息化支撑手段。经验总结:1)坚持以客户需求为目标,落实数据安全能力建设的各项工作。在项目实
288、施过程中,根据客户需求,按照项目实施规划,开展各项数据安全能力建设工作,以保障平台建设工作顺利完成。2)实施过程中,保持与客户的高效沟通,在复杂的运营商网络环境中,积极配合调整思路,按照运营商的要求及规范入网,最终能够高效高质量交付,不仅限于功能交付,还包括多种技术冗余手段,保障平台安全、稳定的运行,为客户的业务按照保驾护航。3)坚持长效运营理念,派驻技术人员进行平台的日常运行及维护,保障平台运营工作顺畅开展,保障数据安全,同步开展进行运营人员培训,保障平台运营的各项工作顺利开展,最终保障用户的数据安全。135【运营商行业优秀案例】ISC 2022南宁国家级互联网骨干直联点检测系统建设项目案例
289、提供方:金睛云华案例关键词:人工智能检测技术、流量检测CASE 02案例背景:国家级互联网骨干直联点主要用于汇聚、疏通区域和全国网间通信流量,是我国互联网网间互联架构的顶层关键环节。目前,南宁国家级互联网骨干直联点监测系统无法实现对三家互联单位骨干网进行主动、被动检测和测速的功能。广西通信管理局将深入贯彻落实习近平总书记在第十七届中国东盟博览会和中国东盟商务与投资峰会开幕式上致辞精神,全面启动南宁直联点的建设,既要实现对三家互联单位骨干网的主动、被动监测功能,又要实现对三家互联单位城域网的主动监测以及测速等功能。同时在建设国家级互联网骨干直联点监测系统的基础上,增加相应的软硬件和机房配套设施建
290、设,实现直联点监测系统的监测分析功能。关键挑战:企业数字化转型是传统行业和IT行业的深度融合,其本质是通过促进数据的流动来提升产业的效率。但同时由于云计算、大数据、物联网、移动互联网、5G等技术的广泛应用,远程办公、业务协同、分支互联等业务需求的快速发展,企业原有的边界逐渐泛化,数据泄露事件频繁发生。针对企业数字化转型,有以下几大关键挑战:1、数据流动的风险:数字化转型带来了大量数据的共享交换,各系统之间、各部门之间、内部与外部之间、甚至于各行业之间,这些数据的流动在带来巨大价值的同时,也带来了极大的安全风险,企业对于流动中数据的控制力会越来越弱。因此,企业需要能够时刻看到网络中所流动的数据,
291、才能有效降低和把控安全风险。2、安全事件追溯取证困难:在安全事件发生后,企业需要马上进行事件的调查回溯,需要了解整个事件发生的经过以及聚焦到责任人,避免事件的二次发生以及责任的界定和追责去责。136【运营商行业优秀案例】ISC 2022解决方案:南宁国家级互联网骨干直联点检测系统由主动监测采集子系统、被动监测采集子系统、宽带测速采集子系统、运行监测采集子系统、网络安全监测子系统、直联点监测中心子系统、运行维护支撑子系统总控系统组成。网络安全监测子系统是针对大规模网络攻击事件、恶意地址访问、异常域名请求等网络安全问题,开展网络安全监测,实现对直联点流量疏导区域内网络安全事件的发现、预警、分析和评
292、估。主要包括互联网流量概览、域名安全监测分析、DDoS攻击监测分析、网站安全监测分析、互联网僵木蠕监测分析、异常网络通信行为监测、移动互联网应用监测管理、网络安全事件分析与通报。网络安全检测子系统基于人工智能、大数据、传统安全手段,融合了多种流量与文件检测引擎,实现对网络流量进行全面深度的已知、未知威胁检测分析。1、互联网流量概览互联网流量概览模块,作为网络安全监测分析的基础,从宏观视角,多层次、多维度对网民互联网使用情况进行挖掘,基于流量的分析,构建基于直联点网络空间的互联网访问态势,快速洞悉流量分布和应用分类情况,通过全局统计、按地域统计、按接入企业统计、按应用统计、综合统计查询和基础信息
293、数据比对等功能,及时了解网络流量动向,实现对直联点疏导的互联网流量不同维度、不同视角、不同层次的全面掌握。支持对常见网络流量进行协议解析,包括:电子邮件协议(POP3/SMTP/IMAP)、常见应用协议(HTTP/FTP/SMB/DHCP/NNTP/RDP/RLOGIN)、常 见 远 程 控 制 协 议(VNC/TEAMVIERWER/TELNET/SSH)、常见基础网络协议(DNS/TCP/UDP/ICMP)、常见VPN协议(PPTP/L2TP/IPSec/SSL),以及Mysql/Mssql/Postgresql/Oracle等协议,并支持网络流量协议元数据提取、解析、存储和展示。支持多种
294、协议元数据检索模式,包括快捷模式、专业模式等;可通过字段组合的方式检索,可检索字段包括五元组、ID、索引名、索引类型等,支持将检索条件添加收藏夹重复使用。协议元数据自定义导出:支持协议元数据字段进行自定义排版编辑,支持以多种格式导出编辑后的数据,包括JSON、CSV格式。文件 还 原:支 持 还 原HTTP、SMTP、IMAP、POP3、FTP、SMB、NFS、IEC61850-MMS、IEC60870-5-104 等常见协议中的文件。全局统计:针对采集的互联网流量按照不同的协议解析数据、URL数据、Web访问数据等进行统计分类,可实现不同时间段内直联点网络流量分类占比情况,网民数量统计,网站
295、数量统计等信息。按地域统计:通过对HTTP日志和URL日志中IP地址信息进行析取,比照IP地址信息库,可统计直联点间不同地域的网络流量情况,网民数量等信息,可为不同地域之间信息化发展水平的对比分析提供支撑。按接入企业统计:对应用日志HTTP日志和URL日志中IP地址信息和其他标识按照接入企业资产统计,可以对不同企业的互联网流量情况,网内用户主要应用类型进行统计,并进行差异化分析。137【运营商行业优秀案例】ISC 2022按应用类型统计:在特定情况下,可以对指定应用进行分类统计,对不同应用在指定时间段内的流量分布、访问数量、用户规模进行统计。综合统计查询:除以上统计分析外,还可以提供综合查询分
296、析,对指定时间段、地域、应用进行综合查询,并将统计查询结果反馈给展示模块。2、域名安全监测分析通过动态、静态域名检测算法完成对于域名请求应答的分向对准,并对访问递归数据、递归与权威交互数据、域名首发现数据、请求响应数据等基础信息进行监测分析。支持对于域名访问的流量元数据统计、特征统计、分布统计、排名统计等功能。域名篡改攻击检测分析、恶意域名检测、仿冒域名检测。域名基础信息监测:完成对于域名请求应答的分向对准,并对访问递归数据、递归与权威交互数据、域名首发现数据等基础信息进行监测分析。域名服务统计分析:完成对于域名访问的流量元数据统计、特征统计、分布统计、排名统计等功能。域名篡改攻击检测分析:包
297、括域名污染和域名劫持。采用被动监测方式对于一段时间内所有与重要域名相关的域名访问日志记录,检查其应答中的IP地址是否与域名备案的IP地址一致。如发现不一致,可判定发生了域名篡改事件。恶意域名检测分析:恶意域名主要用于木马和僵尸网络控制域名、钓鱼网站域名等,本系统将基于域名访问日志记录,识别木马和僵尸网络使用的控制域名。此外,网站钓鱼攻击者通常采用域名阴影技术创建与合法网站相似的域名或合法网站的下级域名,本系统采用深度挖掘方法,根据域名访问记录并结合域名备案信息、域名白名单等数据,发现识别网络钓鱼攻击使用的恶意域名,并采用人工分析等手段做进一步的判定。DGA域名检测分析:为了能及时检测出内网的僵
298、尸主机与恶意服务器的链接通信,系统需要对DNS元数据进行分析,检测利用DGA算法生成的恶意域名。DGA域名通过随机字符生成C&C域名,从而躲避传统域名黑名单的检测,DGA域名检测对域名数据中的元音比例、长辅音序列、熵值等进行计算,采用随机森林对具有DGA特性的域名进行筛选发现。利用机器学习方法检测常见DGA家族;利用关联分析方法检测DGA通信的受控主机。3、高级威胁人工智能检测系统支持高级威胁人工智能检测,通过提取恶意代码家族的加密网络会话基因特征(DNS特征、TLS元数据、HTTP特征、包特征信息等)训练形成恶意代码加密通讯检测模型,如图 1 所示:加密流量通讯检测模型138【运营商行业优秀
299、案例】ISC 2022在现网中,系统获取实时网络会话元数据,构建特征向量,使用检测模型对网络流量进行恶意代码加密通讯检测。4、TOR 流量人工智能检测系统支持Tor(暗网)流量人工智能检测,采用构建Tor流量/非Tor流量捕获环境进行同类应用的数据传输(包括但不局限于浏览器、邮件、聊天工具、视频流、音频流、文件传输、P2P、VoIP等),分别提取步态指纹特征数据集训练建立暗网检测模型,如图 2 所示:在现网中,系统系统获取实时网络会话元数据,构建实时步态指纹特征,使用暗网检测模型对网络流量进行暗网通讯检测。5、VPN 流量人工智能检测系统支持VPN流量人工智能检测,采用构建流量捕获环境进行同类
300、应用的数据传输(包括但不局限于浏览器、邮件、聊天工具、视频流、音频流、文件传输、P2P、VoIP等),分别提取步态指纹特征数据集训练建立VPN流量检测模型,VPN流量检测模型框架如图 3 所示:在现网中,系统获取实时步态指纹特征,使用VPN流量检测模型对网络流量进行VPN流量检测。暗网检测模型 VPN 流量检测模型139【运营商行业优秀案例】ISC 20226、SHADOWSOCKS 流量人工智能检测系统支持ShadowSocks流量人工智能检测,构建流量捕获环境进行同类应用的数据传输(包括但不局限于浏览器、邮件、聊天工具、视频流、音频流、文件传输、P2P、VoIP等),分别提取步态指纹特征数
301、据集,通过Shadowsocks步态指纹检测结果生成Shadowsocks的服务端黑名单和客户端黑名单,经训练建立ShadowSocks流量检测模型,ShadowSocks流量检测模型框架如图 4 所示:在现网中,系统获取实时步态指纹特征,使用ShadowSocks流量检测模型有效精准的定位存在ShadowSocks流量的主机。创新性与优势:传统安全设备内置基于特征的静态检测规则,无法识别恶意代码变种,通过利用人工智能检测技术有效识别已知病毒家族的恶意代码变种及未知威胁,解决传统安全设备无法检测的未知威胁。采用人工智能检测技术有以下优势:1、利用AI模型解决恶意代码变种,通过将二进制的恶意文件
302、转换为灰度图像,利用人工智能在图形图像识别领域的成熟技术,对已知的病毒家族进行聚类分析,从而有效识别已知病毒家族的恶意代码变种;代理流量检测模型 AI模型解决恶意代码变种140【运营商行业优秀案例】ISC 20222、利用AI模型解决僵尸域名频繁更新却无法有效识别问题,通过利用AI的自然语言处理技术能够有效区分无章无序的DGA域名和常规的正常网络域名;3、利用AI模型解决恶意加密外连通信与正常网络通信在会话模式上存在明显的差异,基于AI的模式识别技术,能够精准识别受陷主机的恶意加密外连通信;应用效果:南宁国家级互联网骨干直联点监测系统实现中国电信、中国移动、中国联通的威胁监测,显著提升威胁检测
303、,深度识别网络流量中的威胁攻击,建设安全健康网络环境,促进互联网产业科学布局,推动数字化业务健康发展。让互联网更好的服务广大群众和经济社会发展,为工业互联网、大数据中心等“新基建”发展奠定坚实的网络基础,是“数字广西”建设发展的重要里程碑。AI模型识别无章无序的语言类攻击 基于AI的模式识别技术141【运营商行业优秀案例】ISC 2022经验总结:项目建设过程中,有可以预料的安全风险和不可预料的安全风险,在项目建设前期制定项目风险计划和进行风险预防和控制,同时有效降低安全风险,在规定的实施周期内项目可正常交付。在项目过程中常遇到的两种可预料的风险及其预防措施如下:1、需求变更风险:需求变更是项
304、目经常发生的事情。一个看似很有“钱途”的软件项目,往往由于无限度的需求变更而让项目承建方苦不堪言,甚至最终亏损(实际上项目建设方也面临巨大的风险)。预防这种风险的办法是项目建设之初就和用户书面约定好需求变更控制流程、记录并归档用户的需求变更申请。2、系统性能风险:项目属于多用户并发的应用系统,系统对性能要求很高,这时项目组就需要关注项目的性能风险。预防这种风险的办法一般是在进行项目开发之前先设计和搭建出系统的基础架构并进行性能测试,确保架构符合性能指标后再进行后续工作。能源行业优秀案例07143【能源行业优秀案例】ISC 2022中国海油统一身份管理认证平台建设项目案例提供方:中国海洋石油集团
305、有限公司案例关键词:数字身份安全、数据安全CASE 01案例背景:中国海油信息化工作始终紧紧围绕公司战略发展目标要求,在信息基础设施、信息系统、信息安全保障以及信息化管理等方面不断进行建设及发展进步,目前已进入了有序的发展状态。在进行业务信息系统建设的同时,公司还进一步强化了在信息化标准、规范、制度及信息化基础设施的建设,并逐步开展了核心业务信息系统的配套建设和改造,在统一身份管理方面,集团公司统一身份认证系统使用了微软AD域,绝大部分信息系统采用传统的“用户名静态口令”进行身份认证,认证方式单一。从安全角度来看,没有形成全中国海油的统一用户安全策略,用户信息和员工信息没有形成有效关联;同时在
306、认证管理方面,由于各应用系统独立管理用户认证信息,因此系统间认证信息不能共享,用户的认证凭证只能在特定的业务系统中使用,且各应用系统的认证管理和服务资源亦不能共享,系统建设成本高,效率低。业务数据安全方面,业务部门对业务信息的归属和管理方面一直存在着所有权和管理权不清、权利业务不清、管理职责不清的问题,特别是跨部门流程或非经常性流程中涉及到的信息资产,经常存在着找不到所属部门的情况,出了问题,部门间会存在彼此推脱的现象。因此,数字化转型、保障系统信息安全问题、制定和实施系统信息安全战略、建立全方位动态、纵深防御的能源系统安全保障体系,已成为中国海油当前系统信息化工作的重要内容。关键挑战:企业传
307、统IT系统多以流程和管控作为任务目标,缺少智能化的技术手段,无法有效处理和应对信息与知识的爆发,身份数据分散,没有统一的认证单点服务。缺乏有效的技术方案,数字化转型中一个最大的短板是缺乏数字技能,虽有行业经验,但缺乏大数据技术。数据治理待完善,数据是驱动企业数字化转型最核心的生产要素,大数据的治理面临着诸多重要的问题亟待解决。大数据共享与融合应用问题。企业内各部门之间、应用与应用之间的数据共享与融合应用存在着较大的壁垒,数据流通利用受阻。2、安全事件追溯取证困难:在安全事件发生后,企业需要马上进行事件的调查回溯,需要了解整个事件发生的经过以及聚焦到责任人,避免事件的二次发生以及责任的界定和追责
308、去责。144【能源行业优秀案例】ISC 2022随着企业应用日益增多,建设成本居高不下,合作商、供应商、经销商业务协作频繁,难以为伙伴提供安全、高效、便捷的应用体验。用户账号申请/注册流程长,用户身份信息分散,用户访问行为难以有效管控。人员离职访问权限仍可使用,遗留安全后门,造成极大风险。统一身份管理认证平台的建设结合中国海油信息化建设情况,建立统一的数字身份,利用AI技术,对数字身份访问过程中的异常行为、非法访问、隐匿攻击等各种风险进行认证链组合,实现从静态到动态的访问控制,实时感知用户访问过程中的安全环境变化,动态调整安全控制策略,为数字身份安全提供智能化防御和保护。解决方案:深圳竹云科技
309、有限公司为中国海油构建了以国产软件为基础的统一身份管理认证平台,实现自主可控,满足等保 2.0、中华人民共和国网络安全法对 于身份管控、认证能力的要求。安全性上结合密码平台,实现了数据储存、传输、签名的国密加密,针对 B/S、C/S、APP、H5 不同架构系统提供基于国密算法的双因素认证服务;平台稳定性上平台基于中国海油的 PaaS、IaaS 平台,并实现 了北京、上海两地三中心的高可用分布式架构;为员工、供应商、回收商、外部 合作伙伴、财务机器人提供电子身份与应用账号全生命周期集中管理能力以及多 种主流多因素认证能力(口令、短信、OTP、CA 证书、扫码、指静脉等)。145【能源行业优秀案例
310、】ISC 20221、应用安全设计 设计并保证身份认证的强度及安全性,做到严格的访问控制;与统一身份管理认证平台存在数据交互的实体(包括客户端及外部应用)全部采用基于标准的 SSL/TLS 协议实现;设计并对所有输入数据进行有效性校验、进行过滤,防止 SQL 注入、XSS、CRLF 等攻击;对系统资源(通信会话及公共资源等)进行控制,自动终止长时间无用户操作的会话,自动释放用户长时间占用且无操作的系统资源;针对面向对象技术,对内存的用户鉴别信息正确释放及清除,结合 JAVA 的垃圾回收机制进行保护。针对系统内文件、目录和数据库记录采用同样保护 机制;修复产品的安全隐患,对中国海油或国家相关部门
311、发现的漏洞进行整改。在 72 小时内完成对高、中级安全漏洞的修复。2、数据管理和数据安全 对敏感字段进行加密存储,使用国密商秘算法进行加密(包含但不限于 SM2、SM3、SM4),在存储口令以及相关敏感信息是使用不低于 AES256 加密、SM2 加密方式处理;使用可逆算法对用户字段进行加密,自定义加密秘钥,定期更换秘钥,同时 对加密口令进行批量更新。定期更换加密算法秘钥。基于 HTTPS 协议提供服务。总的来说,以完全防止第三方窃取信息为目标开展设计、实施等各项 工作;阻止针对存储在数据库中的数据的非法访问(包括越权访问和其它未授权访问);146【能源行业优秀案例】ISC 2022 避免非法
312、数据写入,以保证数据的完整性和统一性;定期维护备份数据,以保证在发生异常情况时,最大限度地恢复数据;防止数据库系统软件因可能 存在的后门或其它缺陷引起用户数据的失密。统一身份管理认证平台的目的是用来建立基于供应策略的用户全生命周期 的统一管理,其内部用户通过平台自动将用户账号信息供应至各应用系统中。作为统一身份系统,其设计包括展示层、技术架构层两大层。展示层 提供用户操作的界面,分为面对各级管理员的管理段、面对最终用户的最终用户门户包含应用入口和自助服务端,面对互联网用户的互联网入口。最终用户操作界面为所有用户账号提供用户自服务的一些操作接口和界面元素,包括密码修改接口、密码重置接口、个人资料
313、查看接口、个人资料修 改接口和管理员的委托管理界面等,相关接口将与统一身份系统集成,由应 用导航作为统一操作入口;管理员界面为身份管理员提供管理类的操作界面。管理员可以通过此界面创建、修改、禁止和删除用户账号、管理哪些人可以访问哪些应用、属于哪个 用户组等;互联网入口界面为互联网用户与租户管理的操作界面。租户管理员通过此界面通过企业中心、用户中心、认证中心等配置互联网用户企业管理、租户用户管理、认证管理、应用配置管理;设计界面是为开发人员提供的设计界面,包括设计工作流、开发连接器、资源类型定义、管理规则设计、过程管理和连接器设计等等。如当有新增应用 或者变更管理流程时,需要通过此界面开发和设计
314、相关处理接口和流程;技术架构层 统一身份系统的核心层面,是用户账号数据处理的中央枢纽,包括身份管理服务层、安全服务层、基础技术层、标准体系层。身份管理服务层,包括应用系统层、业务服务层、数据支撑层,使用统一的 服务定义与标准,统一管理。应用系统层:将于当前中国海油的业务系统进行集成并赋能,提供各项 统一认证服务各项能力;业务服务层:为业务系统提供统一身份服务、统一认证服务、统一授权 服务等,同时联合中国海油流程服务与其他中国海油标准服务,统一身 份系统通过连接器技术与标准认证协议将身份数据供应(或者通过接口(web service/Rest/LDPA)、SDK 等方式)共同支持应用层的统一需求
315、。数据支撑层:为业务层提供数据级支撑,包括身份、认证、权限等统一 身份管理认证平台数据。安全服务层,为中国海油提供业务系统集成提供统一的基于等保三级的安全服务能力,包括身份认证、访问控制、权限控制、帐号管理、日志审计、监控等;基础技术层,平台本身的基础技术架构设计与方式,包括标准业界认证单点技术、标准集成技术、融合认证框架技术、全后端分离技术、RBAC、高速缓存、负载均衡等技术;标准体系层,平台的使用与管理需要充分考虑与参考当前中国海油的各类相关标准,如数据标准、流147【能源行业优秀案例】ISC 2022程标准、架构标准、日志标准、其他相关管理标准等定义统一身份管理认证平台对应的接入标准与管
316、理标准。创新性与优势:整体安全性:通过平台自身安全、业务安全、数据安全等角度的安全设计和符合等保要求的攻击防范设计,为应用提供了安全可靠的认证服务并应对暴力破解等安全风险,总体防护效果得到验证。平台稳定性:构建高可用架构,基于国密算法构建可靠的统一认证及移动安全平台。用户范围广:已经具备对员工、互联网用户、外部合作伙伴、机器人提供电子身份与应用账号全生命周期集中管理能力。认证能力多样:已具备多种主流多因素认证能力(口令、短信、扫码、动态口令、CA证书等),已实现PC端和移动端融合认证及访问控制,可为应用提供安全的双因素认证能力。已有多种主流集成方式落地:OAuth、SAML、RESTful、J
317、WT等对接能力已交付,实现内网、外网、内外网应用集成,已集成上线236 套BS、12 套CS、13 套App、8 套H5 应用。应用效果:身份管理是数字化转型的必要条件,组织信息化的顶层设计以及信息化管理 的重要支撑部分。数字化转型需要一个更加灵活、易用、高扩展性的信息化平台 载体,身份管理有效将人员、组织、流程、数据等信息资产纳入数字共享生态系 统,高效打通信息孤岛,提高效率,加强安全,降低成本,满足法规政策。2021 年,以国产软件为基础定制开发的统一身份管理认证平台建成。平台满足 中华 人民共和国网络安全法对于身份管控、认证能力的要求,中国海油身份管理基 础设施初具规模。148【能源行业
318、优秀案例】ISC 2022业务上实现了跨应用系统访问。为“管理云”、“生产云”、“销售云”的数字化建设提供支撑;基于统一身份的用户认证行为风险服务,支撑应用基础安全性。降低成本:平台提供与人事事件联动的用户全生命周期管理能力,通过自动化实现用户一键入职、一键离职、职权联动、自助密码修改等能力,可大幅度降低运维时间及成本。效率提升:平台可提升安全管理水平,基于用户全生命周期的管理能力提供 身份自动化管理;基于动态访问控制的统一认证提供用户访问过程的全局管控;基于用户认证行为风险管控能力的引入,实现了用户访问过程的事前预警、事中控制及事后追溯的全流程风险管控。安全合规:可以快速满足等保 2.0 等
319、法律法规和监管要求。平台为海油每个 用户建立一个唯一的数字身份,基于数字身份实现对企业 IT 资源访问的全 流程管理,对身份数据和访问行为的全过程审计合规及动态风险管理。安全管理上可以为应用系统提供安全可靠的双因素认证能力;实现应用系 统账号的统一管理;运维管理上结合用户认证行为风险能力,提供统一的安全审计,降低潜在 的威胁;用户使用上为国内用户、海外用户、海上平台用户提供统一身份认证服务能力,实现了应用系统的统一认证及单点登录。经验总结:1、选型风险:核心基础系统实施厂商的选择,会直接影响到中国海油在数字化转型和信息安全方面的建设质量。群策群力,以对中国海油信息安全建设负责的态度做好项目准备
320、工作;中国海油安全部门及架构部门等相关部门紧密参与 POC、评标等关键环节。2、需求风险:统一身份认证管理平台定义为全集团应用提供服务,涉及服务范围较广,在功能实现上难保会满足所有应用的需求。充分了解海油在安全方面的规划,尽可能保障平台功能的全面性;保障平台的灵活性,应对新的需求可以快速、便捷地扩展。3、集成风险:针对应用的集成,双方均存在一定的开发变更工作,这其中难免存在无厂商支持、或改造工作难推进等问题应用。任一应用切换受阻也都会影响到平台的整体推进计划时间。项目组内筹建平台切换推进小组,请PMO协助推进;149【能源行业优秀案例】ISC 2022 提前进行宣导工作,请需要切换的应用自行做
321、好成本预算等安排;针对于切换受阻的问题应用制定应对措施。4、技术风险:项目涉及应用多、部署范围广、涉及多种技术,导致协调和处置复杂度高,项目既引用外部关键技术,又涉及定制开发,需要把握两者间的平衡。根据条件确定阶段目标并推进落实,建立输入、过程和输出的需求分析模型,根据条件确定阶段目标。对关键技术进行持续深化能力建设及评估,建立可持续发展的条件,建立自主研发机制。5、成本风险:项目建设内容较多,技术集成实施复杂,工作量大幅增加,因此在项目实施过程中,可能出现成本大幅增加的风险。明确实施内容和范围,充分论证实施技术方案,控制项目变更导致工作量增加,从而控制成本增长。150【能源行业优秀案例】IS
322、C 2022吉林油田数字化转型工业互联网安全建设项目案例提供方:惠而特案例关键词:工控安全、等保合规、安全运营CASE 02案例背景:随着智慧油田、数字化转型建设持续深入,物联网、大数据、5G等新技术不断被应用到油田生产网络,新技术的引入大势所趋,吉林油田公司“十四五”发展规划纲要提出科技创新赋能,通过思路创新、管理创新和技术创新,释放技术潜能,形成了CCUS、致密油动用、物联网建设等系列特色技术,吉林油田正步入建设创新型可持续高质量发展的关键时期。新技术引入的同时也会带来网络安全新的暴露面,尤其是生产网的工业控制系统,由于其固有的特征,其网络安全问题不容忽视,需要加强防护。本项目是惠而特科技
323、面向吉林油田工业控制系统网络安全防护,采用工业互联网安全融合安全理念,基于网络安全法律规范政策标准,吸收国际先进的理念、模型和技术,面向工业场景和实战需求,系统化规划和建设,融合工业自动化、网络安全、大数据人工智能的人才、管理、技术和场景,采用新理念、新方法、新架构、新策略,构建的新一代的工控网络安全融合安全防护体系,并积极布局轻量级工业信任体系,为持续的工控网络安全防御体系演进提供了空间。关键挑战:数字化转型已经成为必然,工业生产环境如何实现在做好安全防护的前提下与工业互联网互联成为一大挑战,需要部署先进的工控安全防御体系,吉林油田工控系统面临的风险和挑战如下:1.勒索病毒成为工控网络重要威
324、胁,勒索病毒通过网络、介质(U盘、光盘)、染毒的电脑(如运维、维修人员的电脑中潜伏有病毒)、钓鱼攻击、不可靠的供应链、黑客攻击等手段进入工业控制网络。勒索病毒破坏性极强,会导致事故、停产、异动、数据泄露等一系列严重后果,需要重点防护。2.国际黑客组织已经规模化,黑客组织或者通过暗网、黑灰产等途径获取经济利润,或者受到恐怖组织、极端势力等支撑,进行网络恐怖活动。这些组织常利用APT高攻击手段进行攻击,具有隐蔽性和持续性,并以窃取数据或破坏为主要目标,工控系统,尤其是作为关键信息基础设施的工控系统也要具有实战化应对能力。3.地缘政治、国家对抗等因素,使关键信息基础设施、生产相关系统成为国家网络战的
325、重要目标,各国151【能源行业优秀案例】ISC 2022网军拥有国家级技术力量支撑,并有可能掌握不被外界所知的 0-Day漏洞、后门,其攻击手法和攻击力量非常强大,而关键信息基础设施无疑是他们的首要目标,油田作为能源基础设施,无疑在网络战爆发时会成为目标,需要提前布局和防范。解决方案:基于吉林油田数字化转型需求、工控安全的场景和风险,我们从“预测、防御、监控、响应”四个方面建立融合的技术防御体系,形成有机整体,并通过运营服务提供有效的技术防护体系、流程自动化和协同信息化体系。自适应运营体系构成如下:1.建立风险预测(Predict)体系,预测体系包括主动的威胁探测和分析,攻击态势预测和安全基线
326、系统(配置核查),预测体系首先需要建立工业控制系统资产管理,清晰识别和管理资产,以资产和业务系统为基点,实时风险预测,包括安全态势和预警、威胁情报、漏洞发现、暴露面和攻击路径分析、安全策略有效性评估、安全基线建立和配置核查等,通过预测活动,有效的评估风险,感知态势,解决发现的网络安全风险。2.实现有效防御(Prevent)体系,防御体系包括加固和隔离系统、攻击诱捕和风险预防。建立有效的防御体系也是工业控制系统网络安全防护的重要部分,核心是采用纵深防御体系、实施安全安全加固,降低攻击和暴露面,防御使用预测作为输入,基于风险处置部署安全防护措施,包括既包括身份鉴别、边界隔离和白名单策略、主机防护、
327、数据加密等,也包括操作系统、中间件、业务系统、设备等各个层面的安全加固实施,防御体系应该根据持续的预测活动结果动态运营调整,以不断适应变化的安全态势。3.运营监控(Detect)体系,包括持续动态的网络安全监测和风险检测,研判和风险等级确认,触发事故处置机制。监测也是安全运营的重要活动,安全监测既包括技术监测,如主机端、流量端的实时监测,高级威胁监测、蜜罐和诱捕网络监测、网络状态和健康性监测等,同时监测活动也是一套组织和流程,包括监测场地(包含大屏、分角色的操作台等)、人员(具有分工的监测值守人员、研判人员、运维人员等)、流程等,152【能源行业优秀案例】ISC 2022以及发现网络安全事件的
328、应急预案启动。4.持续应急响应(Respond),包括抑制、处置和恢复、优化调整策略,溯源取证。工业控制系统同样应该建设网络安全应急体系,包括应急组织、应急政策和制度、应急预案、应急响应团队、应急处置工具和应急过程风险应对方案,应急响应本身也是一个的闭环,由预案启动、事件快速抑制、应急响应、恢复、复盘和优化、取证溯源和反制等一系列动作构成。网络安全自适用的四个象限均需要闭环应对,包括在合规和策略指引下的全体系闭环,也包括每个象限的闭环,参考自适应模型,匹配工控网络现状,我们设计了油田工控网络防护体系。创新性与优势:1、基于工业自动化场景融合的自适应架构在工控安全的积极实践;2、以服务赋能用户实
329、现人员、流程、技术的体系化安全运营体系;3、为工业环境轻量级信任体系积极布局,建立工业环境的信任体系;4、为生产环境数字化转型提供坚实的网络安全保障。应用效果:通过本项目,实现了安全服务和安全产品部署同步,为客户提供了有效的工控网络安全防御体系,为数字化转型提供网络安全保障,具有必要性,通过项目实践,形成可横向推广经验,也是工业环境先进网络安全防护的场景化实践。本项目为油田工控网络和关键信息基础设施提供保障,同时符合工控等保、关基保护合规需求,是满足合规和实战化防御双需求的一次积极实践。153【能源行业优秀案例】ISC 2022经验总结:本项目经验如下:1.国家网络安全政策法规、标准是基点,工
330、业网络安全合规建设是履行 网络安全法、数据安全法、关键信息基础设施保护条例、等级保护制度等法律法规政策赋予的责任和义务的必要措施。2.惠而特提出的工业互联网融合安全是解决网络安全问题的最佳实践,通过自动化技术和网络安全技术的深度融合,实现人才、管理、技术、场景的四融合,从工业控制系统的历史事件分析、风险分析入手,结合吉林油田的实践经验,面向网络安全能力建立可落地的方案,将网络安全落地到最后一公里。3.惠而特科技充分认知IT与OT网络的异同,吸收先进的网络安全运营思想和网络安全自适应模型技术体系,结合油田工业控制系统的OT网络实际需求,实现基于自适应模型的工控网络安全运营体系融合解决方案,通过组
331、织、流程、技术的有效运营,人机共智,以实战化对抗应对不断严峻的网络安全形式。154【能源行业优秀案例】ISC 20224.采用惠而特特有的工业环境轻量级信任体系为未来工业环境信任体系建设进行布局和空间预留,持续演进和进化工业环境防御体系。建筑行业优秀案例08156【建筑行业优秀案例】ISC 2022中核二二基于零信任身份管理解决方案落地实践案例提供方:易安联案例关键词:零信任、工业安全CASE 01案例背景:中国核工业第二二建设有限公司是中国核工业集团的重要成员单位,是国家组建最早的从事核工程及国防工程建设的建筑企业。是一家从核工程、核电工程、国防工程领域发展起来的具有建筑工程施工总承包一级资
332、质的大型综合性建筑企业。能源是现代经济的重要支撑,是人类社会生存和发展的重要基础,对经济、社会发展起着不可或缺的重要推动作用。随着IOT、AI、大数据、云计算等技术的广泛使用,各类PC端及移动端的B/S、C/S应用迅速普及,国家提出“互联网+”战略的提出。互联网与传统工业结合以提升传统行业的效率,已成为新经济新业态的主流思路。在云计算、移动互联网技术的快速发展下,组织的数字化转型日渐成型,多应用多账号的统一安全管理和高效运行问题日益凸显。因此有效地进行用户身份管理和安全访问控制成为保障组织各项数字业务安全、高效开展的前提条件。中核二二随着多年来信息系统建设,各类办公系统复杂,亟需建设在现有体系
333、上建设零信任安全防护体系,替代原有服务器运行相关业务,实现业务平滑过渡。关键挑战:随着信息化的高速发展,我们所处的网络、空间、时间环境越来越复杂。能源行业已逐渐建立起多应用、多服务的IT架构,在信息化建设中起到十分重要的作用。中核二二现有系统采用的是较为单一的用户名密码认证方式,安全强度不高,极易遭到窃取、暴力破解造成重要应用系统的越权访问、口令爆破,导致核心数据的泄漏问题。尤其是系统管理员和领导层等用户享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。且随着业务系统及支撑系统的增多,用户经常需要在各个系统之间切换,每次切换到不同的业务系统后都要输入账号及口令进行登录,用户体验差,多数用户为便于记忆和管理,采用弱口令和相同口令,存在安全隐患。157【建筑行业优秀案例】ISC 2022解决方案:为应对上述安全挑战,同时满足替代原有服务器运行相关业务,保障业务不中断的要求,中核二二公司信