态势感知方案.docx

XX单位安全感知平台项目建设方案1项目概况11.1 项目名称11.2 编制依据11.3 项目立项依据21.4 项目建设的必要性31.5 项目建设目标41.6 总投资估算52需求分析52.1 信息化和安全建设现状分析52.2 行业现状和攻防对抗需求分析62.2.1传统威胁有增无减，新型威胁层出不穷62.2.2已有检测技术难以应对新型威胁72.2.3未知威胁检测能力已经成为标配82.3现有安全体系的不足分析81.1.1 3.1看不清自身业务逻辑91.1.2 看不见潜藏威胁隐患101.1.3 缺乏整体安全感知能力113方案理念133.1 看清业务逻辑133.2 看见潜在威胁143.3 看慎安全风险153.4 辅助分析决策164解决方案164.1 方案概述164.2 安全感知系统174.2.1系统架构174.2.2部署拓扑184.2.3组件实现194.2.4主要功能284.3班测响应服务414.3.1安全事件监测、预警和通报414.3.2安全事件应急响应处置424.3.3重要时期信息安全保障444.3.4常规驻场值守服务445方案价值和主要技术优势445.1 全网业务资产可视化445.2 全网访问关系可视化455.3 多维度威胁检测能力475.4 安全风险告警和分析485.5 全局视角态势可感知496价格估算表错误!未定义书签。1项目概况11项目名称XX市局网络安全态势感知项目1.2 编制依据中华人民共和国网络安全法“十三五”国家信息化规划(国发(2016)73号)信息系统安全等级保护基本要求(GB/T22239-2008)信息安全技术信息系统通用安全技术要求(GB/T20271-2006)信息安全技术信息系统安全管理要求(GB/T20269-2006)信息安全技术信息系统安全工程管理要求(GB/T20282-2006)信息安全技术网络基础安全技术要求(GB/T20270-2006)国务院关于大力推进信息化发展和切实保障信息安全的若干意见国家信息化领导小组关于加强信息安全保障工作的意见市、县两级机关“云上、智能防控”第一战略建设第一批任务清单(浙公办(2017)157号)1.3 项目立项依据习总书记在2016年“419讲话”中提出“全天候全方位感知网络安全态势”，将网络安全的思维模式从单纯强调防护，转变到注重预警、检测、响应的格局，安全能力从“防范”为主转向“持续检测和快速响应”，实时防御将以威胁为中心，以数据为驱动解决安全问题。2016年12月27日，国务院全文刊发了“十三五”国家信息化规划，再次强调了态势感知的重要性，“十大任务”中的最后一项，“完善网络空间治理体系和健全网络安全保障体系”，再次提出“全天候全方位感知网络安全态势”。2017年6月1日正式实施中华人民共和国网络安全法，明确指出国家建立网络安全监测预警和信息通报制度，相关部门应加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全检查信息，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月；。2017年7月28日，XX省厅下发市、县两级机关“云上、智能防控”第一战略建设第一批任务清单（浙公办（2017）157号）文件要求，开展网（含视频专网）网络流量还原取证系统建设，通过流量镜像方式记录关键网络节点的网络流量数据，能够在网（含视频专网）发生异常网络攻击和入侵后，能够通过倒查还原网络流量数据及时进行准确定位和取证，流量还原审计数据应保存6个月以上；1.4 项目建设的必要性随着网络信息化工作的不断深入，信息主导警务的趋势日益明显，信息通信网同外部接入单位之间的数据交换量逐渐增大，网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大，信息通信网上信息的完整性、安全性面临的挑战越来越多。1、安全事件分析难度大，安全威胁处理陷入困局随着通信网络的不断延伸与扩展，网络中的设备数量和服务类型也越来越多，网络中的关键安全设备和业务服务器产生了大量的安全事件日志，安全运维人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，工作效率极低，难以发现真正的安全隐患。2、网络攻击越来越复杂，安全问题难以检测云计算技术的发展将IT资产不断向虚拟化迁移，业务的增删查改变化大，IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量，安全边界变得越发模糊，而传统的安全防御模式还停留在网络与应用系统，导致看不清资产变化，看不清业务访问关系，更看不清内部的横向攻击、异常访问与违规操作，黑客一旦突破边界以后，往往利用合法用户身份渗透内部其他业务系统，窃取核心数据。3、贯彻落实政策文件要求，全面加强信息安全建设根据习主席“419讲话”精神和网络安全法等相关政策文件要求，结合我局安全建设需求，形成一套符合我局防御、监测、响应为一体的安全体系，对于全面推进我局安全建设具有指导意义。一方面消除高危安全隐患，提高抵御攻击能力，从整体上提高安全防护与监测水平；另一方面，通过建立快速的事件响应与处理机制，配合专业安全专家团队，防止因为响应能力不足导致安全威胁扩散，提升响应速度，提升响应效果，形成最佳实践。1.5 项目建设目标本项目的建设目标是：强化XX市局网络信息安全监测预警能力，主要解决当前网网络的信息安全监测预警能力薄弱、数据来源单一等问题，进一步提高网突发安全事件监测和预警能力，实现市级结点和地市结点安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。通过部署监测管理平台、网络安全监测探针等，实现有效发现未知威胁攻击，达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。实现以下效果：从防御层次向“持续检测、快速响应”步进，打造一站式的“预防，检测，响应，加固”的四维服务，真正做到“安全态势可感知、安全威胁可预警、异常行为可监控、安全价值可呈现”对现有业务系统核心资产进行识别，梳理用户与资产的访问关系；对绕过边界防御的进入到内网的攻击进行检测，以弥补静态防御的不足，第一时间发现已发生的安全事件；对内部用户、业务资产的异常行为进行持续的检测，发现潜在风险以降低可能的损失；对业务资产存在的脆弱性进行持续检测，及时发现业务上线以及更新产生的漏洞及安全隐患；对全市网的风险进行可视化的呈现，看到全网的风险以实现有效的安全处置；1.6 总投资估算本项目总投资估算IlO万元，其中软硬件设备投资105万，集成和服务费5万。2需求分析2.1 信息化和安全建设现状分析内网建设是业务信息化建设的先导工程，XX市局按照部和省厅的网络安全和信息化发展的工作要求，结合本地的业务建设规模和特色，以统筹协调全市机关单位全面提升网基础网络建设、安全建设、业务建设为目标，构建XX市体系信息化建设，已建成警用地理平台、城市视频监控系统、警务综合平台、综合查询等关键业务系统系统。从2013年开展网网络信息安全保障体系的规划设计及建设工作，目前项目各项建设工作进展正常。近年来重点完成了两方面的工作：一是有效支撑了全市各分局网络信息安全建设方向和保密检查工作；二是构建全市网信息安全服务支撑体系。初步形成了我局网络与信息安全工作推进的长效机制，实现了信息安全保障工作的体系化和常态化，全面提高了网内网业务安全水平。为了进一步加快我局网络安全体系建设，推动各部门利用网络便捷安全的开展各类应用，充分发挥网的作用和效能，根据部和省厅相关政策文件精神，提升我局网络网络信息安全保障体系的服务能力，增加网信息安全基础设施及技术手段，加强安全威胁监测能力和预警能力，确保我局网安全运行和健康发展是我局网安全建设的主要课题。2.2 行业现状和攻防对抗需求分析2.2.1 传统威胁有增无减，新型威胁层出不穷随着网承载的业务越来越多，边界越来越多，信息安全的问题也随之越来越严峻。目前，木马、勒索病毒、僵尸网络等新型攻击层出不穷，分布式拒绝服务（DDOS攻击）、高级持续威胁（APT攻击）等网络攻击愈演愈烈。以APT攻击为例，传统的安全防御工具已无法进行有效的防御。APT攻击不是一个整体，而是将众多入侵渗透技术进行整合而实现的隐秘性的攻击手法，可以在很长一段时间内逐步完成突破、渗透、窃听、偷取数据等任务，其体现出两方面的特点一一“针对性”和“持久性”。APT攻击的主要目标行业有政府、军队、金融机构、电信等行业，主要途径是通过电子邮件、社交网站、系统漏洞、病毒等一系列方式入侵用户电脑。2.2.2 已有检测技术难以应对新型威胁传统的防御措施主要是依靠防火墙技术、入侵检测技术以及防病毒技术，任何一个用户，在刚刚开始面对安全问题的时候，考虑的往往就是这三样，传统的防御虽然起到了很大的作用，但还是面临着许多新的问题。首先，用户系统虽然部署了防火墙，但仍然避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。并且未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足，且在精确定位和全局管理方面还有很大的空间。其次，虽然很多用户在单机、终端上都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。所以说，虽然传统的防御仍然发挥着重要作用，但是用户已渐渐感觉到其不足之处，因为它已经无法检测和防御新型攻击。简单的说，网络攻击技术已经超过了目前大多数企业使用的防御技术。2.2.3 未知威胁检测能力已经成为标配Gartner公司的2016年信息安全趋势与总结中提出，当前我们所知道的关于安全的一切都在变化：常规路线逐渐失控；所有的实体需要识别潜在的攻击者；大量的资源将会组合使用；常规安全控制手段逐渐失效；需要从以堆叠来保护信息的方式进行改变；入侵、高级持续性攻击极难被发现。在Gartner2016年信息安全趋势与总结中提出：传统的安全手段无法防范APT等高级定向攻击；随着云计算、BYoD的兴起，用户的IT系统将不在属于用户自己所有或维护管理；仅仅靠防范措施是不能够应对安全威胁，安全监控和响应能力是安全能力的一个关键点；没有集体共享的威胁和攻击的情报，单个企业将无法保卫自己。报告中还发表了一个数据，预测2020年，60%的信息安全预算的将用于快速检测和响应方面，而2013还不到10%。2.3 现有安全体系的不足分析目前，之所以难以及时发现黑客入侵的主要原因可以总结为“三个看不清”和“三个看不见”，继而由此产生了的安全技术保障体系和安全治理管理体系的脱节，简单堆砌的防火墙、入侵检测、防病毒等产品无法提供管理决策所需的数据支撑，而管理决策体系确定的安全策略也缺乏对应的抓手却检测是否真正实现和落地To2.3.1 看不清自身业务逻辑信息安全保障的是核心业务和数据资产，如果我们都不清楚被保护的主体包含了哪些系统、哪些资产以及他们之间是如何交互、如何互相访问的，那么就谈不上建立针对性的安全保障体系。越来越多的黑客攻击已经开始基于业务逻辑和业务流开始构建自己的攻击过程，例如著名的孟加拉央行劫案，都不是通用安全防护设备能够应对的；而来自恶意内部员工的窃密和攻击，多数时候甚至都不是严格意义上的网络攻击行为，更加无法依赖标准化交付的安全产品实现。而“看不清”自身业务主要包括以下三个维度：看不清的新增资产产生安全洼地关键IT资产的梳理和清单目录是许多IT运维人员最头疼的问题，特别是随着IT资产逐步向虚拟化迁移，新增部署一台虚拟机往往只需要