广东省水电医院网络安全等保2.0建设方案
客户: 水电医院
行业: 医疗行业
产品/解决方案:网络安全 、数据安全、边界防护、入侵防范、数据完整和保密
关键词: 有线和无线网络全覆盖、运维便捷、容易管理
项目背景:
医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和卫生局等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。
在医院行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医院信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医院信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
为此,2011年12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求卫生行业“全面开展信息安全等级保护工作”,《中华人民共和国网络安全法》(以下简称《网络安全法》)自2017年6月1日开始施行。其中,《网络安全法》第21条明确规定了“国家实行网络安全等级保护制度”。《网络安全法》是从国家层面对等级保护工作的法律认可,简单点就是单位不做等级保护工作就是违法。医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。同时,医院信息系统涉及大量医院经营和患者医疗等私密信息,信息的泄露和传播将会给医院、社会和患者带来安全风险。
所以在广东省水电医院的信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。为了医院信息网络的安全稳定运行,确保医院信息系统安全,根据医院目前的计算机信息网网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,提出本技术方案。
建设目标
依照《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》、《中华人民共和国网络安全法》《网络安全等级保护基本要求》等标准,以及医院对信息系统等级保护工作的有关规定和要求,对医院的网络和信息系统进行等级保护定级,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使得系统具有在统一安全策略管控下,保护敏感资源的能力。
本方案建设目标如下:
1、建立完善的安全技术防护体系。根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)的有关规定要求,建立满足等级保护要求的安全技术防护体系,在满足安全合规基础上实现医院网络安全持续保护。
2、建立符合医院实际的安全管理组织机构,健全信息系统安全管理制度。根据网络安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
建设内容
本方案的主要建设内容是建立医院的总体网络安全等级保护体系,根据等级保护二级相关标准要求,落实安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等层面的要求。医院网络安全等级保护体系建设具体内容如下图:
组织现状分析
组织现状
广东省水电医院(原广东省水电二局医院)始建于1958年,1989年随广东省水电集团(原水电二局)迁入增城区新塘镇,2012年8月正式更名为广东省水电医院。经过20多年发展,成为当地规模最大的集临床、医疗、科研、教学、预防、保健、康复为一体的现代化省属二级甲等教学医院,是广州东部医疗、急救、预防、保健中心。医院是卫生部颁发的“爱婴医院”、全国异地就医联网结算定点医院、广东省工伤保险定点医院,广州市职工医保、生育保险、工伤保险及城乡居民医保定点医院,广州市、增城区、黄埔区、开发区市直医保定点医院。2009年12月,医院顺利通过教学医院评审,成为增城市南部唯一一家拥有广东省卫生厅和教育厅颁发的教学医院资质的医院。
等级保护对象分析
医院现网络拓扑
现状分析
1.网络架构说明:通过上述拓扑图,可以分析得出,水电医院凤凰城院区网络1套,有500M电信和500M联通两条出口。该院区已有部分安全防护措施,网络出口分别部署出口防火墙以及上网行为管理,使用年限较久。随着如今黑客攻击手段的不断提高,使得网络安全事件较以往成指数级的增加,同时由于设备本身功能的缺失及性能的损耗,网络发生单点故障的可能性极大提升。面对层出不穷的新型安全事件如网站被纂改、黑链、勒索病毒、僵尸网络、数据窃取等,已经无法有效应对。在本次安全建设规划中,建议将出口防火墙、上网行为管理替换为最新设备。
2.根据等级保护2.0标准,目前水电医院网络缺乏等保合规组件,主要包括安全审计类设备,如日志审计、运维审计等。在本次安全规划中将遵循等级保护2.0标准,补齐合规性组件。
3.缺乏失陷主机检测。根据目前网络情况及黑客的攻击趋势,重点关注数据泄露及网页篡改、跳板攻击等风险,所以僵尸主机问题日益突出,网络中缺乏失陷主机监测功能。在本次安全建设规划中根据等保2.0标准要求,补齐终端安全防护能力,包括服务器及终端PC的防护手段。
4.缺乏网络整体安全感知,在应对突发的安全事件时缺乏有效的预防、防御、检测、响应、联动机制,无法快速处置风险及威胁,在本次安全建设规划中建议部署入侵检测系统,通过全网统一流量及日志分析,建立全网安全态势感知及处置体系,提升医院的整体安全能力。
方案设计原则及依据
严格依据国家网络安全等级保护建设方面的相关法律、法规、政策以及技术标准进行方案设计,为客户提供符合自身实际需求及满足等级保护建设规范的优质方案。
总体方案设计
设计目标
结合等级保护2.0相关标准和要求以及国内外最新的安全防护体系模型,从保障用户业务安全高效运行为根本出发点,提出了“持续保护,不止合规”的价值主张。随着等级保护对象扩展到云计算、移动互联网、物联网、工业控制系统与大数据等,如今的网络环境复杂度已远超过去。同时,有效的风险管理一定是建立在一定的模型之上的。为适应新的安全形势,等级保护2.0安全建设建议引入新的智安全能力模型“APDRO”,其中集防御(P)、检测(D)、响应(R)于一体的闭环安全已经深入人心,但是仅有PDR还不够,安全能力模型需要适应新的安全形势的,因此才有了对PDR的改进模型,A代表智能,O代表运营,在PDR模型上叠加智能和运营能力。APDRO安全架构的简单逻辑就是,首先,要去打造集防御、检测和响应于一体的闭环安全能力,然后,面对自动化水平不断提高的威胁,利用人工智能技术来提升PDR的自动化程度,最后由运营来让PDR变得更有效,让PDR运转的更好。通过以APDRO安全能力模型支撑,为用户构建以技术、管理和运营三大安全体系为目标的可运营的智能化安全体系,让等级保护对象具备了安全可视、持续检测、协同防御的能力。
设计原则
等级保护是国家信息安全建设的重要政策,其核心是对等级保护对象分等级、按标准进行建设、管理和监督。对于医院网络安全等级保护建设,应当以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务系统,在方案设计中应当遵循以下的原则:
等级保护建设原则
医院网络系统属国计民生的重要信息系统,其安全建设不能忽视国家相关政策要求,在安全保障体系建设上最终所要达到的保护效果应符合《网络安全等级保护基本要求》。
体系化的设计原则
系统设计应充分考虑到各个层面的安全风险,构建完整的安全防护体系,充分保证系统的安全性。同时,应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
产品的先进性原则
医院的安全保障体系建设规模庞大,意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,共同打好工程的技术基础。
按步骤有序建设原则
医院的安全保障体系的建设是一项长期的工程,并非一蹴而就解决所有安全问题。因此,在实际建设过程中要根据实际情况分轻重缓急,分期、分批的进行部署。
规划拓扑及方案描述
医院内网
内网出口区安全设计
内网出口主要作为水电医院本院区与其他医院、卫健委、银联的互联互通,需要对通过边界的流量进行入侵防御和病毒过滤功能。
下一代防火墙(具有防病毒网关功能)
边界部署基础级防火墙,主要提供访问控制,DDOS攻击防护,会话控制、用户认证、URL过滤等功能措施,可添加防毒模块,对通过该防火墙的数据进行病毒查杀。通过双机部署防止单台设备故障导致业务中断。
数据中心区域安全设计
核心业务域部署的PACS系统、HIS系统、LIS系统、EMR系统、HIP系统提供医院业务正常运行,假如出现网络安全风险,后果非常严重,应加强抗APT攻击、身份认证、系统防护、数据库审计等。
数据中心防火墙
对所有通过防火墙的流量进行检测,抵御黑客攻击、SQL注入、XSS、网页篡改等攻击威胁。开启防病毒策略,对流量进行防病毒过滤清洗。
服务器主机安全防护
服务器终端安全围绕资产全生命周期,通过预防、防御、检测、响应赋予终端更细致的隔离策略、更精准的查杀能力、更持续的检测能力、更快速的处置能力。
内网终端安全设计
对于医院的内网终端,如财务、科研等敏感业务相关的终端设备,一旦出现安全风险,病毒会迅速在内网终端中蔓延,导致医院业务的中断。通过主机安全设计,提供终端防范恶意代码,防止病毒横向扩散的能力。
终端安全防护系统
内网终端安全围绕资产全生命周期,通过预防、防御、检测、响应赋予终端更细致的隔离策略、更精准的查杀能力、更持续的检测能力、更快速的处置能力。
安全管理中心安全设计
本次方案在水电医院内网建立安全管理中心,内网运维管理域是医院核心业务系统的安全管理、安全审计、安全运维、集中管控等各个组件的集合区域。是维系医院系统正常运转,制定各类安全策略的核心区域。
·日志审计系统
实时不间断地采集汇聚医院内网系统中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行安全分析及合规审计,及时、有效的发现异常安全事件及审计违规。
·运维审计系统
将医院所有网络设备、安全设备等IT组件的管理运维端口,通过策略路由的方式,交由堡垒主机代理。实现运维单点登录,统一身份认证、统一访问授权、统一审计管理,并对运维操作进行审计记录(录屏和键盘操作记录),并通过堡垒机实现对运维角色与权限的划分,分为系统管理员、审计管理员、安全管理员等。
·入侵检测系统
以全流量分析为基础,结合威胁情报、行为分析、机器学习、可视化等技术对全网流量实现全网业务可视和威胁感知,从而实现全面发现各种潜伏威胁。同时,为医院提供多视角(APT杀伤链视角、业务视角、安全事件视角等)的检测发现能力,及时发现针对医院的重要资产实施的多种形式的高级攻击,如社工钓鱼、勒索病毒、蠕虫挖矿、数据窃取等。
·准入系统
准入系统通过接入行为安全、终端发现、接入认证、安全检查、行为控制,建立终端入网安全规范,降低安全隐患和数据泄密风险。并且对内网终端侧、上网侧、业务侧进行全面审计,防止敏感数据泄露,同时具备精准追溯的能力。
医院外网
互联网出口安全设计
互联网接入区作为用户通过互联网访问医院系统的入口,担负着重要的边界防护使命。
·互联网出口防火墙
提供L2-L7层各类威胁的检测和防护,有效应对传统网络攻击和未知威胁攻击。针对于访问互联网的用户、行为、业务等维度实现更多元素的可视,并对可视数据进行综合分析,实现风险定位及图形化威胁展示。同时针对黑客攻击链所有环节均可持续检测,利用云沙盒技术和大数据威胁情报分析平台,可以及时、准确的响应安全事件,将威胁影响面降到最低。
·上网行为管理
针对内部网络用户私自访问互联网的行为进行行为审计和数据分析。同时限制P2P等软件下载、在线观看视频等非办公应用,加强关键应用带宽的保障(如视频会议、OA远程办公),提高办公效率,并按相关法律法规进行上网行为审计。
外联接入安全设计
·VPN
VPN通过对数据的加密封装,实现终端安全、传输安全、应用权限安全、行为审计,保证院外访问医院内部业务系统数据的安全,降低数据被窃取和泄密风险。
详细方案设计
网络安全等级保护安全技术体系设计按照“一个中心”管理下的“三重防护体”体系框架,构建安全机制和策略,形成等级保护对象的安全保护环境。技术体系主要分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、和安全管理中心五部分。本次方案不考虑安全物理环境。
安全通信网络
根据《基本要求》第二级安全要求,安全通信网络主要从网络架构、通信传输和可信验证方面进行安全防护。
网络架构
网络架构是网络安全的前提和基础,对信息系统合理规划网络,绘制与当前运行情况相符的网络拓扑结构图,通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性,是网络架构设计时应重点关注的方面;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN,业务终端与业务服务器之间建立安全路径;存放重要业务系统及数据的网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域;通过网络设备流量控制等技术手段保证重要业务不受网络拥堵影响,保证网络设备的业务处理能力满足业务高峰期需要及各个部分的带宽满足业务高峰期需要。
通信传输
使用统一安全接入设备或采用PKI/PMI平台体系中的完整性校验功能进行完整性检查,保障通信完整性及通信过程中敏感信息字段或整个报文的保密性。
可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全区域边界
根据《基本要求》第二级安全要求,安全区域边界主要从边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证等方面进行安全防护。
边界防护
部署访问控制设备,保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;部署准入设备或其他安全措施对非授权设备私自联到内部网络的行为进行限制或检查以及对内部用户非授权联到外部网络的行为进行限制或检查对使用无线网络时在边界部署下一代防火墙等安全设备保证无线网络通过受控的边界防护设备接入内部网络。
访问控制
信息系统边界是安全域划分和明确安全控制单元的体现。在网络和区域边界部署防火墙系统,对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为,访问控制粒度为端口级。
针对网络内部各区域之间的访问,采用防火墙及VLAN划分进行控制。在核心交换机上设置访问控制列表策略,禁止终端用户对数据中心区、大数据平台区、安全管理区等的直接访问。重要网段及设备进行IP与MAC地址绑定。
采用安全认证网关结合信任服务系统对访问应用系统提供访问控制和身份鉴别;具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。
入侵防范
通过水电医院网络关键网络节点部署下一代防火墙或网络入侵防范系统,一旦检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。
在核心交换机旁路部署入侵检测设备或潜伏威胁探针,利用入侵检测系统或潜伏威胁探针的动态检测功能,对网络中的流量进行监测,并定期对入侵检测设备的特征库进行升级,及时发现网络中的异常行为。
恶意代码和垃圾邮件防范
部署下一代防火墙,包含有防病毒功能模块,对关键网络节点处的恶意代码进行查杀,同时和主机防病毒使用不同的特征库。
通过下一代防火墙的放垃圾邮件功能保障在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
安全审计
通过部署上网行为审计系统,对网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等,审计记录的留存时间60天以上且不中断。对远程访问的用户行为、访问互联网的用户行为通过上网行为管理、VPN等设备单独进行行为审计和数据分析。
可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全计算环境
根据《基本要求》第二级安全要求,安全计算环境主要从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护等方面进行防护。
身份鉴别
通过部署上网行为管理系统和主机/应用安全配置项,对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换(如配置用户名/口令,口令采用3种以上字符、长度不少于8位并定期更换,启用登录失败处理功能,登录失败后采取结束会话、限制非法登录次数和自动退出等措施);通过部署SSL VPN或堡垒机等安全防护保证进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
访问控制
针对定级系统的主机系统访问控制策略需要对服务器及终端进行安全加固,加固内容包括:限制默认帐户的访问权限,重命名系统默认账户,修改帐户的默认口令,删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户;根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;启用访问控制功能,依据安全策略控制用户对资源的访问。
在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权限。
关闭操作系统开启的默认共享,对于需开启的共享及共享文件夹设置不同的访问权限,对于操作系统重要文件和目录需设置权限要求。
设置不同的管理员对服务器进行管理,分为系统管理员、安全管理员、安全审计员以实现操作系统特权用户的权限分离,并对各个账户在其工作范围内设置最小权限。通过主机内核加固系统,实现服务器的内核级安全加固。
安全审计
日志审计系统、数据库审计、上网行为审计等安全设备的部署实现设备和计算的安全审计,同时对主机系统、安全设备、交换机等根据需求开启设备自身审计功能,审计设备连接至单位NTP服务器保证了审计记录产生时的时间由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等,审计日志保存6个月以上,应对审计进程进行保护,防止未经授权的中断。
入侵防范
针对信息系统的主机系统入侵防范采取操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,关闭不需要的系统服务、默认共享和高危端口;终端安全管理系统或设备配置项设置对终端接入范围进行限制。并通过设置升级服务器或通过补丁分发系统保持系统补丁及时得到更新,增强抵御入侵的防护手段。网络防病毒系统的部署能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
恶意代码防范
在所有终端主机和服务器上部署网络防病毒系统,加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
可信验证
部分关键计算设备可采用基于可信计算技术的操作系统免疫平台,提供执行程序可信度量,阻止未授权及不符合预期的执行程序运行,实现对已知/未知恶意代码的主动防御,实现计算设备的内核级系统监控、文件可信校验、动态度量、可信网络连接及可信审计等功能。
数据完整性和保密性
在数据完整性和保密性方面,通过部署VPN实现网络传输层数据的完整性和保密性防护,如通过VPN设备实现同城/异地备份中心的传输加密;对于特别重要的数据,使用数据加密系统实现关键管理数据、鉴别信息以及重要业务数据存储的完整性和保密性。
对鉴别信息、重要业务数据进行加密传输和存储,即确保传输的数据是加密后传输和存储。用户名和密码及填报数据需要加密后再存储到数据库,以防获取系统重要信息,避免造成信息泄露。
通过链路加密设备对数据进行保密性防护;应用系统在设计时,需要充分考虑抗抵赖要求。
安全管理中心
根据《基本要求》第二级安全要求,安全管理中心主要从系统管理、审计管理、安全管理和集中管控等方面进行防护。
系统管理
通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和(或)异地灾难备份与恢复等。
对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
审计管理
通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等。对审计记录应进行分析,并根据分析结果进行处理。
对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。
安全管理
通过安全管理员对系统中的主体、客体进行统一标记,对主体进行授权,配置一致的安全策略。
对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。
集中管控
在水电医院网络中划分特定的安全管理区,保证对分布在网络中的安全设备或安全组件进行集中管控;通过堡垒机实现安全的信息传输路径,对网络中的安全设备或安全组件进行管理。APM或安全管理平台的部署对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,日志审计系统部署实现分散在各个设备上的审计数据进行收集汇总和集中分析。入侵检测系统应能对网络中发生的各类安全事件进行识别、报警和分析。网络防病毒系统及补丁分发系统的部署应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。
安全设计部分价值优势
安全可视辅助决策简化运维
网络安全需要“看见”。只有看得见的安全才是真正的安全,通过网络风险可视化,将安全状况直观地呈现出来,实现更精准的风险分析及判断,更高效的安全运维和风险处置。
过去可见性并没有那么重要,因为过去边界清晰,使用安全域来划分安全,里面的都是安全的,外部的都是不安全的,不用看的一清二楚。但互联网化以后,很多系统都开放了,好的坏的混在一起,必须把这些看清楚才能做到安全保护。有人也会说我们内网不需要可见。但是大部分APT攻击的案例都是以内部用户或者系统作为跳板,最终实现对指定目标的攻击。因此即使是在相对安全的内部IT网络,也一样需要可见性。在新的趋势下,可见性是安全的基础。
在网络安全的世界里,可视化有着不可忽视的作用,安全的可视化能够保证对信息资产、人、行为三者之间的风险点进行实时观测,在发生威胁时能够果断进行安全处置,有效防止了安全威胁的渗透。
可视是安全的基础,下一代防火墙提供全程可视:风险的可视、保护过程和结果的可视,而非碎片化的攻击可视。下一代防火墙提供了可视化风险展示功能,下一代防火墙能够将检测识别到的针对网站业务和接入用户的安全风险以图形化报表实时分类展示出来,如入侵风险、实时漏洞风险、数据风险和黑链风险等。相比传统安全设备,下一代防火墙能够发现更多应用层风险,更直观的了解到网络中存在的问题,针对每一类风险行为都提供了详细的记录和说明,如对僵尸网络行为的监测信息,能够识别出僵尸主机的IP,僵尸行为类别(木马、飞客蠕虫、C&C通信等),活跃时间,活跃次数等,并提供了详细易懂的危害说明。这种简单易懂、可视化的安全展示方法,解决了传统安全设备的日志多、日志展示方式过于技术化,用户无法快速搞懂组织真实安全现状的问题。
动态感知持续检测
基于业界领先信息安全理念,采用业界领先的大数据、人工智能技术安全,建立了安全感知平台,在安全事件发生前就能够及时发现并采用有效安全策略,从而降低企业安全风险。我们从“来源提取”,“检测分析”,“交付可视”,与“处置响应”四个方面来构建我们的安全体系。
1. 资产的新增或变更感知
通过业务识别引擎主动识别新增业务资产或变更新的业务资产;
发现资产变更后,自动对“变动资产”进行增量评估,减少新漏洞在网上暴露时间。
2. 安全事件感知
对内部重要业务资产已发生的安全事件进行持续检测,第一时间发现已发生的安全事件。
3. 异常行为感知
对内部用户、业务资产的异常行为进行持续的检测,发现潜在风险以降低可能的损失。
入侵检测系统给用户带来动态感知和持续检测的能力,可不间断的感知业务风险。首先从业务维度展示安全现状,然后,从攻击链的角度,让客户看到资产的失陷状态。接下来,对失陷资产进行详细的举证,让用户看到威胁的原因、危害,并为客户提供专杀工具会处置建议。最后,我们要让客户看到这个威胁的影响面有多大,让客户看到内部的异常访问关系,是谁攻击了我,我攻击了谁?同时对失陷资产进行横向行为和外联行为的画像。
协同防御,多级联动
在过去的安全体系,每个安全节点各自为战,没有实质性的联动。而如果这些安全环节能协同作战、互补不足,则会带来更好的防御效果。网络安全等级保护解决方案协助用户构建多级联动安全防御体系,形成威胁的防御、检测、响应和预测,形成闭环,应对各种攻击。同时,以智能集成联动的方式工作,应对高级威胁。入侵检测系统可以联动下一代防火墙一键阻断木马与黑客的通信;可以联动上网行为管理,发生安全事件可及时在用户端告警;可以联动EDR,实现终端病毒扫描和查杀;还可以联动数据库审计,做防泄密的分析和追踪等等。