明鉴®网络空间态势感知监测预警通报管理系统

明鉴®网络安全态势感知通报预警平台是从总体上把握网络的安全态势,帮助监管部门和用户实时了解网络安全态势和网络安全问题,开展预警通报、应急处置和网络安全综合管理工作。
返回列表
1.产品简介
明鉴®网络安全态势感知通报预警平台(以下简称:通报预警平台)是杭州安恒信息技术有限公司依据《关于加快推进网络与信息安全通报机制建设的通知》以及《中华人民共和国网络安全法(草案)》,并深入分析与研究常见安全漏洞以及流行的攻击技术基础上,通过安恒安全团队攻防研究和风险评估项目经验并结合信息安全等级保护相关标准总结归纳大量的安全漏洞信息和攻击方式后,研制开发的一款针对网络信息安全态势感知、通报预警、应急处置的综合管理平台。该平台还可以与等级保护监察管理系统、等级保护检查工具箱(备注:该系统和工具箱主要为等级保护检查工作开展提供技术保障)进行无缝对接,实现联动。该管理平台主要面向政府、公安以及企事业单位,利用技术手段帮助对其重要门户网站、网上重要信息系统进行全面的安全漏洞监测、可用性、篡改、敏感词监测并且结合云安全中心以及网络安全设备产生的数据进行态势分析。对爆发的网络安全事件进行通报预警、应急处置等功能。从总体上把握网络的安全态势,帮助监管部门和用户实时了解网络安全态势和网络安全问题,开展预警通报、应急处置和网络安全综合管理工作。并且支持多模块配置:态势感知、安全监测、通报预警、应急处置、等级保护、重大漏洞在线检测、重点网站保卫、专家值守、侦查调查、追踪溯源、黑客档案、情报信息、基础数据等。



图2-1 平台功能


2.产品功能
2.1.态势感知

通报预警平台能对系统建设监管范围内的网络空间安全态势提供数据支撑,从数据角度应包括属地辖区内的:网站基本信息(包括域名、网站标题、网站IP、行政属地、等保备案情况、联系人等)、网络安全事件、网络设备资产情况与指纹信息(操作系统类型、开放端口、开放服务、平台中间件、技术架构等)、重要信息系统日志采集、分光流量检测与事件分析(安全事件、攻击事件、恶意代码执行、恶意扫描行为等)以及全网空间内的态势感知分析。

并集合大数据的有效信息提供分析展示平台,从多个维度,提供大数据分析结果,为研判、决策及重要时期的网络安全保障工作提供有效支撑。感知维度包括资产态势、攻击态势、威胁态势、通报态势、事件态势等。



 图3-1资产态势


图3-2事件态势


2.2.安全监测

安全态势感知预警采用远程监测技术对WEB应用提供7*24小时实时安全监测服务。通过对网站的不间断监测服务,实行网站漏洞监测、网页木马监测、篡改检测、可用性监测与关键字监测,提供详尽的数据与分析报告,从而全面掌握网站的安全态势,可有助于提升网站的安全防护能力和网站服务质量,并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制,令动态且变化不定的网站安全态势尽在把控。

平台采用集群式架构,整个平台由监测控制台和监测引擎两部分组成。监测控制台一般由一台工业计算机或两台工业计算机组成,用于实现人机交互以及对监测引擎的控制。监测引擎由多台硬件设备组成,引擎的数量取决于需要监测网站的数据及每个网站的规模,默认情况下单个监测平台可配置多达64个引擎进行网站安全监测,若机房性能良好,则能监测2000-3000个网站。


图3-3 安全监测


2.3.通报预警

能够实时根据态势感知和扫描监测到的各项安全威胁情况,对下级单位和使用部门开展预警和通报工作。能够定期发布预警信息,对安全态势进行趋势分析及总结,做到对安全态势整体把握。并可与移动应用App联动,随时随地预警、通报。

通过平台和APP结合,将发现的安全威胁下发到系统归属的单位和相关责任人,要求整改修复,降低安全风险;针对安全事件,可以下发应急处置任务,尽快响应,将事件影响降到最低。手机移动APP支持应用商店下载,提供最新版本、功能介绍及常见问题解答。该应用同时支持安卓、IOS设备,可同步接收网站监测威胁、漏洞数据,随时随地预警、通报。紧急情况可直接对单位联系人电话通报,并且对事件全过程进行记录,同时可通过PC平台进行数据汇总,实现多端数据同步。


 图3-4通报预警处置管理


图3-5 APP监测


2.4.应急处置

针对发生的网络安全事件进行应急处置工作,配备应急处置技术工具,分析总结网络安全事件成因,修复管理或技术隐患。形成安全事件高效率下发、处置,并对安全事件处理全过程、结果进行记录和管理。

2.5.等级保护

等保系统建设信息展示平台主要有两个功能:一是用于开展等级保护安全管理工作,通过等保系统建设信息展示平台能够现对信息安全等级保护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个工作环节信息与数据的集中管理和工作流程管理;二是可以通过云+端模式利用自查自检工具实现等级保护数据基础数据库的数据导入、按区域、定级、单位、系统等条件进行统计分析和关联查询(等级保护数据基础数据库包括信息系统定级备案、等级测评、安全建设整改、监督检查、等级测评机构管理、法规标准、信息安全产品管理、信息安全事件应急响应、等级保护队伍管理、考核排名等日常工作的基础数据),并可最终在安全监测态势感知预警系统的展示界面中进行信息系统等保建设中每一级的数量统计、百分比展现、等保相关问题统计、百分比展现以及高发等保问题的呈现展示。


图3-6产品截图


综上等保系统建设信息展示平台除了等保管理功能外主要还可实现等保自评估的信息收集和通报展示。

1)信息收集使用云加端实现自查自检工具箱的采集信息上报由云服务中心进行细致的等保建设分析。

2)通报展示内容包括等保检查报告和公告通知,并且会将信息系统等保建设中每一级的数量统计、百分比展现、等保相关问题统计、百分比展现以及高发等保问题的呈现展示。

等保系统建设信息展示平台有助于推行国家信息安全等级保护制度的进一步建设,并通过通报预警平台追踪各级单位等保的建设和整改情况。


2.6.重大漏洞在线检测

重大漏洞在线检测系统是结合最新、最及时的漏洞探测技术,针对各项重大漏洞,在漏洞发布第一时间提供检测、验证技术,确保及早发现管辖范围内重要信息系统受影响范围并提前发出专项预警通告。

针对重大、典型漏洞类型,如心脏滴血、Openssl Drown、Struts2远程命令执行S2-032等,支持自助在线检查。只需输入网站域名,即可一键查询,立刻获取结果。并且典型漏洞类型持续更新。

2.7.重点网站保卫

安恒玄武盾采用零部署的云计算解决方案,用户无需在本地部署任何安全设备,只需将DNS映射至玄武盾CNAME别名地址或将网站NS解析为安恒玄武盾DNS服务器,玄武盾全国DNS调度中心会对全国的用户访问进行就近选路,用户的访问先经过DDOS防护,可防护黑客发起的Syn-flood、upd-flood、tcp-flood、应用层CC等攻击。用户访问图片、视频等静态文件时可直接到玄武盾全国CDN节点上获取,无需到源服务器上调取,提升用户访问速率,并节省服务器带宽。


玄武盾全国的云防护节点可对黑客发起的注入、跨站、网页木马、扫描器、组件0day攻击、盗链等攻击进行防护,然后将正常流量转发到源站服务器。


图3-7玄武盾监控效果图

2.8.专家值守

支持安全专家7*24小时提供漏洞验证服务,并提供最及时的应急响应和最权威的漏洞整改建议。

2.9.侦查调查

基于安全情报/信息大数据,深度发掘,广泛关联,挖掘攻击手和攻击组织,以及作业链条,形成暗链库、黑客攻击特征库、敏感内容库,对已发生的攻击事件等进行追踪打击。

2.10.追踪溯源

当前网络中存在大量的已知和未知威胁,这些威胁隐藏在海量的网络流量中,包括恶意病毒、异常木马、0day样本等,安恒基于流量分析的恶意威胁分析系统可直接对网络流量进行快速抓包分析,深度解析各种传播数据,利用利用异常访问定位技术、邮件社工分析技术、WEB威胁自学习技术、shellcode静态跟踪技术、沙箱分析技术、云端的大数据分析技术来分析并发现各种已知和未知威胁攻击,最终通过云端大数据深度分析和挖掘这些威胁的趋势,感知网络安全态势。并且支持对网络威胁、安全事件深度解析,寻找踪迹线索,发现来源。


图3-8 基于流量分析的恶意威胁检测流程


2.11.黑客档案

支持黑客组织相关信息,攻击历史的查询和统计。

2.12.基础数据

支持对后端数据包括网站指纹组件(操作系统、第三方组件等)和主机设备指纹进行整合、整理和在线搜索。

2.13.每日资讯

提供每日安全资讯,第一时间掌握安全动态;最新爆发的安全事件第一时间公告,专家进行深度解读;第一时间专家深度解析。恶意软件、最新安全技术、漏洞专业分析。

3.优势总结
明鉴网络安全态势感知通报预警平台具备的一些独特的优势和特点,主要表现在以下几个方面。

3.1.数据发现能力

结合安恒云安全中心、分布式多引擎7*24小时发现当前网络环境下威胁(漏洞、木马、变更、关键字、不可用)、事件(反共、暗链、黑页、色情、博彩、其他),重要信息系统基础数据、资产分布、黑客档案、网站健康状态等,从多维度把握当前最新安全态势。

3.2.可视化展现

针对重要网站、信息系统的海量监测数据、基础数据等,通过地图、柱形图、折线图、饼图、仪表盘等方式,可视化可交互进行展示。有效提高可读性、美观性,便于随时查看、展示。

(1)综合安全态势:通过可交互地图、颜色区分,可直观获取当前区域网站量、安全事件、安全威胁分布。了解安全威胁(漏洞、木马、变更、关键字等),安全事件(反共、暗链、黑页、色情、博彩等)数量、占比、监测趋势、区域排行、取证截图。

(2)资产态势:结合可交互地图、图表、柱形图,直观查看当前区域资产分布。包括网站基础数据、端口、协议、操作系统、服务器等分布排行情况。

(3)预警处置态势:与平台联动的移动应用APP,可通过大屏方式实时呈现安装率、预警处置平均处理时间、事件在区域行业的分布,以及当前正在处理中的事件。

3.3.多方式预警通报

同时支持平台,邮件,周期性报告、专项报告,以及移动应用终端等多形式,对网络安全威胁、事件进行预警通报。并通过平台进行数据汇总管理,提高通报效率、可达性。

3.4.应急处置工具

重要网站、信息系统监测发现紧急威胁、重大安全事件,并通过多方式预警、通报后,可采用应急处置工具箱紧急处理。现场漏洞验证、恶意代码验证、取证分析,结合病毒、木马、SQL注入验证等检查工具,可即时生成处置报告。

3.5.支持多种报表

支持周期安全报告,根据扫描监测数据,定期自动生成标准的周报、月报、季报、年报,提供word、pdf等多种格式,支持在线查看、下载;针对重大事件,支持应急响应,提供专项分析报告。

3.6.系统联动

支持与等级保护监察管理系统无缝对接,该系统能够对行业单位的门户网站以及重要在线信息系统等级保护工作进行统一管理,与等级保护检查工具箱(备注:该工具箱不仅能够对行业单位的网站和重要信息系统进行检查而且还能够对网络爆发的安全事件进行取证分析)进行对接。

3.7.手机终端协同

支持与移动应用APP进行联动,能够从监管、行业等多方面对网络爆发的安全事件、安全问题进行预警通报,并对事件全过程进行记录。紧急情况,还可通过移动终端直接电话通报。

3.8.安全资讯

随时获取每日最新安全资讯,了解安全行业动态。重大漏洞、安全事件、恶意软件等,专家深入解读、分析。

4.模块自定义配
平台提供多个功能模块,态势感知、安全监测、通报预警、应急处置、等级保护、重大漏洞在线检测、重点网站保卫等。可根据用户实际需求进行模块配置,有针对性的形成自定义的安全解决方案。

5.产品构架
明鉴®网络安全态势感知通报预警平台主要由态势感知、安全监测、通报预警、快速处置、等级保护、基础数据等各模块组成。整体构架如下图:



图6-1 系统整体架构


数据流转方式如下图:


图6-2 数据流转图


6.部署方案
明鉴®网络安全态势感知通报预警平台能够灵活的应对多种复杂的网络环境,部署示意图如下所示:



图7-1 公安版部署方案


图7-2 行业监管版


7.典型案例
7.1.宁波市公安局

宁波市公安局是最早提出网络与信息安全预警处置移动终端应用的单位,以先进的管理理念、科学的流程设计首先建设了宁波网络安全预警处置移动平台。

目前,宁波市公安局已经将全市重点网站和信息系统纳入网络安全通报预警处置监管机制,网安支队和各区县网安大队安装了移动终端应用,在行业主管单位、重点监管单位等通报成员单位中按阶段推广安装业主单位版本移动终端应用,以移动平台把网安和通报成员单位有效联合,实现了安全监测、通报预警和应急处置全流程监管。

7.2.国家安全生产管理总局

安监总局一期项目主要建设通报平台、网站安全监测平台、安全学习攻防演练平台等。一期主要实现对安监、煤监总局的网站和在线业务系统,预留了能够将省级节点网站和业务系统纳入监管的支撑数量,同时在某省级节点试点建设了前端日志采集系统,通过对日志进行采集分析,提供更丰富的安全态势感知数据源。目前二期规划中,已经将日志采集系统推广到全国省级节点,并且在总局建设了APT、综合扫描等作为流量分析、资产风险评估等手段。


杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |