業務挑戰

目前,在各省市教育系統網絡安全工作中,日常需要對特定機構的網絡進行監控惡意行為,在出現重大事件或特殊時期還需要實施臨時檢查。在過去的系統建設和運營中,這些工作長期依賴分布式監控系統和臨檢工具作為技術支撐手段,因此面臨著諸多挑戰:

1.監控成本高

2.技術手段不足

3.缺乏專業安全分析人員

4.大數據技術未能有效應用

5.第三方情報數據嚴重不足

解決方案

為了滿足業務要求以及運維要求,奇安信區域運營中心解決方案以網絡安全滑動標尺模型作為建設理念,幫助客戶從“被動防御”向“主動防御”邁進,通過分期建設教育安全運行中心,逐步建成一個具備自適應安全能力的網絡安全體系。

區域運營中心解決方案

一期建設

1.網絡安全云監測預警平臺建設

以奇安信云端資源和大數據資源的多年積累,建設具備漏洞感知、黑鏈監控、篡改監控、掛馬監控、釣魚監控以及位置資產監控的監測預警平臺,在網站出現安全問題時,支持郵件和短信等方式推送告警,并提供修復建議,以協助管理人員快速完成漏洞修復等相關安全操作。

2.實戰化安全運行中心建設

通過部署天眼及流量采集探針,搭建威脅感知平臺,應對未知威脅攻擊;通過獲取云端威脅情報,結合本地威脅監測數據,實現威脅發現及攻擊溯源;通過部署NGSOC、天擎、流量采集探針等設備搭建內網安全運行平臺,實現內網資產梳理、流量采集、日志采集、終端統一管控、場景化分析等工作;通過安全態勢呈現,快速、宏觀了解整體安全情況,以便根據安全態勢及時準確的調整安全策略或啟動應急處置流程。

二期建設

1.市級、區縣級數據采集系統建設

部署數據采集探針,覆蓋全省教育城域網關鍵節點、重要位置,及時發現重要目標單位網絡安全事件、威脅來源和組織,全面掌握網絡安全情況、威脅情報線索,實現直屬單位、院校、教育主管單位到骨干城域網的橫縱貫通數據采集,為教育廳網絡安全管理工作提供技術支撐。

2.基礎資源庫建設

建設基礎資源庫,包括IP地址庫、域名庫、設備指紋庫、規則庫、樣本庫、黑客信息庫等基礎數據,為省級安全運行中心提供基礎數據支撐。

3.市級、區縣級威脅檢測子系統建設

通過威脅檢測子系統的實時監測,及時發現國際敵對勢力、黑客組織等不法分子的攻擊活動、攻擊手段和攻擊目的,全面監測省級重點單位信息系統和網絡安全威脅,實現對安全漏洞、威脅隱患、高級威脅攻擊的發現和識別,并為通報處置和偵查調查等場景提供強有力的數據支撐。

三期建設

1. 組織開展眾測漏洞挖掘賽

在真實網絡環境下,組織攻守雙方,采用“背靠背”方式開展漏洞挖掘賽。通過模擬應對真實網絡安全問題的演練,挖掘漏洞,發現系統中存在的安全問題,有效提高教育行業信息安全的攻防實戰能力,并提升教育系統信息安全負責人的網絡安全意識。

2. 組織開展攻防對抗賽

比賽考核為TF技能題,包括Web安全、移動安全、逆向、密碼學、調查取證和二進制漏洞利用等,充分發揮信息安全人才的積極性和創造力,重點考察選手計算機安全基礎知識與技能,提升信息安全意識,普及信息安全知識,實踐信息安全技術,為本省網絡安全與信息化人才的選拔做好儲備,同時加強大學生對網絡安全的關注和興趣,促使其提升網絡安全防護水平和能力。

服務能力輸出

1. 網絡安全運營服務

奇安信專業運營服務人員與NGSOC平臺相結合,可以更好的運用平臺工具實現安全目標,快速發現安全威脅、安全問題、分析問題、確診問題、協調各類資源解決問題,支撐安全體系的持續迭代優化,并不斷完善覆蓋監測、預警、分析及應急處置全業務流程的網絡安全運營體系,進而提高整體安全運營技術能力。

安全運營服務包括安全規則運營服務、基礎運營服務(駐場)、高級運營服務、高級威脅分析服務以及安全運營技術培訓服務等。

2. 全流量風險分析服務

通過天眼設備的全流量采集以及奇安信云端威脅情報數據,結合奇安信安全服務人員采用攻防思路構建的分析模型,為客戶提供內部失陷主機、外部攻擊、內部違規和內部風險等關鍵信息安全問題的周期性檢測、發現、響應服務。

全流量風險分析服務包括資產梳理與攻擊面分析、郵件安全行為分析、數據庫危險操作分析、非常規監測分析等。

3. 其他安全服務

方案結合國內外網絡安全形勢的變化,以專業服務公司的技術能力和服務經驗,根據國家信息等級保護制度和網絡安全法相關要求,針對現有安全管理制度體系,結合客戶實際情況,進行安全管理體系審核與修訂工作,并對現有安全管理制度中不合理、不適用的內容進行修訂,同時針對新的安全管理需求進行相關安全管理制度的補充編制,包括但不限于安全管理制度、應急響應預案、人員安全管理等方面,并促成安全管理制度的切實落地。

客戶價值

1. 實現全省教育行業網絡安全態勢監控。

2. 實現“省-市-區縣”三級部署,實現網絡安全整體運營。

3. 實現“省-市”安全運營橫縱貫通。

4. 專業安全服務協助安全運營。

方案優勢

1. 依靠奇安信強大的云端安全數據支持,結合準確的威脅情報,對網站的安全問題進行全時覆蓋。

2. 具有強大的沙箱功能,模擬用戶真實訪問請求后的系統感應,準確定位被監控網站是否被掛馬。

3. 能夠在大流量場景下檢測發現被傳統防護手段漏過的高級威脅,對已發現的問題進行攻擊回溯,并對攻擊進行實時的態勢感知展示,為內網安全運行中心建設打下堅實基礎。

4. 采用獨有的問題通報系統,在發現問題時能夠通過短信、郵件、APP等方式,及時通報運維人員,并提供修復建議,快速完成安全管理閉環。

5. 由奇安信專業分析團隊提供分析服務,該分析團隊具備國內多次重大APT事件深度挖掘和定位經驗,能夠為客戶提供及時有效的安全服務,減少安全事故風險。

6. 通過態勢感知平臺、監管指揮平臺到移動APP的應用,全面支撐全省的快速通報、預警、指揮調度等工作,同時還能滿足日常綜合管理、信息發布等業務需求,打通監管、應急響應、處置的最后一公里,形成中央、省、市、區縣的四級體系,確保各類指揮指令的上傳下達,形成“縱向貫通”的業務平臺。