中电运行

360网神新等级保护安全防护解决方案

1. 概述

信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。

根据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),要求优先重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:(1)国家事务处理信息系统(党政机关办公系统);(2)金融、税务、工商、海关、能源、交通运输、社会保障、教育等关系到国计民生的信息系统;(3)国防工业、国家科研等单位的信息系统;(4)公用通信、广播电视传输等基础信息网络中的信息系统;(5)网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统;区别重点,分级进行保护。

至今,等级保护工作开展了二十年,与现有的新技术、新应用、新威胁的风险控制有一定的差距;为了适应新风险、新应用,360企业安全集团通过梳理标准要求,分析安全风险,形成了一套适用于新威胁、新合规下的等级保护安全防护方案。本方案重点增加与提升了等级保护的风险控制措施,同时利用大数据、云安全来降低安全风险,为企业创造安全的生态环境,保护业务持续运行。

1.1 方案目标

充分解读信息系统等级保护相关政策和标准,全面提升信息系统的安全防护能力,应对新威胁、新应用下的安全威胁,利用大数据分析、威胁情报共享、云防护的创新技术理念与技术落地,实现对企业网络安全的智能统一管理,并达到国家信息安全等级保护的相关标准与要求。

1.2 设计依据

· 中办[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》

· 四部委2004年09月15日发布公通字[2004]66号《信息安全等级保护工作的实施意见》

· 四部委2007年06月17日发布(2007)公通字43号《 信息安全等级保护管理办法》

· GB/T20269-2006信息安全技术 信息系统安全等级保护管理要求

· GB/T20271-2006信息安全技术 信息系统通用安全技术要求

· GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》

· GB/T22240-2008《信息安全技术 信息系统安全等级保护定级指南》

·《信息安全技术 信息系统安全等级保护实施指南》

·《信息安全技术 信息系统安全等级保护 第二分册 云计算安全要求》


2. 新风险分析

2.1 云环境安全

针对传统安全防火墙技术不能有效监控虚拟机流量的问题。业界有些公司使用VMware公司的API开发了虚拟安全分析器,以检测虚拟交换机流量——在虚拟层之上的网络层流量。相应地也出现了虚拟网络防火墙,这种防火墙基于虚拟机管理器,可认证有状态的虚拟防火墙,检查所有通过虚拟机的数据分组,组织所有未经批准的连接和允许对数据分组进行更深层次的检查,确保了虚拟机间部分通信的安全,但是对于虚拟机之间的攻击流量的特殊性,使用虚拟化厂商的网络流量分析已经无法解决这样的问题。

虚拟化技术是生成一个和真实系统行为一样的虚拟机器,虚拟机像真实操作系统一样,同样存在软件漏洞与系统漏洞。必须像对待真正的操作系统一样加固虚拟机,给程序不断地及时打补丁升级,以此来保证虚拟机的安全,同时宿主机的安全需要得到同等的关注。

传统杀病毒安全软件可以部署在虚拟机中解决虚拟机防病毒的问题,但传统的防病毒技术依靠已知病毒特征样本对所有文件进行详细的扫描与分析,准确率依赖于病毒样本库的覆盖面和规模,其效率受限于技术方案的局限性,往往会占用过多的物理机CPU、内存、网络资源,效果差强人意。

传统的防病毒软件可以一定程度的解决已知病毒、木马的威胁,但对于越来越多的APT攻击却束手无策。APT很多攻击行为都会利用0day漏洞进行网络渗透和攻击,且具有持续性及隐蔽性。此种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要针对大型企业、国家重要的基础设施或者具有核心利益的网络基础设施。由于APT特种木马的免疫行为,所以传统的防病毒软件以及安全控管措施和理念很难有效应对APT攻击。

由于云计算与虚拟化环境自身的特性,企业需要充分考虑虚拟化的引入为企业带来的相应的风险,根据各个风险点带来的问题及威胁建设针对性的防护方案,以保障企业数据的安全及业务系统的平稳运行。

2.2 移动安全

随着各类智能移动终端的快速普及以及移动互联网的快速发展,人们越来越感受到移动终端给人带来的便利。但近年来手机病毒增势迅猛,应用盗版猖獗,应用被不法分子恶意篡改、通过攻击移动端程序渗透到服务器系统导致用户信息泄露,用户资产被盗的例子举不胜举。

移动APP的互联性和易用性使其暴露在众多的网络安全风险和威胁之下,容易遭受到病毒、木马、蠕虫等恶意程序的攻击,攻击者能够通过移动APP的安全漏洞入侵应用服务器,获取企业及个人用户的敏感信息,或通过技术手段对应用程序进行篡改,植入广告、盗链及数据窃取等功能,甚至对交易数据进行篡改,直接造成用户和企业的经济损失,保护移动APP安全刻不容缓。

2.3 无线安全

无线网络所面临的威胁大体可分为两种:一是黑客通过无线攻击入侵企业内网,获取内网机密信息,或者影响企业无线网络的正常运行;二是内部员工有意或者无意间,通过无线网络把企业内部网络和外部网络连接起来。

具体分析如下几点:

2.3.1 员工私建热点

目前无线局域网接入点(WLAN APs)非常便宜﹑容易安装﹑小巧而容易携带。非法的 WLAN APs 可以无意地或者在 IT 管理人员无法察觉的情况下恶意地接入到企业网络,只需要把一个小巧的 WLAN APs 带到企业内部,然后连接到以太网接口上就行了。

私接无线 AP 是员工为了获得快速方便的无线接入而采用的典型方式,他们安装的 AP 几乎没有任何安全控制(例如:接入控制列表﹑Wire Equivalent 协议﹑802.1X, 802.11i等)。由于这些 AP 可以连接到网络中的任何以太网接口,也就可以无视已有的WLAN安全控制点(如Wi-Fi 交换机和防火墙)。私接 AP 的无线电覆盖无法被企业所在建筑物所完全屏蔽,非法用户这时就可以通过这些私接 AP 溢出的无线电覆盖连接到企业网络。不可见的电磁场使得管制这种意外活动变得很困难,即使察觉到他们的存在,找到他们同样很困难。

2.3.2 终端私连热点

终端不当连接就是企业内合法用户终端与外部 AP 建立连接。一些部署在工作区周围的AP 可能没有做任何安全控制,企业内的合法用户的 无线网卡就可能与这些外部 AP 建立连接。一旦这个客户端连接到外部 AP,企业内可信赖的网络就置身风险之中,外部不安全的连接通过这个客户端就接入到了你的网络。考虑到无线网络的安全状况,我们要防止合法用户与外部 AP 建立连接,进而导致内部信息外露的情况。

2.3.3 缺乏无线网络威胁监控手段

无线局域网逐渐被赋予传送重要应用的任务,这些应用包括:数据库接入、VOIP、email、web和会议。这些应用会被 DoS 攻击所破坏,造成网络瘫痪,阻挠用户接入并大幅降低系统性能。

无线局域网传输作为开放的传输介质,很容易被用来发动 DoS 攻击。此外,802.11 MAC 协议中的 soft spots 也是被用来作为发动 DoS 攻击的漏洞。例如以下的 DoS 攻击:authentication、association、de-authentication 或 disassociation flood、NAV attack、CTS flood、EAP and EAPOL message floods,这类就可以轻易发动而造成整个企业无线局域网络瘫痪。不幸的是,从因特网上可以轻易获得各种 DoS 工具,如:AirJack、FataJack、Void11、Fake AP等等。

2.3.4 缺乏无线网络安全评估手段

对于目前企业无线网络的安全性没有整体评估手段。

对于合法设备的安全性设置情况,如:是否启用了适当的加密手段、是否启用了适当的安全策略等。

无法得知在企业范围内,是否有私搭乱建的AP,有可能是员工在企业网内搭建的AP,也可能是有人恶意搭建的钓鱼AP。

无法得知企业的无线网络是否受到攻击和威胁,比如:企业的网络是否受到了DDoS攻击,是否有人在对合法AP进行暴力密码破解等。

2.4 新攻击模式

高级持续性威胁(Advanced Persistent Threat,简称APT)是一种可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。

针对伊朗核设施的“震网攻击”、针对跨过能源公司的“夜龙攻击”、针对Google邮件服务器的“极光攻击”、针对RSA SecureID的攻击、针对美国政府和国际组织的“暗鼠行动”、美国国家航空航天局(NASA)喷气推动实验室核心资料被窃取、韩国金融和电视媒体网络被大面积入侵而瘫痪,几乎所有的被曝光的APT攻击无一例外都是以入侵者的全面成功而结束,在这些已公开的APT攻击中,依靠传统安全设备的防御体系均被轻易绕过而失去防御能力。在某些APT攻击的案例(如震网攻击、夜龙攻击)中,传统安全防御设备甚至在长达数年的持续攻击中毫无察觉。无需过多讨论,APT攻击在事关各国民生命脉的能源、电力、金融、政治、军事、核设施等关键领域造成的史无前例,难以评估的严重损失的事实已经清楚告诉我们:传统安全设备无法抵御网络攻击的核武器:APT。

传统安全防御体系的框架一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。

从传统安全防御体系的设备和产品可以看到,这些产品遍布网络2 ~ 7层的数据分析,其中,与APT攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测IDS、IPS采用经典的CIDF检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。


3. 等保现状分析

综合来看,等保工作在随时间的推移,新技术的不断应用,新威胁的不断演变,导致等级保护面临的主要问题如下:

3.1 缺少后合规时代的风险处置能力

主要表现在合规工作完成后,没有对风险进行有效的抑制,导致安全问题一旦发生,就没有办法有效应对。

3.2 新技术带来的风险

新技术带来了业务、应用等方面的便利性,但同时也带来了等保旧标准中无法覆盖的风险控制,导致类似移动应用、APT攻击、边界失守的问题比较严重。

3.3 安全管理覆盖度低

新技术加大了安全管理层面的难度,使管理成本提升,人员队伍建设无法与时俱近,导致管理上的空白。

3.4 缺少有效的动态安全监控

传统安全管理体系中,监控技术各自为战,标准无法统一,新业务、系统上线又缺乏持续有效的监控,导致动态安全监控能力的缺失。

3.5 合规形式化、风险成本增加

有些系统为了合规而合规,等风险发生时,再临时应对,导致拆东墙补西墙,风险应对的成本不断增加。

为了解决后合规时代的等级保护建设工作,我们一是要符合等级保护标准;二是要有效应对风险。


4.等保建设新思路

4.1.等保理解

4.1.1.技术解读

等保的初衷是信息系统应进行等级化建设,按照等保基本要求、设计要求建立技术与管理体系,同时具备该安全等级下的安全保护能力。

360网神解读:以等级标准化为原则,通过互联网等领域所形成的新技术适当提升等保标准达成目标,同时强化风险应对(监测、预警、处置、溯源等)能力。

4.1.2.安全趋势

信息系统的安全不能仅靠本地化的安全设备进行单点防护,要依托安全情报的能力进行自我学习并改进;未来基于深度学习与分析的人工智能安全,将被动防御变为主动防御,从而提升信息系统的AI能力,主要表现为以下几点:

1、威胁情报:利用安全大数据、第三方情报综合而成,具有高价值、定位准的精确防御能力的信息。

2、联动防御:综合运用云安全、边界安全、终端安全三维一体的防护思路,将云、端、边界进行智能联动。

3、关联分析:利用云端情报,结合本地全量数据,实现对网络攻击事件的完整回溯。

4、主动感知:智能的动态安全防护策略,通过安全设备与情报的融合,达到主动感知的能力。

4.1.3.标准要求

围绕信息系统安全等级保护标准,结合信息系统的防护要求,将基本要求、设计要求和定级要求有效结合,形成三维度的立体防护模型。

1、安全技术能力:通过基本要求中的物理、网络、主机、应用、数据五大类控制项,结合设计要求的具体风险控制区域,形成信息系统的对抗能力、检测能力与恢复能力。

2、安全管理能力:建立安全管理制度,成立专业安全管理人员,从信息系统的建设与维护两大控制目标,进行可度量的安全管理。

3、安全目标:最终根据业务信息安全与业务服务安全达到我们的信息系统安全防护目标。

4.2.建设思路

4.2.1.思路转变

由于传统等保建设思路是按照基本要求进行差距分析,强调信息系统的各个技术控制点的单一防护措施,而且主要是以安全产品的特征码和规则库进行防护,缺少把控动态安全的能力,360网神对于等保建设的新思路如下:

1、基于等保被动防御,增加情报能力,风险防患于未然;

2、改变传统等保的单兵作战,安全态势感知与防御协同联动,提升防护效率,降低运维成本。

4.2.2.能力提升

信息系统的防护能力需要从多个维度进行提升,不仅依靠本地化的安全设备,同时需要动态的安全情报;有发现才有防护,有防护就会失效,基于安全新认知扩大了防护的概念;多维度本地防护体系的建立,结合云端安全大数据产生威胁情报,可形成针对性的智能等保生态防护圈。

1、预警能力

利用云端的威胁情报,互联网安全众测,态势感知能力,赋予信息系统预警的能力,能够从海量的安全大数据中精确判断攻击行为,提前保护信息系统的安全。

2、防护能力

将等级保护的安全技术控制措施,通过新技术产品进行替代并增强,同时结合云防护的能力,将整体的信息系统防护能力提升。

3、溯源能力

利用威胁情报与本地全量数据进行整合,通过可视化分析技术,快速定位安全风险,形成智能的安全管理中心。

4.2.3.风险控制全面

全面覆盖网络、主机、应用各层面控制要求,增强等保未覆盖的风险控制点,将信息系统的防护能力全面提升。


5.等保建设方案

5.1.等保战略规划框架

根据新技术应用、新攻击模式、新业务场景的风险分析,结合信息系统等级保护的建设方法,确定等保战略的新规划框架,该规划框架包含原有技术控制措施,增加新风险控制点,引入安全服务,使信息系统的风险应对能力增强。等保规划框架

战略规划框架包括在智能联动安全策略下的“风险处置体系”、“技术支撑体系”和“运营管理体系”三部分内容,在技术与管理的原有控制力度上各自增强10%,以达到全面增强的安全保障体系;本方案的具体设计将围绕这三部分内容进行阐述。

5.2.风险处置体系

5.2.1.事件通报

通过360云端安全大数据,监测信息系统的互联网出口信息,获得有效的攻击事件信息,将攻击事件自动化的通报给信息系统使用方,无需本地部署设施,即可获得针对信息系统攻击的事件信息。

5.2.2.网站预警

用于监控网站安全性与存活状态监控的子系统,采用云扫描与云多点探测的的技术,无需部署本地设备,即可发现目标网站存在的安全漏洞、挂马、暗链与网站的存活性与响应延迟等数据。

5.2.3.终端预警

针对信息系统使用单位的终端所感染的僵尸、木马、蠕虫、病毒进行有效发现与感知,通过云端搜集到的本单位互联网终端所感染的病毒木马等数据以及所掌握的恶意代码样本数据,结合本地流量样本、主机ip等信息,可以发现本单位终端的病毒与木马,并清晰绘制出本区域的感染范围等威胁态势。

5.2.4.APT预警

利用云端威胁情报结合本地流量探针,使用大数据分析的方法,可以有效感知本单位信息系统或终端存在的APT攻击与未知威胁,同时可以实现对APT攻击与未知威胁的追踪溯源。

5.2.5.事件处置

配合事件通报功能,将云端推送的攻击事件,采取一键式管理,选择相应的处置措施。

5.2.6.威胁情报

5.2.6.1.大数据

360公司对6亿PC终端和8亿移动终端实时保护产生了海量大数据,以及全球最大的IP、DNS、URL、文件黑白名单四大信誉数据库,拥有全球独一无二的安全大数据优势,同时可以对互联网上活跃的任何一次未被发现的攻击进行记录。

360目前在云端拥有海量的安全大数据如下:

DNS库拥有50亿DNS解析记录,每天新增100万; 样本库总样本95亿,每天新增900万;360 URL库每天处理100亿条,覆盖国内60%客户端;主防库,覆盖5亿客户端,总日志数50000亿条,每天新增100亿,给风险发现提供完全真实网络环境下的大量数据支撑。

5.2.6.2.数据处理

通过DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容,360天眼实验室在云端共搜集了200PB与安全相关的数据,并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段,PB级的搜索引擎的全网抓取数据、可视化的分析数据,以及其他多个维度的互联网大数据进行关联分析和历史检索,再结合一个专家运营团队不断的通过不同的攻击思路挖掘大量数据。依赖于以上不断运营,360天眼实验室掌握发现了国内最多的APT攻击组织信息、并不断的跟踪相关信息,海莲花(OceanLotus)报告便是其中成果。所有此类成果都是经过人工确认的准确结果,基本杜绝了误报的情况,同时360可以依赖于海量数据对攻击背景做出准确和充足的判定。

5.2.6.3.确认未知威胁 360无线安全研究院、360网络安全研究院、360网络攻防实验室、360漏洞研究实验室等以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知威胁的最终确认提供专业高水平的技术支撑,所有大数据分析出的未知威胁都会通过专业的人员进行人工干预,做到精细分析,确认攻击手段 攻击对象以及攻击的目的,通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码风格和不同攻击原理的同源木马程序,恶意服务器(C&C)等,通过全貌特征‘跟踪’攻击者,持续的发现未知威胁,最终确保发现的未知威胁的准确性。

5.2.6.4.情报交付

为了将360云端的攻击发现成果传递到企业侧,360将所有与企业信息系统攻击相关的信息,如攻击团体,恶意域名,受害者IP,恶意文件MD5等相关信息汇总,按照标准格式封装成威胁情报并通过加密通道推送到企业侧的威胁感知系统。威胁情报做为风险处置的核心内容承担了连接互联网信息和企业本地信息的重要作用,为信息系统使用单位提供了数据线索和定位依据。

5.3.技术支撑体系

5.3.1.物理安全

机房建设参照《电子信息系统机房设计规范》(GB50174-2008)标准,结合等级保护物理安全控制项的要求进行建设,本方案不作叙述。

5.3.2.网络安全

为了满足等级保护网络安全中的安全控制需求,结合新技术应用所带来的风险,需要部署安全设备,满足以下需求:

1.互联网边界及信息系统边界部署新一代智慧防火墙NSG3600,启用联动处理机制,同时对虚拟主机进行独立策略访问控制。

2.边界入侵防御机制,结合云端单向推送的威胁情报,天眼与NSG3600防火墙联动防御,同时提前感知;全流量审计,对信息系统和内网终端进行有效溯源。

3.无线边界防御天巡,主动探测钓鱼WIFI。

4.覆盖结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范;增强虚拟网络访问控制、云端主动感知入侵、无线边界防范。

5.3.2.1.智慧防火墙

360网神智慧防火墙基于强劲性能与先进的AMP+架构支撑,集成访问控制、用户授权访问、虚拟系统、行为管理、应用层综合安全防护等覆盖IPv4网络及IPv6网络的功能,并能与360天眼、天擎进行多项智能联动,形成云端感知、边界控制、终端协同的一体化防护平台体系。

5.3.2.2.天眼

360天眼新一代威胁感知系统(简称“天眼”)可基于360自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。同时结合部署在客户本地的软、硬件设备,360天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。

5.3.2.3.天巡

360无线入侵防御系统—天巡,基于无线入侵检测、无线数据分析、恶意热点阻断等先进技术,以守护无线网络边界为核心任务,构建“事前全面监测、事中精准阻断、事后全维追踪”的无线入侵防护体系,围绕无线网络环境中的关键设备即热点与终端,进行相应的安全措施增强,为用户提供切实落地可执行的无线网络边界安全解决方案。

5.3.2.4.部署示意图


5.3.3.主机安全

为了满足等级保护主机安全中的安全控制需求,结合新技术应用所带来的风险,需要部署安全产品,满足以下需求:

1.虚拟化主机防病毒、访问控制、虚拟漏洞补丁防护,虚拟机与物理机一体化平台管理。

2.移动终端、BYOD利用天机接入控制管理。

3.云环境下服务器主客体强制访问控制,认证授权,系统加固等管理。

4.覆盖身份鉴别、访问控制、安全审计、剩余信息保护、主机入侵防护、防病毒、资源控制;增强虚拟主机访问控制、身份鉴别,虚拟化层防护,虚拟化应用风险检测,虚拟与物理服务器一体化平台,移动终端管控。

5.3.3.1.虚拟化管理系统

360虚拟化安全管理系统是一款针对于云数据中心的虚拟化安全管理系统,可对物理资源池、虚拟资源池、云资源池进行统一的安全防护与集中管理,对宿主机、虚拟机、虚拟机应用提供三层防护安全架构,具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容防护能力。在虚拟化环境中出现的病毒风暴、安全域混乱、宿主机安全、虚拟机之间攻击等问题,360虚拟化安全管理系统都可提供行之有效的解决办法。最终为用户提供一套可跨多种平台、防护无死角的综合虚拟化安全解决方案。

5.3.3.2.天机移动终端管理

360天机移动终端安全管理系统(以下简称“360天机”)是奇虎360公司基于移动终端安全所发布的一套面向企业的移动安全解决方案,能够有效地监测和管理移动终端的使用情况,保障终端数据的安全,提高自带设备用户的使用体验和工作效率。

该产品充分的利用了360多年来在安全领域的技术积累,以及多年来在互联网产品中摸索的成果,充分的结合了360手机卫士,360云盘,360手机桌面,360文件管理器,360通讯录和360手机助手等产品亮点,加上最新研发的国内领先的公私隔离与安全技术以及国际领先的应用集成等技术,形成了一套全面且强大的移动终端安全管理系统。

5.3.3.3.部署示意图


5.3.4.应用安全

为了满足等级保护应用安全中的安全控制需求,结合新技术应用所带来的风险,需要部署安全产品,满足以下需求:

1.企业APP检测与加固服务,减少新应用的安全风险,使移动应用能够及时监测与管理;

2.按照应用安全控制项进行自定义合规源代码检测,保障应用系统上线前的源码安全;

3.利用智能黑盒测试鹰眼,定时进行扫描检测,发现风险及时补救;

4.依托互联网众测服务,将信息系统对外服务不定时的安全人工检测。

5.3.4.1.APP加固

360加固保(APP加固)是基于360核心加密技术,给安卓应用进行加密、加壳保护的安全技术产品,可保护应用远离恶意破解、反编译、二次打包,内存抓取等威胁,同时给应用提供数据加密、签名校验、防内存修改、完整性校验、应用安全检测等保护。

此产品采用多项360核心加密技术,对应用程序深度加密处理,独有的程序文字信息加密功能,能有效防止应用被反编译和恶意篡改和,保护应用不被二次打包,保护数据信息不会被黑客窃取。

5.3.4.2.代码卫士

360代码卫士(以下简称“代码卫士”)是奇虎360公司基于多年源代码安全实践经验开发的新一代源代码安全保障方案,包括了源代码安全缺陷分析系统(WAS-5100)、源代码合规分析系统(WAS-5200)、源代码溯源分析系统(WAS-5300)及代码安全保障系统(WAS-5500)四个产品。代码卫士面向组织源代码安全需求,在对源代码进行高精度安全缺陷分析及溯源检测的基础上,还可与源代码版本管理系统 (如Svn、Git)、缺陷管理系统(如Bugzilla)等进行无缝对接,以最小代价帮助组织实现源代码安全的可视化管理,大幅提升的软件安全质量。

5.3.4.3.鹰眼

鹰眼WEB安全智能监控系统(以下简称:鹰眼WSIMS)是360公司面向企业客户推出的能够进行网站漏洞检测和未备案网站发现的安全产品。它采用流量监听技术,可自动获取已知站点,在不影响网络性能和网络拓扑的情况下,对网络中所有被访问的页面进行漏洞检测,同时可监控未知站点及孤岛页面的存在,做到网站的全量发现、全面检测,大幅提高网站服务的安全水平。

5.3.4.4.互联网众测

360众测是补天漏洞响应平台为企业量身打造的安全测试服务平台,依托于补天积累多年的白帽子资源和丰富的企业服务经验,在得到企业授权前提下,集结精英白帽子对企业进行专业的漏洞检测,检测结束提供专业详实的修复方案,让企业快速排除漏洞安全隐患,迅速提升安全防护能力。

5.3.4.5.部署示意图


5.3.5.数据安全

本方案中数据安全部分不作叙述。

5.4.运营管理体系

5.4.1.制度与人员管理


信息安全领导小组是由企业主管领导牵头,各部门的负责人为组成成员的组织机构,主要负责批准信息系统安全策略、分配安全责任并协调安全策略能够实施,确保安全管理和建设有一个明确的方向,从管理层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下:

1)确定网络与信息安全工作的总体方向、总体原则和安全工作方法;

2)审查并批准信息安全策略和安全责任;

3)分配和指导安全管理总体职责与工作;

4)在网络与信息面临重大安全风险时,监督控制可能发生的重大变化;

5)对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信息系统更改等)进行决策;

6)指挥、协调、督促并审查重大安全事件的处理,并协调改进措施;

7)审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安全管理措施出台等。

5.4.2.系统建设管理

为了规范信息系统建设,信息系统需要建立符合等级保护控制要求的流程,以规范信息系统建设的整个过程:定级、规划、设计、开发、部署、交付验收,能够通过技术手段解决管理上的问题,降低管理上的成本,因此需要满足以下需求:

1.系统规划阶段:按照系统的定级标准,自定义相应等级的控制检测要求,进行自动化的检测;

2.系统设计阶段:能够按照规划中的安全需求,自动化的检测系统的安全问题;

3.系统开发阶段:自动检测开发人员编写的源码安全问题,并出具整改建议;

4.系统发布阶段:采用白盒测试与黑盒测试(鹰眼)相结合,检测出风险并给出整改指导建议。

5.4.3.系统运行管理

信息系统的安全运维一直是等级保护管理过程中重要的工作,如何能够持续、安全、统一、智能的安全管理是运维阶段的重要环节,因此通过威胁发现、持续性内外部态势感知、分析溯源、联动处置和安全运维是提升管理能力的有效方法,部署内部的安全管理中心(NGSOC),需满足以下需求:

1.能够对资产进行自动关联并管理,对网络结构实时监控,发生变更及时告警;对系统的权限、配置、日志能够有效管理;同时能够集中管理安全策略;

2.能够基于威胁情报及时发现高级持续性威胁,对规则与数据流能够自动关联分析,以发现安全风险;

3.持续监控内部的动态安全风险,关联服务、漏洞、威胁、资产的状态;对外部开放的服务能够持续的感知漏洞与攻击;

4.提供可视化的分析界面,能够基于搜索技术进行关联分析,以最快速的发现问题;

5.联动边界网关、终端进行智能的拦截并处置;自动优化安全策略并给出安全建议。

5.5.整体安全示意图

依托360云端安全大数据,生产出高质量的威胁情报,同时对互联网上的安全事件与本企业信息系统对外服务进行关联;采用分层分级防护,从外而内,联动防御机制,智能化的安全管理中心。

5.6.安全服务

5.6.1.等保咨询

提供业内最权威的等保一站式咨询服务,从定级、备案、整改、测试、监督检查五个规定流程上给予最全面的咨询支持,帮助企业达到等级保护的测试要求,降低安全风险。

5.6.2.安全评估

通过业内权威的安全评估工具,能够配合电力监控系统在业务开展过程中所遇到的各类安全问题的检查,主要通过安全漏洞扫描、网络层评估、系统层评估、应用层评估等维度来实现评估的测试,能够有效的避免安全风险的发生。

安全漏洞扫描:通过评估工具,智能扫描已选范围的主机、网络、中间件等基础IT设备,根据漏洞库评估高中低风险,进行有效的加固。

源代码审计:通过源代码白盒测试工具,可自动识别电力监控系统源代码级别的安全缺陷并进行定位,进而提高系统的安全性。

网络层评估:主要包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全,入侵检测的手段等。

系统层评估:针对各类系统的评估,包括UNIX系列、Linux系列、Windows NT系列以及专用操作系统等。安全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是操作系统的安全配置存在问题。

应用层评估:主要考虑应用软件和数据的安全性,包括:数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。

5.6.3.渗透测试

业务系统上线如不进行必要的人工测试,将会带来潜在的安全风险,360的渗透测试团队拥有丰富的渗透经验,可以协助信息系统完成各类业务合作过程中的安全测试工作。

渗透测试,也叫白客攻击测试,它是一种从攻击者的角度来对主机系统和应用系统的安全程度进行安全评估的手段,在对现有信息系统不造成任何损害的前提下,模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显,直观的结果来反映出系统的安全现状。该手段已受到国际/国内信息安全业界的认可和重视。为了解主机系统和应用系统的安全现状,在许可和控制的范围内,将对主机系统和应用系统进行渗透测试。

渗透测试主要依据已经发现的安全漏洞,模拟入侵者的攻击方法对系统(包括主机系统和应用系统等)和网络进行非破坏性质的攻击性测试。

由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的系统造成严重的影响。在渗透测试结束后,系统与测试之前将基本保持一致。

5.6.4.响应恢复

为了更好的保障信息系统运行过程的安全风险,360将安排专业的安全专家负责现场处理安全问题,一旦出现紧急安全问题,将根据用户需求到达现场。应急响应是紧急处理解客户现场的问题,对发现的问题进行分析。

目前,应急响应服务的典型方式是将工作分为以下六部分内容开展:

· 准备:基于威胁建立一组合理的防御及控制措施、资源与流程等;

· 检测:确认安全事件状态,并开展检查、分析、评估与备份等操作;

· 抑制:基于威胁建立一组合理的防御/控制措施;

· 根除:安全事件被抑制后,找出事件根源并彻底根除,即根除事件的原因;

· 恢复:把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态;

· 跟踪:回顾事件处理过程,总结经验教训,为管理或法律目的收集损失统计信息,并完善、补充的应急计划。


6.方案建设效果

通过本方案的安全建设,可使信息系统的整体防护能力得到较大的提升,在满足等级保护要求的同时,取得以下建设效果:

1) 全面覆盖等保关键技术点,多10%的技术能力,风险应对能力提升100%,适应多种项目环境,可裁剪量身定制各类等保的项目需求;

2) 解决了云环境、移动环境等合规问题,有效应对新技术应用下的安全风险,使企业的业务效率提升,安全风险降低;

3) 更少的投入安全产品,得到更多的安全保障,使企业管理者更加的安心,纵容的面对各类安全问题;

4) 等级保护旧规新建,内外兼防,有效提升了信息系统的整体防护能力;

5) 纵深联动防御,云、端、边界三维一体联动,覆盖监测、预警、防护、溯源由外而内纵深防护;云端大数据,本地全量数据,见微更见广。

6) 网神下一代安全管理系统NGSOC,满足了整体性安全运营管理的要求,并实现综合告警以及日志审计。

7) 采用源代码白盒测试+黑盒测试工具,解决了信息系统源代码层面的安全合规与风险问题。

8) 以威胁情报、NGSOC为核心,依托360网神智慧防火墙、天眼、虚拟化安全管理系统、天擎、鹰眼、天巡、代码卫士等,以及专业的安全服务,形成了信息系统防护智能生态安全圈。

  • 最佳实践
  • 相关产品