融媒體網絡安全體系建設方案

融媒體網絡安全體系建設方案目錄Contents科學規(guī)劃注重運營以戰(zhàn)促建縱深信任科學規(guī)劃01現狀：網絡安全舊常態(tài)被動的圍墻式防護思路無法應對復雜的高級威脅；強調在線檢測與實時防御，忽視了提前預警的安全價值；忽視日常安全服務的作用，出了問題才想到應急；很少去想一旦防不住該怎么辦，缺少容災、止損與恢復能力。現狀-網絡空間攻擊新態(tài)勢關鍵基礎設施攻擊勒索攻擊、敏感數據竊取，直接威脅國家穩(wěn)定和經濟運行網絡犯罪個人信息濫用，數據泄露、網絡詐騙，數據竊取國家對抗和網絡空間利益重新劃分商業(yè)利益訴求和恐怖破壞目的交織，高智商利用高技術集團化對抗升級網絡安全等級保護2.0，監(jiān)督力度逐漸加強體系結構安全技術要求安全管理要求物理安全網絡安全主機安全應用安全數據安全安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理安全物理環(huán)境安全通信網絡安全區(qū)域邊界安全計算環(huán)境安全管理中心安全管理制度安全管理機構安全管理人員安全建設管理安全運維管理2019.05.10“等保2.0”2017.06.01從合規(guī)到合法一個中心三重防御擴展要求可信計算新合規(guī)要求與新技術環(huán)境下，傳統(tǒng)網絡安全體系存在的問題隨著網絡攻擊的打擊目標、武器、戰(zhàn)術等發(fā)生本質變化，目前的防護體系已經不能應對復雜的形勢；宏觀上缺少全局洞察和集中管控，導致防護對象“碎片化”;微觀上“創(chuàng)可貼”式的建設，導致安全產品堆砌、防護失衡；云計算、大數據等新技術應用改變了信息化和業(yè)務環(huán)境，帶來了新的安全威脅，但很多關鍵信息基礎設施單位采用的還是傳統(tǒng)的安全防護理念和技術手段。欠缺應對多樣化、高級威脅的能力宏觀還不成體系、微觀還不成系統(tǒng)還沒有很好地適應新IT技術和應用關口前移，基于等保2.0開展網絡安全規(guī)劃和體系設計同步規(guī)劃同步建設同步運營基于動態(tài)防御的安全技術體系基于風險治理的安全管理體系安全計算環(huán)境基于數據驅動的安全運營體系安全管理人員安全管理制度安全管理中心基于三同步的安全體系規(guī)劃平臺安全通信網絡安全區(qū)域邊界安全基礎設施安全法律法規(guī)安全物理環(huán)境防護檢測響應識別移動互聯安全安全建設管理安全管理機構安全運維/運行管理網絡安全等級保護政策標準物聯網安全工控系統(tǒng)安全大數據安全應用數據云計算安全等級保護建設不只是為了應對合規(guī)，更要重視安全效果，效果決定價值等保2.0時代，安全體系建設必須和新一代的信息化系統(tǒng)實現深度融合，全面覆蓋，從而構建創(chuàng)新的安全體系網絡安全是動態(tài)的，不是靜態(tài)的安全能力從“防范”為主轉向“快速檢測和響應能力”的構建安全防護從“個體或單個組織”的防護，轉變?yōu)椤鞍踩閳篁寗印钡男畔⒐蚕?、集體協作方式預測防御監(jiān)控回溯縮小受攻擊面縮短停擺時間高效分析處置采取預防措施鞏固“城防”體系構建“塔防”體系失陷主機檢測全局威脅感知線索關聯、拓展一鍵隔離、阻斷利用情報預知新威脅“免疫”Gartner:自適應安全架構新防御體系的指導思想邁向積極防御鞏固防線縱深新防御體系消耗攻擊資源遲滯入侵成功持續(xù)監(jiān)測分析及時預警處置SANSInstitute:TheSlidingScaleofCyberSecurity安全能力的疊加演進：網絡安全滑動標尺依賴進化注重運營02安全運營三要素數據+平臺+團隊大數據時代安全防護的“三位能力”系統(tǒng)數據情報以“數據驅動安全”為核心構建“三位能力”系統(tǒng)終端安全移動安全邊界安全云安全內容安全網站安全工控安全無線安全安全治理態(tài)勢感知安全運營威脅情報中心補天漏洞平臺云安全中心大數據中心高位能力“大腦”中位能力“心臟”低位能力“五官和四肢”應急響應防火墻設備終端安全軟件服務器防護軟件上網行為管理/郵件網關被阻止的郵件或Web攻擊郵件元數據

源郵件服務器識別Web訪問歷史紀錄進出郵件的附件信息網關安全配置信息被阻止的攻擊行為網絡連接行為成功/失敗的登陸進程的具體行為終端的合規(guī)狀態(tài)終端安全配置信息被阻止的攻擊行為網絡連接行為成功/失敗的登陸敏感的文件訪問進程的具體行為終端安全配置信息被阻止的連接進出網絡的流量協議隧道活動數據進出網絡的總量涉及云端App的訪問防火墻軟件設置企業(yè)本地安全大數據分析平臺低位：讓每一類安全措施同時作為數據源中位：形成本地運營中心高位：以威脅情報驅動防御／檢測分析／響應預防戰(zhàn)術情報MRTI運營情報C&C：內網主機失陷檢測IP信譽：互聯網服務器防護文件信譽：主機內容檢測威脅分析平臺：報警分析、定性分析、關聯分析事件/漏洞預警通告針對攻擊發(fā)起方的攻擊目的危害/范圍怎么攻/怎么防戰(zhàn)略情報大數據時代下面臨的網絡安全新威脅大數據時代的安全需要“三位能力”的協同專業(yè)化服務團隊數據、平臺、人構成的安全運營體系以戰(zhàn)促建03實戰(zhàn)型攻防演習常態(tài)化明確目標系統(tǒng)，不限制攻擊路徑，以提權、控制業(yè)務、獲取數據為最終目的旁站攻擊（內部攻擊）WEB滲透暴力破解操作提權實戰(zhàn)型攻防演習的意義認清現狀！明確重點！保障進階！面對有組織攻擊，防護體系效果如何、系統(tǒng)安全現狀怎樣明確主要問題，在有限的時間和資源情況下，重點解決關鍵問題以實戰(zhàn)為目標，梳理安全監(jiān)管、安全運營工作，真正意義的應對實際發(fā)生的有組織攻擊攻擊者的流程1情報收集2建立據點3橫向移動組織架構包括單位部門劃分、人員信息、工作職能、下屬單位等；IT資產包括域名、IP地址、C段、開放端口、運行服務、WEB中間件、WEB應用、移動應用、網絡架構等；敏感信息泄露包括代碼泄露、文檔信息泄露、郵箱信息泄露、歷史漏洞泄露信息等；供應商信息包括相關合同、系統(tǒng)、軟件、硬件、代碼、服務、人員等相關信息。目標相關人員信息和組織架構，實施魚叉攻擊或確定橫縱向滲透路徑；IT資產信息，為漏洞發(fā)現和利用提供數據支撐；供應商信息，為開展供應鏈攻擊提供素材。找到薄弱環(huán)節(jié)后，攻擊者會嘗試利用漏洞或社工等方法去獲取外網系統(tǒng)控制權限，一般稱之為“打點”或撕口子。通過frp、ewsocks、reGeorg等代理工具建立隧道，形成從外網到內網的跳板，將它作為實施內網滲透的據點。在內網漫游過程中，攻擊者會開展進一步信息收集和情報刺探工作，重點關注郵件服務器權限、OA系統(tǒng)權限、版本控制服務器權限、集中運維管理平臺權限、統(tǒng)一認證系統(tǒng)權限、域控權限等位置，嘗試突破核心系統(tǒng)權限、控制核心業(yè)務、獲取核心數據，最終完成目標突破工作。攻擊者的常用手段1利用弱口令獲得權限2利用社工來進入內網3用旁路攻擊實施滲透弱密碼、默認密碼、通用密碼和已泄露密碼通常是攻擊者關注的重點。實際工作中，通過脆弱口令獲得權限的情況占據90%以上。發(fā)送釣魚郵件、通過客服系統(tǒng)、聊天軟件、電話等方式也能取得不錯的效果。攻擊者會利用企業(yè)中不太懂安全的員工來打開局面，例如給法務人員發(fā)律師函、給人力資源人員發(fā)簡歷、給銷售人員發(fā)采購需求等等。有時總部的網站防守得較為嚴密，攻擊者很難直面硬鋼，撬開進入內網的大門。此種情況下，通常攻擊者不會去硬攻城門，而是會想方設法去找“下水道”，或者挖地道去迂回進攻，如將攻擊目標轉移至有專網互聯的子公司。實戰(zhàn)攻防演習的作用-樹立正確的網絡安全觀四個假設系統(tǒng)一定有沒被發(fā)現的漏洞一定有已發(fā)現漏洞沒打補丁系統(tǒng)已被黑一定有內鬼四新戰(zhàn)略新戰(zhàn)具：第三代網絡安全技術新戰(zhàn)力：數據驅動安全新戰(zhàn)術：零信任架構新戰(zhàn)法：人+機器安全運營三位一體高位能力中位能力低位能力三同步同步規(guī)劃同步建設同步運營三方制衡用戶IT服務商安全公司以“四個假設”為前提進行保障以“四新戰(zhàn)略”為原則設計關基安全方案以“三位一體”方法搭建關基安全體系以“三同步”思想做好關基的體系化保障以“三方制衡”機制構建綜合高效系統(tǒng)迅速開展相關工作盡快啟動準備工作，提前準備，提前部署；

確認目標系統(tǒng)，落實防守范圍；

建設組織、職責，制定具體工作計劃；

設備類查缺補漏，工具、平臺引入，建設實戰(zhàn)武器庫；

引入技術支撐機構；先組織一次攻防演習，摸底看短板；

防守工具包流量監(jiān)測分析各類日志檢測域控安全監(jiān)測流量攻擊監(jiān)測主機安全監(jiān)測郵箱安全監(jiān)測木馬后門監(jiān)測內網攻擊行為誘捕準備階段安全自查整改攻防預演重點防守縱深信任04典型場景：新IT基礎設施下的大數據業(yè)務安全防護X部門X部門X部門…物理隔離物理隔離物理隔離網絡隔離/數據隔離網絡打通、數據融合、數據共享業(yè)務業(yè)務訪問終端用戶業(yè)務終端用戶業(yè)務訪問業(yè)務終端用戶業(yè)務訪問業(yè)務終端用戶業(yè)務訪問部省終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶DC1DC5DC2DC6DC3DC4多云混合IaaS平臺大數據DaaS平臺市訪問控制權限、內部人員威脅零信任架構—以身份為中心的動態(tài)可信訪問控制應該假設網絡始終存在外部威脅和內部威脅，僅通過網絡位置來評估信任是不夠的。默認情況下不應該信任網絡內部或外部的任何人/設備/系統(tǒng)，而是基于認證和授權重構業(yè)務訪問控制的信任基礎。每個設備、用戶的業(yè)務訪問都應該被認證、授權和加密。訪問授權應該是動態(tài)的，基于設備和用戶的多源環(huán)境數據計算出來。John

KindervagBeyondCorp項目完成，在超大型網絡中率先實現零信任。業(yè)界廠商大力跟進2009~20102011~2017NOW以網絡為中心以身份為中心零信任架構的核心特性1.以身份為中心為網絡中的人、設備、應用都賦予邏輯身份，并基于身份進行細粒度的權限設置和判定。2.業(yè)務安全訪問業(yè)務隱藏，所有的訪問請求（應用、接口等）都應該被認證、授權和加密。3.持續(xù)信任評估一次認證無法保證訪問主體的持續(xù)可信度，需對終端、用戶等訪問主體持續(xù)進行風險感知和度量。4.動態(tài)訪問控制訪問權限不是靜態(tài)的，而是根據主體屬性、客體屬性、環(huán)境屬性和持續(xù)的信任評估結果進行動態(tài)計算和判定。身份是新邊界少量的靜態(tài)的物理的網絡安全邊界大量的動態(tài)的虛擬的身份安全邊界零信任身份安全架構總結網絡安全體系建設三同步網絡設計資源池設計管理設計“規(guī)劃”階段業(yè)務評估業(yè)務遷移“建設”階