融媒體網(wǎng)絡(luò)安全體系建設(shè)方案

融媒體網(wǎng)絡(luò)安全體系建設(shè)方案目錄Contents科學(xué)規(guī)劃注重運(yùn)營以戰(zhàn)促建縱深信任科學(xué)規(guī)劃01現(xiàn)狀：網(wǎng)絡(luò)安全舊常態(tài)被動(dòng)的圍墻式防護(hù)思路無法應(yīng)對(duì)復(fù)雜的高級(jí)威脅；強(qiáng)調(diào)在線檢測與實(shí)時(shí)防御，忽視了提前預(yù)警的安全價(jià)值；忽視日常安全服務(wù)的作用，出了問題才想到應(yīng)急；很少去想一旦防不住該怎么辦，缺少容災(zāi)、止損與恢復(fù)能力。現(xiàn)狀-網(wǎng)絡(luò)空間攻擊新態(tài)勢(shì)關(guān)鍵基礎(chǔ)設(shè)施攻擊勒索攻擊、敏感數(shù)據(jù)竊取，直接威脅國家穩(wěn)定和經(jīng)濟(jì)運(yùn)行網(wǎng)絡(luò)犯罪個(gè)人信息濫用，數(shù)據(jù)泄露、網(wǎng)絡(luò)詐騙，數(shù)據(jù)竊取國家對(duì)抗和網(wǎng)絡(luò)空間利益重新劃分商業(yè)利益訴求和恐怖破壞目的交織，高智商利用高技術(shù)集團(tuán)化對(duì)抗升級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0，監(jiān)督力度逐漸加強(qiáng)體系結(jié)構(gòu)安全技術(shù)要求安全管理要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理2019.05.10“等保2.0”2017.06.01從合規(guī)到合法一個(gè)中心三重防御擴(kuò)展要求可信計(jì)算新合規(guī)要求與新技術(shù)環(huán)境下，傳統(tǒng)網(wǎng)絡(luò)安全體系存在的問題隨著網(wǎng)絡(luò)攻擊的打擊目標(biāo)、武器、戰(zhàn)術(shù)等發(fā)生本質(zhì)變化，目前的防護(hù)體系已經(jīng)不能應(yīng)對(duì)復(fù)雜的形勢(shì)；宏觀上缺少全局洞察和集中管控，導(dǎo)致防護(hù)對(duì)象“碎片化”;微觀上“創(chuàng)可貼”式的建設(shè)，導(dǎo)致安全產(chǎn)品堆砌、防護(hù)失衡；云計(jì)算、大數(shù)據(jù)等新技術(shù)應(yīng)用改變了信息化和業(yè)務(wù)環(huán)境，帶來了新的安全威脅，但很多關(guān)鍵信息基礎(chǔ)設(shè)施單位采用的還是傳統(tǒng)的安全防護(hù)理念和技術(shù)手段。欠缺應(yīng)對(duì)多樣化、高級(jí)威脅的能力宏觀還不成體系、微觀還不成系統(tǒng)還沒有很好地適應(yīng)新IT技術(shù)和應(yīng)用關(guān)口前移，基于等保2.0開展網(wǎng)絡(luò)安全規(guī)劃和體系設(shè)計(jì)同步規(guī)劃同步建設(shè)同步運(yùn)營基于動(dòng)態(tài)防御的安全技術(shù)體系基于風(fēng)險(xiǎn)治理的安全管理體系安全計(jì)算環(huán)境基于數(shù)據(jù)驅(qū)動(dòng)的安全運(yùn)營體系安全管理人員安全管理制度安全管理中心基于三同步的安全體系規(guī)劃平臺(tái)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全基礎(chǔ)設(shè)施安全法律法規(guī)安全物理環(huán)境防護(hù)檢測響應(yīng)識(shí)別移動(dòng)互聯(lián)安全安全建設(shè)管理安全管理機(jī)構(gòu)安全運(yùn)維/運(yùn)行管理網(wǎng)絡(luò)安全等級(jí)保護(hù)政策標(biāo)準(zhǔn)物聯(lián)網(wǎng)安全工控系統(tǒng)安全大數(shù)據(jù)安全應(yīng)用數(shù)據(jù)云計(jì)算安全等級(jí)保護(hù)建設(shè)不只是為了應(yīng)對(duì)合規(guī)，更要重視安全效果，效果決定價(jià)值等保2.0時(shí)代，安全體系建設(shè)必須和新一代的信息化系統(tǒng)實(shí)現(xiàn)深度融合，全面覆蓋，從而構(gòu)建創(chuàng)新的安全體系網(wǎng)絡(luò)安全是動(dòng)態(tài)的，不是靜態(tài)的安全能力從“防范”為主轉(zhuǎn)向“快速檢測和響應(yīng)能力”的構(gòu)建安全防護(hù)從“個(gè)體或單個(gè)組織”的防護(hù)，轉(zhuǎn)變?yōu)椤鞍踩閳?bào)驅(qū)動(dòng)”的信息共享、集體協(xié)作方式預(yù)測防御監(jiān)控回溯縮小受攻擊面縮短停擺時(shí)間高效分析處置采取預(yù)防措施鞏固“城防”體系構(gòu)建“塔防”體系失陷主機(jī)檢測全局威脅感知線索關(guān)聯(lián)、拓展一鍵隔離、阻斷利用情報(bào)預(yù)知新威脅“免疫”Gartner:自適應(yīng)安全架構(gòu)新防御體系的指導(dǎo)思想邁向積極防御鞏固防線縱深新防御體系消耗攻擊資源遲滯入侵成功持續(xù)監(jiān)測分析及時(shí)預(yù)警處置SANSInstitute:TheSlidingScaleofCyberSecurity安全能力的疊加演進(jìn)：網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺依賴進(jìn)化注重運(yùn)營02安全運(yùn)營三要素?cái)?shù)據(jù)+平臺(tái)+團(tuán)隊(duì)大數(shù)據(jù)時(shí)代安全防護(hù)的“三位能力”系統(tǒng)數(shù)據(jù)情報(bào)以“數(shù)據(jù)驅(qū)動(dòng)安全”為核心構(gòu)建“三位能力”系統(tǒng)終端安全移動(dòng)安全邊界安全云安全內(nèi)容安全網(wǎng)站安全工控安全無線安全安全治理態(tài)勢(shì)感知安全運(yùn)營威脅情報(bào)中心補(bǔ)天漏洞平臺(tái)云安全中心大數(shù)據(jù)中心高位能力“大腦”中位能力“心臟”低位能力“五官和四肢”應(yīng)急響應(yīng)防火墻設(shè)備終端安全軟件服務(wù)器防護(hù)軟件上網(wǎng)行為管理/郵件網(wǎng)關(guān)被阻止的郵件或Web攻擊郵件元數(shù)據(jù)

源郵件服務(wù)器識(shí)別Web訪問歷史紀(jì)錄進(jìn)出郵件的附件信息網(wǎng)關(guān)安全配置信息被阻止的攻擊行為網(wǎng)絡(luò)連接行為成功/失敗的登陸進(jìn)程的具體行為終端的合規(guī)狀態(tài)終端安全配置信息被阻止的攻擊行為網(wǎng)絡(luò)連接行為成功/失敗的登陸敏感的文件訪問進(jìn)程的具體行為終端安全配置信息被阻止的連接進(jìn)出網(wǎng)絡(luò)的流量協(xié)議隧道活動(dòng)數(shù)據(jù)進(jìn)出網(wǎng)絡(luò)的總量涉及云端App的訪問防火墻軟件設(shè)置企業(yè)本地安全大數(shù)據(jù)分析平臺(tái)低位：讓每一類安全措施同時(shí)作為數(shù)據(jù)源中位：形成本地運(yùn)營中心高位：以威脅情報(bào)驅(qū)動(dòng)防御／檢測分析／響應(yīng)預(yù)防戰(zhàn)術(shù)情報(bào)MRTI運(yùn)營情報(bào)C&C：內(nèi)網(wǎng)主機(jī)失陷檢測IP信譽(yù)：互聯(lián)網(wǎng)服務(wù)器防護(hù)文件信譽(yù)：主機(jī)內(nèi)容檢測威脅分析平臺(tái)：報(bào)警分析、定性分析、關(guān)聯(lián)分析事件/漏洞預(yù)警通告針對(duì)攻擊發(fā)起方的攻擊目的危害/范圍怎么攻/怎么防戰(zhàn)略情報(bào)大數(shù)據(jù)時(shí)代下面臨的網(wǎng)絡(luò)安全新威脅大數(shù)據(jù)時(shí)代的安全需要“三位能力”的協(xié)同專業(yè)化服務(wù)團(tuán)隊(duì)數(shù)據(jù)、平臺(tái)、人構(gòu)成的安全運(yùn)營體系以戰(zhàn)促建03實(shí)戰(zhàn)型攻防演習(xí)常態(tài)化明確目標(biāo)系統(tǒng)，不限制攻擊路徑，以提權(quán)、控制業(yè)務(wù)、獲取數(shù)據(jù)為最終目的旁站攻擊（內(nèi)部攻擊）WEB滲透暴力破解操作提權(quán)實(shí)戰(zhàn)型攻防演習(xí)的意義認(rèn)清現(xiàn)狀！明確重點(diǎn)！保障進(jìn)階！面對(duì)有組織攻擊，防護(hù)體系效果如何、系統(tǒng)安全現(xiàn)狀怎樣明確主要問題，在有限的時(shí)間和資源情況下，重點(diǎn)解決關(guān)鍵問題以實(shí)戰(zhàn)為目標(biāo)，梳理安全監(jiān)管、安全運(yùn)營工作，真正意義的應(yīng)對(duì)實(shí)際發(fā)生的有組織攻擊攻擊者的流程1情報(bào)收集2建立據(jù)點(diǎn)3橫向移動(dòng)組織架構(gòu)包括單位部門劃分、人員信息、工作職能、下屬單位等；IT資產(chǎn)包括域名、IP地址、C段、開放端口、運(yùn)行服務(wù)、WEB中間件、WEB應(yīng)用、移動(dòng)應(yīng)用、網(wǎng)絡(luò)架構(gòu)等；敏感信息泄露包括代碼泄露、文檔信息泄露、郵箱信息泄露、歷史漏洞泄露信息等；供應(yīng)商信息包括相關(guān)合同、系統(tǒng)、軟件、硬件、代碼、服務(wù)、人員等相關(guān)信息。目標(biāo)相關(guān)人員信息和組織架構(gòu)，實(shí)施魚叉攻擊或確定橫縱向滲透路徑；IT資產(chǎn)信息，為漏洞發(fā)現(xiàn)和利用提供數(shù)據(jù)支撐；供應(yīng)商信息，為開展供應(yīng)鏈攻擊提供素材。找到薄弱環(huán)節(jié)后，攻擊者會(huì)嘗試?yán)寐┒椿蛏绻さ确椒ㄈカ@取外網(wǎng)系統(tǒng)控制權(quán)限，一般稱之為“打點(diǎn)”或撕口子。通過frp、ewsocks、reGeorg等代理工具建立隧道，形成從外網(wǎng)到內(nèi)網(wǎng)的跳板，將它作為實(shí)施內(nèi)網(wǎng)滲透的據(jù)點(diǎn)。在內(nèi)網(wǎng)漫游過程中，攻擊者會(huì)開展進(jìn)一步信息收集和情報(bào)刺探工作，重點(diǎn)關(guān)注郵件服務(wù)器權(quán)限、OA系統(tǒng)權(quán)限、版本控制服務(wù)器權(quán)限、集中運(yùn)維管理平臺(tái)權(quán)限、統(tǒng)一認(rèn)證系統(tǒng)權(quán)限、域控權(quán)限等位置，嘗試突破核心系統(tǒng)權(quán)限、控制核心業(yè)務(wù)、獲取核心數(shù)據(jù)，最終完成目標(biāo)突破工作。攻擊者的常用手段1利用弱口令獲得權(quán)限2利用社工來進(jìn)入內(nèi)網(wǎng)3用旁路攻擊實(shí)施滲透弱密碼、默認(rèn)密碼、通用密碼和已泄露密碼通常是攻擊者關(guān)注的重點(diǎn)。實(shí)際工作中，通過脆弱口令獲得權(quán)限的情況占據(jù)90%以上。發(fā)送釣魚郵件、通過客服系統(tǒng)、聊天軟件、電話等方式也能取得不錯(cuò)的效果。攻擊者會(huì)利用企業(yè)中不太懂安全的員工來打開局面，例如給法務(wù)人員發(fā)律師函、給人力資源人員發(fā)簡歷、給銷售人員發(fā)采購需求等等。有時(shí)總部的網(wǎng)站防守得較為嚴(yán)密，攻擊者很難直面硬鋼，撬開進(jìn)入內(nèi)網(wǎng)的大門。此種情況下，通常攻擊者不會(huì)去硬攻城門，而是會(huì)想方設(shè)法去找“下水道”，或者挖地道去迂回進(jìn)攻，如將攻擊目標(biāo)轉(zhuǎn)移至有專網(wǎng)互聯(lián)的子公司。實(shí)戰(zhàn)攻防演習(xí)的作用-樹立正確的網(wǎng)絡(luò)安全觀四個(gè)假設(shè)系統(tǒng)一定有沒被發(fā)現(xiàn)的漏洞一定有已發(fā)現(xiàn)漏洞沒打補(bǔ)丁系統(tǒng)已被黑一定有內(nèi)鬼四新戰(zhàn)略新戰(zhàn)具：第三代網(wǎng)絡(luò)安全技術(shù)新戰(zhàn)力：數(shù)據(jù)驅(qū)動(dòng)安全新戰(zhàn)術(shù)：零信任架構(gòu)新戰(zhàn)法：人+機(jī)器安全運(yùn)營三位一體高位能力中位能力低位能力三同步同步規(guī)劃同步建設(shè)同步運(yùn)營三方制衡用戶IT服務(wù)商安全公司以“四個(gè)假設(shè)”為前提進(jìn)行保障以“四新戰(zhàn)略”為原則設(shè)計(jì)關(guān)基安全方案以“三位一體”方法搭建關(guān)基安全體系以“三同步”思想做好關(guān)基的體系化保障以“三方制衡”機(jī)制構(gòu)建綜合高效系統(tǒng)迅速開展相關(guān)工作盡快啟動(dòng)準(zhǔn)備工作，提前準(zhǔn)備，提前部署；

確認(rèn)目標(biāo)系統(tǒng)，落實(shí)防守范圍；

建設(shè)組織、職責(zé)，制定具體工作計(jì)劃；

設(shè)備類查缺補(bǔ)漏，工具、平臺(tái)引入，建設(shè)實(shí)戰(zhàn)武器庫；

引入技術(shù)支撐機(jī)構(gòu)；先組織一次攻防演習(xí)，摸底看短板；

防守工具包流量監(jiān)測分析各類日志檢測域控安全監(jiān)測流量攻擊監(jiān)測主機(jī)安全監(jiān)測郵箱安全監(jiān)測木馬后門監(jiān)測內(nèi)網(wǎng)攻擊行為誘捕準(zhǔn)備階段安全自查整改攻防預(yù)演重點(diǎn)防守縱深信任04典型場景：新IT基礎(chǔ)設(shè)施下的大數(shù)據(jù)業(yè)務(wù)安全防護(hù)X部門X部門X部門…物理隔離物理隔離物理隔離網(wǎng)絡(luò)隔離/數(shù)據(jù)隔離網(wǎng)絡(luò)打通、數(shù)據(jù)融合、數(shù)據(jù)共享業(yè)務(wù)業(yè)務(wù)訪問終端用戶業(yè)務(wù)終端用戶業(yè)務(wù)訪問業(yè)務(wù)終端用戶業(yè)務(wù)訪問業(yè)務(wù)終端用戶業(yè)務(wù)訪問部省終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶DC1DC5DC2DC6DC3DC4多云混合IaaS平臺(tái)大數(shù)據(jù)DaaS平臺(tái)市訪問控制權(quán)限、內(nèi)部人員威脅零信任架構(gòu)—以身份為中心的動(dòng)態(tài)可信訪問控制應(yīng)該假設(shè)網(wǎng)絡(luò)始終存在外部威脅和內(nèi)部威脅，僅通過網(wǎng)絡(luò)位置來評(píng)估信任是不夠的。默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部或外部的任何人/設(shè)備/系統(tǒng)，而是基于認(rèn)證和授權(quán)重構(gòu)業(yè)務(wù)訪問控制的信任基礎(chǔ)。每個(gè)設(shè)備、用戶的業(yè)務(wù)訪問都應(yīng)該被認(rèn)證、授權(quán)和加密。訪問授權(quán)應(yīng)該是動(dòng)態(tài)的，基于設(shè)備和用戶的多源環(huán)境數(shù)據(jù)計(jì)算出來。John

KindervagBeyondCorp項(xiàng)目完成，在超大型網(wǎng)絡(luò)中率先實(shí)現(xiàn)零信任。業(yè)界廠商大力跟進(jìn)2009~20102011~2017NOW以網(wǎng)絡(luò)為中心以身份為中心零信任架構(gòu)的核心特性1.以身份為中心為網(wǎng)絡(luò)中的人、設(shè)備、應(yīng)用都賦予邏輯身份，并基于身份進(jìn)行細(xì)粒度的權(quán)限設(shè)置和判定。2.業(yè)務(wù)安全訪問業(yè)務(wù)隱藏，所有的訪問請(qǐng)求（應(yīng)用、接口等）都應(yīng)該被認(rèn)證、授權(quán)和加密。3.持續(xù)信任評(píng)估一次認(rèn)證無法保證訪問主體的持續(xù)可信度，需對(duì)終端、用戶等訪問主體持續(xù)進(jìn)行風(fēng)險(xiǎn)感知和度量。4.動(dòng)態(tài)訪問控制訪問權(quán)限不是靜態(tài)的，而是根據(jù)主體屬性、客體屬性、環(huán)境屬性和持續(xù)的信任評(píng)估結(jié)果進(jìn)行動(dòng)態(tài)計(jì)算和判定。身份是新邊界少量的靜態(tài)的物理的網(wǎng)絡(luò)安全邊界大量的動(dòng)態(tài)的虛擬的身份安全邊界零信任身份安全架構(gòu)總結(jié)網(wǎng)絡(luò)安全體系建設(shè)三同步網(wǎng)絡(luò)設(shè)計(jì)資源池設(shè)計(jì)管理設(shè)計(jì)“規(guī)劃”階段業(yè)務(wù)評(píng)估業(yè)務(wù)遷移“建設(shè)”階