业务挑战

目前,在各省市教育系统网络安全工作中,日常需要对特定机构的网络进行监控恶意行为,在出现重大事件或特殊时期还需要实施临时检查。在过去的系统建设和运营中,这些工作长期依赖分布式监控系统和临检工具作为技术支撑手段,因此面临着诸多挑战:

1.监控成本高

2.技术手段不足

3.缺乏专业安全分析人员

4.大数据技术未能有效应用

5.第三方情报数据严重不足

解决方案

为了满足业务要求以及运维要求,奇安信区域运营中心解决方案以网络安全滑动标尺模型作为建设理念,帮助客户从“被动防御”向“主动防御”迈进,通过分期建设教育安全运行中心,逐步建成一个具备自适应安全能力的网络安全体系。


一期建设

1.网络安全云监测预警平台建设

以奇安信云端资源和大数据资源的多年积累,建设具备漏洞感知、黑链监控、篡改监控、挂马监控、钓鱼监控以及位置资产监控的监测预警平台,在网站出现安全问题时,支持邮件和短信等方式推送告警,并提供修复建议,以协助管理人员快速完成漏洞修复等相关安全操作。

2.实战化安全运行中心建设

通过部署天眼及流量采集探针,搭建威胁感知平台,应对未知威胁攻击;通过获取云端威胁情报,结合本地威胁监测数据,实现威胁发现及攻击溯源;通过部署NGSOC、天擎、流量采集探针等设备搭建内网安全运行平台,实现内网资产梳理、流量采集、日志采集、终端统一管控、场景化分析等工作;通过安全态势呈现,快速、宏观了解整体安全情况,以便根据安全态势及时准确的调整安全策略或启动应急处置流程。

二期建设

1.市级、区县级数据采集系统建设

部署数据采集探针,覆盖全省教育城域网关键节点、重要位置,及时发现重要目标单位网络安全事件、威胁来源和组织,全面掌握网络安全情况、威胁情报线索,实现直属单位、院校、教育主管单位到骨干城域网的横纵贯通数据采集,为教育厅网络安全管理工作提供技术支撑。

2.基础资源库建设

建设基础资源库,包括IP地址库、域名库、设备指纹库、规则库、样本库、黑客信息库等基础数据,为省级安全运行中心提供基础数据支撑。

3.市级、区县级威胁检测子系统建设

通过威胁检测子系统的实时监测,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测省级重点单位信息系统和网络安全威胁,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等场景提供强有力的数据支撑。

三期建设

1. 组织开展众测漏洞挖掘赛

在真实网络环境下,组织攻守双方,采用“背靠背”方式开展漏洞挖掘赛。通过模拟应对真实网络安全问题的演练,挖掘漏洞,发现系统中存在的安全问题,有效提高教育行业信息安全的攻防实战能力,并提升教育系统信息安全负责人的网络安全意识。

2. 组织开展攻防对抗赛

比赛考核为TF技能题,包括Web安全、移动安全、逆向、密码学、调查取证和二进制漏洞利用等,充分发挥信息安全人才的积极性和创造力,重点考察选手计算机安全基础知识与技能,提升信息安全意识,普及信息安全知识,实践信息安全技术,为本省网络安全与信息化人才的选拔做好储备,同时加强大学生对网络安全的关注和兴趣,促使其提升网络安全防护水平和能力。

服务能力输出

1. 网络安全运营服务

奇安信专业运营服务人员与NGSOC平台相结合,可以更好的运用平台工具实现安全目标,快速发现安全威胁、安全问题、分析问题、确诊问题、协调各类资源解决问题,支撑安全体系的持续迭代优化,并不断完善覆盖监测、预警、分析及应急处置全业务流程的网络安全运营体系,进而提高整体安全运营技术能力。

安全运营服务包括安全规则运营服务、基础运营服务(驻场)、高级运营服务、高级威胁分析服务以及安全运营技术培训服务等。

2. 全流量风险分析服务

通过天眼设备的全流量采集以及奇安信云端威胁情报数据,结合奇安信安全服务人员采用攻防思路构建的分析模型,为客户提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现、响应服务。

全流量风险分析服务包括资产梳理与攻击面分析、邮件安全行为分析、数据库危险操作分析、非常规监测分析等。

3. 其他安全服务

方案结合国内外网络安全形势的变化,以专业服务公司的技术能力和服务经验,根据国家信息等级保护制度和网络安全法相关要求,针对现有安全管理制度体系,结合客户实际情况,进行安全管理体系审核与修订工作,并对现有安全管理制度中不合理、不适用的内容进行修订,同时针对新的安全管理需求进行相关安全管理制度的补充编制,包括但不限于安全管理制度、应急响应预案、人员安全管理等方面,并促成安全管理制度的切实落地。

客户价值

1. 实现全省教育行业网络安全态势监控。

2. 实现“省-市-区县”三级部署,实现网络安全整体运营。

3. 实现“省-市”安全运营横纵贯通。

4. 专业安全服务协助安全运营。

方案优势

1. 依靠奇安信强大的云端安全数据支持,结合准确的威胁情报,对网站的安全问题进行全时覆盖。

2. 具有强大的沙箱功能,模拟用户真实访问请求后的系统感应,准确定位被监控网站是否被挂马。

3. 能够在大流量场景下检测发现被传统防护手段漏过的高级威胁,对已发现的问题进行攻击回溯,并对攻击进行实时的态势感知展示,为内网安全运行中心建设打下坚实基础。

4. 采用独有的问题通报系统,在发现问题时能够通过短信、邮件、APP等方式,及时通报运维人员,并提供修复建议,快速完成安全管理闭环。

5. 由奇安信专业分析团队提供分析服务,该分析团队具备国内多次重大APT事件深度挖掘和定位经验,能够为客户提供及时有效的安全服务,减少安全事故风险。

6. 通过态势感知平台、监管指挥平台到移动APP的应用,全面支撑全省的快速通报、预警、指挥调度等工作,同时还能满足日常综合管理、信息发布等业务需求,打通监管、应急响应、处置的最后一公里,形成中央、省、市、区县的四级体系,确保各类指挥指令的上传下达,形成“纵向贯通”的业务平台。