一文了解14款支撑冬奥网络安全零事故的中国产品
发布时间:2022-08-01 10:54:11 所属栏目:安全 来源:互联网
导读:为实现冬奥零事故目标,奇安信在冬奥安保中部署了14个具备实战攻防和安全运营能力的创新安全产品,为冬奥网络筑起最坚实的安全防线,保障北京冬奥网络系统安全运行。在BCS2022系列活动冬奥网络安全零事故宣讲周中,14款涉奥安全产品作为冬奥遗产,压轴亮相于
|
为实现冬奥“零事故”目标,奇安信在冬奥安保中部署了14个具备实战攻防和安全运营能力的创新安全产品,为冬奥网络筑起最坚实的安全防线,保障北京冬奥网络系统安全运行。在BCS2022系列活动冬奥网络安全“零事故”宣讲周中,14款涉奥安全产品作为“冬奥遗产”,压轴亮相于“网络安全创新产品推介会”。今天让我们一文了解支撑冬奥网络安全“零事故”的“中国产品”: 终端安全:终端安全新方案“体系化防御,数字化运营” 冬奥终端作为冬奥系统的神经末梢,包括赛事终端、办公终端、运维终端、证件查验终端、打印扫描设备等多个类型,总计一万多台,每台冬奥终端都发挥着重要作用。奇安信对分散在306个地点的一万多台不同类型的冬奥终端提供了全面保护,成功防御5847次恶意软件、423次恶意DNS、326次非法终端接入等各类攻击。 兑现终端安全“零事故”承诺的关键就是奇安信终端安全新方案——“体系化防御,数字化运营”。方案以确保各类终端“可信、合规、安全”为核心目标,通过“体系化防御”健全终端安全能力,运用“数字化运营”保障终端安全效果,帮助客户真正构建起持续有效的终端安全能力,确保各类终端都能安全、合规的访问业务和数据。 边界组网优化与SSL解密:灵活组网,解密性能大幅提升 在需要安全快速互联多种设施、保证众多时效性高要求的业务系统具有连续性以及及时发现隐藏的安全风险的三大挑战下,边界组网优化与SSL解密产品应运而生。 在冬奥网络安全中,边界组网优化,通过流量编排轻松实现了灵活组网,简便运维,利旧设备使用,业务割接不中断。通过自研的服务链编排引擎,实现按需将不同的业务流量编排到指定的安全设备上处理。同时,其业务设备旁挂部署影响小,安全编排高灵活,可以实现威胁的及时发现与阻断,解决漏洞内利用问题。在服务链做流量编排时,还具备负载均衡和业务探测功能,能够根据业务情况及时调整流量走向。 高性能SSL解密,解决了互联网的加密流量和纯软件解密引擎性能有限的问题,通过添加硬件解密卡使解密性能有所提升。其中,奇安信网神防火墙不仅搭载了硬件解密卡,同时使用异步调用技术,实现解密能力10.6倍的提升,改变了传统边界安全架构,重塑边界安全防护体系,为冬奥提供更加智能、动态的安全防护。 云及服务器:守护云安全 构建冬奥安保最后一道防线 云及服务器安全上,在流量层面,通过虚拟补丁机制对已知漏洞进行防御及缓解; 在中间件层面,支持加密流量检测,对传统的web攻击进行有效防护;再语言解释器层面,通过运行时应用自防护(RASP) 插件,对反序列化、内存webshell等近年来高发漏洞及新型攻击手段进行高效防护,实现对多种类型0day漏洞的有效防御; 在系统层面,通过系统加固对系统关键文件、注册表项进行监控保护,利用应用白名单对未知程序的启动进行防护。 奇安信服务器安全管理系统在冬奥运行期的主要职责包括:服务器防病毒、入侵防御、威胁监测。针对服务器侧的特殊性,业务优先原则,创新性地采用了本地查杀+控制台查杀双模式可切换的病毒查杀模式,适合于刨除业务自身对系统资源消耗外服务器剩余系统资源相对充沛的场景,适合于服务器剩余系统资源相对紧张的场景。 此外,在冬奥项目中,服务器测实现了在奇安信产品体系内的协防及联动。将安全设备像业务服务器一样进行覆盖纳管,予以更严格及有针对性的安全策略,保证安全设备自身的安全性。对主机侧的命令执行、网络外连、文件创建等全量行为进行监控采集,实时传输给NGSOC平台,并且对两边日志发送及接收的数据量进行校准。在发现新漏洞时,实现漏洞资产快速排查,在短时间内快速确定受到漏洞影响的资产范围。 NGSOC:多维度、智能化的态势感知与安全运营平台 在本次冬奥会安全保障工作中,奇安信建立了以NGSOC为核心的安全运营和指挥协同体系,它围绕ASA自适应安全框架,在防御、检测、响应、预警和持续监测5个维度构建核心安全能力。NGSOC平台在保障工作中发挥了关键作用,指导了冬奥会安全运营工作的有序开展,并积累了丰富的成功经验。 在冬奥网络安全中,NGSOC作为核心监控平台,对冬奥网络实现了全局监控、响应处置、事件上报和闭环管理,监控范围覆盖了网络中心、数据中心、12个竞赛场馆、21个非竞赛场馆和200多个基础设施。 目前,冬奥会安全运营与协同指挥体系的建设模式已获得多家大型政企机构认可,并希望参考该模式建设本地的安全运营中心。 态势感知:构建冬奥三级研判指挥体系、“大禹”平台首次应用 北京冬奥会网络安全保障过程中,奇安信在冬奥奥组委及央办的指导和指挥下,构建并运营了冬奥三级研判指挥体系:一级是安全监控,实现日常安全运营闭环;二级态势感知,实现重保分析研判工作;三级研判指挥,以国家院士级视角进行冬奥决策指挥工作 在产品方面,北京冬奥会是首次将“大禹”安全中台应用于国家级态势感知指挥平台,大幅度提升安全建设、安全管理和安全运行的效率。 首先以平台化思维,构建能力基座:整合数据、技术、服务能力,体系化输出安全能力;在操作层面,实现了业务功能、分析功能、运营功能,统一了开发框架,便于更灵活地应用于实战;在决策层面,实现了可视化研判能力。 行为安全:冬奥互联网严控的解决之道 奇安信上网行为管理,在应用协议库、URL分类库领域有着多年的积累,URL数据库规模达到2.8亿,应用协议库收录了超过12,000个互联网应用的特征,对于特征库无法覆盖的部分,提供了灵活多样的自定义手段。 在冬奥网络安全保障工作中,行为安全品类中的上网行为管理(ICG)、Web安全网关(SWG)两个产品是网络纵深防御体系中的重要一环。在主(备)网络中心PNC/SNC,ICG、SWG均通过负载的方式“物理旁挂、逻辑串接”在核心防火墙上作为安全编排域的安全资源池,通过服务链编排的方式对互联网出向流量进行细粒度的管控,提供了更高的灵活性、可靠性,既能够满足负载均衡扩展的需要。此外,针对冬奥互联网出口的外联需求极其复杂的问题,行为安全产品通过“白名单”机制实现对出向流量的精准管控,杜绝未知外联。 数据安全:冬奥密码专项——冬奥第一个上线的安全专项 冬奥密码专项实现了高安全(等保三级),高复杂环境(国内外、云与本地),密码与网络安全密切配合的密码服务能力,成为今后密码项目的标杆。 项目遵循“冬奥网络安全总体规划”、等保三级和密评安全三级的设计要求,方案先后通过多轮专家评审和安全评测;密码作为基础设施,是冬奥第一个上线的安全专项,也先于所有的信息系统上线;冬奥密码专项能容纳50+以上信息系统的密钥管理,实现了密钥集中统一管理,充分考虑了可靠性、安全性、容灾备份等设计 天眼:在冬奥网络中看全、看清、看透APT攻击的“眼睛” 冬奥期间,天眼系统作为“三合一”实战化态势感知(指挥态势、运营态势、攻防态势)重要组成部分,结合“运营态势”、“指挥态势” 实现“三级态势建设”在大型项目中首次成功落地实践。 冬奥期间,天眼系统有关冬奥期间的处理流量日志数累计达到了1千多亿条;发现威胁告警数达500多万次;恶意样本数54个;漏洞数九千多个;APT组织攻击嗅探2万8千多次等等。这些真实的统计数字表明,天眼在冬奥整体安全保障上起到了真正的实战态势感知效果。具体体现在三个方面:第一是体现在持续的威胁发现方面,做到了实时、主动的检测告警,第二是,完全自动化的检测发现威胁,自动上报,整个过程极大的降低对人依赖度,使得冬奥期间短时、高强度的攻防环境中得以有效保障。最后借助全网流量的采集处理,为针对部分高级威胁事件的深度分析提供了强有力的数据支撑。 “天眼就像摄像头,能持续录制犯罪过程,警察查看的时候随时可以回放,而防火墙、WAF等安全设备是相机,只能记录某个时刻,单靠日志分析还是不够。” 产品安全自查:基于三道防线的产品安全自查架构 产品安全自查架构是一款纵深防御体系,依据自身安全性、功能兼容性和产品完整性得原则,对在冬奥安保部署的9大类、55款、813台安全设备和涉奥产品进行部署前检查。该系统共有高强度自检、兼容性测试、高强度自检和完整性验证这三道防线。 在冬奥安保中,该架构部署了五大安全能力研究团队,300与人进行漏洞挖掘。在高强度自检中,它采用黑白灰盒安全测试方法,利用安全测试矩阵,以常规安全提测模式,开展13个安全专项,发现了5782个安全漏洞。在后两道防线中,以冬奥1:1环境测试,进行产品兼容测试,审核人员check测试结论,并进行产品测试结论同步和产品升级包清单清点,对涉奥产品通过代码卫士进行静态代码扫描修复高危漏洞,通过开源卫士进行第三方组件扫描。 (编辑:阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
