內(nèi)網(wǎng)威脅管理背景分析

電力行業(yè)是技術(shù)密集和裝備密集型產(chǎn)業(yè)，其獨(dú)特的生產(chǎn)與經(jīng)營(yíng)方式?jīng)Q定了其信息化發(fā)展的模式。由于行業(yè)的特殊性，電力行業(yè)對(duì)IT設(shè)備提出了高安全性、高可靠性、高穩(wěn)定性的要求。各個(gè)電力企業(yè)已經(jīng)加快了自己信息化的進(jìn)程，辦公自動(dòng)化(OA)、MIS系統(tǒng)、電力市場(chǎng)和營(yíng)銷系統(tǒng)、電力調(diào)動(dòng)系統(tǒng)(EMS)、配電管理系統(tǒng)(DMS)、呼叫中心(Call Center)以及電力自動(dòng)化管理系統(tǒng)已經(jīng)有不同程度的應(yīng)用。但是，電力行業(yè)和其他行業(yè)不同之處是，各個(gè)省市獨(dú)立規(guī)劃和運(yùn)作，所以各個(gè)省市的電力企業(yè)IT系統(tǒng)建設(shè)面臨著多樣性、復(fù)雜性。

因此在確保電力企業(yè)正常工作和關(guān)鍵業(yè)務(wù)的安全、高效運(yùn)行的同時(shí)，如何保障上述業(yè)務(wù)應(yīng)用的可用性和安全性，這是電力企業(yè)在網(wǎng)絡(luò)管理和運(yùn)維中亟待解決一大問題。

內(nèi)網(wǎng)威脅管理

內(nèi)網(wǎng)威脅管理系統(tǒng)是一個(gè)網(wǎng)絡(luò)安全設(shè)備管理器，不僅僅用于NBAD內(nèi)網(wǎng)安全管理系統(tǒng)中功能組件的統(tǒng)一管理和維護(hù)，還可以與各種品牌的網(wǎng)絡(luò)設(shè)備互動(dòng)，進(jìn)行聯(lián)合防御。它通過一個(gè)單一的網(wǎng)頁頁面，對(duì)分散部署的NBAD安全設(shè)備進(jìn)行管理。在威脅發(fā)生時(shí)，管理人員只需要查看其提供的威脅報(bào)告就能了解網(wǎng)絡(luò)中發(fā)生了哪些問題，而不用忙于在多個(gè)設(shè)備的管理界面之間不斷切換。并且，系統(tǒng)還支持根據(jù)事先定義的安全策略并聯(lián)合其他網(wǎng)絡(luò)設(shè)備自動(dòng)對(duì)威脅采取措施，做到第一時(shí)間響應(yīng)，降低了風(fēng)險(xiǎn)擴(kuò)大的可能性，同時(shí)提高了效率。

主要功能：

集中管理

集中管理部署在網(wǎng)絡(luò)中的威脅檢測(cè)器(Sensor)，威脅分析器(Analyzer);

通過一個(gè)單一界面查看、分析、管理網(wǎng)絡(luò)威脅事件;

智能管理

發(fā)現(xiàn)網(wǎng)絡(luò)威脅事件后通過預(yù)定策略進(jìn)行自動(dòng)處理;

問題解決后，自動(dòng)恢復(fù)封鎖主機(jī)的網(wǎng)絡(luò)連接。

聯(lián)合防御

攻擊源定位，通過查看交換機(jī)的CAM表，對(duì)攻擊源進(jìn)行定位;

與其他網(wǎng)絡(luò)設(shè)備進(jìn)行交互，可實(shí)施端口關(guān)閉、限速等聯(lián)合防御措施。

新穎性、先進(jìn)性和實(shí)用性分析

NBAD局域網(wǎng)資源暨威脅管理系統(tǒng)是針對(duì)于內(nèi)網(wǎng)資源及信息安全管理的一整套解決方案，是目前國(guó)內(nèi)唯一通過ASIC硬件架構(gòu)實(shí)現(xiàn)的內(nèi)網(wǎng)信息安全管理體系架構(gòu)，秉承ISO27001/27002的基本精神，基于用戶現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，融和用戶先前分散部署的安全設(shè)備，幫助用戶構(gòu)建一個(gè)主動(dòng)式的完善的內(nèi)網(wǎng)信息安全防控體系。其主要特性如下：

現(xiàn)有安全產(chǎn)品全部采用特征碼識(shí)別技術(shù)，有賴于經(jīng)常升級(jí)特征庫(kù)，在應(yīng)對(duì)未知(新型)威脅和無特征威脅時(shí)(如ARP攻擊)，起不到任何作用。這些威脅特別是無特征威脅恰恰是內(nèi)網(wǎng)信息安全最大的安全隱患?，F(xiàn)有安全產(chǎn)品在應(yīng)對(duì)這類威脅時(shí)力不從心。NBAD解決方案基于全新的異常行為識(shí)別模式，在內(nèi)網(wǎng)構(gòu)建一個(gè)完善的類似于疾病防控體系一般的內(nèi)網(wǎng)威脅防御體系，特別適合于應(yīng)對(duì)未知的和無特征的威脅。確保網(wǎng)絡(luò)健康高效運(yùn)行。

通過全網(wǎng)IP地址和mac地址的集中身份管理、統(tǒng)一策略，大幅度提升了用戶的整體安全管理水平，并解決以往由交換機(jī)端口實(shí)現(xiàn)的分散身份管理帶來的管理混亂的問題，提高了靈活性，大幅提升信息化管理水平。準(zhǔn)確的身份管理是信息安全的第一步，也是最重要的一步。

防御措施全部在網(wǎng)絡(luò)底層或網(wǎng)絡(luò)邊緣由硬件實(shí)現(xiàn)，不需要安裝任何客戶端軟件，不影響現(xiàn)有主機(jī)和業(yè)務(wù)系統(tǒng)的性能。

全部產(chǎn)品采用旁接設(shè)計(jì)，既不會(huì)改變用戶現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，也不會(huì)對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的正常使用造成任何不必要的危害，即便在最極端的設(shè)備死機(jī)或掉電的情況下，也不會(huì)影響用戶的網(wǎng)絡(luò)穩(wěn)定和其他任何業(yè)務(wù)的正常使用。

通過與現(xiàn)有設(shè)備的信息交互，能夠整合現(xiàn)有設(shè)備，實(shí)現(xiàn)全網(wǎng)聯(lián)合防御。

對(duì)網(wǎng)絡(luò)資源和信息安全進(jìn)行嚴(yán)格規(guī)范的管理，并可生成完善的報(bào)表，提供科學(xué)的決策依據(jù)，進(jìn)一步提升信息化管理水平。

建立信息安全流程和體系架構(gòu)是信息安全管理的發(fā)展趨勢(shì)，NBAD局域網(wǎng)資源暨威脅管理系統(tǒng)作為一個(gè)創(chuàng)新的體系，能夠極大的提高原有設(shè)備的效能，對(duì)異常行為進(jìn)行主動(dòng)干預(yù)和自動(dòng)的規(guī)范化處理，變被動(dòng)防御為主動(dòng)管理，是用戶現(xiàn)有安全體系的重要的、有力的補(bǔ)充。

行為判別技術(shù)與特征碼識(shí)別技術(shù)對(duì)比分析

特征碼識(shí)別技術(shù)的局限性：

依賴于特征碼庫(kù)的逐條逐包比對(duì)，運(yùn)算量巨大，系統(tǒng)響應(yīng)速度慢，處理能力有限;

依賴于特征庫(kù)的定期升級(jí)，如果升級(jí)不及時(shí)，就將完全失去防御能力;

適合在網(wǎng)關(guān)處部署，不適合在數(shù)據(jù)量巨大的內(nèi)網(wǎng)中部署，并且在內(nèi)網(wǎng)中不易升級(jí)病毒庫(kù);

只能被動(dòng)識(shí)別特征庫(kù)中已經(jīng)存在的病毒和攻擊，對(duì)于新出現(xiàn)的病毒和未來可能的威脅無法識(shí)別，更無法防御;

對(duì)于無任何病毒特征的攻擊行為(如ARP和NDS釣魚等)，沒有防范能力。

行為判別技術(shù)的特點(diǎn)：

無需逐包檢查，只對(duì)網(wǎng)絡(luò)異常行為進(jìn)行審計(jì)和管理，簡(jiǎn)單高效;

無需升級(jí)病毒庫(kù)，使用簡(jiǎn)便，無需維護(hù);

強(qiáng)大的數(shù)據(jù)處理能力，適合全網(wǎng)部署，極大地提高全網(wǎng)安全性;

主動(dòng)進(jìn)行全網(wǎng)異常監(jiān)測(cè)和隔離管理，從網(wǎng)絡(luò)底層入手主動(dòng)應(yīng)對(duì)現(xiàn)有及未來的各種威脅;

特別適合識(shí)別各類沒有特征的攻擊行為。

內(nèi)網(wǎng)威脅是內(nèi)網(wǎng)安全中比較重要的模塊，每個(gè)企業(yè)都應(yīng)該予以相當(dāng)多的重視。希望以上的方案大家能夠理解。

【編輯推薦】

1. 當(dāng)內(nèi)網(wǎng)安全遇上云安全
2. 終端審計(jì)如何更好地服務(wù)內(nèi)網(wǎng)安全
3. 內(nèi)網(wǎng)安全管理解決方案之內(nèi)網(wǎng)威脅探測(cè)與分析