《威海职业学院态势感知系统建设项目可行性报告威海职业学院》由会员分享,可在线阅读,更多相关《威海职业学院态势感知系统建设项目可行性报告威海职业学院(21页珍藏版)》请在金锄头文库上搜索。
1、威海职业学院态势感知系统建设项目可行性报告威海职业学院2018年 10 月 15 日目录第一章 项目背景及必要性 11. 项目提出背景 12. 项目的必要性 33. 项目建设依据 4第二章 现状与需求分析 51. 我院的网络现状 52. 部分安全设备及服务器、存储现状 53. 综合态势感知需求 6第三章 项目建设的目标和原则 71. 态势感知系统的建设目标 72. 态势感知系统的建设原则 7第四章 项目建设内容 81. 资产业务管理 92. 内网流量展示 93. 监测识别知识库 94. 可视化平台 95. 风险可视化 106. 大数据分析引擎 107. 管理功能 11第五章 项目设计方案 11
2、1. 方案架构 112. 业务逻辑 123. 潜在威胁 124. 安全风险 135. 辅助分析决策 13第六章 项目组织管理 141. 项目总体要求 142. 项目实施要求 143. 服务及培训要求 144. 系统培训 15第七章 项目投资 151. 项目资金预算 152. 资金来源与落实情况 18第八章 效益与风险分析 18第一章 项目背景及必要性1. 项目提出背景在互联网络规模不断扩大、 应用更加广泛的同时, 各种网络 攻击、信息安全事故发生率也不断攀升。国家互联网应急中心调查显示,各种网络安全事件数量逐年在显著的增加。其中,垃圾邮件事件和网络恶意代码事件增长较快,网络恶意代码、网页篡改事
3、件、网络仿冒事件也有大幅增长,网络安全事件整体上呈现高发趋势,安全形势严峻。ilMedi商业类网站成网络安全重灾区为应对网络安全挑战,我院前期部署了防火墙、IPS、WAF防病毒系统等网络安全设备。然而,这些安全设备都是只能抵御来自某个特定类别的安全威胁,且仅对已知的攻击和威胁防御效果较好。但是随着近2年新型攻击的不断增加(如APT攻击、Oday 攻击、变种病毒等),导致国内爆发各类安全事件,如WannaCryBadRabbit、Globelmposter 勒索病毒等,因此为了弥补传统防 御手段的不足,学院需要构建一套主被动一体的防御体系,来应对已知威胁和未知威胁的攻击;另一方面,利用大数据、A
4、I、UEBA等技术对安全设备产生日志的关联分析、深度分析更好地发现潜伏威胁,从而避免各个安全设备之间相互孤立的防御局面;另外,在某些特殊情况下,网络一旦发生安全事件,排查分析日志,人工关联分析,耗费大量精力,通过部署安全感知设备, 将会大幅减少人力排查时间,而且排查更加全面、更加精确。网络安全法和等保 2.0,均已明确提出了要加强内网未 知威胁的检测和通报预警工作, 因此,日益迫切的信息系统安全、 等级保护要求我院不断完善和升级网络整体安全性能。2. 项目的必要性基于对背景和学校现状的分析, 本次项目建设的必要性主要 从以下几个方面考虑:(1)弥补现有防御体系的不足,构建主被动一体的防御体 系
5、,应对已知和未知威胁。(2)对现有防御设备进行有机整合,所有日志统一分析、关联分析和深度分析,形成一个L2-L7层立体化的防御体系。(3)释放安全管理者的运维精力,发生安全事件能够及时 风险预警,并能精准定位安全问题, 将安全事件的影响面降到最 低。(4)在态势感知系统测试阶段,我院发现了隐藏于学工系统后台的挖矿木马,该木马运行非常隐蔽, 每天在服务器空闲时 间运行,对服务器和网络的压力属于平均水平,传统的安全防御手段WAF IPS设备均没有发现该系统的异常,通过态势感知的 大数据分析,发现了该服务器访问的域名属于挖矿网站的范畴, 并提供了精准检测和清除的工具,通过人工检测果然发现了该木马,并
6、利用专用工具进行了清除。在态势感知测试阶段还发现了某台一通管理端存在对外国域名的频繁访问的情况,并发布了预警,根据木马检测,果然发现了该终端计算机存在的木马,并清除了木马,然后再未发现该终端计算机的对外非法访问。学校对于网络安全产品的核心需求是保障信息系统的安全。 保障信息系统的安全,目的是保护有价值的信息和保障业务的安 全持续可用。这包含了 2个方面,第一是保护有价值的信息,这也是学院的主要的IT安全需求;第二是保障业务的安全持续可 用,即整个业务过程和业务服务的保密性、完整性和可用性。3. 项目建设依据我国网络安全法已经于 2017年6月1日起施行,根 据国家实行网络安全等级保护制度,网络
7、运营者应当按照网络安全等级保护制度的要求, 履行下列安全保护义务, 保障网络免 受干扰、破坏或者未经授权的访问, 防止网络数据泄露或者被窃 取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施;(三)采取记录、跟踪网络运行状态,监测、记录网络安全 事件的技术措施,并按照规定留存网络日志;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。第二章现状与需求分析1. 我院的网络现状2017年初,我院与移动公司签署合作协议,对整个校区的无线网络进行全面升级改造,
8、 同时对校园网络核心及出口进行升 级改造,实现了有线无线一体化融合, 校园网络骨干升级为万兆, 原核心交换机H3C7506E安装万兆模块,下移用作数据中心(月服 务器区)核心交换机使用。已经建设完成的有线无线一体化升级改造后的简略拓扑如下:骨干 区小I*卡9 4金端沁LX路由誰 ?BRAC)出口区戟学办公屋无娱却分田pi”斫用FA腿丽诃破伪0 二 氏用脱 擁會区威海职业学就网络方案拓扑2. 部分安全设备及服务器、存储现状(1)部分安全设备现状:目前我院安全设备主要有WAF防火墙、VPN认证计费系统、IPS系统、机房环境监控系统等,基本能够阻挡来自外部网 络的各种攻击, 但对于内部网络的访问和服
9、务器间的相互访问没 有有效的安全检测手段, 也无法发现来自内部的木马攻击和内部 网络对外的非法访问。(2) 部分服务器、存储现状目前我院网络中心有二套存储、两套虚拟化系统、 20 余台 服务器,提供着 10个综合应用系统, 80 多个功能模块的承载与 保障。3. 综合态势感知需求利用安全设施保障信息资产和业务服务的保密性、 完整性和 可用性, 形成一个整体化的安全信息总控中心, 应该达到如下几 个方面的要求:(1) 集中化能够通过对骨干网络数据流量的大数据分析提供一个信息 资产的集中性视图, 可以全面性的了解信息系统的安全状态, 预 测(事前)、应对(事中)和追踪(事后)系统安全问题。(2)
10、智能化能够将安全数据的收集存储起来供学院管理员查询, 还需具 备一定人工智能的专家系统, 通过对信息系统各种数据的自动分 析,为系统管理员提供保护信息安全的工具和途径。 对于学院缺 乏专业安全管理人员,面对专业性极强的海量安全数据及警报, 普通管理人员根本无从下手, 系统能否智能的、 自动的、准确的 发现问题、报告问题、解决问题是态势感知系统功能的关键。(3) 实时化能够对安全事件进行实时分析处理,系统应具备信息接收、 分析、报告、 响应循环的实时化,为管理人员提供相应的工具和 途径,在最短的时间内了解最新的安全状况并作出快速处理。 (4) 可视化能够以友好直观的方式将复杂的系统内部数据展现出
11、来, 并 提供方便的操作方式给管理人员使用,提升系统的可用性。第三章 项目建设的目标和原则从信息安全风险管理角度来看, 针对各类系统的运行和网络 访问的行为日志是信息安全保障体系中不可或缺的一部分, 态势 感知系统通过网络全部流量日志, 可以全面性的了解信息系统的 安全状态,对各类安全问题进行预测、处理、和追踪。1. 态势感知系统的建设目标(1)有效整合现有信息安全产品,形成统一的安全事件管 理平台;(2)通过全面的日志及行为分析弥补现有各类技术产品在 威胁分析发现方面的不足;(3)为安全事故的责任追查、故障定位提供有力的技术手 段。2. 态势感知系统的建设原则态势感知系统方案是一套基于行为和
12、关联分析技术对全网 的流量进行安全检测的可视化预警检测平台。 方案设计体现适用 性、前瞻性、可行性的基本原则,实现安全效果可评估、安全态 势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全 风险、辅助分析决策”的思路进行设计建设。随时了解整个 IT 系统的运行情况,通过实时的日志分析及 时发现系统异常和非法访问行为; 另一方面, 通过事后分析和丰 富的报表系统, 管理员可以方便高效地对信息系统进行有针对性 的安全测试。 遇到特殊安全事件和系统故障, 可以协助管理员进 行故障快速定位,并提供客观依据进行追查和恢复。第四章 项目建设内容传统的网络安全建设偏重于被动防御能力(IPS、WAF防火
13、墙等)的建设,我院在网络安全防护方面已经取得了一定的成果, 但通过购买被动防御的安全设备已经不能使安全能力有提升, 需 要进一步提升安全运营水平并同时积极的开展主动防御能力的 建设。所以在建立了一定基本防御能力的基础上, 需要增加非特 征技术检测能力上的投入,并重点建设事件分析、响应能力。 通 过对事件的深度分析及信息情报共享, 建立预测预警机制, 并针 对性改善安全系统。 最终达到有效检测、 防御新型攻击威胁之目 的。项目建设包括如下内容:1. 资产业务管理按照功能划分, 内网设备可分为资产和业务。 态势感知系统 可以主动识别内网资产, 主动发现内网未被定义的设备资产的 IP 地址, 无需进
14、行繁琐的统计和录入, 可以识别内网服务器资产的 IP地址,操作系统,开放端口以及传输使用协议和应用。业务与 资产关系展示模块,能够按资产IP地址/地址段,组合成为特定的业务组。2. 内网流量展示通过访问关系学习展示用户、 业务系统、 互联网之间访问关 系,能够识别访问关系的 who、what、when、how。通过颜色区分 不同危险等级用户、业务系统。内网违规访问、攻击行为、异常 流量的图形化展示, 展示内网针对不同业务资产的正常访问、 违 规访问、攻击行为、异常流量,并用不同颜色加以区分,查阅更 直观。3. 监测识别知识库态势感知系统应具备内建的检测识别知识库, 系统应具备全 网URI识别能
15、力;知识库涵盖的入侵防护漏洞规则特征库包括漏 洞描述、漏洞名称、危险等级、影响系统、对应CVE编号、参考信息和建议的解决方案; 知识库应具备独立的僵尸主机识别特征 库,恶意软件识别特征库。4. 可视化平台全网攻击监测可视化平台可实现安全态势感知, 对全网安全 事件与攻击的地图展现与可视化展现。 按攻击事件、 攻击源、 攻 击目标、攻击类型、危害级别进行统计与展示。 可视化平台支持 全网业务可视化, 可以呈现全网业务对象的访问关系与被入侵业 务的图形化展示。业务外连监控大屏, 展示资产、业务被外网攻 击的实时动态地图,图形化大屏展示。 分支安全监测, 能够以地 图拓扑的形式展示分支机构 / 被监管机构的安全状态。 安全日志 展示支持所有安全设备的安全日志汇总, 并能够通过时间、 类型、 严重等级、动作、区域、IP、用户、特征/漏洞ID、回复状态码、 域名/URL、设备名称等多个条件查
