全网安全检测可视化平台方案V10

1、ST. SANGFOR全网安全检测可视化平台方案需求分析为了保护业务资产，组织单位已在各网络的边界部署了防火墙、入侵防御、防病毒网关等网络安全防御设备。 但随着组织规模越来越大、业务越来越重要，面临的安全风险也越来越严重。一方面，组织的业务越来越开放，更多的业务逐步向终端用户、合作伙伴、分支机构开放，使得业务由原来的 面向内网、逐步转弯面向互联网、广域网等风险更高的外部网络。1、业务更加开放：业务快速发展的需求，IT已成为促进组织业务发展的重要技术手段。为适应业务发展的需 求，IT业务由过去的内网逐步开放到互联网、移动互联网、公有云。同时IT业务也有过去的内部用户使用，逐步延 伸到为合作伙伴、

2、分支机构、第三方机构，然后这种互联互通的机制引入了更多的安全风险，因为合作伙伴、分支 机构、第三方机构以及移动办公的内部用户安全意识并不高，不可控，然后成为黑客攻击的跳板；2、安全边界模糊：过去主要依靠划分安全域的方式进行安全防御，内部的都是安全的，外部的都是不安全的， 但由于移动化、虚拟化、互联网化的下的IT趋势的发展，安全边界变得模糊了，好的坏的混在一起，安全也变得不 可见；3、IT资产管理复杂：IT业务的快速发展给IT部门提出了快速上线、快速更新的要求，也给IT资产的管理提 出了更高的挑战。由于无法及时发现资产、无法及时找到安全弱点，并安全的交付成为了口风险管理的重要问题。另一方面，来自

3、外部的攻击也发生了变化，来自外部的攻击手段更高级、攻击更迅速、更隐蔽。这两方面的变 化导致业务资产面临的风险加剧，同时导致现有的防御设备难以实现有效的安全保护。当前面临的问题主要有以下 几个方面：1、更高级的威胁：总有一些攻击手段可以绕过现有的基于静态特征的防御体系，如0Day攻击、APT攻击等 可能导致基于静态特征的防御失效；2、内网的潜藏威胁：黑客一旦进入到内网，位于边界的防御体系就失效了，如通过社会工程学、钓鱼等欺骗手 段进入到了内部，位于边界的防御便失效了；3、内网的横向攻击：发生在内部的横向移动攻击边界防御无法进行检测，如通过失陷主机向内网业务资产发 起的横向移动或者跳板攻击。所以，

4、组织亟需加强内外部的持续检测来发现这些新的安全问题，并可视化的平台将这些潜在的问题进行展现， 以便于对可能发生或者已经发生的安全事件进行快速的响应。解决方案深信服全网检测可视化预警平台方案是一套基于行为和关联分析技术对全网的流量进行安全检测的可视化预 警平台。方案设计体现适用性、前瞻性、可行性的基本原则，实现安全效果可评估、安全态势可视化。可以达到以 下安全技术要求：1、对业务系统核心资产进行识别，梳理用户与资产的访问关系；2、对绕过边界防御的进入到内网的攻击进行检测，以弥补静态防御的不足；3、对内部重要业务资产已发生的安全事件进行持续检测，第一时间发现已发生的安全事件；4、对内部用户、业务资

5、产的异常行为进行持续的检测，发现潜在风险以降低可能的损失；5、对业务资产存在的脆弱性进行持续检测，及时发现业务上线以及更新产生的漏洞及安全隐患；6、将全网的风险进行可视化的呈现，看到全网的风险以实现有效的安全处置。方案架构通过云服务平台、边界防护、安全检测、内网检测、管理中心、可视化平台构成持续检测的技术架构：边界防御：在网络边界部署下一代防火墙+检测，串行部署实现边界的L2-7的检测与防御体系；核心检测：在核心交换层部署安全检测探针，通过镜像在内部对用户到业务资产的流量进行基于行为的持 续检测；内网检测：在内部安全域交换机部署安全检测探针，通过镜像对内网的异常行为进行安全检测；可视化管理中心

6、：在可视化管理中心部署全网检测系统对各节点安全检测探针的数据进行收集，并通过可 视化管理平台、微信公众号的方式为用户提供可视化的呈现；部署集中管理平台对现网所有安全系统进行 统一管理和策略下发；云化安全即服务：提供未知威胁、威胁情报、安全事件、云扫描、云检测、在线专家、快速响应等服务。技术实现安全态势可感aTj 安全瞒胁可预警 异常行为可追蒯上下文美强、分析序常协议分柝宣金事件质产检测访问路径关碎芬侨J黄钱分析,异常甘为 分析特征栓测漏洞检割非法访问 牲测可段行为 检测弁常行为检测本方案通过部署安全检测探针对网络中的安全要素进行采集，并通过风险监测建模实现对异常行为的检测采集层：通过安全检测探

7、针实现对内外网进行全流量的采集，包括数据包、协议、会话、系统信息、资产信息、 攻击日志、漏洞信息、软件信息等；实现层：对采集的信息进行风险建模检测异常行为并通过管理分析技术确定已发生或潜在安全威胁。检测技术 包括：攻击特征的检测、非法访问的检测、异常行为的检测、可疑行为的检测、漏洞检测以及资产信息的检测。分 析技术包括：上下文关联分析、异常协议分析、异常行为分析、访问路径关联分析、安全事件关联分析以及联合云 端安全即服务的自动化智能分析以及人工分析确认。SANGFOR深信服科技展现层：将分析的数据经过有效分析通过图形化的方式直观展现，实现安全态势可感知、安全威胁可预警、一 场行为可追溯的效果。

8、部署位置互联网出口：互联网出口是黑客控制内网终端和服务器通信流量的必经之路，通过下一代防火墙开启检测模块 或者使用安全检测探针的方式实现双向的检测；DMZ区域：DMZ区域通常会部署有重要的门户网站、对外的重要业务，DMZ区域的检测是全流量的，建议单 独部署安全检测探针实现DMZ区域的安全检测；数据中心：数据中心与其他区域不同，除了用户访问业务的南北向流量，还存在服务器之间的东西向流量，多 数据中心的数据交换，建议数据中心尽量在核心层、汇聚层交换上都单独部署安全检测探针以最大限度的保护 数据中心安全。分支机构：分支结构的安全管理松散，人员安全意识薄弱，攻击者容易从分支机构的终端入手来进行跳板攻击

9、， 然后再对总部的数据中心进行渗透，在分支机构可通过下一代防火墙开启检测模块的方式进行部署。已有防御 类设备的分支机构可以采用安全检测探针的方式进行部署。方案特性全网业务资产可视化主动识别资产：通过安全检测探针可主动识别业务系统下属的所有业务资产，可主动发现新增资产，实现全网 业务资产的有效识别；资产暴露面可视化：将已识别的资产进行安全评估，将资产的暴露面进行呈现，包括开放的端口、可登录的web 后台等；业务系统访问关系：结合下一代防火墙配置的ACL访问控制策略，将逻辑访问图进行可视化的呈现以识别非法 的访问；业务系统应用及流量可视化；业务系统的应用、流量、会话数进行可视化的呈现，并提供流量趋

10、势分析。全网安全态势感知整体安全态势：结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价，以业务系统的视角进行呈现，可有效的把握整体安全态势进行安全决策分析；有效的攻击事件：通过旁路镜像的方式可将攻击回包状态进行完整的检测，结合业务系统的漏洞信息，可以识 别攻击成功的有效安全事件；失陷业务系统/资产：通过外发异常流量、网页篡改监测、黑链检测等检测技术确定业务系统/资产是否已被攻 击，并将资产存在的后门进行检测，并向管理员告知已失陷的安全事件；安全事件关联分析：将下一代防火墙及安全检测探针的安全事件进行关联分析，结合黑客攻击链进行关联分析， 并确定更加高级的安全威胁；新型/未知威胁

11、检测：通过安全云沙盒技术，可以实现对新型/未知威胁的快速检测。将异常流量引入到沙盒中 进行监测，一旦发现威胁可通过云平台快速下发策略实现第一时间的快速响应。异常行为分析及预警业务资产异常行为检测：包括业务资产在非正常时间主动发起的请求、业务主动向外发起非正常请求（如DNS 请求）等异常行为预警可能存在的安全威胁；内网横向移动行为检测：通过全流量的识别，可跳板攻击、横向移动的行为进行检测，包括对内扫描、对内利 用漏洞进行病毒传播、对内进行L2-7的攻击行为等；违规访问行为检测：结合全网的资产及访问关系可视，将违规访问业务系统的行为进行可视化的呈现，防止进 一步可能存在的攻击，并向管理员预警；潜在

12、风险的访问路径：将可能失陷的终端对业务系统的访问路径、存在异常流量及行为的终端/服务器的访问路 径进行预警，帮助管理员进行临时安全策略调整；简单易用的安件管理任务化的安全处置：从整体运维视角提供安全事件待办事项，管理员可直接进入待办事项进行任务化的安全运 维；人性化的安全事件管理：管理员可根据业务系统的重要性、失陷主机的风险等级等多个维度自主选择关注的安 全事件以及可疑行为；整体安全风险报表：基于业务系统的视角定期输出安全报表，对整体的安全态势进行全风险可视化的呈现；云化的安全服务支持：通过与云端进行联动，可通过智能化的方式提供安全服务，包括云检测、云扫描、专家 诊断，准确识别可疑的行为，并进行预警；全网安全地图展示：将多个节点的整体安全态势以行业地图的形式进行可视化的呈现，帮助用户进行全网的威 胁追踪。云化安全即服务：全网检测平台管理中心可通过与云端联动，实现云化的安全即服务，内网发现的可疑流量、 可疑行为，可由云端的安全专家进行协助分析确认。此外包括云化的各类安全服务，包括云扫描、云监测、威胁情 报等。方案价值全网安全检测可视化预警平台是应对传统防御体系无法适应新安全环境变化的有效