融媒体网络安全体系建设方案

融媒体网络安全体系建设方案目录Contents科学规划注重运营以战促建纵深信任科学规划01现状：网络安全旧常态被动的围墙式防护思路无法应对复杂的高级威胁；强调在线检测与实时防御，忽视了提前预警的安全价值；忽视日常安全服务的作用，出了问题才想到应急；很少去想一旦防不住该怎么办，缺少容灾、止损与恢复能力。现状-网络空间攻击新态势关键基础设施攻击勒索攻击、敏感数据窃取，直接威胁国家稳定和经济运行网络犯罪个人信息滥用，数据泄露、网络诈骗，数据窃取国家对抗和网络空间利益重新划分商业利益诉求和恐怖破坏目的交织，高智商利用高技术集团化对抗升级网络安全等级保护2.0，监督力度逐渐加强体系结构安全技术要求安全管理要求物理安全网络安全主机安全应用安全数据安全安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理2019.05.10“等保2.0”2017.06.01从合规到合法一个中心三重防御扩展要求可信计算新合规要求与新技术环境下，传统网络安全体系存在的问题随着网络攻击的打击目标、武器、战术等发生本质变化，目前的防护体系已经不能应对复杂的形势；宏观上缺少全局洞察和集中管控，导致防护对象“碎片化”;微观上“创可贴”式的建设，导致安全产品堆砌、防护失衡；云计算、大数据等新技术应用改变了信息化和业务环境，带来了新的安全威胁，但很多关键信息基础设施单位采用的还是传统的安全防护理念和技术手段。欠缺应对多样化、高级威胁的能力宏观还不成体系、微观还不成系统还没有很好地适应新IT技术和应用关口前移，基于等保2.0开展网络安全规划和体系设计同步规划同步建设同步运营基于动态防御的安全技术体系基于风险治理的安全管理体系安全计算环境基于数据驱动的安全运营体系安全管理人员安全管理制度安全管理中心基于三同步的安全体系规划平台安全通信网络安全区域边界安全基础设施安全法律法规安全物理环境防护检测响应识别移动互联安全安全建设管理安全管理机构安全运维/运行管理网络安全等级保护政策标准物联网安全工控系统安全大数据安全应用数据云计算安全等级保护建设不只是为了应对合规，更要重视安全效果，效果决定价值等保2.0时代，安全体系建设必须和新一代的信息化系统实现深度融合，全面覆盖，从而构建创新的安全体系网络安全是动态的，不是静态的安全能力从“防范”为主转向“快速检测和响应能力”的构建安全防护从“个体或单个组织”的防护，转变为“安全情报驱动”的信息共享、集体协作方式预测防御监控回溯缩小受攻击面缩短停摆时间高效分析处置采取预防措施巩固“城防”体系构建“塔防”体系失陷主机检测全局威胁感知线索关联、拓展一键隔离、阻断利用情报预知新威胁“免疫”Gartner:自适应安全架构新防御体系的指导思想迈向积极防御巩固防线纵深新防御体系消耗攻击资源迟滞入侵成功持续监测分析及时预警处置SANSInstitute:TheSlidingScaleofCyberSecurity安全能力的叠加演进：网络安全滑动标尺依赖进化注重运营02安全运营三要素数据+平台+团队大数据时代安全防护的“三位能力”系统数据情报以“数据驱动安全”为核心构建“三位能力”系统终端安全移动安全边界安全云安全内容安全网站安全工控安全无线安全安全治理态势感知安全运营威胁情报中心补天漏洞平台云安全中心大数据中心高位能力“大脑”中位能力“心脏”低位能力“五官和四肢”应急响应防火墙设备终端安全软件服务器防护软件上网行为管理/邮件网关被阻止的邮件或Web攻击邮件元数据

源邮件服务器识别Web访问历史纪录进出邮件的附件信息网关安全配置信息被阻止的攻击行为网络连接行为成功/失败的登陆进程的具体行为终端的合规状态终端安全配置信息被阻止的攻击行为网络连接行为成功/失败的登陆敏感的文件访问进程的具体行为终端安全配置信息被阻止的连接进出网络的流量协议隧道活动数据进出网络的总量涉及云端App的访问防火墙软件设置企业本地安全大数据分析平台低位：让每一类安全措施同时作为数据源中位：形成本地运营中心高位：以威胁情报驱动防御／检测分析／响应预防战术情报MRTI运营情报C&C：内网主机失陷检测IP信誉：互联网服务器防护文件信誉：主机内容检测威胁分析平台：报警分析、定性分析、关联分析事件/漏洞预警通告针对攻击发起方的攻击目的危害/范围怎么攻/怎么防战略情报大数据时代下面临的网络安全新威胁大数据时代的安全需要“三位能力”的协同专业化服务团队数据、平台、人构成的安全运营体系以战促建03实战型攻防演习常态化明确目标系统，不限制攻击路径，以提权、控制业务、获取数据为最终目的旁站攻击（内部攻击）WEB渗透暴力破解操作提权实战型攻防演习的意义认清现状！明确重点！保障进阶！面对有组织攻击，防护体系效果如何、系统安全现状怎样明确主要问题，在有限的时间和资源情况下，重点解决关键问题以实战为目标，梳理安全监管、安全运营工作，真正意义的应对实际发生的有组织攻击攻击者的流程1情报收集2建立据点3横向移动组织架构包括单位部门划分、人员信息、工作职能、下属单位等；IT资产包括域名、IP地址、C段、开放端口、运行服务、WEB中间件、WEB应用、移动应用、网络架构等；敏感信息泄露包括代码泄露、文档信息泄露、邮箱信息泄露、历史漏洞泄露信息等；供应商信息包括相关合同、系统、软件、硬件、代码、服务、人员等相关信息。目标相关人员信息和组织架构，实施鱼叉攻击或确定横纵向渗透路径；IT资产信息，为漏洞发现和利用提供数据支撑；供应商信息，为开展供应链攻击提供素材。找到薄弱环节后，攻击者会尝试利用漏洞或社工等方法去获取外网系统控制权限，一般称之为“打点”或撕口子。通过frp、ewsocks、reGeorg等代理工具建立隧道，形成从外网到内网的跳板，将它作为实施内网渗透的据点。在内网漫游过程中，攻击者会开展进一步信息收集和情报刺探工作，重点关注邮件服务器权限、OA系统权限、版本控制服务器权限、集中运维管理平台权限、统一认证系统权限、域控权限等位置，尝试突破核心系统权限、控制核心业务、获取核心数据，最终完成目标突破工作。攻击者的常用手段1利用弱口令获得权限2利用社工来进入内网3用旁路攻击实施渗透弱密码、默认密码、通用密码和已泄露密码通常是攻击者关注的重点。实际工作中，通过脆弱口令获得权限的情况占据90%以上。发送钓鱼邮件、通过客服系统、聊天软件、电话等方式也能取得不错的效果。攻击者会利用企业中不太懂安全的员工来打开局面，例如给法务人员发律师函、给人力资源人员发简历、给销售人员发采购需求等等。有时总部的网站防守得较为严密，攻击者很难直面硬钢，撬开进入内网的大门。此种情况下，通常攻击者不会去硬攻城门，而是会想方设法去找“下水道”，或者挖地道去迂回进攻，如将攻击目标转移至有专网互联的子公司。实战攻防演习的作用-树立正确的网络安全观四个假设系统一定有没被发现的漏洞一定有已发现漏洞没打补丁系统已被黑一定有内鬼四新战略新战具：第三代网络安全技术新战力：数据驱动安全新战术：零信任架构新战法：人+机器安全运营三位一体高位能力中位能力低位能力三同步同步规划同步建设同步运营三方制衡用户IT服务商安全公司以“四个假设”为前提进行保障以“四新战略”为原则设计关基安全方案以“三位一体”方法搭建关基安全体系以“三同步”思想做好关基的体系化保障以“三方制衡”机制构建综合高效系统迅速开展相关工作尽快启动准备工作，提前准备，提前部署；

确认目标系统，落实防守范围；

建设组织、职责，制定具体工作计划；

设备类查缺补漏，工具、平台引入，建设实战武器库；

引入技术支撑机构；先组织一次攻防演习，摸底看短板；

防守工具包流量监测分析各类日志检测域控安全监测流量攻击监测主机安全监测邮箱安全监测木马后门监测内网攻击行为诱捕准备阶段安全自查整改攻防预演重点防守纵深信任04典型场景：新IT基础设施下的大数据业务安全防护X部门X部门X部门…物理隔离物理隔离物理隔离网络隔离/数据隔离网络打通、数据融合、数据共享业务业务访问终端用户业务终端用户业务访问业务终端用户业务访问业务终端用户业务访问部省终端用户终端用户终端用户终端用户终端用户终端用户终端用户终端用户终端用户DC1DC5DC2DC6DC3DC4多云混合IaaS平台大数据DaaS平台市访问控制权限、内部人员威胁零信任架构—以身份为中心的动态可信访问控制应该假设网络始终存在外部威胁和内部威胁，仅通过网络位置来评估信任是不够的。默认情况下不应该信任网络内部或外部的任何人/设备/系统，而是基于认证和授权重构业务访问控制的信任基础。每个设备、用户的业务访问都应该被认证、授权和加密。访问授权应该是动态的，基于设备和用户的多源环境数据计算出来。John

KindervagBeyondCorp项目完成，在超大型网络中率先实现零信任。业界厂商大力跟进2009~20102011~2017NOW以网络为中心以身份为中心零信任架构的核心特性1.以身份为中心为网络中的人、设备、应用都赋予逻辑身份，并基于身份进行细粒度的权限设置和判定。2.业务安全访问业务隐藏，所有的访问请求（应用、接口等）都应该被认证、授权和加密。3.持续信任评估一次认证无法保证访问主体的持续可信度，需对终端、用户等访问主体持续进行风险感知和度量。4.动态访问控制访问权限不是静态的，而是根据主体属性、客体属性、环境属性和持续的信任评估结果进行动态计算和判定。身份是新边界少量的静态的物理的网络安全边界大量的动态的虚拟的身份安全边界零信任身份安全架构总结网络安全体系建设三同步网络设计资源池设计管理设计“规划”阶段业务评估业务迁移“建设”阶