2020-08-31 15:42:19
來源:深信服科技
業(yè)務系統(tǒng)的網(wǎng)絡(luò)安全如同生產(chǎn)安全一樣重要,系統(tǒng)如果遭受黑客攻擊,輕者導致業(yè)務無法正常運行,重者引發(fā)化工生產(chǎn)安全事故。總之,一旦出現(xiàn)網(wǎng)絡(luò)安全事件,將會給單位帶來巨大的災難和難以彌補的損失。而問題的根源可能只是源于簡簡單單的一條“僵尸”訪問控制策略。
業(yè)務復雜為策略持續(xù)有效帶來挑戰(zhàn)
近年來,中化國際(控股)股份有限公司(下稱“中化國際”)致力于打造智慧化工的發(fā)展理念,智慧化工的基礎(chǔ)來自于應用的智能化、業(yè)務的多樣化、網(wǎng)絡(luò)的互聯(lián)性,將條碼倉庫管理系統(tǒng)、ERP管理系統(tǒng)等業(yè)務系統(tǒng)形成互聯(lián)互通,而這協(xié)同作業(yè)的龐大內(nèi)部網(wǎng)絡(luò),安全性需要大量的訪問控制策略來保障。由于業(yè)務變更頻繁,原有匹配的訪問控制策略形成暴露面成為安全隱患。
1. “僵尸”訪問控制策略為黑客提供入侵通道
當存在無業(yè)務流量匹配的“僵尸”訪問控制策略時,網(wǎng)絡(luò)中任意一臺主機均可通過該策略開放的權(quán)限,成為入侵業(yè)務系統(tǒng)的跳板,而讓數(shù)據(jù)中心的風險暴露面不斷擴大。比如原先條碼倉庫管理系統(tǒng)開放了一端口訪問的權(quán)限,當條碼倉庫管理系統(tǒng)更換端口,原有舊端口訪問權(quán)限還在,一旦被黑客利用,后果不堪設(shè)想。
2. 業(yè)務開放性加劇威脅傳播
由于業(yè)務辦理與維護需求,中化國際需建立文件共享、遠程桌面運維等機制,需建立放通SMB、RDP等高危端口訪問的訪問控制策略。而由于業(yè)務連續(xù)性要求,若無法及時修補相關(guān)漏洞,可能導致漏洞容易被利用,或是由于病毒擴散、惡意程序傳播,導致業(yè)務資源被耗用或破壞。
安全有效防護,建設(shè)業(yè)務的智能安全邊界
作為中國化工物流業(yè)務領(lǐng)域規(guī)模最大的國際標準液體化工品物流服務商,中化國際擁有龐大的數(shù)據(jù)中心網(wǎng)絡(luò),訪問控制策略數(shù)量高達數(shù)千條。為了更好地保障訪問控制策略持續(xù)有效性,同時有效消除網(wǎng)絡(luò)系統(tǒng)潛在的安全隱患,中化國際將數(shù)據(jù)中心網(wǎng)絡(luò)安全加固提上議程,完成關(guān)鍵區(qū)域-數(shù)據(jù)中心邊界的安全加固。
結(jié)合智慧化工建設(shè)目標,中化國際從消除業(yè)務安全隱患出發(fā),通過深信服下一代防火墻,實現(xiàn)安全有效的邊界防護。
1. 實時業(yè)務監(jiān)測,保障持續(xù)有效
管理員以下一代防火墻自動對數(shù)據(jù)中心的業(yè)務資產(chǎn)及互訪關(guān)系進行識別,通過一段時間的業(yè)務訪問趨勢分析是否存在長時間無人訪問、使用高危端口、端口開放過大等風險的業(yè)務資產(chǎn),對現(xiàn)有訪問控制策略存在的安全隱患進行摸底。管理員根據(jù)相關(guān)處置建議進行資產(chǎn)清理或策略調(diào)優(yōu),后續(xù)可基于防火墻實時監(jiān)測業(yè)務資產(chǎn)的安全性,避免由于業(yè)務上線時端口不明晰或業(yè)務下架時相關(guān)策略未注銷,引入潛在安全威脅對業(yè)務造成實際性危害。
▲業(yè)務資產(chǎn)管理
2. 智能變更管控,全程可視可控
管理員通過下一代防火墻的策略生命周期管理,可記錄每一次策略變更詳情,并詳細考究變更時間、操作人員、變更原因、變更內(nèi)容等信息。針對多人協(xié)作、固定操作窗口時間進行策略變更的情況,下一代防火墻給運維人員提供一整套用于判斷是否因變更失誤導致策略失效的舉證信息,管理員可根據(jù)變更記錄快速恢復策略有效性,保障安全策略持續(xù)有效的同時,極大地降低了運維難度。
▲策略生命周期管理
3. 精準識別風險,阻斷威脅傳播
通過邊界部署的下一代防火墻,基于內(nèi)網(wǎng)主要應用漏洞POC進行防護,有效識別業(yè)務與主機流量傳輸中的非法請求,包括SSH加密漏洞利用、內(nèi)網(wǎng)慢速爆破等過去難以識別的威脅;針對無法連接互聯(lián)網(wǎng),導致安全規(guī)則更新不及時的問題,通過下一代防火墻內(nèi)置SAVE安全智能檢測引擎實現(xiàn)未知威脅攔截。尤其勒索病毒的檢測,在百萬級勒索軟件樣本集合對比測試中,可達到99.99%無誤報的精準識別。
聚焦安全效果,深信服下一代防火墻秉持“有效防護 靈活易用 安全可視”的安全理念,不斷進行技術(shù)更新,持續(xù)增強安全能力,更有效的幫助用戶抵御安全威脅。截止目前,深信服下一代防火墻有6萬+ 臺在線設(shè)備穩(wěn)定運行,覆蓋全行業(yè),贏得各級政府單位、教育、醫(yī)療、大型企業(yè)、金融等眾多用戶的認可,廣泛應用于互聯(lián)網(wǎng)出口、對外業(yè)務發(fā)布、分支機構(gòu)、數(shù)據(jù)中心、物聯(lián)網(wǎng)等場景,為更多用戶業(yè)務提供持續(xù)的安全保護!
擬態(tài)分布式文件存儲設(shè)備云計算在軍隊信息化建設(shè)中的應用在線學習室產(chǎn)品選型論:PC還是云桌面?---“軍事職業(yè)教育”在線學習室建設(shè)思考與分析【信服博士談存儲】海量非結(jié)構(gòu)化數(shù)據(jù)存儲中的小對象合并技術(shù)銀河麒麟云平臺軟件大數(shù)據(jù)技術(shù),發(fā)展趨勢如何?突破性能極限,阿里云神龍最新解讀弱電機房綜合布線如何設(shè)計與施工?數(shù)據(jù)中心可視化運維管理系統(tǒng)大數(shù)據(jù)引發(fā)混合云井噴 四大場景與三大技術(shù)
