引言
近年來,隨著國家對網絡空間安全越來越重視,有關網絡空間安全相關的政策、法規相繼頒布。
2016年12月,國家互聯網信息辦公室發布《國家網絡空間安全戰略》,明確了我國網絡空間治理的五大目標,提出四項原則并確定九個戰略任務。
2017年3月,外交部和國家互聯網信息辦公室發布《網絡空間國際合作戰略》,以構建網絡空間命運共同體為目標,以和平發展、合作共贏為主題,提出網絡空間國際合作的四項原則、六個戰略目標和九個行動計劃。
2019年5月13日,網絡安全等級保護制度2.0標準(以下簡稱“等保2.0”)正式發布,并于2019年12月1日正式實施。標志著等級保護2.0的正式啟動。
2021年6月10日第十三屆全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國數據安全法》,自2021年9月1日起施行。
習近平主席指出,要加強黨中央對網信工作的集中統一領導,確保網信事業始終沿著正確方向前進。各級領導干部特別是高級干部要主動適應信息化要求、強化互聯網思維,不斷提高對信息化發展的駕馭能力、對網絡安全的保障能力。
數字經濟的發展為網絡安全市場提供了機遇,同時也改變了網絡安全防護的邊界,本文主要從以下幾點探討當前網絡安全基礎防護的方式方法。
一、邊界防護
網絡安全基礎防護,首先是邊界防護,邊界防護首選防火墻。下一代多功能防火墻以保障用戶應用安全為目標,通過 L2-L7 層全面威脅防御及強大應用安全管控技術,為用戶提供超高性能的網絡安全解決方案。下一代多功能防火墻集成了基本防火墻、入侵防御/檢測、web應用防火墻、VPN、防病毒網關、抗DDoS網關等的功能,能提供多種防護能力,是未來網關類產品發展的趨勢,能夠實現深層防御、精確阻隔。邊界防護其次選網閘系統,網閘系統采用的網絡隔離技術,就是要保證網閘的外部主機和內部主機在任何時候是完全斷開的。但外部主機與固態存儲介質,內部主機與固態存儲介質,在進行數據傳遞的時候,有條件地進行單個連通,但不能同時相連。在實現上,外部主機與固態存儲介質之間、內部主機與固態存儲介質之間均存在一個開關電路。網絡隔離必須保證這兩個開關不會同時閉合,從而保證OSI模型上的物理層的斷開機制。
二、準入控制
基于非法設備接入的防范,網絡準入控制系統應景而生。網絡準入管理系統核心解決非法設備接入問題,規避由于非法設備接入引起的病毒傳播、惡意攻擊、木馬植入、數據竊取等安全隱患,系統具備網絡資產清點、網絡準入控制、主機規范管理、網絡邊界安全管理、啞終端仿冒管理等功能模塊,能夠有效解決私有設備接入網絡、主機規范不落地、設備非法外聯、資產管理混亂、非法仿冒、責任不能定位到人等現實問題。有效提升甲方在安全防護能力與管理水平,全面構建“摸清家底、理清資產;敵我分辨、隔離隱患;找出問題、規避風險;循環自檢、持續防護”的綜合性網絡邊界空間安全防護。
三、主動防御
除隔離內、外網絡,資產準入管控外,網絡安全風險管理控制系統能有效解決內網的脆弱性問題,將網絡安全被動防御轉變為主動防御。網絡安全風險管理控制系統基于網絡攻防滲透原理,融合云計算、大數據和人工智能等技術,以自動化方式,通過網絡安全巡檢、信息收集、虛實仿真、風險發現(含漏洞掃描功能)、風險利用驗證評估和風險報告等功能綜合分析,建立防護方案,實現事前主動發現安全風險,驗證風險,評估風險等級,進而主動修復風險,最終構建網絡安全風險管理控制體系。網絡安全風險管理控制系統能夠更精確發現內網風險、驗證風險、評估風險和修復風險,是未來網絡安全風險管控的關鍵性設備,代表了未來網絡安全防護發展的趨勢。
網絡安全風險管理控制系統采取旁路接入核心交換或者匯聚交換即可,網絡部署如下所示:
當前,網絡安全基礎防護采取邊界防護+風險管控+準入控制的方式,能有效保障系統安全。
四、網絡安全風控產品及方案
融訊RT-NSF100網絡安全風險控制產品系列,以主動防御為目標,基于網絡攻防技術融合云計算、大數據、人工智能等技術,將網絡安全被動防御模式轉變為主動防御模式。以軟硬件一體化產品形態,自動化運行方式,完成快速部署,操作簡易,便捷維護的工程化要求,實現事前主動發現安全風險、主動驗證風險可利用性、主動修復風險等,從而構建起網絡安全主動防御風險體系。
融訊RT-NSF100網絡安全風險控制產品圖
系統部署示意圖
網絡安全巡查
巡查在線狀態監控
●巡查設備包括主機、 服務器、網絡設備、安全設備等的在線狀態,是否可以訪問。
應用狀態巡查
●各種應用軟件、 系統,包括web系統、web服務、數據庫等的訪問狀態,訪問異常狀態.
巡查發現風險
●支持- 鍵巡查,可按種類、按周期、或者全面巡查等多種方式。
系統宏觀運行態勢
●支持異常報警、 定位風險與給出加固建議
資產發現與識別
資產、應用、服務信息自動識別
●識別設備端口、 服務、操作系統類型、web服務器版本,開發語言、插件;同時也可以識別設備類型、設備廠家等
自主可控信息識別
●主機、 服務器、數據庫、操作系統、打印機等工控信息設備識別
●識別工控設設備, 識別工控協議。同時可以識別工控設備的端口、服務、操作系統等
Web信息識別
郵件系統識別
風險發現
內置漏洞庫,月度更新
內置腳本庫, 月度更新
內置特有腳本庫, 月度更新
內置漏洞掃描引擎, 實現系統漏洞全面掃描
內置常見漏洞檢測插件,常見CMS漏洞檢測插件,系統采用插件式設計,支持可擴展
風險驗證與利用
內置滲透攻擊攻擊模塊
平臺內置滲透攻擊攻擊模塊可實現對 目標機器的遠程攻擊驗證,驗證漏洞,并向用戶展示漏洞的危害性。
自動化攻擊驗證
●平臺自動對 目標進行信息收集,根據收集的資產信息,如端口、服務搜索可能存在的漏洞,并檢索內置的產品庫、漏洞庫,智能選擇合適的檢測和攻擊腳本,實現-鍵式自動化攻擊驗證。
