行业应用 / APPLY

内网安全风险预警防御系统

 

网络空间安全风险预警指控系统基于网络攻防技术融合云计算、大数据、人工智能等技术，将网络安全被动防御模式转变为主动防御模式。以自动化运行方式，完成资产巡检、风险发现、风险识别、渗透验证与风险评估，实现事前主动发现安全风险、主动验证风险可利用性、主动修复风险等，从而构建起网络空间安全风险管控体系。

 

1系统建设目标

网络空间安全风险预警指控系统以主动防御为目标，基于网络攻防技术融合云计算、大数据、人工智能等技术，将网络安全被动防御模式转变为主动防御模式。

通过网络巡检、资产发现、指纹识别、风险发现、风险验证与风险报告，实现事前主动发现安全风险、主动验证风险、定位风险、处置风险等，从而构建起网络空间安全风险管控体系。

 

2系统架构设计

     网络空间安全风险预警指控系统从功能划分上由5个层次组成,包括：
     1)被管理对象层
     2)信息采集层
     3)信息汇聚层
     4)核心业务层
     5)应用与展示层

此外，系统提供与外部资源和系统进行接口交互，最终实现对中心网络安全防护、网络攻防、网络风险评估业务的支撑。

被管理对象层包括各类主机/服务器、安全设备、网络设备、工控设备、WEB应用、中间件、数据库、邮件系统和DNS系统等，通过在指定网络对这些对象信息的主动探测与收集，形成相关业务支撑的基础数据。

信息采集层包括主要包括设备信息采集、WEB应用信息采集、邮件系统信息采集、DNS系统信息采集、日志采集、流量采集、风险发现以及风险验证与利用的功能，实现信息主动探测、风险利用与验证的执行层。

信息汇聚层将信息采集层获取的信息进行数据的抽取、转换和加载后，通过分类信息的识别，分别将原始信息和分类信息存储在原始信息库和汇总信息库中，同时提供工具库、脚本库、相关特征库的管理。

核心业务层包括数据分析子系统、网络攻防应用子系统和管理子系统，是系统核心业务的主要承载层。

应用与展示层为用户提供人机交互界面，实现可视化风险验证与利用、风险评估展示等功能。

 

3系统网络拓扑

 

4关键技术

4.1基于风险管控的主动防御功能体系

基于资产识别与发现（网络设备、安全设备、终端、服务器等IT信息资源），通过漏洞库、脚本库、插件库、与场景模拟等发现风险，通过风险验证与利用评估风险，形成综合风险报告。

4.2基于渗透攻击脚本库的主动探测技术

基于资产识别与发现（网络设备、安全设备、终端、服务器等IT信息资源），通过漏洞库、脚本库、插件库、与场景模拟等发现风险，通过风险验证与利用评估风险，形成综合风险报告。

4.3基于网络安全服务的实时监控与探测技术

基于该系统可以对资产进行实时监控，能够及时发现资产在线情况和系统运行状态，支持进行全自动的主动探测和定期探测风险。

 

5.案例分析

5.1特种行业

需求一：资产与应用安全保密风险检测评估

内部有很多资产与应用，或者新的资产与应用入网前都要进行安全保密风险检测评估，安全风险有多样性的特点，目前检测工具多而杂，主要依靠人工来解决，容易遗漏或者忽视潜在风险，提升检测效率降低遗漏风险成为急需解决的问题。

应用：安全保密风险检测评估系统，采用了多样性的技术手段，可以自动或者半自动化的方式来进行风险检测，检测采用的技术方式丰富，系统性好，操作简单，并且通过对抗性验证检验检测来实现风险的准确定位，提高检测效率。

需求二：内部网络空间内资产与应用风险发现与加固，监控与预警

内部网络空间资产与应用等都会存在安全风险，需要检测发现风险降低遭受病毒或者黑客攻击的可能，同时监控内部资产的状态，发现与预警非法资产。

应用：基于安全保密风险检测评估系统，通过自动或者半自动化的方式来进行风险检测，该检测以无感的方式进行，不影响正常工作，不会对已有的资产或者应用产生负面效果影响生产工作。并且能通过对抗性验证检验检测来实现风险的准确定位。同时，能够对已有资产和应用状态进行监控，并且监控发现非法入网资产。

需求三：特殊网络场景仿真测试

特殊网络环境无法直接测试，需要线下测试某网络场景，并且测试过程中，网络结构及应用配置可能会频繁改动，需要做到网络配置所见即所得。众多的测试工具安装部署配置也会很频繁。

应用：这种测试场景通常需要投入很多的人力物力，但是通过安全保密风险检测评估系统的虚实结合仿真模块，可以很好的解决测试场景的问题，灵活性好，测试工具和手段丰富，不需要频繁安装，特殊工具也可以直接接入虚实仿真网络，可以大幅度提升测试效率，减少人力物力的投入。

5.2政府

需求四：网络安全保障风险预警

内部网络空间资产与应用安全运维，重点应用的状态监控，网络非法接入告警，资产与应用风险的提前发现与检测及加固，风险预警，建立主动防御体系，护网行动及网络安全周安全演练。

应用：通过安全保密风险检测评估系统多样化的技术手段，以自动或者半自动化的方式来进行无感的风险检测评估，并且监控应用和资产状态，发现非法资产，建立主动防御体系，风险预警，保障护网行动、网络安全周和安全运维等工作的顺利进行。

需求五：专网专用设备防护

专网空间专用资产与应用等都会存在安全风险，需要检测发现风险降低遭受病毒或者黑客攻击的可能，同时监控专用设备的状态，发现与告警非法资产。

应用：通过网络空间安全风险预警指控系统多样化的技术手段，以自动或者半自动化的方式来进行无感的风险检测评估，并且监控应用和资产状态，发现非法资产，建立风险管理控制体系，保障护网行动、网络安全周和安全运维等工作的顺利进行。

5.3企业基于渗透攻击脚本库的主动探测技术

需求六：安全服务工具及安全服务后续的安全保障工作

网络安全服务中包含渗透测试和网络安全风险评估工作，传统方式就是通过漏扫来进行，但是漏洞不等于风险，准确定位定性风险更重要。并且安全服务结束后，后续的安全保障工作怎么解决？现在这个后续保障问题都没有解决。

应用：通过安全保密风险检测评估系统多样化的技术手段，可以进行渗透测试、风险验证实时生成风险评估报告。检测采用的工具和技术方式丰富，系统性好，操作简单，并且以无感的方式进行不会对用户的设备和资产造成负面影响。在护网行动或者安全服务结束后，用户还可以通过安全保密风险检测评估系统进行后续的安全保障。