引言
近年来,随着国家对网络空间安全越来越重视,有关网络空间安全相关的政策、法规相继颁布。
2016年12月,国家互联网信息办公室发布《国家网络空间安全战略》,明确了我国网络空间治理的五大目标,提出四项原则并确定九个战略任务。
2017年3月,外交部和国家互联网信息办公室发布《网络空间国际合作战略》,以构建网络空间命运共同体为目标,以和平发展、合作共赢为主题,提出网络空间国际合作的四项原则、六个战略目标和九个行动计划。
2019年5月13日,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,并于2019年12月1日正式实施。标志着等级保护2.0的正式启动。
2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。
习近平主席指出,要加强党中央对网信工作的集中统一领导,确保网信事业始终沿着正确方向前进。各级领导干部特别是高级干部要主动适应信息化要求、强化互联网思维,不断提高对信息化发展的驾驭能力、对网络安全的保障能力。
数字经济的发展为网络安全市场提供了机遇,同时也改变了网络安全防护的边界,本文主要从以下几点探讨当前网络安全基础防护的方式方法。
一、边界防护
网络安全基础防护,首先是边界防护,边界防护首选防火墙。下一代多功能防火墙以保障用户应用安全为目标,通过 L2-L7 层全面威胁防御及强大应用安全管控技术,为用户提供超高性能的网络安全解决方案。下一代多功能防火墙集成了基本防火墙、入侵防御/检测、web应用防火墙、VPN、防病毒网关、抗DDoS网关等的功能,能提供多种防护能力,是未来网关类产品发展的趋势,能够实现深层防御、精确阻隔。边界防护其次选网闸系统,网闸系统采用的网络隔离技术,就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。但外部主机与固态存储介质,内部主机与固态存储介质,在进行数据传递的时候,有条件地进行单个连通,但不能同时相连。在实现上,外部主机与固态存储介质之间、内部主机与固态存储介质之间均存在一个开关电路。网络隔离必须保证这两个开关不会同时闭合,从而保证OSI模型上的物理层的断开机制。
二、准入控制
基于非法设备接入的防范,网络准入控制系统应景而生。网络准入管理系统核心解决非法设备接入问题,规避由于非法设备接入引起的病毒传播、恶意攻击、木马植入、数据窃取等安全隐患,系统具备网络资产清点、网络准入控制、主机规范管理、网络边界安全管理、哑终端仿冒管理等功能模块,能够有效解决私有设备接入网络、主机规范不落地、设备非法外联、资产管理混乱、非法仿冒、责任不能定位到人等现实问题。有效提升甲方在安全防护能力与管理水平,全面构建“摸清家底、理清资产;敌我分辨、隔离隐患;找出问题、规避风险;循环自检、持续防护”的综合性网络边界空间安全防护。
三、主动防御
除隔离内、外网络,资产准入管控外,网络安全风险管理控制系统能有效解决内网的脆弱性问题,将网络安全被动防御转变为主动防御。网络安全风险管理控制系统基于网络攻防渗透原理,融合云计算、大数据和人工智能等技术,以自动化方式,通过网络安全巡检、信息收集、虚实仿真、风险发现(含漏洞扫描功能)、风险利用验证评估和风险报告等功能综合分析,建立防护方案,实现事前主动发现安全风险,验证风险,评估风险等级,进而主动修复风险,最终构建网络安全风险管理控制体系。网络安全风险管理控制系统能够更精确发现内网风险、验证风险、评估风险和修复风险,是未来网络安全风险管控的关键性设备,代表了未来网络安全防护发展的趋势。
网络安全风险管理控制系统采取旁路接入核心交换或者汇聚交换即可,网络部署如下所示:
当前,网络安全基础防护采取边界防护+风险管控+准入控制的方式,能有效保障系统安全。
四、网络安全风控产品及方案
融讯RT-NSF100网络安全风险控制产品系列,以主动防御为目标,基于网络攻防技术融合云计算、大数据、人工智能等技术,将网络安全被动防御模式转变为主动防御模式。以软硬件一体化产品形态,自动化运行方式,完成快速部署,操作简易,便捷维护的工程化要求,实现事前主动发现安全风险、主动验证风险可利用性、主动修复风险等,从而构建起网络安全主动防御风险体系。
融讯RT-NSF100网络安全风险控制产品图
系统部署示意图
网络安全巡查
巡查在线状态监控
●巡查设备包括主机、 服务器、网络设备、安全设备等的在线状态,是否可以访问。
应用状态巡查
●各种应用软件、 系统,包括web系统、web服务、数据库等的访问状态,访问异常状态.
巡查发现风险
●支持- 键巡查,可按种类、按周期、或者全面巡查等多种方式。
系统宏观运行态势
●支持异常报警、 定位风险与给出加固建议
资产发现与识别
资产、应用、服务信息自动识别
●识别设备端口、 服务、操作系统类型、web服务器版本,开发语言、插件;同时也可以识别设备类型、设备厂家等
自主可控信息识别
●主机、 服务器、数据库、操作系统、打印机等工控信息设备识别
●识别工控设设备, 识别工控协议。同时可以识别工控设备的端口、服务、操作系统等
Web信息识别
邮件系统识别
风险发现
内置漏洞库,月度更新
内置脚本库, 月度更新
内置特有脚本库, 月度更新
内置漏洞扫描引擎, 实现系统漏洞全面扫描
内置常见漏洞检测插件,常见CMS漏洞检测插件,系统采用插件式设计,支持可扩展
风险验证与利用
内置渗透攻击攻击模块
平台内置渗透攻击攻击模块可实现对 目标机器的远程攻击验证,验证漏洞,并向用户展示漏洞的危害性。
自动化攻击验证
●平台自动对 目标进行信息收集,根据收集的资产信息,如端口、服务搜索可能存在的漏洞,并检索内置的产品库、漏洞库,智能选择合适的检测和攻击脚本,实现-键式自动化攻击验证。
