安全感知、构建医院安全大脑解决方案

(构建医院安全大脑解决方案)1需求分析 11.1用户信息化和安全建设现状分析 11.1.1信息安全建设现状与分析 11.2行业现状和攻防对抗需求分析 21.2.1传统威胁有增无减新型威胁层出不穷 21.2.2已有检测技术难以应对新型威胁 21.2.3未知威胁检测能力已经成为标配 31.3现有安全体系的不足分析 41.3.1看不清自身业务逻辑 41.3.2看不见潜藏威胁隐患 61.3.3缺乏整体安全感知能力 72方案理念 92.1看清业务逻辑 92.2看见潜在威胁 2.3看懂安全风险 2.4辅助分析决策 3解决方案 3.1方案概述 3.2安全感知系统 3.2.1系统架构 3.2.2组件实现 3.2.3主要功能 4方案价值和主要技术优势 4.1全网业务资产可视化 4.2全网访问关系可视化 4.3多维度威胁检测能力 334.4安全风险告警和分析 344.5全局视角态势可感知 351发〔2016〕73号),提出要“健全网络安全保障体系”、要“全天候2高级持续威胁(APT攻击)等新型网络攻击愈演愈烈。3报告中还发表了一个数据，预测2020年，60%的信息安全预算的将用于快速检测和响应方面，而2013还不到10%。4看不清”和“三个看不见”,继而由此产生例如著名的孟加拉央行劫案，都不是通用安全防护设备能够应对的；56部人员的违规操作以及看不见内网异常行为，其7人工管看到看懂员安全组件护基础平台防防8传统的安全管理中心(SecurityOperationsCenter,SOC)无论9针对传统安全保障体系难以新型威胁和APT攻击，以及缺乏看到看见违规操作看见异常行为看见内部攻击百见终爆正见终爆感知的首要需求就是看清业务逻辑，即：>能够对业务系统的核心资产进行识别，梳理用户与资产的访>对业务资产存在的脆弱性进行持续检测，及时发现新业务上>传统的安全防御体系过于关注边界防护，对绕过边界防御的>黑客攻击过程特别是以窃取信息为目的的APT攻击，都具备较在产生实际危害前进行封堵；>对内部用户、业务资产的异常行为进行持续检测，通过建立>针对新型威胁快速更新迭代的特点，就更加需要建立海量威型威胁检测能力；>打破传统的网络拓扑展示局限，采取基于系统业务逻辑的业务访问视图，安不安全、哪里不安全一目了然；全面展示安全态势与辅助安全决策分析：>安全态势展示：可视化的形式呈现关键业务资产及针对关键>辅助决策分析：通过访问逻辑展示、主机威胁活动链分析、析和威胁攻击链钻取(潜伏威胁黄金眼),更是可以快速定位问题影响和源头，进行相应的分析研判；边界防善核心检测内网检离边界防善核心检测内网检离3.2安全感知系统o图3-2安全感知平台系统架构呈现内网业务资产及针对内网关键业务资产的攻击与潜在威>其他安全组件：安全感知系统可以对XX主流的安全产品，包事件，可提取URL记录和域名记录，在特征事件触发时可以基于五元1)基础检测能力2)深度检测能力访问特定的URL来获取或提交信息来完成的，还有病毒会通过1)失陷主机检测2)横向威胁感知包括：>进行基于特征匹配的攻击检测，即扫段>基于白名单策略的违规检测，发现资产行为偏离预设的安全>常见的风险远程登录、数据库请求行为3)外联威胁感知4)成功的事中攻击5)外部风险访问1)威胁情报关联据知识(包括情境、机制、影响等),来解决威胁或危害并进行决策前发生的事件，从而识别威胁并做出响应。情报系统具有如下能力：法才能绕过这种协防体系；针对性的威胁情2)大数据关联分析Server,然后以此为基地，对网络中其他主机发起恶性攻击。仅仅靠历史攻击记录)关联起来，还原整个攻击场景，形成攻击故事，帮助1)安全总览与大屏可视>安全总览视图：可以一目了然的看到全网信息资产安全风险>全网攻击监测可视：攻击态势地图能够呈现攻击与外联的地>分支机构监管可视：对全网的综合安全信息进行网络态势监>风险外联监测可视：失陷业务及用户的外联是数据失窃和黑2)潜伏威胁黄金眼>可以通过特定IP自动关联分析挖掘与之相关联的资产和业务>提供基于查询IP为根节点的树状业务访问和攻击过程关系网>基于关系网络的任何结点，双击即可进行快速下钻分析，深>提供原始日志的关联展示，可以随时根据需要查看特定结点、有业务资产，可主动发现新增资产，实现全网业务资产的有效识别；信息与暴露面进行呈现，包括开放的端口、可登录的Web后台等；之间访问关系，能够识别访问关系的Who,What,Where,When,How,通过颜色区分不同危险等级用户、业务系统。提供以下展示：并提供快捷的搜索。供T人员在业务迁移和梳理