绿盟科技

解决方案

白环境解决方案

1.  概述

网络与信息系统承载着系统的各种业务/服务,IT用户需要利用这些服务以完成相应的业务。如收发公文、发送电子邮件、上网等等。安全管理的本质就是要保护这些IT用户合法、安全的使用IT系统提供的服务,保护IT用户通过PC/手机智能终端通过网络访问内、外部服务器上的服务或信息的合法、安全,也就是保护IT用户终端到服务器整个/部分数据流的安全。

当前,企业的内部IT系统多而杂,用户、内部服务器、外部服务期之间的访问关系非常复杂、多样,且随着用户访问行动、IT系统的发展处于不断变化中,难于精确掌控,导致一些的安全管理问题:1)安全域边界访问策略难于精细化控制;2)内部访问控制措施绕过难于发现;3)无法识别网络内存在的非法访问行为;4)无法监测出网络内可能存在的恶意代码通信行为;5)无法监测到网络内存在的非法接入终端,等等。如何解决这些问题成为安全运维管理人员迫切需要解决的问题;

绿盟科技长期致力于为客户提供全面的安全解决方案,拥有业界一流的安全研究分析团队以及安全知识库、安全信誉库,通过对典型客户的调研和分析,基于多年的产品研发经验和技术积累,研制了专用的设备和系统,实现了对网络内通信数据流的实时监测、分析、呈现,以及对各种非法数据流的取证、阻断,保证网络内通信流量的干净和有序。


2.  解决方案

2.1   解决思路和方法

通过在IT系统内部或IT系统与内部其他系统、外部网络互联边界处等关键互联节点部署网络监测/防护设备,实时对网络进行采集,并将所有监测数据送到安全管理中心通过统一统计分析和特征提取,根据分析结果对正常、异常、非法、恶意等不同数据流采取不同的安全应对策略,阻断恶意攻击和非法流量,使系统内的数据流保持正常、干净,我们称这样的环境为白环境。

根据数据流特征,绿盟科技将系统内的数据流分成黑、白、灰三色,并对不同颜色的数据流采取相应策略,不断收窄灰色流量的宽度,逐步实现一个可视、可管、可控白环境。流量分类及对策如下表所示:


分类

描述

应对策略

黑色

违反已知访问规则,基于安全知识库、信誉库监测到非法访问或符合已知威胁特征的网络流量。

记录、阻断和告警

白色

基于已知访问规则,可信、合法的网络访问流量。

放行

灰色

除黑色和白色流量之外的流量

记录和统计、分析,以及访问规则优化。

 

按照上述思路,我们采用以下关键技术方法:


  1. 多点采集和集中关联分析:流量采集探头覆盖系统的各个内外部边界,并由一个安全管理中心进行统一关联分析,对通过端到端的数据流(可能跨越多个服务器)或者外出/进入的数据流进行刻画,并实时显示在网络拓扑图上。
  2. 基于统计特征和包内容分析:采用智能协议识别技术,实现对数据报的准确、深度解析。在此基础上进行数据报的统计分析和数据内容的监测和分析。
  3. 白规则:根据系统业务访问、维护管理需要对数据流进行梳理,基于设备间的数据流信息,如源地址、源端口、目标地址、目标端口、协议类型,以及数据内容中的用户名、操作指令、操作对象、时间等多种特征信息,定义出终端、服务器及外部系统之间存在的合法互联关系,建立相应的合法通信规则。
  4. 融合监测技术:基于自有专利的白名单技术、威胁特征检测技术和强大安全信誉库的支持对系统内的数据流进行安全监测。
  5. 阻断技术:通过安全管理中心和现有防火墙、路由器规则或者入侵防护系统的互连接口,实现系统联动,有效阻断非法、恶意数据流。
  6. 可视化技术:通过网络数据流在数据拓扑图上的实时、分色可视化呈现,使安全管理人员对系统内数据流状态一目了然。并通过将IP与用户名、主机名、设备名等信息的关联,提高可读性。



2.2   方案组成和部署

本方案主要由安全监测设备(NGIPS)、安全管理中心(ESPC)、控制台(Console)等设备组成。按照流量采集、协议数据分析、白规则建立、信息展示以及白环境管理等逻辑划分为不同的功能层面,并实现对资产、应用、系统和流量分析等功能。

系统整体架构如下图所示:


 白环境解决方案整体架构


在实际应用中,安全检测设备(NGIPS)可以根据需要部署了多个数据采集节点,并统一由安全管理中心负责管理。

系统组成和部署如下图所示:

白环境解决方案部署架构


3.  方案价值

  • 数据访问管理可视化,提升运维管理体验
  • 及时发现未知主机/客户端,降低潜在威胁
  • 实时发现和洞察业务访问异常,辅助决策
  • 有助于提升安全访问控制的精准度和粒度,提升防护效果
  • 安全取证,便于追责


4.  特点和优势

  • 系统访问可视化,提升安全管理能力
主机、客户端、网络设备及应用的图形化呈现
IP地址到主机、系统、应用、用户名字的映射,提升可读性
端到端数据流的图形化展示

支持上下钻取分析


  • 全面、深度的协议数据监测和分析
支持常用的一百多种网络和应用层协议
可实现对包信息、包头数据、协议数据,以及时间等元数据采集
可实现基于用户名、源地址等信息的关联分析

可实现基于各种特征字段的统计分析


  • 客户自有业务分析支持
支持自定义协议功能,可实现对客户自有协议的分析

支持特定数据段内容提取和定义


  • 智能化学习和异常发现,便于使用
内置智能学习算法,可以自动建立基本的白规则
基于自有专利的白规则技术,实现异常的可靠发现

支持基于特征库、信誉库的检测技术


  • 统一安全管理,降低维护成本
统一设备与日志管理平台,提供可视化的安全管理界面;
提供资产导入导出管理支撑工具
提供丰富的报告分析;
降低企业安全运维成本;
可与其他安全设备进行对接