本帖最后由 胖子爱吃肉 于 2024-12-3 15:22 编辑
1、项目背景: 国家能源局、国资委等部门先后发布了《关于加强电力行业网络安全工作的指导意见》、《电力行业网络安全“十四五”行动计划》、《关于做好国资国企网络信息安全在线监管平台建设工作的通知》等文件,提出构建融合监测分析、情报预警、应急处置、统筹管理、协同联动为一体的电力行业网络安全保障体系,形成统一高效的风险报告机制、研判处置机制、网络安全协同工作机制。针对各类监管要求,集团公司针对下属单位进行网络安全态势情况检查,补充构建起网络安全态势可视、可知、可管、可控、可溯、可预警的综合防控系统,加强对下属单位安全监管和全局态势监测,实现上下协同联动处置效果。
2、建设范围: 此次为集团网络系统规划涵盖集团总部、分(子)公司和基层企业三级的安全态势感知体系,实现全集团安全状况的无缝覆盖、分级监测。 集团总部: 升级扩容安全态势感知平台,对接分(子)公司态势感知平台的上报数据,提供全集团统一的挂图作战、数据分析、风险研判、态势感知、指挥通报、联动处置,实现全集团网络安全风险可视,全面掌握集团网络安全信息。 分(子)公司: 复用原有的34套态势感知平台,新购8套态势感知平台,最终实现42家分(子)公司态势感知平台全覆盖。 基层单位: 基层企业在网络核心节点部署流量采集探针400+台,全面采集并检测所有流量信息实现监控无死角。
3、项目规划: 总体建设时间在2024年HVV前完成工程建设,满足国家HVV防守检测环境搭建。 3.3、版本规划: 集团总部 | 设备型号 | 软件版本号 | 规则库版本号 | 备注 | | | 安全检测特征识别库:2024-01-26 IOC威胁情报库:2024-01-25 文件智能分析模型库:2023-04-137 白名单库:2024-01-24 安全知识库:2021-12-09 热点事件库:2021-12-27 安全分析引擎(资产感知/脆弱性感知/数据流转/资产识别):2023-09-28 NetFlow行为分析引擎:2023-12-08 威胁情报关联分析引擎:2023-10-26 第三方安全检测引擎:2023-03-30 溯源分析引擎:2021-08-11 UEBA行为分析引擎:2023-12-07 SIEM日志范式化引擎:2023-03-31 | 互联网区-ARM | | | 管理网区-C86 | | | | 新建8家省分子公司 | SIP-1000-B400 | 3.0.77 | | 新建 | STA-100-B2200 | 3.0.71 | 新建 | 利旧27家省分子公司 | SIP-1000-B400 | 3.0.92 | | 需要升级 | STA-100-B2200 | 3.0.79 | 需要升级 | 354家基层单位 | STA-100-B2100 | 3.0.79 | 同上 | 新建 |
4、项目实施(略):
本文简单复述项目情况,交付过程不做赘述。过程中遇到的原理,后台命令,攻防常识已积累Xmind,有需要可联系37190获取。
5、HVV 5.1、HVV前检查: 5.1.1、版本/规则库/巡检检查(略) 5.1.2、探针镜像流量检查 镜像完整性/性能检查: 集团总部互联网区域4台万兆探针旁挂核心交换机分流器,通过分流器流负载策略,将镜像20G南北向流量均匀分布在4台探针上。探针性能根据SCP显示为网络吞吐10G,应用吞吐5G,4台设备满足性能要求。 探针模式检查: 对接SIP日志上传选择高级模式,确保HVV期间日志量丰富。 态势感知平台设备对接检查: 1、设备管理中设备在线状态是正常; 2、日志配置中网络流量日志设置是否全部开启,HTTP日志是否全部勾选,记录数据包HVV期间建议开启(可能影响性能); 3、IP范围定义是否合理,是否包含所镜像到的所有内网地址段; 4、内网DNS服务器问题确认,通过日志检索判断DNS地址是否镜像正确,有源有目的将DNS地址作为源加入白名单即可,仅有目的说明镜像正确,只有源地址需要调整探针部署位置或者配置对接DNS日志并加入白名单; 5.2、HVV期间: 5.2.1、战时指挥体系建设 深信服保障人员数量:此次共投入人员12人,其中安服项目经理1人,云端MSS项目经理1人,本地分析监测值守2人,客服1人,现场安服驻场1人,T2高级云端安全专家2人,后端专家4人。 5.2.2、安全防护体系建设 ![]() 集团整体情况: SIP 3套(16台虚拟化集群2套+4台硬件集群,探针6台(本部),IPS两台,内网防火墙4台。其中安全态势感知系统、防火墙每日更新规则库和特征库,定期进行系统补丁升级动作。 集团+11家省公司安全设备(SIP+AF+AES)对接SAAS XDR+MSSP平台,将本地网络侧流量安全日志和端侧威胁日志/行为日志统一上报到云端平台,由云端平台的AI、告警聚合、网端关联等引擎做二次检测,降噪后精准检出安全事件,提高了Web漏洞类、高级未知威胁类等等的检出效率;本地设备与云端联动,本地设备的全面识别、闭环能力,再结合云端的实时威胁情报、专家安全运营、全面的暴露面扫描能力,两面形成合力,把安全从云端再到网端,最后到终端进行全方位的识别和处置,提升安全建设的防护能力以及建设的全面性。 同时,集团SIP还对接了山石网科防火墙、微步TDP/TIP、奇安信云锁/天擎、蓝信设备。其中,对接山石防火墙联动封锁恶意IP地址,联动深信服IPS封锁恶意域名(山石无法封禁域名),调用微步TIP针对每条告警进行IOC提取,两个情报库进行自动碰撞提高IOC的可信程度,帮助客户研判,SIEM对接微步TDP丰富告警数据防漏报,SEIM对接奇安信云锁/天擎,上报终端数据,以及API调用进行主机杀毒,对接蓝信根据策略自动触发告警通报等功能。 响应策略联动山石防火墙封禁IP: 响应策略联动深信服防火墙封禁域名: 对接微步TIP调用威胁情报进行碰撞: 对接蓝信通知到责任人: 对接天擎进行主机隔离: SIEM对接奇安信云锁/天擎/微步上报第三方告警数据: 设置自动封锁策略,联动深信服防火墙进行自动封禁: 联动云端威胁情报协助分析: 5.2.3、演习时间/里程碑 5.2.4、威胁检测与防守对抗 外部攻击态势: 攻防演练期间,云端安全运营中心结合大数据平台主动分析外部网站攻击日志391.96万条,平均每周捕获网络攻击55.99万次,包含远控行为1694446次、账号爆破948661次、信息泄露332445次、反序列化144646次、开源和商业应用漏洞127895次。 威胁类型视角:业务资产遭受攻击次数较多的攻击类型:“远控行为”和“账号爆破”,占比分别52.96%和24.2%; 暴露面EASM态势: HW期间深信服安全运营中心安全服务专家协同深蓝实验室,共进行暴露面梳理6次,截至8.19日发现风险暴露资产10个,高危端口26个。以下为部分截图信息。 5.2.5、安全检测案例 6、价值兑现 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 
