xx头部高校云网端安全运营建设方案
第1章 综述1.1 建设背景互联网已成为我国社会正常运行的重要载体。随着物联网、云计算、大数据、5G 等新技术新应用的普及,海量数据大集中的趋势日益明显、企业数据聚集规模快速膨胀,利用漏洞窃取用户数据、加密勒索等网络安全风险日益突出。 XX大学需要进行整体安全建设整改,整个网络拓扑需进行额外梳理和改造,改造分为校园网和数据中心两部分,提供自身安全建设能力,需要做到动态对抗化,智能化,形成全面的安全运营体系。 1.2 痛点分析1.2.1 整体学校网络需求 整个学校网络架构不清晰,访问关系较不清晰,区域访问间缺少明确访问路径,缺少明确防护对象,只有局部安全防护,没有整体网络安全联动体系。 1.2.2 校园网需求外部校园网各大运营商资产不清晰,整个流量走向不确定,网络风险入口不清晰。 1.2.3 数据中心需求数据中心区域安全建设混乱,部分区域无七层防护,VPN虚拟专网接入管理不明确,缺少确定的安全域。 1.2.4 安全运营需求建设后的运营过程中,针对安全网络态势进行运营分为。分别对各个人员进行需求分析,然后匹配对应服务或者功能,详情见《xx头部高校云网端安全运营-需求管理表》。
1.3 建设目标 针对需求进行整改建设,并且设计校验指标进行质量校验,确认满足各个层级需求 1.3.1 整体学校网络目标梳理校园各自安全区域,改造新建网络。遵从国家网络安全法律法规和相关政策,将等级保护等合规基线融入到整个安全保障体系中去,并且建立动态的安全运营防御体系,实现云+网+端一体化联动,构建全校网络安全建设能力。 1.3.2 校园网目标梳理校园网络流量走向,发现新不足点,提出整改建议。 1.3.3 数据中心网络目标梳理数据中心业务防护,提供安全专业建议。进行整体安全区域划分和拦截防护访问。 1.3.4 安全运营目标全面完成学校网络和业务访问关系梳理,针对重点校园网和数据中心区域进行云网端一体化联动建设,解决对应安全风险,结合云端形成云+网+端+服务的安全运营体系,保障学校不出网络安全问题,并且逐步运营提升自身安全运营成熟度等级。 1.4 安全运营交付设计说明本次网络改造整体分为三个阶段,一是数据中心七层网络改造以及安全区域建设;二是校园网络流量梳理和安全建设整改;三是学校整体安全防护联动和云端对抗安全防护提升。明确整体建设目标,通过云端监测响应+本地防御值守,构筑立体安全保障体系保障攻防对抗全流程安全。 图 1�4-2 整体框架示意图 第2章 资产梳理XX大学重要资产列表如下,由于资产梳理众多,分为了《xx头部高校云网端安全运营-资产梳理清单.xlsx》和《xx头部高校云网端安全运营-https业务梳理.xlsx》:
第3章 项目交付方案3.1 整体部署视图3.1.1 拓扑概况现有拓扑情况 脱敏删除 改造后拓扑情况: 脱敏删除 最终建设预想拓扑情况: 3.1.2 设备清单本次实实施作设备清单以及软件版本如下: 附件 3.2 数据中心一期改造方案3.2.1 边界防火墙策略级别梳理一、目标 边界防火墙上的规则设定事关整个数据中心与外部网络的联通规则,涉及信息服务、信息安全。本规则文件是在《xx策略管理办法》、《xx使用方法》、《xx防火墙规则依据》三份文件的基础上建立的级别规则文件。用于在非常时期提升防火墙防护规则、访问规则的依据。 二、名词 互联网域:指处于校园网以外的物理网络、虚拟网络等非校园网边界范围内的界域 校园网域:指处于数据中心与互联网域之间的物理网络、虚拟网络等网络界域 any域:指同时包括互联网域和校园网域的网络界域 端口:指提供网络服务的程序或系统需要监听的端口 公共服务端口: 一般应用端口: 黑名单: 白名单: 三、级别说明和业务流梳理 《数据中心拓扑》已脱敏删去 在防火墙应用控制区域做ACL,默认拒绝以白名单形式放通,按顺序规则如下 0.特别放行的条目,要求源地址明确,目的地址明确,端口any,放行permit 1.xxx 四、七层安全策略结合业务梳理 在保障七层安全策略效果最佳的同时,不影响学校业务,从上到下依次是: ①单独针对某个业务对象的特定七层安全策略拒绝; ②除开①类的通用防护安全策略拒绝,或者特定业务允许的七层安全策略; ③针对所有业务防护的兜底的安全策略拒绝,针对所有用户防护的兜底安全策略拒绝 注:后面序号的安全策略业务对应不应包含前面安全策略,否则策略会匹配上影响业务 3.2.2 边界防火墙改造架构说明一、防火墙架构描述 (1)主备工作机制描述 两台AF采用的是主备部署,两台虚拟成一台使用,主机工作转发报文,备机只进行配置同步,不转发任何报文,配置只能在主控配置,备控设备通过主控跳转登录,设备登录后只能观察,不能修改配置。主备设备会使用同一个接口IP地址,切换后IP地址保持不变,只工作一台设备保证上下来回路径一致。 (2)地址分配 两台AF的名称为数据中心边界防火墙-1和数据中心边界防火墙-2 两台设备目前的地址分配如下: 主 内网口eth7 : 外网口eth8 : 心跳口(主)eth5: 心跳口(备)eth6: 备 内网口eth7 : 外网口eth8 : 心跳口(主)eth5: 心跳口(备)eth6: 注:登录设备从内网口web登录,https://,外网口禁止web登录设备。 (3)设备面板灯 Ha灯常亮为主机,Ha灯闪烁或者熄灭为备机 (4)配置保存 设备无需单独保存配置,每次变更策略后会自动保存配置,关机/重启不会造成配置丢失。同时设备有自动备份机制,每天00:01:47左右会自动备份配置。 (5)开关机操作 开关操作:先在双机配置部分,同步配置,然后直接断电即可;或者设备界面关闭机器,顺序先关闭备机,再关闭主机。 重启操作: 1. 重启前先进行同步配置操作; 2. 先重启备机,然后重启主机,重启后的开机时段,建议先拔掉备机业务线,待双机正常再接入备机业务线;
3.2.3 边界防火墙IP规划此处存放IP地址规划表 3.2.4 边界防火墙改造割接方案 此处存放建设或者改造过程的割接方案,需要跟前面的架构和策略级别梳理保持一致,此处替换思科,替换方案脱敏删去。 3.3 校园网络一期改造方案3.3.1 校园网络基础流量梳理 《校园网Xx拓扑》已脱敏删去 从拓扑图可以看出,学校分为两个校区,xx校区和xx校区。xx校区校区具备xx网和移动、电信、联通四大运营商,且学校内部业务都是通过xx校区xx网发布,其余运营商均只走学生上网流量。xx校区校区不具备xx网,所以内部业务会通过xx校区xx网发布,xx校区和xx校区之间通过业务聚合链路相连,此为梳理后整个学校网络业务发布走向。 3.3.2 校园网出口安全建设改造 从上述流量梳理可以看出,xx校区xx网出口是学校业务发布的重中之重。且只存在单台设备流量,和简单防护,原有墙过于老旧。此次改造会针对xx校区xx网出口进行七层防护新增,且主备冗余增加。且已经整改完成,输出具体方案如附件。 3.4 学校整体网络联动安全整改建设 从3.1章节的整体部署视图核查各个区域业务流量和功能策略规划如下: 学校整体安全区域划分为互联网出口域,对外服务域,其他业务域,核心业务域,运维管理域,学生终端接入域,核心交换域 完成各类产品的基础上架交付,确保产品的网络连通性和基础配置正确。此类配置可以先线下完成,完成并确认配置无误后,在申请的割接窗口时间进行上线,减少业务中断的时间影响。 3.4.1 互联网出口域统一出口主要是为整个攻防对抗安全建设的总出口,承载整个学校xx网对外交互的数据,以及需要对外部提供的服务。整体设计遵循以下原则: u 业务连续性保障:出口所有设备/线路均采用冗余备份机制,任意设备故障,不影响单节点的业务运行,而任意节点故障,不影响整网业务运行; u 安全性保障:做为与外界交互的主要进出口,需要对外部发起的攻击进行第一道识别和拦截,同时,内部主动发起到外部的攻击,同样需要有相应的识别和拦截机制,防止对外部业务产生的破坏,以及外部监管机构识别后带来的影响; u 带宽资源保障:涉及到两部分,一是在出口多条外网线路上,需要有相应的监控和识别机制,确保数据进/出可以选择当前最优的线路进行通信。二是在内到外的数据整形,在有限的带宽资源下,需要重点保障重要业务数据优先,而非重要业务数据,根据带宽空闲情况进行智能调整。 u 快速响应安全事件:可接受安全大脑的态势感知平台调度,在态势感知平台识别到风险后,快速下发策略或者封锁到出口防火墙,实现风险快速响应及扩散限制。 3.4.1.1 下一代防火墙部署n 实施设备:两台下一代防火墙(AF-2000-XX) n 功能: 统一出口的安全控制、加固 n 接口及链路规划: n 部署实施 1、 基础网络:根据上述接口链路规划表,完成设备基础网络规划; 2、 非安全域 to 安全域防护策略:根据实际需求,开启非安全域到安全域的安全防护策略,包括应用层攻击防护、ACL策略、DOS/DDOS攻击等; 3、 安全域 to 非安全域防护策略:根据实际需求,开启安全域到非安全域的安全防护策略,包括僵尸主机、病毒传播、被利用对外DOS攻击等; 4、 设备冗余:两台防火墙设备透明主主部署,上/下联线路采用两个网口聚合方式进行对接,实现任意设备或者下联线路故障,不影响业务正常通信,保证业务的可靠性和连续性。 3.4.1.2 上网行为管理部署n 实施设备:四台上网行为管理(AC-XX) n 功能: 整体上网行为的管控和审计,同时开启QOS的流量整形,保障重要业务数据在带宽分配上的高优先级。 n 接口及链路规划: n 部署实施 1、 基础网络:根据上述接口链路规划表,完成设备基础网络规划; 2、 上网行为管控:根据实际需求,开启上网行为的控制,建立基线标准,非法/不良/敏感的信息,进行一定的控制,非授权用户不允许随时访问; 3、 上网行为审计:符合国家网络安全法的日志留存要求同时,详细记录网络通信过程中产生的相关日志信息; 4、 流量整形:识别重要/关键业务情况,根据实际需求,对重要/关键业务进行带宽资源的保障设置。同时针对非重要/关键业务进行带宽资源限制,而业务空闲期,允许非重要/关键业务智能进行带宽的扩充调整。 3.4.2 对外服务域业务发布区,做为整个业务提供的区域,整体建设除了需要保障业务连续性外,还需要把此区域做为安全建议的重中之重。需要根据业务特性,进行个性化的安全加固策略调整。整体设计遵循以下原则: u 业务安全性保障:在等保的基础上,深入了解各业务系统特性,制定个性化的安全加固策略,最大程度抵御来自内/外部的非法攻击; u 业务连续性保障:在业务资源池的模式下,需要保障出现单主机异常情况后,有实时的业务状态监控机制,确保可以快速调度业务访问请求到正常的主机来提供服务。实现最大程度的业务连续性保障。 3.4.2.1 SSL VPN部署n 实施设备:一台SSL VPN设备(SSL-xxx) n 功能: 针对移动办公用户提供安全接入的通道,确保在外网可以安全接入到内网进行指定业务系统的通信访问 n 接口及链路规划: n 部署实施 1、 基础网络:根据上述接口链路规划表,完成设备基础网络规划; 2、 认证接入:根据实际需求,采用多因素认证的方式,保障接入人员的身份合法性; 3、 权限控制:根据接入用户的职能,授权指定访问资源,最大程度限制在外网接入时的具备的操作权限。 4、 自身安全:根据SSL VPN加固指导,完成SSL VPN自身的安全加固保障。同时acheck工具检查通过。 3.4.2.2 探针部署n 实施设备:一台探针设备(STA-若干) n 功能: 采集业务发布区交换机上的流量,对风险数据进行识别并上报态势感知平台,由态势感知平台进行汇总分析后,统一展示与处置。 n 接口及链路规划: n 部署实施 1、 基础网络:根据上述接口链路规划表,完成设备基础网络规划; 2、 流量采集:根据实际需求,在探针设备上完成数据采集口配置。同时在业务交换机上完成镜像数据配置,把数据镜像到探针设备; 3、 态势感知对接:配置探针与态势感知设备的对接互连,确认探针采集并识别的数据已正确传送到态势感知平台; 3.4.3 核心业务域3.4.3.1 下一代防火墙部署n 实施设备:两台下一代防火墙(AF-xx) n 功能: 数据中心安全防护,划分安全域和非安全域两个区域,基于区域进行安全策略的配置。同时可接入态势感知平台的联动封锁调用 n 接口及链路规划: 3.4.4 其他业务域3.4.5 运维管理区运维管理区,构建以安全运营、运维管理为中心的运维中心,通过运维中心,实现对全网的安全管理、安全运营,减少子IT人员的投入,以及能力要求的高度。整体设计遵循以下原则: u 构建安全管理平台:统一采集分布在全网各关键节点的风险信息,在安全管理平台上进行统一分析展示,并可联动各关键位置的防火墙、终端检测设备,进行快速处置闭环。从而实现云网端立体化的安全建设目标; u 构建运维管理平台:全国各深信服设备,统一接入到运维管理平台,上报设备状态及运行状态。同时,特殊时期,通过运维管理平台,可统一给各节点位置的设备下发指定的策略。从而实现在省运维中心全局观察全网的网络状态,以及构建基础的策略保障,而又不影响节点有自身个性化需求的配置。 3.4.5.1 态势感知平台部署n 实施设备:态势感知平台(SIP-XXXX) n 功能: 采集全网各关键节点的风险数据,提供统一分析并展示能力。同时对明确风险数据,联动对应节点的防火墙、终端检测设备进行快速处置闭环。 n 接[size=13.3333px]接口规划同上 n 部署实施 1、 基础网络:根据上述接口链路规划表,完成设备基础网络规划; 2、 数据采集:全网各节点的探针、防火墙、终端检测设备均完成到态势感知平台的接入; 3、 数据分析:根据实际需求,态势感知平台开启相应的风险分析引擎,对采集上来的数据进行统一分析。 4、 统一展示:根据实际需求,通过大屏来展示所关注的风险维度,实时进行相应的风险展示。 5、 联动处置:根据平台分析展示的风险,对明确的外部风险,联动防火墙进行联动封锁,防止持续攻击。而明确的内部风险,联动终端检测进行风险处置,防止横向扩散。 3.4.5.2 终端检测平台部署n 实施设备:一套终端检测平台(EDR-XXXX) n 功能: 统一对安装了EDR_agent业务系统/主机进行管理和安全赋能 n 接[size=13.3333px]接口规划同上 n 部署实施 1、 基础网络:根据上述接口链路规划表,完成设备基础网络规划; 2、 终端病毒查杀:根据实际需求,设定病毒查杀的方式与频度,对已完成agent安装的主机,定期进行病毒查杀; 3、 微隔离:根据实际需求,对安装agent的主机,进行东西向流量的限制,最大程度减少数据中心主机感染风险或者被非法控制后,带来的横向扩散/攻击风险。 3.4.5.3 日志审计部署n 实施设备:一台日志审计(LAS-XXXX) n 功能: 实现数据中心各关键节点通信信息的日志采集 n 接口及链路规划: [size=13.3333px]接口规划同上 n 部署实施 1、 基础网络:根据上述接口链路规划表,完成设备基础网络规划; 2、 完成设备主要日志备份和记录,方便溯源可查 3.4.5.4 堡垒机部署n 实施设备:一台堡垒机(OSM-XXXX) n 功能: 统一对数据中心的运维进行管理,要求所有关键系统的运维都必须通过堡垒机来进行 n 接口及链路规划: [size=13.3333px]接口规划同上 [/table] n 部署实施 1、 基础网络:根据上述接口链路规划表,完成设备基础网络规划; 2、 实现所有运维可视可控,所有操作过程均有对应留存。 3.4.6 核心交换域广域网区域,为各分部及有专线的分支提供业务资源的访问接入,同时站在安全视角观测,同样也为攻击提供了新的入口。所以该区域一方面需要保障业务访问的稳定接入,另一方面,也需要保障安全的接入。整体设计遵循以下原则: u 稳定接入:该区域均采用设备级和线路级的冗余,任意的单点故障,不影响业务的正常接入; u 安全接入:各分部、分支接入访问的数据,进行安全过滤,明确提供的业务服务范围,细化权限,按照最小化服务提供原则进行ACL控制。同时关闭分部、分支到集团总部的高危端口访问,如RDP、SMB等协议,开启病毒过滤等。保障分部、分支感染风险后,对集团总部的影响降低到最小。 3.4.6.1 探针部署n 实施设备:一台探针设备(STA-xx网) n 功能: 采集业务发布区交换机上的流量,对风险数据进行识别并上报态势感知平台,由态势感知平台进行汇总分析后,统一展示与处置。 n 接口规划同上 n 部署实施 1、 基础网络:根据上述接口链路规划表,完成设备基础网络规划; 2、 流量采集:根据实际需求,在探针设备上完成数据采集口配置。同时在分部和分支交换机上完成镜像数据配置,把数据镜像到探针设备; 3、 态势感知对接:配置探针与态势感知设备的对接互连,确认探针采集并识别的数据已正确传送到态势感知平台; 3.4.7 终端接入域办公区域,构建安全上网,绿色上网的环境。此环境中, 办公区域与互联网通信的控制主要是互联网区域的防火墙和行为管理来进行。而此区域主要的工作,是部署EDR的agent在上网终端上,确保终端被感染风险。 3.4.7.1 主机agent部署n 实施设备:主机agent部署 n 功能: 主机安装agent软件,实现主机病毒查杀、漏洞修复、微隔离等一系列主机安全防护。 n 接口及链路规划:不涉及 n 部署实施 agent安装部署,目前可以支持的方式共有安装包部署、网页推广部署、联动AC推广部署、虚拟机模板部署、域推脚本部署、脚本批量部署、离线包部署七大类。部署可以考虑采用【联动AC推广部署】的方式来进行; 3.5 产品联动上线交付(含MSS服务) 所有联动完成后,按《xx头部高校云网端安全运营-流量镜像日志核查》进行流量范围覆盖检查,然后按《xx头部高校云网端安全运营-安全运营检查清单》进行安全效果质量检查 3.5.1 网端间联动(具体配置根据新版本来,已脱敏删除)打通本地部署的设备之前的联动关系,为安全态势感知(SIP)为核心运营大脑,各产品接入到SIP平台,实现日志统一分析展示,同时统一下发联动封锁或者处置关闭。减少日志碎片化的问题,提升攻防对抗的时效性及完整性。 3.5.1.1 AF接入SIP平台AF与SIP的联动,目前有三个功能点: 1、 AF同步本地的安全日志到SIP平台统一展示分析; 2、 SIP根据AF上报的信息,生成资产暴露面梳理的清单; 3、 SIP对风险IP进行联动封锁或者应用控制策略下发 3.5.1.2 EDR接入SIP平台EDR与SIP的联动,目前有三个功能点: 1、 EDR上报日志到SIP平台,通过SIP平台统一分析和展示; 2、 SIP联动EDR进行相应的风险处置,快速闭环主机问题; 3.5.1.3 AC接入SIP平台 对接说明: SIP与AC对接需要分认证用户对接,和下发联动策略对接。 联动配置步骤: 步骤一:认证信息同步,通过AC转发认证信息到其它深信服设备,以及与SIP对接的共享密钥,配置如下。 步骤二:在AC上配置与深信服设备对接的配置,勾选共享密钥和账号密码,勾选开启资产信息上报,上传的IP地址填写SIP的IP。 步骤三:SIP上新增对接的AC设备。配置步骤一对应的共享密钥,以及步骤二对应的认证账号/密码。 对接成功检查: 1、AC的用户可以同步到SIP 2、SIP可以联动下发策略到AC 3.5.1.4 SSL 接入SIP平台(1)在VPN页面配置感知平台IP地址,SSLVPN M763-M768的版本配
(2)在感知平台设备管理页面新增SSL VPN设备,页面如下:
日志说明:
SSLVPN日志有:用户信息、管理员操作日志、系统日志三种;
用户信息(登入、登出、访问资源等)平台新增了表单和页面展示,管理员操作日志和平台的操作日志放在一起,系统日志没有暂时没用; 3.5.1.5 云镜接入SIP平台3.5.2 云网间联动本地设备与云端联动,本地设备的全面识别、闭环能力,再结合云端的实时威胁情报、专家安全运营、全面的暴露面扫描能力,两面形成合力,把安全从云端再到网端,最后到终端进行全方位的识别和处置,提升安全建设的防护能力以及建设的全面性。 3.5.2.1 SIP接入云脑平台SIP与云脑的联动,目前有两个功能点: 1、 云脑持续对SIP本地的能力赋能,比如各类规则的更新,未知威胁的云端检测等; 2、 威胁情报共享,在攻防对抗中,云端获取相应威胁情报后,下发SIP联动AF进行联动封锁; 3.5.2.2 AF接入云脑平台AF与云脑的联动,目前有两个功能点: 1、 云脑持续对AF本地的能力赋能,比如各类规则的更新,未知威胁的云端检测等; 2、 威胁情报共享,在攻防对抗中,云端获取相应威胁情报后,可以下发AF进行联动封锁; 具体配置如下: (1) AF自身具备联接互联网权限,至少具备云脑的访问权限; (2) AF设备开启相应的功能授权,主要包括云脑-云智、云脑-云鉴 l 云脑-云智:持续对基础功能和增强功能的安全能力进行升级,包括:URL、WAF、IPS、IOC等库的升级更新,保持设备具备检测防御最新威胁的能力。 l 云脑-云鉴:云网联合,主动对未知威胁(URL、文件、DNS行为等)进行云端多引擎和沙箱分析,同时交付本地网关杀毒的安全能力,注意:新架构版本换新为了云威胁情报网关。 (3) AF设备【系统】-【系统配置】-【通用配置】-【隐私设置】位置,开启【授权云鉴上传未知威胁、授权云智更新安全能力库】,注意,该功能默认开启,: 3.5.2.3 SIP接入MSS平台[size=13.3333px]见最新接入文档 3.5.2.4 AF接入MSS平台[size=13.3333px]见最新接入文档 3.5.2.5 EDR接入MSS平台见最新接入文档 对接成功检查: 配置好后,需要到线上的MSS安服人员进行确认是否对接成功。 第4章 安全运营指导规范攻防对抗过程中,产品主要从迎战和实战两个阶段着手,重点梳理资产风险加固情况,对抗正在发生的攻击行为。借助产品,在上述两个阶段,建议使用以下模块进行方案的保障。 [table]
建议使用模块
阶段 模块 说明 推荐程度
用于发现全网的安全事件,并做快速研判分析、封锁处置。
用于分析失陷主机被黑客攻击的攻击路径,体验性功能,受限使用
通过查询攻击者发起攻击的字段分析攻击,或者通过日志的攻击频率等信息分析攻击。
分析引擎分析出来的异常场景,结合具体客户业务关系排查是否存在危险业务访问行为。
4.1 迎战阶段保障迎战阶段,产品方面从资产发现、暴露面管理、脆弱性识别等维度进行保障设计,梳理加固资产,收敛暴露面积,缩减攻击路径,提升防护能力,建立监测能力。 4.1.1 资产发现交付人员,利用STA或者云镜,发送发起扫描的指令,进行资产扫描,并且可以根据客户场景进行灵活的策略配置,以便于发现更多资产信息,进行全面资产管理。 步骤一:在【资产中心】-【资产感知】-【资产页面】,可以先新增资产组,新增时推荐按照IP范围来进行区分(若按照接入设备区分,可能出现同一台设备被不同接入设备同时上报,导致同一个资产同时属于多个资产组,对客户造成困扰) 步骤二:在【资产中心】-【资产感知】-【资产发现页面】,点击新增扫描策略,输入策略名称、选择扫描器并配置扫描类型、扫描目标 u 当选择“云镜扫描器”的时候,界面如下。默认并发扫描为128,建议不做修改。然后开启服务/端口、操作系统,将资产信息补齐,: u 当选择“探针”的时候,探针并发扫描数量是后台默认配置,: u 配置执行方式。有两种立即扫描和定期扫描,定期扫描配置如下,设置开始扫描事件和扫描间隔。最后输入扫描目标。可以自己输入某个IP、IP段,也可以指定IP组进行扫描。 步骤三:配置策略完成后,扫描器主动对资产进行扫描 步骤四:扫描完成后,可以点击查看结果查看扫描出的资产信息,: 注:此环节也可以让MSS和安服配合进行资产梳理 说明:资产发现完全之后,若有外网流量通过访问URL或者域名方式访问资产,探针会获取域名信息并上报给平台;在资产的详细信息中可查看到资产关联的域名,在暴露面管控功能中可以与域名对应的外网IP自动关联,: 4.1.2 脆弱性分析查看当前资产是否存在漏洞、弱密码的风险。对资产进行针对性加固。 4.2 实战阶段保障实战阶段,依赖人+设备的快速响应事件,快速闭环处置。识别风险,通过相应手段把风险将对网络造成的影响降至最低,同时现场人员对设备以及资产进行风险分析,针对分析后的结论产出相应的事件报告进行上报。 4.2.1 实时攻击分析攻防对抗场景下,一般产生的攻击日志会比较多,直接分析并不方便,并且最担心的是一些需要重点关注的安全事件被海量数据掩盖。所以需要有方法将多条日志以同源IP、同目的IP、同攻击手法的形式归并展示,并且对重点关注事件进行及时监控。整体分析流程可以按以下步骤进行。 4.2.1.1 查看关注事件u 筛选访问方向。先看是否有来自内网的攻击,再看外部攻击;优先处置来自内网发现的事件。 u 可以优先筛选事件的攻击结果,处置攻击成功的安全事件。这里客户根据个人需求对事件类型、威胁等级、处置状态等进行筛选, 再点击保存,保存当前配置状态。 u 点击投屏,聚焦查看安全事件列表内容。可以查看到安全事件列表 u 查看关注事件。点击红点或告警事件数,可快速过滤出告警事件,再进行处置 4.2.1.2 初步研判事件点击事件描述进行初步研判。内容包含两部分:威胁详情描述事件详情信息,威胁行为描述举证内容。 注:研判和日常运营监控可以配合MSS一同进行值守,主要还是依靠线上运营服务进行常态化监控和重保监控,依托线下驻场进行处置配合。 4.2.1.3 封锁处置经过研判后,对攻击者进行快速封锁处置,主要是联动AF设备,对全部AF设备下发封锁策略。 u 选择封锁的IP,默认为攻击IP,如果客户研判发现是xff代理IP是真正的攻击者,就进行选择; u 选择封锁截止时间,建议可以是攻防对抗结束的时间,封锁IP后,该攻击IP后续再产生的相关事件都会自动标记成已处置,不用再另外处置; u 如果没有深信服AF,客户可以选择复制攻击IP或XFF代理IP,线下封锁攻击IP,然后在平台上进行标记处置,同样,来选择攻击者发生的相关事件进行标记处置; 4.2.2 日志检索分析SIP平台上日志的呈现速度是最快的,可以充分保障时效性。而缺点是日志量会很大,给分析查看会带来一定障碍。而大部分来自互联网的攻击都是无效的,逐一排查也会耗费很大的人力成本。 4.2.2.1 基于攻击种类筛选查看每种类型的日志数量情况,分析出攻击者在一个时间端使用较多的攻击,若需要搜索关键字段,可以使用多个条件进行合并搜索,如可以搜索网站攻击中的SQL注入并且回复状态码为200的日志。 4.2.2.2 攻防方向筛选通过筛选方向来选取来自内部的攻击。通常内网的攻击无论成功与否都至少代表一台内网主机存在失陷风险。确认内网没有攻击后,再进一步来关注来自外网的攻击行为。 4.2.2.3 WEB攻击筛选在攻防对抗期间,WEB安全会成为主要的攻击对象,所以需要重点关注WEB攻击以及WEB资产的安全状态。 4.2.3 脆弱性分析在以上动作都完成后,可以在该页面查看,是否有脆弱性需要处置。 4.3 威胁情报共享威胁情报来自于云端和本地,其中本地产出来自于平台自动化检测和客户自定义的威胁情报。而外部来源于深信服云脑和安全专家结合分析获得的攻击IP。 4.3.1 自动联动封锁在攻防对抗场景下,可以开启自动联动封锁,将获取到的情报自动下发给AF进行封锁处置,提高处置效率。本地情报可以选择封锁时长,永久或自定义时间。云端情报获取的攻击IP是自带封锁时长,所以这里不需要配置封锁时长 4.3.2 手动联动封锁在攻防对抗场景下,在驻场人员分析能力及精力有保障的情况下,也可以根据情报信息:区域、来源,进行人工判断后,手动对情报进行封锁处置 4.4 联动封锁除了威胁情报共享功能中,带来的相应风险IP外,SIP平台上,同时还会分析记录大量的攻击数据。基于这些自动化分析给出的数据,再辅以人工的分析判断,对明确的风险IP,同样可以进行一键联动AF,进行封锁,减少持续攻击带来的风险。操作方法如下: 步骤一:手动输入封锁对象,输入IP、域名、URL,选择封锁截止时间、联动设备,然后提交 步骤二:点击自动联动封锁后,在攻防对抗场景下,如果担心在夜间的时候会有攻击者侵入,可以自定义启用周期,然后配置封锁对象,对象来自安全日志的攻击者,配置严重等级配置和网段进行封锁。 另外,配置白名单,将不自动封锁的攻击IP、网段填写 步骤三:下发成功之后,在AF黑名单列表中可以查到相应的IP,并且标注封锁来源。 4.5 误判处置在对抗过程中,对于分析出来的误判,或用户网络中一些代理等设备加入排除名单。SIP分为全局白名单、失陷主机检测白名称、脆弱性检测白名单以及自定义安全事件。 4.5.1 全局白名单该功能模块的作用,可以针对具体的源IP、目的IP、URL等,设定针对攻击类型的排除。 4.5.2 失陷主机检测白名单目的:将IP完全排除,该IP不会出现在失陷主机名单中 适用:如将探针、防火墙、VPN等客户内部已经部署的、不关注的设备进行全部排除,这些设备因其业务特性往往会被识别为失陷主机。 其他入口: 在失陷主机的单个IP详情页中,点击“未处理”进行白名单排除。 4.5.3 脆弱性检测白名单目的:将分析为误判的漏洞,或用户不需要关注的漏洞加入到白名单中。 适用:适用于探针,防火墙、云眼上传的漏洞信息。加入白名单后,后续漏洞信息不会再分析 4.5.4 自定义安全事件目的:自定义某个安全事件的等级,甚至排除这个事件。 位置:在安全事件列表中,或某主机的详情页中的举证列表中,鼠标移动到“失陷确定性”或“威胁等级”,出现“file:///C:/Users/Sangfor/AppData/Local/Temp/ksohtml9472/wps11.png”后点击该图标进入排除。 方式:两个等级可以随意调整。但如果都调为正常,则为排除该事件。 作用范围指当前排除针对哪些IP,默认当前主机,仅对当前主机的这个事件做排除,后续不再展示。若选为全部主机,则整个事件不会再出现。 4.6 安全分析日报步骤一:生成日报之前,需要先设置重保时间,在重保中心->设置->设置重保时间 步骤二:在攻防对抗期间内,支持对安全分析日报手动立即导出、自动每日导出,导出后选择相应的安全日报进行下载 第5章 应急&回退具体详见《应急回退预案》。 第6章 项目培训方案根据客户不同需求制定培训方案第7章 项目总结7.1 项目经验总结阶段名称 | 经验总结 | | 在需求调研阶段需要针对各个层级进行调研,明确各个层级对安全建设和安全运营的需求,制定安全运营建设目标并达成一致,方便在项目收益中做检视 | | 方案规划之前需要先进行详细的资产梳理,包含IP资产和设备资产等等,同时需要明确各个安全域的访问关系走向,方便基于目前针对性进行功能规划 | | 交付阶段需要关注实际接线场景,功能配置,保障项目在最小业务影响进行交付,中间涉及多次交付变更,需要制定详细的配置和变更方案 | | 价值呈现主要在两方面,一方面是安全建设中各个策略以及防护提升优化,二个是结合MSS安全运营过程中从资产、威胁、脆弱性方面达到的安全效果 |
7.2 项目收益总结 详情见《xx头部高校云网端安全运营-年度安全运营总结汇报》无法脱敏删除 阶段名称 | 经验总结 | | 1.全校整个设备和网络流量以及各个安全域进行了完整梳理,基本理清了各个业务数据流访问关系; 2.数据中心改造价值呈现如下:①数据中心区域具备新的七层防护和高级安全功能包含但不限于应用控制有效性策略整理、层防护资产梳理和安全策略整理、无效白名单整理清除;②数据中心区域具备冗余性,且完成测试;③数据中心区域完成思科配置配置转移④数据中心区域完成安全运营联动对接。 3.校园网改造价值城下如下:①出口防火墙双活替换完成,②安全防护规则库更新完成,③安全防护策略梳理重新达到最优; 4.整体安全运营设备相关加固联动和梳理,形成了云+网+端联动防御体系; | | 1.资产运营方面通过主动或者被动的方式进行了有效梳理,资产管理解决了资产不清晰及运营资产无法有效感知的问题,对影子资产及废弃资产进行了关机处理,减少威胁暴露面,及时发现新上线业务系统及已下线的业务系统,并且对xx系统进行风险评估,主要包含漏洞扫描,基线核查,威胁排查等工作。 2.脆弱性运营方面监测到漏洞风险xx个,弱密码风险xx个,业务弱点风险 xx个;业务侧完成漏洞问题的处置xx个,业务弱点问题处置xx起,弱密码问题共计处置xx起;遗留处理中的脆弱性问题xx个。 3.威胁运营方面,服务内资产总共监测到xx次有效攻击;黑客威胁处置率达到100%,确保了黑客攻击无法产生进一步危害。通过威胁狩猎方式发现x个图书馆网站x处高危漏洞:SQL注入,有效的避免了被黑客利用。失陷主机协助处置xx台,针对失陷主机提供处置方法、工具和远程协助,完成高风险主机的查杀处置,消除隐患。重保值守xx次,常态化监控xx天。 4.安全咨询和安全培训服务开展xx次,提高了xx人的安全意识和能力 |
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 
