CN114189355A - 一种分层网络安全防护一体化联动防御方法 - Google Patents
一种分层网络安全防护一体化联动防御方法 Download PDFInfo
- Publication number
- CN114189355A CN114189355A CN202111332303.XA CN202111332303A CN114189355A CN 114189355 A CN114189355 A CN 114189355A CN 202111332303 A CN202111332303 A CN 202111332303A CN 114189355 A CN114189355 A CN 114189355A
- Authority
- CN
- China
- Prior art keywords
- network
- boundary
- protection
- security
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 title claims abstract description 27
- 239000003245 coal Substances 0.000 claims abstract description 8
- 238000007726 management method Methods 0.000 claims description 65
- 230000006870 function Effects 0.000 claims description 27
- 241000700605 Viruses Species 0.000 claims description 26
- 230000008447 perception Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 12
- 230000000903 blocking effect Effects 0.000 claims description 11
- 230000002265 prevention Effects 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000008901 benefit Effects 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 230000002155 anti-virotic effect Effects 0.000 claims description 3
- 238000012550 audit Methods 0.000 claims description 3
- 238000013475 authorization Methods 0.000 claims description 3
- 230000002457 bidirectional effect Effects 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 claims description 3
- 238000010219 correlation analysis Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 239000006185 dispersion Substances 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 238000002955 isolation Methods 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000005065 mining Methods 0.000 claims description 3
- 230000002093 peripheral effect Effects 0.000 claims description 3
- 230000008439 repair process Effects 0.000 claims description 3
- 230000000007 visual effect Effects 0.000 claims description 3
- 238000012038 vulnerability analysis Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims 1
- 230000006399 behavior Effects 0.000 description 24
- 230000004044 response Effects 0.000 description 6
- 210000004556 brain Anatomy 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000001066 destructive effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 208000003443 Unconsciousness Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000002040 relaxant effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种分层网络安全防护一体化联动防御方法,包括以下步骤:通过分析煤矿企业网络安全形势,提出了以边界防护、终端防护、一体化综合防御的技术原则,将内外网物理隔离和区域划分,根据不通区域的重要性划分出不同等级安全域,并针对性进行安全防护。本发明将内外网物理隔离和区域划分,根据不通区域的重要性划分出不同等级安全域,并针对性进行安全防护。简化了网络防护难度,减轻了网络流量负担。
Description
技术领域
本发明涉及网络安全防护技术领域,尤其涉及一种分层网络安全防护一体化联动防御方法。
背景技术
传统的网络安全构架是分区、分域、分界放置安全设备,这样往往都是“各自为阵”,很难对数据进行共享,不能形成纵深的联动防御。现如今面对复杂且有针对性、有目的的网络威胁,我们需要尽快打通这些安全设备的信息共享,将这些安全数据集中起来,建设基于大数据的威胁情报库。另外,传统的防御技术都是通过库数据对比,也就是和以往出现过的病毒、威胁等对比发现威胁,这种防御技术往往比较被动。现如今我们不但需要和以往安全库对比,更要使被动防御转为主动防御,这就需要对数据流和数据行为进行分析识别,并作出相应响应。
随着信息化的高速发展,攻击手段也层出不群,普通的木马、蠕虫、病毒攻击虽然大量存在,但其造成的威胁已被现有的安全设备遏制,对企业的威胁也甚小。而新的一种威胁ATP(高级可持续威胁攻击),也称为有目的威胁攻击,一些有目的的人或组织为了达到某些利益,通过长期并有针对性对一些网络资源进行持续性攻击,依靠各种手段如木马、漏洞、社工、供应链等持续性获取网络资源,不断深入网络,最终达到想要获取的资源。由于企业网络环境复杂和局限性导致无法及时的发现APT攻击,难以做到及时完整的追踪溯源,以上方法存在以下问题:
(1)人的不安全行为成为企业网络威胁的最大因素。随着信息化应用的不断发展,企业员工对网络的依赖程度越来越高,但恰恰企业员工对网络安全的意识比较淡薄,人的有意识或者无意识的操作,可能会让企业的重要机密泄露,让企业陷入危机。“钓鱼网站”、“恶意邮件”、“捆绑应用”等非法链接或应用,利用人们的心理通过引诱方式,从而获取个人信息或企业信息,给企业、个人带来不可估量的损失。有数据现实,大部分的IT安全事故都是由企业员工造成的,因此企业网络安全中人是最薄弱的环节,采用技术手段提高网络防护对网络安全具有非常重要的意义。
(2)企业网络安全防护形式单一。网络建设中没有对网络安全进行统一规划,只是在需要时单一的增加网络安全设备,企业网络防护对象、防护手段呈“碎片化”,各类安全设备和防御策略不统一、各自为战,导致网络节点不断增加,造成网络资源浪费,网络瓶颈增多,故障点难查等问题,且形不成统一的安全防御体系,对网络安全管理及防范并没有明显提高。
(3)高素质网络安全管理人员的缺失“束缚”企业网络安全。网络安全“三分装备”、“七分管理”,所以网络安全管理人员的素质、责任心成为关键。往往大部分煤炭企业重装备,不注重人才的配备和培养,其主要表现为:网络管理人员并非网络安全、信息技术相关专业人员,专业知识的匮乏对网络安全管理就显得很难着手;企业网络安全管理工作者只专注于企业内部的网络安全工作,很难适应当前网络安全工作中对复合型网络管理技术人员的需要;没有对网络安全问题引起足够重视,随意更改策略、放宽权限,造成管理缺失、管理无效等问题。
发明内容
基于背景技术存在的技术问题,本发明提出了一种分层网络安全防护一体化联动防御方法。
本发明提出的一种分层网络安全防护一体化联动防御方法,包括以下步骤:
S1:通过分析煤矿企业网络安全形势,提出了以边界防护、终端防护、一体化综合防御的技术原则,将内外网物理隔离和区域划分,根据不通区域的重要性划分出不同等级安全域,并针对性进行安全防护;
S2:将企业网络边界防护按照区域可分为互联网边界,内外网边界、工业网边界,第三方接入边界,不同的边界所连接的区域的安全级别不同,因此网络安全防护的方式和方法也不相同;
S3:通过对不同安全域的行为管控、流量管理、准入控制、策略细化、以及终端设备的安全管理措施,从人的行为、设备管控、网络安全态势感知等手段进行全方位管控,实现一套横向到面(网络层级)纵向到底(接入到核心)、能够闭环管理(发现威胁-报警-处理)、联动处置(系统发现威胁后能自动阻断威胁源)的综合网络安全防御体系;
S4:针对人的问题,采用终端安全防护手段。依据大数据采用多种病毒库引擎分析,通过部署一套集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体的终端安全立体防护系统,实现终端安全防护。针对煤炭企业多存在办公地点多、面广、分散等特殊因素,系统的部署采用分级部署、分级管控、综合管理的模式,即在总部部署总控制中心,在每个二级单位部署分控制中心。总控中心可离线或在线更新病毒库、漏洞补丁库,各分控制中心从总控制中心下载升级的库文件,各二级单位的终端从单位的控制中心进行升级和下载相关升级文件,这样总控中心可以管理全网资源,也能分级管理,即减少总控中心的管理压力,节约网络带宽,也能满足分级管理的策略下发,实现不同区域的管理需求,主要实现的功能:1、全网终端病毒查杀。,2、定期修补漏洞3、总控中心可以对全网资产全面管理4.分级运维管控。5.移动介质管理。6.终端入网管控;
S5:边界防护建设,将网络边界防护按照区域可分为互联网边界,内外网边界、工业网边界,第三方接入边界,不同边界不同防护方法;
S6:一体化网络安全防御体系分析及方法,基于大数据进行自动化挖掘并云端关联分析,提前发现各种安全威胁,并对威胁进行分析研判。结合公司的态势感知设备,通过流量进行分析、对比、发现等路程及时发现威胁;;
S7:数据摆渡功能,即内外网边界、工业网边界之间数据传输一直处于物理断开状态,数据通过中间缓冲区存储转发,且设置未单向外传,实现业务互通。同时减少网络入侵的可能性。
作为本发明的进一步方案,所述S5中的互联网边界,互联网具有数据透明、流量不可控、行为无法预知等不确定因素。因此,在互联网边界部署防火墙、上网行为管理、认证准入、态势感知等设备,加强互联网应用和访问管理。①网络准入管理。通过网络终端设备和人员的双重授权、终端安全检查和修复、访问权限管理、终端安全监控等手段,构建可视化网络接入和网络控制手段,在网络接入管理层实现“看见、掌控、更安全的接入”。②通过防火墙对上网终端进行相应的控制。开启漏洞攻击防护、WEB应用防护、DOS/DDOS防护、ARP欺骗、僵尸网络防护等策略保证互联网不被外界入侵,并通过实施漏洞分析内容病毒防御策略、WAF防护、ATP检测等功能实时检测网络中的非法流量进行报警阻断。③通过行为管理设备,设定相应的策略,对公司互联网终端的操作行为及对外的应用访问进行管理。比如对一些敏感网站、敏感字段、敏感端口、游戏、P2P流量、代理工具、远程登陆工具等功能进行管控,保障互联网终端运行在健康的环境中。④通过防火墙、态势感知系统、上网行为管理系统对网络进行实施监测。对发现的异常情况和存在风险IP地址第一时间进行排查问题,通过网络阻断、物理隔离等方式及时处置,及时进行断网、查杀、比对,并做好信息收集工作。
作为本发明的进一步方案,所述S5中的内外网边界、工业网边界,内外网边界和工业网边界是一个高危边界区域,时刻都有来自外部的威胁,是内部网络受到互联网入侵的必然通道,因此该处边界是我们防守的重中之重。正常边界之间数据流都是我们熟知的业务和数据进行共享,并且大部分数据处于单向外传。因此,该区域边界部署一套网闸设备来实现数据传输。
作为本发明的进一步方案,所述S5中的第三方接入边界,该处边界一般都是与银行、政府管理机构等具有较高机密性,并且相对安全的区域进行业务互通,且数据传输都是双向的。而该处有明确的业务数据流和明确的IP地址,甚至可以精确到端口号。该边界防护只需要固定的IP地址、端口号、协议数据通过即可,因此我们在第三方边界部署下一代智慧防火墙,以精细化策略为首要防御手段,认真梳理互通IP、端口号等,以最小化策略为原则进行防火墙配置,保证只有可信的流量通过合法的IP和端口,最后开启deny-deny的安全策略,拒绝其它非法链接。下一代防火墙集成了IDS、病毒识别、IPS、应用识别等功能,因此,在合法策略中开启相应的安全策略配置实现病毒防护、漏洞防护、防间谍、文件过滤、行为管控的安全管控,保障合法流量的同时实现入侵防御功能。
本发明中的有益效果为:
1.本发明,将内外网物理隔离和区域划分,根据不通区域的重要性划分出不同等级安全域,并针对性进行安全防护。简化了网络防护难度,减轻了网络流量负担。
2.本发明,一体化联动防御的安全管理方式不再单一的依赖于病毒特征库,而是分析数据行为及流量特征预先做出判断并进行响应。首先我们在企业网络基础安全设备里部署了终端安全管理系统、防火墙、态势感知等安全设备。这些安全设备基于共享大数据实现特征库对比,并能够形成协同联动相应机制。犹如人的大脑可以控制手臂、腿、脚一样,安全终端管理系统和防火墙基于库特征对比行是其基本功能,而态势感知设备作为大脑,保证其行使其基本功能的同时能够对数据进行分析。并将分析后的结果分为告警、处理、阻断告警三种相应方式,即当发现某种流量特征具有威胁行为时但不明确该行为是否具有破坏性,态势感知立即执行告警响应,告知管理员进行人为识别并处理。如果发现某些威胁为常规漏洞、病毒,那么态势感知立即启动联动处理,告知防火墙、终端安全管理系统进行相应的病毒查杀和漏洞修补功能。对于阻断响应是发现的威胁必然产生危险时,态势感知告知防火墙和终端管理系统进行阻断处理并告知管理员所执行的阻断操作,实现威胁实时处理和闭环管理的主动模式解决网络防护“孤岛”问题,过去采用多手段,多方法,但无法联动,现在基于大数据智能化分层,网络分层但软件通联一体化防护,简单、有效。
附图说明
图1为本发明提出的一种分层网络安全防护一体化联动防御方法的流程图;
图2为本发明提出的一种分层网络安全防护一体化联动防御方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
参照图1-2,一种分层网络安全防护一体化联动防御方法,包括以下步骤:
S1:通过分析煤矿企业网络安全形势,提出了以边界防护、终端防护、一体化综合防御的技术原则,将内外网物理隔离和区域划分,根据不通区域的重要性划分出不同等级安全域,并针对性进行安全防护;
S2:将企业网络边界防护按照区域可分为互联网边界,内外网边界、工业网边界,第三方接入边界,不同的边界所连接的区域的安全级别不同,因此网络安全防护的方式和方法也不相同;
S3:通过对不同安全域的行为管控、流量管理、准入控制、策略细化、以及终端设备的安全管理措施,从人的行为、设备管控、网络安全态势感知等手段进行全方位管控,实现一套横向到面(网络层级)纵向到底(接入到核心)、能够闭环管理(发现威胁-报警-处理)、联动处置(系统发现威胁后能自动阻断威胁源)的综合网络安全防御体系;
S4:针对人的问题,采用终端安全防护手段。依据大数据采用多种病毒库引擎分析,通过部署一套集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体的终端安全立体防护系统,实现终端安全防护。针对煤炭企业多存在办公地点多、面广、分散等特殊因素,系统的部署采用分级部署、分级管控、综合管理的模式,即在总部部署总控制中心,在每个二级单位部署分控制中心。总控中心可离线或在线更新病毒库、漏洞补丁库,各分控制中心从总控制中心下载升级的库文件,各二级单位的终端从单位的控制中心进行升级和下载相关升级文件,这样总控中心可以管理全网资源,也能分级管理,即减少总控中心的管理压力,节约网络带宽,也能满足分级管理的策略下发,实现不同区域的管理需求,主要实现的功能:1、全网终端病毒查杀。,2、定期修补漏洞3、总控中心可以对全网资产全面管理4.分级运维管控。5.移动介质管理。6.终端入网管控;
S5:边界防护建设,将网络边界防护按照区域可分为互联网边界,内外网边界、工业网边界,第三方接入边界,不同边界不同防护方法;
S6:一体化网络安全防御体系分析及方法,基于大数据进行自动化挖掘并云端关联分析,提前发现各种安全威胁,并对威胁进行分析研判。结合公司的态势感知设备,通过流量进行分析、对比、发现等路程及时发现威胁;;
S7:数据摆渡功能,即内外网边界、工业网边界之间数据传输一直处于物理断开状态,数据通过中间缓冲区存储转发,且设置未单向外传,实现业务互通。同时减少网络入侵的可能性。
本发明,S5中的互联网边界,互联网具有数据透明、流量不可控、行为无法预知等不确定因素。因此,在互联网边界部署防火墙、上网行为管理、认证准入、态势感知等设备,加强互联网应用和访问管理。①网络准入管理。通过网络终端设备和人员的双重授权、终端安全检查和修复、访问权限管理、终端安全监控等手段,构建可视化网络接入和网络控制手段,在网络接入管理层实现“看见、掌控、更安全的接入”。②通过防火墙对上网终端进行相应的控制。开启漏洞攻击防护、WEB应用防护、DOS/DDOS防护、ARP欺骗、僵尸网络防护等策略保证互联网不被外界入侵,并通过实施漏洞分析内容病毒防御策略、WAF防护、ATP检测等功能实时检测网络中的非法流量进行报警阻断。③通过行为管理设备,设定相应的策略,对公司互联网终端的操作行为及对外的应用访问进行管理。比如对一些敏感网站、敏感字段、敏感端口、游戏、P2P流量、代理工具、远程登陆工具等功能进行管控,保障互联网终端运行在健康的环境中。④通过防火墙、态势感知系统、上网行为管理系统对网络进行实施监测。对发现的异常情况和存在风险IP地址第一时间进行排查问题,通过网络阻断、物理隔离等方式及时处置,及时进行断网、查杀、比对,并做好信息收集工作。
本发明,S5中的内外网边界、工业网边界,内外网边界和工业网边界是一个高危边界区域,时刻都有来自外部的威胁,是内部网络受到互联网入侵的必然通道,因此该处边界是我们防守的重中之重。正常边界之间数据流都是我们熟知的业务和数据进行共享,并且大部分数据处于单向外传。因此,该区域边界部署一套网闸设备来实现数据传输。
本发明,S5中的第三方接入边界,该处边界一般都是与银行、政府管理机构等具有较高机密性,并且相对安全的区域进行业务互通,且数据传输都是双向的。而该处有明确的业务数据流和明确的IP地址,甚至可以精确到端口号。该边界防护只需要固定的IP地址、端口号、协议数据通过即可,因此我们在第三方边界部署下一代智慧防火墙,以精细化策略为首要防御手段,认真梳理互通IP、端口号等,以最小化策略为原则进行防火墙配置,保证只有可信的流量通过合法的IP和端口,最后开启deny-deny的安全策略,拒绝其它非法链接。下一代防火墙集成了IDS、病毒识别、IPS、应用识别等功能,因此,在合法策略中开启相应的安全策略配置实现病毒防护、漏洞防护、防间谍、文件过滤、行为管控的安全管控,保障合法流量的同时实现入侵防御功能。
本发明中,将内外网物理隔离和区域划分,根据不通区域的重要性划分出不同等级安全域,并针对性进行安全防护。简化了网络防护难度,减轻了网络流量负担,一体化联动防御的安全管理方式不再单一的依赖于病毒特征库,而是分析数据行为及流量特征预先做出判断并进行响应。首先我们在企业网络基础安全设备里部署了终端安全管理系统、防火墙、态势感知等安全设备。这些安全设备基于共享大数据实现特征库对比,并能够形成协同联动相应机制。犹如人的大脑可以控制手臂、腿、脚一样,安全终端管理系统和防火墙基于库特征对比行是其基本功能,而态势感知设备作为大脑,保证其行使其基本功能的同时能够对数据进行分析。并将分析后的结果分为告警、处理、阻断告警三种相应方式,即当发现某种流量特征具有威胁行为时但不明确该行为是否具有破坏性,态势感知立即执行告警响应,告知管理员进行人为识别并处理。如果发现某些威胁为常规漏洞、病毒,那么态势感知立即启动联动处理,告知防火墙、终端安全管理系统进行相应的病毒查杀和漏洞修补功能。对于阻断响应是发现的威胁必然产生危险时,态势感知告知防火墙和终端管理系统进行阻断处理并告知管理员所执行的阻断操作,实现威胁实时处理和闭环管理的主动模式解决网络防护“孤岛”问题,过去采用多手段,多方法,但无法联动,现在基于大数据智能化分层,网络分层但软件通联一体化防护,简单、有效。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (4)
1.一种分层网络安全防护一体化联动防御方法,其特征在于,包括以下步骤:
S1:通过分析煤矿企业网络安全形势,提出了以边界防护、终端防护、一体化综合防御的技术原则,将内外网物理隔离和区域划分,根据不通区域的重要性划分出不同等级安全域,并针对性进行安全防护;
S2:将企业网络边界防护按照区域可分为互联网边界,内外网边界、工业网边界,第三方接入边界,不同的边界所连接的区域的安全级别不同,因此网络安全防护的方式和方法也不相同;
S3:通过对不同安全域的行为管控、流量管理、准入控制、策略细化、以及终端设备的安全管理措施,从人的行为、设备管控、网络安全态势感知等手段进行全方位管控,实现一套横向到面(网络层级)纵向到底(接入到核心)、能够闭环管理(发现威胁-报警-处理)、联动处置(系统发现威胁后能自动阻断威胁源)的综合网络安全防御体系;
S4:针对人的问题,采用终端安全防护手段。依据大数据采用多种病毒库引擎分析,通过部署一套集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体的终端安全立体防护系统,实现终端安全防护。针对煤炭企业多存在办公地点多、面广、分散等特殊因素,系统的部署采用分级部署、分级管控、综合管理的模式,即在总部部署总控制中心,在每个二级单位部署分控制中心。总控中心可离线或在线更新病毒库、漏洞补丁库,各分控制中心从总控制中心下载升级的库文件,各二级单位的终端从单位的控制中心进行升级和下载相关升级文件,这样总控中心可以管理全网资源,也能分级管理,即减少总控中心的管理压力,节约网络带宽,也能满足分级管理的策略下发,实现不同区域的管理需求,主要实现的功能:1、全网终端病毒查杀。,2、定期修补漏洞3、总控中心可以对全网资产全面管理4.分级运维管控。5.移动介质管理。6.终端入网管控;
S5:边界防护建设,将网络边界防护按照区域可分为互联网边界,内外网边界、工业网边界,第三方接入边界,不同边界不同防护方法;
S6:一体化网络安全防御体系分析及方法,基于大数据进行自动化挖掘并云端关联分析,提前发现各种安全威胁,并对威胁进行分析研判。结合公司的态势感知设备,通过流量进行分析、对比、发现等路程及时发现威胁;;
S7:数据摆渡功能,即内外网边界、工业网边界之间数据传输一直处于物理断开状态,数据通过中间缓冲区存储转发,且设置未单向外传,实现业务互通。同时减少网络入侵的可能性。
2.根据权利要求1所述的一种分层网络安全防护一体化联动防御方法,其特征在于,所述S5中的互联网边界,互联网具有数据透明、流量不可控、行为无法预知等不确定因素。因此,在互联网边界部署防火墙、上网行为管理、认证准入、态势感知等设备,加强互联网应用和访问管理。①网络准入管理。通过网络终端设备和人员的双重授权、终端安全检查和修复、访问权限管理、终端安全监控等手段,构建可视化网络接入和网络控制手段,在网络接入管理层实现“看见、掌控、更安全的接入”。②通过防火墙对上网终端进行相应的控制。开启漏洞攻击防护、WEB应用防护、DOS/DDOS防护、ARP欺骗、僵尸网络防护等策略保证互联网不被外界入侵,并通过实施漏洞分析内容病毒防御策略、WAF防护、ATP检测等功能实时检测网络中的非法流量进行报警阻断。③通过行为管理设备,设定相应的策略,对公司互联网终端的操作行为及对外的应用访问进行管理。比如对一些敏感网站、敏感字段、敏感端口、游戏、P2P流量、代理工具、远程登陆工具等功能进行管控,保障互联网终端运行在健康的环境中。④通过防火墙、态势感知系统、上网行为管理系统对网络进行实施监测。对发现的异常情况和存在风险IP地址第一时间进行排查问题,通过网络阻断、物理隔离等方式及时处置,及时进行断网、查杀、比对,并做好信息收集工作。
3.根据权利要求1所述的一种分层网络安全防护一体化联动防御方法,其特征在于,所述S5中的内外网边界、工业网边界,内外网边界和工业网边界是一个高危边界区域,时刻都有来自外部的威胁,是内部网络受到互联网入侵的必然通道,因此该处边界是我们防守的重中之重。正常边界之间数据流都是我们熟知的业务和数据进行共享,并且大部分数据处于单向外传。因此,该区域边界部署一套网闸设备来实现数据传输。
4.根据权利要求1所述的一种分层网络安全防护一体化联动防御方法,其特征在于,所述S5中的第三方接入边界,该处边界一般都是与银行、政府管理机构等具有较高机密性,并且相对安全的区域进行业务互通,且数据传输都是双向的。而该处有明确的业务数据流和明确的IP地址,甚至可以精确到端口号。该边界防护只需要固定的IP地址、端口号、协议数据通过即可,因此我们在第三方边界部署下一代智慧防火墙,以精细化策略为首要防御手段,认真梳理互通IP、端口号等,以最小化策略为原则进行防火墙配置,保证只有可信的流量通过合法的IP和端口,最后开启deny-deny的安全策略,拒绝其它非法链接。下一代防火墙集成了IDS、病毒识别、IPS、应用识别等功能,因此,在合法策略中开启相应的安全策略配置实现病毒防护、漏洞防护、防间谍、文件过滤、行为管控的安全管控,保障合法流量的同时实现入侵防御功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111332303.XA CN114189355A (zh) | 2021-11-11 | 2021-11-11 | 一种分层网络安全防护一体化联动防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111332303.XA CN114189355A (zh) | 2021-11-11 | 2021-11-11 | 一种分层网络安全防护一体化联动防御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114189355A true CN114189355A (zh) | 2022-03-15 |
Family
ID=80539925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111332303.XA Pending CN114189355A (zh) | 2021-11-11 | 2021-11-11 | 一种分层网络安全防护一体化联动防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114189355A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116566747A (zh) * | 2023-07-11 | 2023-08-08 | 华能信息技术有限公司 | 基于工业互联网的安全防护方法及装置 |
-
2021
- 2021-11-11 CN CN202111332303.XA patent/CN114189355A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116566747A (zh) * | 2023-07-11 | 2023-08-08 | 华能信息技术有限公司 | 基于工业互联网的安全防护方法及装置 |
| CN116566747B (zh) * | 2023-07-11 | 2023-10-31 | 华能信息技术有限公司 | 基于工业互联网的安全防护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103283202B (zh) | 用于针对恶意软件的网络级保护的系统和方法 | |
| Vukalović et al. | Advanced persistent threats-detection and defense | |
| CN104380657A (zh) | 用于确定和使用用户和主机的本地声誉来保护网络环境中信息的系统和方法 | |
| CN110601889B (zh) | 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法 | |
| CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
| Sterle et al. | On solarwinds orion platform security breach | |
| Rekik et al. | A cyber-physical threat analysis for microgrids | |
| Zhan et al. | Research on block chain network intrusion detection system | |
| CN114189355A (zh) | 一种分层网络安全防护一体化联动防御方法 | |
| KR101998986B1 (ko) | 블록체인을 이용한 랜섬웨어 방지 방법 및 장치 | |
| EP2436160A1 (en) | Collaborative security system for residential users | |
| Li et al. | Research on Comprehensive Enterprise Network Security | |
| Lakbabi et al. | Network Access Control Technology-Proposition to contain new security challenges | |
| Rani et al. | CSAAES: An expert system for cyber security attack awareness | |
| Sibai et al. | Countering network-centric insider threats through self-protective autonomic rule generation | |
| Lakka et al. | Incident handling for healthcare organizations and supply-chains | |
| Sharma et al. | An Approach for Collaborative Decision in Distributed Intrusion Detection System'' | |
| Gheorghică et al. | A new framework for enhanced measurable cybersecurity in computer networks | |
| Malani et al. | Intrusion detection systems for distributed environment | |
| Nikolskaia et al. | The Main Directions of Ensuring Cybersecurity in Russia and the World | |
| Potdar et al. | Security solutions for Cloud computing | |
| Alshamrani et al. | Security Analysis of a Smart City Traffic Control System using a Threat Model-based Approach | |
| Okunade | Hybridized Intrusion Detection and Prevention System Using Static IP Address | |
| Tóth | IoT vulnerabilities in military environments | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20220315 |