1. 等级保护的现状和挡挑战
信息安全等级保护事国家信息安全保障的基本制度、基本策略和基本方法。等保建设对于每个政府机构及企业单位来说都是一项系统化的工程,在进行等级保护建设时往往面临着以下几个问题:
防火墙、WAF、各种审计设备大量部署,等保评级也通过了。看不到问题不等于没有问题,买设备过等保仅解决了合规问题,但没有做到真正保护政府和企业的信息安全。
缺乏简单有效的防护措施
黑客是怎么黑进来的,是通过什么手段进行攻击?攻击是从内到外,还是从外到内?
缺乏基于宏观和微观的安全感知和可视化能力
防火墙、IPS、WAF 都部署了,却经常漏过威胁事件,而且对于未知的威胁基本无法防御和感知。
2. 超越合规要求的等保2.0解决方案
Panabit的等保2.0安全态势感知系统是基于业务精确识别的系统,它受益于Panabit超过8000万的庞大互联网触角,可以实时发现互联网中的异常。让一切未知的风险在爆发初期就可以得到有效的控制。
Panabit留存的安全日志中包含了每个IP每时每刻所发起的每个session的时间、分布、流量、流向、所属应用和类别。
有了这些关键的基本数据之后,可以针对性形成政府和企业所需的态势感知报告:
1)网络整体态势
Panabit的态势感知系统将网络中的所有关键安全信息集合在一个动态大屏上显示,让网络异常一目了然,方便运维管理人员实时查看。
从这个图上可以看到
上下行流量的业务流向;
全网的上下行流量趋势和连接数趋势信息。
热点域名:实时观察当前用户访问域名的TOP5;
DNS用户:实时观察用户使用DNS的频次,如果有异常,马上就会呈现出来;
新增域名:对比10分钟之前的域名,将新增的域名展示,并显示新增域名的访问次数;
未知应用端口:及时发现网络攻击,当出现未知流量(包含畸形的常见端口号报文,如53端口的报文,会判定是否为正常的DNS流量)过大时,会呈现在此界面上;
热点IP:可以清晰呈现TOP10 用户的上下行流量和连接数信息;
2)网络异常检测态势感知
Panabit是参与《威胁情报国家标准》编写的28家厂商之一,该标准于2018年10月10日正式发布。针对网络中的异常,我们提供异常检测模块帮助运维管理人员实时发现问题。
下图展示的则是由于DNS Flooding攻击引发的连接数消耗,造成DNS类型的连接数急剧上升,这可以作为DNS Flooding攻击的预警。
看到这些现象后,可以通过Panabit故障定位模块快速进行溯源,第一时间对安全事件进行管控和干预。
3应急关停服务
按照监管要求,网络遭遇影响重大的攻击,“快速关停”是基本的响应,但很多攻击是发生在晚上,是靠“拔网线”的方式,很难达到关停时限的要求,容易造成恶劣影响,无法规避管理和技术责任。
同时,随着网络办公、办事的普及,网站与业务系统成了不能关闭的窗口,但是由于各个系统的差异性,导致管理人员无法采用一刀切式的防护策略,好用易用与安全防护成了既要两全,又是两难的选择。例如:某个IP地址上承载着多个域名,这些域名有一些是内部系统使用,一些是对外发布服务。如果其中一个域名提供的服务出现问题,通过防火墙或者路由器的ACL粗暴的Drop这个IP地址,会导致这个IP上承载的所有域名不能提供服务。
Panabit网络应急关停服务简介
Panabit“一键关停”可以通过微信命令阻止IP地址或者域名对外提供服务,为网络管理者提供快速、自动化、智能化的响应服务,在管理单元关停事件主机,很大程度地降低事件影响。
Panabit拥有一键关停微信小程序。通过小程序,可以添加、删除相关网站资源,发生相关网络安全事件后,只需通过小程序点击“断网”,便可以实现快速断网功能。当网络安全事件消除后,通过点击“联网”便可实现相关网站的快速恢复服务功能。
通过Panabit微信通知和一键断网功能,使得网络管理者随时掌握设备运行情况。同时通过微信移动操作,手机一键开关,网络策略远程生效,满足各种应急操作场景,让工作更轻松,更安心。
网络应急关停操作日志
通过微信小程序进行登录或者执行“断网”“联网”等相关操作后,系统会通过微信发送相关通知信息到
管理员手机。同时可以在云平台上看到相关操作记录,同时相关信息是不能删除的,满足管理审计的需求。