从流量监测入手：4个场景化方案做好关基保护的威胁预警

lishengli • 2024年3月14日 pm9:35 • 网安资讯 • 阅读 126

关键信息基础设施安全直接关系到国家安全、国计民生和公共利益，而不断变化的新型网络攻击极大地威胁着关键信息基础设施安全。《信息安全技术关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关基保护要求》)于2023年5月1日正式实施，标志着关基保护工作进入新的阶段。《关基保护要求》明确提出以风险管理为导向的动态防护原则，针对关键信息基础设施实施监测预警，发现网络安全威胁。

当前网络安全威胁和风险日益突出，针对关键信息基础设施的网络攻击活动时有发生，5G、人工智能、区块链等新技术新应用快速发展带来新的安全隐患。在信息系统中，仅靠单一节点的安全设备应用很难达到全网威胁监测的效果，且容易造成安全分析不全面等问题。因此，针对信息系统的安全监测需要综合技术能力，从各角度入手分析，从而达到全面威胁监测效果。

天融信基于《关基保护要求》中所涉及的监测预警、应急处理、检测评估等相关要求，深入分析特定场景下的流量监测需求，提供灵活的产品组合方案。通过多款产品协同联动，由点及面实现全方位的威胁监测效果，全面覆盖Web安全监测、恶意病毒检测、异常行为检测、安全态势分析等多种场景。

Web安全监测场景

Web应用种类繁多，存在大量的系统漏洞、程序设计缺陷等安全问题。

针对该场景，天融信提供“僵尸网络木马和蠕虫监测与处置系统+异常流量管理与抗拒绝服务系统”组合方案。通过对网络流量进行实时检测，发现SQL注入、跨站攻击、Web缓冲区溢出攻击等行为，并检测、清洗多种类型的DDoS攻击，匹配多种自学习Web服务器场景防护模板，有效应对Web安全监测场景风险。

恶意病毒检测场景

攻击者会利用病毒的快速变种、加壳逃逸等技术绕过安全检测设备。恶意文件会通过网络途径肆意传播，造成病毒感染、系统破坏、数据泄露等危害。

针对该场景，天融信提供“僵尸网络木马和蠕虫监测与处置系统+终端威胁防御系统”组合方案。采用天璇实验室研发的TAI系列智慧引擎+虚拟沙箱+终端病毒检测的方式，基于机器学习模型进行检测，有效识别160余种文件类型，通过动静结合的技术手段多维分析，深度检测识别恶意文件、风险病毒，构建网端+终端病毒防护体系建设。

异常行为检测场景

网络通信作为客户网络化办公的基础，存在异常传播、异常访问、异常通信等现象，引发服务中断、宕机、无法通信等一系列问题。

针对该场景，天融信提供“僵尸网络木马和蠕虫监测与处置系统+高级威胁检测系统”组合方案。提供服务器非法外联、隐蔽通信、DNS隧道、ICMP隧道等异常通信行为检测能力，并采用基于智慧引擎+仿真沙箱的检测机制，依据模型学习结果和历史记录，动态感知恶意文件异常通信并实时通告。

安全态势分析场景

随着信息安全风险日益增加，发现网络攻击的难度增大、时间增长。单点安全设备所提供的检测能力无法全面汇聚企业和组织的安全数据，难以通过深入及关联分析发现与应对不断加剧的风险。

针对该场景，天融信提供“僵尸网络木马和蠕虫监测与处置系统+态势分析与安全运营系统”组合方案。态势感知平台可对多元异构设备数据进行采集分析，结合关联分析、模型分析，探针深度检测分析发现威胁及异常流量情况并上报至平台侧，智能关联分析从而达到全局预警、综合态势分析效果，对全网安全态势进行全方位监测预警。

随着网络攻击复杂化、自动化、智能化水平的不断提高，网络中不断涌现出新的攻击类型，新时代下网络安全仍面临严峻挑战。天融信提供灵活的组合方案以满足多样化的网络安全监测需求，可降低网络安全风险隐患，实现多维度威胁监测分析，满足全网统一安全威胁展示，增强对信息系统威胁监测、发现、应对等能力，全方位筑牢网络安全防线。