• 背景

  • 功能与特色

  • 关键技术

  • 企业服务

  • 安装环境拓扑

  • 系统兼容性

  • 产品与服务

  • 网络安保案例

  • 问题与解答

  • 典型案例

背景

背景

为了应对企业中大量服务器基本自身处于零防御状态,对高频破解、漏洞提权、上传木马、远程登录、跳板扫描等行为没有任何防护,导致各个黑客组织对我国政府网站、web业务系统、应用系统服务器等国家关键信息基础设施频繁发动网络攻击、张贴反动标语、窃取敏感数据的威胁态势,贯彻《中华人民共和国网络安全法》相关要求,响应四部委《关于印发'党政机关、事业单位和国有企业互联网网站安全专项整治行动方案'的通知》和公安部《2015年国家网络与信息安全信息通报和等级保护工作会》的政策要求,十一局指导下设计研发了"应用主机综合防护系统(简称:网防G01)",为我国关键信息基础设施防护提供多重防护,全方位监测网络攻击行为,建立行业部门的小防护圈,是我国关键信息基础设施防护的重要技术支撑。 应用主机综合防护系统(网防G01)是对抗APT攻击的有效手段,是四部委发文要求落地执行的技术支撑系统! 网防G01是计算机病毒技术国家工程实验室中APT攻击防御项目的核心成果

产品与定位

定位为重要信息系统、Web业务系统、网站系统提供基于主机与应用的防护产品,建立监测、预警、防护、应急、处置、运维为一体的综合安全保障体系。

基础设施

为等级保护,应急通报业务建设一批基础设施

追踪调查

紧密围绕重要系统保卫,对境内外网络攻击进行追踪调查。

功能与特色

网站综合防护

具有防网页篡改、防SQL注入、防跨站脚本、网页木马查杀、敏感词过滤等数十项防护功能。

网站防护特色功能 网站漏洞防护:全国防止已知、未知漏洞利用,抵御SQL注入、XSS跨站、漏洞利用等攻击; 网页木马查杀:实时有效检测各种加密、变形的Webshell,自动隔离与查杀; 网页防篡改:驱动级网页防篡改,防止指定目录文件被恶意修改, Web防盗链:提供多模式防盗链,防止图片、流媒体类型文件被盗链; 敏感词过滤:智能识别和替换反动、暴力、色情类敏感词汇,防止提交与浏览, 抗CC攻击:智能检测并抵御CC攻击,维护网站正常服务能力;抗CC可以有效防御CC攻击,追溯攻击源头,同时减少对服务器资源的损耗和带宽的占用; 网站后台防护:重定向网站后台,防止黑客暴力猜解。

对应用服务器重要系统文件、进程、系统资源等进行有效防护,防止服务器被远程控制,

服务器综合防护 文件上传防护:文件类型上传限制,防止上传不合规文件; 文件监控与防护:支持对磁盘所有文件的监控和防护,对读写权限与完整性进行校验; 服务器性能监控:实时监控系统CPU、内存、磁盘、网络IO、吞吐量等资源状态并告警; 高级检查:对服务器进行Web文件扫描,账户安全、系统配置核查等,综合评估服务器风险, 访问控制:自定义虚拟防护墙,灵活控制主机间访问规则; 端口防护:防止端口扫描,阻断扫描器进行信息探测与漏洞扫描。

监测预警与态势分析

网络攻击实时微信、短信告警;攻击趋势展示,攻击特征提取。

子账号

网防G01提供子账号功能,用户可以自行创建下一级子账号供本单位其他部门使用

攻击回溯

通过数据挖掘归并攻击信息,进行攻击画像

资产管理

以服务器、网站两个维度对资产进行梳理,便于掌握资产安全运营情况

关键技术

新版“网防G01"公有云全面优化防护策略和实现机制,完善安全事件与安全边界,并新增网络拓扑发现、安全事件回溯等功能,形成集应用防护、威胁感知、攻击事件回溯、服务器安全加固、风险跟踪、自动化风险识别、威胁情报、资产管理、网络状态与性能监测为一体的立体化、全方位防御体系。网防G01系统包括防护客户端(Windows版、Linux版)、PC 控制端、单用户管理监测系统、对外数据服务接口。

操作系统内核加固技术

·对主机安全配置进行全面、高效的基线检查包括检查系统弱口令、检查克隆账户、检查计划任务等,

·禁止操作系统中无用的服务,提高系统安全性,同时减低系统资源占用,

·通过内核探针加固操系统高系统自身的安全性和抗攻击能力,保护系统核心文件,

·Windows服务器可一键修复微软发布的官方补丁。

多维探针与插件式自适应安全平台技术

·有效融合多种平台中间件,如IIS6, IIS7, IIS8、Tomcat、WebLogic、Apache、WebSphere、Nginx等;

·支撑系统兼容性,如Windows系列,Ubuntu系列、Centos系列、Redhat系列、Suse系列、Aisanux系系列

·支持安全产品兼容性,如杀毒软件、防篡改软件等。

运行时应用自防护技术

·对应用系统的流量、上下文、行为进行持续监控,识别及防御已知及未知威胁,

·能有效防御SQL注入、命令执行、文件上传、任意文件读写、反序列化、Struts2等基于传统签名方式无法有效防护的应用漏洞。

基于沙盒的网马异常行为检测技术

·有效检测各种加密、变形的Webshell,

·诵过在内核及应用层探针中设置监控点,持续对系统的行为进行学习,可有效检氵则出系统中存在的异常行为,并在综合判定后产生告警。

联动防御技术

采用适配型黑白名单机制,控制网络扫描设备的检测与入侵,保护信息系统隐私,防止信息探测。

微隔离和流可视化技术

·通过监控业务系统数据流并将其可视化,帮助安全运维人员实时准确把握业务系统内部网络信息流动情况;

·跨物理网络自定义虚拟安全边界以及自定义基于角色的访问控制策略,防止攻击者入侵内部业务网络后的东西向移动,微隔离域内服务器可自由拖动或加入其它微隔离域,隔离策略自动调整。

攻击事件回溯

·系统在风险识别、防御及威胁感知三个阶段均会产生相应的安全事件,并自动生成事件分析报告,告别繁复难懂的攻击日志;

·对于于入侵类型的攻击事件,系统自动回溯攻击过程,帮助企业定位并修复风险点。

网络数据信息采集技术

.通过定制化网络爬虫对网盘、文库、贴吧、论坛、圈子、社区等进行定向信息监测和收集,发现并采集威胁信息,有针对性的筛选、归类,辅助用户进行综合防护,杜绝信息泄露被利用事件的发生。

机器学习技术

通过机器学习技术智能识别网络资产,发现并探测不良资产状态,形成基于资产发现的安全防护。

漏洞挖掘与风险扫描技术

·通过挖掘信息系统通用漏洞信息,资产发现与匹配,辅助用户快速发现自身系统存在漏洞风险,杜绝被攻击渗透的风险。

企业服务

云平台(网站群)防护

①当前问题: 防护模式停留在主机外围:云平台防护多基于安全设备虚拟化技术,基于网络层、借助标准计算单元创造虚拟化安全设备,攻击行为穿透并到达主机层后,防御措施即会失效, 无法解决云主机之间数据东西向流动的问题; 云平台上应用安全大多由用户自身负责,缺乏统一、集中安全策略, 网站群集中管理、统一模板,需加强纵深防御,重点防护。 ②解决方案: 立足系统与应用防护,增加主机层最后一道防线,实现立体化防护与监控。 ③能够解决的问题: 通过应用防护探针,用户自定义防护规则解决已知漏洞及Web应用安全问题; 通过系统防护探针对系统的流量、上下文、行为进行持续监控,识别及防御已知/未知威胁,解决系统层安全问题; 基于脚本虚拟机的无签名木马检测技术,云中心沙箱可以有效检测各种加密、变形的服务器木马,杜绝被远程控制; 虚拟化安全域技术,对进程行为进行监控,限制应用进程权限,防止黑客利用应用程序漏洞提权、创建可执行文件等非法操作 解决东西向数据流动问题,跨物理网络自定义虚拟安全边界以及自定义基于角色的访问控制策略,监控内部网络信息流动,防止攻击者入侵内部业务网络后的东西向移动; 托网防G01对单一云主机进行防护,收集主机攻击数据和资产数据信息,融合虚拟化安全设备日志数据,构建云安全管理平台,从网络层到应用层全面监测云平台安全。 网防G01主机安全软件,全面适配云平台、网站群架构,实现统一防护监控

虚拟化安全的未来离不开SAAS(软件即服务)

专网防护(网防G01一私有云版)

①业务资产摸底 梳理网络中服务器、Web应用、对外服务、端口开放、账户信息等信息资产,辅助运维人员了解业务环境。 ②安全风险可控 通过风险与资产的关联,使安全、运维人员能够快速掌握风险覆盖面,快速定位,提升风险处理效率。 ③合规性检查 通过基线扫描对内网资产进行合规性检测,发现潜在安全问题。

①安全防护:持续性对操作系统与Web业务应用进行双重防护; ②边界管理:跨物理网络自定义虚拟安全边界,基于角色定制访问控制策略,实现应用安全域划分与控制; ③高级检查:内置多种扫描模版,自动对所选服务器进行扫描,对注册表,多种配置文件,文件内字符串,端口,进程进行配置,生成扫描报告; ④风险监测:针对软件、中间件及版本、网站及网站使用的应用系统类型,识别其存在的安全风险点,并建立风险档案,实现对整个业务环境的风险评估 ⑤资产管理:以服务器、网站、服务、端口、账户五个纬度对用户资产进行梳理,便于用户掌握自身所有资产的安全运营情况; ⑥事件管理:抽离并关联有效日志信息形成完整链条的安全事件记录,自动回溯攻击过程、生成事件分析报告 ⑦系统管理:根据等级保护要求实现三权分立,建立超级管理员、系统管理员和审计管理员三个角色,并对用户操作、安全配置等

用户价值

内网综合防护 集中监测管理 态势感知分析 等保合规检查

态势感知

①实时攻防日志数据提取: 收集网络攻击日志、主机攻击日志、漏洞日志、基线巡检日志、木马样本数据、暗盗链数据形成基础安全数据库,融合其它各类安全数据,进行有效线索提取与挖掘,完备流量攻击与主机攻击事件监测。 ②重要信息系统攻击事件实时感知: 实时监测重要信息系统被攻击情况、安全事件分布情况、攻击源分布情况、攻击手段及变化趋势,由点及面形成全国范围内安全防护与威胁感知。 ③重大安全事件告警、溯源: 对重大安全事件进行告警,形成攻击源画像,为后续案件调查取证提供有力数据支撑。 ④安全趋势预测: 利用时间分布、空间分布、攻击手段分布、攻击来源分布以及被攻击系统、被攻击单位、被攻击地区多个维度综合分析攻击趋势,全面刻画全局攻击态势和攻击场景,分析攻击意图,识别潜在的风险和威胁。

安装环境拓扑

部署结构

网防G01部署分为云中心部署和Agent部署两个部分

注册与安装

系统兼容性

产品与服务

网防G01-公有云版

系统分为“基础防护版”和“高级防护版”两个版本,以党政机关、国有企事业单位为服务对象,以“产品+服务”的形式为用户提供专业的攻击监测与安全防护服务。 服务器基础防护: 网站漏洞防护 http请求头保护 IP黑白名单 网站后台防护 域名恶意解析防护 http响应内容保护 抗cc攻击 文件上传防护 防端口扫描 敏感词过滤 文件监控与防护 系统加固 网站防盗链 服务器优化 自身防护

高级防护: 已知网页木马自动隔离 反序列化漏洞防护 未知网页木马实时防护 任意文件读取漏洞防护 未知SQL注入漏洞防护 命令执行漏洞防护 未知上传漏洞防护 堡垒锁 Struts2漏洞防护 进程行为分析

网防G01-公有云版

通过简单易用的设计,以中小企业、IDC机房为服务对象,以一键式开关的模式自由切换“基础防护”与“高级防护”功能,有效抵御常见网络攻击行为。 增值服务∶针对重要行业、部门提供(远程+人工)模式的增值服务项,全方位解决用户安全需求。 安全分析报告 报月、季、年为用户提供针对防护目标的安全分析报告,就其攻击、防护、安全威胁、系统资源、性能等进行专业分析 安全咨询服务 根据用户防护需求、保护重点,对G01的高级防护策略进行专业的、定制化的策略配置;提供日常安全产品信息、安全形势、建设方案咨询、网络环境优化等服务。 信息系统资产探测及重大风险预警 对外部、内部网络信息系统进行软硬件、中间件、系统等信息进行收集,持续关注和匹配漏洞及风险信息,有针对性的推送风险报告和整改意见。 现场应急服务 在客户网站遭到攻击或出现严重故障时,用户主动提出,启动应急服务机制,及时协助客户解决网络攻击突发性问题。 敏感日远程安全值守 在敏感日期间如两会、重大活动、国家重要外事活动等,对防护服务器进行远程安全值守及监测,确保客户网站不出问题 渗透测试服务 组织安全研究员针对目标信息系统、业务系统、网站进行深度渗透测试并出具专业评估报告,从安全建设、系统整改、存在风险等方面给出专业的意见建议。 单位威胁情报数据推送 单位事件情报:内容将包括相关漏洞,网络空间针对本单位讨论的相关话题线索,本单位在互联网泄露的资料数据; 疑似风险账号泄露情报:对某具体单位人员核心账户数据泄漏进行监控,向时监控本单位相关用户数据地下交易活动。 网站漏洞扫描 依托云扫描器、强大漏洞库,有效扫描网站。系统各类漏洞信息,并出具专业安全分析报告。 网络安全培训 聘请专业安全研究员对单位安全人员进行有关信息安全体系结构、系统安全、应用安全、数据库安全、内部网络安全、社会工程学等技术培训,提升系统运营人员、安全管理人员的能力。 单位定制化威胁情报报告 基于情报线索〔信息泄露、攻击、漏洞等),开展远程和现场的网络攻击调查、分析、追踪、溯源工作,并整理输出详细的情报分析报告。

网络安保案例

网防G01-公有云版

截止2017年年底,为加强网络安保工作,全国共有12家省级公安厅、19家地市级公安局、9个垂直行业下发了正式推荐安装文件,召开大型网防G01推进会议100余场。

九·三阅兵期间安保防护

九·三阅兵期间,网防G01共防护包含政府、央企、事业单位网站(集中在北京)共12458个,阅兵期间拦截SQL注入,web应用漏洞解析、恶意访问等各类攻击572万余次,出具报告数20余份,同比增长了217%。并在这期间通过对攻击数据分析,对商务部、中国兵器等网站的攻击IP进行了溯源,通过对攻击方式分析,了解了攻击者隐蔽的攻击方式,该攻击方式能够快速交破常规防护设备的防护。九·三阅兵期间,网防G01所防护网站未发现一起被攻破的案例,因此得到了公安相关部门的感谢与肯定.

河南“上合峰会”安保防护

2015年“上合峰会”在河南省郑州市举行,在这期间为了支持河南公安进行安保服务,截止2015年12月14日,网防G01系统在河南省(集中在郑州市)安全部署服务器300台,防护网站2967个,累计监测并拦截穿透网站前端防火墙、IPS等防御设备的网站攻击近100万次,出具报告数60余份。通过部署实随网防G01系统,及时发现并防范外来黑客攻击。维护了政府单位与企业形象,保障了上合会议期间的网站安全。

国家食品药品监督管理总局

2016年9月份以来总局网站受到大量的CC攻击,严重影响正常的数据查询,安装网防G01后阻断了大量CC攻击。帮助总局检查网页木马文件。处置网页木马攻击。为保障总局数据查询正常工作。消除网站安全隐患提供了有力支持。

党的十九大安保

每日拦截各类网络攻击200余万次,配合部分省市公安厅局进行网络实时监测、应急处置工作,处理案事件20余起,发现并查杀webshell攻击事件30余万次,出具各类安全分析报告300余份,防护目标未发生被攻破事件。

G20峰会

G20峰会网络安保期间,在公安机关的指导下,重要行业、部门通过安装网防G01,对网站和Web系统进行攻击监测与防护,期间共拦截各类网络攻击870余万次,出具报告数80余份,其中SQL注入攻击320余万次,文件下载类攻击200余万次,各类程序漏洞攻击140余万次,监测到网络木马活动1万余次。网防G01项目组荣获“安保贡献突出集体”,并得到相关个人G20峰会网络安全保卫组感谢信。

政府网站综合防护系统,现更名为:应用主机综合防护系统《网防G01),该系统通过了公安部计算机信息系统安全产品质量监督检验中心的检测,在“政府网站综合防护系统技术论证会”会议上,以倪光南院士为首的专家组对网防G01高度认可,一致认为“此系统成本低,效果好,可有效的监测和防护针对网站的入侵。建议主管部门将网防G01作为我国网站安全防护的基础设饿大规模推广应用”。

问题与解答

针对用户常见疑问,进行解答

1、网防G01的防护特色是什么?

内核级安全防护:网站、操作系统及系统应用的三层统一安全防护与监控,简化运维,智能管控。向用户提供免费版实现基础网络防护,收费版实现对未知威胁的高级防护、对本单位网络安全态势的感知与监测

2、网防G01中的特色防护功能中威胁情报指的是什么?

主要帮助用户掌握本单位数据是否在黑市上贩卖以及提供相关情报内客并协助就源,旨在消除网洛安全领域的信息不对称现象,并降低因此带来的相关损失。

3、网防G01是否与服务器中其他安全软件冲突?

网防G01全面策容windows.linux、麒麟等市场主流服务器操作系统;全面兼容IIS、Apache、Tomcat、webllogic等主流web中问件。

4、网防G01是否影响系统性能,拖垮网站响应?

经过了公安部信息安全产品检测中心的检测,资源占用率小于3%,运行稳定,不会影响网站及服务器的正常运行。经过上万网站的实际使用,效果良好

5、网防G01能否防护Oday漏洞利用攻击?

网防GO1不拘泥于漏洞特征,而是针对漏洞利用的恶意行为进行识别与防护,无论已知或未知漏洞利用。均可进行有效防护。

6、已部署大量安全设备,是否仍有必要部署网防G01 ?

区别于web服务器前端的各类安全设备。网防G01部署于web服务器系统中,在整个防护体系的最深层。时刻守卫网站“最后一道门”

典型案例

网防G01系统上线至2019年底,共有党政机关、企事业单位用户2600余家,其中部委和央企112家,其他党政机关、国有企事业单位2500余家。安装部署服务器2万5千余台,累计防护网站数量83余万个。已安装网防G01的重要信息系统未网页被篡改,数掘被窃取、黑客入侵破坏等安全问题,防护能力得到了有效检验。

在全国各省、自治区、直辖市共设立本地化服务站34家,覆盖31个省份,为当地监管部门提供网站安全监测、密急处置和通报预警技术支持;为党政机关、企事业单位用户提供安全咨询、安装部署、售后运维和整体安全解决方案等工作,各省是服务站联系方式请见www.qov110.cn.

山东云天安全技术有限公司 版权所有 鲁ICP备17007379号-1

鲁公网安备 37010202002190号