山石智·感助中国科学院计算机网络信息中心建设内网安全态势感知

价值：

在中国科学院计算机网络信息中心项目中，山石网科智能内网威胁感知系统（BDS-iSensor）旁路部署在用户核心交换机上，将核心交换机进出服务器区流量镜像到山石智·感上，对进出数据中心的流量进行安全检测。利用高级威胁检测技术、异常行为分析技术、关联分析技术、欺骗检测技术对内网流量进行分析，并通过透视镜的方式呈现出内网安全态势，有效保障了信息中心的内网安全。

概要：

传统的网络安全解决方案只是将安全防护产品部署在边界，作为第一道防线固然充当着重要的角色，但这仅限于解决边界的安全问题，无法检测出变种的高级威胁和内网中发生的攻击。随着黑客技术的提高，现代网络攻击的目标逐渐从直接目标转换成了间接目标，从核心资产服务器转换成个人主机，通过大量先进的攻击策略绕开边界的防护，控制个人主机，以个人主机为跳板迅速感染其他内网主机，从网络内部攻击核心资产服务器，达到破坏核心业务或窃取机密性数据的最终目的。

需求分析：

目前中国科学院计算机网络信息中心已在互联网出口部署了防火墙及入侵防御设备，对进出信息中心的出口流量进行实时防护。但不同业务区之间是通过防火墙实现隔离，防火墙处于高位部署，许多未经防火墙的内部互访流量得不到保护。客户要求在充分保障边界安全的同时，对内网中存在的风险实施态势感知。具体需求如下：

• 感知内部主机/服务器健康状态：由于信息中心内网主机及服务器数量庞大，一旦黑客绕过边界的防护侵入内网，利用失陷主机进一步破坏核心业务或窃取数据，后果将不堪设想。因此需要对内网中存在风险的主机进行精准定位，以采取相应的安全防护措施。
• 监控内网互访流量：信息中心内部网络结构复杂、主机与服务器间互访流量不可见，现急需一款产品可以提供网络安全持续监控能力，及时发现各种攻击威胁与异常，建立威胁可视化及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速判断，全面掌握攻击者的目的和手段。达到对整个内网的态势感知，最终根据检测情报发现内网中存在的隐患，并实行阻断。

解决方案：

鉴于当前内网中存在的安全问题，建议使用山石网科智能内网威胁感知系统BDS- iSensor，弥补传统边界网络安全建设的漏洞，形成边界 + 内网的整体网络安全解决方案，发现已知及未知网络攻击及网络行为异常，保护数据中心的核心资产服务器，定位失陷主机及跳板主机，防止重要性、机密性、敏感性数据发生泄露。

本次方案将山石智·感旁路部署在用户核心交换机上，将核心交换机进出服务器区流量镜像到山石智·感上，对进出数据中心的流量进行安全检测。

山石智·感基于高级威胁检测和异常行为分析两大功能，结合高度可确认性失陷指标IOC，有效感知内网中的已知及未知威胁、定位失陷主机、发现服务器业务风险。利用反攻击手段（蜜罐技术）欺骗和检测黑客的目的，并基于攻击链还原攻击细节。通过透视镜的方式进行内网态势的深度分析，最终管理员可确认高风险威胁事件，通过与山石防火墙联动来阻断网络中失陷的主机及存在的隐患。

运行效果：

山石智·感上线检测一个月时间内，通过异常行为分析技术检测到某服务器会话异常（比平时高出数倍，远超其他主机），在iCenter界面中通过攻击链的展示，逐步反查分析找到了初始的攻击源为内网的一台失陷主机，同时管理员在透视镜视图发现内网中还有多台主机与此服务器有过异常访问，最终判定是失陷主机向内网发起了扩散，管理员对威胁事件进行了确认，联动山石边界防火墙将失陷主机加入黑名单中实行阻断，从而防止攻击进一步扩散。客户对产品的透视镜视图和攻击链展示效果表示了认可，同时也表示，智能的未知威胁检测能力与防火墙配合，能更有力的保障网络安全。