山石智·感弥补南京工程学院内网安全建设空缺

价值：

在南京工程学院项目中，山石网科智能内网威胁感知系统（BDS-iSensor）旁路部署在数据中心服务器区的核心交换机上，监听核心业务服务器的网络流量，并形成应用行为、内网互联流量、内网威胁的全面可视化；有效的检测、定位被感染的已知和未知病毒木马的内网主机，从而发现访问核心业务服务器的异常网络行为；同时基于内网威胁关联分析，精准定位风险主机及风险服务器；基于网络攻击链还原出内网攻击细节；针对威胁报文等关键信息进行取证调查。山石智•感对南京工程学院的内网安全态势可以进行全面感知，弥补了校园内网安全建设的空缺。

概要：

传统网络攻击在面对层层防护下，攻击难度、攻击成本、攻击周期不断提升，攻击成功率、攻击持续性不断下降。而现代网络攻击的目标逐渐从直接目标转换成了间接目标，从核心资产服务器转换成个人主机，以个人主机作为跳板主机，绕开边界防护，从网络内部攻击核心资产服务器，达到破坏核心业务或窃取机密性敏感数据的最终目的。

需求分析：

南京工程学院是江苏省普通本科高校，全日制在校生2.5万人。在网络结构建设方面采用扁平式架构，虽然在互联网出口和数据中心出口的边界分别部署了防火墙设备，但是由于校园网络的特殊性，因此迫切需要行之有效的内网安全解决方案。具体存在以下需求：

1. 监控核心业务服务器运行，发现潜在业务风险；
在学院的数据中心服务器区中部署了很多承载核心业务的服务器及数据库。为了节约网络建设及维护成本，学院采用了传统的扁平化网络结构，仅通过核心交换机的Vlan划分进行访问权限限制。学院之前对于服务器区的安全运维主要依靠人工每天查看服务器及核心交换机的日志，以此确认业务安全，但是这种运维方式效率低，分析难度大，有效性差，因此需要借助专业的安全产品，监控核心业务服务器的运行，高效地分析是否存在隐匿的安全隐患及业务风险。

2. 未知网络威胁发现，定位风险主机；
由于学院网络的特性，内网主机接入普遍不受控，对终端设备也难以进行安全产品的批量部署，因此在现代网络攻击以个人主机为间接目标的背景下，学院网络极易被攻击者通过网络钓鱼、垃圾邮件等攻击方式植入变种恶意程序，利用失陷主机成为内网跳板，以达到进一步破坏核心业务运行和窃取数据的直接目的。因此需要对内网中感染病毒且对数据中心服务器区构成安全隐患的风险主机进行精准定位，以采取相应的安全防护措施。

解决方案：

山石网科为用户提供的智能内网威胁感知系统设备能够充分满足用户在核心业务服务器监控、未知威胁发现及风险主机定位等方面的内网安全建设需求。山石智•感集成了基于静态签名技术的 IPS/AV 检测引擎、基于攻击行为分析的未知威胁检测引擎、基于主机和服务器行为建模的异常行为检测引擎，以及统一威胁关联分析引擎。山石智•感能够有效感知内网中的已知及未知威胁、定位失陷主机、发现服务器业务风险、并基于攻击链还原攻击细节，进行内网风险态势的深度可视化呈现 并生成内网安全评估报告。

运行效果：

山石网科智能内网威胁感知系统在南京工程学院上线后运行稳定，业界领先的智能安全检测技术、友好全面的深度可视化呈现以及丰富的内网风险评估报告，充分的满足了用户需求，在学院内网安全建设中起到了至关重要的作用，上线两周后，就基于高级威胁检测发现了感染未知恶意软件的内网主机，同时基于关联分析检测到该病毒在内网中已经完成了进一步的传播扩散，存在多台内网主机不定时向核心业务服务器发起DDoS攻击的网络威胁，造成核心业务不定时出现网络时延严重的问题，用户根据风险主机定位及其相关威胁行为采取了相应的应对措施后，解决了此前尚未发现的安全隐患，充分的体现了智感产品的核心价值，给用户留下了极为深刻的印象。