建议投诉 | 联系我们 | 关注微信 安全虎 - 专注于互联网信息安全的科技新媒体!
你的位置:首页 > 业界动态 » 正文

从G20安保到态势感知 2016西湖论剑的三个精华议题

来源:2017-03-07 | 人围观 | 评论:暂无评论

国家不缺少网络安全制度、政策、规范,不缺少网络安全技术标准,不缺少智慧和办法,缺少的是重要行业部门实实在在抓落实!

2. G20峰会的启示

中央、部、省领导的高度重视,是圆满完成重大活动网络安保任务的根本保障。多轮次交叉检测、渗透攻击测试,排查整改漏洞隐患,加强演练,是安保成功的基础。

必须按照“打防管控”一体化方法,由公安机关牵头,会同有关部门落实各项任务。必须建立扁平化指挥、一体化作战的机制,只有打合成仗,才能确保安全。

公安、工信、重要行业部门、三大运营商、CNCERT、CNNIC、6大直播网站、4大CDN、专家组、技术队伍等一体化作业,才能有效处置网络安全突发事件。

“没有9·3阅兵、G20峰会、乌镇互联网大会等实战的检验,队伍作战能力如何能提高?安全保障制度何以顺畅?!”

最后是开展网络安全工作的对策和措施

1. 构建“打防管控”一体化的网络安全综合防控体系

22

“这些都是最重要的研究成果,是干出来的,不是说出来的。”

2. 全面深入落实国家网络安全等级保护制度

将风险评估、安全监测、通报预警、案件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。

将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护监管对象。

将大型互联网企业纳入等级保护管理,保护互联网企业健康发展。

3. 全面开展信息通报预警工作

4. 坚决打击网络攻击等违法犯罪活动

5. 建立国家重大活动网络安保一体化指挥体系和机制

6. 建设关键信息基础设施安全防护管理平台

建设思路是“以动制动,变静态防护为动态防护;变被动防御为主动防御;变多个单点防护为综合防控、整体防范。建设集态势感知、风险监测、通报预警、应急处置、情报信息、安全防范于一体的网络安全综合防控体系。”

建设方法是“利用云计算、大数据技术进行建设,关联分析、数据挖掘、应用、展示平台。”这个平台应具备“态势感知、情报信息、实时监测、等级保护、通报预警、快速处置、追踪溯源、监督管理”等主要功能。

7. 提高网络安全综合防御能力

依托上面的关键信息基础设施安全防护管理平台,实现主动防御、监测发现、通报预警、快速处置、情报信息、监督管理、态势感知等7大能力。

8. 加强保护策略和技术创新

7大技术创新:安全防范、侦查打击、通报预警、应急处置、安全产品、网络攻防、网络安全管理。

仅靠打击、处置是不够的,必须要技术创新!

二、大数据看G20峰会安保工作

G20峰会的顺利进行,离不开众多安全企业的全力支持及技术支撑,安恒信息CSO刘志乐以安恒风暴中心的大数据为基础,从多种维度展示了G20峰会上的网络态势及攻防状况。

1. G20关注度

在10大关注度国家排名中,来自美国的对G20网络的访问量最大,其次是俄罗斯、法国、荷兰、德国、英国、印度、菲律宾、日本、乌克兰。

在访问设备占比中,82.97%的访问使用的是PC,其中91.65%的操作系统为Windows。移动端占17.3%,其中64.9%的系统为安卓,35.1%为苹果。

2. 攻击态势

G20官网,G20/B20注册网自上线服务以来共受到3300万次攻击。其中9月1日至5日会议期间共受到362万次攻击,攻击来源国家41个。前5名分别为,美国、俄罗斯、印度、德国和日本。

31

攻击行为分布

3. 基于大数据的态势感知技术

刘志乐认为,大数据正在改变着人们的生产生活,并从三大方面驱动着信息安全行业的变革。

态势感知,是指在特定时空下,对动态环境中各元素或对象的觉察、理解以及对未来的预测。

态势的感知的过程由三个级别构成,一是觉察,通过网络安全设备、蜜罐捕获、漏洞扫描等技术和相关日志,实现对漏洞的检测和攻击事件的发现。二是理解,通过安全态势模型、大数据统计、机器学习和数据挖掘实现对威胁的检测。三是应用,包括意图识别、因果分析、概率统计和行为侧写等对威胁的评估。

安恒的态势感知平台,围绕着风暴中心提供的大数据,为本次G20网络安保提供通知、监测、防护和分析四大类服务。

41

其中,“先知”通过对杭州16个主要区域设置备案站点服务的监控,提供基础数据捕获与安全监测服务。“玄武盾”通过对流量的牵引和清洗,配合威胁情报提供事中的云端监测和防护服务。“飞天镜”则通过日志消息、日志文件及离线文件等数据,进行事后的大数据分析,并形成基础信息及威胁情报库。

威胁情报基础数据库
全球IP、域名基础库
全球IP、域名信誉库
病毒、木马特征库
网络空间基础设施库
黑客攻击特征情报库
第三方协同情报库
全球基础漏洞库
大数据威胁模型库

自2015年12月1日,G20官网开放以来,安恒态势感知的三大平台为G20官网提供正常访问次数2亿+,拦截攻击次数300万+。为G20注册网拦截非法访问2900万+,抵御直接攻击112万+。另外,B20注册网站自今年7月以来,提供正常访问22.5万余次,拦截攻击8.7万余次。

5

三、DT时代的云计算安全

阿里云安全资深总监肖力的演讲简明扼要。

1. 两个问题

问:以传统安全方案应对最新网络威胁已经是螳臂当车,问题出在哪里?
答:缺乏安全感知,反击能力薄弱,基础设施防护欠佳,安全人才稀少。

问:据普华永道的调查,69%的企业正在使用基于云的安全服务,云安全服务的优势在哪里?
答:更高安全等级保护+增强威胁情报+更快的事件响应。

2. 阿里云的多层防御体系

阿里云的云安全团队,保护着全中国37%的网站,每天防御8亿次攻击、识别3.5万个恶意IP、防御2000次DDoS攻击。做好这种世界级别的防护,一套全链路产品和服务的防护体系不可或缺。

阿里云安全防护体系包括:

链路安全

安全储存

身份授权

日志审计

安全防御

容灾备份

3. 阿里云安全生态

包括6大类安全服务,79家厂商和168款安全产品。

6 7 8

4. G20安保

阿里云安全在G20期间,为164万云平台网站自动防御并拦截攻击247亿次,为1.3万云上政府网站封禁3.06万个恶意IP,为230个浙江省政务云提供最高安全等级的安全保障服务,并实现零中断和零安全事件。

5. 阿里云的威胁情报能力及大数据机器学习的应用

阿里云的威胁情报库目前掌握1000个全球僵尸网络中控、监控全互联网50万以上活跃恶意IP、100万后门样本文件,在这些数据资源的基础上,通过大数据机器学习技术来实现协同防御、攻击预测、黑客溯源和漏洞修复,并为WAF、后门检测、恶意网站检测、恶意IP识别及内容安全提供支撑。

安全的进化将从传统的样本、特征、规则,走向未来的机器学习、人工智能、威胁情报和行为预测。

以上就是牛君对本次西湖论剑三大精彩议题的记录和整理。

记于杭州九溪
2016年10月16日

 

标签:西湖  阿里  论剑  恒信  云栖
Top