构建迷宫式防御系统.docVIP

构建“迷宫”式防御系统 李坚 杨一民 X 关注成功！ 加关注后您将方便地在 我的关注中得到本文献的被引频次变化的通知！ 新浪微博 腾讯微博 人人网 开心网 豆瓣网 网易微博 “d8:c b:8a:8b:67:8d主机服务器受到S Q L探测渗透。”8月8日, 国网张家口供电公司网络安全蓝队成员王海通过主动防御系统发现一条异常网络告警信息, 一台计算机终端正在不断试图扫描访问上级路由。搜寻、定位、阻断, 王海飞快地敲击键盘, 第一时间对该终端进行了处理, 成功阻止了一次网络攻击。 “不到两分钟, 就干净漂亮地完成了这次任务。”王海抬手看了一下时间, 得意地说, “这要归功于不久前上线的内网主动防御系统, 现在它可是我们的制胜法宝。” 主动思考 建设防御系统 内网主动防御系统, 主要通过改变现有的网络交换模式, 由现有的横向无边界交换模式提升为微隔离交换模式。该模式可实现网络的主动跳变、快速迁移形成动态环境, 构建一个动态的、不断变化的“网络迷宫”, 使攻击者无法找到攻击目标, 从而破坏网络攻击能够实施的基础条件。同时利用人工智能深入分析和识别网络攻击行为, 主动改变网络防御策略, 极大增加攻击者的攻击难度, 达到全面有效地抵御、识别和定位网络攻击行为。 内网动态防御设备采用透明方式, 分布式部署在张家口公司信息内网机关、张北、崇礼分支节点。 王海向记者介绍, 今年2月, 冀北公司科技信通部牵头, 组建了网络安全研究团队, 严格考察网络安全防护体系, 分析不足, 深入学习网络安全知识, 了解国内外前沿研究方向和技术成果, 寻找解决问题的途径办法, 探索新型网络安全防护方式。 经过大量论证、需求分析、试验测试等工作, 团队建设了一套具有国内自主知识产权的内网主动防御系统。虽然主动防御理念已经提出多年, 但很少在生产环境中真正应用, 在国网公司内部也鲜有案例, “可以说我们在走一条前人没有走过的路, 没有可以借鉴的经验, 没有被广泛使用的产品, 一切工作只能靠自己摸索前行。” “这套系统最主要的特点就是能够隐藏网络内部设备的真实I P地址, 同时模拟出大量虚拟I P地址, 网络接口相互隔离, 使攻击者无法获得网络真实信息, 破坏了攻击的基础条件。”王海说, “这就相当于‘迷魂阵’, 虚拟地址能够有效迷惑未知计算机终端, 在其发起攻击的时候准确定位并立即阻断, 出其不意地消灭它!” 据了解, 内网主动防御系统已实现不依赖已知病毒库、入侵防御库等先验知识的防攻击模式, 从网络行为识别攻击并阻断, 实现了对未知病毒攻击的识别和防御。经权威检索, 该系统为国内外首个成型应用范例, 技术水平达到了国内外领先。 试点先行 力促成果落地 “主动防御系统在应对未知网络攻击时, 能够起到‘事前’防御的作用, 是对传统网络安全防御方式的有效补充。”冀北公司科信部信息处处长娄竞说。 为推进成果落地, 以张家口公司为试点, 在其机关本部和崇礼区供电公司率先应用主动防御系统, 根据信息网络实际情况不断调整实施方案, 修改网络配置, 力求在实战中逐步提升。 “系统建设是一个漫长而且艰巨的过程, 需要进行多次试验, 分析海量数据, 这样才能保证系统严密完善, 对新型网络攻击进行有效的防御。大家都是白天抓紧干工作, 夜晚解决主动防御实施难题, 这样的经历连续坚持了7个月的时间。”娄竞一边翻阅厚厚的数据资料, 一边对记者说, “在应用的过程中, 先后召开10次技术分析会, 3次大幅度改动技术方案, 最终使主动防御系统达到了预期目标。” 在系统试点检测的过程中, 冀北公司共组织模拟了2轮现场攻击测试, 主要分为子网内部攻击和子网外部攻击, 共涉及渗透式、漏洞式、自定义端口式、固定端口挖掘、定制蠕虫类行为攻击等8种攻击类型。全部现场攻击测试均未发现终端计算机的真实IP地址, 攻击行为被主动防御系统发现并有效阻断, 防御成功率达到100%。 在不久前永恒之蓝、勒索病毒爆发过程中, 主动防御系统成功隐藏了终端计算机真实的I P地址, 使病毒攻击完全失效, 确保了张家口公司网络在永恒之蓝、勒索病毒发作期间未出现一台中毒计算机。这充分体现了系统的主动防御效果。 公司将在国家电网公司安全防护体系的大背景下, 在被动防御到主动防御的演进过程中, 继续探索前进, 不断学习完善, 扎实工作, 为电网运行与公司业务保驾护航。