随着互联网技术的蓬勃发展和广泛应用,关键信息基础设施单位的办公与业务系统已实现网络化、信息化。网络边界广泛化以及智能终端的快速普及,给原本物理隔离或逻辑隔离的网络边界带来了巨大挑战。在实际的工作中,部署重要信息系统的内部网络非法联接外部网络的网络安全事件时有发生,极易造成黑客入侵、数据泄露等安全事件。
近年来,各行业先后颁布相关法律法规,对网络边界完整性和非法外联进行约束。如:等保2.0、中国人民银行下发的《中国人民银行金融城域网入网管理办法》、国家电力监管委员会下发的《电力二次系统安全防护规定》等,都对边界完整性和非法外联提出了明确要求。从网络安全全局出发,立足于整体补短板、固底板,无论是满足合规要求还是适应主动安全防护实际需求,都必须对网内非法外联行为,包括一机两网、一机多用、VPN
代理外联、VPN 代理接入等情况进行有效监测发现,并实施集中管控。
行业痛点与挑战
方案构成与关键技术
-
违规外联主动检测结合TCP、UDP和ICMP探测技术,主动发现非法外联主机。结合被动外联检测技术,覆盖面更广。
-
违规外联主动检测结合TCP、UDP和ICMP探测技术,主动发现非法外联主机。结合被动外联检测技术,覆盖面更广。
-
失陷资产发现通过DPI技术,结合精准的威胁情报利用,对网络中因木马、勒索病毒、攻击控制(CC)、挖矿等失陷资产存在的被控反联行为进行检测。
-
规则匹配检测结合海量知识库,包括报文规则库、主机状态库等,设置检测规则自动适配网内业务应用,完成违规行为检测,对网内业务应用无影响。
-
域名自学习自动从网络流量中学习用户单位的业务系统域名,用于选择非法外联检测点,可自主进行检测点控制,扩大检测范围或可控度。
-
业务连续性在进行非法外联监测的同时,主机的原始请求会正常到达内网服务器,无论非法外联检测报文能否收到应答,内网服务器都可正常回应,不影响业务功能。
典型应用场景
- 总公司应用部署
- 分支单位应用场景
