当前,网络攻击手段愈发隐蔽化、多样化。为了应对新型网络攻击,构建共同防御体系,建立跨行业共享的网络安全情报中心,实现上下级协同机制,已成为时代需要。
GB/T 39204-2022《关键信息基础设施安全保护要求》对共同防御提出两项要点:
一、结合威胁情报与攻击特征进行比对,识别新型威胁、未知威胁,对攻击者进行画像处置;
二、建立内外部情报共享机制,与权威网络威胁情报机构紧密沟通,跨行业联防联控。金融、交通、能源等重点行业正在制定关基安全相关管理办法,加快推进共同防御体系建设。
基于行业需要与政策驱动,中金金融认证中心(CFCA)与公安一所全资子公司北京中盾网空防务技术有限公司达成合作,联合共建网络威胁联防阻断系统——“网盾K01”(以下简称“K01”),助力构建行业内部及跨行业的共同防御体系。
“网盾K01”依托公安一所的威胁情报云共享平台,结合本地部署的威胁防护探针与云端智能分析能力,构建风险全路径可知、威胁全场景可控、安全运营常态化可持续的安全防御体系。可部署在各行业单位的互联网出口、核心交换等关键位置,实现“一点监测、全网阻断、跨域联防、快速响应”。
“网盾K01”定位四问
是什么:K01是一个威胁情报网关,行业用户可通过K01设备接入公安一所构建的协同防御体系,享受监管机构的安全指导;客户获得的不只是一个盒子设备,而是一套网络威胁防护与安全运营服务。
做什么:K01部署在客户网络出口,能够全面监测和分析南北向流量,基于威胁情报,对由外到内的正面攻击类威胁,以及由内到外的受控外联类行为进行实时监测与阻断。
有什么:可通过K01获取公安一所权威情报,以及奇安信、腾讯、360、阿里云、华为、绿盟等行业专业情报厂商的情报。同时设备自动阻断攻击,后台专家帮助用户持续分析高危风险、及时预警。
怎么用:K01支持串联部署与旁路部署模式,仅需简单配置即可上手,系统内置“重保模式”和“日常模式”,并支持根据实际使用场景自定义监测及阻断策略。
“网盾K01”功能四答
功能一:监测发现
1. 基于情报匹配的威胁监测——K01可以识别和监测各类外部入侵威胁、钓鱼攻击、内部受控外联、弱口令爆破等行为,并可以设置细粒度的情报匹配条件,满足不同应用场景的个性化需要。
2. 基于规则引擎的二次校准——K01可以在情报匹配的基础之上,通过开启本地二次校准功能,对访问会话的行为进行同步检测,当某个IP既在情报当中活跃,又在本地开展明确攻击活动时,才对其执行相应处置动作。
功能二:应急处置
1. 全面的旁路阻断防护能力——K01可以在镜像检测的同时进行旁路阻断。针对TCP请求,可以主动构造RST阻断包来双向发送至客户端和服务端,达到攻击阻断的效果;针对UDP请求,可以发送伪造的ICMP响应,告知客户端UDP端口不可达;旁路阻断率可达99%。
2. 基于策略的访问控制——除了基于情报的检测阻断之外,K01还支持自定义配置点对点访问控制策略及黑白名单策略,可以对明确的黑名单地址直接进行处置,也可以对敏感的业务资产进行例外配置,提升了攻击处置的灵活性。
功能三:溯源固证
1. 精准的流量会话取证——K01支持流量会话数据的本地留存,可记录攻击五元组信息、载荷信息、本地活动轨迹与原始会话信息,适用于支撑各类监测场景下的研判取证。
2. 全面的情报溯源画像——K01支持详细的威胁情报溯源画像功能,包括对IP、域名URL的溯源查询,溯源内容包括情报的基础属性、情报多源情报的对比信息以及情报测绘信息,可以帮助用户更加准确地进行研判分析。
3. 情报溯源+情报校准+自动化运营报告——K01新增外联情报误报标注与反馈机制;完成攻击监测与外联监测页面重构,优化交互流程并丰富告警信息展示;同步重构威胁情报溯源页面,扩展情报字段展示,突出多源情报对比能力;优化报表导出体验,重新设计自动化报告生成内容结构,提升数据呈现的完整性与可读性。
功能四:共同防御
1. 基于威胁情报共享的共同防御建设——K01基于公有情报中心汇集跨行业情报数据,通过“一点监测、全网阻断,集体防御”架构设计,形成跨行业共同防御能力;基于私有情报中心建立行业用户自有情报体系,实现行业内各单位协同联动,共同防御。
2. 丰富的外部协同接口服务——K01开放告警日志外发、黑白名单配置等标准接口,可与第三方安全设备、管理平台等进行有效协同;既可以提供接口供外部查询或调用,又可以按照不同类型细粒度外发告警日志,能够满足不同的处置工单编排需要。
“网盾K01”应用场景
场景一:集团型统一部署,个性化情报搭建与应用,实现行业整体安全运营。
此场景主要解决用户统一管控难度大的问题。针对集团型用户,在总部及各分支单位部署K01,连接一所情报中心实时获取公有情报;在总部部署集中管控平台,一方面对K01做统一管理,另一方面获取K01告警、其他安全设备告警、第三方情报等数据,加工后生成自有个性化情报供K01使用,从而实现行业自身情报体系搭建与整体安全运营管理。
场景二:单位快速部署,加入一所安全情报体系,实现跨行业共同防御。
此场景主要解决用户单点安全防御薄弱的问题。为重点单位部署K01,通过连接公有情报中心快速加入一所安全情报体系,实时获取各行业用户汇总安全情报,包括入侵威胁情报、受控外联情报及情报画像数据,并通过溯源分析及时掌握攻击者在各行业用户单位的活动轨迹及活跃情况,从而达到“一点监控、全网阻断、跨行业共同防御”的效果。
“网盾K01”也是CFCA网安智控综合服务平台的组成部分。CFCA专注于风险管理与合规管理的系统性研究及其相应产品,网安智控综合服务平台聚焦智能安全重构,为机构用户构建网络安全地图。
作为中国人民银行1998年牵头组建的权威电子认证机构,CFCA以数字身份技术筑牢数字安全防线。展望未来,CFCA将构建以资产为核心、AI赋能、合规自动化的网络安全合规治理新蓝图,加力打造“可信数字身份体系”。
