内网安全管理解决方案之内网威胁管理

内网威胁管理背景分析

电力行业是技术密集和装备密集型产业，其独特的生产与经营方式决定了其信息化发展的模式。由于行业的特殊性，电力行业对IT设备提出了高安全性、高可靠性、高稳定性的要求。各个电力企业已经加快了自己信息化的进程，办公自动化(OA)、MIS系统、电力市场和营销系统、电力调动系统(EMS)、配电管理系统(DMS)、呼叫中心(Call Center)以及电力自动化管理系统已经有不同程度的应用。但是，电力行业和其他行业不同之处是，各个省市独立规划和运作，所以各个省市的电力企业IT系统建设面临着多样性、复杂性。

因此在确保电力企业正常工作和关键业务的安全、高效运行的同时，如何保障上述业务应用的可用性和安全性，这是电力企业在网络管理和运维中亟待解决一大问题。

内网威胁管理

内网威胁管理系统是一个网络安全设备管理器，不仅仅用于NBAD内网安全管理系统中功能组件的统一管理和维护，还可以与各种品牌的网络设备互动，进行联合防御。它通过一个单一的网页页面，对分散部署的NBAD安全设备进行管理。在威胁发生时，管理人员只需要查看其提供的威胁报告就能了解网络中发生了哪些问题，而不用忙于在多个设备的管理界面之间不断切换。并且，系统还支持根据事先定义的安全策略并联合其他网络设备自动对威胁采取措施，做到第一时间响应，降低了风险扩大的可能性，同时提高了效率。

主要功能：

集中管理

集中管理部署在网络中的威胁检测器(Sensor)，威胁分析器(Analyzer);

通过一个单一界面查看、分析、管理网络威胁事件;

智能管理

发现网络威胁事件后通过预定策略进行自动处理;

问题解决后，自动恢复封锁主机的网络连接。

联合防御

攻击源定位，通过查看交换机的CAM表，对攻击源进行定位;

与其他网络设备进行交互，可实施端口关闭、限速等联合防御措施。

新颖性、先进性和实用性分析

NBAD局域网资源暨威胁管理系统是针对于内网资源及信息安全管理的一整套解决方案，是目前国内唯一通过ASIC硬件架构实现的内网信息安全管理体系架构，秉承ISO27001/27002的基本精神，基于用户现有的网络结构，融和用户先前分散部署的安全设备，帮助用户构建一个主动式的完善的内网信息安全防控体系。其主要特性如下：

现有安全产品全部采用特征码识别技术，有赖于经常升级特征库，在应对未知(新型)威胁和无特征威胁时(如ARP攻击)，起不到任何作用。这些威胁特别是无特征威胁恰恰是内网信息安全最大的安全隐患。现有安全产品在应对这类威胁时力不从心。NBAD解决方案基于全新的异常行为识别模式，在内网构建一个完善的类似于疾病防控体系一般的内网威胁防御体系，特别适合于应对未知的和无特征的威胁。确保网络健康高效运行。

通过全网IP地址和mac地址的集中身份管理、统一策略，大幅度提升了用户的整体安全管理水平，并解决以往由交换机端口实现的分散身份管理带来的管理混乱的问题，提高了灵活性，大幅提升信息化管理水平。准确的身份管理是信息安全的第一步，也是最重要的一步。

防御措施全部在网络底层或网络边缘由硬件实现，不需要安装任何客户端软件，不影响现有主机和业务系统的性能。

全部产品采用旁接设计，既不会改变用户现有网络结构，也不会对现有的网络设备和应用系统的正常使用造成任何不必要的危害，即便在最极端的设备死机或掉电的情况下，也不会影响用户的网络稳定和其他任何业务的正常使用。

通过与现有设备的信息交互，能够整合现有设备，实现全网联合防御。

对网络资源和信息安全进行严格规范的管理，并可生成完善的报表，提供科学的决策依据，进一步提升信息化管理水平。

建立信息安全流程和体系架构是信息安全管理的发展趋势，NBAD局域网资源暨威胁管理系统作为一个创新的体系，能够极大的提高原有设备的效能，对异常行为进行主动干预和自动的规范化处理，变被动防御为主动管理，是用户现有安全体系的重要的、有力的补充。

行为判别技术与特征码识别技术对比分析

特征码识别技术的局限性：

依赖于特征码库的逐条逐包比对，运算量巨大，系统响应速度慢，处理能力有限;

依赖于特征库的定期升级，如果升级不及时，就将完全失去防御能力;

适合在网关处部署，不适合在数据量巨大的内网中部署，并且在内网中不易升级病毒库;

只能被动识别特征库中已经存在的病毒和攻击，对于新出现的病毒和未来可能的威胁无法识别，更无法防御;

对于无任何病毒特征的攻击行为(如ARP和NDS钓鱼等)，没有防范能力。

行为判别技术的特点：

无需逐包检查，只对网络异常行为进行审计和管理，简单高效;

无需升级病毒库，使用简便，无需维护;

强大的数据处理能力，适合全网部署，极大地提高全网安全性;

主动进行全网异常监测和隔离管理，从网络底层入手主动应对现有及未来的各种威胁;

特别适合识别各类没有特征的攻击行为。

内网威胁是内网安全中比较重要的模块，每个企业都应该予以相当多的重视。希望以上的方案大家能够理解。

【编辑推荐】

1. 当内网安全遇上云安全
2. 终端审计如何更好地服务内网安全
3. 内网安全管理解决方案之内网威胁探测与分析