一种分层网络安全防护一体化联动防御方法与流程

1.本发明涉及网络安全防护技术领域，尤其涉及一种分层网络安全防护一体化联动防御方法。


背景技术：

2.传统的网络安全构架是分区、分域、分界放置安全设备，这样往往都是“各自为阵”，很难对数据进行共享，不能形成纵深的联动防御。现如今面对复杂且有针对性、有目的的网络威胁，我们需要尽快打通这些安全设备的信息共享，将这些安全数据集中起来，建设基于大数据的威胁情报库。另外，传统的防御技术都是通过库数据对比，也就是和以往出现过的病毒、威胁等对比发现威胁，这种防御技术往往比较被动。现如今我们不但需要和以往安全库对比，更要使被动防御转为主动防御，这就需要对数据流和数据行为进行分析识别，并作出相应响应。
3.随着信息化的高速发展，攻击手段也层出不群，普通的木马、蠕虫、病毒攻击虽然大量存在，但其造成的威胁已被现有的安全设备遏制，对企业的威胁也甚小。而新的一种威胁atp(高级可持续威胁攻击),也称为有目的威胁攻击，一些有目的的人或组织为了达到某些利益，通过长期并有针对性对一些网络资源进行持续性攻击，依靠各种手段如木马、漏洞、社工、供应链等持续性获取网络资源，不断深入网络，最终达到想要获取的资源。由于企业网络环境复杂和局限性导致无法及时的发现apt攻击，难以做到及时完整的追踪溯源，以上方法存在以下问题：
4.(1)人的不安全行为成为企业网络威胁的最大因素。随着信息化应用的不断发展，企业员工对网络的依赖程度越来越高，但恰恰企业员工对网络安全的意识比较淡薄，人的有意识或者无意识的操作，可能会让企业的重要机密泄露，让企业陷入危机。“钓鱼网站”、“恶意邮件”、“捆绑应用”等非法链接或应用，利用人们的心理通过引诱方式，从而获取个人信息或企业信息，给企业、个人带来不可估量的损失。有数据现实，大部分的it安全事故都是由企业员工造成的，因此企业网络安全中人是最薄弱的环节，采用技术手段提高网络防护对网络安全具有非常重要的意义。
5.(2)企业网络安全防护形式单一。网络建设中没有对网络安全进行统一规划，只是在需要时单一的增加网络安全设备，企业网络防护对象、防护手段呈“碎片化”，各类安全设备和防御策略不统一、各自为战，导致网络节点不断增加，造成网络资源浪费，网络瓶颈增多，故障点难查等问题，且形不成统一的安全防御体系，对网络安全管理及防范并没有明显提高。
6.(3)高素质网络安全管理人员的缺失“束缚”企业网络安全。网络安全“三分装备”、“七分管理”，所以网络安全管理人员的素质、责任心成为关键。往往大部分煤炭企业重装备，不注重人才的配备和培养，其主要表现为：网络管理人员并非网络安全、信息技术相关专业人员，专业知识的匮乏对网络安全管理就显得很难着手；企业网络安全管理工作者只专注于企业内部的网络安全工作，很难适应当前网络安全工作中对复合型网络管理技术人
员的需要；没有对网络安全问题引起足够重视，随意更改策略、放宽权限，造成管理缺失、管理无效等问题。


技术实现要素：

7.基于背景技术存在的技术问题，本发明提出了一种分层网络安全防护一体化联动防御方法。
8.本发明提出的一种分层网络安全防护一体化联动防御方法，包括以下步骤：
9.s1：通过分析煤矿企业网络安全形势，提出了以边界防护、终端防护、一体化综合防御的技术原则，将内外网物理隔离和区域划分，根据不通区域的重要性划分出不同等级安全域，并针对性进行安全防护；
10.s2：将企业网络边界防护按照区域可分为互联网边界，内外网边界、工业网边界，第三方接入边界，不同的边界所连接的区域的安全级别不同，因此网络安全防护的方式和方法也不相同；
11.s3：通过对不同安全域的行为管控、流量管理、准入控制、策略细化、以及终端设备的安全管理措施，从人的行为、设备管控、网络安全态势感知等手段进行全方位管控，实现一套横向到面(网络层级)纵向到底(接入到核心)、能够闭环管理(发现威胁-报警-处理)、联动处置(系统发现威胁后能自动阻断威胁源)的综合网络安全防御体系；
12.s4：针对人的问题，采用终端安全防护手段。依据大数据采用多种病毒库引擎分析，通过部署一套集防病毒、终端安全管控、终端准入、终端审计、外设管控、edr等功能于一体的终端安全立体防护系统，实现终端安全防护。针对煤炭企业多存在办公地点多、面广、分散等特殊因素，系统的部署采用分级部署、分级管控、综合管理的模式，即在总部部署总控制中心，在每个二级单位部署分控制中心。总控中心可离线或在线更新病毒库、漏洞补丁库，各分控制中心从总控制中心下载升级的库文件，各二级单位的终端从单位的控制中心进行升级和下载相关升级文件，这样总控中心可以管理全网资源，也能分级管理，即减少总控中心的管理压力，节约网络带宽，也能满足分级管理的策略下发，实现不同区域的管理需求，主要实现的功能：1、全网终端病毒查杀。，2、定期修补漏洞3、总控中心可以对全网资产全面管理4.分级运维管控。5.移动介质管理。6.终端入网管控；
13.s5：边界防护建设，将网络边界防护按照区域可分为互联网边界，内外网边界、工业网边界，第三方接入边界，不同边界不同防护方法；
14.s6：一体化网络安全防御体系分析及方法，基于大数据进行自动化挖掘并云端关联分析，提前发现各种安全威胁，并对威胁进行分析研判。结合公司的态势感知设备，通过流量进行分析、对比、发现等路程及时发现威胁；；
15.s7：数据摆渡功能，即内外网边界、工业网边界之间数据传输一直处于物理断开状态，数据通过中间缓冲区存储转发，且设置未单向外传，实现业务互通。同时减少网络入侵的可能性。
16.作为本发明的进一步方案，所述s5中的互联网边界，互联网具有数据透明、流量不可控、行为无法预知等不确定因素。因此，在互联网边界部署防火墙、上网行为管理、认证准入、态势感知等设备，加强互联网应用和访问管理。
①
网络准入管理。通过网络终端设备和人员的双重授权、终端安全检查和修复、访问权限管理、终端安全监控等手段，构建可视化
网络接入和网络控制手段，在网络接入管理层实现“看见、掌控、更安全的接入”。
②
通过防火墙对上网终端进行相应的控制。开启漏洞攻击防护、web应用防护、dos/ddos防护、arp欺骗、僵尸网络防护等策略保证互联网不被外界入侵，并通过实施漏洞分析内容病毒防御策略、waf防护、atp检测等功能实时检测网络中的非法流量进行报警阻断。
③
通过行为管理设备，设定相应的策略，对公司互联网终端的操作行为及对外的应用访问进行管理。比如对一些敏感网站、敏感字段、敏感端口、游戏、p2p流量、代理工具、远程登陆工具等功能进行管控，保障互联网终端运行在健康的环境中。
④
通过防火墙、态势感知系统、上网行为管理系统对网络进行实施监测。对发现的异常情况和存在风险ip地址第一时间进行排查问题，通过网络阻断、物理隔离等方式及时处置，及时进行断网、查杀、比对，并做好信息收集工作。
17.作为本发明的进一步方案，所述s5中的内外网边界、工业网边界，内外网边界和工业网边界是一个高危边界区域，时刻都有来自外部的威胁，是内部网络受到互联网入侵的必然通道，因此该处边界是我们防守的重中之重。正常边界之间数据流都是我们熟知的业务和数据进行共享，并且大部分数据处于单向外传。因此，该区域边界部署一套网闸设备来实现数据传输。
18.作为本发明的进一步方案，所述s5中的第三方接入边界，该处边界一般都是与银行、政府管理机构等具有较高机密性，并且相对安全的区域进行业务互通，且数据传输都是双向的。而该处有明确的业务数据流和明确的ip地址，甚至可以精确到端口号。该边界防护只需要固定的ip地址、端口号、协议数据通过即可，因此我们在第三方边界部署下一代智慧防火墙，以精细化策略为首要防御手段，认真梳理互通ip、端口号等，以最小化策略为原则进行防火墙配置，保证只有可信的流量通过合法的ip和端口，最后开启deny-deny的安全策略，拒绝其它非法链接。下一代防火墙集成了ids、病毒识别、ips、应用识别等功能，因此，在合法策略中开启相应的安全策略配置实现病毒防护、漏洞防护、防间谍、文件过滤、行为管控的安全管控，保障合法流量的同时实现入侵防御功能。
19.本发明中的有益效果为：
20.1.本发明，将内外网物理隔离和区域划分，根据不通区域的重要性划分出不同等级安全域，并针对性进行安全防护。简化了网络防护难度，减轻了网络流量负担。
21.2.本发明，一体化联动防御的安全管理方式不再单一的依赖于病毒特征库，而是分析数据行为及流量特征预先做出判断并进行响应。首先我们在企业网络基础安全设备里部署了终端安全管理系统、防火墙、态势感知等安全设备。这些安全设备基于共享大数据实现特征库对比，并能够形成协同联动相应机制。犹如人的大脑可以控制手臂、腿、脚一样，安全终端管理系统和防火墙基于库特征对比行是其基本功能，而态势感知设备作为大脑，保证其行使其基本功能的同时能够对数据进行分析。并将分析后的结果分为告警、处理、阻断告警三种相应方式，即当发现某种流量特征具有威胁行为时但不明确该行为是否具有破坏性，态势感知立即执行告警响应，告知管理员进行人为识别并处理。如果发现某些威胁为常规漏洞、病毒，那么态势感知立即启动联动处理，告知防火墙、终端安全管理系统进行相应的病毒查杀和漏洞修补功能。对于阻断响应是发现的威胁必然产生危险时，态势感知告知防火墙和终端管理系统进行阻断处理并告知管理员所执行的阻断操作，实现威胁实时处理和闭环管理的主动模式解决网络防护“孤岛”问题，过去采用多手段，多方法，但无法联动，现在基于大数据智能化分层，网络分层但软件通联一体化防护，简单、有效。
附图说明
22.图1为本发明提出的一种分层网络安全防护一体化联动防御方法的流程图；
23.图2为本发明提出的一种分层网络安全防护一体化联动防御方法的流程图。
具体实施方式
24.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
25.参照图1-2，一种分层网络安全防护一体化联动防御方法，包括以下步骤：
26.s1：通过分析煤矿企业网络安全形势，提出了以边界防护、终端防护、一体化综合防御的技术原则，将内外网物理隔离和区域划分，根据不通区域的重要性划分出不同等级安全域，并针对性进行安全防护；
27.s2：将企业网络边界防护按照区域可分为互联网边界，内外网边界、工业网边界，第三方接入边界，不同的边界所连接的区域的安全级别不同，因此网络安全防护的方式和方法也不相同；
28.s3：通过对不同安全域的行为管控、流量管理、准入控制、策略细化、以及终端设备的安全管理措施，从人的行为、设备管控、网络安全态势感知等手段进行全方位管控，实现一套横向到面(网络层级)纵向到底(接入到核心)、能够闭环管理(发现威胁-报警-处理)、联动处置(系统发现威胁后能自动阻断威胁源)的综合网络安全防御体系；
29.s4：针对人的问题，采用终端安全防护手段。依据大数据采用多种病毒库引擎分析，通过部署一套集防病毒、终端安全管控、终端准入、终端审计、外设管控、edr等功能于一体的终端安全立体防护系统，实现终端安全防护。针对煤炭企业多存在办公地点多、面广、分散等特殊因素，系统的部署采用分级部署、分级管控、综合管理的模式，即在总部部署总控制中心，在每个二级单位部署分控制中心。总控中心可离线或在线更新病毒库、漏洞补丁库，各分控制中心从总控制中心下载升级的库文件，各二级单位的终端从单位的控制中心进行升级和下载相关升级文件，这样总控中心可以管理全网资源，也能分级管理，即减少总控中心的管理压力，节约网络带宽，也能满足分级管理的策略下发，实现不同区域的管理需求，主要实现的功能：1、全网终端病毒查杀。，2、定期修补漏洞3、总控中心可以对全网资产全面管理4.分级运维管控。5.移动介质管理。6.终端入网管控；
30.s5：边界防护建设，将网络边界防护按照区域可分为互联网边界，内外网边界、工业网边界，第三方接入边界，不同边界不同防护方法；
31.s6：一体化网络安全防御体系分析及方法，基于大数据进行自动化挖掘并云端关联分析，提前发现各种安全威胁，并对威胁进行分析研判。结合公司的态势感知设备，通过流量进行分析、对比、发现等路程及时发现威胁；；
32.s7：数据摆渡功能，即内外网边界、工业网边界之间数据传输一直处于物理断开状态，数据通过中间缓冲区存储转发，且设置未单向外传，实现业务互通。同时减少网络入侵的可能性。
33.本发明，s5中的互联网边界，互联网具有数据透明、流量不可控、行为无法预知等不确定因素。因此，在互联网边界部署防火墙、上网行为管理、认证准入、态势感知等设备，加强互联网应用和访问管理。
①
网络准入管理。通过网络终端设备和人员的双重授权、终端
安全检查和修复、访问权限管理、终端安全监控等手段，构建可视化网络接入和网络控制手段，在网络接入管理层实现“看见、掌控、更安全的接入”。
②
通过防火墙对上网终端进行相应的控制。开启漏洞攻击防护、web应用防护、dos/ddos防护、arp欺骗、僵尸网络防护等策略保证互联网不被外界入侵，并通过实施漏洞分析内容病毒防御策略、waf防护、atp检测等功能实时检测网络中的非法流量进行报警阻断。
③
通过行为管理设备，设定相应的策略，对公司互联网终端的操作行为及对外的应用访问进行管理。比如对一些敏感网站、敏感字段、敏感端口、游戏、p2p流量、代理工具、远程登陆工具等功能进行管控，保障互联网终端运行在健康的环境中。
④
通过防火墙、态势感知系统、上网行为管理系统对网络进行实施监测。对发现的异常情况和存在风险ip地址第一时间进行排查问题，通过网络阻断、物理隔离等方式及时处置，及时进行断网、查杀、比对，并做好信息收集工作。
34.本发明，s5中的内外网边界、工业网边界，内外网边界和工业网边界是一个高危边界区域，时刻都有来自外部的威胁，是内部网络受到互联网入侵的必然通道，因此该处边界是我们防守的重中之重。正常边界之间数据流都是我们熟知的业务和数据进行共享，并且大部分数据处于单向外传。因此，该区域边界部署一套网闸设备来实现数据传输。
35.本发明，s5中的第三方接入边界，该处边界一般都是与银行、政府管理机构等具有较高机密性，并且相对安全的区域进行业务互通，且数据传输都是双向的。而该处有明确的业务数据流和明确的ip地址，甚至可以精确到端口号。该边界防护只需要固定的ip地址、端口号、协议数据通过即可，因此我们在第三方边界部署下一代智慧防火墙，以精细化策略为首要防御手段，认真梳理互通ip、端口号等，以最小化策略为原则进行防火墙配置，保证只有可信的流量通过合法的ip和端口，最后开启deny-deny的安全策略，拒绝其它非法链接。下一代防火墙集成了ids、病毒识别、ips、应用识别等功能，因此，在合法策略中开启相应的安全策略配置实现病毒防护、漏洞防护、防间谍、文件过滤、行为管控的安全管控，保障合法流量的同时实现入侵防御功能。
36.本发明中，将内外网物理隔离和区域划分，根据不通区域的重要性划分出不同等级安全域，并针对性进行安全防护。简化了网络防护难度，减轻了网络流量负担，一体化联动防御的安全管理方式不再单一的依赖于病毒特征库，而是分析数据行为及流量特征预先做出判断并进行响应。首先我们在企业网络基础安全设备里部署了终端安全管理系统、防火墙、态势感知等安全设备。这些安全设备基于共享大数据实现特征库对比，并能够形成协同联动相应机制。犹如人的大脑可以控制手臂、腿、脚一样，安全终端管理系统和防火墙基于库特征对比行是其基本功能，而态势感知设备作为大脑，保证其行使其基本功能的同时能够对数据进行分析。并将分析后的结果分为告警、处理、阻断告警三种相应方式，即当发现某种流量特征具有威胁行为时但不明确该行为是否具有破坏性，态势感知立即执行告警响应，告知管理员进行人为识别并处理。如果发现某些威胁为常规漏洞、病毒，那么态势感知立即启动联动处理，告知防火墙、终端安全管理系统进行相应的病毒查杀和漏洞修补功能。对于阻断响应是发现的威胁必然产生危险时，态势感知告知防火墙和终端管理系统进行阻断处理并告知管理员所执行的阻断操作，实现威胁实时处理和闭环管理的主动模式解决网络防护“孤岛”问题，过去采用多手段，多方法，但无法联动，现在基于大数据智能化分层，网络分层但软件通联一体化防护，简单、有效。
37.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，
任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。