- 2017-11-13 10:04
- 作者:佚名
- 来源:HC3i中国数字医疗网
· 企业名称
360企业安全集团
· 企业简介
360企业安全集团是专注于为政府和企业提供新一代网络安全产品和服务的综合型集团公司。集团以“保护大数据时代的安全”为企业使命,以“数据驱动安全”为技术思想,创新建立了新一代协同防御体系,全面涵盖大数据安全分析、网关安全、终端安全、网站安全、移动安全、云安全、无线安全、数据安全、代码安全等全领域安全产品及解决方案,已经为包括中央部委和大型央企在内的超百万家企业级客户提供了全面有效的安全保护。
· 申报项目名称
医院大数据安全分析及态势感知系统
· 申报项目详情概述
【项目背景】
随着各信息化技术的快速发展,以及云计算、移动化、大数据、物联网等新技术的出现和发展,医疗业务与互联网对接已是不可避免的趋势。特别在2015年3月5日十二届全国人大三次会议上,李克强总理在政府工作报告中首次提出“互联网+”行动计划。进一步要求了各个业务与互联网的深度融合,医疗行业在利用互联网、移动化技术实现医生随访、移动护理、自助交费、院外康复和家庭病床等业务也利用新技术实现了高速的发展。
那么在这“互联网+医疗”的大趋势下,在将新的技术应用到信息系统的过程中,我们发现新的信息安全问题逐渐浮出水面。一方面新的信息安全威胁层出不穷,非法获取病人信息已经形成产业化的趋势,利用特种木马、0day漏洞、水坑攻击、钓鱼攻击甚至威胁更大的APT攻击,已是传统防火墙、IPS、杀毒软件等安全防护设备无法发现和阻止。另一方面随着单位内各个业务部门信息系统的快速建设,信息系统产生的数据无法被有效收集、整理并加以利用,导致信息安全管理员无法通过数据分析发现隐藏在其中的安全威胁。
2016年4月19日习近平总书记在网络安全和信息化工作座谈会上的讲话指出,随着信息技术的发展,要正确处理安全域发展的关系。树立正确的网络安全观。
当今的网络安全,有几个主要特点。一是网络安全是整体的而不是割裂的。二是网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。三是网络安全是开放的而不是封闭的。四是网络安全是相对的而不是绝对的。五是网络安全是共同的而不是孤立的。
要全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是最基本最基础的工作。
随着《中国人民共和网络安全法》在2017年6月1日的正式实施,对信息系统安全、个人隐私保护以及处罚标准都做出了明确规范,在满足行业主管部门的要求和法律规定之上,针对如何解决新形势下的信息安全威胁则是信息安全保障下一步建设的关键所在。
【解决方案介绍】
医院大数据安全分析及态势感知系统采用大数据技术,建设针对全院的网络安全态势感知系统,利用可视化技术以图形化的方式展示院内各业务系统的安全状况,并结合互联网安全状态,整体展示全院的安全态势,并能实现对全院核心业务网络流量的长期存储与分析,及时发现潜在的异常行为和高级威胁。
【项目管理方案】
信息安全首重发现的能力,按照Gartner 研究的最新安全模型,通过预测风险情况和攻击手段,并对响应的信息和行为进行防护与阻止,并全方位的观测监察防护与组织手段的有效性,对相关内容进行调查与相应,通过持续性的监控与分析,拓展发现和预测可能出现的攻击手段和风险资产,从而实现安全保障的闭环运行。
持续性安全运营闭环模型
- 新型安全体系本质上就是围绕数据为核心的“数据驱动安全”的技术思路,数据是新型安全体系最本质与最核心的内容,具体来说就是依靠数据的大范围分析实现对威胁的感知、发现、分析、溯源,而传统安全防御体系强调的是利用攻防对抗技术在攻击的某个片段发现攻击行为,相比之下,传统安全防御体系的这种思路更局限于对攻击某一时刻的行为发现,就好比攻击在某一时刻的照片,是静态的,局部的,某一时刻的,无法对攻击的全貌有全面了解,而且一旦错过了这个攻击片段,就无法再发现该攻击。而新型防御技术依靠数据为核心,相当于将整个攻击过程都录制下来,而后对攻击的全过程进行回溯分析,不但能够了解到攻击的全貌,而且有可能在攻击全过程的任意一个环节、片段对攻击进行发现。
- 除此之外,以数据为核心本质上也是一种“安全众酬”体系,即:在一个未知出现的攻击,一旦被录入数据系统之中,对于其他尚未发生该攻击的位置就会提前实现检测与防御能力,这是传统以技术为核心的安全体系所不具备的。简言之,通过单点检测技术,你只可能看到攻击过程某一片段的快照,而透过数据的镜子,你却可以看到攻击的全貌、攻击的历史、可以通过别人的被攻击数据做到提前预防,可以看到更多的攻击。
要解决最新的安全威胁,需要大数据能力,但是有了大数据能力,不一定能解决最新的安全威胁问题。安全看见的能力指的是能够利用各种基础大数据,并结合威胁发现,是终能够对威胁进行定性、定量分析的能力。比如说传统的安全只是发现威胁、识别威胁,然后防御威胁,而象谁在攻击你?为什么攻击你?什么时候攻击的?怎么攻击 你?攻击是否成功?损失了什么?有关联攻击么?还攻击了谁?这些问题,传统的安全技术手段或产品是无法回答的。要想回答这些问题,就需要基于大数据分析的安全看见能力。当具备终端安全知识、网络安全知识、威胁情报知识等多种安全大数据后,再根据对整个全球安全态势的跟踪和分析,最终才能产生安全看见的能力。
当拥有安全看见能力之后,其实仅仅是看到安全后面更多的信息,要将让该信息产生对威胁路径的更详细的判断,则还需要大数据的关联分析能力,基于多维数据的关联,通过多种图形展现方式,才能够实现对未知威胁进行分析、发现、回溯、跟踪及预警的能力。
- 总体设计
要满足以上需求,需要利用多种先进技术,才可能实现对用户本地的安全数据进行快速、自动化的关联分析,及时发现本地的威胁和异常,同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势进行展现。
- ·使用互联网威胁情报发现高级威胁
- ·利用威胁情报检测高级威胁
- ·使用搜索技术进行数据分析处理
- ·自动化关联分析发现本地异常行为
- ·可视化技术使得威胁和异常清晰可见
· 经济效益与社会效益
采用大数据技术,建设针对全院的网络安全态势感知系统,利用可视化技术以图形化的方式展示院内各业务系统的安全状况,并结合互联网安全状态,整体展示全院的安全态势,并能实现对全院核心业务网络流量的长期存储与分析,及时发现潜在的异常行为和高级威胁。通过本项目建设,将实现医院具备如下安全建设目标:
- 1.建设基于互联网威胁情报的高级威胁发现系统;
- 2.建设全流量采集与日志采集、存储、分析处理的大数据安全分析及态势感知系统;
- 3.建设自动化的关联分析发现本地异常行为;
- 4.建设可视化平台展现全院整体的威胁与异常及其处置情况;
- 5.具备高级威胁与内部人员恶意行为发现能力;
· 项目创新情况简述
- 全流量的数据采集
通过在内网与外网网络核心交换机旁路,或者其他需要监听流量的网络节点旁路部署流量传感器。对网络流量的镜像进行采集并还原,在归一化处理之后,还原后的流量日志会加密传输给分析平台进行长期存储。
- 全系统、全设备的日志采集
采用专门的设备对网络内各业务应用系统、设备、服务器、终端等设备通过主动采集或被动接收等方式对日志进行采集。并对内网资产进行扫描,收集资产数据。从而实现整体日志信息的统一采集与归一化处理,处理结果会发送至日志关联引擎进行实时分析,同时还会发送给分析平台进行长期存储
- 日志实时关联分析
关联分析引擎主要负责对来自日志采集器的大量日志信息进行实时流解析,并匹配关联规则,对异常行为产生关联告警。
- 大数据存储分析平台
分析平台用于存储流量传感器和日志采集器提交的流量日志、设备日志和系统日志,并同时提供应用交互界面。分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。
- 全量日志检索
日志检索应用的主要功能是对采集到的全量原始日志进行快速检索,可实现千亿条日志秒级检索的性能。用于对网络中存在的高级威胁人工分析
- 可视化资产安全管理
并通过可视化技术将资产用不同的拓扑类型进行展示。在进行威胁分析的时候安全分析人员可以通过资产分组来进行安全数据统计和分析,大大提高了安全分析人员的工作效率。
- 关联分析
关联分析是可以方便安全分析人员对多维度数据进行关联并分析攻击路径、取得攻击证据链的工具。通过对攻击进行溯源和研判,并按照时间维度形成攻击证据链。
- 威胁情报利用
通过从360云端获取可机读威胁情报,本地系统可自动创建分析规则,对本地网络中采集的数据进行实时比对比对,发现可疑的连接行为;同时,可利用威胁情报对历史数据进行比对,以发现曾经发生过的高级威胁攻击行为,并可对安全事件进行溯源分析。
- 告警响应
通过对多个不同维度的数据进行关联后再做研判,这样可大大减少有效告警数量,提升安全管理效率。将潜在的威胁的判定逻辑做成关联规则,实时的发现符合威胁判定逻辑的内网行为,并产生告警。在发生告警后,安全管理员可将告警内容和响应建议通过邮件、短信等方式发送给指定的安全事件处置人员,或者将其推送到下级处置中心,并对处置情况进行追踪。
- 报表通知
可以根据时间、数据类型等定期自动生成报表,直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。可根据需求自定义相关报表模版进行数据的导入、导出。
- 安全仪表板
利用系统采集的海量数据,并根据用户不同的安全分析应用场景,通过可视化的技术动态展示内网资产拓扑、资产安全事件告警及漏洞统计、资产风险统计、组件状态、外部威胁视图、外联安全事件告警统计、外联安全事件告警详情等仪表板、安全事件告警处置、安全事件处置状态、安全域资产信息统计、安全域各维度告警及风险统计、安全域所包含资产的漏洞详情等,通过这种可视化的能力,使得网络整体安全态势具备了可视化展现的能力,同时帮助分析人员从视图中快速发现异常,提供深入分析的线索。
- 服务交付安全能力
由于医院一般都缺乏专业的安全技术人员,因此在应对高级威胁和内部人员恶意行为时候,是要实现进一步的溯源分析,找出在系统和网络中潜伏与扩散的高级威胁以及受影响的主机或客户端还是较为困难,为此,360提供专门的安全高级分析服务与培训,通过NGSOC自带的可视化分析系统,结合互联网威胁情报和存储的网络流量与安全设备、网络设备、应用系统、业务系统等软硬件系统日志,检测分析网络中潜在的高级威胁和溯源安全事件。同时,对于发现的一些特殊的可疑样本,还提供更进一步的样本分析服务,借助360专业的病毒分析人员和海量的数据资源,对相关可疑样本文件进行深层次的分析,确定文件的安全状况,防护来自供应链的攻击。
· 企业推荐意见
- 全天候的感知医院内部与外部安全态势
传统方式是通过本地产生的安全检测数据进行分析,但由于企业网络防护系统缺少相关APT学习经验,而且攻击者的逃逸水平也在不断的进步发展,本地设备会经常性的出现误报和漏报现象,经常需要人工的二次分析进行筛选。而且由于APT攻击的复杂性和背景的特殊性,仅依赖于单一医院内部的数据经常无法有效的发现攻击者的背景,难以做到真正的追踪溯源。而NGSOC大数据安全分析及态势感知系统则创新性的从互联网数据进行发掘和分析,由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到,所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率,而且由于数据的覆盖面更大,可以做到攻击的更精准溯源。
结合云端与本地检测两方面所能提供的优势,能够体现出高检出率、高覆盖度、成本低等相关特点,进而能够最大效力的呈现医院的信息安全状态。
- 可视化技术使得威胁和异常清晰可见
NGSOC大数据安全分析及态势感知系统通过可视化技术的利用,将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化,形成高维度的可视化方案,以便于用户理解。大数据的存储与实时运算能力保证了能够实现数据的实时推送,配以可以实时交互的3D可视化界面,与其美观的3D展示效果相得益彰。3D图形可视化有时会将大量的数据抽象地显示出来,通过2D的统计信息,更便于阅读,医院内各区域安全态势一目了然,省去了读繁复报告的过程。可视化技术的利用使得用户可以更直观地感受到医院内的整体安全态势,使得安全由不可见变为可见,不但带来了更好的用户体验,使得非管理人员能够清晰的看见医院内现有的安全状况,同时还有效地提高了安全监控的效率。
- 帮助用户提升网络安全数据存储与溯源的能力
传统的安全方案中,对于单位本地数据的处理往往采用关系型数据库。这种设计早已不能满足当前数据量的处理性能需要。NGSOC大数据安全分析及态势感知系统创新性的采用大数据存储和搜索引擎技术作为本地数据存储和检索核心技术,采用json格式作为引擎的输入输出格式,这样可极大提高检索性能,可以为单位提供TB级数据的秒级的搜索响应能力,同时相比传统架构也能够降低大量接口上的开发量。单台分析设备即可提供40TB以上的存储,系统整体能扩展至PB级。NGSOC大数据安全分析及态势感知系统可为单位本地的大规模数据保存、攻击证据留存和查询、实时关联分析提供坚实的技术保障。
- 提升了用户发现本地异常行为的能力
NGSOC大数据安全分析及态势感知系统通过基于数据处理与计算分析的自动化关联技术作为整体的事件处理流程框架,对各类数据按照预定的流程进行流式处理,以保证各种数据处理的准确性。依靠其延迟低,实时性强的特点,通过预先设定的事件处理拓扑,可以快速的对事件处理流程进行搭建,可根据不同的处理要求构建相应的事件处理拓扑模型,满足业务要求。网络安全态势预警处置系统使用实时关联分析引擎,作为事件处理流程中的一个节点,所有事件处理完成后将汇总进入关联分析引擎入口,关联分析引擎内置多种分析规则,结合日志数据、流量数据等数据元分析数据流中的异常,从而触发告警。通过这种自动化关联的方式,网络安全态势预警处置系统可及时发现用户网内的异常行为并进行告警,保证用户可及时监控并处理这些异常行为,及时发现各类本地异常行为如批量化数据转移,越权数据统计分析等。并能对过去长时间内的网络行为进行分析建模,发现存在的异常,从而发现潜在的风险。
- 强大的安全响应能力
与国内拥有世界范围内首屈一指的威胁发现能力的互联网安全单位合作,能够对医院内运行的各业务系统提供高强度的安全监测和防护。
在各种发生的网络攻击事件之初,能够第一时间做出了事件预警,对病毒样本进行技术分析,提出应对方案,充分证明了网络安全所具备快速威胁发现能力、快速威胁分析技术、快速应急处置能力,可以为相关客户单位提供安全的保障和最高效的技术支撑实力。