深信服科技股份有限公司

· 企业简介

深信服科技股份有限公司成立于2000年，专注于安全与云计算领域，致力于让用户的IT更简单，更安全，更有价值。经过17年的发展，深信服在全球共设有56个直属分支机构，员工规模超过3000名。

在安全领域，深信服是中国企业级领导厂商之一，无论是营收还是利润。并且多款产品都在国内排名第一，包括深信服上网行为管理、VPN、SSL VPN、下一代防火墙、广域网优化等。

基于“做实用的安全，让每个组织的安全建设更有效、更简单”的安全业务目标，深信服在广域网、移动业务、互联网出口、对外业务发布以及数据中心场景的安全需求场景下，提供了相应的安全解决方案。在公有云与行业云，以及私有云等场景下的安全需求，深信服也提供了安全资源池等解决方案。

目前，全球有近50,000家用户正在使用深信服的产品。其中包含90%的政府部委单位，80%的全球500强中资企业、85%的985、211高校、排名前20名的银行单位。

、

· 申报项目名称

互联网医院的融合安全与态势感知

· 项目基本信息

【用户范围】医院

【上市日期】2017.03.01

· 申报项目详情概述

【项目背景】

• 背景介绍

医院在互联网+医疗方面一直在进行着大量的探索，目前大量医院正在建立以患者、医生和护士为中心，覆盖院前，院中，院后全流程的便捷移动医疗平台，医生护士可以通过移动终端查看检验报告,大幅度提升医生的诊疗工作效率，患者可以直接手机预约、挂号、缴费，查看自己的检查报告，解决了患者看病排队难的问题，加之目前“全医体”、“分级诊疗”、”远程医疗”、“云计算”的发展，原本只需要在内网传输的数据，需要多终端，跨平台的传输，网络边界被打破，为了满足以上的医患需求，原有的网络架构，已经无法支撑现有的业务，医院需要将原本物理隔离的内网区域和外网区域打通，内网数据中心的大量核心业务系统数据将会与外网交互，数据的安全如何保证？新兴的互联网医院网络安全架构如何设计？

在4·19网络安全工作会议上，习总书记在与网络安全业界人士座谈会上明确指出：“加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”全天候全方位感知网络安全态势。知己知彼，才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。

所以习总书记提出“安全是发展的前提，发展是安全的保障，安全和发展要同步推进。要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”，随着《网络安全法》和《国家网络安全战略》的相继出台，态势感知被提升到了战略高度，众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统，以应对网络空间安全严峻挑战。

• 技术方案内容：

通过潜伏威胁探针、全网安全感知可视化平台、全网安全防护系统、移动终端安全接入系统构成持续检测快速响应的技术架构；满足信息安全等级保护三级的相关要求，并且能够实现有效发现未知威胁攻击，达到从医院内部局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。

• 科技优势利用

1. 安全威胁情报：深信服安全云威胁情报中心不断的挖掘和监测业内高危漏洞事件，并分析漏洞危害及影响范围，快速向用户告警。当0Day漏洞事件爆发后，深信服威胁情报预警与处置中心会在48小时内制作出针对该事件的热点事件库，事件库包含：事件内容、详细威胁说明、检测工具、防护规则。

• 依据最新标准进行产品方案规划
• 《中华人民共和国网络安全法》
• 《“十三五”国家信息化规划》（国发〔2016〕73号）
• 《信息系统安全等级保护基本要求》（GB/T 22239-2008）
• 《信息系统安全等级保护定级指南》（GB/T 22240-2008）
• 《信息安全技术信息系统通用安全技术要求》（GB/T 20271-2006）
• 《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）
• 《信息安全技术信息系统安全工程管理要求》（GB/T 20282-2006）
• 《信息安全技术网络基础安全技术要求》（GB/T 20270-2006）
• 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》
• 《国家信息化领导小组关于加强信息安全保障工作的意见》

• 事前事中事后全监测
•  1）失陷主机检测
• 黑客攻入内网之后，会在被攻陷主机上放置木马、后门，从而达到对该主机控制的目的。而在黑客控制大量失陷主机之后，还会对目标主机发起DDOS攻击、扫描暴破等恶意行为。主机失陷是黑客进入内网的第一步，及时发现失陷主机就能够尽早的扼制黑客的进一步行动，从而确保企业网络环境的安全。
• 目前已知的失陷主机检测算法有20多种，如基于规则、基于库的算法等。安全感知平台内建的算法能够对病毒行为、异常外联行为、黑客常用攻击行为等特征进行分析，该算法融合了fast-flux识别、iForest、主机网络流量模型、协议模型学习，同时结合大数据关联分析引擎提供的联动分析以及DGA域名判别构建融合检测模型，从而从及时发现失陷主机。
• 2）横向威胁感知
• 对于大多数客户来说，核心业务系统都会部署大量的安全防护系统和制定详细的管理保障制度，非公众服务的系统甚至根本不会暴露在攻击者直接可访问的视野当中。所以，黑客和攻击者往往难以直接对这些系统进行渗透和攻击，于是就出现了经典的APT“攻击渗透-控制跳板-横向移动-控制目标-窃取破坏”过程，通过攻击和控制防御薄弱的内部非核心资产，以其为跳板进行渗透和攻击。
• 横向威胁检测将监测分析的对象定位在内部业务和资产的行为逻辑分析上，实时监测系统之间的访问请求、数据包内容和业务逻辑，包括：
•     ·进行基于特征匹配的攻击检测，即扫描、渗透等传统攻击手段
•     ·基于白名单策略的违规检测，发现资产行为偏离预设的安全策略
•     ·基于UEBA技术的行为异常检测，发现资产行为逻辑与自身安全基线或同类资产安全基线验证偏离
•     ·常见的风险远程登录、数据库请求行为
• 通过这些资产的行为特征判断其是否出现被黑客控制并成为内部攻击跳板。由于攻击渗透和控制跳板的过程多数情况下总是基于0Day和未知威胁的新型攻击手段，但内部横向移动的过程必然伴随受控资产的访问请求、数据包内容和行为逻辑异常，可以作为有效的APT攻击检测手段，通过在横向移动阶段检测和阻断攻击，可以有效防止核心业务失陷和敏感信息失泄密。
• 3）外联威胁感知
• 许多客户经常抱怨传统的网络安全设备和解决方案只注重功能，即便是专业的安全运维人员也难以实时了解整个网络的安全状态。企业需要的不只是安全的网络环境，还需要以简单、直观的方式了解网络环境的安全状态，比如对于事后检测而言，客户关心的重点是其核心业务服务器是否已经失陷，客户的业务系统是否存在外连情况、与哪些国家和省份外连、外连访问存在什么风险和态势、如何解决等等。
• 从业务服务器的外发流量进行检测是判断该服务器安全状况的一个有效手段。失陷的服务器一般会表现得与正常运行时不一样。通过分析服务器外连的行为，建立服务器正常运行的模型，以此为基准检测服务器的异常运行情况。可视化平台将客户的业务系统外连情况进行可视，让客户直观感知业务系统动态，形成完整的“外连态势觉察、外连态势理解、外连态势预测以及外连风险解决”的闭环，在交互体验上，几乎零操作零学习成本，结合大屏幕投放，清晰而直观的做到“安全态势可感知、安全价值可呈现”。