衛達安全助力國防軍工真正實現網路安全自主可控
國防軍工體系負責國家武器裝備生產和軍隊基礎設施建設,一個國家的國防工業能力關乎國家安全,在國防與軍隊建設中發揮著重要的基礎性與先導性作用。
國防軍工體系,顧名思義包含兩個層面的內容:一是國防,二是工業。
從國防角度看,軍工行業與軍隊一體兩面,都關係著國家安全,因此在面對網路威脅時,國防相關部門除了考慮經濟因素外還多了一層政治敏感。
這一特徵恰如兩個月前印度國防部網站疑似遭遇「佛系」攻擊時的反應:
4月6日,印度國防部網站出現故障,其主頁報錯,被一個顯示漢字「禪」的頁面所取代。
很快,包括民政事務局、勞動法律部等其他10個主要部門的網站也都出現持續長達六小時的「無法訪問」現象。
印度網路安全主管否認本次事件是黑客所為,稱是數據中心的「硬體問題」。不過,印度國防部長西塔拉曼個人在社交媒體上證實了國防部網站確實遭遇黑客攻擊。
網路安全部門的官方說法與當事部門有關負責人公開的信息不一致,個中緣由不由讓人多思考一秒鐘。
這體現了國防部門在面對網路安全事件時特有的謹慎態度,也一定程度上反應了國防軍隊相關機構對外部網路威脅的高度重視和嚴密防守。
從工業製造角度看,在信息技術與傳統工業融合的過程中,軍工行業同樣面臨著其他工業製造企業面對的信息化安全風險。
有報告顯示,2014年,工控用戶在控制系統中發生網路安全事故的比例有所提升,受網路安全事件影響的企業佔比達到了28.6%,因病毒造成工控網路停機的企業高達19.1%。
緊迫的安全形勢除了體現在數字上,還有真實案例「支撐」。
2015年12月23日,烏克蘭至少有三個區域的電力系統被具有高度破壞性的惡意軟體攻擊,導致大規模停電,伊萬諾-弗蘭科夫斯克地區超過一半的家庭(約140萬人)遭遇停電困擾,整個停電事件持續數小時之久。而就在發電站遭受攻擊的同一時間,烏克蘭境內的其他多家能源企業如煤炭、石油公司也遭到了針對性的網路攻擊。
可以預見,隨著工業製造與互聯網深度融合的趨勢在全球鋪開,針對工業領域的網路攻擊將更為頻繁。
反觀國內,我國經濟發展也已進入新常態。在這一背景下,國防科技工業同樣面臨著轉型升級的迫切需求。
目前我國國防信息化已經逐步從起步階段進入了全面發展階段,國防信息化正帶動軍工企業信息化深入發展。作為軍工行業信息化建設的安全保障,網路信息安全的自主可控是信息化順利推進的基石。
為助力我國軍工行業網路信息安全自主可控體系建設,衛達安全深入分析了相關企業目前採用的主流信息化系統及其在各個場景中面臨的主要威脅,以某一典型的軍工集團網路為代表,總結了當前軍工行業網路和信息安全的三個核心痛點:
1 內網辦公終端安全風險
軍工企業內部網路各部門按照不同安全等級劃分為獨立的安全隔離區,但是同一安全區域內部基本被看成可信網路,當攻擊者通過內網的終端橫向滲透獲取涉密信息,當前網路通常缺乏有效的內網防護手段,導致核心資產損失。
同時,蠕蟲病毒的橫向擴散,影響多個終端遭受影響,阻斷正常辦公,也造成一系列安全應急問題。
另外,在無線接入網路發展下,接入途徑多樣化,安全管理越來越複雜,企業外包人員以及第三方人員在辦公網路接入也帶來了種種安全風險漏洞。
2 APT攻擊在內部伺服器間滲透
APT攻擊作為未知威脅,入侵內網並潛伏後很難被傳統安全防護檢測,尤其在伺服器區域,攻擊者可以以內網一台終端為跳板逐層偵探伺服器應用系統,在發現目標伺服器後,進而提取最高許可權得到關鍵數據。
3 邊界訪問安全風險
軍工集團下屬多個科研機構以及外聯單位,各級單位到集團之間的交互日益頻繁,分支與集團的數據傳輸既要保證可靠穩定,同時數據的安全性也是關鍵,外來數據的安全性以及內部數據的訪問合法性是保證內網安全的最基本要求。
基於上述痛點,衛達安全以首創的智能動態防禦技術及其產品體系為基礎推出了軍工行業智能動態防禦解決方案,分別針對軍工企業內網辦公區、數據中心伺服器區以及邊界互聯區,採用「幻境」內網動態防禦系統和「幻牆」邊界動態防禦系統進行整體安全防護,保證科研資產信息安全的同時為軍工企業網路安全提供國家級防禦能力。
方案架構
1 內網辦公區防護方案
在內網環境中部署「幻境」,主要部署於重要終端以及核心業務信息系統、監控管理系統上層,在二層接入和三層路由之間構建一個虛擬的動態網路,增加攻擊滲透的難度,延長攻擊時間;同時將任意信息節點之間變換成邏輯隔離的網路,第一時間隔離問題終端,在安全事故前期將威脅控制在最小範圍之內,最大限度減少損失。
除了抵禦APT滲透攻擊、蠕蟲病毒攻擊等高級別威脅外,該解決方案能夠完全杜絕ARP欺騙、泛洪攻擊以及會話劫持等一系列區域網內的攻擊行為。
2 數據中心伺服器防護方案
在伺服器區部署「幻境」,通過大量偽裝節點和虛開的埠用以迷惑和誘捕攻擊者,增加網路的複雜性,破壞攻擊者進行伺服器地址掃描的路徑,大幅降低攻擊成功的概率,提升網路自身的對抗能力。
3 安全域邊界防護方案
在網路出口和內網核心業務安全區域邊界分別部署「幻牆」,防火牆開啟入侵防禦、病毒檢測等安全功能,對外部入侵病毒進行檢測,對內部區域間的互訪進行精細化訪問控制,阻斷非法的訪問,保證業務互訪安全。
方案價值
智能動態技術主動防禦,實現國家級安全防護能力
識別未知威脅,阻斷內部攻擊滲透,保護軍事機密、軍工科研成果等核心信息泄露
精細化內網微隔離,在區域網內完全杜絕ARP欺騙、泛洪攻擊及會話劫持等區域網內攻擊,防止病毒在內網大面積擴散
邊界L2-L7層智能化多維度威脅防禦,高性能高可靠抵禦外部威脅入侵
衛達安全軍工行業智能動態防禦解決方案依託自主研發的核心技術,有效改變了傳統安全防禦缺陷,尤其彌補了內網安全領域的防禦空白,能夠從根本上控制內網病毒擴散、情報丟失、信息泄密等現象發生,將為軍工行業帶來自主可控的國家級安全防禦效果,進一步提升軍工企業的整體網路安全保障能力。
國防科技工業是國家安全和國防建設的重要物質基礎,隨著軍民融合上升為國家戰略,軍工系統的開放度不斷加大,與網路強國戰略的疊加效應使網路和信息安全在軍工企業中扮演了愈發重要的角色。
衛達安全始終堅持自主創新,將掌握核心技術作為企業創新的最高原則。未來,衛達將繼續為國防軍工企業打造自主可控的安全產品和服務,用先進技術化解企業網路面臨的安全隱患,力爭為國防信息化建設做出更大貢獻。
來源:衛達安全
原創聲明 >>>
本微信公眾號刊載的原創文章,歡迎個人轉發。未經授權,其他媒體、微信公眾號和網站不得轉載。
