近年来随着各政府及公共事业单位对信息安全的重视程度越来越高,各种安全防护措施不断增加,防火墙、IDS/IPS、防病毒等已成为各单位信息化建设的必备之选。即便如此,仍然有众多单位的信息系统受到攻击,造成了不同程度的损失。据国家计算机网络应急技术处理协调中心的研究报告指出政府网站是不法分子攻击的重点目标之一,仅2011年12月就有163个政府网站被篡改。通过网络蠕虫、移动存储设备、智能移动终端等途径在单位内部网络中传播导致主机被木马或僵尸网络控制,造成重要信息泄密或被篡改的案例层出不穷。造成这一现象的原因主要有以下3个方面:
1. 一些单位过分信赖现有的安全防护产品,认为有了防火墙、IPS的阻断就可以确保万无一失。而实际上随着网络技术的发展,不断会有新的系统漏洞被发现并产生相应的攻击手段,而常规安全防护产品需要一段时间来更新规则库,有些单位甚至在部署了安全产品后不做规则库更新,这都会让不法分子有机可乘。
2. 缺乏有效的网络分析手段对用户网络行为进行深入分析。很多正常的网络行为也会触发安全设备的警报,众多的安全警报让网络管理者无所适从,由于缺乏有效网络分析手段,以至于忽略一些严重的安全隐患。
3. 安全威胁来自多个层面,很多单位重视对网络边界的防护而忽略了来自内部的安全威胁,缺少对内部网络安全问题的预警和分析机制。
要解决虚拟世界的安全问题我们可以参考现实世界安防系统的解决方案,构建一个包括“门禁”、“报警器”、“摄像头”的全方位网络安全保障体系。防火墙、IDS、防病毒产品就好比是门禁和报警器,而我们网络中普遍缺少的就是摄像装置。
科来自主研发的网络回溯分析系统正是我们目前网络中欠缺的“摄像头”,它能够在网络关键节点记录网络通讯情况,各种网络通讯都被监控并存储起来,一旦发生网络攻击或网络泄密事件,可以第一时间发现、追踪、取证、防范等一系列动作, 从而有效的防止网络攻击或信息泄密带来的损失。
通过科来网络回溯分析技术,还原网络攻击发生时的网络通信内容,从根源上找出网络异常流量,及时发现新型攻击行为,改变以往被动的由杀毒软件,IDS,防火墙的提醒才知道网络存在异常的情况。有了历史通信数据,我们可以对各种安全设备的警报进行分析排查,确保不会忽略重要的安全警报。通过异常网络通讯识别,网络协议解码技,异常端口识别等方法,主动发现内外部网络潜在安全隐患,比如:木马、蠕虫、ARP病毒等,帮助网络管理者快速定位问题主机。
可以说网络回溯分析技术是构建全方位信息安全保障体系的必要手段之一。科来希望利用10年来在网络分析领域的技术积累,为我国政府和公共事业单位的信息安全保驾护航。
