通信世界网消息(CWW)政务外网作为我国数字政府的基础设施,经过十多年安全基础设施的持续建设,已经建立了基于边界划分的纵深防御体系,形成了基于“防火墙-IDS/IPS-WAF”的入侵防范能力。然而近年来,面对日益复杂和隐蔽的网络威胁,上述传统安全手段逐渐暴露出“看不见、防不住、溯源难”的问题。此外,在安全事件的事中处置和事后分析环节,研判安全事件过程、评估危害程度和开展溯源追责十分关键。为解决上述难题,政务外网亟须转变防御思路。
构建全流量分析系统可有效应对上述挑战。一方面,全流量分析系统采集并保存所有原始流量数据,利用全协议解析技术对众多网络协议和应用进行深度解码分析,能够检测发现正常流量中夹杂的异常通信行为。另一方面,全流量分析系统的全流量回溯能力支持安全人员在安全事件发生后向前回溯调查,清晰还原从攻击源、利用漏洞、横向移动到最终影响资产的完整攻击链条,可实现精准定位、有效止损和责任追究。
本文针对政务外网传统防御手段难以检测发现隐蔽威胁等问题,研究通过全流量分析系统采集、解析全网流量,基于深度流量分析发现异常行为和威胁;并通过流量回溯能力还原攻击链条,实现精准定位、有效止损和溯源追责,助力政务外网实现从被动防御到主动感知的安全能力提升。
……
