背景
      某部委按部、省、市三级体系建设应用系统,网络基础设施完善,应用系统数量达到数百个,全行业用户总数超过150万。网络和应用建设过程中采用传统安全防御技术,部署防火墙、IDS、IPS及防病毒等设备和系统,提供访问控制、病毒木马查杀和网络攻击防范等功能。但这些传统防御技术无法评估与分析对应用系统的访问情况,无法监测内部用户窃取、破坏数据等网络行为,应用系统的安全运行仍然受到威胁。总的来说,用户面临的主要问题有以下几点:
(1)现有的IDS、IPS等设备存在报警频率过高、可用性差等问题,且无法和应用系统结合在一起进行分析,局限性很大;
(2)缺乏对应用访问行为的分析手段,如异常行为比较隐蔽、复杂,需要结合网络层与应用层访问行为进行关联分析才能发现;
(3)缺乏对应用系统访问内容的监测手段,如结合用户身份、权限、时间、IP地址等条件,对用户操作行为的合规性进行监测。

项目难点
应用系统运行状态和安全状况的需要直观、清晰的展现方式,单靠统计数据与表格很难说明应用系统的运行质量和现存问题,用户体验差。进行有效的取证和还原难度高,当危险操作、越权访问、数据窃取等违规行为发生时,对过程的准确记录和还原才能使问题得到确认,并进行取证和处置。
 
解决方案
部级信息中心部署:
省级单位部署:
      在部信息中心和各个省级单位的应用系统前端核心交换机上分别部署应用安全监测与异常流量分析系统(Topwalk-ASM),构建部、省两级的安全监测体系,对应用系统的使用情况和访问行为进行全面、准确地监测。
      Topwalk-ASM以流量数据为分析基础、以应用系统为统计对象、以安全策略为监测依据,全面分析应用系统的使用情况,实时监测用户网络中发生的对应用系统的违规访问和违规操作行为,并结合安全威胁报警、嫌疑主机追踪、事件过程还原等手段,动态可视化地展现应用系统运行状态和安全状况。
      利用大数据与云计算技术,结合公司多年的安全技术经验,对流量数据进行深入分析与挖掘,预测应用安全态势,实现对应用系统运行状态和安全状况的实时、动态的可视化展现;根据历史流量数据,分析违规行为的发生原因和过程,并通过可视化的形式,将违规行为发生的过程进行还原,为用户提供确认事件、追查事件、处置事件的依据。
 
用户反馈
本方案以应用系统安全为关注点,通过对用户网络异常流量较为全面、系统的分析,满足了用户需求。
(1)通过动态可视化的展现界面,能够实时、直观地了解应用系统的运行状态和安全状况;
(2)通过设置灵活可变的安全策略,能够准确地识别安全威胁,发现多起使用违规代理软件和盗取数据的事件;结合用户业务特点,对业务系统关键数据内容的被访问情况进行关联分析,发现内部人员的违规操作与非法访问行为;
(3)提供了详细的报警事件数据,还原和展现违规行为,解决报警事件无法确认、无法取证、无法处置的问题,管理部门对应用安全威胁的处置效率得到提高。
Topwalk-ASM经过在部信息中心、省级地方机关两级的实际使用,能够切实满足对应用系统安全状况的监测需求,及时发现应用系统安全风险,有效提升对应用系统的安全管理能力。