一、 项目概述
1、项目背景
为响应关于进一步做好网络安全等级保护有关工作的要求,解决传统安全设备对新型网络攻击(尤其是内部“东西向”跳板攻击)检测能力不足的问题,引入《雷盾网络威胁立体式管控平台》。该平台将基于现有网络流量大数据,构建一套基于“不改变拓扑、不镜像流量、不安装探针”原则基础上的立体式威胁管控体系,重点提升对违规外联、越权访问、分布式协同攻击及虚拟化环境内部威胁的监测与溯源能力。
2、建设目标
- 网络流量监控及分析:实现全网流量的实时、无侵入监控,全面采集网络元数据,提供多维度、细粒度的流量可视化呈现,清晰展现通信关系、流量趋势及异常流量波动,为安全分析提供全景数据支撑。
- 网络应用深度透视:精准识别网络中的应用协议、业务系统及服务组件,实时监测违规应用、非授权服务及脆弱性端口,帮助运维人员快速掌握业务暴露面与潜在风险。
- 通信零信任分析:基于“通信规律”建立动态行为基线,聚焦数据中心内部服务器间的横向移动、跨域访问及非工作时段通信,实时发现异常连接、越权访问及隐蔽通道,实现零信任理念下的细粒度访问关系监测与告警。
- 东西向威胁管控:强化内部网络威胁检测能力,精准定位虚拟机逃逸、容器内网扫描、慢速暴力破解等“南北向”设备难以发现的内部攻击行为,并提供一键溯源能力。
- 脆弱性排查与合规溯源:实时发现公安网内的脆弱性端口、弱协议及违规服务,对威胁事件提供一站式取证。
二、 部署原则与依据
- 不影响现网架构:采用旁路部署模式,仅通过各级交换机以及虚拟化设备的NetFlow/sFlo/IpFix等数据流进行分析,严禁串接,确保不成为网络故障点。
- 数据最小化原则:采集数据仅限于网络流记录(元数据),不涉及通信内容,避免敏感信息泄露风险。
- 兼容性原则:无缝对接公安系统现有的华为、H3C等品牌核心交换机及VMware虚拟化平台。
- 系统安全合规:遵循GA/T 1252-2015标准对服务器操作系统安全配置的要求,确保平台自身及被管服务器的安全配置合规。
三、 技术架构与原理
本平台部署后,其工作原理如下:
- 数据采集:指令公安系统现有核心/汇聚层交换机将NetFlow/sFlow数据发送至平台服务器,无需分光器或硬件探针。
- 智能分析:利用大数据与AI算法,从“通信规律”层面建立行为基线,识别偏离基线的异常行为。
- 态势呈现与处置:通过大屏展示威胁态势,并可按需配置联动防火墙或交换机BGP路由实现恶意IP的动态阻断。
四、 具体部署实施步骤
1、前期准备与调研
- 确定监控范围:梳理公安系统信息机房的核心业务网段、虚拟机网段及管理网段,确定需要开启流采样的交换机端口。
- 硬件资源准备:准备1-3台高性能服务器,安装CentOS 10系统。
2、网络设备配置
- 在不中断业务的情况下,登录信息机房的接入交换机、汇聚交换机以及虚拟化平台进行配置:
- 开启流采样:在交换机上配置NetFlow/sFlow功能,指定将数据流发送至雷盾平台服务器的IP地址和端口。
- 采样率设置:根据具体业务情况设置合理的采样率(如1:1024),以平衡分析精度与设备性能。
- 虚拟机层采集:在VMware vCenter或分布式交换机层面开启IPFIX功能,确保虚拟化平台内部的流量(东西向)也能被捕获。
3、平台软件部署与配置
- 基础环境安装:安装布署雷盾平台。
- 平台License激活:导入雷盾官方提供的License文件。
- 流量接收配置:在平台侧配置数据接收器,确认能够正常接收交换机发送的NetFlow报文。
- 资产发现与梳理:平台将自动发现公安网内的IP资产、开放端口及通信关系链,形成资产白名单基线。
4、功能模块调试
- 威胁监控:验证是否能从“攻击视角”和“防御视角”双维度展示攻击链。
- 脆弱性监控:验证是否能够动态发现如永恒之蓝漏洞相关端口的活跃情况。
- 零信任管控:测试对违规跨网段访问、非工作时段异常登录行为的告警准确性。
五、 测试与验收
- 功能验证:模拟内网扫描行为,确认平台能够在10分钟内发现异常行为并生成威胁指数评分;验证溯源功能是否可点击查看原始交互IP和端口。
- 性能测试:确认平台在处理公安系统峰值流量时,数据入库延迟不超过2分钟。
- 合规性检查:检查平台存储的日志是否满足《网络安全法》留存要求,且不包含业务通信内容。