产品答疑丨神琥科技铜墙铁壁产品答疑(下篇)

发布时间:2019-07-26 20:37:11  

随着数字业务的快速增长,企业面临的网络安全风险也在呈指数级增长。近一两年来,网络安全事件的频发也为广大企业敲响了警钟。在国家高度重视网络空间安全的今天,越来越多的企业通过建立自己的网络安全技术团队或委托专业安全服务团队,来提高网络安全防护能力,着力防范化解风险隐患,全力保障企业业务安全。

在这一趋势下,神琥科技企业级安全防护系列产品“铜墙铁壁”,在军工、能源、金融、通信等多个领域相继落地,为企业用户提供专业有效的业务保障服务。

上一期,我们围绕铜墙产品展开了分享与探讨(往期回顾:【产品丨神琥科技铜墙铁壁产品答疑(上篇)】),本期我们将聚焦铁壁产品与大家继续交流。

铁壁产品问答

1.铁壁可以识别网络流量中的哪些内容?

答:铁壁可以对企业所有网络通信数据进行全流量抓包和存储,通过深入解析数据包,可以识别网络指纹(包括IP、域名、应用协议、HTTP信息等),发现网络中的恶意软件、恶意文件,以及HTTP、VPN、LDAP、Teamviewer等外访行为,并提取流量中包含的文件、邮件等。

2.铁壁可以发现网络外发的文件吗?怎么发现?

答:铁壁可以发现网络流量中未经通信加密的所有传输文件,包括网络外发和接收文件。一方面,铁壁在捕获数据流量的同时,会自动提取流量中的传输文件;另一方面,通过对系统发现的异常数据流量进行回溯分析,如果流量中存在文件则可以直接进行提取。

3.铁壁如何发现网络的境外访问?

答:铁壁系统可以发现境外IP对企业的网络访问,以及企业内部对境外IP的网络访问。例如,通过DNS分析可识别出境外域名,从而发现境外访问;利用网络IP、地理位置等多种信息进行数据过滤和关联分析,也能发现境外访问的数据流量。

4.铁壁系统的部署对操作系统和硬件配置有什么要求?

答:铁壁管理客户端可安装在WIN7/WIN10操作系统中,硬件配置上要求内存不小于8G,高性能CPU。完整安装时,本地单盘存储空间不小于100G,分析的离线数据量每增加1T,本地存储空间需增加30G。

5.部署铁壁时为什么要安装数据库?

答:通常选择铁壁客户端的简易安装模式,不需要安装数据库;选择完整安装模式,可支持对本地数据流量文件的离线分析功能,则需要安装数据库。

6.安装铁壁系统后,是否会对企业网络产生影响?

答:铁壁系统部署在用户单位的网络交换、路由器或互联网接入节点处,利用交换机等设备的端口镜像功能,将镜像源端口的数据包,拷贝到指定的目的端口。端口镜像功能通过交换机的硬件芯片实现,不会对网络产生干扰。

7.铁壁系统有何亮点特色?

答:神琥科技专业从事电子数据取证行业十余年,在充分考虑网络上可能遇到的各种风险的同时,也将取证思维融入到了铁壁产品的研发设计中。

一是系统支持对企业网络通信数据进行长期的实时采集与全流量存储,确保不漏掉企业网络的任何异常情况;

二是支持对异常的IP、域名、协议等进行精准定位,并实时上报预警,以便安全管理人员进行风险排查;

三是支持对木马、端点、应用等十余种风险项目进行独立分析或深度关联分析,有效识别各类网络威胁;

四是支持后台实时提取原始文件数据,且支持数据的预览和下载,便于及时发现网络窃泄密行为,追查路径;

五是支持数据回溯分析,还原网络安全事件的过程,便于后续取证鉴定工作的快速开展,为案件侦办及司法诉讼提供证据支撑。

此外,我们充分考虑用户体验,提供更加直观的可视化分析和展示效果,让企业网络安全管控更加简单快捷。

8.铁壁系统的应用效果如何?

答:铁壁系统的应用,可以实现对网络安全的实时监管,对网络威胁的主动核查,对流量风险的全面分析,以及对网络攻击的完整还原,确保为企业提供行之有效的网络安全检查方案。

铁壁系统自上线运行以来,已累计识别涉外访问数万次,发现、记录敏感文件近万份,为企业用户发现诸如DDOS攻击、木马病毒入侵、非授权访问、违规传输涉密文件等多种网络安全威胁和隐患。

例如,某市一政法单位突然遭遇网络卡顿,无法正常浏览网页,在排除路由器故障后依然无法正常连接互联网。随后,神琥技术人员介入,并在该单位的互联网出口部署铁壁系统,对近期的数据包进行分析。在导入数据包后,铁壁系统立即收到了攻击告警信息。

从告警信息中可以看到,数据包中的数据传输信息触发了铁壁系统的恶意程序规则,显示有3台服务器感染了RAT木马和恶意软件warpstrings,而攻击者借此控制了服务器。

通过对数据包进一步分析发现,有5个IP对该单位3个服务器进行登录的痕迹,而服务器在对外执行间隔性的、持续性的扫描任务,明显带有被控“肉鸡”特征,在对其他设备进行DDOS攻击。

根据神琥出具的数据分析报告,该单位及时清除了服务器上的木马和恶意软件,并更换了更复杂的服务器密码,避免了进一步的损失。

铜墙铁壁产品综合问答

1.铜墙铁壁系统都能发现窃密泄密行为,可以只安装其中一个吗?

答:铜墙系统,主要应用于防护终端安全;铁壁系统,则应用于检查网络安全。两者的监管目标不同,发现窃密泄密行为的途径也不同。

以文件外发行为为例,铜墙系统是在终端设备上识别和追踪文件的操作情况,可定位到外发的软件及文件内容。铁壁系统则是从网络流量中监控文件的传输情况,可以追踪文件外发协议,以及目的主机的部分信息,为文件管理提供更加完整的证据链。

铜墙铁壁的结合,可以实现更精准的安全防护和更快速的事件响应。例如,在发生黑客攻击窃密时,铜墙系统可以精准定位出被攻击的是哪一台终端设备、被窃取的是什么内容,铁壁系统则可以还原出黑客的攻击方式和过程等信息,便于安全管理人员了解企业安全的薄弱环节,及时采取防范措施。

2.已经安装了防火墙、杀毒软件,还有必要安装铜墙铁壁系统吗?

答:防火墙,相当于联网终端与互联网之间的安全门,对进出它的数据流进行安全访问控制;杀毒软件,相当于终端上雇佣的专业警察,对进入终端内部的病毒威胁进行清除。防火墙与杀毒软件可以通过防护查杀取得安全的结果,但并不能全流量保存网络通信数据,也无法还原威胁入侵的完整过程。

铜墙系统,可以从涉密文档监测、移动存储介质监测、网络行为监测以及木马文件检测等多个角度,提供较为完善的终端安全防护,实现从发现到预警再到阻断的全流程管控。

铁壁系统,可以监控、记录流经企业网络节点的流量数据,从流量中回溯还原出“什么人、在什么时间、从什么地点、访问了企业的哪些系统和信息”,便于安全管理人员采取针对性的防范措施。同时,系统还能在长期运行过程中形成网络威胁的动态感知机制,及时发现和上报网络中的异常外联与攻击情况,提升企业网络安全能力。这也是铜墙铁壁的优势所在。

3.铜墙铁壁系统适用于哪些行业或企业?

答:能源、金融、通信、交通、电力等有着关键信息基础设施的重要行业,以及掌握着国家秘密或商业秘密的军工单位、科研院所和大中型企业等,是网络安全的重要阵地,也是铜墙铁壁广泛部署的领域。神琥支持根据不同行业按需定制产品功能,充分满足企业用户多样化、深层次的监管需求。

4.神琥可以提供哪些售后服务?

答:① 应急响应服务,包括各类网络安全事件应急响应、黑客勒索事件应急响应、重要信息系统攻击破坏事件应急响应、突发重特大案件应急响应等;

② 技术支持服务,包括电话支持、故障处理、软件升级、日常管理等;

③ 培训服务,包括相关风险防范技术、风险分析技术等。

用科技护航企业发展,让每个人更有安全感!铜墙铁壁产品将以终端安全和网络安全为抓手,为企业构建业务风险防范体系和业务安全保障体系,助力企业提升网络威胁应对能力,共同守护国家网络空间安全!