1 背景

个人信息、企业数据以及政府基础设施在网络中安全性和适应性面临的压力越来越大。尽管技术的发展,随着计算能力、存储能力的大幅度提升,同时“南北”向流量通过边界安全防护已经得到极大的保护,但是“东西”流量(内部边界)的安全,始终是安全防护最薄弱的地方。

随着等保2.0体系、可信计算体系3.0的提出,在整个安全管理理念上做出了非常深刻的变革,在这样的背景下,应运而生了可信交换防御系统。

本项目的可信交换防御系统研究成果,可以用于工业互联网,物联网,尤其是泛在电力物联网,综合能源站等。

2 主要功能

软件定义网络

灵活和智能自定义网络路由和传输规则策略,脱离于网络设备的差异

识别可信主客体

通过东西向网络流量的自学习,计算绘制出一个完整的业务流模型图,对整个内网进行管理。

  可信访问控制

智能安全接入系统通过自主流量建模后,会根据可信访问列表建立基于白名单的访问控制策略。

  攻击防御

基于攻击特征的检测对经过系统的流量进行过滤,对2-7层网络攻击进行防御拦截

  引流功能

将来内网和外网流量引流至第三方交互式蜜罐或其他安全检测设备,以便进一步分析可疑流量。

3 方案

采用基于SDN交换架构,实现了安全服务链。

支持安全服务弹性扩展,安全服务链支持网络功能服务类型智能感知,允许客户根据不同业务需求,动态增删服务节点,高弹性服务链满足业务扩容、升级,同时解耦网络设备之间的关联。

在动态网络功能服务池,SDN安全服务链支持NFV节点或硬件服务节点资源池化。

 硬件采用全国产平台:国产CPU平台

软件全部自主开发: 支持安全入侵检测,防火墙,负载均衡,数据流分析和内容可视化监控等多种网络安全协议和功能

针对云时代的工业融合和工业4.0时代的网络需求,实现SDN网络管理和网络低延迟,同时支持IPv4和IPv6 网络协议

4 关键技术

快速重构可信架构

可信交换防御系统其中一大功能就是能够主动监测网络中的流量,自动梳理出内网中的资产以及各类资产的逻辑应用关系,使得业务流可视化,从而快速、主动的创建出整个网络中的可信访问模版,管理员可以很方便的基于模版,根据需求调整可信访问策略,划分微隔离区域。

专利诱捕技术—高密度交错式陷阱群

虚拟的陷阱主机不依靠传统的计算资源(CPU、内存)通过虚拟化方式创建,而是通过内置的网卡芯片阵列基于网络层创建,因此即便启用了大量的陷阱主机,占用可信交换防御系统本身的计算资源也不会超过1%。

勒索病毒等恶意程序的发现和处置

基于全息诱捕技术,当某台主机被植入了勒索病毒等恶意程序,当勒索病毒开始感染时,必然会去尝试感染陷阱主机,此时,可信交换防御系统会立刻将该主机在接入的物理端口处进行阻断并在系统中告警。

硬件架构与虚拟化软件架构

可信交换防御系统硬件架构为软硬件一体化机架式设备。 n可信交换防御系统 For VMware是专门为云计算环境而研发的虚拟化网络安全产品。以虚拟化主机形态运行在虚拟化平台中,适用于VMware平台。为用户提供基于虚拟化云平台的微隔离、全息诱捕等功能。

接入层分布式部署

汇聚层部署

多VLAN接入层部署

旁路部署