芯盾时代攻防演练方案

为进一步强化网络安全隐患排查整改，推动以攻促防，查漏补缺，筑牢网络安全防线建设，开展攻防演习专项工作无论是对国家、社会和企业，都会有效提高应对网络安全事件的水平和协同配合能力。

虽然网络安全经过多年的建设已逐渐全面，但仍不可避免的会被黑客攻破，主要是因为用户仍然采用传统边界防护理念，即垒高墙和区域隔离的模式，根据各区域的安全级别不同，在安全区域之间部署防火墙、IPS、防毒墙、WAF等安全防护设备，以此应对外界攻击。而传统边界防护理念最大的弊端是防外不防内，用户通过账号登陆即默认可信，对边界内用户的操作不做过多的异常行为监测，造成安全区域内部过度信任的问题。假设账号是攻击者通过口令爆破或者社工获取，即可通过合理的身份进行非法操作；同时因为缺少来自客户端的安全信息，对威胁的安全分析不够全面，所以成了边界安全理念的脆弱点。

随着云应用、移动互联网、物联网、5G 等技术的兴起及应用，IT 环境呈现多样化趋势，同时也带来了更多的新型安全风险。基于目前网络发展的需求，零信任将成为未来网络安全的主流架构，企业 IT 安全建设的必然选择。零信任安全理念解决了区域和信任的绑定关系，用户的访问权限不再受到网络区域的限制，访问前需要经过身份认证和授权，而身份认证不再仅仅针对用户，还将对用户所持客户端进行安全校验，并且在访问过程中进行用户画像和持续性风险评估，对访问进行动态、细粒度的授权，同时采用最小授权原则，可以有效防御黑客的入侵以及0day攻击。

芯盾时代攻防演练方案

芯盾时代解决方案打破传统以网络边界为信任的条件，以零信任安全理念出发，从身份、设备、行为等维度展开全方位防护，对企业内、外部的所有访问重新进行信任评估和动态访问控制，针对所有访问企业资源的请求，进行认证、授权和加密，对用户和使用设备进行全面验证，同时可以对每一次访问请求进行实时的风险评估。

芯盾时代攻防演练方案基于零信任安全理念，提供覆盖事前、事中、事后的场景化全流程业务安全防护。

事前检测

攻防演练中首先要对企业资产进行盘查，建立完善的资产台账，进而对资产配备相应的防护手段。而当前绝大多数企业存在对自身企业资产画像不清晰、威胁响应不及时和管理制度不完善等问题，没有能够真正将资产和威胁管理起来。在攻防演练中，部分遗漏、未被安全管理、未及时下线的系统，由于存在安全漏洞并缺乏相应的安全防护策略会被攻击者找到和利用。

芯盾时代数字资产在线发现系统以数字资产（IT资产、应用资产、数据资产、代码资产等数字资产）为核心，帮助用户梳理企业内外网的数字资产情况，并对企业数字资产主动威胁检测，结合威胁情报对企业威胁（主机漏洞、web漏洞、0day漏洞、弱口令、代码泄露、APP威胁）进行跟踪和管理，将威胁和业务以及负责人关联起来，并在长期威胁检测和复查的基础上，对威胁的解决时间和结果进行跟踪，真正起到资产盘查和威胁发现的作用。

事中防护

双因素认证

攻击者在攻击过程中利用当前大部分单位应用系统、服务器或网络设备的弱口令、单因素认证、特权账号共享等问题，通过账号密码登录应用系统、服务器或网络设备，再进一步提权拿下目标系统。

双因素认证

芯盾时代双因素认证产品通过移动双因素认证技术和认证代理技术，在原系统用户名密码认证基础上，快捷实现二次认证、双因素认证、认证策略控制，对业务系统、服务器、网络设备的访问登录进行二次认证，大幅提升系统认证安全性，可有效避免因弱口令、密码管理不当、源代码管理不当（源代码中含有系统管理员账户密码）带来的系统被盗而导致的失分。

资源隐藏

对于各类数字资产的管理方面，芯盾时代零信任业务安全平台SDP能够实现后端业务以及网关自身的隐藏，使攻击者获取不到后端服务器的信息，失去攻击方向，有效减少暴露面并且削弱DDoS攻击；采用UDP建立连接的方式，只对授权客户端进行响应，可以有效阻止攻击和扫描，待通信成功建立后再采用TCP协议通信，确保用户身份的安全性，实现网关、业务的隐身，解决TCP连接时存在的攻击风险。

零信任业务安全平台

芯盾时代SDP分为三大平面：

管理平面：对零信任安全网关进行配置管理及可视化展示；

数据平面：通过各类安全组件对访问主体与客体的身份和环境进行管控；

控制平面：将风险信息输入到控制平面，为持续信任计算引擎和动态访问控制引擎提供依据。

目前芯盾时代零信任产品已经集成了SDP和增强型IAM两大技术，并且和微隔离可以进行很好地互动，感知东西向流量的风险，主要呈现：全平台覆盖、全架构应用支持、全协议代理、全链路安全、全流量解析等功能特点。

数据安全管控

芯盾时代数据安全管控系统通过对数据库的操作行为和数据库输出内容进行管控，从而满足攻防演练期间数据交互过程中越权访问、违规请求、超频使用、数据泄露等风险的识别、控制和追责的需求。

系统支持根据不同身份进行个性化数据库访问控制，并对用户访问的静态数据、动态数据进行即时动态脱敏，以及根据业务系统需求，批量进行数据静态脱敏，满足企业攻防演练、安全运维、数据分析、系统测试、数据交换、机器学习等不同需求场景下的数据安全需求。

事后总结

攻防演练是为了更好的进行安全防护。在实战工作完成后，芯盾时代协助用户进行充分、全面的复盘分析，总结经验、教训，包括工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练和注意事项等方面。

芯盾时代可为用户提供合理可行的安全整改建议，达到整改安全漏洞隐患，完善安全防护措施，优化安全策略，强化人员队伍技术能力，有效提升整体网络安全防护水平的目的。

芯盾时代攻防演练方案优势

加强网络纵深防护能力，有效解决因弱口令、账号泄露导致的入侵行为；

通过SPA协议将网关和业务服务及端口实现隐身，对暴露的API接口进行管理，有效收敛暴露面，避免遭受DDoS攻击；

关联态势感知、UEBA、威胁情报等安全数据源进行大数据分析，洞察风险态势，根据态势变化动态调整安全策略，支撑持续运营。

提供应用级/功能级/数据级/API级的访问控制，授予访问主体最小访问权限，防止权限过大造成的安全风险。

芯盾时代已为多行业头部客户在攻防演练中提供方案和服务支持，均获得良好效果，取得0失分的好成绩。

审核编辑 ：李倩