网络安全主动防御技术:策略、方法和挑战 扈红超, 隋嘉祺, 张帅, 仝玉 引用本文 扈红超, 隋嘉祺, 张帅, 仝玉. 网络安全主动防御技术:策略、方法和挑战[J]. 计算机科学, 2024, 51(11A): 231100132-13. HU Hongchao, SUI Jiaqi, ZHANG Shuai, TONG Yu. Proactive Defense Technology in 相似文章推荐（请使用火狐或 IE 浏览器查看文章） Similar articles recommended (Please use Firefox or IE to view the article) 拟态防御中基于ANP-BP的执行体异构性量化方法 ANP-BP Based Executive Heterogeneity Quantification Method in Mimicry Defense Framework for Smart Grid 计算机科学, 2024, 51(2): 359-370. https://doi.org/10.11896/jsjkx.221100187 基于拟态防御的VPN流量劫持防御技术 VPN Traffic Hijacking Defense Technology Based on Mimic Defense 计算机科学, 2023, 50(11): 340-347

网络等级保护 安全防护体系建设方案 智安网络等级保护安全防御体系方案 目 录 1 概述...........................................................................................3 1.1 基本背景·················································· 72 3.5.3 重装版······································································76 2 智安网络等级保护安全防御体系方案 1 概述 1.1 基本背景 根据当前国内信息化建设的发展趋势，政府党政机关、各大央企国企、中小企 业在信息化利用程度上呈现出快速增长的势头，大数据、AI 智能、5G 等新技术的 ，发现企业网络和信息系统与国 家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改， 提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。 3 智安网络等级保护安全防御体系方案 1.2 等保标准的演进 信息等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法， 是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院 法规和中央

设计视角 （ EA 场景分 析） 覆盖 技术视角 （可运行性分析） 实例化 理 论 化 支撑 图 1. 解决方案架构 十工五任 • 政企网络安全防御全景模型 • 政企网络安全协同联动模型 • 政企网络安全防御建设项目规划纲要 解决方案： • 标准解决方案（行业 / 产品） • 综合型解决方案（会战 ） • 孵化型解决方案 产研 / 交付： • 产品能力化 • 保 护 政 策 标 准 体 系 网络安全战 略 规划目标 等级保护对象 通信网络 安全管理中心 区域边界 计算环境 风险管理体系 安全管理体系 安全技术体系 网络信任体系 网络安全综合防御体系 组织 管理 网络基础设施 信息系统 大数据 物联网 云平台 总体安全策略 国家网络安全等级保护制度 定级备案 安全建设 等级测评 安全整改 监督检查 工控系统 移动互联网 智能设备 设计思路说明 以基础信息网络与承载的信息系统、数据为保护对象； 以一个中心、三重防护的要求，构建满足等级保护 2.0 要求的技术能力； 以体系化设计思路，按照基础架构安全、动态身份安全、 纵深防御体系、全生命周期防护等实际安全需求，进行 安全技术体系规划设计； 以自适应的安全架构为目标，构建持续改进的安全运营 体系，在安全运营过程中实现安全技术体系的持续优化 完善； 以安全管理体系的落地实践为导向，提升安全运营能力，

构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？ 【预期会有“体制内”（央国企背景）的支撑单位，帮助管局进行监测预警和渗透测试等检查工作。】 5. 对监管职责和问责制度进行了明确 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 安全运营趋势：国际顶尖企业安全运营建设趋势 关键结论： CTEM是 Gartner 于 2022 年 7 月 推出的一个框架，可帮助企业持续、

更新和完善，以便用户单位能够及时获取最新的网络安全专用产品信息。 本册为《指南》上册，共收录了 58 家企业提供的 200 款产品，涉及数据备份与恢复产品、 防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、网络和终端隔离产品、反垃圾邮件产品、 网络安全审计产品、网络脆弱性扫描产品、安全数据库系统、网站数据恢复产品、虚拟专用网 产品、防病毒网关等 12 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 ............................................................................................223 入侵防御系统（IPS） 北京天地和兴科技有限公司.............................................................................. 对经过的数据流进行解析 , 并实现访问控制及安全防护功能的产品。 ３ 入侵检测系统 (IDS) 以网络上的数据包作为数据源 , 监听所保护网络节点的所有数据包并进 行分析 , 从而发现异常行为的产品。 ４ 入侵防御系统 (IPS) 以网桥或网关形式部署在网络通路上 , 通过分析网络流量发现具有入侵 特征的网络行为 , 在其传入被保护网络前进行拦截的产品。 ５ 网络和终端隔离产品 在不同的网络终端和网络安全域之间建立安全控制点

外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 （增强级） 负载均衡 门户网站 于安全服务 于防御 + 安全与家职守 对外业务安全于监测、于防护 对外服务器域 亏联网域 办公外网 终端接入域 预约挂号系 统 APP 平台 下一代防火墙 （基础级） 上网行为管理 住院区 办公区 下一代防火墙 检测探针 （增强级） 下一代防火墙 （增强级） 交换机 数据库审计 IaaS 边界 安全 虚拟化安全 安全加固 虚拟资源隑离 入侵防御 漏洞扫描 基线核查 安全域隔离 边界安全防护 安全域划分 访问控制 访问控制 入侵防御 负载均衡 网络威胁检测 流量清洗 安全审计 安全接入 访问控制 流量监控 云安全服务平台 通信 安全 通信线路冗余 网关设备冗余 通信传输加密 基础设施（于环境、物理环境） 数据库 VM 二级区域 数据库 VM 三级区域 数据库 VM 其他区域 用户可根据实际业务需求情况，自定义模板或安全组件 安全运营服务 下一代防火墙 入侵防御系统 Web 防火墙 漏洞扫描 自定义 安全模板 案例分享 - 教育 一、项目背景 XX 大学由敃育部直属、中央直管，是 中国著名顶级学府之一。 二、需求分析 1. 需要满足等级保护相关要求；

方案设计目标 经济 符合校园特性 达到最佳性价比 可视 “ 主动防御” +“ 持续响应” 合规 产品 + 服务 符合网络安全法和等保 2.0 的要求 校园等保 2.0 方案设计原则 教育城域网 数据中心交换机 数据中心区 运维管理区 路由器 安全防御管理区 多业务 无线控制器 智慧防火墙 & 入侵防御系统 上网行为管理 WEB 应用防火墙 无线认证 网络核心区 智慧防火墙 •复杂环境组网、深度应用识别、精细化访问控制以及高性能应用层威胁防御能力 •集成了互联网威胁情报、异常行为分析、安全可视化等新一代安全技术 •与终端安全管理系统、云端威胁情报中心、沙箱检测系统实现智能化的协同联动 终端安全管理 •以大数据技术为支撑、以可靠服务为保障， •精确检测已知病毒木马、未知恶意代码，有效防御 APT 攻击， •提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审 •提供应用层的带宽管理功能，有效阻止、限制 P2P 等严重消耗带宽的应用，存储网络日志 WEB 应用防火墙 •以 Web 防护为主体功能，融入云端防御、威胁情报、网页防篡改等技术于一体化的网站安全防护产品。 并以“事件”为中心，提供 “事前预防、事中防御、事后补救”的一套完整防御措施。 校园等保 2.0 方案特色  提倡“持续保护、不止合规”的价值主张，满足国家法律法规和标准体系  一个中心、三重防护”的安全架构设计，帮助用户满足了等保

总部无法突破打击分支机构 分支机构无法突破打击供应链（研发） 国舜一所的金融工作站，攻防演练攻击队成员，从攻击者视角分析客户问题和隐患 攻击者视角 攻击方入侵方式及思路 攻防演练攻击战法中出现的新特征，传统安全防御手段难以检测 新型攻击战法介绍 利用百度文 库、 github 、 fofa 、脉 脉等渠道收集信息 利用网站、 VPN 、邮件 系统、 JAVA 等应用的漏 洞打开入口 迂回攻击下属单位，进 纵深 防御，更没有监测预警能力，攻击方一旦突破互联网边界防护，即可内网全网漫游。 七是集权系统防护脆弱。域控制器、堡垒机、云平台、大数据平台、杀毒管理系统、单点登录系统、 4A 系统成 为攻击重点目标，大量存在弱口令、口令复用、老旧漏洞问题，一旦被控给网络安全带来致命打击。 八是核心业务系统缺乏重点防御。核心业务系统安全防护基本依赖网络流量层设备，运行依赖的主机基本上是 零防御、零感知状态，攻击方基本发现即可将其控制。 安 全 防 护 能 力 通过设立深层次的演练，检验公司已建的安全防 护措施是否有效 检 验 检 测 预 警 能 力 检验企业内部网络安全监测发现、威胁预警、安 全防护和应急处置的主动防御和动态防御能力 检 验 部 门 协 同 能 力 检验安全管理和安全服务部门之间的快速协同能 力 检 验 应 急 预 案 能 力 检验现有的网络安全队伍依据应急预案开展应急 处置工作执行能 累

大数据技术帮助企业提升了在海量数据中挖掘价值信息，但大量数据汇聚之后，你清楚 高价值数据的流转和走向吗？信息资产又靠什么来保障不被别人盗取？ 网络开放性进一步提升之后，首当其冲的是网络攻击面的扩大？你的防御机制能够抵御 新的攻击形势吗？如果一旦沦陷，是否能够快速识别采取措施防止损失进一步扩大？ 数字化转型， CIO 的新机遇 数字化转型，大量新兴的 IT 技术应用 是否做好迎接新的安 全挑战的准备 新兴 IT 技术自 身安全问题 业务深度融合，攻击 目标价值扩大 大数据开源组件系统漏洞 互联网 + 与云计算技术，导致边界发生变化 大数据深入融合业务，企业高价值数据资产相对聚集 传统架构重防御且能力相对静态固化 WannaCry 勒索病毒全球大爆发 30 万 终端 150 个 国家地 区 企业 机构 个人 Source:Beta 内网漏洞 被利用 访问恶意 网站 / 终端用户有没有异常的行为不知道？ 数据的流转和拷贝，无法管控？ 有哪些 BYOD 接入使用网络，不感知？ 防火墙 防病毒 IPS 阻挡来自外部 边界的威胁 原因是：传统安全建设现状 边界防御为主 网闸 外网应用

Agent 是关键发展方向，但尚处于初步阶段。AI Agent 具备自主决策、认知、行动、学习的能力，在自 动化响应、智能分析、主动防御等方面潜力巨大。国内厂商已开始探索 AI Agent 在告警关联、溯源调查、事件 响应造成等场景的应用。但是基于数据分析的主动威胁防御能力的高质量 AI Agent 在国内安全运营中心的应用 仍在早期研究和实验阶段，技术成熟度、数据质量、可解释性和可信度有待提升。 诸多瓶颈：海量告警数据中无法发现真正威 胁，并导致“告警疲劳”；安全事件的分析和响应主要依赖人工，效率低下且响应速度慢；各类安全设备和系 统之间缺乏有效集成，形成“数据孤岛”，难以共享信息、协同防御；同时，传统 SOC 往往缺乏主动发现潜在 威胁和预测风险的能力。 为了有效应对这些挑战，智能化安全运营中心（ISOC）应运而生。ISOC 并非对传统 SOC 的简单替代，而 是其全面的智能化升级和能力增强。ISOC 其目标是实现对安全威胁的更高效、更准确、更主动、更智能的检测、分析、响应和预防，致力于构建一个能 够全面感知安全态势、智能分析研判威胁、自动化响应处置事件、持续学习优化提升、人机协同高效运营，并 最终实现自适应安全防御的智能化安全运营体系。 ISOC 的建设能够为企业带来多方面的价值提升。它通过 AI 技术显著增强威胁检测能力，有效识别未知威 胁、高级威胁和异常行为，降低误报和漏报。在事件分析方面，ISOC 能够自动化进行事件关联、根本原因分析、