解决方案介绍

  3、解决方案
触点互动的解决方案具备能够在“护网行动“前，模拟”护网行动“中的红方行为的能力，支持蓝方做到有的放矢，不打无准备之仗，避免临场的仓促应对。具体在技术上，具备如下特性：

1. 具备对各类型攻击行为的仿真能力。例如针对Web应用的攻击、数据库系统的攻击、文件管理系统的攻击、钓鱼邮件的攻击等等；
2. 具备相当的性能，充分验证网络中可能存在的设备或应用单点性能瓶颈。以应对红方通过大流量直接瘫痪目标网络与应用的目的；
3. 具备对整个网络安全防护体系的测试能力。验证企业网络全路径、端到端的防护能力；

触点互动推出的基于XPRO NetworkSimulator的测试方案是具有完整自主知识产权的专业网络仿真测试平台。通过对现网各类型攻击行为的分析与真实再现，借助于XPRO NetworkSimulator测试平台，将我们的安全能力赋能给客户，在“护网行动“前实现对”护网行动”的预演，支持用户打有准备之仗。

XPRO NetworkSimulator具备如下仿真测试能力：

在实际测试时，触点互动XPRO NetworkSimulator测试平台通过仿真各种类型的攻击流量，注入至目标网络，检测目标网络是否能对攻击流量进行有效的检测与阻断。

上述测试方式具有如下优点：

1. 可仿真海量的各类型攻击，充分验证蓝方网络是否能对各类型攻击均能有效检测与防护；
2. 可针对整个网络开展性能压测，暴漏性能瓶颈，避免被红方通过大流量瘫痪网络；
3. 既可针对整个网络进行端到端的测试，验证整体系的安全防护能力的有效性，也可支撑开展对单个设备进行针对性测试，

针对蓝方网络中的应用系统，XPRO NetworkSimulator支持仿真海量的客户端对蓝方的目标应用与邮件服务器、DNS解析服务器、Web服务器进行性能压测，支撑蓝方在“护网行动”期间制定有效的限流策略，避免业务系统被大流量瘫痪。

1. 需求背景

近几年，随着大数据、物联网、云计算的飞速发展，网络攻击触手已经从企业逐渐伸向国家，国家关键信息基础设施建设也面临着巨大威胁。

在这种严峻的网络安全态势之下，2016年，公安部会同民航局、国家电网组织开展了 “护网2016”网络安全攻防演习活动。同年，《网络安全法》颁布，出台网络安全演练相关规定：关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。自此，“护网行动”进入人们视野，成为网络安全建设重要的一环。

2. 业务痛点

在“护网行动”期间，红方模拟攻击方，向由“蓝方”支持的目标业务系统发起模拟攻击，通过这种主动式的模拟攻击检验目标网络与业务的安全性，其测试结果作为重要的技术依据，支撑用户完成对网络与业务安全的优化与加固。

在这种测试模式下，蓝方作为被动防御的一方，需要承受红方不间断的各种攻击，任意一个薄弱环节都可能被红方发现并加以利用，完成攻击动作。这种完全被动防御的方式存在如下问题：

1. 红方的攻击手段与攻击时间是不可预计的，在整个“护网行动“期间，蓝方7*24小时疲于应对；
2. 蓝方面对攻击手段与技术的多样化，在“护网行动“期间，很难针对每一种攻击手段与技术都做好针对性的应对方案，容易后知后觉，待发现异常时往往意味着红网的攻击动作已得逞；
3. 蓝方庞大的网络由不同类型、不同品牌、不同型号的各类网络基础设施设备与业务应用组成，网络规模越大，开放的应用越多复杂，往往意味着可能存在的漏洞越多，进而被红方发现并加以利用；
4. 蓝方整个网络的安全性并不是由单台设备保证的，而是由一系列的设备上部署的策略一起配合完成，例如WAN区的安全设备负责流量的访问控制与初步过滤、DMZ区的安全设备负责应用的攻击检测、LAN区的安全设备负责完成对可能来自内网的攻击检测与防护、SSL VPN负责完成远程用户对内网应用的接入访问。整个网络设计复杂，再加上各个设备上叠加的安全策略，容易出现单个设备上均配置了较全面的安全策略，但由于安全防护体系的设计缺陷，导致流量流经的各个节点安全设备上的某条防护策略并没有发挥作用；

通过上面的分析，我们进一步总结为当前的“护网”模式存在如下问题：

1. 完全被动的防御疲于应对，发现异常行为时，在极其有限的时间内较难找出适当的技术手段予以应对；
2. 网络可能存在漏洞的点较多，在护网期间，较难都做到很好的兼顾；
3. 网络的复杂性、应用的多样化、各个安全设备上繁杂的防护策略，较难做到协同，容易出现1+1<2的情况；