网络安全行业解决方案

天巡.无线入侵威胁感知系统

1、产品概述

  360天巡广泛应用于有内网数据安全需求的企业、党政机关和其他领域有安全需求的客户群。产品从无线攻击者的角度进行产品设计,以数据捕获能力、协议分析能力为基础,可以精准识别攻击行并快速对威胁进行响应,不间断地对无线网络进行监测并将无限入侵拒之门外,保护企业无线网络边界安全;快捷、直观、全面的管理方式提高管理效率、降低管理难度,可协助企业无线网络管理员了解无线网络状况、为企业的无线网络安全建设和防御提供决策依据;简易的部署方式不改变用户原有网络结构,节省用户投资,独立的无线收发引擎设备为企业提供更专注更高效的安全保护。因此360天巡是一款轻部署、强安全、易管理的新一代企业级无线网络入侵防御系统。

2、产品理念

  360天巡的产品理念是以无线攻防思维,为客户构建全面的无线入侵防护体系,切实守护企业无线边界安全。目前企业在无线网络安全方面存在以下问题

(1)缺少持续的检测工具

  目前很多企业,还不具有持续、稳定运行的检测无线网络安全情况的工具。 无法长期关注整个无线网络安全情况,对于出现偶然性比较大的非法热点,无法做到实时的发现和阻断。 某些企业在某个特定的时期,可能会进行无线网络的安全检查,检测安全情况、是否有非法热点等等,但这种做法,很难形成一种常态。

(2)缺少有效的防护措施

  对于针对无线网络的各种攻击,缺少有效的发现和防护措施,无法及时发现和阻断攻击。 当AP遭受泛洪攻击时,目前很多企业,都是被攻击到网络无法使用的时候,才会发现和进行相应处理。 对于钓鱼热点攻击,几乎没有发现的手段。从而造成某些终端无意之间连接到了钓鱼热点,造成信息泄露。

(3)缺少必要的审计手段

  企业无线网络内发生的安全事件,还不具有有效的审计手段。 当发生了安全事件后,如:某些终端是否私自建立过WiFi,某些终端是否连接过非法热点,AP是否遭受到过攻击等等,对于事后的审计和追踪,缺乏必要的数据支持和处理手段。 

  360天巡基于无线入侵检测、无线数据分析、恶意热点阻断等先进技术,以守护无线网络边界为核心任务,构建”事前全面监测、事中精准阻断、事后全维追踪“的无线入侵防护体系,围绕无线网络环境中的关键设备即热点与终端,进行相应的安全措施增强,为用户提供切实落地可执行的无线网络边界安全解决方案。

3、产品架构

  360天巡主要由中控服务器、硬件传感器和WEB管理平台组成,为了满足一些企业更高的安全要求,360天巡还提供了Android移动控制端和企业终端WiFi准入助手与中控服务器联动,为无线网络安全提供更多保护。

  管理员通过访问WEB管理平台,能够及时发现是否存在私建热点、伪造热点等违规行为,及时对可疑热点进行阻断和定位,将无线网络安全威胁拒之门外。同时系统提供热点分布概况分析、客户端连接热点趋势分析以及安全事件汇总等核心数据,帮助企业制定更加有针对性的无线网络防护策略。

4、产品优势

4.1  无线入侵实时监测

  保证无线网络安全的关键任务是持续关注企业当前无线网络的安全状况,天巡通过部署在企业内部的高性能无线数据收发引擎装置,持续捕获当前无线环境中所有的数据流量,并将数据流量实时传输到中控服务器进行安全性分析。

  中控服务器内置无线威胁感知引擎,可将接收到的数据与无线攻击特征库进行智能比对,能够针对无线网络数据链路层的无线网络攻击行为进行精准识别。一旦发现恶意行为立即通知收发引擎采取相应措施,将威胁抑制在攻击发生之前,达到实时监测的目的。同时,针对建立钓鱼热点进行钓鱼攻击等恶意行为,无线威胁感知引擎通过热点安全策略关联性分析技术,也能进行有效识别,使潜伏在无线网络中的各种威胁无处可藏。

4.2  恶意热点精确阻断

  WiFi热点是无线网络中转发数据的重要设备,一旦热点被劫持或其本身就是做为攻击手段而被建立的,那么该热点即为恶意热点。对于恶意热点的防范措施而言,有效而精准的无线热点阻断方式作为抑制攻击的防御手段,在无线入侵防御系统中是不可或缺的。360天巡的阻断方式有别于其他无线入侵方式系统所使用的射频干扰技术进行范围大、辐射强的阻断,天巡使用技术领先的协议阻断机制进行精准且智能的恶意热点阻断方式。通过热点阻断,可允许企业所在无线网络区域内某些特定的热点可用,而其他无线热点不可用,该阻断策略分为手动阻断和自动阻断两种模式,用户可自定义设置。

4.3  安全事件智能告警

  对于一款无线入侵防御产品来说,监测到无线攻击事件发生或检测到恶意热点存在时,向管理员提供告警信息已经是十分普遍的做法。但同时也带来一个问题就是,告警信息过多,管理员疲于应付每天系统向他发出的各种告警,这些告警大多是没有经过过滤和分析过的无用告警,有些则是真正需要被管理员注意到且需要处理的问题,但这些真正的问题很可能被淹没在大量的无用告警信息之中。

  360天巡无线安全防御系统搭载事件分析与告警引擎,能够对天巡中控服务器上报的安全事件进行分析和筛选,并在此基础上将事件按照安全策略设定的严重级别进行分类,筛选后告警信息将通过邮件提醒、首页提示和告警日志展示三种方式展现给管理员。这样无用的安全事件告警信息将大大减少,同时管理员在360天巡管理界面就可以看到他真正关注的无线安全事件。360天巡事件分析与告警引擎有效降低无线安全事件误报率、极大提高管理员工作效率、降低维护工作量,让事件告警更智能。

4.4  基于黑白名单的智能管控

  无线入侵防御系统的主要工作方式分为监测、识别和阻断三个阶段。监测功能大多由系统自动完成,但绝大多数无线入侵防御系统的识别与阻断功能,尤其是阻断都是由管理员手工完成的:对于系统监测到的攻击事件发生或存在恶意热点,系统可以向管理员发出告警提示,并由管理员进行处理。但传统解决方案存在的一个很大的问题就是:

  工作强度大

  为了及时处理系统监测的攻击事件(尤其攻击者喜欢在半夜进行攻击),管理员甚至需要7*24小时值班进行看管。

  工作难度高

  管理员需要持续的在大量热点与终端中进行手工排查,查看当前无线网络中是否存在的非法热点或终端。

  360天巡从管理者角度出发,向用户提供热点及终端黑白名单管理功能,首先管理员根据企业安全策略对企业当前无线网络环境内的热点及终端进行分类,属于企业内部热点和终端的就划分至白名单,安全属性未知的则划分至未知名单中,有可疑  行为的热点或终端则划分至黑名单中。同时系统也将根据安全策略进行自动监测,并将监测到的热点或终端按以上分类方式进行区别对待,在设置自动阻断前  提下,系统可自动阻断和隔离黑名单中的热点及终端,这样可大大提高管理员排查和阻断的工作效率。

4.5  详细的安全审计报表

  对于企业来说,报表不仅是为了向上级进行工作汇报,更需要通过报表中的数据反映出实际的问题和应对的策略。但目前绝大多数同类产品轻视报表的重要性,甚至没有报表功能。有的产品所产生的报表仅仅是一份堆叠原始采集数据的Excel表(例如日志数据、安全事件数据、告警信息等)或是毫无意义的大段文字。管理员面对这样的审计报表很难发挥报表应有效果。

  360天巡可根据管理员的需求灵活生成无线安全威胁报告,并可在生成后自动发送至管理员邮箱,方便管理员抄送至领导邮箱,提高管理员工作效率。同时管理员也可查看过往已生成的报告。无线安全威胁报告包括安全概览、恶意热点处理、恶意热点分布、无线攻击分布和安全小结。安全概况可帮助读者通过整体安全指数快速概览当前企业无线安全状态,并可知道哪个区域安全指数最高、哪个区域安全指数最低以及恶意热点和无线攻击的趋势是如何的。恶意热点(攻击事件)处理及分布概况向读者展示报告周期内,热点及攻击事件的处理状况和分布情况,帮助管理员进行有针对性的排查。由于系统支持分布式多区域的部署方式,因此管理员可选择指定区域详细查看该区域的无线安全状况,可以根据报表中的安全小结采取相应措施。

4.6  丰富的无线网络状况展示

  传统的无线入侵防御系统或国内其他安全类产品对于事件的描述方式大多为列表文字化的方式,并且按时间由远及近的排序。满足业务需求永远是传统安全产品的首要任务,管理员似乎也逐渐接受这种古老的单一维度的展现方式。360作为国内最大的互联网安全企业,深谙应如何向用户提供更好的产品,满足用户需求是基本,提高用户体验才能让用户更好的使用产品。360天巡在设计之初便清楚,满足业务需求与提高用户体验都是天巡的职责所在。

  360天巡将互联网产品设计模式引入传统企业安全产品领域,创新性的运用多种统计方式。为管理员从多方面展现无线网络状况。系统利用分数及颜色的直观变化,展现当前区域的无线安全变化情况,并在区域存在风险情况下以分类的形式向管理员描述系统当前存在哪些风险。同时饼状图、柱状图以及趋势图等也为管理员展现不同设备在当前区域内的状态。当管理员拥有天巡,便可将整个企业内部的无线网络安全概况尽收眼底。

4.7  基于人员和角色的多区域管理

  随着业务的不断发展,企业的办公环境不再局限于一个地方,企业面积不断扩大、办公区域逐渐增多、跨省市甚至国家的驻外办公机构或分公司也不在少见,对企业来说,无线安全的分级管理势在必行。

  360天巡率先在无线安全入侵防御类产品中支持基于人员与角色的多中控、多区域的管理架构,能够极大简化区域管理。通过这种管理架构,可将原本各自孤立的无线安全孤岛连接起来,既能使企业总部的安全策略能够顺利上传下达,各分部区域内又可以灵活管理。使整个企业的无线网络安全管理效果不因地域而受限,不因人员而不同。同时为了避免管理“越界”,企业可以定义基于角色的无线安全管理机制,每个管理员仅能对属于自己的区域及功能进行管理。

4.8  精确定位跟踪

  企业部署无线网络后,管理员通过传统的无线入侵监测系统监测到恶意热点、违规使用的终端或无线攻击事件时,面临的最大难题就是如何快速定位热点、终端和攻击事件发生的源头,因为找到事件发生源头是追查无线网络攻击发生的重要手段。 360天巡配合区域管理功能,可在指定区域导入包含必要物理信息的平面结构图,并将该区域所分配的传感器部署至相应区域中,天巡使用传感器三点定位技术以及数据挖掘算法,对收发引擎覆盖范围内的无线热点及终端进行精确定位,以帮助企业管理员能够快速的跟踪威胁热点或设备,或定位无线攻击事件发生的源头,并采取行动消除安全隐患。

4.9  产品独立分布式部署

  传统的无线入侵防御系统使用无线接入(AP)在其空余时检测无线局域网,并对异常信号进行阻断,响应实时性及效率均不理想,并且需要全部部署带有无线防御功能的AP。而360 天巡采用独立的分布式部署传感器的方式,不改变企业原有网络配置和无线网络性能,能做到基本实时探测和阻断无线热点,响应速度和效率均优于传统的无线入侵防御系统。


5、主要功能


5.1  无线热点阻断

  WiFi热点是无线网络中转发数据的重要设备,一旦热点被劫持或其本身就是做为攻击手段而被建立的,那么该热点即为恶意热点。对于恶意热点的防范措施而言,有效而精准的无线热点阻断方式作为抑制攻击的防御手段,在无线入侵防御系统中是不可或缺的。360天巡的阻断方式有别于其他无线入侵方式系统所使用的射频干扰技术进行范围大、辐射强的阻断,天巡使用技术领先的协议阻断机制进行精准且智能的恶意热点阻断方式。通过热点阻断,可允许企业所在无线网络区域内某些特定的热点可用,而其他无线热点不可用,该阻断策略分为手动阻断和自动阻断两种模式,用户可自定义设置。

5.2  无线攻击检测

  保证无线网络安全的关键任务是持续关注企业当前无线网络的安全状况,天巡通过部署在企业内部的高性能无线数据收发引擎装置,持续捕获当前无线环境中所有的数据流量,并将数据流量实时传输到中控服务器进行安全性分析。

  中控服务器内置无线威胁感知引擎,可将接收到的数据与无线攻击特征库进行智能比对,能够针对无线网络数据链路层的无线网络攻击行为进行精准识别。一旦发现恶意行为立即通知收发引擎采取相应措施,将威胁抑制在攻击发生之前,达到实时监测的目的。同时,针对建立钓鱼热点进行钓鱼攻击等恶意行为,无线威胁感知引擎通过热点安全策略关联性分析技术,也能进行有效识别,使潜伏在无线网络中的各种威胁无处可藏。