绿盟科技入选“2021年度信息技术应用创新典型解决方案”

近日，在2022新一代信息技术融合应用创新云峰会上，绿盟科技“信创云下容器及虚拟机威胁态势分析”成功入选“2021年度信息技术应用创新典型解决方案”。

本次大会由工业和信息化部网络安全产业发展中心、天津市工业和信息化局、江苏省工业和信息化厅（江苏信创产业链专班）、福建省数字福建建设领导小组办公室、信息中心技术创新应用协作组共同举办。会议以“融合应用、创新发展”为主题，聚焦我国信息技术领域前沿技术、产品创新及应用实践，共同探索新一代信息技术融合应用创新发展机制，搭建高效的融合创新成果交流对接平台，促进新一代信息技术产业高质量发展。绿盟科技安全专家马跃强受邀作题为《数字化转型浪潮下，工业企业如何构筑安全防线》的演讲。

绿盟科技“信创云下容器及虚拟机威胁态势分析”实现信创私有云下资产感知、检测分析、用户异常行为分析、安全响应、全流量威胁管理、漏洞风险管理、安全态势可视化等，保护单位网络正常运行、单位业务顺畅、避免业务中断造成的安全损失。

方案架构

通过在云内部署相应的安全能力，实现对租户不同虚拟机间，以及不同容器POD间的流量进行安全检测。

针对虚拟机中流量安全检测：通过在虚拟机中部署Agent的方式，将虚拟机各个网口的上下行流量封装并且加密为UDP报文发送至综合分析探针。考虑到镜像流量过大可能会增加span节点的负担，综合分析探针采用分布式部署的方式，在每个leaf节点中独立部署综合威胁探针，分别采集、解析、检测所在leaf节点中租户的流量，最终综合威胁探针将检测结果以及元数据汇总到态势感知平台进行综合分析、研判和展示。

针对容器流量安全监测：使用绿盟容器安全管理系统提供所需安全防护。在每个VPC的CCE容器集群中部署1个控制器POD，容器集群中的每个node上部署流量探针POD，每个集群中部署1个或多个安全node，安全node上起若干个安全检测POD。其中流量探针POD负责将需要防护POD的接口流量通过VXLAN的方式传送给安全节点上的安全检测POD，安全检测POD负责威胁流量检测和威胁数据包存储，同时将攻击日志信息传送给安全控制器。安全控制器负责将安全日志初步分类处理并统一上送到态势感知平台进做具体的威胁分析和展示。

方案优势

1、系统自主适配

使用飞腾、鲲鹏等芯片；已完成银河麒麟操作系统兼容，完成华为泰山服务器适配。

2、分析协议覆盖面广

综合威胁探针支持各类网络协议、5G协议、工控协议、物联网协议和传统协议的识别和解析并生成日志为后续分析提供有力保障。

3、对资产实现全生命周期管理

各组件联动实现内部网络的各类型资产的安全管理，并可对资产进行持续监控，结合资产变革和资产基线异常检测，进一步分析变更和异常资产带来的安全风险，实现资产变更风险预警和资产安全修正，帮助客户维护资产安全台账和细粒度资产信息管理。

4、用户行为分析技术，及时发现异常关联行为，防患于未然

平台提供用户异常行为分析能力，基于海量的数据，使用高级分析方法和机器学习的模型，对用户和实体(例如IP地址、应用、设备和网络等)的行为进行评估、关联并建立基线，以发现内部威胁以及外部入侵行为。异常行为分析覆盖内部访问、数据泄露、风险账号、风险终端四大类百余个子场景，可从海量数据中找到主体与客体间潜在的异常关联行为，提前防患于未然。

5、容器生命周期安全防护

覆盖容器镜像、容器环境、容器运行时安全管理、满足全生命周期安全风险检测要求，提供基于策略的容器启动、运行管理，避免有风险、漏洞的镜像被拉起对其他容器运行造成风险或者运行中的容器异常行为依据策略进行挂起，等待管理员验证。