客户背景

信息通信分公司受国家电网公司委托，承担公司投资及组织的骨干通信网以及骨干信息网的建设管理基于公安部大力推行等保，国网发布了电力行业等保标准。国网信通部也组建了红蓝队，选拔优秀专业人才，构建国网安全人才体系，通过红蓝对抗，构建以公司总部为核心，覆盖公司各单位、涵盖全部信息系统并延伸至工控系统的信息安全保障体系。在红蓝对抗过程中，通过积累以及与第三方公司合作，逐步完善，定制开发了专用的测试工具、应急响应工具等多种工具。
为保障集团信息安全工作的后续顺利进展，确保公司信息系统的安全稳定运行，业务数据安全，生产系统可抵御勒索病毒、恶意代码等造成的攻击；检验集团公司网络安全防护、应急处置和指挥调度能力，提高网络安全综合防御水平；安数云为国网信通部提供了完善的安全产品和服务，构建网络安全防御体系。

安全需求

围绕集团公司红蓝对抗；集团此次技术监督装备的构建主要围绕三个目标实现：
（一）进一步加强公司红蓝队能力水平；
（二）实现集团网络全流量的采集和分析，实现网络传输文件的鉴定和预警；
（三）实现威胁关联和回溯分析，进一步准确定位威胁来源。

解决方案

我方根据国网系统集团的信息安全技术监督装备要求，为其提供了综合安全检查评估系统(弱口令离线核查工具)、综合安全检查评估系统(Web安全利用套件)、综合安全检查评估系统(等级保护合规检查工具)三款安全评估工具，以及大数据态势感知系统(终端访问基线分析工具)一款基线分析工具，并提供及时的服务支持。
（一）弱口令离线核查工具支持对用户口令配置文件自动获取、解析，口令碰撞的方式自动发现账号弱口令账号。支持对windows、Unix、linux操作系统、Oracle、SQL Server、Mysql、DB2数据库、Tomcat、weblogic中间件、网络设备等进行弱口令的离线核查，不通过暴力破解的方式进行弱口令检查，不影响设备的正常使用。
•支持MD5、SHA1、BASE64、AES、3DES等常用加密算法及组合加密，及公司统一权限平台加密算法，根据资源类型匹配加密算法，在弱口令稽核时根据此加密算法进行密码破解。
•可对国网主要应用系统进行弱口令扫描，包括但不限于以下系统：统一权限平台、一体化缴费平台、财务管控系统、统一数据交换平台、非结构化数据管理平台、统一数据保护与监控平台、电网统一视频监控平台、电能服务管理平台、海量历史/准实时数据管理平台、电网GIS平台、综合查询分析系统、干部管理系统、乡镇供电所及班组一体化信息系统。
•以业务系统维度统计弱口令数量、查看具体资源弱口令信息，并支持图文并茂查看报表和导出报表。
•以资源所属负责人维度统计弱口令数量、查看具体资源弱口令信息，并支持图文并茂查看报表和导出报表。
•以具体资源维度统计弱口令数量、查看具体资源弱口令信息，并支持图文并茂查看报表和导出报表
（二）Web安全利用套件零基础完成从信息收集、扫描探测到漏洞利用、通道控制的专业渗透，流程清晰透明，实时可控。
•包括Whois信息获取、二级域名获取（搜索引擎模式、暴力破解模式、接口模式）、目标邮箱信息收集等功能。
•包括Web指纹识别、端口扫描探测及端口指纹识别、Web路径扫描、旁注扫描等功能。
•包含大量Web应用系统的已知漏洞利用工具，包括Java反序列化、Redis未授权访问、TRS漏洞、Struts2漏洞、DedeCMS漏洞、WordPress漏洞、Discuz漏洞、FckEditer漏洞、IIS写权限漏洞、JBoss漏洞利用、Bash漏洞利用、HeartBleed检测、密码综合破解等。
（三）等级保护合规检查工具针对信息系统备案单位的以下方面进行检查：
•检查等级保护各项工作开展情况
•检查信息系统定级备案情况
•检查信息系统等级测评和安全建设整改工作情况
•检查等级保护自查和整改工作情况
•检查信息系统关键技术措施落实情况
•检查检查信息系统等级保护管理制度落实情况
（四）终端访问基线分析工具通过旁路对网络流量数据监测分析，帮助用户提取网络中的访问数据流，识别终端和业务互连访问基线，形成终端访问白名单体系，细化终端访问管控要求。
•支持通过协议或端口定义数据流，支持设置数据采集范围。
•具备人工智能算法，自动对终端访问行为开展智能分析功能。
•支持分析策略的阈值设定、启动、停用等等基本操作。
•支持应用的提取、添加、删除等基本操作，白名单添加、修改、导出等基本操作，支持白名单策略自定义及详情的展示。
•支持对未知数据流的识别、匹配。对于不符合白名单和违规的互连关系和流量，系统会自动生成未知数据流，并对未知数据流进行识别、匹配，从中提取可供判断的信息，用户对未知数据流识别、确认、处理后，可将未知数据流提取到白名单。
支持包括但不限于端口扫描行为规则、访问服务器行为规则、协议扫描•行为规则、大流量行为规则、常用协议行为规则、外网源地址自动过滤、外网目的地址自动过滤、UDP协议自动过滤、ICMP协议自动过滤等行为规则的设置及展示。

成果收益

此次技术监督装备的构建，为集团红蓝队能力水平的提升提供了非常大的帮助；具体可以体现以下：
(1)帮助集团发现系统中存在的弱口令，且不影响系统正常运行，增强安全防护能力；
(2)帮助集团对等级保护各项工作开展情况进行全流程管理；
(3)通过加强应急演练、攻防演练，提高了集团人员的应急响应处置能力； 
(4)提高了办公人员和事件响应者的生产力和有效性；
(5)帮助集团提取网络中的访问数据流，识别终端和业务互连访问基线，形成终端访问白名单体系，细化终端访问管控要求，简化了人员工作量，强化了集团对威胁的识别能力。
(6)提高了集团的网络安全防御体系的网络安全感知能力。