內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊作為內(nèi)蒙古自治區(qū)交通運輸廳直屬單位，負責全區(qū)公路路政執(zhí)法的組織、指導(dǎo)、監(jiān)督等工作，依法維護路產(chǎn)、路權(quán)。為滿足國家信息安全等級保護管理規(guī)范和技術(shù)標準，進行三級等保安全建設(shè)工作。

等級保護指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

第三級，監(jiān)督保護級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；一般適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。

內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊在建設(shè)三級等保安全的工作中，采購我司“創(chuàng)宇A(yù)DS抗拒絕服務(wù)系統(tǒng)”硬件安全產(chǎn)品，以完善下一代信息基礎(chǔ)設(shè)施，健全信息安全保障體系。

實施時間：

開始時間：2021年8月，針對標書要求，明確客戶具體需求；

2021年9月，項目中標；

2021年11月，完成合同簽署；

2021年11月，完成“創(chuàng)宇A(yù)DS抗拒絕服務(wù)系統(tǒng)”硬件設(shè)備發(fā)貨；

2021年11月，完成“創(chuàng)宇A(yù)DS抗拒絕服務(wù)系統(tǒng)”硬件設(shè)備上架、安裝、部署工作；

截止時間：2021年12月，產(chǎn)品實施完成，客戶完成簽收。

應(yīng)用場景

內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊作為內(nèi)蒙古自治區(qū)交通運輸廳直屬單位，負責全區(qū)公路路政執(zhí)法的組織、指導(dǎo)、監(jiān)督等工作，依法維護路產(chǎn)、路權(quán)。

根據(jù)《信息系統(tǒng)安全等級保護基本要求》，信息系統(tǒng)的第三級安全保護是指，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。

結(jié)合內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊的工作職責，其中包括：承擔全區(qū)高速公路聯(lián)網(wǎng)收費運營管理服務(wù)和通行費的拆分、結(jié)算工作；規(guī)劃、設(shè)計、布局聯(lián)網(wǎng)電子不停車收費系統(tǒng)（ETC）；協(xié)調(diào)全區(qū)高速公路收費系統(tǒng)、監(jiān)控系統(tǒng)軟硬件的統(tǒng)一使用和維護工作；承擔全區(qū)高速公路聯(lián)網(wǎng)收費密鑰管理和安全認證工作；承擔高速公路的路況、通行信息的采集和發(fā)送工作等。

因此，內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊需要進行三級等保建設(shè)工作。

創(chuàng)宇A(yù)DS抗拒絕服務(wù)系統(tǒng)作為一款硬件抗D產(chǎn)品，是知道創(chuàng)宇基于KSP操作系統(tǒng)?主研發(fā)的硬件抗DDoS攻擊系統(tǒng)。通過部署在客戶本地，實現(xiàn)對全局流量的監(jiān)控與檢測，并對DDoS攻擊流量進?全?位多層次清洗。全?、精準抵御各類DDoS攻擊，保障業(yè)務(wù)?可?性。滿足了部分政企網(wǎng)絡(luò)架構(gòu)不適合上云的需求，具備全面自主可控的防護策略配置，正是網(wǎng)絡(luò)安全建設(shè)的“剛需”產(chǎn)品。

面臨挑戰(zhàn)

從客戶需求溝通到產(chǎn)品實施部署，過程中面臨了如下挑戰(zhàn)：

1、硬件產(chǎn)品較軟件產(chǎn)品而言，多了硬件層面的需求，創(chuàng)宇A(yù)DS抗拒絕服務(wù)系統(tǒng)根據(jù)市場情況，推出了不同的硬件型號，對應(yīng)不同的硬件配置。但本次案例，內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊根據(jù)內(nèi)部網(wǎng)絡(luò)架構(gòu)情況，提出了更多的網(wǎng)口需求，我司因此擴展網(wǎng)口，不斷測試，最終經(jīng)過驗證，達成交付。在滿足客戶需求的同時，我司在后續(xù)的產(chǎn)品合作中，也積累了個性化定制的技術(shù)經(jīng)驗，也提升了產(chǎn)品的服務(wù)價值。

2、根據(jù)內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊網(wǎng)絡(luò)拓撲情況，進行串聯(lián)部署的部署模式，需要進行一些部署模式相關(guān)的問題確認，對于較底層的技術(shù)問題，是網(wǎng)橋模式或是網(wǎng)關(guān)模式，都分別進行了驗證，兩種串聯(lián)模式對應(yīng)的網(wǎng)絡(luò)情況不同，弄錯則會導(dǎo)致業(yè)務(wù)不可用。

3、因疫情原因，產(chǎn)品的實施交付面臨一定的困難，我司售后團隊同本次項目的研發(fā)團隊多次溝通，制定多個實施部署解決方案。針對本次交付的細節(jié)，也逐一確認溝通，以保證在產(chǎn)品交付的過程中完美無誤。這體現(xiàn)了我司技術(shù)服務(wù)團隊的專業(yè)性，是一支值得信賴的售后隊伍。

以上挑戰(zhàn)均在過程中逐一解決，無論是我司研發(fā)團隊的技術(shù)能力，還是售后團隊的服務(wù)能力，都為本次實施交付工作提供了技術(shù)支持保障，創(chuàng)宇A(yù)DS抗拒絕服務(wù)系統(tǒng)的產(chǎn)品實力也進一步提升。

應(yīng)用技術(shù)與實施過程

分布式拒絕服務(wù)（Distributed Denial of Service，簡稱DDoS）是最常?的?絡(luò)攻擊之?。

攻擊者通過控制不同位置的多臺計算機作為攻擊平臺，對?個或多個?標發(fā)起DDoS攻擊，消耗?標服務(wù)器性能或?絡(luò)帶寬，從?造成服務(wù)器?法正常地提供服務(wù)，致使業(yè)務(wù)中斷，造成客戶直接經(jīng)濟損失。

常見的攻擊類型有：

流量型攻擊：流量型DDoS攻擊主要包括SYN Flood、ACK Flood、UDP Flood、ICMP Flood、RST Flood等。

Web應(yīng)用層DDoS攻擊：Web應(yīng)?層攻擊主要是HTTPGet Flood、HTTP Post Flood、CC等攻擊。

畸形報文：畸形報?主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報?、TCP畸形報?、UDP畸形報?等。

連接型DDoS攻擊：主要是指TCP慢速連接攻擊、連接耗盡攻擊、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻擊。

DNS DDoS攻擊：DNS DDoS攻擊主要包括DNS Request Flood、DNS Response Flood、虛假源+真實源DNS Query Flood、權(quán)威服務(wù)器攻擊和Local服務(wù)器攻擊等。

T級DDoS攻擊時代已然來臨，攻擊規(guī)模與頻率年年攀升，攻擊峰值不斷推?，根據(jù)知道創(chuàng)宇云防御平臺數(shù)據(jù)，2020年攔截的DDoS攻擊數(shù)據(jù)中，最?攻擊峰值達到1T。

創(chuàng)宇A(yù)DS抗拒絕服務(wù)系統(tǒng)是知道創(chuàng)宇基于KSP操作系統(tǒng)自主研發(fā)的硬件抗分布式拒絕服務(wù)攻擊系統(tǒng)。通過部署在客戶本地的流量檢測、流量清洗設(shè)備與中控管理系統(tǒng)，實現(xiàn)對全局流量的監(jiān)控與檢測，并對DDoS攻擊流量進行全方位多層次清洗，全面、精準抵御各類DDoS攻擊，保障業(yè)務(wù)高可用性。

工作技術(shù)原理如下：

1. 流量檢測

通過流量鏡像，將網(wǎng)絡(luò)入口的混合流量復(fù)制到流量檢測設(shè)備中進行檢測分析，判斷是否有可疑的異常流量存在，如果有，則將攻擊信息通報至中控管理系統(tǒng)。

2. 流量牽引

當檢測到異常流量時，中控管理系統(tǒng)通過動態(tài)路由宣告，將原來去往攻擊目標IP的流量牽引至流量清洗設(shè)備進行清洗。

3 流量清洗

流量清洗設(shè)備根據(jù)檢測分析結(jié)果，通過基礎(chǔ)過濾、單包識別、智能清洗、高級過濾等策略，對DDoS攻擊流量展開立體多層次清洗。

4. 流量回注

經(jīng)過流量清洗設(shè)備清洗后的清潔流量，回注轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器。

創(chuàng)宇A(yù)DS抗拒絕服務(wù)系統(tǒng)由流量檢測系統(tǒng)、流量清洗系統(tǒng)、中控管理系統(tǒng)三部分組成。其中流量檢測系統(tǒng)負責流量的統(tǒng)計、分析、檢測和告警，流量清洗系統(tǒng)負責攻擊流量的識別、分離和攔截，中控管理系統(tǒng)負責統(tǒng)一的流量調(diào)度、防護策略管理和數(shù)據(jù)統(tǒng)計、硬件性能監(jiān)控等功能。

流量檢測系統(tǒng)

流量檢測系統(tǒng)用于異常流量監(jiān)控和檢測，負責流量的統(tǒng)計、分析、檢測和告警。通過協(xié)議分析、畸形報文檢測、異常流量分析等多維度對流量進行實時檢測分析，對流量特征進行智能學(xué)習建模，提供近百種智能防護算法與檢測策略配置，實現(xiàn)對SYN Flood、ACK Flood、UDP Flood、ICMP Flood等流量型攻擊，HTTP、HTTPS、DNS、CC攻擊等應(yīng)用層攻擊的全面精準檢測。

1. 鏈路管理層負責底層管理鏈路，根據(jù)CPU負載自動將數(shù)據(jù)包分配到不同的CPU處理。

2. 預(yù)處理層負責對數(shù)據(jù)包進行解析，根據(jù)內(nèi)置的畸形報文特征庫，將畸形報文等異常流量直接攔截。

3. 協(xié)議統(tǒng)計層實時統(tǒng)計各種報文類型的數(shù)量和流量等信息，并實時發(fā)送給中控管理系統(tǒng)。

4. 異常流量分析層根據(jù)統(tǒng)計的信息使用流量特征自學(xué)習和報文狀態(tài)檢測等算法檢測出異常流量。

流量清洗系統(tǒng)

流量清洗系統(tǒng)用于異常流量的識別和攔截，由鏈路管理層、基礎(chǔ)過濾層、單包識別層、智能清洗層、高級過濾層組成，對DDoS攻擊流量展開立體多層次清洗，確保正常流量則不受影響。

1. 鏈路管理層負責底層管理鏈路，根據(jù)CPU負載自動將數(shù)據(jù)包分配到不同的CPU處理。

2. 基礎(chǔ)過濾層根據(jù)用戶配置的黑白名單，畸形報文規(guī)則等對報文進行基礎(chǔ)過濾。

3. 單包識別層分析協(xié)議頭部和負載，進一步過濾較為復(fù)雜的攻擊。

4. 智能清洗層使用信譽分析、源認證等算法對攻擊進行智能清洗。

5. 高級過濾層根據(jù)自定義規(guī)則及限速策略對報文進行攔截或限速。清洗過程中的流量統(tǒng)計信息發(fā)送給中控管理系統(tǒng)用作報表展示。

中控管理系統(tǒng)

中控管理系統(tǒng)負責統(tǒng)一的流量調(diào)度、配置管理和數(shù)據(jù)統(tǒng)計，由IO層、管理層、應(yīng)用層組成。通過將流量檢測設(shè)備、清洗設(shè)備的數(shù)據(jù)進行關(guān)聯(lián)分析和處理，實現(xiàn)對系統(tǒng)防護策略、威脅數(shù)據(jù)、設(shè)備監(jiān)控等功能的集中管理。中控管理系統(tǒng)還能提供類型豐富的報表，支持多臺設(shè)備統(tǒng)一管理、監(jiān)控、維護，包括檢測和清洗策略下發(fā)、狀態(tài)監(jiān)控、系統(tǒng)升級、報表集中等。

設(shè)備監(jiān)控與管理

展示設(shè)備物理端口狀態(tài)、系統(tǒng)CPU、內(nèi)存監(jiān)控、系統(tǒng)空間告警等。在集群部署環(huán)境下，支持對多臺硬件設(shè)備的集中監(jiān)控管理功能，滿足大型系統(tǒng)的管理需求。

靈活多樣的防護規(guī)則

ADS內(nèi)置豐富的防護策略，客戶根據(jù)自身業(yè)務(wù)特征自定義防護策略，支持自定義流量檢測策略、流量清洗策略、畸形報文規(guī)則、黑白名單等功能。尤其是應(yīng)對混合型攻擊、應(yīng)用層攻擊，高度自主可控的定制策略能夠更好的實現(xiàn)抗D效果。

通過對流量特征進行智能學(xué)習建模，提供近百種智能防護算法與檢測、清洗策略配置。支持針對SYN Flood、 UDP Flood、 ICMP Flood、ACK Flood、畸形報文等不同攻擊類型，自定義包速率閾值、流量閾值、異常流量占比等關(guān)鍵字段閾值。支持首包丟棄、源認證策略等多種防護策略自定義，實現(xiàn)防護策略與客戶實際業(yè)務(wù)場景?度匹配的防護效果。

動態(tài)更新畸形規(guī)則

支持動態(tài)更新畸形報文規(guī)則，針對TCP、IP、UDP不同協(xié)議類型，動態(tài)更新包括源端口、目的端口、標志位，報文長度等關(guān)鍵字段，豐富檢測規(guī)則的多樣性，有效提升防護力度。

云端威脅庫

通過將云端威脅庫中的威脅信息下發(fā)到ADS本地，實現(xiàn)針對不同危險等級的風險IP匹配對應(yīng)的防護策略，更加實時、精準的防護CC攻擊。

抓包取證

支持自定義條件創(chuàng)建抓包任務(wù)，可以將攻擊發(fā)生時的原始攻擊報文進行抓包和存放，針對攻擊類型、 IP、端口等條件獲取對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包，為攻擊事后詳細的分析與追查提供依據(jù)。

豐富的報表

流量報表：秒級實時報表，可視化監(jiān)控全局流量、流量波動。提供全局及單IP流量統(tǒng)計、多維度流量分析、清洗前后流量對比等功能，幫助管理員實時、準確、直觀掌握網(wǎng)絡(luò)安全態(tài)勢。

攻擊報表：攻擊流量實時監(jiān)控，可視化報表展示攻擊類型分布、攻擊流量趨勢、攻擊事件詳情統(tǒng)計等，支持多種查詢條件，按不同攻擊類型、目的IP查詢生成攻擊報表，支持自定義時間，按日報、周報、月報等多時間維度生成攻擊報表。

告警報表：展示攻擊時間、目的 IP、攻擊類型、攻擊流量、包速率等字段的詳細信息。支持按時間、目的IP、攻擊類型三種查詢條件對數(shù)據(jù)進行篩選展示。

雙棧兼容

全面支持IPv4/IPv6，有效實現(xiàn)IPv4/IPv6網(wǎng)絡(luò)的流量清洗，為客戶的IPv6網(wǎng)絡(luò)遷移、改造與建設(shè)提供了安全保障。

黑白名單

支持流量檢測系統(tǒng)、流量清洗系統(tǒng)黑白名單配置功能，通過設(shè)置黑白名單，在流量檢測、流量清洗環(huán)節(jié)簡化對特定IP的控制難度，實現(xiàn)高效攔截與放行。

商業(yè)變化

內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊采購創(chuàng)宇A(yù)DS抗拒絕服務(wù)系統(tǒng)項目案例的完結(jié)，為內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊、為知道創(chuàng)宇都帶來了一定的商業(yè)價值。

對客戶而言，響應(yīng)了國家政策要求，按照管理規(guī)范和技術(shù)標準，完成了三級等級保護的安全基礎(chǔ)設(shè)施建設(shè)。重視對數(shù)據(jù)安全的投入，實現(xiàn)了對全局流量的監(jiān)控與檢測，可以精準抵御各類DDoS攻擊，也保障了數(shù)據(jù)系統(tǒng)的私密性要求、私有化部署要求。完善了政企機構(gòu)網(wǎng)絡(luò)安全體系，為國家安全貢獻了力量。

對知道創(chuàng)宇而言，通過實際應(yīng)用場景的產(chǎn)品實施，提高了產(chǎn)品的實力，提升了服務(wù)的能力。專注為政府機構(gòu)、企業(yè)提供防網(wǎng)絡(luò)攻擊、防黑客入侵等一系列完善的網(wǎng)絡(luò)安全解決方案，提升了公司在網(wǎng)絡(luò)安全行業(yè)的行業(yè)影響力和核心競爭力。

相關(guān)企業(yè)介紹

·北京知道創(chuàng)宇信息技術(shù)股份有限公司

成立于2007年8月，擁有北京、成都、武漢三大研發(fā)中心，在深圳、上海、廣州、香港等地區(qū)設(shè)有35個分公司和辦事處。專注為政府機構(gòu)、企業(yè)提供防網(wǎng)絡(luò)攻擊、防黑客入侵等一系列網(wǎng)絡(luò)安全解決方案，先后為近千家中央部委、國企央企、互聯(lián)網(wǎng)龍頭企業(yè)和近百萬家中小微企業(yè)提供網(wǎng)絡(luò)安全服務(wù)。是國內(nèi)云防御市場第一品牌，國際網(wǎng)絡(luò)空間測繪第一品牌，國內(nèi)唯一具備全球范圍資源探測能力的安全企業(yè)。

·內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊

內(nèi)蒙古自治區(qū)公路路政執(zhí)法監(jiān)察總隊是內(nèi)蒙古自治區(qū)交通運輸廳直屬單位。貫徹落實《公路法》、《收費公路管理條例》、《路政管理規(guī)定》、《內(nèi)蒙古自治區(qū)公路條例》等法律法規(guī)，負責全區(qū)公路路政執(zhí)法的組織、指導(dǎo)、監(jiān)督等工作。承擔國家、自治區(qū)投資建設(shè)和自治區(qū)統(tǒng)貸統(tǒng)還的高等級公路路政管理和公路超限超載的治理工作，依法維護路產(chǎn)、路權(quán)。

來源：數(shù)據(jù)猿