扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
随着信息化建设的不断深入,存在于企业单位信息网络和应用业务系统各方面的信息安全问题不断暴漏出来,为了解决和控制这些安全问题,企业单位在信息安全管理方面不断的引入各种基础安全产品设施,例如防火墙、防病毒、入侵检测、漏洞扫描等。不断被引入的各种安全产品各自为政,利用不同的技术从不同的方面为企业单位提供的安全防御手段。这种各自为政的部署、防御特点,导致每一个产品都要进行分布式管理,造成浪费大量的人力、物力和财力,对安全管理员的技能要求过高,各安全产品产生的安全数据无法汇集综合分析,网络安全管理人员无法及时获取网络安全的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告,网络安全运维人员无法进行实时的事件监控及响应,网络安全管理人员及运维人员之间安全工作协同缺乏有效支撑平台阻碍了安全日常工作制度化、有效化。因此,想要让基础安全产品设施能最大限度地发挥其安全保障功能,挖掘其更深的安全保障价值,让网络安全管理人员能实时掌控网络安全各方面的运行状态情况让安全问题能集中监控发现同一响应,就必须在基础安全产品设施上层建立一个良好的管理支撑平台。
已经过去的2013年网络空间依然不太平,各类安全事件频频发生。"棱镜门"让全民震惊,也激醒了中国信息安全产业最弱神经,自主可控被提到前所未有的高度;数据泄露在各领域频繁上演;Java安全漏洞、 Struts漏洞和路由器后门漏洞以其影响面之广危害之大而尤其令人担忧;DDoS攻击愈演愈烈,出现了史上流量最大的攻击;安卓系统安全问题频出;APT攻击也渐显普及之势。
相对来说,整个2013年突出的安全事件如下:
JAVA安全漏洞(1月12日)
1月底~2月初,Oracle似乎都因Java漏洞而被置于风口浪尖,即便是在更新后漏洞也依然存在。屡屡发生的Java安全事件甚至让美国国土安全部都开口建议禁用Java。几个月后,Oracle考虑到零日漏洞补丁的增加,改变了Java安全更新的号码排列。
路由器后门漏洞(3月12日)
今年,路由器后门漏洞被多次曝出。先是3月份TP-Link向媒体公布后门漏洞,接着5月份曝出13种主流家庭与小型商业用路由器有漏洞。10月份,NetGear路由器漏洞也被曝,继D-Link后,腾达成为第二个被曝在产品中放置后门的供应商。
DDos攻击愈演愈烈(3月19日)
今年发生的DDoS攻击可列出一长串。尤其值得关注的是:3月份,互联网史上最大流量DDoS攻击出现在反垃圾邮件非盈利组织Spamhaus,攻击流量达300Gbps;8月份,.cn根域名服务器遭遇最大DDoS攻击,大量.cn域名和.com.cn无法解析。
韩国遭受大规模网络攻击(3月20日)
3月,韩国主流电视台以及部份金融公司的计算机网络全面瘫痪。此次攻击行为是使用的恶意软件通过直接访问\\.\PhysicalDrive来破坏硬盘的引导记录(MBR),而且可以删除硬盘上的文件。
Android系统问题频现(3月24日)
2013年,Android安全问题依然频频出现。3月份,安卓木马被利用来进行APT攻击;7月份被发现的一个漏洞能影响过去4年间发布的99%的Android手机;在最新Android4.4中,最常见的Mater Key漏洞又出现新变种。
台菲黑客大战(5月12日)
5月12日,在菲律宾海岸警卫队射杀台湾渔民事件过后不久,台湾多个官网被来自菲律宾的IP攻击,之后,台湾骇客立即反击攻陷菲律宾DNS伺服器,最后以菲律宾黑客求饶告终。
比特币安全隐患(5月24日)
目前,比特币市场行情水涨船高。虽然它具有匿名性且独立存在,伪造可能性小,但是它几乎不受法规监管。所谓树大招风,在其疯涨的同时也带来了一系列安全隐患,被盗事件频出。
棱镜门(6月5日)
6月份,美国国安局前雇员斯诺登曝出的"棱镜门"震惊全球,但"棱镜门"只是美国情报系统冰山一角。"棱镜门"激醒了中国信息安全产业最弱神经,自主可控被提到前所未有的高度,对中国信息安全乃至整个信息产业带来深远影响。
Struts2漏洞(7月17日)
7月17日,红色警报拉响:Struts2再曝高危漏洞,该漏洞可直接导致服务器被远程控制,引起数据泄漏。包括淘宝、京东、腾讯在内的多家大型互联网厂商及政府、金融机构网站均受影响,7月17日甚至因此被称为中国互联网安全灾难日。
.cn根域名被攻击(8月25日)
8月25日凌晨,黑客利用僵尸网络向.CN顶级域名系统,持续发起大量针对某游戏私服网站域名的查询请求,致大量.cn域名和.com.cn无法解析,攻击时峰值流量较平常激增近1000倍。
Adobe遭黑客攻击(10月3日)
10月,Adobe遭袭击,3800万用户信息及大量源代码泄露。之后,Adobe重置客户ID并通知客户改密码。但是源代码泄露可让黑客挖掘漏洞发动攻击更容易,预计未来会有大量漏洞被发现利用。
搜狗泄密门(11月5日)
2013年数据泄露事件激增,仅是搜狗今年出现两次事故。6月5日安全平台乌云曝出搜狗输入法导致大量用户敏感信息泄露,时隔五个月,央视又曝出搜狗浏览器致用户QQ、支付宝等信息泄露。
2013年,云计算、移动互联、物联网、SDN、大数据等技术的应用,带来了安全技术的新一轮变革。网络威胁的不断演进,也促使安全防御走向新的发展阶段。这一年,运用大数据进行安全分析、APT检测和防御技术、移动设备和数据安全防护、云数据中心安全防护等技术受到了广泛关注。下面我们从市场关注和用户关注两个方面进行分析
大数据的安全应用
2013年RSA大会上,大数据被提到极其重要的地位,甚至被认为会改写信息安全产业格局。利用大数据进行安全分析和威胁检测,提前捕捉威胁苗头,这在APT攻击日益猖獗的今天显得尤其诱人。将大数据技术应用于安全检测,主要分三步:第一步是收集数据,第二步是提炼数据,第三步是检测,这个过程将用到安全分析技术和数据挖掘技术。
在大数据环境下,安全分析模式正在发生改变,数据采集、数据提炼、安全分析、安全态势判断,会形成一个新的完整链条。但是海量的待分析数据和目前相对有限的分析能力之间仍存矛盾。提高对海量数据的分析能力,挖掘其中核心的价值,这是目前安全管理系统无法回避的难点
移动终端安全防护
移动互联网时代,BYOD和IT消费化开始变得越来越普及,但移动安全问题也越来越严重。正因如此,对移动风险的管理尤其是移动终端的安全防护也成为安全界新的焦点。保证移动设备的安全,需要策略与技术并行。另外,基于以数据为中心的方法构建的移动风险管理机制有助于企业降低风险。
移动安全问题日益严峻和紧迫,虽然“策略+技术”在移动风险管理中已成为共识,但操作不容易。在制定策略的过程中,企业需要考虑多方面的问题,如:支持什么、怎样进行支持、为哪些人提供支持,什么应用程序、什么设备、哪个用户,哪个业务流程,制定一个统一的移动安全计划其实难度系数颇高。
APT检测
2013年,APT攻击事件层出不穷,攻击范围更广,针对性更强,随着鱼叉式钓鱼攻击、水坑攻击等新型攻击技术和手段的出现,对于APT攻击的检测和防范变得越发困难。目前,在APT攻击的检测和防御上,主要有以下思路:恶意代码检测、数据防泄密、网络入侵检测、大数据分析等。
高持续性威胁的特点就是三个,第一就是目标性。现在高持续性威胁扩散的面积会非常小,通常集中在一个地区甚至是一个企业内,所以它有很特定的目标。第二就是隐蔽,不像以前的大面积扩散的病毒,会在网上闹得沸沸扬扬。所以总结一下,现在APT的特点就是低调,并且动作缓慢。第三个特点就是交互性,其实在APT里面更强调的是远程的黑客和它植入到企业内部的APT恶意软件的交互,会随时改变自己的策略,以躲避侦测。APT入侵到系统,到开始攻击,中间会有一个间隔。一旦开始攻击以后,它会有一个阶段,这个阶段我们被称为被掩饰的跨越性攻击,可能不是持续的攻击,而是会有间隔的,今天偷一点资料、明天偷一点资料,会有一个持续的间隔。最后有一个时间点,是这个攻击最终还是会被安全系统识别,识别出来以后,这个时间点我们被称为攻击被识别。最后掩藏的攻击就会被结束,因为我们肯定会响应。一直到它结束以后我们发现它,到最后会有一个响应时间。这是一个典型的APT攻击在时间上的一个特征。
智能威胁感知
新威胁环境让原有安全架构不再够用。2013年RSA大会抛出“转型安全战略”,提出将安全基础设施转型成智能驱动系统。该战略包括:创建共享数据架构,让安全信息被捕捉、规范、分析和共享;使用开放式可扩展工具从单点产品迁移到统一安全体系;通过增加数据分析师或外部合作伙伴来管理大数据功能;从尽可能多的来源获取外部威胁情报。
的确,我们已经站到一个关键的十字路口,大数据、移动和云计算融合,威胁环境日益复杂且不断变化,这需要安全从业者以新的方式来应对。在传统安全思路不足以对付这一切时,下一代安全、智能威胁感知、重建安全架构,这些新名词便频频出现。
云数据保护
将数据迁移到云中,企业对处于公司安全边界外的数据便失去了控制,数据保护由此变得更加复杂,而不断上升的欺诈事件也更加令人担忧。今天,对云中数据的安全保障可以从多方面全方位地进行,如:卷存储加密、对象存储加密、平台服务加密、软件服务加密、数字版权管理(DRM)等。
安全问题是用户在部署云计算中首要担忧的问题,其中,云中的数据安全又是最受关注的一个分支。对大多数人来说,“云”仍然属于一个新的领域,如果企业提前进行安全部署,云可以比内部部署系统更加灵活,适应性更强。只是,企业还是需要多方权衡,以确保从云中获得的利益能够抵过潜在的安全成本。
数据和隐私安全
2013年,数据泄密、隐私泄露,这些问题几乎无处不在,让我们防不胜防。这一年,我们先是谈到Cookies泄露隐私,后又发现了搜狗浏览器也会暴露隐私,而移动APP抓取隐私更是家常便饭。当我们还在研究如何通过各种技术手段保护隐私时,“棱镜门”爆料者斯诺登又让我们看到,原来隐私被暴露的不只是我们个人,甚至还有国家。
看看今年爆出的隐私泄露事件,防不胜防的数据和隐私泄露,让我们无所适从,甚至以“泄露就泄露吧,反正也没什么秘密”来聊以自慰。个人对此可以包容,企业呢?国家呢?看来,捍卫数据安全,防止重要情报泄露,这将会成为一场长期的技术较量。
DDos攻防
DDoS攻击看起来是个老生常谈的话题,2013年,全球的DDoS攻击依然此起彼伏,似乎很难数得过来。DDoS攻击确实越来越猛,市场情报公司IDC一项新的研究发现,分布式拒绝服务(DDoS)攻击和DoS攻击防御解决方案市场在2012年到2017年间预计将增长18.2%,相关开支将达到8.7亿美元。
相信大家对3月份那次300Gbps的史上最大流量攻击和.cn根域名服务器遭到的攻击都还有印象,而且,DDoS攻击正变得日益猖獗。今天,DDoS攻击工具很容易在黑市上买到,攻击更简单,而防御却依然较难。并且,DDoS攻击“进步”很快,不仅应用型攻击不好对付,针对移动Apps的DDoS攻击在未来也将成重大威胁。
DNS攻防
在台菲黑客大战中,由于DNS被控制,菲律宾黑客终于讨饶,足见DNS攻击威力甚大。今天,黑客产业链正让DNS攻击愈演愈烈,数据显示,在DNS攻击中,简单的漏洞(如:域传送漏洞)出现的次数已经越来越少了。但DDoS和Flood攻击所占比重越来越大,而这也是最严重的两类DNS攻击。
可以说,DNS攻防是个永远不会过时的话题,2013年,受台菲黑客大战等事件的影响,DNS再次成为焦点。今天,攻击者热衷于DNS劫持攻击,对付DNS却并不简单,因为,当DNS被攻击时,可能发生各种情况,如果不先搞清楚具体状况,你可能会感到难以下手。
SQL注入
近年来,SQL注入攻击成为黑客们入侵网络最受欢迎的方法之一。实际上,SQL注入漏洞一旦被发现,就很容易被修复。但IT专业人员面临的挑战是去哪里查找这些漏洞。在大型web应用程序中,用户可以在上百处地方输入数据,每一个都可能为黑客提供机会。一些安全专家和组织一直在敦促企业彻底扫描web应用程序中的这种漏洞。
对SQL攻防的关注恐怕是长期存在的,SQL注入攻击之所以能够成功,是因为企业并没有部署足够好的保护。虽然企业知道应用程序代码审查和部署应用防火墙非常有必要,但很多企业因为受资源所限,只能选择忽略。对于SQL注入漏洞问题,企业IT人员并不是不知道如何修复,而是资源有限,无法兼顾。
XSS攻防
XSS漏洞和SQL注入漏洞一样,都是利用了Web页面编写不完善的弱点,所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难——不可能以单一特征来概括所有XSS攻击。今天,XSS传统防御技术的缺陷已经越来越多地显现,基于特征的监测手段开始被基于行为的检测所代替。
XSS攻击作为Web业务的最大威胁之一,不仅危害Web业务本身,对访问Web业务的用户也会带来直接的影响。防范和阻止XSS攻击,保障Web站点的业务安全,是越来越密切地将互联网与业务结合的企业无法回避的话题,也是定位于Web应用安全网关产品供应商关注的重点。
面对用户终端方面花样繁多的终端类型、接入方式,面对服务端/云端不断的虚拟化,面对业务层面接入、传输、用户身份识别,面对大数据的安全、分析等各种各样的问题,传统的安全管理平台显得应对乏力,尤其是用于安全管理的数据信息采集不完整、用户安全管理的控制手段不得力、用于安全管理大数据分析的技术落后成为了制约其应用的严重软肋。
虽然传统安全管理系统平台能够对上百种的异构设备信息数据进行采集,但其仍有可能会面对信息数据获取不完整的困境,这种困境并不是因为采集支持的设备数量导致而通常是企业安全管理系统管理技术实施不足导致。
可以分析一个常见的攻击来看看这种困境:
常见攻击场景
如上图所示,有一个非法用户,通过SQL注入漏洞获取应用网站后台数据库信息,对管理员用户名密码进行破解,获得到应用网站管理权限,然后可能仅为了炫耀其技术在应用网站上挂黑页,也可能为了实施APT攻击在应用网站上悄然插入恶意代码继续渗透,还可能为了盈利将整个应用数据库全部下载售卖。
对于如此一个常见的攻击过程,传统安全管理系统平台是能够通过对应用网站系统、防火墙等日志信息数据采集,进行关联分析才检查发现的,因为SQL注入漏洞扫描行为、登陆网站行为都可能会在应用网站服务器、防火墙上留下痕迹。尽管传统安全管理系统平台能够检查发现这样的攻击,但却最终只能定位到攻击者的来源IP、用户名,无法将IP、用户名关联到自然人。
虽然传统安全管理系统平台能够采集信息数据并从中发现威胁、潜在隐患,但是威胁、潜在隐患发现后,紧跟着下一步用户需要调查更多终端信息、对终端进行整改、甚至对终端采用紧急断网措施时,传统安全管理系统平台就显得控制力。
1) 调查难场景:安全管理系统平台通过采集防火墙的日志信息数据,发现有一个IP地址总是在非工作时间访问单位的重要数据库,这个潜在隐患到底是不是真正的威胁呢?最好的方法是查询这个IP对应的终端是什么部门?负责做什么工作的?每天在非工作时间访问数据库是在获取什么数据?为了获取这些信息就不得不需要有技术能协助管理人员进一步的调查终端上的信息,显然传统安全管理系统平台对此力不从心。
2) 管理难场景:安全管理系统平台通过其脆弱性分析能力发现了一些终端、服务器上存在着高危漏洞,高危漏洞很容易被利用种植木马恶意软件从而对单位网络安全带来威胁,作为单位的安全管理人员如果通知这些终端、服务器的使用人员后其长期不按通知进行整改该怎么解决呢?要解决这样的问题,就必须提高安全管理系统平台对终端的控制能力。
3) 响应难场景:安全管理系统平台通过防病毒系统的上报的信息数据发现了某台终端上被感染蠕虫病毒杀毒失败,并且有向其他机器传播的现象,为了此台终端进行隔离,安全管理员通常需要找到此台终端拔掉网线或者是找到其对应的接入交换机配置ACL策略来进行解决,但是无论那种方法通常都需要安全管理员花费不少的时间来完成,甚至此过程还会碰到终端无法接近接入交换机不支持ACL等麻烦,如果此时安全管理系统平台能提供功能点击按钮将终端断网,那么响应就简便多了。
大数据处理流程
传统安全管理系统平台对信息数据的管道式处理,所有采集到的信息数据需要在安全管理系统平台上经历原始信息采集、信息字段归一、信息分类分级、有用信息过滤、问题分析存储等一系列处理步骤,这必然会在处理性能上造成漏斗现象。
传统安全管理系统平台虽然能够提供关联分析等基于内存数据实时分析手段,但是实时分析无法跨越较大的时间窗进行分析。传统安全管理系统平台通常仅基于关系型数据库进行信息数据的存储分析,关系型数据库在海量数据的存储分析上的性能瓶颈同意造成安全管理系统平台的存储分析瓶颈。
针对终端、云端、应用以及数据的等多方面的安全管理新挑战,依靠传统的安全管理平台技术显然无力支撑,因此天融信基于多年安全管理平台研究实践经验提出了下一代安全管理系统的新理念。
下一代安全管理系统以传统安全管理系统为基础,独创性的采用融合多种管理引擎的技术手段,从终端、云端、应用、数据等多方面完善安全管理内容及方法,开创了安全管理的新思路。
平台架构
下一代安全管理系统体系结构
下一代安全管理系统体系结构与传统安全管理系统相似,但会比其多一个引擎管理层,即下一代安全管理系统由四个层次组成:被管理安全对象层、引擎管理层、核心处理层、用户管理层,并对外能够与业务系统进行接口交互。
被管理安全对象层、核心处理层、用户管理层在体系结构中的作用跟传统安全管理系统平台相同。
引擎管理层是下一代安全管理系统的关键新变革,在这个层次中,下一代安全管理系统会提供更多的融合接口将终端安全、云端安全、应用安全、数据安全等各安全管理维度中的管理技术都做为安全管理引擎引入到下一代安全管理系统中,例如引入流量分析引擎、身份管理引擎、终端管理引擎、业务审计引擎以及其他更多的安全管理引擎。
引擎管理层中的安全管理引擎可以在下一代安全管理系统中进行灵活拆卸,从下一代安全管理系统中拆卸后,下一代安全管理系统、安全管理引擎都可以独立运行,拆卸整个引擎管理层后下一代安全管理系统转换成一个传统安全管理系统平台。
引擎管理层中加入的各种安全管理引擎与被管理安全对象层中安全对象最大的一个区别将是引擎自有性。在被管理安全对象层中,各安全对象通常是不同厂家的异构型设备系统,但是下一代安全管理系统中的安全引擎将会由下一代安全管理系统厂商自己提供。
引擎自有性是引擎管理层最重要的一个特点,下一代安全管理系统拥有自有引擎才能让安全管理引擎信息数据更易接入、功能更易整合。
下一代安全管理系统中的安全管理引擎能够从不同方面带来更丰富的安全管理数据信息。
例如流量分析引擎:能提供对网络流量中各协议流量情况的检测,支持DDoS攻击、P2P下载、网络游戏、炒股应用、网页访问、即时通信、文件传输、远程终端等多种类型协议;能提供对网络流量的分析,支持按照协议特征统计分析,支持按照连接特征统计分析,支持业务响应性能统计分析,支持网络带宽时延等统计分析;
例如身份管理引擎:能提供对用户进行业务访问单点登录和行为集中审计;能提供对用户的实名身份信息管理;
例如终端管理引擎:能提供多种终端设备无区分管理,支持PC、服务器、智能手机、平板电脑及其他BYOD设备,支持Windows、Linux、IOS、Andriod等多种操作系统;能提供终端安全管理,支持终端远程监测控制,支持终端主机防火墙,支持终端入侵检测。
例如业务审计引擎:能提供对业务审计数据的采集和生成;能提供对设备系统日志类审计数据、网络访问类审计数据、数据库访问类审计数据的支持;能提供审计数据存储和存储扩展能力,支持多级多点、外接存储等多种扩展手段;能提供审计数据查询分析能力。
下一代安全管理系统中的安全管理引擎能够提供更全面的安全管理控制手段。
例如流量分析引擎:能提供对网络流量的过滤,支持按照协议特征进行过滤;
能提供对网络流量带宽的控制;
例如身份管理引擎:能提供对用户身份的识别,支持基于数字证书、USBKey等身份标示手段;能提供对用户进行业务访问的统一认证授权;
例如终端管理引擎:能提供复杂环境的的终端准入管理;能提供数据访问控制,支持敏感信息检测,支持数据访问不落地控制,支持一机访问多网控制;
下一代安全管理系统与传统安全管理系统平台的区别:功能点在哪里
下一代安全管理系统除了具备传统安全管理系统平台数据采集、运行监测、响应报警、业务处理、综合分析等功能特点外,随着引擎管理层的增加将整合更多安全引擎的功能并大数据分析、统一策略管理等功能。
统一的策略管理(引擎和被管理对象)
下一代安全管理系统能够通过与安全管理引擎、被管理安全对象等进行融合从而为整个网络的安全管理提供集中化的统一策略管理功能,能够支持以下方面的安全策略管理:
统一用户策略管理
1) 支持用户访问资源的策略管理。在下一代安全管理系统上能够查看每个应用系统下所具有的用户情况。在每个系统下查询用户情况,以直观的方式显示每一个资源下有权访问的用户信息。并对所有用户进行统一的授权。采用基于角色的授权机制,按照企业内部的组织结构划分角色,并为用户绑定角色。对于不同的角色分配不同的应用系统,以决定其是否可以访问还是不能访问某个系统。授权后,在单点登录平台上将只会显示其有权访问的系统。
2) 支持用户访问策略的管理。为不同的角色定制不同的访问策略。访问策略包括可以访问的资源和访问控制规则。访问规则设置灵活,如按时间段,按网段等。能够根据不同的情况定制不同的策略,对各种不同情况进行访问控制。针对不同类型的用户提供了简单策略管理和高级策略管理两种模式,满足了易用性和灵活性。
终端安全策略管理
1) 支持对每条策略可以定义违规危险级别、报警处理方式(记录到本地和上传到服务器)、报警上报时间间隔、备注信息。支持已下发策略的启用、禁用。可按照主机IP或IP范围查询已应用的策略。
2) 支持策略组定义和下发。支持多种策略类型:支持文件监控策略。对指定文件夹下的文件和文件夹的创建、修改、删除、重命名操作可以有选择地禁止。
3) 支持指定主机的补丁检测时间(主机启动时检测或间隔一定时间定时检测)、下载的补丁类型(安全更新程序、关键更新程序、工具、更新程序、更新程序集和更新包)、下载的补丁级别、补丁安装前提示、安装后重启。
4) 支持设备监控策略。可以对主机的以下设备进行启用禁用操作:光驱、软驱、USB设备、打印机、调制解调器、串口、并口、1394控制器、红外设备、蓝牙设备、PCMCIA卡、SCSI和RAID控制器、磁带机、图形处理设备、无线网卡、智能卡、多媒体设备。支持设备白名单。支持打印监控策略。三种选项:禁止、允许、允许并报警。支持拨号监控策略。三种选项:禁止、允许、允许并报警。支持外存监控策略。对光盘和软盘可以使用三种选项:禁止、允许、允许并报警。支持对移动存储设备采用标签式管理,可以定义禁用、启用只读、启用(只读_运行)和启用读写、启用(读写_运行)五种操作。
5) 支持对访问移动存储设备时进行审计。支持违规时在主机提示用户。支持硬件监视策略。可在主机硬件变化时报警。支持外联监控策略。支持定义内网IP范围、检测周期、外网检测地址、违规处理方式(不处理、重启、断网、提示)。
6) 支持HTTP访问策略。可定义信任站点列表、限制站点列表。可对主机访问的站点进行阻断、报警、记录日志操作。支持共享监视策略。可在共享被创建、修改、删除或重命名时在主机弹出提示。支持流量控制策略。可控制Agent进行补丁和软件下发时的通信流量。可定义最大、最小传输速率、断点续传间隔时间。
7) 支持流量统计策略。可定义主机的出站、入站最大流量,可在超出范围后阻断网络,可定义阻断时间。支持进程监视策略。可定义进程黑、白名单,定义单个进程的内存、CPU阀值,超过后将报警。白名单指定进程未启动时可阻断网络,黑名单中的进程可自动中止。支持端口监视策略。
8) 支持定义端口黑、白名单,白名单中的端口未开放或者黑名单中的端口已开放均会产生报警。支持软件监视策略。当系统中新安装、卸载软件时可报警,并且可以禁用“添加或删除程序”面板,限制软件安装(包括绿色软件)。支持系统性能策略。
9) 支持内存和CPU使用率上限和持续时间定义,当超过上限和持续时间时报警。支持监控硬盘剩余空间,当低于下限时报警。支持网络配置监控策略。可禁止用户修改网络参数,禁止用户使用多网卡。违规时可以断开网络,可自定义断开时间。支持主机防火墙策略。支持定义进程通讯规则,可指定规则名称、进程名称、通讯协议、本地端口列表、远程IP和端口列表、数据流向(传入、传出和双向)、处理方式(阻断/放行、记录日志、报警)。
10) 支持设置内外网切换规则,主机可选择使用内网或外网。支持设置包过滤规则,定义默认规则(是否允许网络共享、是否允许TCP/UDP通讯)、规则名称、本地IP和端口列表、远程IP和端口列表、数据流向(传入、传出和双向)、处理方式(阻断/放行、记录日志、报警)。
流量分析策略管理
1) 提供流量攻击检测策略管理,支持策略的展示、启用、禁用等,支持对流量攻击策略按多种分类方式进行管理包括协议分类、攻击分类、风险分类、影响系统分类等。
2) 提供检测策略自定义管理,支持检测策略增加、删除、修改。提供异常流量检测参数管理,支持网络应用负荷参数、网络连接异常参数、网络异常包参数、DDoS检测参数等。
3) 提供引擎运行配置策略管理,支持告警外发策略配置,支持数据监听端口配置,支持数据抓包策略配置,支持Netflow接收策略配置,支持引擎的访问控制规则配置等。
业务审计策略管理
1) 提供日志业务审计策略管理,支持数据采集源的增加、删除、修改、禁用、启用等,支持数据存储备份参数配置,支持系统运行状态告警参数配置,支持日志数据转发参数配置等。
2) 提供网络业务审计策略管理,支持网络协议识别规则的添加、删除、修改、禁用、启用,支持webmail协议内容识别规则的添加、删除、修改、禁用、启用,支持网络协议审计还原级别设置,支持数据缓存策略设置,支持数据外发策略设置,支持数据审计模式设置等。
3) 提供数据库业务审计策略管理,支持数据库协议识别规则的添加、删除、修改、禁用、启用,支持数据库协议审计还原级别设置,支持数据缓存策略设置,支持数据外发策略设置,支持数据表名字段名审计规则设置等。
统一策略管理扩展
下一代安全管理系统能够支持进行扩展,在虚拟安全网关、虚拟资源统一管理、应用交付管理、数据集中化管理等系统提供接口的情况下能够将其也融合为下一代安全管理系统的安全管理引擎,从而提供更多的统一策略管理能力。
在这个云计算应用越来越盛行的大数据时代,信息安全管理所面对的安全数据也在跟随着潮流不断的庞大。企业的应用在云计算之前通常是企业网中进行散落分布的,但是在云化之后所有的应用都集中到企业的私有云上了,那么随着应用变化以前散落的基础安全防护设施如防火墙、IDS等也开始向企业云上集中,因此安全管理平台需要管理的数据迅速攀升。据经验统计基础安全防护设施10台时每天安全管理平台的数据量约500MB,20台时台时约2GB,100台时约20GB,如此不断几何级攀升的安全管理数据量为安全管理平台的数据分析带来了巨大压力。因此下一代安全管理系统必须要能进行统一的大数据分析。
近年时有发生且对全世界安全造成重大威胁的高级可持续攻击正在不断的对安全管理提出统一大数据分析提出要求。传统的检测是基于单个时间点进行的基于威胁特征的实时匹配检测,而高级可持续攻击(APT)是一个实施过程,无法被实时检测。此外,由于大数据的价值低密度特性,使得安全分析工具很难聚焦在价值点上,黑客可以将攻击隐藏在大数据中,给安全服务提供商的分析制造很大困难。黑客设置的任何一个会误导安全厂商目标信息提取和检索的攻击,都会导致安全监测偏离应有方向。安全界目前已经逐渐达成共识,对于高级可持续攻击必须要改变传统的防御模式,转变为主动出击模式,而这种模式的转变则必须要基于统一的大数据分析。
下一代安全管理系统能够基于四个方面要素提供统一的大数据分析能力:
1) 下一代安全管理系统的引擎管理模式。要通过大数据进行高级可持续攻击分析,必须要能收集到网络行为的全面信息数据,例如:网络流量信息数据、终端状态及用户操作行为数据、用户对应用的访问数据、网络行为数据、数据库行为数据、防火墙日志数据、IDS事件数据等等,如果只有传统的被管理对象下一代安全管理系统所能采集到的数据信息通常有限,而且最重要的是涵盖面不够广,所以下一代安全管理系统通过引擎管理模式去更多融合能带来全面信息数据的安全引擎对于大数据分析能力有极大提升。
2) 基于NoSQL技术的数据存储。每天新产生20GB的数据安全管理平台,如果一天只做一次SQL查询,对于关系数据来说是没有问题的,但几秒钟就要做一次查询那么关系数据将是无法承受的,如果再将查询的时间段增长为一个月或一年,那么关系数据将无法完成。NoSQL数据库都具有非常高的读写性能,尤其在大数据量下,同样表现优秀。这得益于它的无关系性,数据库的结构简单。据实验统计50GB数据量情况下,NoSQL与Oracle10g写数据时间上为1:3000,读数据时间上为1:20。
3) 基于并行计算技术的分析处理能力。无论是对大量的安全数据进行普通的统计分析还是从中挖掘出高级可持续攻击此类的威胁,分析处理算法必须能够进行并行计算,只有这样才能将分析应用到一块块的大数据分割块上提高分析的可用性。
能提供与分析挖掘算法相匹配的可视化展示能力。统一大数据的分析时,要将挖掘出的结果展示用户,必须在结果展示上能与挖掘算法进行相匹配,这样被挖掘出来的数据结果才能给客户最直观的的启发作用。
移动设备安全管理类系统对移动终端的生命周期提供了全面的管理功能,包括接入了企业应用的移动终端设备、应用程序、数据和通信,提高了移动设备的可靠性和可用性,从而提高了用户采用度。
支持的移动智能终端包括IOS、 Android、Windows Mobile等操作系统移动终端。
支持网络环境包括:
中国电信CDMA1X或3GCDMA2000网络
中国联通2GGPRS或3GWCDMA网络
中国移动2GGPRS或3GTD-CDMA网络
WIFI等所有TCP/IP网络
其它运营商2G/3G网络
正如前面所述的当今的终端已经不再是传统意义的终端一样,当今的服务器段也不仅仅是传统的业务服务器,随着业务信息系统的大量增加,服务器也逐渐实现了虚拟化、云化。由此在传统的服务器安全管理的基础上又带来了安全管理新的挑战:
1) 如何开展在云化环境下边界防护工作?
2) 如何做好虚拟资源的统一管理?
3) 如何云化环境下用户身份的识别?
4) 如何将云应用安全、快捷地交付至用户?
5) ……
针对云环境下的新的安全管理需求,天融信提出了独具特色的解决方案。
面对云化后的新挑战,随着网络基础设施的不断完善和宽带互联网的快速发展,尤其是ADSL和3G无线网络的发展,首先我们需要确保的就是接入云的安全性、合法性。
传统VPN虚拟专用网已经具备了与专线相近的稳定性和安全性。利用VPN技术来组建自己的“专用网络”,已经成为今天大多数政府、企事业单位的首选组网解决方案。在各种VPN技术中,基于IPSec的VPN技术经过多年的实践、发展和完善,以其方便性、安全性、标准化等优势,然而,面对云化环境的应用,传统的VPN则显得力不从心。
天融信云安全接入网关,以自主知识产权的安全操作系统平台TOS为基础,采用3G无线网卡和IPSEC VPN、sslvpn等技术相结合设计,具备3G、无线网接入和传统VPN加密功能,能在分支节点不具备有线接入条件,或在有线网络中断时,通过3G/无线网络方式接入,从而扩大了VPN网关的适用范围,有效保证VPN网络的可靠运行。安全接入网关内置3G上网模块,具有3G拨号、VPN加密通道的建立、流量触发、无流量挂断等多种功能,保障对云端的安全接入。
安全接入网关通过特殊设计的硬件或软件,部署在云化环境的虚拟网络中,采用隧道、加密、认证等技术来实现远程网络的互连互通和确保信息远程传输的安全。使得云化环境对云端的接入在逻辑上成为一个专用的透明网络,具有高安全性、高可靠性、易管理性的特点。云安全接入网关架构如下图所示:
云安全接入网关架构图
云安全接入网关支持目前主流各种传统终端、移动终端是云安全接入管理:
1) 支持安卓、苹果、 Windows Mobile等移动终端系统
a) 支持iOS、Andriod终端SSL TopConnect虚拟桌面与虚拟应用方式;
b) 支持iOS、Andriod终端SSL SDK方式,将SSL功能嵌入用户客户端软件中;
c) Andriod还支持TopConnect代理模式,iOS还支持IPSEC“零安装”接入;
d) Android、Windows Mobile智能终端支持使用SSL全网接入模式。
2) 支持Windows XP/2003/2008/Vista/Win7/Win8、Linux系统
云安全接入网关应用场景
此外,云安全接入网关还支持HTTP401方式、WEB方式、密码助手等多种单点登录方式,用户只需要进行一次认证即可访问所有授权业务资源。通过安全接入网关建立起企业的虚拟接入门户,各企业及部门都可拥有独立的接入门户,每个虚拟门户都可定制不同登录界面、控件类型、功能模块、认证方式、公告信息等,极大提高了云接入的安全性与便利性。
云端和以往的服务端的安全管理是存在差异的。以往我们在管理物理服务器的时候我们部署防火墙、IDS等其他边界安全管理设备就能解决边界防护的问题。现在我们是在管理虚拟服务器,一台物理机器可以虚拟出很多台虚拟服务器,靠物理防火墙是无法进行多个虚拟服务器的安全防护的。 因此我们提出了在虚拟服务器下做虚拟化安全网关vGate
vGate以虚拟机形式部署在虚拟化平台上,并通过虚拟化平台接入引擎TAE获得虚拟化平台的网络通信数据,从而实现对所有虚拟机之间以及虚拟化平台本身的网络通信进行防护。TAE将所有虚拟机信息区分成不同的设备转化到虚拟防火墙上,虚拟防火墙对这些虚拟服务器进行管控。实现物理防火墙的所有功能转化到虚拟防火墙上。为云端提供防火墙、入侵检测、防病毒、协议过滤的安全防护功能。
虚拟安全网关总体架构
如上图所示,虚拟化安全网关主要由以下部分构成:
1) 集中管理平台TP
负责安全策略的集中管理,并对安全策略的迁移功能提供支持。
2) 虚拟化安全网关TopVSP vGate
以虚拟机形式部署在虚拟化平台上,并通过虚拟化平台接入引擎TAE获得 虚拟化平台的网络通信数据,从而实现对所有虚拟机之间以及虚拟化平台本 身的网络通信进行防护。
3) 客户系统内安全代理TD
安装在客户操作系统内的服务,负责收集客户系统的日志信息,文件一致性保护,外设的权限控制等。
4) 虚拟化平台接入引擎TAE
负责实现虚拟化平台的网络数据导流到虚拟化安全网关vGate,针对不同的虚拟化平台需要安装对应的接入引擎。同时针对不同的平台还可以对虚拟化平台自身系统进行安全加固,以及基于hypervisor层的各种权限控制,比如对虚拟机外设的控制,对虚拟机操作权限的控制等。
虚拟化是个宽泛的技术术语,是指将各类资源,如计算资源等加以抽象,并对具体的技术特性加以封装隐藏,对外提供统一的逻辑接口。而虚拟化是云计算的重要支撑技术,可以说是虚拟化为我们带来了“云”,同时也是云计算区别于传统计算模式的重要特点。常见的虚拟化技术主要包括:网络虚拟化、服务器虚拟化、存储虚拟化、应用虚拟化、桌面虚拟化等。然而,在虚拟化技术大规模应用的结果,由于同一物理机内部的虚拟机之间进行数据交换时并不经过传统的网络接入层交换机,直接导致许多传统的安全防护手段失效,无法对虚拟机之间的进行隔离控制,他们之间的流量数据无法做到监控和审计等问题。并且当前的传统基于主机层面的安全防护手段,无法适应虚拟机环境。同时虚拟化的网络结构,使得传统的分域防护变得难以实现,虚拟化的服务提供模式,使得对使用者身份、权限和行为的鉴别、控制与审计变得更加困难。为了解决虚拟化的安全问题,天融信提出了TopVSP三层防御体系,从网络层面,系统层面,管理层面三个层面对虚拟化环境进行安全保护。
TopVSP三层防御体系架构图
虚拟化安全平台由集中管理平台TopVSP Policy(TP),虚拟化安全网关TopVSP vGate,客户系统内安全代理TopVSP Desktop(TD),虚拟化平台接入引擎TopVSP Access engine(TAE),四个组件构成。
虚拟化安全网关的设计是基于天融信成熟的安全操作系统TOS,使TOS可以作为主流的完全虚拟化或半虚拟化的虚拟机管理器的Guest OS,同时进行系列升级改造使vTOS和安全引擎适应各种虚拟化平台并进行优化。虚拟机迁移的时候,安全策略也要随之迁移,以保证虚拟机在迁移前后安全的一致性。
与物理服务器管理一样,云端也存在大量的虚拟资源,如何才能做好这些虚拟资源的统一管理是必须考虑的问题。最好的办法就是把他们在一个地方进行统一的管理。
虚拟资源统一管理
在管理模式上云化环境的虚拟应用中,管控方式和通常物理管控方式保持了一致。以集中管理平台为统一管理入口,实现基于不同的角色,不同的管理人员,按各自需求,完成对虚拟资源的统一配置管理。
云化环境是对物理服务环境的最大化扩充,所以在云中自然存在着更大量的应用, 如何将组织机构的各种应用安全、快速地交付给终端用户,既是当前IT所面临的极大挑战,又是业务能否得以顺利推广的关键因素。
从网络发展的大趋势看,继路由交换、网络安全之后,应用交付会成为第三大网络基础设施,这是多个IT领域国际权威分析机构的共同认识。
天融信的广域网优化、带宽保障及负载均衡,正是应用交付的核心功能。目前中国应用交付市场主要为几大国际厂商所占据,作为老牌安全公司的天融信,也迈开了进入国内应用交付市场的重要一步。
云交付典型应用场景如下图所示:
云交付典型应用场景
广域网优化系统围绕着“疏导”关键应用流量,利用精确带宽控制技术可以“封堵”带宽杀手流量,带给了用户最好的易用性和最高的投资回报率。
集成高性能TCP加速、对象缓存、字节缓存、数据压缩等全部广域网加速功能以及端到端精确带宽保障功能,抑制非关键应用对广域网带宽的过度占用,保障关键应用能够获得足够的带宽并获得最佳的广域网性能。
创新的端到端精确带宽保障与均衡技术避免了传统队列机制所带来的广域网下行带宽的浪费,真正实现优先级管理、带宽限制、带宽保障以及带宽的公平使用。业界领先的单边加速有效提升TCP应用在广域网上的传输效率,提高带宽利用率。高效的透明数据压缩、字节缓存有效消减冗余及重复数据的传输,减少广域网传输数据量,充分挖掘现有带宽潜力,让有限的广域网链路容纳更多的应用和数据,避免带宽升级成本。
单边TCP优化、对象缓存、数据压缩、字节缓存技术的全面使用极大地缩短了应用响应时间,提高了应用在广域网的传输速率,带给用户突破性的体验。单边TCP优化的加速效果达到2至5倍,数据压缩、缓存的加速效果一般达到几十倍甚至几百倍。
完全透明的接入模式不修改用户网络结构。加速模块的“一键开关”设置降低了用户配置管理的复杂性。基于网络层的加速、压缩对应用完全透明。内置Bypass在设备出现软硬件故障时快速自动切换到直通状态。多设备部署时,不需要对“对端设备”做任何配置,设备之间也不需要做任何隧道配置,便于轻松扩展并实现大规模自动部署。多设备自动探测技术实现多设备自动协调工作达到最优效果。
前面我们已经提到在物理环境下或者云环境下都存在大量的信息化应用。随着信息技术的飞速发展,近几年各企事业单位也加快了其信息化建设的步伐。经过多年的信息化建设大量的信息化应用系统在政府、军工、军队以及金融、证券、电力、石油、运营商等等政企与大中型企业中得到了广泛的应用。信息化应用系统依靠大量的网络设备、实体或者虚拟的服务器以及各种类型的终端设备来提供基础网络服务、运行关键业务,提供协同工作、电子政务、电子商务、数据应用等服务。正是由于信息化应用时基于大量的设备、服务器以及终端设备,给IT管理者带来了空前的管理困扰与压力。越权访问、误操作、信息扩散、恶意破坏等情况时有发生,严重影响各政企单位的正常运行,轻者导致企业经济损失,重者导致严重的社会不良影响,甚至危害国家安全。
针对在信息化应用安全管理过程中存在的诸多问题以及安全风险,1995年国际网安界最早提出4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台解决方案概念,正式将统一用户管理作为整个网络安全的基础及不可或缺的组成部分,即将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了统一用户管理在整个网络安全系统中的地位与作用。2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其中要求企业的经营活动、企业管理、项目与投资等都要有控制和审计手段。
在国内,2007年由公安部、国家保密局、国家密码管理局、国务院信息工作办公室四部门联合印发了《信息安全等级保护管理办法》,为我国信息系统等级保护工作的迅速展开起到了有力的促进作用。配合该《管理办法》的发布,一系列相关国家标准也进入紧锣密鼓的制定和审批当中。如:《信息系统安全等级保护基本要求》(以下简称《基本要求》)、《信息系统安全等级保护-定级指南》、《信息系统安全等级保护-实施指南》、《信息系统安全等级保护-测评准则》等。其中《基本要求》针对每个等级的信息系统提出相应安全保护要求,按照《基本要求》进行保护后,信息系统达到一种相对安全的状态,即具备了相应等级的信息安全保护能力。根据这些规范与要求,单靠管理人员人工时根本无法完成的,因此,管理人员需要使用有效的技术手段和专业的技术工具根据相关规范与标准进行安全管理,实现对内部信息化应用细粒度、严格管理,实现可以控制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的安全运行带来威胁。
如何提高信息化应用与运维管理水平,保证信息化应用的安全运行与使用,同时降低运维成本,提高运维与管理效率,满足相关管理规范的要求,成为了各政企单位高度关注并急需解决的问题。
为了加强对各应用系统使用者身份的管理,加强系统管理员对应用系统访问人员的审计和管控,实现对各应用系统访问者的识别和行为的抗抵赖,需要采取更强的身份认证措施。统一用户管理平台功能架构如下图所示:
统一用户管理平台功能架构
在实际的系统建设实施过程中,用户只需要在总部集中部署统一认证网关、身份管理套件(包括RA、CA、账号、授权等)、网络审计系统、数据库审计系统以及日志审计系统等;分支机构部署统一认证网关、RA系统、网络审计系统等。统一认证网关为用户访问业务应用系统的集中入口,认证通过后用户可以访问被授权的相关业务应用,对业务系统、数据库、网络设备等相关资源的访问操作行为都将被审计并形成记录,以供事后事件分析、取证与责任认定。
网络部署架构如下图所示:
网络部署架构图
其整体效果有以下几点:
1) 实现以强身份认证为基础的统一身份管理。各个应用系统采用基于X.509数字证书的强身份认证方式,有效提升了认证强度,构建针对应用层面的信息安全基础保障措施,创建统一的账户管理机制和平台,面向不同的应用系统和用户提供统一的、一致的身份管理服务和身份认证服务。
2) 实现了单点登录。实现信息系统帐户与自然人的唯一绑定,每一个用户在所有系统中以统一的身份进行各种业务操作,无须记忆大量的帐户名和口令,使管理维护便捷的同时,也为行为审计提供了有效、可靠的手段。
3) 实现业务数据的安全传输功能。通过采用SSL数据加密技术避免数据传输过程中被窃取、盗用或篡改。
4) 实现了全方位行为实名审计。建立起集中的行为监控机制,及时跟踪、审计使用者对资源的访问、使用情况,并对非授权访问或数据篡改等行为进行跟踪、审计监控与事后回放取证。
5) 通过事前用户身份标识、授权,事中集中访问控制,事后全方位审计监控,形成有效的合规业务过程,满足内部安全管理要求与外部合规要求。
其实,无论是前面我们所提到的对终端的安全管理,还是对云端的安全管理以及整个业务应用的统一安全管理,除了确保资源能被合法使用,行为过程合法之外,更重要的就是确保各政企单位的核心、敏感信息不被泄露。数据是信息的载体,所以我们认为任何的信息安全都是为了数据安全服务的。
针对云端或服务器端数据存储量大、数据稳定性要求高、存储性能要求高、数据透明化不影响使用等特点。云存储安全管理系统结合以上要求与特点进行设计,构建云端数据安全保障体系架构,如下图所示:
云安全存储设备
云安全存储具有以下特点:
1) 软硬一体化结构,除了是备份服务器外,还内置了数据备份管理软件,并包含了存储介质。一套设备即可将备份服务器、备份管理软件、存储介质三者合一,更加经济实用。
2) 设备采用Raid保护机制,当设备磁盘发生故障时,只要直接热插拔替换磁盘即可,不存在需要停机带来业务的中断。
3) 具备重复数据删除能力,它会将所要备份的数据拆分为若干个数据块,对这些数据块进行冗余检查,将其与已经存在于存储介质上的数据进行比对,对于重复的数据只保存一份,节省用户的磁盘空间,也能缩短备份与恢复的时间,最大限度的节省用户的经济成本与时间成本。
4) 具备远程互备功能,两台以上的备份存储系统数据备份设备可以实现远程互备功能,任意两台备份存储系统数据备份设备都可以作为发送端与接收端进行相互的远程备份,实现异地容灾,使数据更加安全。
5) 图形化管理所有存储设备、备份策略及备份作业的监控、日志。
6) 备份策略的灵活定制,包括:全备份、增量备份、差分备份等多种备份方式,并且针对不同的备份方式提供不同的备份策略、支持备份策略规则的共享。
7) 在备份存储系统数据备份设备端,统一对整个网络环境的数据库、文件数据进行配置、管理和控制。
8) 提供基于日历、天、星期、月等周期性的自动备份功能,同时支持在特定情况下由用户触发的手动或脚本触发的自动备份。
9) 支持多种数据库(如Oracle、SQL Server等)的在线备份。
终端里面重要的数据、文档或历史记录,不论是对企业用户还是对个人用户,都是至关重要的,一时不慎丢失,都会造成不可估量的损失,轻则辛苦积累起来的心血付之东流,严重的会影响企业的正常运作,给工作造成巨大的损失。
1) 安全桌面数据防泄密
在虚拟安全桌面的基础上,采用了多种管理手段结合的方式保护数据在生成、存储、交互、使用过程中的安全环节控制。
a) 采用虚拟磁盘加密技术保证本地磁盘数据安全,从而可以防止克隆硬盘数据、偷窃硬盘和私自重装系统躲避安全控制实现的数据泄密。
b) 通过网络虚拟化技术实现在网络访问中终端数据安全的。为不同的应用组建不同的虚拟网络,制定不同级别的安全策略,从根本上解决网络安全问题成为可能。
c) 通过移动存储介质管理功能对移动存储介质进行安全管控,并对终端的相关外设进行管控,从根本上解决数据的外发管理。
2) 虚拟化存储
对于在安全桌面上产生的数据(包括文档、配置、临时文件等),使用加密通道重定向至网络存储,由此确保关键的数据不在终端存储,另外还能达到一个“桌面跟着人员走”的效果。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号