《2022年2022年精选-信息安全-深信服安全感知平台解决方案模板 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年精选-信息安全-深信服安全感知平台解决方案模板 .pdf(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1. 目概况1.1 项目名称XXX 单位安全态势感知项目、 XXX 单位内网安全监测、 XXX 单位全网安全可视化项目等等1.2 编制依据以下标准作为参考,根据项目实际情况进行增删1)国家信息安全法规与技术标准文档中华人民共和国网络安全法“十三五”国家信息化规划(国发201673 号)信息系统安全等级保护基本要求(GB/T 22239-2008 )信息系统安全等级保护定级指南(GB/T 22240-2008 )信息安全技术信息系统通用安全技术要求(GB/T 20271-2006 )信息安全技术信息系统安全管理要求(GB/T 20269-2006 )信息安全技术信息系统安全工程管理要求(GB/T
2、 20282-2006 )信息安全技术网络基础安全技术要求(GB/T 20270-2006 )国务院关于大力推进信息化发展和切实保障信息安全的若干意见国家信息化领导小组关于加强信息安全保障工作的意见2)本省 /集团公司政策文件xx 省电子政务发展规划( 2014-2020 )xx 省电子政务信息安全管理暂行办法1.3 建设目标、建设内容和建设周期本项目的建设目标是:强化xx 单位网络信息安全监测预警能力,主要解决当前 xx 网络的信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高xx名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -
3、- - 名师精心整理 - - - - - - - 第 1 页,共 33 页 - - - - - - - - - 网络突发安全事件监测和预警能力,实现整体网络的安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。通过部署监测管理平台、网络安全监测探针等,实现有效发现未知威胁攻击,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。本项目的主要建设内容有:安全感知系统建设;监测预警响应服务;其他计划整体打包交付的安全能力:本项目的建设周期x 个月,从 xxx 年 xx 月至 xxx 年 xx 月, 监测预警和响应服务将延续到项目实施并验收通过后的x 年
4、。1.4 总投资估算本项目总投资估算xx 万元,其中软硬件设备投资xx 万,集成和服务费xx 万。1.5 文档结构安排本方案重点介绍 xx 单位安全态势感知项目建设相关内容,全文结构如下:第 2 章从用户现状、行业现状和安全管理等方面对项目建设需求进行分析;第 3 章基于现状分析提出我司的安全感知理念;第 4 章阐明系统设计方案的主要内容和技术原理;第 5 章进一步回顾方案的主要价值和优势;第 6 章为初步的报价估算。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 33
5、页 - - - - - - - - - 2. 需求分析2.1 用户信息化和安全建设现状分析2.1.1 信息化建设现状与分析 2.1.2 信息化安全建设现状分析 例如:国务院 2016 年 12 月 27 日印发的“十三五”国家信息化规划(国发201673 号),提出要“健全网络安全保障体系”、要“全天候全方位感知网络安全态势。加强网络安全态势感知、监测预警和应急处置能力建设”。2.2 行业现状和攻防对抗需求分析2.2.1 传统威胁有增无减、新型威胁层出不穷随着网络的发展, 互联网已经逐渐成为人们生活中不可或缺的重要依靠,但信息安全的问题也随之越来越严峻。近几年来,信息安全问题已经成为业界关注和
6、讨论的热点,目前,木马、僵尸网络、钓鱼网站等传统网络安全威胁有增无减,分布式拒绝服务( DDOS 攻击)、高级持续威胁(APT 攻击)等新型网络攻击愈演愈烈。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 33 页 - - - - - - - - - 面对如今越发严重的安全形势, 传统的安全体系也面临巨大的挑战。 数据显示,十几万家企业发生数据泄露,五百强中近一半的企业都在内,因为安全事件影响到众多高管引咎辞职离开公司。这都是由于APT 高级持续性攻击导致的, APT 攻
7、击以其独特的攻击方式和手段,使得传统的安全防御工具已不足以进行有效的防御。APT 攻击不是一个整体,而是将众多入侵渗透技术进行整合而实现的隐秘性的攻击手法,可以在很长一段时间内逐步完成突破、渗透、窃听、偷取数据等任务,其体现出两方面的特点“针对性”和“持久性”。APT 攻击的主要目标行业有政府、军队、金融机构、电信等行业,主要途径是通过电子邮件、社交网站、系统漏洞、病毒等一系列方式入侵用户电脑。企业不能防御 APT攻击,主要是因为无法检测到 APT攻击的方式和手段, 因为APT 攻击是未知威胁,无法确定它的攻击路线和渠道,它有很强的隐蔽性和持续性,它可以潜伏在电脑中很长时间不被发现。国外研究机
8、构对重大安全事件进行了调查,得出的结论是: 不计算前期侦察与信息获取的过程,攻击者从实施攻击到入侵得手仅需花费数小时的时间,相比之下,84%以上的单位需要花上数周甚至超过一个月的时间才能发现黑客攻击,随后还需要数天至数周的时间完成响应和处置工作。2.2.2 已有检测技术难以应对新型威胁传统的防御措施主要是依靠防火墙技术、入侵检测技术防病毒技术, 任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这三样,传统的防御虽然起到了很大的作用,但还是面临着许多新的问题。首先,用户系统虽然部署了防火墙,但仍然避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。并且未经大规模部署的入侵检测单个产
9、品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。其次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法入侵、补丁管理以及合规管理等方面。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 33 页 - - - - - - - - - 所以说,虽然传统的防御仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处,因为它已经无法检测和防御新型攻击。简单的说,网络攻击技术已经超过了目前大多数企
10、业使用的防御技术。2.2.3 未知威胁检测能力已经成为标配Gartner 公司的 2016 年信息安全趋势与总结中提出,当前我们所知道的关于安全的一切都在变化:常规路线逐渐失控;所有的实体需要识别潜在的攻击者;大量的资源将会组合使用;常规安全控制手段逐渐失效;需要从以堆叠来保护信息的方式进行改变;入侵、高级持续性攻击极难被发现。在Gartner 2016 年信息安全趋势与总结 中提出:传统的安全手段无法防范APT 等高级定向攻击;随着云计算、BYOD 的兴起,用户的 IT 系统将不在属于用户自己所有或维护管理;仅仅靠防范措施是不能够应对安全威胁,安全监控和响应能力是企业安全能力的一个关键点;没
11、有集体共享的威胁和攻击的情报,单个企业将无法保卫自己。报告中还发表了一个数据,预测2020 年,60%的企业信息安全预算的将用于快速检测和响应方面,而2013 还不到 10%。2.3 现有安全体系的不足分析之所以难以及时发现黑客入侵的主要原因可以总结为“业务运维管理风险” 和“难以发现潜伏威胁隐患”,继而由此产生了的安全技术保障体系和安全治理管理体系的脱节,简单堆砌的防火墙、入侵检测、防病毒等产品无法提供管理决策所需的数据支撑,缺乏对整体安全感知能力,而管理决策体系确定的安全策略也缺乏对应的抓手却检测是否真正实现和落地了。2.3.1 业务运维管理风险信息安全保障的是核心业务和数据资产,如果我们
12、都不清楚被保护的主体包含了哪些系统、哪些资产以及他们之间是如何交互、如何互相访问的,那么就谈不上建立针对性的安全保障体系。越来越多的黑客攻击已经开始基于业务逻辑和业务流开始构建自己的攻击过程,例如著名的孟加拉央行劫案,都不是通用安全防名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 33 页 - - - - - - - - - 护设备能够应对的;而来自恶意内部员工的窃密和攻击,多数时候甚至都不是严格意义上的网络攻击行为,更加无法依赖标准化交付的安全产品实现。缺乏有效手段主动
13、识别新增业务过去的 IT 管理需要大量管理设备与专业人士进行业务资产的识别与梳理,很多情况下要发现新增业务资产往往只能依赖定期的安全巡检,效率不高且滞后。如果不能通过自动化的手段对新增业务资产及其开放端口、使用协议、系统配置信息进行识别,以及对关键业务访问关系及其流量模型的可视化呈现,那么管理人员手里的资产台账永远都只是过去时态,难以应对安全事件分析的需求。看不清的新增资产产生安全洼地关键 IT 资产的梳理和清单目录是许多IT 运维人员最头疼的问题,特别是随着IT 资产逐步向虚拟化迁移,新增部署一台虚拟机往往只需要数分钟的时间,而在服务器上开启服务或者端口的管控机制也不健全。看不清的新增资产会
14、因为缺少安全检查与访问控制,成为攻击者攻入关键业务区的跳板;看不清的资产配置信息及开放的服务端口,会由于缺乏安全访问规则的控制,成为远程接入的最佳途径;看不清的资产漏洞,会由于没有适当的安全加固,最简单的攻击代码就能轻易攻陷这些机器。看不清的业务关系使业务安全防护失效目前大部分安全防护的重点均停留在网络与应用系统侧,对业务与数据访问的防护还不健全。黑客在突破和绕过边界以后,往往利用合法用户的计算机与身份对数据库、财务系统、客户关系管理系统等关键资产进行非法访问、数据窃取与资产破坏行为。而这些访问往往只是正常的增删查改操作,并不需要借用攻击代码或恶意软件,传统基于网络和应用系统的防御措置往往无法
15、识别。2.3.2 难以发现潜伏威胁隐患近年来,来自外部的攻击手段也变得更高级、更迅速、更隐蔽。IT 业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量,安全边界变得越发模糊; APT、0-day 病毒、 0-day 漏洞、恶意软件欺骗与混淆、沙箱逃逸等名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 33 页 - - - - - - - - - 技术的利用成为绕过传统防御的最佳手段;而攻击工具集、攻击即服务的兴起让攻防的天平愈加失衡。看不见的内部横向攻击近年
16、来,来自外部的攻击手段也变得更高级、更迅速、更隐蔽。IT 业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量,安全边界变得越发模糊; APT、0-day 病毒、 0-day 漏洞、恶意软件欺骗与混淆、沙箱逃逸等技术的利用成为绕过传统防御的最佳手段;而攻击工具集、攻击即服务的兴起让攻防的天平愈加失衡。看不见的违规操作攻击者的行为往往不是以病毒、漏洞利用等明显的恶意特征出现。攻击者会通过社会工程学、 钓鱼、以失陷主机为跳板等手段获取高级管理员的账号与权限;内部潜藏的恶意用户也会通过窃取、窥探等手段获得合法权限。传统的安全设备对伪装成合法用户的攻击者的检测是失效的,如非授权用户对关键
17、资产的违规访问、授权用户在非授权时间/地点对关键资产的违规访问、授权用户对资产的非授权操作(如批量下载,批量加密,非法修改等),均不能被有效的发现与识别。看不见的异常行为攻击者在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链中,会将关键文件进行打包加密甚至隐写,所有的网络会话也会在加密通道上传输,而会话维持以及远程控制服务器的通信会夹杂在代理、VPN 隧道、NTP、DNS 等正常网络协议中混淆视听,从而隐藏自己的攻击行为。在看不见的环境中与黑客较量无异于遮住眼睛与人搏斗,只有看清了全网业务和流量,对内部的攻击行为、 违规操作和异常行为进行持续检测,利用威胁情报、流量监测、机器学习等核心
18、技术有效识别内网中潜伏的威胁,才能通过可视化平台将这安全状态实时地展现给安全部门,从而让内鬼和黑客无所遁形。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 33 页 - - - - - - - - - 2.3.3 缺乏整体安全感知能力安全技术保障体系和安全治理管理体系的脱节,主要是指安全组件发现的安全问题缺乏相应的检测分析能力和追溯能力,无法提供有效的事件应对处置闭环;而安全治理所需系统状态、安全态势也缺乏相应的感知和可视手段,无法实现真正的看到和看懂。图2-1 传统的安
19、全体系缺乏看到看懂的感知环节事后难以追溯取证市面上绝大多数网络安全类产品只能保持HTTP、DNS 等常见应用日志的记录,而 ARP 请求、数据包和特殊的网络行为则无法存储和识别。这将导致日志记录太过单一,引起文件误报等行为,给用户决策带来干扰。其次,在追溯网络犯罪过程中没有原始的数据包作为支撑,当我们故障排查的时候很难准确定位问题环节,阻碍深入追溯分析的进行,给攻击目标带来无法挽回的损失。单点检测管中窥豹现如今的安全防御软件检测方式单一。如传统防火墙根据一定格式的协议对文件访问进行过滤,不能防范攻击者IP 欺骗攻击;反病毒软件根据病毒特征或者黑白名单判断文件攻击性,无法阻止变种软件攻击等。而当
20、前新型病毒具备多样性和高度隐藏功能,能够在不同的环境中通过合理的变形和伪装躲避反病毒软件的查杀,最终侵入系统核心部位爆发。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 33 页 - - - - - - - - - 这些新型攻击手段, 显然需要防御者能够综合分析多维度的信息,进行综合判断才能进行及时的检测和处置。传统 SOC 存在局限传统的安全管理中心( Security Operations Center,SOC)无论在技术层面上还是管理层面上都无法达到预期的效果。绝大
21、多数 SOC 功能仅仅停留于各类设备日志的收集上,如:路由器、防火墙、交换机、数据库的日志,更谈不上数以千计的安全软、硬件产品的集中综合管理。其定义与实际功能严重不符,SOC 平台仍然还需要向用户进一步证明其可扩展性、对安全事件的挖掘能力和趋势分析,以及用户的投资回报( Return On Investment ,ROI)。3. 建设方案3.1 设计原则数据为核心的业务流程驱动原则:网络安全相关的要素数据是态势感知与通报预警的核心,同时结合公共网络安全监察、重大活动安全保障、网络安全事件通报预警的业务流程,构建平台的业务应用。标准兼容性原则:依据安全监察相关标准开展监管工作,遵循统一的数据标准
22、规范进行数据信息的处理分析工作,依据操作规程进行业务的操作,依据管理制度进行平台的使用及运维,标准兼容性是平台建设考虑的前提原则之一。安全性原则:必须保证平台自身的安全性,并采用全方位的安全设计,确保平台自身和数据的安全性,防止非授权用户的非法使用。可靠性原则:选择成熟技术是保证系统可靠性重要手段。在保证技术先进性的同时尽量采用现有成熟的技术及产品。易用性原则:平台需提供良好的人机交互模式,最大程度方便所有用户的使用。并采用规范化的流程控制手段,方便网信业务的开展。可扩展性原则:为适应将来业务工作发展的需要以及未来上级网信办与社会单位之间协同联动的需要, 平台需具有良好可扩展性, 能够快速定制
23、新的业务功能,快速实现平台的协同联通,以确保系统投资长期有效。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 33 页 - - - - - - - - - 先进性原则:在保证易用性、可靠性前提下,平台引入云计算、大数据等先进技术,同时预留新型信息应用网络安全检测预警接口,保持平台的先进性。3.2 建设内容通过部署安全感知系平台,对网络中各个节点的流量和安全数据进行采集,以大数据分析为基础,结合威胁情报、行为分析建模、UEBA 、关联分析、机器学习、大数据关联分析、 可视化
24、平台等技术精准检测安全威胁,深度可视安全风险,全面感知安全态势,实现安全架构从被动防御到主动防御的升级,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。3.3 安全感知系统3.3.1 系统架构通过潜伏威胁探针、 全网安全感知可视化平台、 深信服安全服务云平台构成持续检测快速响应的技术架构:图 4-1 安全感知平台系统架构? 潜伏威胁探针(STA) :在核心交换层与内部安全域部署潜伏威胁探针,通过网络流量名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -
25、 第 10 页,共 33 页 - - - - - - - - - 镜像在内部对用户到业务资产、业务的访问关系进行识别,基于捕捉到的网络流量对内部进行初步的攻击识别、违规行为检测与内网异常行为识别。探针以旁路模式部署,实施简单且完全不影响原有的网络结构,降低了网络单点故障的发生率。此时探针获得的是链路中数据的“拷贝”,主要用于监听、检测局域网中的数据流及用户或服务器的网络行为,以及实现对用户或服务器的TCP 行为的采集。? 安全感知平台(SIP) :在内网部署安全感知平台全网检测系统对各节点安全检测探针的数据进行收集,并通过可视化的形式为用户呈现内网业务资产及针对内网关键业务资产的攻击与潜在威胁
26、;并通过该平台对现网所有安全系统进行统一管理和策略下发。? 深信服安全服务云:通过深信服云平台,提供未知威胁、威胁情报、在线咨询、快速响应等安全服务。? 深信服下一代防火墙(AF) :AF 一方面提供所在区域的防御能力,同时对经过的所有流量进行全流量分析,将有效的安全数据同步给SIP 进行统一的汇总分析。? 深信服上网行为管理(AC ) :AC 将上网行为及身份信息同步给SIP 进行统一的汇总和分析,帮助快速定位到存在安全风险的用户身份。? 终端安全插件 (EDR ) : EDR 讲采集到的终端安全信息同步给SIP , 一旦 SIP 发现威胁,SIP 将具体威胁的信息(URL 、端口、行为等)
27、下发给EDR ,EDR 对恶意进程进行隔离和查杀。? 其他安全组件:安全感知系统可以对深信服主流的安全产品,包括DAS 、日志审计系统等设备和系统进行日志统一关联和事件联动处置。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 33 页 - - - - - - - - - 3.3.2 组件实现全网安全感知平台主要由威胁潜伏探针、安全感知系统两部分组成, 同时支持和深信服其他安全设备无缝对接,并提供基于深信服安全服务云的深度分析、威胁关联和服务响应能力。威胁潜伏探针构筑在6
28、4 位多核并发高速硬件平台之上,采用自主研发的并行操作系统(Sangfor OS) ,将转发平面、安全平面并行运行在多核平台上,多平面并发处理,紧密协作,极大的提升了网络数据包的安全处理性能。安全感知系统利用大数据并行计算框架支撑关联分析、流量检测、机器学习等计算检测模块,从而实现海量数据分析协同的全方位检测服务。3.3.2.1 潜伏威胁探针? 分离平面设计威胁潜伏探针通过软件设计将网络层和应用层的数据处理进行分离,在底层以应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发,从而实
29、现高效、可靠的数据报文处理。? 多核并行处理威胁潜伏探针的设计不仅采用了多核的硬件架构,在计算指令设计上还采用了先进的无锁并行处理技术,能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分优异,是真正的多核并行处理架构。? 单次解析架构威胁潜伏探针采用单次解析架构实现报文的一次解析一次匹配,有效的提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离,将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测,减少冗余的数据包封装,实现高性能的数据处理。? 跳跃式扫描技术威胁潜伏探针利用多年积累的应用识别技术,在内核驱动层面
30、通过私有协议将所有经过探针的数据包都打上应用的标签。当数据包被提取到内容检测平面进行名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 33 页 - - - - - - - - - 检测时,设备会找到对应的应用威胁特征,通过使用跳跃式扫描技术跳过无关的应用威胁检测特征,减少无效扫描,提升扫描效率。比如:流量被识别为HTTP流量,那么 FTP server-u 的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。? 流量记录能够对网络通信行为进
31、行还原和记录,以供安全人员进行取证分析, 还原内容包括: TCP 会话记录、 Web 访问记录、 SQL 访问记录、 DNS 解析记录、文件传输行为、 LDAP 登录行为。? 报文检测引擎可实现 IP 碎片重组、 TCP 流重组、应用层协议识别与解析等,具备多种的入侵攻击模式或恶意URL 监测模式 ,可完成模式匹配并生成事件,可提取URL 记录和域名记录,在特征事件触发时可以基于五元组和二元组(IP 对)进行原始报文的录制。? Sangfor Regex正则引擎正则表达式是一种识别特定模式数据的方法,它可以精确识别网络中的攻击。经深信服安全专家研究发现,业界已有的正则表达式匹配方法的速度一般比
32、较慢,制约了探针的整机速度的提高。 为此,深信服设计并实现了全新的Sangfor Regex正则引擎,将正则表达式的匹配速度提高到数十Gbps,比 PCRE 和 Google 的RE2 等知名引擎快数十倍,达到业界领先水平。深信服威胁潜伏探针的Sangfor Regex 大幅降低了 CPU 占用率,有效提高了威胁潜伏探针的整机吞吐,从而能够更高速地处理客户的业务数据,该项技术尤其适用于对每秒吞吐量要求特别高的场景,如运营商、电商等。3.3.2.2 安全感知平台? 资产业务管理按照功能划分, 内网设备可分为资产和业务。 安全感知平台可以主动识别内网资产,主动发现内网未被定义的设备资产的IP 地址
33、,无需用户进行繁琐的统计和名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 33 页 - - - - - - - - - 录入,节省用户时间。资产配置详情展示模块,可以识别内网服务器资产的IP 地址,操作系统,开放端口以及传输使用协议和应用。业务与资产关系展示模块,能够按资产 IP 地址/地址段,组合成为特定的业务组。? 内网流量展示访问关系展示模块,通过访问关系学习展示用户、业务系统、互联网之间访问关系,能够识别访问关系的who、what、when、how。通过颜色区分
34、不同危险等级用户、业务系统。内网违规访问、攻击行为、异常流量的图形化展示,展示内网针对不同业务资产的正常访问、违规访问、攻击行为、异常流量,并用不同颜色加以区分,让用户查阅更直观。? 监测识别知识库安全感知平台内建的检测识别知识库,涵盖的应用类型超过1100 种,应用识别规则总数超过 3000 条,具备亿万级别URL 识别能力;知识库涵盖的入侵防护漏洞规则特征库数量超过4000 条,入侵防护漏洞特征具备中文介绍,包括但不限于漏洞描述、漏洞名称、危险等级、影响系统、对应CVE 编号、参考信息和建议的解决方案;知识库具备独立的僵尸主机识别特征库,恶意软件识别特征总数在50 万条以上。? 日志收集和
35、关联安全感知平台可以收集和分析深信服公司的下一代防火墙(NGAF )、端点安全系统( EDR)相关日志和告警信息,并进行相应的分析和关联,同时对于平台分析发现的安全隐患,也可以迅速调用这些防护系统阻断和查杀响应的安全隐患和攻击代码。对于支持 syslog 的第三方安全设备,平台同样支持相关日志的搜集、存储和查询服务。? 可视化平台全网攻击监测可视化平台支持安全态势感知,对全网安全事件与攻击的地图展现与可视化展现。按攻击事件、攻击源、攻击目标、攻击类型、危害级别进行统计与展示。可视化平台支持全网业务可视化,可以呈现全网业务对象的访问关系名师资料总结 - - -精品资料欢迎下载 - - - - -
36、 - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 33 页 - - - - - - - - - 与被入侵业务的图形化展示。支持用户自定义的业务资产管理的可视化。支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描)。业务外连监控大屏,展示资产、业务被外网攻击的实时动态地图,图形化大屏展示。分支安全监测,能够以地图拓扑的形式展示分支机构/被监管机构的安全状态,对风险状态进行排名并罗列分支机构/被监管机构的安全趋势。安全日志展示支持所有安全设备的安全日志汇总,并能够通过时间、类型、严重等级、动作、区域、IP、用户、特征/
37、漏洞 ID、 回复状态码、域名/URL、 设备名称等多个条件查询过滤日志。? 风险可视化基于等保部分要求, 展示以用户组为粒度的风险详情及对业务系统的影响情况,风险用户可视化对高危用户进行可视化展示,对高危用户的风险操作、 攻击行为、违规行为、影响业务进行可视化展现,并按确定性分类为失陷用户、高危用户、可疑用户。风险业务可视化,对高危业务进行可视化展示,对业务的有效攻击、篡改、后门的攻击路径进行图形化和可视化的展示,并按确定性分类为失陷业务、高危业务、可疑业务。? 大数据分析引擎大数据分析引擎负责实现各类检测能力及大数据关联分析能力。该引擎由数据预处理、数据融合、模型构建、模型融合、分析结果生
38、成等主要模块构成,以MapReduce 为底层计算框架、 以 MLib 和 Tensorflow 作为主要机器学习框架, 实现了 SVM、贝叶斯网络、随机森林、 LDA、DGA 、马尔科夫聚类、 iForest 、RNN等关键机器学习算法,从而支撑UEBA 、失陷主机检测、及大数据关联分析等安全能力。? 管理功能管理功能由多个模块组成。 登录模块支持用户身份安全认证模式,多次登录失败将锁定账号 5 分钟内不得登录,支持用户初次登陆强制修改密码功能;升级模块支持在线升级和离线升级两种升级方式,并支持定时自动升级,平台统一管控探针的升级;用户管理模块支持新增并管理用户,可控制用户使用权限,权限包括
39、读取和编辑;时间管理模块支持时间同步,支持NTP V4.0 协议;网络管理模块提供网络管理功能,可进行静态路由配置; 设备管理模块可实时监控设备的CPU、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 33 页 - - - - - - - - - 内存、存储空间使用情况,能够监控监听接口的实时流量情况;数据管理模块可以分析统计 1 天或 1 周时间内的文件还原数量情况及各个应用流量的大小和分布情况。3.3.2.3 文件威胁鉴定系统(可选)提供软件版本,对接安全感知平台,
40、用于提供文件威胁、邮件威胁检测能力。创造性的将国内外知名的小红伞、火绒、Clamav 这三个静态分析引擎与深信服自研的机器学习引擎( SAVE )进行深度结合,对探针从流量中还原的文件(由平台传递)进行静态的威胁鉴定, 在提升检测率的同时结合各家所长来抑制误判。针对 APT 攻击等未知威胁,内置的沙箱系统可对文件进行动态行为分析,提取异常行为,结合风险行为规则来为未知文件进行威胁评分,输出可视化的文件分析报告,为分析人员提供依据。注:没有该组件, 平台亦可以通过威胁情报关联和行为分析等来识别文件和邮件威胁。该组件可提升在已知威胁变种及未知威胁的检出率。3.3.2.4 其他组件?下一代防火墙深信
41、服下一代防火墙NGAF 提供 L2-L7 层安全可视的全面防护,通过双向检测网络流量,有效识别来自网络层和应用层的内容风险,抵御来源更广泛、危害更明显的应用层攻击。?端点安全系统深信服终端安全响应平台,针对终端主机的安全进行有效防护。以此作为组件,可以采集来自服务器 /办公 PC 的主机安全日志,增加安全感知平台的端点分析、溯源取证能力,同时结合EDR 的病毒查杀能力,可实现安全感知平台的问题处置闭环。?SSL VPN 设备深信服 SSL VPN 设备,作为组件接入平台后, 可同步网络中SSL VPN 的用户日志、管理日志到安全感知平台。SSL VPN 数据接入后, 发生安全事件时可识别出通过
42、VPN 接入对应的终端,如果发生严重事件,并且可以通知使用人下线。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 33 页 - - - - - - - - - ?云眼深信服云端网站安全监测服务,对互联网业务提供持续的风险评估+实时监测 +篡改处置+应急对抗服务。作为安全感知平台的组件来进行网站漏洞扫描、可用性及篡改监测,对已发生的篡改可进行快速切断。?云镜深信服本地漏洞扫描产品,本地化方式对内部网络所有资产进行扫描来发现脆弱性风险。作为安全感知平台的组件时提供内部网络所
43、有资产的主动脆弱性扫描发现能力。3.3.3 方案功能设计从网络安全建设的角度看, 过去的网络流量可以说是非黑即白, 黑即风险流量,白即安全流量,防火墙类边界防护设备的黑白名单过滤配合基于特征的方法就能拦截大多数威胁。然而随着互联网接入设备的日益增加、网络结构的日益复杂,网络环境出现了越来越多的可利用弱点,黑客攻击的方式也在不断改进和变异,形成了黑和白之间的灰色区域,并且规模仍在不断扩大。传统方法难以有效发现灰色区域中潜在的风险,对此我们采取了一种应对未知威胁的关键技术,通过这些技术可以更快更准的发现黑客入侵的踪迹,从而将黑客的攻击计划扼杀在摇篮之中。针对黑客攻击特点的设计实现,统筹考虑黑客攻击
44、链的每个环节,是在黑客攻击手段不断升级的今天监护内网安全态势、保障企业网络安全的不可或缺的关键能力。3.3.3.1 大数据平台处理架构平台采用分层的大数据处理结构设计,从数据采集到最终的数据分析呈现形成完整的处理逻辑过程。层次划分如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 33 页 - - - - - - - - - 数据采集层采集包括终端数据、 流量采集、中间件数据、第三方设备日志、 威胁情报对接。该层提供多种接口进行流量、日志数据的采集和对接,支持sysl
45、og 、webservie 、restful api、wmi等方式采集。数据预处理层对采集的数据进行预处理,包括数据清洗、数据归并、数据富化,最终数据转换为平台可理解的格式化数据,以文件的形式进行存在,等待分析。大数据分析层读取经过预处理后的数据进行离线计算,或读取ES (Eleastic Search)数据进行实时机算。在此进行全网安全数据的检测、分析和统计,并结合威胁情报、行为分析、智能分析等技术,发现安全威胁现状,同时,内置的多条安全关联规则可将数据进行归并告警。数据存储层分析数据和结果存储在ES引擎(Eleastic Search)中,可提供快速的检索能力。 同时, 对用于近期需要快速
46、呈现的统计结果数据存放到MongoDB , 可快速读取,相比 ES引擎无需渲染和消耗内存。数据服务层名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 33 页 - - - - - - - - - 基于 APP的方式设计整个数据可视化的展示,基于从数据存储层获取数据的接口,读取展示数据,提供各种数据的安全可视服务及对外接口服务。可视化使用 ext 作为 JS 框架,基于 ECharts 作为图形库,以 vue 架构作为大屏可视化呈现支撑。?大数据分析支撑: 参考 hadoo
47、p 计算框架,使用了Hadoop MapReduce并行计算框架来进行并行处理,具备可靠性和容错性, 同时为大规模集群部署和海量数据集分析提供支撑。使用ElasticSearch 结构引擎(大数据分析通用引擎)为基础元数据、分析数据、分析结果提供了快速检索能力。?高性能处理能力 :基于上述框架特性,可得到高性能的分析能力。同时基于服务器硬件设备作为基础运行设备,具备高性能分析能力, 达到每天亿级实时日志分析,约合3TB 左右数据,同时支持亿级日志秒级查询。性能要求指标:单机支持20000+EPS 数据入库,单机支持 100000+eps 数据分析, 32G 内存下支持 100 亿数据秒级查询?
48、计算与存储扩展能力 :基于 hadoop 计算框架,可支持基于数据库等的集群部署模式,横向的集群扩展大大提升了大数据平台的存储空间及分析性能。需具备如下特性:支持64 台分析平台横向集群扩展,支持32 台分析平台纵向分级级联,数据自动均衡,分布式存储,可选多副本提高数据容错3.3.3.2 资产识别与脆弱性评估资产自动发现:以主动 +被动的形式相结合,自适应的识别内网网段和外网网段的终端、服务器等。服务器信息识别: 自动识别服务器的资产信息, 如操作系统、 开放的端口等,可用于发现影子资产, 或配合定期巡检, 可避免业务频繁更新带来的安全问题(如遗漏、漏配等)。风险端口 /应用:识别服务器资产开
49、放的风险端口及端口被使用情况(如标准端口跑非标准协议),识别因暴露风险应用访问方式(如RDP、SSH、数据库)被非法连入的情况,即使非标准端口亦能识别具体应用。组织结构层级划分:对分支单位等进行多级维度的划分,并可对资产进行划名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 33 页 - - - - - - - - - 分,自定义设置资产的属性,方便定位资产并进行管理。配置的组织层级情况还与全网安全态势感知展示相结合,展示整体安全情况。实时漏洞分析:对经过设备的应用流量,
50、对流量进行对应的应用解析,对解析后的应用数据匹配实时漏洞分析识别库,发现服务器存在的操作系统、Web 通用软件或框架、 Web 应用、协议等可能存在的漏洞。同时提供内置和自定义弱密码库,对用户指定的服务器进行弱密码分析,分析服务器是否存在弱密码风险。资产运行检测:基于SNMP 方式对资产、设备进行运行信息和监控,实时展示 CPU、内存、磁盘、上下行流量等信息,并形成历史记录。可与历史记录进行对比,供管理员分析设备资源异常情况。3.3.3.3 多维度威胁检测?基础检测能力黑客之所以能入侵企业内网,有时并不是凭借多么高明技巧,相反,对网络安全事件进行复盘总结发现,许多黑客入侵企业内网给企业造成损失