目录:
一、事前检测
1.1 漏洞扫描设备
1.1.1 WEB漏扫
1.2 网站安全监测
二、事中防护
2.1 流量
2.1.1 抗DDOS
2.1.2 异常流量清洗
2.1.3 流量监控设备
2.2 防病毒网关(防毒墙)
2.3 防火墙
2.3.1 下一代防火墙
2.3.2 Web应用防火墙(WAF)
2.4 网页防篡改
2.5 终端防护EDR
2.6 APT监测设备
2.7 入侵监测与防御
2.7.1 IDS(入侵检测系统)
2.7.2 IPS(入侵防御系统)
2.8 上网行为管理
2.9 网闸
2.10 VPN
2.11 堡垒机
2.12 沙箱、蜜罐/密网、欺骗防御
2.12.1 沙箱
2.12.2 蜜罐
2.12.3 欺骗防御
三、事后审计
3.1 安全审计系统
3.2 邮件审计
3.3 日志审计
3.4 运维审计
四、数据安全
4.1 数据库漏扫
4.2 数据库防火墙
4.3 数据备份与恢复
4.4 数据脱敏
4.5 数据泄露防护/加密
4.6 数据库审计
一、事前检测
1.1 漏洞扫描设备
1.1.1 WEB漏扫
产品形态:软件或硬件;
部署方式:IP可达即可,根据实际环境需要
1.2 网站安全监测
产品形态:软件或硬件服务
部署方式:IP可达即可,根据实际环境需要
二、事中防护
2.1 流量
2.1.1 抗DDOS
2.1.2 异常流量清洗
产品形态:软件或硬件服务
选型依据:设备吞吐量、小包防御能力是一项非常重要的指标。
2.1.3 流量监控设备
2.2 防病毒网关(防毒墙)
2.3 防火墙
2.3.1 下一代防火墙
产品形态:软件或硬件
部署方式:串联部署
选型依据:用户数、带宽、吞吐量、并发连接数等多个因素考量。
2.3.2 Web应用防火墙(WAF)
产品形态:软件或硬件;
选型依据:站点数量、HTTP并发连接数、新建连接、吞吐量、纯web流量等因素。
2.4 网页防篡改
产品形态:软件;
部署方式:部署在web服务器上;
选型依据:操作系统个数。
2.5 终端防护EDR
产品形态:软件;
部署方式:部署在服务器上;
选型依据:操作系统个数。
2.6 APT监测设备
产品形态:软件或硬件;
选型依据:要以流量为主。
2.7 入侵监测与防御
2.7.1 IDS(入侵检测系统)
2.7.2 IPS(入侵防御系统)
2.8 上网行为管理
上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。帮助企业有选择的禁止、监控BT,炒股,聊天,MSN,管理QQ,监控邮件,带宽流量等,减少病毒,对员工的上网行为进行正确的引导。
上网人员管理:
- 上网身份管理:利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性;
- 上网终端管理:检查主机的注册表/进程/硬盘文件的合法性,确保接入企业网的终端PC的合法性和安全性;
- 移动终端管理:检查移动终端识别码,识别智能移动终端类型/型号,确保接入企业网的移动终端的合法性;
- 上网地点管理:检查上网终端的物理接入点,识别上网地点,确保上网地点的合法性;
上网浏览管理:
- 搜索引擎管理:利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响;
- 网址URL管理 :利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性;
- 网页正文管理:利用正文关键字识别、记录、阻断技术,确保浏览正文的合法性;
- 文件下载管理:利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性。
上网外发管理:
- 普通邮件管理:利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性;
- WEB邮件管理 :利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性;
- 网页发帖管理:利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性;
- 即时通讯管理:利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性;
- 其他外发管理:针对FTP、TELNET等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性。
上网应用管理:
- 上网应用阻断:利用不依赖端口的应用协议库进行应用的识别和阻断;
- 上网应用累计时长限额:针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问;
- 上网应用累计流量限额:针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问。
上网流量管理:
- 上网带宽控制:为每个或多个应用设置虚拟通道上限值,对于超过虚拟通道上限的流量进行丢弃;
- 上网带宽保障:为每个或多个应用设置虚拟通道下限值,确保为关键应用保留必要的网络带宽;
- 上网带宽借用:当有多个虚拟通道时,允许满负荷虚拟通道借用其他空闲虚拟通道的带宽;
- 上网带宽平均:每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽。
上网行为分析:
- 上网行为实时监控:对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现;
- 上网行为日志查询:对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询,精确定位问题;
- 上网行为统计分析:对上网日志进行归纳汇总,统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表,便于管理者全局发现潜在问题。
上网隐私保护:
- 日志传输加密:管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心,防止黑客窃听;
- 管理三权分立:内置管理员、审核员、审计员账号。管理员无日志查看权限,但可设置审计员账号;审核员无日志查看权限,但可审核审计员权限的合法性后才开通审计员权限;审计员无法设置自己的日志查看范围,但可在审核员通过权限审核后查看规定的日志内容;
- 精确日志记录:所有上网行为可根据过滤条件进行选择性记录,不违规不记录,最小程度记录隐私。
设备容错管理:
- 死机保护:设备带电死机 / 断电后可变成透明网线,不影响网络传输;
- 一键排障:网络出现故障后,按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起,缩短网络故障定位时间;
- 双系统冗余:提供硬盘+Flash卡双系统,互为备份,单个系统故障后依旧可以保持设备正常使用。
风险集中告警:
- 告警中心:所有告警信息可在告警中心页面中统一的集中展示;
- 分级告警:不同等级的告警进行区分排列,防止低等级告警淹没关键的高等级告警信息;
- 告警通知:告警可通过邮件、语音提示方式通知管理员,便于快速发现告警风险。
2.9 网闸
2.10 VPN
2.11 堡垒机
作用:
堡垒机是用于解决“运维混乱”的。何谓运维混乱?当公司的运维人员越来越多,当需要运维的设备越来越多,当参与运维的岗位越来越多样性,如果没有一套好的机制,就会产生运维混乱。具体而言,你很想知道“哪些人允许以哪些身份访问哪些设备”而不可得。
功能:
- 登录功能:支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。
- 账号管理:设备支持统一账户管理策略,能够实现对所有服务器、网络设备、安全设备等账号进行集中管理,完成对账号整个生命周期的监控,并且可以对设备进行特殊角色设置如:审计巡检员、运维操作员、设备管理员等自定义设置,以满足审计需求
- 身份认证:设备提供统一的认证接口,对用户进行认证,支持身份认证模式包括 动态口令、静态密码、硬件key 、生物特征等多种认证方式,设备具有灵活的定制接口,可以与其他第三方认证服务器之间结合;安全的认证模式,有效提高了认证的安全性和可靠性。
- 资源授权:设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全
- 访问控制:设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。
- 操作审计:设备能够对字符串、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。
2.12 沙箱、蜜罐/密网、欺骗防御
2.12.1 沙箱
上世纪70年代,为测试人工智能应用程序而引入的沙箱技术,能令恶意软件在一个封闭的环境中安装并执行,令研究人员得以观测恶意软件的行为,识别潜在风险,开发应对措施。
经典的沙箱系统的实现途径一般是通过拦截系统调用,监视程序行为,然后依据用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等。
当前的有效沙箱基本都是在专用虚拟机上执行。这么做可以在与网络隔离的主机上用多种操作系统安全地测试恶意软件。
2.12.2 蜜罐
蜜罐和蜜网就是为诱捕攻击者而专门设置的脆弱系统。蜜罐是诱使攻击者盗取有价值数据或进一步探测目标网络的单个主机。
蜜网由多个蜜罐构成,常被配置成模拟一个实际的网络——有文件服务器、Web服务器等等,目的是让攻击者误以为自己成功渗透进了网络。但实际上,他们进入的是一个隔离环境,头上还高悬着研究人员的显微镜。
蜜罐可以让研究人员观测真实的攻击者是怎么动作的,而沙箱仅揭示恶意软件的行为。安全研究人员和分析师通常就是出于观测攻击者行动的目的而使用蜜罐和蜜网。
2.12.3 欺骗防御
指的是一系列更高级的蜜罐和蜜网产品,能够基于所捕获的数据为检测和防御实现提供更高的自动化程度。
欺骗技术分不同层次:
- 有些类似高级版的蜜罐,有些具备真实网络的所有特征,包括真正的数据和设备。这种欺骗技术可以模仿并分析不同类型的流量,提供对账户和文件的虚假访问,更为神似模仿内部网络。
- 有些安全欺骗产品还可以自动部署,让攻击者被耍得团团转,陷入无穷无尽地追逐更多信息的循环中,令用户能更具体更真实地响应攻击者。
欺骗防御产品按既定意图运作时,黑客会真的相信自己已经渗透到受限网络中,正在收集关键数据。没错,他们确实在访问数据,但这些数据只是用户想要他们看到的那部分。
区别:
- 沙箱允许恶意软件安装并运行以供观察其恶意行为;
- 蜜罐和蜜网关注分析黑客会在自以为已被渗透的网络上干些什么;
- 欺骗防御则是更新的高级入侵检测及预防设想。欺骗技术提供更为真实的蜜网,易于部署且能给用户提供更多信息,但需要更多的预算和更高的专业技能要求
三、事后审计
3.1 安全审计系统
3.2 邮件审计
产品形态:硬件;
选型依据:账号数量。
3.3 日志审计
选型依据:日志源。
3.4 运维审计
产品形态:软件或硬件。
选型依据:并发数、运维人员、资产数。
四、数据安全
4.1 数据库漏扫
产品形态:软件或硬件;
部署方式:IP可达即可,根据实际环境需要;
选型依据:数据库实例数或数据库个数(IP+端口)。
4.2 数据库防火墙
产品形态:硬件;
选型依据:数据库个数、吞吐量、纯数据库流量;
4.3 数据备份与恢复
4.4 数据脱敏
数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下,在不违反系统规则条件下,对真实数据进行改造并提供测试使用,如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。这样就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集。
典型应用:
4.5 数据泄露防护/加密
数据防泄漏可以通过数据库加密实现核心数据加密存储,可以通过数据库防火墙实现批量数据泄漏的网络拦截,也可以通过数据脱敏实现外发敏感数据的匿名化,这些数据库安全技术可以实现数据防泄漏问题。
4.6 数据库审计
产品形态:硬件或硬件;