2023年7月27日发(作者:)
三级等保解决方案(通用版)
■文档编号
■版本编号
V2.0
■密级
■日期
商业机密
2017-03-20
■版本变更记录
时间
20160425
20170320
版本
V1
V2
说明
修改人
范孟飞
范孟飞
■适用性声明
目录
一. 前言 .........................................................................................................................................................................1
二. 项目背景 ................................................................................................................................................................1
三. 安全风险分析........................................................................................................................................................2
3.1
设备安全风险 ...................................................................................................................................................2
3.2
网络安全风险 ...................................................................................................................................................2
3.3
应用层安全风险...............................................................................................................................................3
3.4
数据安全风险 ...................................................................................................................................................3
四. 需求分析 ................................................................................................................................................................4
4.1
技术需求分析 ...................................................................................................................................................4
4.2
管理需求分析 ...................................................................................................................................................4
五. 等级保护建设........................................................................................................................................................5
5.1
参考标准与依据...............................................................................................................................................6
5.1.1 相关法规和政策 ......................................................................................................................................6
5.1.2 国家标准及行业标准 .............................................................................................................................6
5.2
整体部署拓扑图...............................................................................................................................................8
5.3
安全技术防护 .............................................................................................................................................. -
9
-
5.3.1 边界访问控制...................................................................................................................................... - 9 -
5.3.2 边界入侵防护....................................................................................................................................- 14 -
5.3.3 网站安全防护....................................................................................................................................- 28 -
5.3.4 安全审计.............................................................................................................................................- 38 -
5.3.5 安全管理.............................................................................................................................................- 47 -
5.4
等保建设咨询 ............................................................................................................................................ -
69
-
5.4.1 技术层面差距分析 ...........................................................................................................................- 69 -
5.4.2 管理层面差距分析 ...........................................................................................................................- 71 -
5.4.3 安全评估及加固 ...............................................................................................................................- 72 -
5.4.4 安全管理体系建设 ...........................................................................................................................- 74 -
5.4.5 应急响应及演练 ...............................................................................................................................- 74 -
5.4.6 安全培训.............................................................................................................................................- 74 -
5.4.7 测评辅助.............................................................................................................................................- 75 -
六. 等保建设清单.................................................................................................................................................- 76 -
七. 为什么选择绿盟科技 ...................................................................................................................................- 77 -
7.1
典型优势 ..................................................................................................................................................... -
78
-
7.1.1 拥有最高级别服务资质的专业安全公司 ...................................................................................- 78 -
7.1.2 先进且全面的信息安全保障体系模型 .......................................................................................- 78 -
7.1.3 可实现且已证明的体系建设内容 ................................................................................................- 78 -
7.1.4 资深且经验丰富的项目团队 .........................................................................................................- 79 - 7.1.5 先进的辅助工具 ...............................................................................................................................- 79 -
7.2
资质荣誉 ..................................................................................................................................................... -
79
-
7.3
客户收益 ..................................................................................................................................................... -
82
-
一. 前言
经过多年的信息化推进建设,企事业和政府机构信息化应用水平正不断提高,信息化建设成效显著。作为信息化发展的重要组成部分,信息安全的状态直接制约着信息化发展的程度。
作为企事业和政府机构重要的公众平台APP及web应用系统,由于其公众性质,使其成为攻击和威胁的主要目标, WEB应用所面临的Web应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着政府和公众用户,给政府的政务形象、信息网络和核心业务造成严重的破坏。随着后“棱镜门”时代,国家对重要信息系统(包括网站)的安全问题越来越重视,相继发布了一系列的政策要求,例如:公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)要求,加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。2014年12月,中办国办《关于加强社会治安防控体系建设的意见》要求:“完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度”。
为进一步企事业和政府机构单位依据国家等级保护相关标准和要求做好信息系统等级保护(三级)安全建设工作,绿盟科技作为国内具有一流技术优势和国际竞争力的信息安全厂商,结合自身多年的安全建设经验、业界领先的技术与产品,为政府单位等级保护安全建设提供本方案。
二. 项目背景
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,并将于2017年6月1日施行。该法案明确规定:建设、运营网络或通过网络提供服务,须依照法律、法规和国家标准强制性要求,采取各种措施,落实网络安全等级保护制度,保障网络安全稳定运行。发生安全事件时还要向主管部门报告。对于不履行该法案规定的,由有关主管部门责令改正,给予警告;拒不改正或导致危害网络安全等后果的,处一万元以上十万元以下罚款,并对直接负责的主管人员处五千元以上五万元以下罚款。 上海市公安局、网信办、经信委、通管局联合发布的《沪公通字【2015】65号》文中,也对政府机构、事业单位、国企的信息系统等级保护建设提出了明确的要求。
xxx目前运营的网站类系统主要有官方网站、xxx系统等;数据中心建成后,除满足xxx自身需求外,还将为下属各子平台单位提供服务。
xxx信息系统网络架构为简单的互联互通架构,除入口处安装有防火墙外,其他安防手段、措施均缺失,距离等级保护三级要求有非常大的差距,安防状况堪忧。
不论是《中华人民共和国网络安全法》的规定,还是从自身信息系统安全角度考虑,xxx都需要建设自己的安全管理体系和技术体系的建设,提升整体信息系统及数据的安全性。
三. 安全风险分析
3.1 设备安全风险
信息系统网络设备的安全风险主要来自两个方面,一个是设备自身的安全风险,另外一个是外界环境的安全风险。具体的设备安全风险如下:
设备自身的安全缺陷或未能够及时修复的安全缺陷,导致的针对该设备的缺陷利用,影响信息系统业务的连续性、可靠性和完整性;
承载业务系统硬件、网络环境等方面的威胁;
业务系统自身安全威胁。
3.2 网络安全风险
网络安全风险主要如下:
来自内部和外部可能的网络攻击,如DDOS攻击、利用系统漏洞进行的各类攻击等等;
蠕虫病毒入侵,局域网内部病毒等恶意软件的传播,尤其是维护终端、磁盘介质使用等导致的病毒扩散;
利用管理和技术漏洞,或者内部资源成为僵尸网络、木马的被控资源,信息系统资源被用作攻击外部网络的工具
WEB类应用被挂马,成为木马大范围传播的主要途径;
由于对信息系统网络进行维护不恰当,而导致的安全威胁。 3.3 应用层安全风险
应用层的安全威胁主要来自以下两个方面:
来自原互联网、内部恶意用户的安全威胁;
木马病毒的肆意传播,导致网络瘫痪。
3.4 数据安全风险
(1) 网管数据
网管数据,主要指设备管理层面的数据,其安全威胁主要如下:
数据传输过程中被窃取,篡改、破坏;
越权访问;
病毒入侵导致丢失;
其它误操作、系统故障、介质问题等原因导致的数据丢失、泄漏。
(2) 内部业务数据
内部业务数据,主要指信息系统各个业务区域数据,其安全威胁一方面来自于各个业务的不同要求,另外更主要的一方面是这些业务数据的存放,具体如下:
病毒、木马、间谍软件的入侵;
针对敏感数据的非法篡改、获取;
数据的存储安全威胁,包括数据存储磁盘管理不善,数据访问管理不善带来的威胁等。
(3) 帐号口令
口令密码明文保存导致失窃;
弱口令导致的暴力破解;
网络监听明文传输的帐号口令。 四. 需求分析
4.1 技术需求分析
整体系统由WEB应用、网络设备、操作系统、数据库、中间件等网络元素共同构建,系统承担着数据采集、存储、分析、展示等功能,依据《信息安全技术信息安全等级保护基本技术要求》,物理层面、网络层面、系统层面、应用层面和数据层面面临如下安全威胁:
1.物理层安全:物理层面面临盗窃和破坏、雷击、火宅、静电、停电等威胁。
2.系统层安全:该层的安全问题来自网络运行的操作系统。安全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是操作系统的安全配置存在问题。
3.网络层安全:该层的安全问题主要指网络信息的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全,入侵检测的手段等。
4.应用层安全:该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性,包括:数据库软件、Web服务、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。
5.数据层风险:数据传输泄露、数据损坏等。
因此,有必要通过安全产品与安全服务的方式,发现以上五个层面存在的安全隐患,比对问题采取相应的加固和处理措施,满足信息安全等级保护的技术要求。
4.2 管理需求分析
该系统不仅需要考虑技术防护手段,也需要通过合理的安全管理规范,避免人为因素导致的系统破坏。依据《信息安全技术信息安全等级保护基本技术要求》。应制定完善的安全管理体系,以满足系统的安全管理要求,管理体系应考虑如下五个方面:
1.安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。 2.安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
3.人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
4.系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
5.系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
五. 等级保护建设
通过xxx信息系统的特点以及面临的安全风险,参考业界主流安全标准和规范要求,制定了针对xxx等级保护建设解决方案,方案包括了整体部署拓扑、安全技术要求和安全服务三部分,从三个不同的层面来建设本单位信息系统安全防护体系,有效降低信息系统的安全风险,保障业务的顺畅运行,满足等级保护建设要求。 5.1 参考标准与依据
5.1.1 相关法规和政策
国家信息安全相关文件:
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)
以及其他相关文件。
5.1.2 国家标准及行业标准
国信安标委组织制定的国家标准:
GB17859-1999 计算机信息系统安全保护等级划分准则
GB/T22240-2008 信息安全技术信息系统安全保护等级定级指南
GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南
GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求
GB/T20269-2006信息安全技术信息系统安全等级保护管理要求
GB/T20270-2006信息安全技术网络基础安全技术要求
GB/T20271-2006信息安全技术信息系统通用安全技术要求
GB/T20272-2006信息安全技术操作系统安全技术要求
GB/T20273-2006信息安全技术数据库管理系统安全技术要求
GB/T20282-2006信息安全技术信息系统安全工程管理要求
GB/T21082-2007信息安全技术服务器安全技术要求
GBT 25070-2010信息系统等级保护安全设计技术要求(报批稿)
GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南
GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求 5.2 整体部署拓扑图
灰色标注:已有红色标注:新增抗拒绝服务系统Internet抗DDOS安全管理平台防火墙外网防火墙运维审计系统堡垒机漏洞扫描系统漏洞扫描公众服务区IPS
入侵防御系统WAF网页防篡改软件安全管理区网络安全审计防病毒集中管理平台核心交换机数据库审计WEB应用防火墙WEB服务器群IPS
入侵防御系统数据库审计核心应用区核心数据库区办公区服务器群
5.3 安全技术防护
5.3.1 边界访问控制
5.3.1.1 防护需求
网络边界安全是网络安全保障的第一道防线,是信息网络系统上各业务网络必须优先建设的重点之一。在信息服务系统内部不同安全保护等级要求或不同信任域网络间互连时的边界接入安全,需设置与关键业务安全保护等级要求相对应的网络逻辑隔离,以重点保护关键业务系统的边界安全,作为信息服务系统中安全保护等级较高的网络,应适当与其他网络部分逻辑隔离。
根据合规性要求,《GB/T 22239-2008信息系统安全等级保护基本要求》
7.1.2.2访问控制(G3)
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
d) 应在会话处于非活跃一定时间或会话结束后终止网络连接;
e) 应限制网络最大流量数及网络连接数;
f) 重要网段应采取技术手段防止地址欺骗;
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
h) 应限制具有拨号访问权限的用户数量。
7.1.2.1结构安全
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要
b)应保证网络各个部分的带宽满足业务高峰期需要
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段 g)按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机.
5.3.1.2 解决方案
根据以上需求,设计在网络边界部署下一代防火墙来实现。通过配置地址转换策略实现内外网的访问,通过配置访问控制策略内外网隔离。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技下一代防火墙部署方案。
图 5.1 策略框架
绿盟下一代防火墙具备以下功能:
智能化识别应用
通过智能化应用、用户身份识别技术,绿盟下一代防火墙可以将网络中单纯的IP/端口号(IP/Ports),以及流量信息,转换为更容易理解、更加智能化的应用程序信息和用户身份信息,为后续的基于应用程序的策略控制和安全扫描,提供了识别基础。
精细化控制应用
绿盟下一代防火墙可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类,并且通过应用级访问控制,应用流量管理以及应用安全扫描等不同的策略对应用分别进行细粒度的控制和过滤。
一体化安全扫描 在完成智能化识别和精细化控制以后,下一代防火墙对于允许使用且可能存在高安全风险的网络应用,可以进行漏洞,病毒,URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断并且记录成为详细的安全日志和风险报表。
资产风险识别和云端安全管理
绿盟科技下一代防火墙可以主动、先发性的对用户内网脆弱资产进行风险评估,并提出加固方案,是用户的内网安全管理专家,同时又可以通过接入云端,简化运维,对安全威胁在线分析和把控,是用户的云端安全管理专家。
【选型优势】
多核CPU和ASIC构建高速硬件平台
绿盟防火墙专用硬件平台采用多核CPU和ASIC加速芯片构建。ASIC芯片具有3-4层快速转发和流分类的特性,使得绿盟防火墙具有高速的网络处理性能;多核CPU的强大浮点计算能力,以及绿盟独有的多流并行分布式处理技术,使得绿盟防火墙的应用层数据处理能力大幅提高,真正做到从4层防护到7层防护的提升。
智能协议识别(NIPR)智能内容识别(NICR)技术
智能协议识别技术——Nsfocus Intelligent Protocol Recognition(NIPR)和智能内容识别技术——Nsfocus Intelligent Content Recognition(NICR)是绿盟自主研发的网络威胁识别技术,是绿盟科技在网络攻防技术方面多年研究成果的结晶,也是绿盟防火墙产品的核心技术。
网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以及应用内容进行解析识别,从而进行针对性的防护。NIPR和NICR识别技术,它利用七个安全库(应用协议特征库、协议行为特征库、URL分类库、Web信誉库、病毒库、攻击规则库、垃圾邮件库),通过动态分析网络报文中包含的协议特征、行为特征以及非法内容,识别出非法信息,然后递交给相应的处理引擎进行防护。
具备了NIPR和NICR的绿盟防火墙,不再受动态端口或攻击工具变化的影响。对于P2P等运行在任意端口的应用层协议,或者绑定在任意端口的木马、后门,还有黑客的灵活多变的攻击方式,绿盟防火墙都能在不需要管理员参与的情况下高速准确的判断出来,并根据网关策略予以阻断或限制。
超强的网络攻击检测/防护能力 绿盟防火墙集成了绿盟科技专业的入侵检测/防护模块,可实现基于IP地址/网段、规则(组、集)、时间、动作等对象的虚拟IPS。绿盟防火墙采用虚拟补丁技术,可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种攻击。
首创的内网资产风险管理
绿盟科技下一代防火墙,除了具备国际权威咨询机构Gartner所定义的下一代防火墙全部特性,不仅在新一代网络中保障用户的边界网络安全,防范“外敌”入侵,更首创性的提供内网资产风险识别功能,让用户对内网易受攻击资产进行风险提前评估和预警,双向安全,双向保障。即作为事中安全拦截设备,又作为事前风险防范设备,为用户在安全投资不变的情况下提供一举两得的加强安全效应。
先进的云端安全管理模式
业界首创的云端安全管理模式,对传统防火墙及业界其它下一代防火墙产品,在运维服务模式上迈出了崭新的一步。绿盟科技凭借多年对用户安全攻防服务经验的积累,分析沉淀国际及国内市场的用户需求趋势,深刻把脉真正下一代安全的未来走向,通过构造云端安全管理平台,让用户在便捷、高效安全管理上有了全新的体验,极大减免了用户的安全运维投入,从而有能力在应对不断增长变化的威胁攻击中百战不殆,游刃有余。
全面支持IPv6
绿盟防火墙使用双协议栈(dual stack)架构,支持IPv6/IPv4双协议栈功能,能同时辨识IPv4和IPv6通讯流量。多种隧道模式的支持,确保IPv6过渡时代的网络通畅。IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略,为IPv6环境提供了完善的安全防护。
细致的应用层控制手段
图 5.2 应用控制
传统防火墙的访问控制或流量管理粒度粗放,只能基于IP/端口号对数据流量进行一刀切式的禁止或允许。NF基于卓越的应用和用户识别能力,对数据流量和访问来源进行精细化辨识和分类,使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用,或从无意无序的IP地址中辨识出有意义的用户身份信息,从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略,保障了用户最直接、准确、精细的管理愿望和控制诉求。
例如,允许HTTP网页访问顺利进行,并且保证高访问带宽,但是不允许同样基于HTTP协议的视频流量通过;允许通过QQ进行即时通信,但是不允许通过QQ传输文件;允许邮件传输,但需要进行防病毒扫描或敏感信息过滤,如发现有病毒入侵或泄密事件马上阻断,等等。
卓越的应用层安全处理性能
CPUL2/L3解码核 #1数通路由/NATCPU核 #1入侵防御Web安全病毒防护内容安全引擎VPN/HA安全引擎用户识别CPUL2/L3解码核 #2数通路由/NATCPU核 #2应用识别入侵防御Web安全病毒防护内容安全高速数据包处理平台引擎VPN/HA安全引擎用户识别CPUL2/L3解码核 #3数通路由/NATCPU核 #3应用识别安全引擎入侵防御Web安全病毒防护内容安全引擎VPN/HA用户识别CPUL2/L3解码核 #n数通路由/NATCPU核 #n应用识别安全引擎入侵防御Web安全病毒防护内容安全引擎VPN/HA用户识别应用识别
图 5.3 双引擎多核并发
NF构筑在新一代64位多核并发,高速硬件平台之上,拥有业界独有的数通、安全双引擎设计模式。双引擎多核并发的高速运行在多个CPU核心之上,各司其职,不仅保证了基础网络数据包的高速转发,更加确保了应用层安全处理的高性能。
不仅于此,NF采用的高速数据包处理技术专门针对I/O密集型网络设计。它为上层安全服务和底层硬件平台提供了一个高速通信隧道,极大提升了平台安全处理性能和吞吐率,使下一代防火墙设备在安全处理性能上有了一个质的飞跃。
5.3.1.3 方案价值
内网和互联网区之间部署下一代防火墙可发挥如下作用:基于应用/用户识别的访问控制、流量控制、上网行为管理、SNAT转发、ISP链路负载均衡、安全威胁阻断等;在互联网与DMZ区之间可发挥如下作用:访问控制、DNAT、服务器负载均衡、基于应用/户识别的流量控制、安全威胁阻断等。在内网区的用户与服务器群之间可发挥如下作用:访问控制、基于应用和用户识别的流量控制、访问行为记录审计等功能。部署在边界的下一代防火墙可根据用户稳定性需求,提供网络容灾备份方案,保证用户网络安全访问无中断。
下一代防火墙具有带宽管理及控制能力、连接完整性检测能力、重要网段保护能力。包含有内容过滤、访问控制等功能,满足信息安全等级保护保护技术要求。
5.3.2 边界入侵防护
5.3.2.1 边界抗拒绝服务
5.3.2.1.1 防护需求
日益猖獗的DDOS攻击、越来越简单的僵尸网络攻击工具、日渐成熟的灰色地下交易链条,给互联网信息系统带来了沉重的危害,常见的DDOS攻击影响有:
网络遭受DDOS攻击导致网络出口或内网互联通信链路的带宽达到饱和;
内网设备(如交换机、路由器、服务器、防火墙等)遭受DDoS攻击,攻击流量超出目标设备承受能力,导致它们无法提供合法流量;
务。
对网络中没有直接遭受攻击的部分造成间接破坏。
服务器或主机遭受应用层DDOS攻击,导致CPU处理能力饱和,无法对外提供服根据对来自广域网边界的风险分析,主要存在以下几个方面的需求:
需对流入广域网网络的流量进行分析,识别其中的各类攻击流量;
对流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等)进行有效过滤,保护通信链路带宽及内网设备不受攻击影响;
对应用层的DoS攻击(如Http Get Flood、连接耗尽、CC等)进行有效过滤,保证服务器或主机性能不受攻击影响。
【相关规范要求】
《GB/T 22239-2008信息系统安全等级保护基本要求》
7.1.2.2访问控制(G3)
本项要求包括:
e)应限制网络最大流量数及网络连接数; 7.1.2.5 网络安全-入侵防范(G3)
本项要求包括:
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
7.1.3.5主机安全-入侵防范(G3)
本项要求包括:
应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
5.3.2.1.2 解决方案
根据以上需求,设计在外网出口边界部署一台抗拒绝服务系统(ADS)来实现。针对目前流行的DDoS攻击以及未知的攻击形式,通过ADS及时发现背景流量中的攻击行为,迅速对攻击流量进行过滤,确保正常业务的可用性。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技抗拒绝服务系统(ADS)来部署实现。
绿盟抗拒绝服务产品基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低,并结合特有硬件加速运算,因此系统效率极高。该方案的核心技术架构如下图所示。
绿盟抗拒绝服务系统核心架构
绿盟抗拒绝服务系统具有以下功能亮点 反欺骗——绿盟Anti-DDoS技术将会对数据包源地址和端口的正确性进行验证,同时还对流量在统计和分析的基础上提供针对性的反向探测。
协议栈行为模式分析——根据协议包类型判断其是否符合RFC规定,若发现异常,则立即启动统计分析机制;随后针对不同的协议,采用绿盟专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行。
特定应用防护——ADS产品还会根据某些特殊协议类型,诸如DNS、HTTP、VOIP
SIP等,启用分析模式算法机制,进一步对不同协议类型的DDoS攻击进行防护。
用户行为模式分析——网络上的真实业务流量往往含有大量的背景噪声,这体现了网络流量的随机性;而攻击者或攻击程序,为了提高攻击的效率,往往采用较为固定的负载进行攻击。ADS产品对用户的行为模式进行统计、跟踪和分析,分辨出真实业务浏览,并对攻击流量进行带宽限制和信誉惩罚。
动态指纹识别——作为一种通用算法,指纹识别和协议无关,绿盟Anti-DDoS技术采用滑动窗口对数据包负载的特定字节范围进行统计,采用模式识别算法计算攻击包的特征。对匹配指纹特征的攻击包进行带宽限制和信誉惩罚。
带宽控制——对经过系统净化的流量进行整形输出,减轻对下游网络系统的压力。
地理位置过滤——攻击者虽然可以利用全球的肉鸡发起DDoS攻击,但是企业和防护的客户对可以根据自身业务的情况明确业务流量来源,从而根据源IP地理位置过滤攻击,实现快速有效的保护。
云信誉——绿盟云信誉平台通过集合全系列安全产品的发现与验证,从获取的全球流量中进行信誉等级的评定。ADS产品通过与云信誉平台联动可以及时掌握肉鸡数据并进行拦截防护。
【选型优势】
1.
产品技术最好,防护效果好
最早研究DDoS攻击&防护(2000年)的企业,2001年推出首款“黑洞”产品,至今积累时间最长,防护水平代表全球最高水平。
护。
支持抓包取证,通过抓包分析进行深度防范,为电子取证提供依据,对DDoS攻击防护技术算法最丰富。如针对CC攻击提供7种防护算法,满足各种攻击特点的防产生威慑。
根据DDoS防护需求不同的特点,能够提供防护群组功能,对用户加以区分,并对不同的用户组提供细粒度的防护策略。
2. 产品应用最广泛,成熟度高: 在中国国内市场占有率第一,唯一覆盖全行业应用。产品在国家骨干网、国干互联互通口、城域网、各类IDC、金融、政府、科研网、互联网服务器前等都有大量设备部署应用,产品稳定性好,业内口碑好。
3.
最专业的服务,产品支撑好:
专业安全公司,具有独立攻防研究团队和安全支持人员,安全持续投入有保障。
全国各地的本地化安全支持:响应快,服务态度好。
5.3.2.1.3 方案价值
通过在广域网边界部署流量清洗系统,能够发现流入单位网络流量中各种类型的DDOS攻击,迅速对攻击流量进行过滤或旁路,保证正常流量的通过,提高用户网络的安全性和业务的稳定性。该方案解决的问题包括:
通过流量清洗系统的异常流量分析功能,实现对流入单位内部网络的流量分析,能够识别其中的各类攻击流量;
通过流量清洗系统的攻击防护功能,实现对流量型DDoS攻击(如SYN Flood、UDP
Flood、ICMP Flood、ACK Flood等)的有效过滤,保护通信链路带宽及内网设备不受攻击影响;
通过流量清洗系统的攻击防护功能,实现对应用层的DoS攻击(如Http Get Flood、连接耗尽、CC等)的有效过滤,保证服务器或主机性能不受攻击影响。
5.3.2.2 边界黑客入侵防护
5.3.2.2.1 防护需求
随着越来越多的系统本身漏洞以及应用系统的漏洞被发现,以及攻击者的入侵方式更加隐蔽,新的攻击方式层出不穷,所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。
传统的防火墙主要有以下的不足:
防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对具体应用或系统的攻击等。
防火墙无法发现内部网络中的攻击行为。 由于防火墙具有以上一些缺陷,所以部署了防火墙的安全保障体系还有进一步完善的需要。
等保规范需求
根据《GB/T 22239-2008信息系统安全等级保护基本要求》
7.1.2.5 入侵防范(G3)
本项要求包括:
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
5.3.2.2.2 解决方案
根据以上需求,设计在核心交换机出口和内网核心应用服务区出口部署网络入侵防护系统来实现。入侵防护系统通过接收进出信息系统的流量数据,从智能识别、环境感知、行为分析三方面加对应用协议、异常行为、恶意文件进行检测,精确识别应用等各层面攻。通过在核心交换价出口和内网核心应用服务区出口部署网络入侵防护系统分别来识别和阻断各类安全威胁攻击。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技网络入侵防护系统来部署实现。
绿盟网络入侵防护系统(NIPS)基于高性能硬件处理平台,为客户提供从网络层、到应用层,直至内容层的深度安全防御, NIPS具有以下功能特点:
1) 全新的高性能软硬件架构
NSFOCUS NIPS采用了全新的硬件平台,全新底层转发模块、多核架构和新一代的全并行流检测引擎技术,新平台和新架构的引入,优化了产品的功能,使处理性能较原来有了大幅度提升。
同时大部分配置都是应用配置生效。增强了对客户业务的连续性支持。
2) 用户身份识别与控制功能
NSFOCUS NIPS提供了用户身份识别与基于用户身份的访问控制功能,可以有效解决用户网内漫游带来的越权访问。传统NIPS产品基于IP地址进行访问控制,当非授权子网用户将终端接入到授权子网并配置为授权子网IP地址后即可访问和使用非授权的网络资源。结合NSFOCUS NIPS产品丰富的应用识别能力,可实现细粒度访问控制。
3) 更精细的应用层安全控制 基于应用的识别技术,是各种应用层安全防护的基础,目前各类新的应用层出不穷,如QQ、MSN、文件共享、Web服务、P2P下载等,这些应用势必会带来新的、更复杂的安全风险。这些风险和应用本身密不可分,如果不结合应用来分析将无法抵御这些风险。
NSFOCUS NIPS采用流检测技术对各类应用进行深入分析,搭建应用协议识别框架,准确识别大部分主流应用协议,可以对基于应用识别的应用进行精细粒度的管理,能够很好的对这些应用安全漏洞和利用这些漏洞的攻击进行检测和防御。
支持在WEB界面和安全中心上配置应用管理策略,可根据应用管理策略控制应用的使用,并支持在对象中搜索名称,提高了策略配置的效率和产品易用性。
4) 基于用户身份的行为分析
系统中的用户根据各自的工作职责和个人爱好都会形成各自的行为习惯,这种行为习惯能够反应在日常的网络访问活动中。对这些网络访问活动进行分析并经过长时间地收敛,可以根据用户身份(Who)、地理位置/IP地址(Where)、业务系统/网络应用(Whom)、操作(What)、时间(When)、频次(How)等条件建立用户的正常网络访问模型。建立基于正常网络访问模型的单位网络“白环境”,当检测到网络中出现了违背白环境模型的异常行为时,则对其进行深入分析,以判断是否是攻击。
NSFOCUS NIPS在用户身份识别、应用识别的基础上,将用户身份、业务系统、地理位置、操作频次等多种与操作相关的网络环境信息进行关联分析,建立企业网络白环境,准确识别用户异常行为。
5) 全面支持IPv6
双协议栈(dual stack)架构,支持IPv6/IPv4双协议栈功能,能同时辨识IPv4和IPv6通讯流量。多种隧道模式的支持,确保IPv6过渡时代的网络通畅。IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略,为IPv6环境提供了有力的入侵防护能力。
NSFOCUS NIPS通过了IPv6 Ready 认证,
保证了在IPv6环境下的互联互通。
6) 多种技术融合的入侵检测机制
NSFOCUS NIPS以全面深入的协议分析为基础,融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析,以及状态防火墙等多种技术,为客户提供从网络层、应用层到内容层的深度安全防护。
智能协议识别和分析
协议识别是新一代网络安全产品的核心技术。传统安全产品如防火墙,通过协议端口映射表(或类似技术)来判断流经的网络报文属于何种协议。
但是,事实上,协议与端口是完全无关的两个概念,我们仅仅可以认为某个协议运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序,以及基于Smart Tunnel(智能隧道)的P2P应用(如各种P2P下载工具、IP电话等),IMS(实时消息系统如MSN、Yahoo
Pager),网络在线游戏等应用都可以运行在任意一个指定的端口,从而逃避传统安全产品的检测和控制。
NSFOCUS NIPS采用独有的智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理,能够在完全不需要管理员参与的情况下,高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵,可以准确发现绑定在任意端口的各种木马、后门,对于运用Smart Tunnel技术的软件也能准确捕获和分析。
NSFOCUS NIPS具备极高的检测准确率和极低的误报率,能够全面识别主流应用层协议。
基于特征分析的专家系统
特征分析主要检测各类已知攻击,在全盘了解攻击特征后,制作出相应的攻击特征过滤器,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。
NSFOCUS NIPS装载权威的专家知识库,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。
绿盟科技拥有的业界权威安全漏洞研究团队NSFocus小组,致力于分析来自于全球的各类攻击威胁,并努力找到各种漏洞的修补方案,形成解药,融于NSFOCUS NIPS攻击特征库,以保持产品持续、先进的攻击防护能力。
协议异常检测
基于特征检测(模式匹配)的NIPS(N系列)产品可以精确地检测出已知的攻击。通过不断升级的特征库,NIPS(N系列)可以在第一时间检测到入侵者的攻击行为。但是,事实上,存在三个方面的因素导致协议异常的诞生。 厂商从提取某个攻击特征到最终用户的NIPS(N系列)产品升级需要一个时间间隔,在这个时间间隔内,基于特征检测的NIPS(N系列)产品是无法检测到黑客的该攻击行为的;
来自0-day或未公开exploit的隐蔽攻击即使是安全厂商往往也无法第一时间获得攻击特征,通常NIPS(N系列)无法检测这类具有最高风险的攻击行为;
Internet上蠕虫在 15分钟内席卷全球,即使是最优秀的厂商也不能够在这么短的时间内完成对其的发现和检测。
协议异常检测是NSFOCUS NIPS应用的另外一项关键技术,以深度协议分析为核心的NSFOCUS NIPS,将发现的任何违背RFC规定的行为视为协议异常。协议异常最为重要的作用是检测检查特定应用执行缺陷(如:应用缓冲区溢出异常),或者违反特定协议规定的异常(如:RFC异常),从而发现未知的溢出攻击、零日攻击以及拒绝服务攻击。作为一项成熟的技术,协议异常检测技术使得NSFOCUS NIPS具有接近100%的检测准确率和几乎0的误报率。
流量异常检测
流量异常检测主要通过学习和调整特定网络环境下的“正常流量”值,来发现非预期的异常流量。一旦正常流量被设定为基准(baseline),NSFOCUS NIPS会将网络中传输的数据包与这个基准作比较,如果实际网络流量统计结果与基准达到一定的偏离,则产生警报。在内置流量建模机制的同时,NSFOCUS NIPS还提供可调整的门限阀值,供网管员针对具体环境做进一步调整,避免因为单纯的流量过大而产生误报。
流量异常检测和过滤机制使得NSFOCUS NIPS可以有效抵御分布式拒绝服务攻击(DDOS)、未知的蠕虫、流氓流量和其他零日攻击。
7) 2~7层深度入侵防护能力
业界领先的安全漏洞研究能力
绿盟科技作为微软的MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软每月发布安全更新之前获得漏洞信息,为客户提供更及时有效的保护。
公司的安全研究部门NSFOCUS小组,已经独立发现了40多个Microsoft、HP、CISCO、SUN、Juniper等国际著名厂商的重大安全漏洞,保证了NSFOCUS NIPS技术的领先和规则库的及时更新,在受到攻击以前就能够提供前瞻性的保护。
高品质攻击特征库
覆盖广泛的攻击特征库携带超过3000条,由NSFOCUS安全小组精心提炼、经过时间考验的攻击特征,并通过国际最著名的安全漏洞库CVE严格的兼容性标准评审,获得最高级别的CVE兼容性认证(CVE Compatible)。
绿盟科技具有领先的漏洞预警能力,是目前国内唯一向国外(美国)出口入侵检测规则库的公司。绿盟科技每周定期提供攻击特征库的升级更新,在紧急情况下可提供即时更新。
广泛精细的攻击检测和防御能力
NSFOCUS NIPS主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、僵尸网络等,广泛精细的应用防护帮助客户避免安全损失。
NSFOCUS NIPS同时具备全面阻止木马后门、广告软件、间谍软件等恶意程序下载和扩散的功能,有助于企业降低IT成本、防止潜在的隐私侵犯和保护机密信息。
IP碎片重组与TCP流汇聚
NSFOCUS NIPS具有强大的IP碎片重组、TCP流汇聚,以及数据流状态跟踪等能力,能够检测到黑客采用任意分片方式进行的攻击。
虚拟补丁
NSFOCUS NIPS提供“虚拟补丁”功能,在紧急漏洞出现而系统仍不具备有效补丁解决方案时,为客户提供实时防御,增强了客户应对突发威胁的能力,在厂商就新漏洞提供补丁和更新之前确保企业信息系统的安全。
强大的D.o.S攻击防护能力
NSFOCUS NIPS能够全面抵御ICMP Flood、UDP Flood、ACK Flood等常见的D.o.S攻击,阻挡或限制未经授权的应用程序触发的带宽消耗,极大限度地减轻D.o.S攻击对网络带来的危害。
应用客户端的漏洞防护能力
内置最新的基于应用客户端的漏洞防护规则,绿盟攻防研究团队对客户端易受漏洞攻击的应用进行了长期的跟踪和研究,积累了大量的经验成果,并转化为产品规则,有力提升了产品的内网入侵防护能力。
8) APT攻击防护
为了有效的应对APT攻击,针对已知和未知威胁的定向检测,IPS通过流式扫描引擎发现已知的基于签名的攻击,TAC通过静态引擎和虚拟执行发现0day漏洞攻击和未知恶意软件,通过IPS与TAC进行无缝联动,实现对已知攻击和未知攻击的检测防御,同时能够将未知攻击签名化,加强丰富IPS签名库能力,对APT攻击实现主动检测防御。
9) 先进的Web威胁抵御能力 越来越多的病毒、木马等恶意代码将基于HTTP方式传播,新一代的Web威胁具备混合性、渗透性和利益驱动性,成为当前增长最快的风险因素。员工对互联网的依赖性使得企业网络更容易受到攻击,导致用户信息受到危害,对公司数据资产和关键业务构成极大威胁。
NSFOCUS NIPS内置先进、可靠的Web信誉机制,采用独特的Web信誉评价技术和URL过滤技术,在用户访问被植入木马的页面时,给予及时报警和阻断,能够有效抵御Web安全威胁渗入企业内网,防止潜在的隐私侵犯,保护企业机密信息。
10) 恶意文件防御和取证能力
网络中存在大量恶意文件,通过网站文件服务器、邮件服务器实现传播,对企业网络安全构成潜在威胁。NSFOCUS NIPS采用流式技术对网络中传送的文件,进行快速检测,比对文件信誉,对发现恶意的文件进行告警和阻断,同时还能够将恶意文件进行还原保存,用于恶意行为分析,还可以实现取证调查工作。
11) 流式扫描的病毒检测技术
传统的病毒检测基于文件还原技术,性能低、内存消耗大,防护效果一般。NSFOCUS NIPS采用业界领先的防病毒引擎,高效的流式扫描技术,能够针对全球热点病毒进行实时检测,同时性能高,对于系统资源消耗小。病毒库更新速度快,误报率低,防护效果明显。
12) 基于应用的流量管理
NSFOCUS NIPS提供强大、灵活的流量管理功能,采用全局维度(协议/端口)、局部维度(源/目的IP地址、用户、网段)、时间维度(时间)、流量纬度(带宽)等流量控制四元组,实现基于内容、面向对象的流量保护策略。
NSFOCUS NIPS智能识别并分类各类应用后,通过流量许可和优先级控制,阻断一切非授权用户流量,管理合法网络资源的利用,使得网络中不同类型的流量具有更合理的比例和分布,并结合最小带宽保证,及最大带宽和会话限制,有效保证关键应用全天候畅通无阻。
13) 部署极其简便
零配置上线
零配置上线,即设备出厂状态下不用做任何配置,联通一对网口即可上线工作并能取得理想的防护效果。
简便的策略管理
客户的网络拓扑环境和资产防护类型千差万别,如何能根据自己网络应用情况简单配置各种入侵防护策略,并能取得最好的防护效果是客户面临的一个比较大的问题。
NSFOCUS NIPS内置了多种高效的规则模板,便于用户依照不同的网络环境有选择的使用,以达到策略管理的最简化和防护效果的最大化。例如,系统缺省规则模板根据防护的资产类型有WEB服务器模板、Windows服务器模板、UNIX服务器模板,通用服务器模板。用户可通过自身网络的资产防护对象来选择使用,并且还可以通过系统提供的多种自定义方式建立个性的防护模板,最终达到更好的防护效果。
这些高效的系统策略模板的建立方式和技术原理:
高级规则动作判定算法保证了规则防护和分类的有效性。
规则配置文件中会以标签形式新增四个标签分别是规则类型、可靠度、攻防相关事件类型、策略模板类型,其中会根据可靠度和事件类型标签生成策略模板中各个规则动作(即阻断和告警),规则配置文件采用了多重判断和算法叠加的方式进行自动生成。
规则自动加权算法保证规则的可靠性。
独创的绿盟规则加权分类算法,通过加权机制,依照不同的分类属性,特征匹配度综合判断规则的可靠性并附值,以不同的权值再次进行规则分类和分组保证了规则的可靠性。
14) 强大的管理能力
灵活的Web管理方式
NSFOCUS NIPS支持灵活的Web管理方式,适合在任何IP可达地点远程管理,支持 MS
IE、Netscape、Firefox、Opera等主路的浏览器,真正意义上实现了跨平台管理。
丰富的多级管理方式
NSFOCUS NIPS支持三种管理模式:单级管理、多级管理、主辅管理,满足不同企业不同管理模式需要。
单级管理模式:安全中心直接管理网络引擎,一个安全中心可以管理多台网络引擎。适合小型企业,用于局域网络。
主辅管理模式:网络引擎同时接受一个主安全中心和多个辅助安全中心的管理。主安全中心可以完全控制网络引擎;辅助安全中心只能接受网络引擎发送的日志信息,不能操作网络引擎。适合大型企业或者有分权管理需求的用户。
多级管理模式:安全中心支持任意层次的级联部署,实现多级管理。上级安全中心可以将最新的升级补丁、规则模板文件等统一发送到下级安全中心,保持整个系统的完整统一性;下级安全中心可以通过配置过滤器,使上级安全中心只接收它关心的信息。适合跨广域网的大型企业用户。
带外管理(OOB)功能
NSFOCUS NIPS提供带外管理(OOB)功能,解决远程应急管理的需求,减少客户运营成本、提高运营效率、减少宕机时间、提高服务质量。 升级管理
NSFOCUS NIPS支持多种升级方式,包括实时在线升级、自动在线升级、离线升级,使NIPS(N系列)提供最前沿的安全保障。
15) 完善的报表系统
高品质的报表事件
NSFOCUS NIPS事件过滤系统支持采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志,仅记录相关的攻击告警事件,极大地减小了攻击告警的数量,提高了对于高风险攻击的反应速度。
多样化的综合报表
NSFOCUS NIPS报表系统提供了详细的综合报表、自定义三种类型10多个类别的报表模板,支持生成:日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG格式导出。同时支持定时通过电子邮件发送报表至系统管理员。
强大的“零管理”
从实时升级系统到报表系统,从攻击告警到日志备份,NSFOCUS NIPS完全支持零管理技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行,极大地降低了维护费用与管理员的工作强度。
16) 完备的高可用性
丰富的HA部署能力
NSFOCUS NIPS具备基于会话、配置等信息同步的HA部署能力,支持A/A和A/S两种部署方式,在出现设备宕机、端口失效等故障时,能够完成主机和备机的即时切换,确保关键应用的持续正常运转。
完整的BYPASS解决方案
IPS作为一种在线串联部署设备,首先要确保客户业务数据畅通,而完备的BYPASS解决方案保证了设备出现故障时基础网络依然畅通,确保了客户基础业务数据不受影响。
NSFOCUS NIPS的BYPASS特性由以下三部分组成,由此形成一套完整的BYPASS解决方案:
提供硬件BYPASS功能,IPS在出现硬件故障或意外事故时(意外掉电、意外重启、硬件宕机等),数据会自动切到BYPASS转发,保证了业务的连续性。
提供软件BYPASS功能,系统软件故障时,自动实现旁路保护,避免网络中断等事故的发生。软件BYPASS工作流程描述: 系统内置安全和数通引擎,通过心跳交互,当数通引擎检测到安全引擎更新心跳超时后,不会再将包交给安全引擎进行处理,而是将等待安全引擎处理队列中的包和新收到的包直接进行转发,以保障网络畅通。
安全引擎Queue-OutQueue-In安全引擎异常
数通引擎直接转发HAL
支持外置BYPASS硬件设备部署,如光BYPASS交换机等,扩展形成完整的BYPASS解决方案。
过载保护能力
当IPS部署环境流量超过设备安全引擎所能承受最大处理能力时,为保障客户网络畅通所采用的一种保护措施。它的作用是尽量降低网络延时,减少因安全引擎性能问题造成的网络丢包。
安全引擎Queue-Out队列满Queue-In数通引擎Fast-pathHAL
冗余电源支持
NSFOCUS NIPS支持热插拔的冗余双电源,避免电源硬件故障时设备宕机,提高设备可用性。
17) 丰富的响应方式
NSFOCUS NIPS提供丰富的响应方式,包括:丢弃数据包、阻断会话、IP隔离、邮件报警、短信报警、安全中心显示、日志数据库记录、运行用户自定义命令等,同时提供标准snmp
trap(V1、V2、V3)和syslog接口,可接受第三方管理平台的安全事件集中监控、报告和管理。支持CEF通用事件格式,能够与ArcSight无缝融合。 18) 高可靠的自身安全性
安全可靠的系统平台
NSFOCUS NIPS采用安全、可靠的硬件平台,全内置封闭式结构,配置完全自主知识产权的专用系统,经过优化和安全性处理,稳定可靠。系统内各组件通过强加密的SSL安全通道进行通讯防止窃听,确保了整个系统的安全性和抗毁性。
用户权限分级管理
NSFOCUS NIPS安全中心身份验证系统采用独立于操作系统的权限管理系统,管理权限与审计权限独立,提供对系统使用情况的全面监管和审计。
实时日志归并
NSFOCUS NIPS归并引擎由规则驱动,可以执行任意粒度的日志归并动作,完全避免Stick此类Anti-NIPS(N系列)攻击。
多点备份
NSFOCUS NIPS的探测引擎可以将攻击告警日志,实时发送到多个绿盟安全中心或日志数据库保存,避免因为数据损坏或丢失而导致系统不可用的事故发生。
19) 威胁可视化
IPS为探针的形态生产的告警日志信息上传到BSA,配置ESPC实现资产识别信息同步给BSA,以资产域范围分析告警日志,实现日志关联分析、威胁分析、异常流量检测和分析,异常流量实时展示等功能,实现威胁态势的感知和可视化功能。
攻击态势
动态实时展示全球攻击信息,攻击源、被攻击目的、攻击次数以及攻击类型。
威胁态势
基于多个维度的攻击类型日志的统计,展示基于时间和攻击日志次数攻击曲线图。通过日志关联分析生成威胁事件统计。
资产识别
能够识别资产域中各个资产的状态信息,统计分析使用杀软信息,浏览器信息、操作系统分布情况,以及查看在线资产状态。
流量信息
通过自动学习历史流量信息,建立异常流量阈值模型,图形化展示实时流量大小是否存在异常,协议和应用分布详情。
【选型优势】 发现深层攻击:绿盟NIPS NX系列产品提供基于流的应用识别技术,可准确识别非标准端口应用、以及HTTP协议隧道中Web2.0应用,发现隐藏在应用中的攻击行为。
高级威胁防护:绿盟NIPS NX系列产品能够基于敏感数据的外泄、文件识别、服务器非法外联等异常行为检测,实现内网的高级威胁防护功能。
减少虚假告警:传统NIPS单纯分析数据包,脱离数据所处环境信息的检测方式,导致诸如:目标系统运行的是Apache软件,却产生了大量针对IIS的虚假告警事件的情况发生。绿盟NIPS NX系列产品结合信誉机制、用户身份、地理位置、用户资产等上下文信息进行检测,能够显著减少虚假告警事件的产生。
快速威胁响应:作为微软MAPP成员,绿盟科技可在24小时内快速发布入侵防护规则,并通过绿盟安全云,第一时间分发到用户设备中,实现快速威胁响应。
适应复杂环境:绿盟NIPS 产品提供高达20G的应用层数据处理能力以及灵活的IPv6/IPv4双栈自适应能力,可以全面适应新一代复杂网络环境。
5.3.2.2.3 方案价值
入侵检测/防御系统以全面深入的协议分析为基础,融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析,以及状态防火墙等多种技术,提供从网络层、应用层到内容层的深度安全防护,可以主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、暴力猜测、扫描探测、非授权访问、蠕虫病毒、僵尸网络等,同时具备全面阻止木马后门、广告软件、间谍软件等恶意程序下载和扩散的功能,在紧急漏洞出现而系统仍不具备有效补丁解决方案时,提供“虚拟补丁”功能,从而提供实时防御,增强应对突发威胁的能力,保障业务系统的运行连续性和完整性。
5.3.3 网站安全防护
5.3.3.1 网站入侵防护
5.3.3.1.1 防护需求
网站(Web)已经深入各行各业,成为最流行的信息和业务平台,是信息系统的主要业务应用。在Web 2.0的技术趋势下,各类机构还在不断增加网站上的功能,尤其是增加互动,以提供更好的用户体验。但是,正因为空前的流行,致使75%以上的攻击都瞄准了网站(Web)。这些攻击可能导致企业遭受声誉和经济损失,并可能造成恶劣的社会影响。网站管理者已经意识到网站安全面临的严峻形势,正在采取措施,但他们面对以下挑战:
传统安全设备(防火墙、IPS)在阻止Web应用攻击时,能力不足;
对于已经上线运行的网站,用“改代码”的方法修补漏洞需要付出过高的代价;
很多拥有重要网站的机构,面临监管部门的“合规检查”压力。
因此需要一种安全工具用于保护重要信息系统不受Web应用攻击的影响,不仅能够检测目前复杂的Web应用攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。
【相关规范要求】
根据《GB/T 22239-2008信息系统安全等级保护基本要求》7.1.2.5 入侵防范(G3)。要求:
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
5.3.3.1.2 解决方案
根据以上需求,设计在WEB服务区域上部署一台WEB应用防火墙,对需要进行WEB应用安全防护的网站IP地址使用路由方式将其流量牵引到WEB应用防火墙,WEB应用防火墙通过多层的攻击流量识别与净化功能,将Web攻击流量从混合流量中过滤,合法流量被重新注入回网络,最终到达目的网站,网站响应的HTTP流量在返回给客户端之前,仍然需要流经WEB应用防火墙,WEB应用防火墙可提供安全检测,经WEB应用防火墙检测后的流量最终返回给客户端。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技WEB应用防火墙(WAF)部署方案。
绿盟科技Web应用防火墙(简称WAF)将客户资产作为组织Web安全解决方案的依据,用黑、白名单机制相结合的完整防护体系,通过精细的配置将多种Web安全检测方法连结成一套完整(COMPLETE)的解决方案,并整合成熟的DDoS攻击抵御机制,能够在IPV4、IPV6及二者混合环境中抵御OWASP Top 10等各类Web安全威胁和拒绝服务攻击,并以较低的运营成本为各种机构提供透明在线部署、路由旁路部署、镜像部署和云部署,能方便快捷的部署上线,保卫您的Web应用免遭当前和未来的安全威胁。
绿盟WAF具有以下功能:
降低数据泄漏风险 Web承载的交互式应用是数据库的门户,攻击者经常通过SQL注入等方法入侵数据库,造成数据泄露。WEB应用防火墙系统能检查HTTP请求的各个字段,用精炼的规则对攻击实施过滤,加上HTTP协议合规检查、状态码过滤等机制,降低数据泄露风险。
支撑Web服务可用性
DDoS攻击对Web服务可用性的威胁最大,绿盟科技WAF系统集成专业DDoS防护功能,包括多种动态防护算法,可以在线过滤DDoS攻击,与SQL注入防护等功能一起使用,提供从网络层到应用层的攻击过滤,支撑Web服务可用性。
控制恶意访问
自动化攻击工具能构造大规模的恶意访问,给Web应用稳定性造成很大危害。绿盟科技WAF系统支持多种Web访问控制,可以满足不同用户的需求,包括URL访问控制、自动化攻击工具识别、控制非法文件上传和下载、阻止盗链和爬虫等。
保护Web客户端
用户访问站点时,如果遭受CSRF攻击,用户就会对该站点失去信任。因此,保护Web客户端也是Web服务提供者的责任和关切。绿盟科技WAF系统可以提供CSRF防护、XSS防护、Cookie签名和加密等安全策略,保护Web客户端。
网页篡改在线防护
按照网页篡改事件发生的时序,绿盟WAF提供事中防护以及事后补偿的在线防护解决方案。事中,实时过滤HTTP请求中混杂的网页篡改攻击流量(如SQL注入、XSS等);事后,自动监控网站所有需保护页面的完整性,检测到网页被篡改,第一时间对管理员进行短信告警,对外仍显示篡改前的正常页面,保证用户可正常访问网站。
虚拟站点防护
随着数据中心不断发展和其用户托管网站业务的多样化,被托管网站使用一个IP对应多个不同域名的虚拟站点场景被越来越广泛的应用,对WAF也提出了支持虚拟站点场景的新要求。绿盟WAF能在IP+端口定义的站点基础上,配置IP对应的不同域名,并针对不同域名的虚拟站点做不同的防护策略配置,使策略的配置完全切合用户业务场景。在保障托管用户WEB安全的基础上,也为数据中心用户提供了向其托管网站提供WEB安全增值服务的业务机会,已被应用于多个国内外客户中。
【选型优势】
客户资产视角 绿盟WAF将站点看做用户的客户资产,用站点树来展示资产列表,直观展示资产清单及各资产的属性,如状态、协议类型、IP地址、端口等。同时,将资产所用的安全策略——各种安全规则的集合视为资产的属性之一,并以模板的方式保存。策略模版可以在IP+端口不同、业务环境相似的站点之间被方便的复用,产品更贴近客户。
多层次的防护机制
基于用户资产分层的特性,绿盟WAF将防护层级也进行了细分:默认防护层作用于站点对象;自定义防护层则作用于详细资产,即具体的URL。
默认防护层(作用于站点对象)自定义防护自定义防护自定义防护(详细资产1,作用于具体的URL)(详细资产2,作用于具体的URL)(详细资产3,作用于具体的URL)
图表1资产分层及其防护层级
此外,绿盟WAF在专注于Web应用防护的同时,还应用了自主研发的抗DDoS算法和多种应用层抗DDoS技术,可防护各类带宽资源耗尽型DDoS和应用层DDoS,实时阻断攻击流量,从网络层面确保Web业务的可用性及连续性。在DDoS攻击流量超过绿盟WAF的处理能力时,绿盟WAF和绿盟的专业Anti-DDoS设备ADS还能形成联合防护方案,借助ADS的专业防护能力完成攻击流量的牵引和清洗。
智能补丁应急响应
通过与绿盟科技云安全平台的Web漏洞扫描服务(PAWSS)或者WEB应用漏洞扫描系统(WVSS)联合防护,绿盟WAF能获取被防护站点的漏洞扫描报告,并根据自身已有的规则自动生成一套新的规则即智能补丁,应用于被保护站点。当被防护站点打上了智能补丁之后,之前被扫描出的Web应用漏洞将无法重现。 图表2智能补丁
智能补丁,借助了绿盟科技云安全平台中Web漏洞扫描服务和WEB应用漏洞扫描系统对Web漏洞的感知能力,又很好利用了绿盟WAF自身的规则体系,在不用更改被防护站点配置、不为其设备提供额外负担的情况下,有效减少了一些站点因无法频繁打补丁、业务频繁升级而引入漏洞带来的安全风险,还能及协助客户满足安全合规要求。
移动端实时了解安全状况
客户可在AppStore中下载绿盟科技安全管家APP,通过WAF与云的联动,可以把APP与WAF进行绑定,时刻获取设备的运行的状态,包括设备的cpu、内存、规则库版本等信息,一旦设备出现问题,可通过APP上一键联系绿盟安全人员对设备进行维护。运营实时化,大大降低了运维难度。
市场。
河。
多次评为最值得推荐Web应用防护产品
多次评为中国值得CSO信赖的信息安全高端产品奖
起步最早,技术可靠
2008年推出了国内第一款WEB应用防护墙产品,开国内WEB应用防护市场的先市场优势
市场占有率第一
据Frost & Sullivan统计,绿盟WAF2010-2016连续多年持续领跑大中华区WAF2016年中国唯一入选Gartner魔力象限 5.3.3.1.3 方案价值
WEB应用防火墙有效结合了静态规则与基于用户行为识别的动态防御机制,提供针对OWASP Top 10、LOIC、HOIC的全面防御,包括注入缺陷、跨站脚本(XSS)、失效的验证和会话管理、不安全的直接对象引用、跨站请求伪造(CSRF)、安全配置错误、不安全加密存储、未能限制URL访问、不足的传输层保护和未经验证的重定向和转发等攻击方法的防护,并引入自学习+白名单机制,有效增强0day漏洞的防护能力和精准防护能力,弥补了黑名单防护体系的固有缺点。在自身提供TCP Flood防护功能的基础上,当DDoS攻击超过了本身防护阈值的情况下,还能与出口部署的抗拒绝服务攻击解决方案联动,达到分层清洗的目的,保证Web应用的连续性和高可用性,有效降低安全风险。
5.3.3.2 网页防篡改技术
5.3.3.2.1 防护需求
网页篡改是攻击手段导致的一种攻击结果。黑客网页篡改的攻击手段,从传统的网站入侵手段逐渐向应用层攻击手段演变。后者攻击的门槛低、成本小而危害大。目前在动态网页环境中,最为泛滥的攻击手段当属SQL注入和跨站脚本攻击。
常见的网页篡改攻击手段主要有如下几种:
1. WEB Shell:利用上传木马等方式获取WEB Shell,通过各种方式获取管理员权限后进行文件上传、修改等手段来篡改网页。恶意人员通过WEB Shell与服务器的数据交换都是通过80等WEB端口进行,因此可以穿越防火墙。常用于攻击允许用户上传的网页系统。
2. 非法上传:恶意人员绕过管理员的限制,上传任意类型的文件或者在禁止写入的目录中写入文件。
3. SQL注入:恶意人员利用网页系统的漏洞,在访问网页时构造特定的参数实现对WEB系统后台数据库的非法操作。常用于非法修改动态网页数据。
4. 跨站攻击:恶意人员利用网页系统的漏洞,当用户提交数据与服务器进行交互时, 攻击者将恶意脚本隐藏在用户提交的数据中,实现篡改服务器正常的响应页面。
5. 利用OS漏洞:恶意人员利用OS漏洞获取管理员权限,修改网页文件或者动态网页数据。
【相关规范要求】
《GB/T 22239-2008信息系统安全等级保护基本要求》
7.1.3.5 入侵防范
b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施; 5.3.3.2.2 解决方案
根据以上需求,设计把网页防篡改系统直接部署在WEB服务器上。可以通过b/s管理方式对单个网页防篡改软件进行管理,也可以通过安全管理中心平台实现对多个防篡改软件系统的集中管理。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技网页防篡改软件(H-WAF)部署方案。
该产品具有以下特性:
WEB应用攻击防护技术
NSFOCUS H-WAF应用了先进的核心内嵌技术,且对WEB应用攻击进行了广泛且深入的研究,固化了一套针对WEB应用防护的专用特征规则库,对当前国内主要的WEB应用攻击手段实现了有效的防护机制,应对黑客传统攻击(WEB Shell及非法上传)以及新兴的SQL注入和跨站脚本等攻击手段,具体参见下表。
NSFOCUS WAF应对各类WEB安全威胁
威胁
SQL注入
描述 WAF应对措施
利用SQL注入漏洞,攻击者通过WAF基于特征分析,针对SQL在URL、表格域,或其他的输入注入,提供了有效识别、阻断并域中输入自己的SQL命令,以此告警。WAF可有效防护传统注入改变查询属性,骗过Web应用程手段,以及规避(escape)检测序,从而对数据库进行不受限的访问。
跨站脚本
利用XSS漏洞,通过虚假的Web页面内容伪装用户的常用方法。恶意攻击可以通过XSS来盗取用户的cookie,将用户引导至其他的恶意页面,并且向其提供虚假的内容。
WEB
Shell
利用上传木马等方式获取WEB
Shell,通过各种方式获取管理员权限后进行文件上传、修改等手段来篡改网页。恶意人员通过WEB Shell与服务器的数据交换WAF基于特征分析,检查用户提交的参数数据。
WAF基于特征分析,检查过滤用户的请求数据,可阻断XSS攻击。
手段。 都是通过80等WEB端口进行,因此可以穿越防火墙。常用于攻击允许用户上传的网页系统。
非法上传
恶意人员绕过管理员的限制,上传任意类型的文件或者在禁止写入的目录中写入文件。
所谓“核心内嵌”,即通过WEB服务器(IIS、Apache等)提供的框架接口在WEB服务器中嵌入一个过滤模块,该模块能够对进出WEB服务器的所有HTTP请求(检测内容包括HTTP协议头部及数据部分,支持所有类型HTTP请求方法)和响应数据包进行合法性检查和修改,从而能够实现攻击检测、敏感关键字过滤等功能。具体实现参见下图。
WAF基于特征分析,检查用户提交的参数数据,发现和阻断攻击。
核心内嵌技术
文件保护技术
NSFOCUS H-WAF采用事件触发检测技术来实现文件保护技术,利用操作系统提供的文件系统底层接口,在网页文件被修改时(即触发了对网页文件的写入、删除等事件)进行合法性检查。NSFOCUS H-WAF在接收到针对指定的网页文件的操作请求时,先检查这个请求是否来自合法的进程和用户;如果合法则向下层驱动传递,基于细粒度的文件防护规则进行进一步判断,合法则正常完成文件操作;如果该请求来自非法的进程或用户,则直接向上层返回拒绝,从而阻止了对相应文件的操作,达到防篡改的目的。
对于文件保护技术,Windows提供的接口具有通用性,而Linux系统下存在内核适配性需求,因此为较好实现跨平台支持,要求厂商对Linux系统内核有着较深入的理解。NSFOCUS
H-WAF实现了市场重大技术突破,在Windows及Linux操作系统下均实现了文件保护机制。且由于其实现是在内核态,具有较用户态(应用层)实现更高的安全性及优越的性能表现,对攻击者突破防线所需的技能要求更高。技术架构参见下图。
文件保护技术
网页挂马及后门检测
网页挂马的直接受害者为终端用户,Web服务器作为被利用者,成为传播网页木马的“傀儡帮凶”。对于Web服务器而言,最大隐患在于,多数情况网站实质已被入侵,只是攻击者出于经济利益考虑,未采用更为直观的网页篡改方式。
NSFOCUS H-WAF应用成熟的爬虫技术和网页挂马检测技术,全面检查网站各级页面中是否被植入恶意代码,确保网站应用的完整性,有效避免网站成为恶意软件的分发、传播渠道。该功能未采用复杂的虚拟机方式,而是应用了一种轻量级方案,最终以较简单、高效的方式实现了较高的网页挂马检测准确率。
NSFOCUS H-WAF还提供本地后门扫描功能,将网站安全面临的风险降至最低。 NSFOCUS H-WAF系统架构
5.3.3.2.3 方案价值
WEB应用防护系统(主机版)关心网页篡改安全事件发生的前因后果,寻求最佳“安全-成本”平衡点,提供“标本兼治”的解决方案。事中,网页防篡改软件应用了先进的WEB服务器核心内嵌技术以及增强型事件触发检测技术,提供双重防线;且提供了事后补偿机制,保护WEB网站不响应被篡改内容并进行文件自动恢复。同时,提供了网页挂马及后门扫描功能,将风险降至最低。
5.3.4 安全审计
5.3.4.1 数据库审计技术
5.3.4.1.1 审计需求
数据库安全事件频繁发生,与数据库管理面临的安全挑战密切相关。概括起来数据库面临的安全挑战可以分为以下三个方面:
管理层面:主要表现为人员职责定位不清晰、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作缺乏有效监控等等,致使安全事件发生时,无法追责到人。
技术层面:数据库内部操作不明晰,无法通过传统的外部安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、资源滥用和敏感歇息泄露等违规行为。
审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难以体现审计信息的真实性。
【相关规范要求】
《GB/T 22239-2008信息系统安全等级保护基本要求》
7.1.3.3 安全审计(G3)
a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d) 应能够根据记录数据进行分析,并生成审计报表;
e) 应保护审计进程,避免受到未预期的中断;
f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
5.3.4.1.2 解决方案
根据以上需求,设计在核心数据库区部署数据库审计系统,旁路连接到数据库服务器前端交换机上,通过交换机配置双方向端口镜像的方式,实时获取网络中的数据库访问数据包,并进行分析。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技数据库审计系统(DAS)部署方案。 绿盟数据库审计系统(NSFOCUS DAS)是一款具备完全自主知识产权的专业、实时数据库审计产品。能够多角度分析数据库活动,并对异常的行为进行告警通知、审计记录和事后追踪分析。NSFOCUS DAS独立于数据库进行配置和部署,这种方式能够在不影响数据库的前提下达到安全管理的目的。
该产品具有以下功能:
数据库漏洞攻击检测
在CVE上公开了2000多个数据库安全漏洞,这些漏洞给入侵者敞开了大门。数据库厂商会定期推出数据库漏洞补丁,出于数据库打补丁工作的复杂性和应用稳定型的考虑,大多数企业无法及时更新补丁。本系统提供了漏洞攻击检测功能,在数据库外的网络层创建了一个安全层,在用户在无需补丁情况下,完成数据库漏洞防护。
监控大规模数据泄漏和篡改
本系统针对不同的数据库用户,提供敏感表的操作权限、访问行数和影响行数的监控,以及限制NO WHERE查询和更新操作的监控,从而避免大规模数据泄露和篡改。
用户权限细粒度管理
本系统对于数据库用户提供比DBMS系统更详细的虚拟权限监控。
监控策略包括:用户+操作+对象+时间。在操作中增加了Update Nowhere、delete Nowhere等高危操作;控规则中增加返回行数和影响行数因素。
【选型优势】
该产品具有以下优势:
全面记录数据库访问行为
评估一款数据库审计产品优劣的最基本的标准,就是该产品的记录是否全面,例如能否精细分析数据库协议以及其中的SQL语句,进而详细记录其中的每一个要素;能否支持所有标准的SQL语句类型;能否支持市场上所有常见的数据库类型。在这几点基本的评估要素上做到位,其他的特性及优势才有意义。
NSFOCUS DAS基于精细的数据库协议解析和专业的SQL语法、词法分析,具备全面的数据库访问审计能力,具体表现在以下几个方面:
记录的日志信息全
NSFOCUS DAS突破了传统审计产品5要素的审计能力瓶颈,将可审计要素提升至7要素:
Who——应用用户、数据库用户、主机名称、操作系统帐号等;
What——访问了什么对象数据,执行了什么操作;
When——每个事件发生的具体时间; Where——事件的来源和目的,包括IP地址、MAC地址等;
How——通过哪些应用程序或第三方工具进行的操作;
Range——该操作执行的影响范围,如查询、修改或删除的记录行数;
ResultSet——返回结果集,如查询操作的返回内容,这将是审计人员进行线索追踪分析的有力取证材料。
审计的SQL语句类型全
NSFOCUS DAS支持对所有标准的SQL语句进行审计,包括数据查询语言DQL、数据操纵语言DML、数据定义语言DDL、数据库控制语言DCL。
支持的数据库类型全
NSFOCUS DAS能够保护所有常见的数据库类型,支持国外数据库Oracle、IMB DB2、Microsoft SQL Server、MySQL和PostgreSQL,以及国产数据库达梦DM、人大金仓Kingbase和南大通用GBase。
准确关联应用用户
绝大多数用户环境中的数据库服务器均为三层部署环境,即客户端-Web服务器-数据库服务器,终端用户通过Web服务器实现对数据库的访问操作。传统的数据库审计产品只能通过时间戳等信息来关联前端的Web访问和后端的数据库请求,在并发量较大的情况下关联的准确率直线下降。
NSFOCUS DAS是国内首个做到100%准确关联应用用户的同类产品。
DAS通过对前端应用访问和后端数据库操作请求进行多层业务关联审计,实现访问者信息的完全追溯,包括发起操作的应用用户、URL、客户端的IP、请求报文等信息,精确地定位事件发生前后所有层面的访问及操作请求,使得追责、问责到人成为现实,真正做到数据库操作行为可监控、违规操作可追溯。
图 5.4 NSFOCUS DAS应用用户关联示意图 DAS提供的关联方法,避免了传统数据库审计产品关联中基于时间匹配所造成的大量错审现象,使应用用户与SQL语句实现实时、准确关联;也使针对应用用户危险行为描述、审计和实时告警成为可能。
图 5.5 应用用户关联审计日志
另外,DAS能够准确关联SQL语句中的参数、准确识别SQL语句的操作对象,方便管理员各个维度的精准定位。
快速处理日志信息
全面、准确记录数据库访问行为的基础之上,系统将产生大量的日志信息,接下来要考量的便是产品的日志处理性能,海量日志能否快速入库、能否快速检索,成为审计类产品的价值能否得到体现的最终衡量指标。
NSFOCUS DAS具备卓越的日志与告警信息处理性能。首先,DAS通过专有的数据库索引技术,大大提高了日志检索速度,在库存10亿条日志的基础之上,随意检索数据库中的日志信息,响应时间在10秒以内。其次,DAS采取批量入库技术,有效保障海量日志的快速入库,以大型的金融行业客户为例,在高达万条级每秒的日志量环境中,日志入库的延迟不超过1分钟。
节省日志存储空间
客户购买审计类产品的主要原因之一,就是为了满足合规要求,等保、分保等法规法案对日志保存时间均有明确要求,一般要求至少保存3个月的审计日志信息,因此在有限的存储空间内能否保存尽量多、时间跨度尽量长的审计日志信息,成为衡量数据库审计产品优劣的又一个重要指标。
NSFOCUS DAS基于精细的SQL语法分析,采取SQL归一化处理技术,只保留SQL语句本质特征的一份副本,在此基础之上对于每个具体的SQL语句,仅需保存动态的条件值或参数即可,因此在同样的存储空间中,相对其他同类产品,DAS能够存储大量的日志数据。以2TBG的硬盘为例,在5000万条/秒的日志量环境中,DAS能够轻松地存储6个月以上的日志,是同类产品的4~5倍。
5.3.4.1.3 方案价值
通过在单位网络中部署数据库审计系统DAS,在符合国家法律法规的同时,可以帮助用户单位网络信息安全管理者有效掌握数据库安全状态,为整体安全策略的制定提供权威可靠的支持。
NSFOCUS DAS的用户价值
NSFOCUS DAS能够帮助用户:
满足合规要求:帮助用户满足等保、分保等合规要求;
提高监管能力:全面、准确地展示、汇报数据库访问情况、安全风险和执行效率,方便管理员全方位掌控数据库运行情况,提高对数据库安全监管的能力;
加快响应速度:实时记录、分析和统计数据库访问行为和安全风险的告警信息,方便管理员在数据库安全事件发生后第一时间采取管控措施,加快对数据库安全事件的响应速度;
解决追责难题:准确的应用用户关联优势,切实、有效地解决了三层数据库部署环境中,安全事件发生后精准定位、追责到人的难题。
5.3.4.2 网络审计技术
5.3.4.2.1 审计需求
安全审计系统(Security Audit System)是在一个特定的企事业单位的网络环境下,为了保障业务系统和网络信息数据不受来自用户的破坏、泄露、窃取,而运用各种技术手段实时监控网络环境中的网络行为、通信内容,以便集中收集、分析、报警、处理的一种技术手段。
【相关规范要求】
《GB/T 22239-2008信息系统安全等级保护基本要求》
7.1.2.3网络安全-安全审计(G3)
本项要求包括:
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应能够根据记录数据进行分析,并生成审计报表;
d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
7.1.3.3 系统安全-安全审计(G3)
本项要求包括:
a)
b)
审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
c)
d)
e)
f)
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
应能够根据记录数据进行分析,并生成审计报表;
应保护审计进程,避免受到未预期的中断;
应保护审计记录,避免受到未预期的删除、修改或覆盖等。
5.3.4.2.2 解决方案
根据以上需求,设计在安全管理区域部署一台安全审计系统,采用旁路镜像的模式,审计各种已授权的网络行为。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技网络安全审计系统(SAS)部署方案。
绿盟科技研发的安全审计系统(SAS)是通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供权威可靠的支持。
绿盟安全审计系统具有三大功能:
内容审计
绿盟SAS提供深入的内容审计功能,可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能;并内置敏感关键字库,同时可自定义更新和补充关键字库,进行细粒度的审计追踪。
行为审计
绿盟SAS提供全面的网络行为审计功能,根据设定的行为审计策略,对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、在线视频、P2P下载、网络游戏等网络应用行为进行监测,对符合行为策略的事件实时告警并记录。 流量审计
绿盟SAS提供基于协议识别的流量分析功能,如:可识别使用80端口的P2P协议,避免基于80端口的HTTP协议流量统计错误,更精确可靠;实时统计出当前网络中的各种报文流量,进行综合流量分析,提供详细的流量报表;可以通过编辑自定义统计指定协议流量的IP TOPN,为流量管理策略的制定提供可靠支持。
具体特性如下:
1. 智能化协议识别与分析
绿盟SAS采用业界领先的智能协议识别和关联技术,智能识别采用标准及非标准端口的网络协议,例如使用80端口的P2P协议,提供全面深入的协议分析、解码回放,能够分析超过2000种应用层协议,包括HTTP、TELNET、FTP、SMTP、POP3、WEBMAIL、P2P、IM等,极大地提高内容分析的准确性,帮助管理员全面掌握网络安全状态。
2. 网络事件“零遗漏”审计
绿盟SAS采用先进的数据处理架构,对64bytes数据包的处理能力达到千兆线速的处理能力;同时采用先进的IP碎片重组与智能TCP流汇聚技术,达到接近100%的检测准确率和几乎为零的漏报率,实现网络事件的“零遗漏”审计。
3. 全面支持IPv6/IPv4双协议栈
绿盟SAS基于双协议栈(Dual Stack)架构,同时辨识IPv4和IPv6通讯流。通过IPv6地址格式的安全审计策略,实现对IPv6环境下的各种网络行为的审计,为IPv6环境提供有力的安全审计保障。
4. 基于用户的全程审计
绿盟SAS提供基于用户的全程审计功能,通过本地认证、与AD域联动或与RADIUS认证联动等多种认证方式,实时、动态同步IP地址与终端用户身份信息,对终端用户身份进行认证,进而识别发起网络访问的具体的终端用户。事前,支持基于用户帐号信息定义审计策略;事中,智能化识别每一次网络访问的用户帐号信息;事后,记录包含用户帐号信息在内的全面的日志信息。为安全事件的准确、快速追踪和定位提供了有力支持。
5. 多层次精细化审计
绿盟SAS基于网络行为、数据流内容等多个层次,实现对用户上网行为的精细化审计。
智能URL分类与WEB信誉管理:系统拥有超过1000万条的庞大中英文URL数据库,多种精细分类,如不良言论、色情暴力、挂马网站等;支持针对URL、网页页面内容、搜索引擎的关键字审计功能。系统采用绿盟云安全中心提供的Web信誉库,云安全中心通过对互联网资源(域名、IP地址、URL等)进行威胁分析和信誉评级,将含有恶意代码的网站例入Web信誉库,实现对用户访问非法、不良和高风险网站行为的审计和告警功能。 全面精细的敏感信息审计:系统提供全面细粒度的敏感信息审计功能。系统支持基于时间、用户、协议、内容等多种条件组合的信息审计策略,对邮件收发(WEBMAIL、SMTP、POP3)、文件上传下载(HTTP、FTP)、论坛、即时通讯等进行全面的信息审计,提供实时告警、信息还原功能,内置敏感关键字库,同时支持自定义更新和补充关键字库,实现敏感信息的深度检测识别还原,对机密信息外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。
实时上网行为审计:系统支持全面审计各种网站访问行为,实时告警、记录和网页还原,实现全面、准确、高效的网站访问监测;具有全程网络应用行为审计功能,支持对即时通讯、在线视频、P2P下载、网络游戏、炒股等互联网应用行为进行全过程监控。
6. 全程数据库操作审计
绿盟SAS可实时监控数据库各种帐户(如超级管理员、临时帐户等)的数据库操作行为,准确发现各种非法、违规操作,并及时告警响应处理,降低数据库安全风险,保护企业数据库资产安全。
全面丰富的审计类型:系统支持 ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Informix、Postgresql等主流数据库系统。
精细灵活的审计策略:支持基于内容关键字、IP地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名、字段名等精细组合数据库审计策略,从而全面监测各种非法违规操作。
完整还原数据库操作:实时审计用户对数据库系统所有操作(如:插入、删除、更新、用户自定义操作等),精细还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,实现数据库安全事件准确全程跟踪定位。
7. 业界首创“网站内容安全”主动审计
绿盟SAS“主动审计”能够帮助用户及时准确发现网站、论坛、博客中的非法敏感信息和网页挂马隐患;系统部署简单方便,接入网络就可以扫描检测。主动审计功能包括:
不良敏感信息扫描:绿盟SAS具有高效智能的内容识别引擎--NCRE(NCRE,Nsfocus
Content Recognition Engine),通过基于域名、关键字正则表达式等多种组合主动内容审计策略扫描指定网站,对被检测站点网页页面进行深度内容扫描检测,快速、准确的分析判断网页页面是否含有非法敏感信息,实时告警响应,并支持人工辅助校正扫描结果,从而有效防止不良信息扩散,为追查取证提供有力支持。
网站挂马扫描:绿盟SAS系可通过扫描指定网站,分析检测网页是否被挂马,并实时告警响应,为网站安全提供及时有效支持。
8. 审计信息“零管理”
发布者:admin,转转请注明出处:http://www.yc00.com/web/1690423307a347783.html
评论列表(0条)