威胁分析预警系统解决方案
2018年4月
21
威胁分析预警系统解决方案
目 录
1 方案特色及优势 .................................................................................................................................. 4 1.1 方案有效及时落地 ....................................................................................................................... 4 1.2 业务导向,契合用户需求 ........................................................................................................... 4 1.3 基于大数据平台,彻底解决信息孤岛 ....................................................................................... 4 1.4 基于流式的数据挖掘与分析 ....................................................................................................... 4 1.5 强大的追踪溯源能力 ................................................................................................................... 5 1.6 密切结合云安全业务 ................................................................................................................... 5 1.7 多产品协同,安防加固 ............................................................................................................... 5 1.8 部署方式灵活,支持水平扩展 ................................................................................................... 5 2 安全理论指导与设计原则 .................................................................................................................. 6 2.1 安全理论指导 ............................................................................................................................... 6 2.1.1 从“以网络或系统为中心”的策略,转变为“以信息或数据为中心”的策略 ........... 6 2.1.2 从“以控制为中心的安全”演进至“以人为核心的安全” ........................................... 6 2.1.3 安全能力从“防范”为主转向“快速检测和响应能力”的构建 ................................... 7 2.1.4 安全防护从“个体或单个组织”的防护,转变为“安全情报驱动”的信息共享、集体协作方式 ........................................................................................................................................ 7 2.2 设计原则 ....................................................................................................................................... 8 2.3 遵循标准与法规 ........................................................................................................................... 9 3 整体解决方案 .................................................................................................................................... 10 3.1 方案建设目标 ............................................................................................................................. 10 3.2 方案建设内容 ............................................................................................................................. 10 3.3 方案总体设计 ............................................................................................................................. 11 3.3.1 架构设计 ............................................................................................................................ 11 3.3.2 功能设计 ............................................................................................................................ 12 3.3.3 集成设计 ............................................................................................................................ 14 3.3.4 部署设计 ............................................................................................................................ 19 3.4 方案详细设计 ............................................................................................................................. 20 3.4.1 数据采集设计..................................................................................................................... 20 3.4.2 大数据平台设计 ................................................................................................................. 21 3.4.3 大数据分析设计 ................................................................................................................. 21 3.4.4 态势监控设计..................................................................................................................... 22 3.4.5 审计运维设计..................................................................................................................... 22 3.4.6 资产管理设计..................................................................................................................... 23 3.4.7 追踪溯源设计..................................................................................................................... 23 3.4.8 通报处置设计..................................................................................................................... 24 3.4.9 情报库设计 ........................................................................................................................ 24 3.4.10 知识库设计 ...................................................................................................................... 25 4 方案清单及技术指标 ........................................................................................................................ 26 4.1 必选清单 ..................................................................................................................................... 26 4.2 可选清单 ..................................................................................................................................... 27 5 售后服务 ............................................................................................................................................ 32
21
威胁分析预警系统解决方案
5.1 产品支持服务 ............................................................................................................................. 32 5.2 响应与应急措施 ......................................................................................................................... 32 5.2.1 产品故障解决时限表 ......................................................................................................... 32 5.3 服务支持体系 ............................................................................................................................. 33 5.3.1 服务组织 ............................................................................................................................ 33 5.3.2 服务流程 ............................................................................................................................ 34
21
威胁分析预警系统解决方案
1 方案特色及优势
1.1 方案有效及时落地
威胁分析预警系统通过多个项目的实施部署,积累了大量相关经验,特别在有关网络威胁发现、安全运维、追踪溯源等方面有着卓越的优势,针对不同行业进行不同的安全运维,有效将项目落地,解决用户安全运维的需求。
1.2 业务导向,契合用户需求
威胁分析预警系统坚持业务导向,密切结合用户的自身业务需求,可组建专门定制项目团队进行定制开发工作,真正解决用户的痛点问题,彻底将网络安全中的不确定因素量化出来。
1.3 基于大数据平台,彻底解决信息孤岛
与传统SOC不同,威胁分析预警系统采用先进的ELK大数据平台,并进行专门的性能优化,真正将大数据技术落地到用户本地。系统可支持PB级数据存储,亿级数据秒级查询性能。
通过本系统,用户可将全网数据统筹管理,真正解决信息孤岛问题。
1.4 基于流式的数据挖掘与分析
威胁分析预警系统内置大数据分析引擎,其采用先进的流式数据处理算法,将数据在内存中进行关系分析运算,支持多种表达式运算,真正挖掘到网络中存在的威胁。
1.5 强大的追踪溯源能力
威胁分析预警系统能够快速检索本地的海量数据日志,并可进行关联查询发
21
威胁分析预警系统解决方案
现攻击者留下的痕迹,绘制出攻击者的攻击路径。
1.6 密切结合云安全业务
产品全面支持虚拟化(云化),同时结合云安全业务进行专门的安全防护。
1.7 多产品协同,安防加固
威胁分析预警内置API机制,若允许可与其他安全产品进行安全联动,有效进行安防加固。
1.8 部署方式灵活,支持水平扩展
威胁分析预警产品支持单机、集群、级联等多种部署方式,同时支持在云平台上部署。
21
威胁分析预警系统解决方案
2 安全理论指导与设计原则
2.1 安全理论指导
信息安全总是随着信息化发展而发展的,传统的用户网络系统架构主要包括互联网、运营商、网络、存储、服务、终端等内容,其中又以运营商边界为界限,分为内网与外网。在传统网络架构上,对于用户来说,安全主要是指内网的安全,而威胁来自两个方面:来自外网的非法攻击威胁,和来自内网的安全使用威胁。
为了方便用户管理以及安全防护,传统的用户网架构会进行多个管理域或安全域的划分,不同的安全域之间存在明确的边界,而从外网而来安全威胁也会跨过边界,进行为纵深突破,直达服务或者数据,以实现信息窃取或者服务控制的非法企图。而用户也常常因为安全意识薄弱,不安全的使用习惯,导致不经意间对信息系统或者数字资产带来安全威胁。
2.1.1 从“以网络或系统为中心”的策略,转变为“以信息或数据为
中心”的策略
用户的IT设施将逐步发展为基于云的服务模式,用户对网络、服务器、系统或应用软件都不在具备控制权,在大部分情况下,用户仅仅控制了信息(数据)。信息安全策略上,从一个“自下而上”的以网络为中心的战略,转变为“自上而下”的“以信息为中心”的策略,安全能力集中在信息(数据)本身。 2.1.2 从“以控制为中心的安全”演进至“以人为核心的安全”
以控制为中心的传统防护体系的思路将会被一个现代化的、有效的、成本更低的以人为中心的安全(PCS)替代。PCS基于一系列的的关键原则,个体权利以及相关的责任等。每个个体都有一定的权利但是也必须遵循相关的职责。如
21
威胁分析预警系统解决方案
何个体的行为不是按照正常的行为方式,这些人将受到控制或处理。PCS是以人的行为为控制点,采用行为分析的方式来发现安全异常。
2.1.3 安全能力从“防范”为主转向“快速检测和响应能力”的构建
面对高级的定向攻击(APT),我们不能完全阻止控制攻击者进来,能有效的做法是控制其行为,避免进一步的攻击和破坏。此部分的重点工作:
1、按照以信息为中心的安全策略,监控的重点可以根据场景的不同,监控对应用、数据库、文件系统、内容管理系统的访问。
2、重点监测的工作首先对用户最关键的信息资产——典型的财务和客户数据库,然后扩展到其他敏感的数据。
3、使用场景化的情报描述,可以提高结果的准确度。
4、端点监控(Endpoint)仍是关键。可以让原厂商提供内置的日志和审计功能。
5、未来五年内,随着大数据的规模增大,信息安全监测的量级会越来越大。 6、用户的访问行为很关键,可以通过全面的监控措施,比如DAP、IAM来综合分析确定用户的访问行为,在云计算环境下,CASBs(cloud access security brokers)的可以有效的记录用户的访问行为。
2.1.4 安全防护从“个体或单个组织”的防护,转变为“安全情报驱
动”的信息共享、集体协作方式
面对高级的定点攻击,任何用户单打独斗都不足以对抗攻击者。用户需要有更好的安全情报分享(包括攻击者的位置、方式、使用的工具武器、技术手段、攻击目标等),只有通过内部的监控、外部情报的共享,产生更全面更详尽的基于场景的可视化的数据以提供安全决策。根据响应能力(authority)不同,情报
21
威胁分析预警系统解决方案
主要来源可分为vendor sand government(服务商和政府)主导提供,或者通过在同行业用户之间的联盟(coalitions among enterprises in the same industry)来提供情报。
2.2 设计原则
威胁分析预警项目的建设不同于其他的网络建设,国家相关主管部门对安全建设项目的承接者、使用的安全产品、安全规划、安全项目评测都有着严格的要求,同时考虑到对网络资源的保护,以及未来发展的现实要求,方案设计将遵循以下原则设计:
安全保密原则:安全保密性是系统建设的重要前提,对项目建设过程中
的数据严格保密,未经授权不会泄露任何给任何单位和个人,不会利用此数据进行任何侵害甲方信息系统运营的行为。
实用性原则:在制定安全系统方案时,尽量利用原有设备,在投资最小
的条件下满足网络安全的需求。
合法性原则:安全保障体系的建设充分利用成熟的信息安全理论成果,
符合国家法律和相关政策规定及相应标准规范要求,具有很高的整体性、适用性和可扩展性。
先进性原则:采用国际上最先进和成熟的体系结构,使系统能够适应今
后的业务发展变化需要。
可扩展原则:在尽量节省投资同时实现系统平滑扩展,考虑未来安全技
术的发展因素。
可靠性原则:采用成熟的主流技术和产品以及详尽的故障处理方案。 可行性原则:制定安全系统保证与现有系统无缝连接,有序过渡具有技
术、经济可行的合理性。
21
威胁分析预警系统解决方案
2.3 遵循标准与法规
为了使网络安全问题得到及时、有效的解决,为未来的网络建设和信息系统建设铺平道路,安全方案将严格遵循下列国家标准:
中华人民共和国计算机信息系统安全保护条例 计算机信息网络国际联网安全保护管理办法 计算机信息系统国际联网保密管理规定
计算机信息系统安全保护等级划分准则(GB 17859-1999)
信息技术、安全技术、信息技术安全性评估准则(GB/T 18336-2001) 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发
[2003]27号)
《涉及国家秘密的计算机信息系统安全保密方案设计指南》 《涉及国家秘密的计算机信息系统保密技术要求》 电子计算机机房设计规范 计算站场地技术条件 计算站场地安全要求
21
威胁分析预警系统解决方案
3 整体解决方案
3.1 方案建设目标
威胁分析预警系统是一款基于大数据分析的综合安全管理系统。
本系统通过对全网信息资产以及相关环境的数据采集、统一管理与安全分析,实现全网综合安全感知,通过智能安全处理保护信息环境稳定安全,同时通过持续检查与预警实现7*24小时安全防护。其具体建设目标如下:
1) 实现对整体安全态势的感知; 2) 实现对入侵攻击态势的感知; 3) 实现对威胁态势的感知;
4) 实现对内部违规行为、处置态势的感知; 5) 实现对告警信息进行通报预警及处置; 6) 实现对流量信息的威胁分析预警; 7) 实现对资产的安全态势监控;
8) 协助用户将安全运维落地,形成管理闭环;
3.2 方案建设内容
威胁分析预警系统建设内容主要包括:威胁分析预警、安全分析、资产管理及拓扑、追踪溯源、通报处置、情报库信息、知识库信息、工单系统等模块。
系统通过全量数据采集,包括网络设备、安全设备、主机、路由器、交换机、
资产信息、用户业务数据等,逐步完善建设大数据平台基础,在此基础上通过建立各类情报库的完善和丰富工作。
21
威胁分析预警系统解决方案
数据经由数据分析引擎进行分析产生告警,并通过安全联动实现动态的安全防护能力。告警交由各子系统如安全监测子系统、通报处置子系统、追踪溯源子系统、工单子系统等进行进一步处理。
3.3 方案总体设计
3.3.1 架构设计
本方案采用数据采集、数据处理及存储、数据关联分析、可视化交互管理四层逻辑架构。各层之间松耦合,真正实现模块化运行,有效保证系统的正常运行。
各层功能如下:
➢ 数据采集层:资产发现与管理、安全志日志采集、流量采集、威胁情报
采集、应用系统数据采集等
➢ 数据存储层:数据预处理、数据解析处理、数据格式化处理、数据丰富
化处理、威胁情报库匹配、数据归一化、数据存储队列、数据存储等
➢
数据分析层:网络攻击发现、异常行为智能感知、高级威胁智能感知、
21
威胁分析预警系统解决方案
安全事件审计、系统脆弱性分析、安全关联分析等
➢
可视化交互管理:安全监测预警、威胁分析预警分析、通报处置、威胁情报、追踪溯源等
3.3.2 功能设计
3.3.2.1 态势监控
综合态势监控:包括全网数据汇、区域安全排名、资产安全排名、威胁种类统计、攻击来源统计、最新告警信息等;
攻击态势监控:包括大屏攻击地图仿真、攻击区域排名、攻击趋势统计、告警列表等;
威胁态势监控:重点关注僵木蠕、病毒、后门、脆弱性等
资产态势监控:以资产拓扑的形式展现网络攻击状态,实时关注到每一个节点的安全状况。
流量态势监控:关注流量方面的汇总统计,包括发送流量TOP、接收流量TOP、协议统计TOP等;
3.3.2.2 安全分析
对原始数据进行多维度分析统计,包括:访问关系分析、周期对比分析、多属性聚类分析、趋势分析、热力图分析等;
对分析后告警进行多维度分析统计,包括:访问关系分析、周期对比分析、多属性聚类分析、趋势分析、热力图分析等;
21
威胁分析预警系统解决方案
3.3.2.3 审计运维
审计所有告警事件,快速生成处置报告,同时支持一键外发告警 内置工单系统和知识库管理,帮助用户进行内不数据运维
高性能搜索引擎,帮助用户快速追踪溯源,同时将入侵过程划分为“侦察跟踪”、“载荷投递”、“突防利用”、“安装植入”、“渗透破坏”六个阶段
丰富的安全报告,帮助用户将数据报表化
3.3.2.4 资产管理
内置资产扫描工具,自动发现用户网络中的资产 灵活的资产拓扑定义,允许用户自定义资产拓扑 支持多维度定义资产信息,全方面掌握资产状况
3.3.2.5 大数据平台
基于ElasticSearch设计的大数据平台,并进行了定制化修改,实现对数据的快速检索及分析。
支持多种数据采集方式,包括syslog、netflow、natflow、api数据接口等;
支持多种安全设备如WAF、IPS、审计类的自动化解析,支持自定义解析规则
21
威胁分析预警系统解决方案
支持地理信息、资产信息、情报库等信息的自动化补全 支持事件的归一化 支持单机、集群部署方式
3.3.2.6 关联分析引擎
威胁分析预警系统内置了超过100种的关联分析规则,同时规则分析引擎可实时对数据进行解析及分析。 基于ESPER设计的高性能分析引擎
支持聚类分析、规则分析、情报分析、深层次关联分析等多种分析模式 支持对分析结果进行归并,解决数据重复问题 可与内外部情报库关联,进一步精确分析结果
3.3.2.7 针对内部专网的网络安全定制
针对内部专网,我们有专业的团队长期跟踪支持,深入理解客户的需求,真正解决用户的痛点问题,并且有实际案例落地。
3.3.3 集成设计
3.3.3.1 全方位基础防御
策略控制
策略控制功能基于TCP/IP五元组等信息对数据进行策略访问控制,以阻断非法访问对数据造成的潜在威胁,为被保护信息资产提供安全环境。
21
威胁分析预警系统解决方案
访问控制:支持根据协议、网络接口、源/目的IP、时间等元素,自定义访问控制规则。通过这些规则,可以帮助客户灵活的管控自身网络的流量出入规则。
NAT策略:支持源/目的、静态/动态地址转换功能,同时也支持多种网络转换方式,如一对一、一对多和多对一等方式。
路由策略:支持静态路由和策略路由两种路由方式。其中策略路由能够根据网络接口、IP、端口等选择报文转发策略,尽可能满足客户的各种应用场景。
入侵防护
入侵防护功能融合特征识别、流量异常检测、会话跟踪等多种技术手段,能够精确的发现各种网络入侵行为,并进行相应的防御,为被保护信息资产提供深入全面的安全解决方案。
拥有强大的DOS/DDoS攻击防御能力,其内置了各种DOS/DDoS的检测算法,能够防御Jolt2、Land-Base、TearDrop等多种攻击行为,以及SYN、UDP、ICMP扫描行为。
拥有完善的特征库,具有强大的特征检测系统。该系统采用快速高效的匹配算法,能够精确的检测出各种漏洞、缓冲区溢出、蠕虫木马、暴力破解、安全扫描等已知攻击行为。
拥有强大的安全事件研究团队,致力于研究国内外热点安全事件,并积极寻找修复方案,形成特征规则后,直接用于到防护设备如IPS,及时提升产品的防御能力。
拥有强大的特征规则库,目前已覆盖各种病毒、漏洞、蠕虫木马等规则,并在安全研究团队的努力下,一直在不断完善。
21
威胁分析预警系统解决方案
病毒防护
病毒防护综合采用数据包结构分析、网络行为分析、特征识别、模式匹配、流量控制与自动抑制、协议分析、深度内容分析、专业防病毒识别、蠕虫阻断、入侵防御、全透明桥接等技术,实现对网络危害数据的精确过滤。具备高效的防病毒能力,采用基于特征扫描和启发式扫描技术的检测技术,能够检测针对HTTP、FTP、SMTP、POP3、IMAP等多种协议的蠕虫病毒、木马病毒、后门等多种病毒,并进行实时查杀。
WEB防护
WEB防护主要针对WEB网站进行专业防护,保护WEB站点免受众多已知或未知的应用层攻击,可防护SQL注入、XSS跨站、篡改、COOKIE安全、木马上传、CC攻击、CSRF、盗链、撞库、敏感信息、关键字过滤等,为B/S架构业务提供安全运行环境。
3.3.3.2 多维度威胁检测
系统检测
系统检测是指对操作系统、应用程序、WEB服务器、数据库、网络设备、安全设备、虚拟化设备等进行高效、准确检测,检测内容覆盖了缓冲区溢出、拒绝服务攻击漏洞、弱口令、信息泄露漏洞等已知漏洞。通过多维度、大纵深的脆弱性检测,发现系统存在的潜在安全风险,帮助事前实现风险预防。
基线检测
基线检测是指对操作系统、中间件、网络设备、安全设备、虚拟化设备等的不安全配置进行检测,包括账户策略、组策略、密码长度策略、审核策略更改、审核登陆事件、审核进程跟踪、网络报警设置、日志设置、入侵防护要求等基线
21
威胁分析预警系统解决方案
设置,发现基线存在的潜在安全风险,帮助事前实现风险预防。
数据库检测
数据库检测是指对数据库进行漏洞扫描,发现数据库存在的潜在安全风险,帮助事前实现风险预防;当发现威胁是能有效进行阻断。
国外数据库支持:
Mysql、Orcal、DB2、Informix、SqlServer2000/2005/2008、Sybase等 国产数据库支持: DaMeng、Kingbase等
网站检测
网站检测是指对WEB服务、编程语言、CMS、数据库语言、框架等进行安全检查,检查范围包括可用性、漏洞检测、篡改检测、敏感内容检测、网马检测、暗链检测等,发现网站存在的潜在安全风险,帮助事前实现风险预防。
异常事故检测
对于某些不可避免地会绕过基础的拦截和预防机制的攻击,在尽可能短的时间里检测到入侵,将造成损害和泄露敏感的信息最小化。通过分析持续监控所收集的数据,包括从正常的网络和端点行为中检测出异常,检测出有外向连接到已知的危险实体,或者是检测作为潜在攻击线索的事件和行为特征的序列锁定异常事故。
3.3.3.3 精细化信息审计
数据库审计
采用有效的对数据库监控与审计方式,针对数据库漏洞攻击、SQl注入、风
21
威胁分析预警系统解决方案
险操作等数据库风险操作行为发生记录与告警。能对不同的场景定制审计策略,如:信任,敏感模糊化和行为告警等策略。本系统可以有效的评估数据库潜在风险;实时监控数据库用户的访问行为;它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部网络行为记录,提高数据资产安全。
行为审计
通过丰富网络应用识别,高效的网络数据采集、智能的数据信息处理、强大的行为审计分析对用户的上网数据进行分析处理,对网络流量进行内容审计与行为监控,实时监控网络资源使用情况,防止非法信息的传播,同时记录传播源以及传播路径的详细信息,便于追踪溯源,功能满足中华人民共和国公安部令第82号《互联网安全保护技术措施规定》,对客户访问互联网内容真实审计,追溯还原。
运维审计
统一单点登录:实现对所有授权资源的统一登录管理,只需登录系统,便可以管理配置其他网络资源,无需再次认证,避免频繁的登录与退出操作,简化密码的管理,通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。
集中账号管理:通过建立集中账号管理,可以把账号与管理人员人进行关联,以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足实名审计的需要。
统一身份认证:为用户提供统一的认证接口,能够采用更加安全的认证模式,包括静态密码、双因素、一次性口令和生物特征等多种认证方式。而且可以方便
21
威胁分析预警系统解决方案
地与第三方认证服务对接。
精细化资源管理:对用户、角色、行为和资源进行授权,可以实现用户对资源的细粒度授权管理,同时可以限制用户对资源的操作行为,以及在不同时间段用户对资源操作行为的不同授权。
细粒度访问控制:实现细粒度的命令策略,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其操作行为。
操作审计:系统支持对如下协议进行审计:Telnet、FTP、SSH、RDP(WindowsTerminal)、Xwindows、VNC等。 3.3.4 部署设计
系统支持单机部署、集群部署、多级部署等多种方式。各部署方式说明如下: 单机部署:
(1) 适用于网络结构简单、数据量较小的用户 (2) 数据采集、存储、分析集中一体 (3) 节省机房资源
集群部署:
(1) 适用于网络复杂、数据量巨大的用户 (2) 数据采集、存储、分析服务器独立部署 (3) 支持云和虚拟化部署方式
分级部署:
21
威胁分析预警系统解决方案
(1) 适用于分级网络的用户
(2) 数据采集、存储、分析服务器可集中分级部署 (3) 支持云和虚拟化部署方式
3.4 方案详细设计
3.4.1 数据采集设计
通过多维度的数据采集,对整个信息系统运行环境以及安全态势信息进行收集、存储,为大数据分析处理提供依据。采集信息内容包括:
全网信息系统资产信息 全网信息系统运行信息 全网信息系统漏洞信息 全网信息系统入侵事件信息 全网信息系统查杀病毒信息 全网信息系统脆弱性信息 信息系统数据库审计信息 管理人员操作运维信息 工作人员上网行为信息 权威机构威胁情报信息 其他信息
通用数据采集系统支持灵活的规则配置,无需二次开发进行进行数据采集。
21
威胁分析预警系统解决方案
针对特殊业务数据,支持定制开发采集探针或其他手段来获取信息。 3.4.2 大数据平台设计
通过对各类采集信息进行解析处理,将国内外常见的系统和设备日志信息自动解析,对数据进行识别标识丰富化,包括数据来源、资产信息、数据种类、地理位置信息、组织人员信息、监测时间等。结合海量最新的恶意IP库、可疑IP库、恶意域名库、Whois信息、终端行为库、恶意实体库、漏洞知识库,最终形成一条统一的事件信息纳入大数据平台管理。
大数据平台支持PB级数据存储,提供亿级数据秒级查询性能。
大数据平台建设参照搜索引擎方式,支持全字段全文检索,可快速进行数据溯源查询。
3.4.3 大数据分析设计
大数据分析子系统是基于流式的数据挖掘与分析,支持多维度全方位对采集到信息进行关联分析。系统内置了关联分析模型不少于100种。
1)基于ESPER设计的高性能分析引擎
2)支持聚类分析、规则分析、情报分析、深层次关联分析等多种分析模式 3)支持对分析结果进行归并,解决数据重复问题 4)可与内外部情报库关联,进一步精确分析结果 3.4.4 态势监控设计
态势监控子系统通过对采集到信息进行归类对比分析,并结合当前安全态势,进行多维度综合监控告警,包括:
21
威胁分析预警系统解决方案
资产态势监控:根据已有资产相关信息评估资产健康状况,并预测未来一段时间内可能遭受的威胁与攻击
威胁态势监控:根据已有漏洞、病毒、脆弱性等信息,根据当前安全态势,预测未来一段时间内可能爆发的威胁
攻击态势监控:结合实时攻击与历史攻击,评估出攻击路径、类型及方法,预测未来一段时间内将会遭受到的攻击
3.4.5 审计运维设计
审计运维子系统结合用户实际的网络拓扑,直观的展示出网络告警情况。其中网络拓扑可手动或自动生成。
在审计运维子系统中,显示整体的资产拓扑图,每个拓扑节点都可进行监控。当对应节点发生告警时,自动进行闪烁、变换颜色等提示操作,以提醒运维人员进行处理。同时运维监控态势中可查看整体的安全健康度评分,帮助运维人员了解整体状况。当用户点击拓扑节点,可在扩展页面中展示出该节点安全状况,包括该节点的健康评分、告警统计状况。 3.4.6 资产管理设计
资产管理子系统可对用户网路中的所有资产进行管理,包括网络设备、安全设备、路由器、交换机、主机、服务器、邮件服务器、数据库服务器等。
资产管理支持手工录入、手工导入、主动发现三种方式。通过对资产的梳理,将资产情况通知到告警模块,当一条告警发生时,可自动关联到本次告警应归类于哪个资产,从而将资产与告警关联起来,以便用户进行合理的安全运维工作。
资产管理子系统同时可对资产拓扑进行管理,允许用户自定义拓扑,并进行
21
威胁分析预警系统解决方案
资产拓扑的细节调整,包括逻辑连线、资产图标、资产节点定义等。 3.4.7 追踪溯源设计
追踪溯源子系统是核心功能模块之一,当攻击者成功在入侵网络后,威胁分析预警系统通过收集各网络设备、安全设备等的日志数据,进行深层次的关联分析,最终将用户攻击路径还原出来。一个可能攻击场景如下:
攻击者攻击情况如下:
1. 通过嗅探、扫描等发现管理系统后台; 2. 通过暴力破解登录后台系统 3. 通过SQL注入漏洞上传webshell 4. 数据由内网向外网进行数据传输。
通过定义数据分析模型:序列化分析模型,定义如下关联分析步骤: 事件A. WEB_暴力破解行为 事件B. WEB_SQL注入攻击 事件C. WEB_文件下载 其中关联关系如下:
事件A与B的目的IP相同,事件C的源IP与事件A、B的目的IP相同,同时事件C的目的IP为外网IP。
通过特定周期的关联分析,最终将此次攻击情况完整还原出来。
21
威胁分析预警系统解决方案
3.4.8 通报处置设计
通报处置子系统支持多种通报方式,包括WEB、邮件、短信、syslog等,同时支持将系统告警信息进行快速处置和详细处置等。
快速处置:基于数据处置规则,针对符合快速处置业务的数据自动推送到快速处置模块。该模块从业务分析角度统计分析各类安全隐患的数量。该模块支持用户自定义。
详细处置:基于告警数据的处置规则,针对某类高级告警,支持用户参与操作形成完整的处置报告,同时该处置报告可进行流转处理。
3.4.9 情报库设计
情报库子系统支持灵活的情报库设置,允许用户将各类情报库进行完善工作,包括恶意IP库、黑名单IP库、白名单IP库、重要资产IP库、WEB服务器IP库、邮件服务器IP库、数据库服务器IP库、安全设备IP库、内网IP库、DNS库、高危风险端口库、WEB服务端口库、邮件服务端口库、FTP服务端口库、恶意URL库、黑名单URL库、白名单URL库、挂马URL库、色情URL库、敏感关键词库、病毒指纹库、漏洞指纹库、恶意代码指纹库、恶意域名指纹库、地理库等。
情报库子系统可与大数据分析子系统进行联动,精准发现告警。 3.4.10 知识库设计
系统提供开放的知识管理功能,内置了大量的安全知识,同时也允许用户在系统使用过程中不断丰富和完善。用户可以对所有的知识点进行基于关键字的全文检索,操作界面类似百度搜索或者Google搜索。系统预先建立的知识包括:案例库、漏洞库、事件库、文档库、字典库等。
21
威胁分析预警系统解决方案
4 方案清单及技术指标
4.1 必选清单
威胁分析预警系统 硬件规格 最小配置为1台服务器,推荐配置为1台及以上,单台配置要求如下: CPU:Xeon 8核(两枚); 内存:64G; 硬盘:2T*3,Raid5 部署方式 ★支持分布式部署; ★支持集中式管理和升级模式; 支持分级管理模式; 采用B/S架构操作方式,无需客户端安装; 支持监控设备自身CPU、内存、磁盘、网络流量、设备负载等运行状况; 数据采集性能 支持分布式的处理框架,性能具备水平扩展能力;最小配置下处理性能为50000EPS以上; 数据存储性能 支持PB级数据存储,支持亿级数据秒级查询性能 21
威胁分析预警系统解决方案
数据分析性能 最小配置下分析性能为20000EPS以上; 4.2 可选清单
WEB应用防火墙 硬件及性能 2U标准机箱,双电源,板载:2个USB口、1个RJ45、1*GE/1*FE、4个网络接口板扩展槽位;1T硬盘;HTTP最大并发数不低于300万;吞吐不小于4G;质保期(自硬件发货12个月内)免费维保 部署规格 支持桥、代理、路由、旁路等多种模式; 支持虚拟化部署,可接入云平台 功能规格 WEB应用防护规则检测引擎,默认带1年WEB应用防护规则库升级。 SQL注入防护模块,XSS防护模块,CSRF防护模块,CC防护模块,XML注入防护模块,盗链防护模块,篡改防护模块,Cookie防护模块,撞库防护模块,HTTP协议校验模块,源区域访问控制模块,网站锁定模块,关键字过滤模块,智能补丁模块,敏感信息防护模块,客户端访问控制模块,HTTP智能学习模块 21
威胁分析预警系统解决方案
网络入侵防御系统 硬件及性能 2U标准机箱,双电源,板载:2个USB口、1个RJ45、1*GE/1*FE、4个扩展板接口;1T硬盘;HTTP最大并发数不低于300万;吞吐不小于20G;质保期(自硬件发货12个月内)免费维保 部署规格 支持桥、旁路等多种模式; 支持虚拟化部署,可接入云平台 功能规格 防护规则检测引擎,默认带1年防护规则库升级。 应用管理,Web过滤,邮件攻击检测,敏感信息防护,攻击防护,流控制,防SQL注入,防XSS注入。 数据库审计及风险控制系统 硬件及性能 2U标准机箱,双电源,板载:2个USB口、1个RJ45、1*GE/1*FE、4个网络接口板扩展槽位;抓包速度不低于1000M;可审计流量1200M;质保期(自硬件发货12个月内)免费维保 21
威胁分析预警系统解决方案
部署规格 支持旁路审计、串联阻断等多种模式; 支持虚拟化部署,可接入云平台 功能规格 AUDIT-V1.0系统,含检测引擎。 SQL注入防护模块、数据库协议解析、日志上报。 综合安全检查评估系统 硬件及性能 2U标准机箱,双电源,板载:2个USB口、1个RJ45、1*GE/1*FE、4个网络接口板扩展槽位;1T硬盘;单节点并发请求450/秒;包括综合管理平台、资产发现模块;质保期(自硬件发货12个月内)免费维保 部署规格 支持虚拟化部署,可接入云平台 21
威胁分析预警系统解决方案
功能规格 系统扫描(含弱口令扫描模块,支持512以上个IP) WEB扫描(支持5个以上网站) 数据库扫描(支持5个以上IP) 主机基线配置核查(支持512个以上IP) 网络基线配置核查(支持512个以上IP) 网站监控预警系统 硬件及性能 2U标准机箱,双电源,板载:2个USB口、1个RJ45、1*GE/1*FE、4个网络接口板扩展槽位;1T硬盘;质保期(自硬件发货12个月内)免费维保。 单节点并发请求450/秒。 部署规格 支持虚拟化部署,可接入云平台 功能规格 含可用性、漏扫、篡改、敏感内容、网马、暗链、钓鱼监测。 单节点并发请求450/秒
21
威胁分析预警系统解决方案
5 售后服务
公司一贯以高度严谨、认真负责的态度,对所销售的网络安全系列产品,为广大用户提供优质的服务,因此也赢得广大用户的好评。具体服务项目内容如下:
技术咨询; 产品培训; 软硬件升级; 故障诊断; 故障解决;
公司售出的非本公司的产品,其售后服务将遵照产品厂商的服务承诺。
5.1 产品支持服务
公司保证为客户提供的设备中所有预装和为本项目安装的软件为具有合法版权或使用权的正版软件且无质量瑕疵,且为该产品的当前最新版本;公司确保软件产品具有完整的技术资料和介质,保修期为一年。
5.2 响应与应急措施
5.2.1 产品故障解决时限表
品故障级别 第一级:重大的系统故障 第二级:严重的系统故障 第三级:一般系统故障 第四级:某些功能不会使用1-7天 或操作问题
21
解决时限 1-24小时内 1-36小时内 1-48小时内 承诺及人员安排 服务主管、技术专项工程师 服务主管、技术专项工程师 技术专项工程师 编写说明书,或交付前进行现场培训
威胁分析预警系统解决方案
1-3个月或不第五级:增加新功能 能提供 双方协商 5.3 服务支持体系
5.3.1 服务组织
“安服中心” 由公司最高领导层直接领导的一个独立部门,服务总监、秘书、值班人员等专职人员,以及实施人员、研发中心的研究/开发工程师和攻防实验室技术人员、技术支持部的安全技术专家组成了服务支持队伍。
5.3.2 服务流程 服务流程如下图所示。 (1)标准售后服务
标准售后服务范围包括:产品授权服务、技术支持服务、硬件保修、软件升级服务。
(2)产品授权服务
一旦选择购买公司安全产品即可享受标准的产品授权服务。 (2)技术支持服务
用户在购买公司产品后,可以享受公司售后全方位的技术支持服务。服务方式包括电话咨询、邮件支持、远程支持等,服务解决问题时间表参照5.1.2.1。
(3)硬件保修
公司为用户购买的仍在保修期内的硬件设备提供免费的维保服务。 (4)软件升级服务
技术人员将及时跟踪软件产品的最新信息,当软件产品发布新的可升级版本时,相关技术人员会与客户一起分析软件升级的必要性,如需软件升级,技术人
21
威胁分析预警系统解决方案
员会提供完整的升级方案并协助客户将产品升级成功。
21
因篇幅问题不能全部显示,请点此查看更多更全内容