二級(jí)等保建設(shè)方案

1、SANGFOR深信服科技烏魯瓦提水利樞紐管理局機(jī)房系統(tǒng)安全建設(shè)解決方案深信服科技有限公司2019年1 背景概述31。 1建設(shè)背景32。 2文件要求33。 3參考依據(jù)32 閥門監(jiān)控系統(tǒng)安全防護(hù)意義43 安全防護(hù)總體要求43。1系統(tǒng)性43。2動(dòng)態(tài)性43。3安全防護(hù)的目標(biāo)及重點(diǎn)53。4安全防護(hù)總體策略53。 5綜合安全防護(hù)要求61。 5。1安全區(qū)劃分原則63。 6綜合安全防護(hù)基本要求72。 6。1主機(jī)與網(wǎng)絡(luò)設(shè)備加固73。 6.2入侵檢測(cè)74。 6。3安全審計(jì)75。 6。4惡意代碼、病毒防范74需求分析84.1 安全風(fēng)險(xiǎn)分析84。 2安全威脅的來(lái)源95設(shè)計(jì)方案105.1 拓?fù)涫疽?15.2 安全部署方

2、案115.2。1下一代防火墻115.2.2終端安全檢測(cè)響應(yīng)系統(tǒng)（殺毒）125。2.3日志審計(jì)系統(tǒng)145。2。4運(yùn)維審計(jì)系統(tǒng)175。2。5安全態(tài)勢(shì)感知系統(tǒng)196方案優(yōu)勢(shì)與總結(jié)216。1安全可視216.2 融合架構(gòu)216.3 運(yùn)維簡(jiǎn)化221背景概述1.1 建設(shè)背景隨著我國(guó)信息化的大力發(fā)展，信息網(wǎng)絡(luò)已經(jīng)由幾個(gè)孤立的網(wǎng)絡(luò)發(fā)展成一個(gè)多連接的信息共享的復(fù)雜網(wǎng)絡(luò)，也正是由于網(wǎng)絡(luò)的接入共享為不法黑客的入侵系統(tǒng)帶來(lái)機(jī)會(huì)，嚴(yán)重影響系統(tǒng)的正常穩(wěn)定運(yùn)行和輸送。1.2 文件要求根據(jù)中華人民共和國(guó)網(wǎng)絡(luò)安全法，水利相關(guān)單位是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全重點(diǎn)保護(hù)單位。監(jiān)控、數(shù)據(jù)調(diào)度系統(tǒng)網(wǎng)絡(luò)空間大，涉及單位多,安全隱患分布廣

3、，一旦被攻破將直接威脅安全生產(chǎn)。為進(jìn)一步提高閥門監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)的安全性，保障閥門監(jiān)控系統(tǒng)安全，確保安全穩(wěn)定運(yùn)行，需滿足以下文件要求及原則。?滿足調(diào)度數(shù)據(jù)網(wǎng)已投運(yùn)設(shè)備接入的要求；?滿足生產(chǎn)調(diào)度各種業(yè)務(wù)安全防護(hù)的需要；?滿足責(zé)任到人、分組管理、聯(lián)合防護(hù)的原則；?提高信息安全管理水平，降低重要網(wǎng)絡(luò)應(yīng)用系統(tǒng)所面臨的的安全風(fēng)險(xiǎn)威脅,保證信息系統(tǒng)安全、穩(wěn)定的運(yùn)行，使信息系統(tǒng)在等級(jí)保護(hù)測(cè)評(píng)環(huán)節(jié)基本符合國(guó)家信息安全等級(jí)保護(hù)相應(yīng)級(jí)別系統(tǒng)的安全要求。1.3 參考依據(jù)本次網(wǎng)絡(luò)安全保障體系的建設(shè)，除了要滿足系統(tǒng)安全可靠運(yùn)行的需求，還必須符合國(guó)家相關(guān)法律要求,同時(shí)基于系統(tǒng)業(yè)務(wù)的特點(diǎn)，按照分區(qū)分域進(jìn)行安全控制計(jì)算機(jī)

4、信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB178591999).2 閥門監(jiān)控系統(tǒng)安全防護(hù)意義目前,隨著國(guó)際形勢(shì)的日趨復(fù)雜,網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空和太空之后第五作戰(zhàn)空間，國(guó)際上已經(jīng)圍繞“制網(wǎng)權(quán)”展開了國(guó)家級(jí)別的博弈甚至局部網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，為了加大網(wǎng)絡(luò)安全的落實(shí)，國(guó)家出臺(tái)了網(wǎng)絡(luò)安全法進(jìn)一步明確了業(yè)務(wù)主體單位或個(gè)人的法律責(zé)任,并于2017年6月1日開始正式實(shí)施。為加強(qiáng)閥門監(jiān)控系統(tǒng)安全防護(hù)，抵御黑客及惡意代碼等對(duì)閥門監(jiān)控系統(tǒng)的惡意破壞和攻擊，以及非法操作間接影響到系統(tǒng)的安全穩(wěn)定運(yùn)行.作為系統(tǒng)的重要組成部分，其安全與系統(tǒng)安全運(yùn)行密切相關(guān)，積極做好閥門監(jiān)控系統(tǒng)系統(tǒng)安全防護(hù)既有利于配合閥門監(jiān)控系統(tǒng)安全防護(hù)工作的實(shí)施

5、,確保整個(gè)系統(tǒng)安全防護(hù)體系的完整性，也有利于為公司提供安全生產(chǎn)和管理的保障措施。3 安全防護(hù)總體要求系統(tǒng)安全防護(hù)具有系統(tǒng)性和動(dòng)態(tài)性的特點(diǎn)。3.1 系統(tǒng)性其中以不同的通信方式和通信協(xié)議承載著安全性要求各異的多種應(yīng)用。網(wǎng)絡(luò)采用分層分區(qū)的模式實(shí)現(xiàn)信息組織和管理。這些因素決定了系統(tǒng)的安全防護(hù)是一個(gè)系統(tǒng)性的工程。安全防護(hù)工作對(duì)內(nèi)應(yīng)做到細(xì)致全面，清晰合理;對(duì)外應(yīng)積極配合上級(jí)和調(diào)度機(jī)構(gòu)的安全管理要求。3.2 動(dòng)態(tài)性閥門監(jiān)控系統(tǒng)安全防護(hù)的動(dòng)態(tài)性由兩方面決定。一是通信技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展；二是閥門監(jiān)控系統(tǒng)系統(tǒng)自身內(nèi)涵外延的變化。在新的病毒、惡意代碼、網(wǎng)絡(luò)攻擊手段層出不窮的情況下，靜止不變的安全防護(hù)策略

6、不可能滿足閥門監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全的要求,安全防護(hù)體系必須采用實(shí)時(shí)、動(dòng)態(tài)、主動(dòng)的防護(hù)思想。同時(shí)閥門監(jiān)控系統(tǒng)內(nèi)部也在不斷更新、擴(kuò)充、結(jié)合，安全要求也相應(yīng)改變。所以安全防護(hù)是一個(gè)長(zhǎng)期的、循環(huán)的不斷完善適應(yīng)的過程。如圖31所示P2DR真型是閥門監(jiān)控系統(tǒng)安全防護(hù)動(dòng)態(tài)性的形象表示。3.3 安全防護(hù)的目標(biāo)及重點(diǎn)閥門監(jiān)控系統(tǒng)安全防護(hù)是系統(tǒng)安全生產(chǎn)的重要組成部分，其目標(biāo)是：1)抵御黑客、病毒、惡意代碼等通過各種形式對(duì)閥門監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，尤其是集團(tuán)式攻擊。2) 防止內(nèi)部未授權(quán)用戶訪問系統(tǒng)或非法獲取信息以及重大違規(guī)操作。3) 防護(hù)重點(diǎn)是通過各種技術(shù)和管理措施，對(duì)實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)的安全實(shí)施

7、保護(hù)，防止閥門監(jiān)控系統(tǒng)癱瘓和失控，并由此導(dǎo)致系統(tǒng)故障.3.4 安全防護(hù)總體策略?安全分區(qū)根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)的影響程度進(jìn)行分區(qū)，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)。?網(wǎng)絡(luò)專用安全區(qū)邊界清晰明確，區(qū)內(nèi)根據(jù)業(yè)務(wù)的重要性提出不同安全要求，制定強(qiáng)度不同的安全防護(hù)措施。特別強(qiáng)調(diào)，為保護(hù)生產(chǎn)控制業(yè)務(wù)應(yīng)建設(shè)調(diào)度數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)與其它數(shù)據(jù)網(wǎng)絡(luò)物理隔離，并以技術(shù)手段在專網(wǎng)上形成多個(gè)相互邏輯隔離的子網(wǎng)，保障上下級(jí)各安全區(qū)的互聯(lián)僅在相同安全區(qū)進(jìn)行，避免安全區(qū)縱向交叉。?綜合防護(hù)綜合防護(hù)是結(jié)合國(guó)家信息安全等級(jí)保護(hù)工作的相關(guān)要求對(duì)閥門監(jiān)控系統(tǒng)從主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼方案、應(yīng)用安全控制、審計(jì)、備份等多個(gè)層面進(jìn)行

8、信息安全防護(hù)的措施。3.5 綜合安全防護(hù)要求3.5.1 安全區(qū)劃分原則閥門監(jiān)控系統(tǒng)系統(tǒng)劃分為不同的安全工作區(qū)，反映了各區(qū)中業(yè)務(wù)系統(tǒng)的重要性的差別。不同的安全區(qū)確定了不同的安全防護(hù)要求，從而決定了不同的安全等級(jí)和防護(hù)水平。根據(jù)閥門監(jiān)控系統(tǒng)系統(tǒng)的特點(diǎn)、目前狀況和安全要求，整個(gè)閥門監(jiān)控系統(tǒng)分為兩個(gè)大區(qū)：監(jiān)控大區(qū)和辦公大區(qū)。閥門監(jiān)控業(yè)務(wù)區(qū)是指由具有實(shí)時(shí)監(jiān)控功能、縱向聯(lián)接使用調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)Ｓ猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域?？刂茀^(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊（或子系統(tǒng)）的典型特征為：是生產(chǎn)的重要環(huán)節(jié)，直接實(shí)現(xiàn)對(duì)一次系統(tǒng)的實(shí)時(shí)監(jiān)控,縱向使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?，是安全防護(hù)的重點(diǎn)與核心。?辦公業(yè)務(wù)區(qū)辦

9、公業(yè)務(wù)區(qū)內(nèi)部在不影響閥門監(jiān)控業(yè)務(wù)區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)，安全區(qū)劃分一般規(guī)定。3.6 綜合安全防護(hù)基本要求3.6.1 主機(jī)與網(wǎng)絡(luò)設(shè)備加固廠級(jí)信息監(jiān)控系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服務(wù)器，以及網(wǎng)絡(luò)邊界處的通用網(wǎng)關(guān)機(jī)、WebK務(wù)器等，應(yīng)當(dāng)使用安全加固的操作系統(tǒng)。加固方式最好采用專用軟件強(qiáng)化操作系統(tǒng)訪問控制能力以及配置安全的應(yīng)用程序，其中加固軟件需采用通過國(guó)家權(quán)威部門檢測(cè)的自主品牌。非控制區(qū)的網(wǎng)絡(luò)設(shè)備與安全設(shè)備應(yīng)當(dāng)進(jìn)行身份鑒別、訪問權(quán)限控制、會(huì)話控制等安全配置加固?？梢詰?yīng)用調(diào)度數(shù)字證書，在網(wǎng)絡(luò)設(shè)備和安全設(shè)備實(shí)現(xiàn)支持HTTPS勺縱向安全WebK務(wù)，能夠?qū)g覽器客戶端訪問進(jìn)行身份認(rèn)證

10、及加密傳輸.應(yīng)當(dāng)對(duì)外部存儲(chǔ)器、打印機(jī)等外設(shè)的使用進(jìn)行嚴(yán)格管理或直接封閉閑置端口。3.6.2 入侵檢測(cè)閥門監(jiān)控業(yè)務(wù)區(qū)需統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),應(yīng)當(dāng)合理設(shè)置檢測(cè)規(guī)則檢測(cè)發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。3.6.3 安全審計(jì)閥門監(jiān)控業(yè)務(wù)區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析,及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對(duì)于遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操作行為，應(yīng)該進(jìn)行嚴(yán)格的安全審計(jì)。同時(shí)可以采用安全審計(jì)功能，對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集

11、中收集、自動(dòng)分析。3.6.4 惡意代碼、病毒防范應(yīng)當(dāng)及時(shí)更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應(yīng)當(dāng)經(jīng)過測(cè)試。禁止閥門監(jiān)控業(yè)務(wù)區(qū)與辦公業(yè)務(wù)區(qū)共用一套防惡意代碼管理服務(wù)器4需求分析4.1 安全風(fēng)險(xiǎn)分析閥門監(jiān)控系統(tǒng)系統(tǒng)面臨的主要風(fēng)險(xiǎn)優(yōu)先級(jí)風(fēng)險(xiǎn)說明/舉例0旁路控制(BypassingControls)入侵者對(duì)發(fā)送非法控制命令，導(dǎo)致系統(tǒng)事故，甚至系統(tǒng)瓦解。1完整性破壞(IntegrityViolation)非授權(quán)修改控制系統(tǒng)配置、程序、控制命令；非授權(quán)修改父易中的敏感數(shù)據(jù)。2違反授權(quán)(AuthorizationViolation)控制系統(tǒng)工作人員利用授權(quán)身份或設(shè)備，執(zhí)行非授權(quán)的操作。3工作人員

12、的隨意行為控制系統(tǒng)工作人員無(wú)意識(shí)地泄漏口令等敏優(yōu)先級(jí)風(fēng)險(xiǎn)說明/舉例(Indiscretion)感信息，或不謹(jǐn)慎地配置訪問控制規(guī)則等。4在截/篡改(Intercept/Alter)攔截或篡改調(diào)度數(shù)據(jù)廣域網(wǎng)傳輸中的控制命令、參數(shù)設(shè)置、交易報(bào)價(jià)等敏感數(shù)據(jù)。56非法使用(IllegitimateUse)非授權(quán)使用計(jì)算機(jī)或網(wǎng)絡(luò)資源。信息泄漏(InformationLeakage口令、證書等敏感信息泄密。7欺騙(Spoof)Web服務(wù)欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade入侵者偽裝合法身份，進(jìn)入閥門監(jiān)控系統(tǒng)。9拒絕服務(wù)(Availability,egDenialofService)向調(diào)度數(shù)據(jù)

13、網(wǎng)絡(luò)或通信網(wǎng)關(guān)發(fā)送大量雪崩數(shù)據(jù)，造成網(wǎng)絡(luò)或監(jiān)控系統(tǒng)癱瘓.黑客在調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道上搭線竊聽竊聽(Eavesdropping,e.g10ata Confidentiality)明文傳輸?shù)拿舾行畔ⅲ瑸楹罄m(xù)攻擊做準(zhǔn)備4.2 安全威脅的來(lái)源辦公區(qū)等網(wǎng)絡(luò)不是一個(gè)孤立的系統(tǒng)，是和互聯(lián)網(wǎng)連接，提供員工上網(wǎng)的需求和對(duì)外信息發(fā)布的平臺(tái)，那么來(lái)自外部威脅的可能性非常大.例如應(yīng)用系統(tǒng)遭受拒絕服務(wù)攻擊，信息泄露等。內(nèi)部威脅內(nèi)部人員有意或無(wú)意的違規(guī)操作給信息系統(tǒng)造成的損害，沒有建立健全安全管理機(jī)制使得內(nèi)部人員的違規(guī)操作甚至犯罪行為給信息系統(tǒng)造成的損害等。病毒或惡意代碼目前病毒的發(fā)展與傳播途徑之多、速度之快、危害面之廣

14、、造成的損失之嚴(yán)重，都已達(dá)到了非常驚人的程度。也是計(jì)算機(jī)信息系統(tǒng)不可忽略的一個(gè)重要安全威脅源。病毒和惡意代碼主要針對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用系統(tǒng)等軟件。病毒和惡意代碼的威脅主要來(lái)自內(nèi)部網(wǎng)絡(luò)、USB盤、光盤等介質(zhì)。自然災(zāi)害主要的自然威脅是：地震、水災(zāi)、雷擊；惡劣環(huán)境,如不適宜的溫度濕度,以及塵埃、靜電；外電不穩(wěn)定、電源設(shè)備故障等。管理層面的缺陷管理的脆弱性在安全管理方面的脆弱性主要表現(xiàn)在缺乏針對(duì)性的安全策略、安全技術(shù)規(guī)范、安全事件應(yīng)急計(jì)劃,管理制度不完善，安全管理和運(yùn)行維護(hù)組織不健全，對(duì)規(guī)章、制度落實(shí)的檢查不夠等。安全組織建設(shè)風(fēng)險(xiǎn)信息系統(tǒng)安全體系的建設(shè)對(duì)組織保障提出了更高的要求.安全管理風(fēng)

15、險(xiǎn)安全管理制度的建設(shè)還不全面,如:缺乏統(tǒng)一的用戶權(quán)限管理和訪問控制策略,用戶、口令、權(quán)限的管理不嚴(yán)密,系統(tǒng)的安全配置一般都是缺省配置，風(fēng)險(xiǎn)很大。對(duì)安全策略和制度執(zhí)行狀況的定期審查制度及對(duì)安全策略和制度符合性的評(píng)估制度不夠完善。沒有根據(jù)各類信息的不同安全要求確定相應(yīng)的安全級(jí)別，信息安全管理范圍不明確。缺乏有效的安全監(jiān)控措施和評(píng)估檢查制度，不利于在發(fā)生安全事件后及時(shí)發(fā)現(xiàn)，并采取措施。缺乏完善的災(zāi)難應(yīng)急計(jì)劃和制度，對(duì)突發(fā)的安全事件沒有制定有效的應(yīng)對(duì)措施,沒有有效的機(jī)制和手段來(lái)發(fā)現(xiàn)和監(jiān)控安全事件，沒有有效的對(duì)安全事件的處理流程和制度。人員管理風(fēng)險(xiǎn)人員對(duì)安全的認(rèn)識(shí)相對(duì)較高，但在具體執(zhí)行和落實(shí)、安全防范的

16、技能等還有待加強(qiáng).5設(shè)計(jì)方案本方案重點(diǎn)描述監(jiān)控系統(tǒng)等與業(yè)務(wù)直接相關(guān)部分的安全防護(hù)。方案實(shí)現(xiàn)的防護(hù)目標(biāo)是抵御黑客、病毒、惡意代碼等通過各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，以及其它非法操作,防止閥門監(jiān)控系統(tǒng)系統(tǒng)癱瘓和失控，并由此導(dǎo)致的一次系統(tǒng)事故5.1 拓?fù)涫疽獠僮飨到y(tǒng)安全是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，而服務(wù)器上的業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)，因此，加強(qiáng)對(duì)關(guān)鍵服務(wù)器的安全控制，是增強(qiáng)系統(tǒng)總體安全性的核心一環(huán)。對(duì)閥門監(jiān)控系統(tǒng)關(guān)鍵服務(wù)器實(shí)現(xiàn)主機(jī)加固，合理配置檢查規(guī)則.強(qiáng)制進(jìn)行權(quán)限分配，保證對(duì)系統(tǒng)資源(包括數(shù)據(jù)和進(jìn)程)的訪問符合定義的主機(jī)安全策略，防止主機(jī)權(quán)限被濫用。整個(gè)系統(tǒng)方案建成后如圖5.2 安全部署

17、方案5.2.1 下一代防火墻(1)縱向安全在互聯(lián)處部署下一代防火墻。安全建設(shè)充分考慮到廣域網(wǎng)組網(wǎng)、運(yùn)行過程中潛在的安全問題及可靠性問題，通過下一代防火墻NGAF融合安全，綜合事前、事中、時(shí)候一體化安全運(yùn)營(yíng)中心，組成L2L7層立體安全防御體系，實(shí)現(xiàn)廣域網(wǎng)安全組網(wǎng)、廣域網(wǎng)流量清洗的防護(hù)效果，確保廣域網(wǎng)高安全和高可用.WEB應(yīng)用防火墻、防同時(shí)，通過下一代防火墻集成入侵防御、入侵檢測(cè)、病毒網(wǎng)關(guān)功能，實(shí)現(xiàn)一體化安全的安全策略部署、L2-L7層的安全防護(hù)效果、高效的廣域網(wǎng)流量清洗,可視化的流量帶寬保障、集中管理統(tǒng)一部署的價(jià)值，在有效解決廣域網(wǎng)安全問題的前提下,簡(jiǎn)化管理運(yùn)維成本，實(shí)現(xiàn)了最優(yōu)投資回報(bào)。同時(shí)，給

18、區(qū)域內(nèi)網(wǎng)絡(luò)構(gòu)建立體的防護(hù)體系，防止內(nèi)部終端遭受各個(gè)層次的安全威脅。通過下一代防火墻虛擬補(bǔ)丁和病毒防護(hù)等功能,有效防御各種攻擊和內(nèi)網(wǎng)蠕蟲病毒,防止僵尸網(wǎng)絡(luò)形成,保證網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。下一代防火墻內(nèi)置僵尸網(wǎng)絡(luò)識(shí)別庫(kù)，通過分析內(nèi)網(wǎng)終端的異常行為（如連接惡意主機(jī)或URL）等機(jī)制準(zhǔn)確識(shí)別被黑客控制的僵尸終端，鏟除各類攻擊的土壤。全面的威脅識(shí)別能力,對(duì)事前/事中/事后的各類威脅全面監(jiān)測(cè)和防護(hù)；精準(zhǔn)的僵尸網(wǎng)絡(luò)防護(hù)技術(shù),從僵尸網(wǎng)絡(luò)發(fā)展的各個(gè)階段進(jìn)行消除；專業(yè)的WEB安全防護(hù)能力，提供了業(yè)務(wù)服務(wù)各個(gè)階段的保護(hù);深入威脅事件關(guān)聯(lián)分析能力，有效防止APT高級(jí)持續(xù)威脅;相比傳統(tǒng)設(shè)備,提供更加全面的威脅識(shí)別和防護(hù);主

19、動(dòng)發(fā)現(xiàn)安全隱患，改變傳統(tǒng)被動(dòng)應(yīng)對(duì)局面;可視化安全服務(wù)，讓安全可以輕松看懂；自助化安全運(yùn)維，讓安全從此更簡(jiǎn)單；內(nèi)置安全運(yùn)營(yíng)中心,提供一站式、智能化安全運(yùn)維方法。5.2.2 終端安全檢測(cè)響應(yīng)系統(tǒng)（殺毒）終端檢測(cè)響應(yīng)平臺(tái)（EDR足深信服公司提供的一套終端安全解決方案,方案由輕量級(jí)的端點(diǎn)安全軟件和管理平臺(tái)軟件共同組成。EDR勺管理平臺(tái)支持統(tǒng)一的終端資產(chǎn)管理、終端安全體檢、終端合規(guī)檢查,支持微隔離的訪問控制策略統(tǒng)一管理，支持對(duì)安全事件的一鍵隔離處置，以及熱點(diǎn)事件IOC的全網(wǎng)威脅定位，歷史行為數(shù)據(jù)的溯源分析，遠(yuǎn)程協(xié)助取證調(diào)查分析。端點(diǎn)軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數(shù)據(jù)信息采集上報(bào)、安全

20、事件的一鍵處置等。深信服的EDRT品也支持與NGAFACSIP產(chǎn)品的聯(lián)動(dòng)協(xié)同響應(yīng)，形成新一代的安全防護(hù)體系.終端上的安全檢測(cè)是核心的技術(shù)，傳統(tǒng)的病毒檢測(cè)技術(shù)使用特征匹配，使得病毒特征庫(kù)越來(lái)越大，運(yùn)行所占資源也越來(lái)越多.深信服的EDFT品使用多維度輕量級(jí)的無(wú)特征檢測(cè)技術(shù)，包含AI技術(shù)的SAVESI擎、行為引擎、云查引擎、全網(wǎng)信譽(yù)庫(kù)等，檢測(cè)更智能、更精準(zhǔn),響應(yīng)更快速，資源占用更低消耗。AI技術(shù)SAV引擎深信服創(chuàng)新研究院的博士團(tuán)隊(duì)聯(lián)合EDR產(chǎn)品的安全專家，以及安全云腦的大數(shù)據(jù)運(yùn)營(yíng)專家，共同打造人工智能的勒索病毒檢測(cè)引擎。通過根據(jù)安全領(lǐng)域?qū)＜业膶I(yè)知識(shí)指導(dǎo)，利用深度學(xué)習(xí)訓(xùn)練數(shù)千維度的算法模型，多維度的

21、檢測(cè)技術(shù),找出高檢出率和低誤報(bào)率的算法模型,并且使用線上海量大數(shù)據(jù)的運(yùn)營(yíng)分析,不斷完善算法的特征訓(xùn)練,形成高效的檢測(cè)引擎。行為引擎獨(dú)特的“虛擬沙盒"技術(shù)，基于虛擬執(zhí)行引擎和操作系統(tǒng)環(huán)境仿真技術(shù)，可以深度解析各類惡意代碼的本質(zhì)特征,有效地解決加密和混淆等代碼級(jí)惡意對(duì)抗。根據(jù)虛擬沙盒捕獲到虛擬執(zhí)行的行為，對(duì)病毒運(yùn)行的惡意行為鏈進(jìn)行檢測(cè),能檢測(cè)到更多的惡意代碼本質(zhì)的行為內(nèi)容。云查引擎針對(duì)最新未知的文件,使用微特征的技術(shù)，進(jìn)行云端查詢.云端的安全云腦中心,使用大數(shù)據(jù)分析平臺(tái),多引擎擴(kuò)展的檢測(cè)技術(shù)，秒級(jí)響應(yīng)未知文件的檢測(cè)結(jié)果。全網(wǎng)信譽(yù)庫(kù)在管理平臺(tái)上構(gòu)建企業(yè)全網(wǎng)的文件信譽(yù)庫(kù)，對(duì)單臺(tái)終端上的文件檢

22、測(cè)結(jié)果匯總到平臺(tái)，做到一臺(tái)發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡(luò)中的檢測(cè)重點(diǎn)落到對(duì)未知文件的分析上，減少對(duì)已知文件重復(fù)檢測(cè)的資源開消.深信服EDRT品能與NGAFAGSIP、安全云腦等進(jìn)行產(chǎn)品進(jìn)行協(xié)同聯(lián)動(dòng)響應(yīng).EDR產(chǎn)品可與安全云腦協(xié)同響應(yīng),關(guān)聯(lián)在線數(shù)十萬(wàn)臺(tái)安全設(shè)備的云反饋威脅情報(bào)數(shù)據(jù)，以及第三方合作伙伴交換的威脅情報(bào)數(shù)據(jù),智能分析精準(zhǔn)判斷，超越傳統(tǒng)的黑白名單和靜態(tài)特征庫(kù)，為已知/未知威脅檢測(cè)提供有力支持.可與防火墻NGA、FSIP產(chǎn)品進(jìn)行關(guān)聯(lián)檢測(cè)、取證、響應(yīng)、溯源等防護(hù)措施，與AC產(chǎn)品進(jìn)行合規(guī)認(rèn)證審查、安全事件響應(yīng)等防護(hù)措施，形成應(yīng)對(duì)威脅的云管端立體化縱深防護(hù)閉環(huán)體系。5.2.3 日志

23、審計(jì)系統(tǒng)綜合日志分析系統(tǒng)的主要功能包括如下模塊：采集管理：在接入各類日志和事件前，指定需要采集的目標(biāo)、接入方式以及相關(guān)參數(shù)（如數(shù)據(jù)庫(kù)的各種連接參數(shù)）、選擇標(biāo)準(zhǔn)化腳本和過濾歸并策略；事件分析：事件分析是綜合日志分析系統(tǒng)的核心模塊之一，它不僅可以綜合考量各種日志之間可能存在的關(guān)系，而且能夠?qū)θ罩局邢嚓P(guān)要素進(jìn)行分析；最終，異常事件的分析結(jié)果將以告警的形式呈現(xiàn)在系統(tǒng)中；審計(jì)管理:審計(jì)管理是綜合日志分析系統(tǒng)的核心模塊之一，側(cè)重于發(fā)現(xiàn)日志中相關(guān)要素是否和預(yù)定的策略相符，如時(shí)間、地點(diǎn)、人員、方式等。審計(jì)管理能夠方便的自定義審計(jì)人員、行為對(duì)象、審計(jì)類型、審計(jì)策略等基本配置；并能夠自定義審計(jì)策略模板,審計(jì)管理內(nèi)

24、置了大量審計(jì)策略模板，涵蓋了常見的、對(duì)企業(yè)非常實(shí)用的審計(jì)策略模板，如主機(jī)、防火墻、數(shù)據(jù)庫(kù)、薩班斯審計(jì)策略、等級(jí)保護(hù)策略模板等。對(duì)于根據(jù)審計(jì)策路所產(chǎn)生的審計(jì)違規(guī)結(jié)果,系統(tǒng)以告警的形式在實(shí)時(shí)監(jiān)控模塊呈現(xiàn)給用戶，用戶可以對(duì)告警進(jìn)行相關(guān)的處理。安全監(jiān)控：安全監(jiān)控包括告警監(jiān)控和實(shí)時(shí)監(jiān)控。所謂告警是指用戶特別需要關(guān)注的安全問題,這些問題來(lái)源于事件分析、審計(jì)分析的結(jié)果。所謂實(shí)時(shí)監(jiān)控是指對(duì)當(dāng)前接入的事件日志的逐條、實(shí)時(shí)顯示,顯示的日志內(nèi)容是可以根據(jù)用戶的需求進(jìn)行設(shè)置過濾條件來(lái)定制的.安全概覽:綜合呈現(xiàn)當(dāng)前接入系統(tǒng)的安全態(tài)勢(shì),如告警概況、系統(tǒng)運(yùn)行狀態(tài)、事件分析統(tǒng)計(jì)、審計(jì)分析統(tǒng)計(jì)等，安全概覽顯示內(nèi)容可根據(jù)需要自定

25、制。報(bào)表管理：系統(tǒng)提供豐富的報(bào)表,以滿足用戶不同的要求；資產(chǎn)管理：與普通的綜合日志分析系統(tǒng)不同，綜合日志分析系統(tǒng)提供資產(chǎn)管理模塊，以方便用戶對(duì)被管對(duì)象的管理；知識(shí)庫(kù)管理：系統(tǒng)提供日志發(fā)送配置（即如何對(duì)各種系統(tǒng)進(jìn)行配置，使其產(chǎn)生日志）、安全事件知識(shí)、安全經(jīng)驗(yàn)等，對(duì)日志審計(jì)提供相應(yīng)的支撐；系統(tǒng)管理：系統(tǒng)的自身管理，包括如用戶管理、日志管理、升級(jí)管理等功能。以上功能，經(jīng)過細(xì)化以后，可以形成如下結(jié)構(gòu):1）安全管理對(duì)象：綜合日志分析系統(tǒng)能夠?qū)Ω鞣N安全風(fēng)險(xiǎn)進(jìn)行采集和匯總，安全對(duì)象涵蓋了人員、網(wǎng)絡(luò)、安全設(shè)施、系統(tǒng)、終端、應(yīng)用等。2）采集層：采集各種設(shè)備的事件日志，標(biāo)準(zhǔn)化為統(tǒng)一的格式，然后進(jìn)行過濾、歸并、關(guān)聯(lián)

26、和審計(jì)，從海量日志中分析潛在的安全問題，同時(shí)進(jìn)行相關(guān)數(shù)據(jù)的存儲(chǔ)和管理。3）分析處理層：系統(tǒng)通過分析引擎，對(duì)日志進(jìn)行關(guān)聯(lián)分析、審計(jì)分析和統(tǒng)計(jì)分析，并對(duì)異常事件告警策略進(jìn)行管理。4）業(yè)務(wù)功能層：業(yè)務(wù)功能層實(shí)現(xiàn)對(duì)企業(yè)信息安全業(yè)務(wù)的支撐，以及系統(tǒng)自身運(yùn)行的管理.在此基礎(chǔ)上，通過分析事件與資產(chǎn)的相互關(guān)系，產(chǎn)生告警及報(bào)表等。5） 與此同時(shí)，業(yè)務(wù)功能層提供資產(chǎn)管理、報(bào)表管理、采集管理、事件分析和審計(jì)管理，分別支撐用戶的相關(guān)業(yè)務(wù)功能。6） 綜合展現(xiàn)層:綜合展現(xiàn)層是綜合日志分析系統(tǒng)的展示層.該層通過個(gè)人工作臺(tái)和安全概覽，將整個(gè)系統(tǒng)收集、分析、管理的安全事件、告警概況等信息多維度的展現(xiàn)在用戶面前.采集是綜合日志分

27、析系統(tǒng)的重要功能模塊，它承載了日志或事件采集標(biāo)準(zhǔn)化、過濾、歸并功能.采集管理是系統(tǒng)進(jìn)行分析的第一步，用戶通過指定需要采集的目標(biāo)、相關(guān)采集參數(shù)（Syslog、SNMPTrap等被動(dòng)方式無(wú)需指定）、相關(guān)的過濾策略和歸并策略等創(chuàng)建日志采集器，以收集相關(guān)設(shè)備或系統(tǒng)的日志.具體如下：?標(biāo)準(zhǔn)化不同的系統(tǒng)或設(shè)備所產(chǎn)生的日志格式是不盡相同的，這就給分析和統(tǒng)計(jì)帶了巨大的麻煩，所以在綜合日志分析系統(tǒng)中內(nèi)置了眾多的標(biāo)準(zhǔn)化腳本以處理這種情形；即便對(duì)于某些特殊的設(shè)備，您沒有發(fā)現(xiàn)相關(guān)的解析腳本，綜合日志分析系統(tǒng)也提供了相應(yīng)的定制方法以解決這些問題。?過濾和歸并為了對(duì)接收的日志數(shù)量進(jìn)行壓縮，綜合日志分析系統(tǒng)還提供了過濾和歸

28、并功能；其中，過濾功能不僅僅是丟棄無(wú)用的日志，而且也可以將它們轉(zhuǎn)發(fā)到外部系統(tǒng)或?qū)Σ糠质录侄芜M(jìn)行重新填充。?事件分析綜合日志分析系統(tǒng)的事件分析功能是系統(tǒng)中的核心功能之一；其中關(guān)聯(lián)分析策略主要側(cè)重于各類日志之間可能存在的邏輯關(guān)聯(lián)關(guān)系。綜合日志分析系統(tǒng)不僅支持以預(yù)定義規(guī)則的方式進(jìn)行事件關(guān)聯(lián)，還支持基于模式發(fā)現(xiàn)方式的關(guān)聯(lián)；系統(tǒng)不僅支持短時(shí)間內(nèi)的序列關(guān)聯(lián)，還支持長(zhǎng)時(shí)間的關(guān)聯(lián)（最長(zhǎng)可達(dá)30天）。綜合日志分析系統(tǒng)支持如下不同類型日志或事件：網(wǎng)絡(luò)攻擊有害代碼漏洞用戶訪問存取系統(tǒng)運(yùn)行設(shè)備故障配置狀態(tài)網(wǎng)絡(luò)連接數(shù)據(jù)庫(kù)操作對(duì)于事件關(guān)聯(lián)分析所產(chǎn)生的結(jié)果將在關(guān)聯(lián)事件中呈現(xiàn),如果符合關(guān)聯(lián)策略將以告警的形式在實(shí)時(shí)監(jiān)控模塊呈

29、現(xiàn)給用戶,用戶可以對(duì)告警進(jìn)行相關(guān)的處理。5.2.4 運(yùn)維審計(jì)系統(tǒng)借助切實(shí)有效的技術(shù)手段，通過對(duì)運(yùn)維環(huán)境中人員、設(shè)備、操作行為等諸多要素的統(tǒng)籌管理和策略定義，建立一個(gè)具有完備控制和審計(jì)功能的運(yùn)維管理系統(tǒng)，為業(yè)務(wù)生產(chǎn)系統(tǒng)進(jìn)一步的發(fā)展建立堅(jiān)實(shí)基礎(chǔ)。該方案需要在技術(shù)層面完成如下建設(shè)目標(biāo):實(shí)現(xiàn)單點(diǎn)登錄：全部運(yùn)維人員集中通過運(yùn)維管理系統(tǒng),來(lái)管理后臺(tái)的服務(wù)器、網(wǎng)絡(luò)設(shè)備等資源，同時(shí)對(duì)運(yùn)維人員進(jìn)行統(tǒng)一的身份認(rèn)證；實(shí)現(xiàn)統(tǒng)一授權(quán)：統(tǒng)一部署訪問控制和權(quán)限控制等策略，保證操作者對(duì)后臺(tái)資源的合法使用，同時(shí)實(shí)現(xiàn)對(duì)高危操作過程的事中監(jiān)控和實(shí)時(shí)告警；快速定位問題：必須對(duì)操作人員原始的操作過程進(jìn)行完整的記錄，并提供靈活的查詢搜索

30、機(jī)制，從而在操作故障發(fā)生時(shí)，快速的定位故障的原因,還原操作的現(xiàn)場(chǎng)；簡(jiǎn)化密碼管理：實(shí)現(xiàn)賬號(hào)密碼的集中管理，在簡(jiǎn)化密碼管理的同時(shí)提高賬號(hào)密碼的安全性；兼容操作習(xí)慣：盡量不改變運(yùn)維環(huán)境中已有的網(wǎng)絡(luò)架構(gòu)、對(duì)操作者原有的操作習(xí)慣不造成任何影響；比二T T他證可那弟模塊Pert: 22Port 4鋁、5339a-由法弗處僮快費(fèi)心春 第g F： iimjT 1七上，恒開池裱口集中管理是前提：只有集中以后才能夠?qū)崿F(xiàn)統(tǒng)一管理，只有集中管理才能把復(fù)雜問題簡(jiǎn)單化，分散是無(wú)法談得上管理的，集中是運(yùn)維管理發(fā)展的必然趨勢(shì)，也是唯一的選擇。身份管理是基礎(chǔ)：身份管理解決的是維護(hù)操作者的身份問題.身份是用來(lái)識(shí)別和確認(rèn)操作者的，

31、因?yàn)樗械牟僮鞫际怯脩舭l(fā)起的，如果我們連操作的用戶身份都無(wú)法確認(rèn)，那么不管我們?cè)趺纯刂?，怎么審?jì)都無(wú)法準(zhǔn)確的定位操作責(zé)任人.所以身份管理是基礎(chǔ)。訪問控制是手段：操作者身份確定后，下一個(gè)問題就是他能訪問什么資源、你能在目標(biāo)資源上做什么操作。如果操作者可以隨心所欲訪問任何資源、在資源上做任何操作，就等于沒了控制，所以需要通過訪問控制這種手段去限制合法操作者合法訪問資源，有效降低未授權(quán)訪問所帶來(lái)的風(fēng)險(xiǎn).操作審計(jì)是保證：操作審計(jì)要保證在出了事故以后快速定位操作者和事故原因，還原事故現(xiàn)場(chǎng)和舉證.另外一個(gè)方面操作審計(jì)做為一種驗(yàn)證機(jī)制，驗(yàn)證和保證集中管理身份管理，訪問控制，權(quán)限控制策略的有效性.自動(dòng)運(yùn)維是目

32、標(biāo)：操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo)，通過讓該功能，可讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作，從而達(dá)到降低運(yùn)維復(fù)雜度、提高運(yùn)維效率的目的.5.2.5 安全態(tài)勢(shì)感知系統(tǒng)交換層旁路部署1臺(tái)潛伏威脅探針，通過網(wǎng)絡(luò)流量鏡像內(nèi)部對(duì)用戶到業(yè)務(wù)資產(chǎn)、業(yè)務(wù)的訪問關(guān)系進(jìn)行識(shí)別，基于捕捉到的網(wǎng)絡(luò)流量對(duì)內(nèi)部進(jìn)行初步的攻擊識(shí)別、違規(guī)行為檢測(cè)與內(nèi)網(wǎng)異常行為識(shí)別.探針以旁路模式部署，實(shí)施簡(jiǎn)單且完全不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)單點(diǎn)故障的發(fā)生率。此時(shí)探針獲得的是鏈路中數(shù)據(jù)的“拷貝”，主要用于監(jiān)聽、檢測(cè)局域網(wǎng)中的數(shù)據(jù)流及用戶或服務(wù)器的網(wǎng)絡(luò)行為，以及實(shí)現(xiàn)對(duì)用戶或服務(wù)器的TCP亍為的采集。在公司核心交換層旁路部署1套安全感

33、知平臺(tái)用于全網(wǎng)檢測(cè)系統(tǒng)對(duì)各節(jié)點(diǎn)安全檢測(cè)探針的數(shù)據(jù)進(jìn)行收集，并通過可視化的形式為用戶呈現(xiàn)數(shù)據(jù)中心內(nèi)網(wǎng)關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅.感觸感知源CNVDCNCERTVirus-TotalCNNVDAWVAExpluit DBMAPPCVE業(yè)務(wù)資產(chǎn)可視通過潛伏威脅探針可主動(dòng)識(shí)別業(yè)務(wù)系統(tǒng)下屬的所有業(yè)務(wù)資產(chǎn)，將已識(shí)別的資產(chǎn)進(jìn)行安全評(píng)估，將資產(chǎn)的配置信息與暴露面進(jìn)行呈現(xiàn)。通過網(wǎng)絡(luò)數(shù)據(jù)包分析，對(duì)未備案的新增資產(chǎn)進(jìn)行實(shí)時(shí)告警，發(fā)現(xiàn)脫離IT部門管控的違規(guī)資產(chǎn)。訪問關(guān)系可視依托于可視化技術(shù)，通過訪問關(guān)系展示用戶、業(yè)務(wù)系統(tǒng)、互聯(lián)網(wǎng)之間訪問關(guān)系，基于全網(wǎng)業(yè)務(wù)對(duì)象的訪問關(guān)系的圖形化展示，包括用戶對(duì)業(yè)務(wù)、業(yè)務(wù)對(duì)業(yè)務(wù)、業(yè)務(wù)與互聯(lián)網(wǎng)三者關(guān)系的完全展示，并提供快捷的搜索.供IT人員在業(yè)務(wù)遷移和梳理時(shí)直觀的查看業(yè)務(wù)關(guān)系，是否有遺漏的業(yè)務(wù)未被防護(hù)、是否存在內(nèi)部攻擊、是否有業(yè)務(wù)外連、是否存在外部攻擊等行為。另外,可呈現(xiàn)該用戶已經(jīng)通過哪些應(yīng)用、協(xié)議和端口訪問了哪些業(yè)務(wù)，這些訪問是否是攻擊、違規(guī)、遠(yuǎn)程登陸等行為?？汕逦目闯鲆褜?duì)哪些業(yè)務(wù)存在影響,也能推導(dǎo)當(dāng)前用戶是否已失陷（或可疑）。多維度威脅檢測(cè)提供漏洞利用攻擊檢測(cè)、Wete用攻擊檢測(cè)、僵尸網(wǎng)絡(luò)檢測(cè)、業(yè)務(wù)弱點(diǎn)發(fā)現(xiàn)等多位的威脅檢測(cè)能力；主動(dòng)建立針對(duì)性的業(yè)務(wù)和