网络安全等级保护,等保2.0,等保3.0安全要求及解决方案
日期:2020-07-28 11:31:10 / 人气:
| 对应标准分类 | 系统级别要求(标注项为高风险判断指引项) | |||||
| 序号 | 安全类或层面 | 安全控制点 | 第二级(S2A2) | 所需措施/设备 | 第三级(S3A3) | 所需措施/设备 |
| 1 | 物理访问控制 | 机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。 | 电子门禁 | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 | 电子门禁 | |
| 2 | 防盗窃和防破坏 | N/A | N/A | c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。 | 监控报警 | |
| 3 | 防水和防潮 | N/A | N/A | c) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 | 水敏感检测 | |
| 4 | 温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | 精密空调 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | 精密空调 | |
| 5 | 电力供应 | b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。 | UPS | b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; | UPS | |
| 6 | 安全通信网络 | 网络架构 | b) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 | 防火墙/网闸 | b) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; | 防火墙/网闸 |
| 7 | N/A | N/A | e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 | 设备冗余 | ||
| 8 | 安全区域边界 | 边界防护 | N/A | 准入 | b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制; | 准入 |
| 9 | N/A | N/A | c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制; | 桌管 | ||
| 10 | 入侵防范 | 应在关键网络节点处监视网络攻击行为。 | IDS | a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; | IPS | |
| 11 | N/A | N/A | b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为; | IPS | ||
| 12 | N/A | N/A | c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; | TDA | ||
| 13 | 恶意代码和垃圾邮件防范 | 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。 | 防毒墙 | a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; | 防毒墙 | |
| 14 | N/A | N/A | b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 | 垃圾邮件过滤 | ||
| 15 | 安全审计 | c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | 日志审计/日志服务器 | c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; | 日志审计/日志服务器 | |
| 16 | 安全计算环境 | 安全审计 | c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | 日志审计/日志服务器 | c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; | 日志审计/日志服务器 |
| 17 | 恶意代码防范 | 应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。 | 杀毒软件 | 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | 杀毒软件(windows高风险) | |
| 18 | 数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; | 备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; | 备份恢复 | |
| 19 | N/A | N/A | c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。 | 设备冗余(如数据库等) | ||
| 20 | 安全管理中心 | 集中管控 | N/A | N/A | c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; | 网管系统 |
| 21 | N/A | N/A | d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; | 日志集中收集保护(不低于网络安全法要求180天) | ||
| 22 | 漏洞和风险管理 | 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。 | 漏洞扫描 | a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; | 漏洞扫描 | |
等级保护方案书
目录
第一章概述3
1.1方案背景3
1.2客户需求3
1.3建设目标4
第二章方案设计5
2.1设计原则5
2.2设计依据5
2.3方案设计6
第三章等级建设方案6
3.1总体安全设计架构6
3.1.1实现方式8
3.1.2网络安全设计9
3.1.3主机安全设计11
3.1.4应用安全设计13
3.1.5安全审计17
3.1.6安全运维19
3.2等级保护一体机方案关键组件与技术20
3.2.1等级保护一体机20
3.2.2云安全服务平台的关键特性21
第四章解决方案的优势和价值24
4.1一体化交付,提供一站式的快速安全合规能力24
4.2基于场景的交付,实现安全设备的统一高效管理24
4.3基于软件定义的安全架构,弹性扩展随需而变25
第五章配置清单26
第一章概述
1.1方案背景
2011年12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求卫生行业“全面开展信息安全等级保护工作”,《中华人民共和国网络安全法》(以下简称《网络安全法》)自2017年6月1日开始施行。其中,《网络安全法》第21条明确规定了“国家实行网络安全等级保护制度”。《网络安全法》是从国家层面对等级保护工作的法律认可,简单点就是单位不做等级保护工作就是违法。医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。同时,医院信息系统涉及大量医院经营和患者医疗等私密信息,信息的泄露和传播将会给医院、社会和患者带来安全风险。
所以在苏州东吴中西医结合医院的信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。为了苏州东吴中西医结合医院信息网络的安全稳定运行,确保医院信息系统安全,结合医院目前的计算机信息网网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,提出本设计方案。
1.2客户需求
缺乏应对新形势、新环境的顶层设计规划
医院信息化经过多次技术洗礼,丰富了信息系统内容,提升了医患的满意程度。信息化程度快速提高使得大量医院缺乏中、长期的信息安全规划:如重要与非重要系统没有区分、内外网区分不够严格、安全技术体系不够完善、安全管理体系跟不上等问题。
《网络安全法》的实施和等保2.0时代的来临,医院需要建立符合医院实际的“一中心三防护(一个中心是指安全管理中心,三重防护由安全计算环境、安全区域边界以及安全通信网络组成)”的整体安全架构。
近年来医院信息安全事件爆发频发,导致医患关系紧张、医院蒙受巨大的荣誉、经济利益等损失,零散采购一些安全设备和“碎片化”的安全防护已经不能满足要求,需要加大投入,更体系化的建设安全。
新形势下要求,攻击变得复杂,变得更加隐蔽,手段更加高明,静态防御失效,防御体系容易被绕过,持续的安全检测能力需要提高。
发现威胁进行及时响应的能力不足,医院面临安全人员匮乏,专业性不够的问题。出现事故发现问题,应急响应、解决问题的能力不足。同时对风险缺乏主动发现和预警的能力。
信息化人员不足,安全管理不到位
随着医院信息化的发展,业务和资产增多,安全人员普遍不足的情况下,要承担大量的日常安全管理工作,工作压力山大
医院信息化管理职能定位不清,岗位角色混淆,安全运维工作不好开展,安全管理责任难落实。
医院信息化人员安全意识的淡薄,管理制度的不完善,面临着来自内部的人为失误或蓄意破坏、信息窃取。并且没有完善的技术措施辅助安全管理的落实执行
1.3建设目标
本项目建设将完成以下目标:
1、建立完善的安全技术防护体系。根据网络安全等级保护的要求,建立满足等级保护要求的安全技术防护体系,在满足安全合规基础上实现医院网络安全持续保护。
2、建立符合医院实际的安全管理组织机构,健全信息系统安全管理制度。根据网络安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
3、制定医院网络安全应急预案。应急预案是网络安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进行。
4、完善医院整体安全规划,建立服务+技术+管理的整体安全体系,让医院安全规划更全面,安全更持续有效。
第二章方案设计
2.1设计原则
安全合规
等级保护建设方案首先应符合国家相关信息安全政策和标准,确保设计的安全方案遵循国家法律且符合国家政策和国家标准。
安全适用
信息安全保障方案的设计应符合信息安全技术和管理需要,应切实符合实际情况,应适用于安全运营的各个环节。方案设计应与业务发展和IT建设充分结合,发挥安全为业务保驾护航的作用。
安全可靠
在设计等级保护建设方案时应考虑信息安全保障中应该包括的各项内容,保证总体设计方案的全面有效。
2.2设计依据
卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知卫办发[2011]85号
卫生部办公厅《关于全面开展卫生行业信息安全等级保护工作》的通知卫办综函[2011]1126号
《中华人民共和国网络安全法》
《信息安全技术网络安全等级保护基本要求》GB/T22239-2019
《信息安全技术网络安全等级保护测评要求》GB/T28449-2019
《信息安全技术网络安全等级保护安全设计技术要求》GB/T25070-2019
2.3方案设计
根据医院安全建设的需要,结合等级保护建设的要求,此次主要建设内容为防火墙、上网行为管理、日志审计、堡垒机、主机杀毒。通过等保一体机以安全组件的形式,实现部署。
等保一体机部署在网络出口,通过防火墙组件,满足边界安全防护要求,上网行为管理组件,实现对上网用户的有效审计,满足当前的等保要求和管理需要。另外,各个主机部署EDR满足终端杀毒、防范恶意代码的需求。
第三章等级建设方案
3.1总体安全设计架构
结合建设现状,通过对安全威胁和实际需求的分析,遵照设计思路和设计原则。按照等级保护的基本要求进行总体规划和设计。
等级保护一站式建设系总体框架图
安全整体框架主要围绕层面建设,分别为:
物理安全:通过门禁系统、视频监控、环境监控等实现数据中心环境、物理访问控制、设施层面的安全。
网络安全:通过等保一体机中的虚拟防火墙、虚拟IPS/IDS、虚拟SSL/IPSECVPN、抗DDoS攻击等技术手段,实现对网络系统中的系统和通信数据进行保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
主机安全:通过等保一体机中的漏洞工具、病毒查杀等技术手段,实现对数据中心的虚拟机、网络设备、操作系统、中间件和数据库的安全防护,保障用户虚拟机、网络设备、操作系统、中间件和数据库不受数据中心内外网络的病毒感染威胁,黑客入侵威胁,安全漏洞威胁,使得用户的业务得以长期、稳定的运行。
应用安全:通过对恶意代码检测、黑链检测、网页防篡改、应用控制、Web应用安全防护等技术,实现对于数据中心的关键应用,如电子邮件、web应用、门户网站等的安全防护,保障用户的应用数据能够不受破坏、更改、泄漏。
安全管理:通过制定完善管理体系,形成规范的管理流程,包含管理流程、组织架构、安全策略,结合云安全运维体系。通过统一的安全运维接入和接入访问控制解决方案,实现对云数据中心用户核心业务的操作系统、数据网络设备等IT资源的帐号、认证、授权和审计的集中控制和管理。同时,通过将操作日志发送到统一安全管控中心,可以由统一安全管控中心进行关联分析,及时发现安全风险,为信息安全事件提供责任认定、调查取证的证据。
深信服在等保一站式建设方案的架构下,逐步开展专业化的等级保护一体机建设体系工作并提供专业的安全服务。
3.1.1实现方式
在核心路由交换机上,采用网关部署的方式,通过等保一体机的云下一代防火墙、云防病毒、虚拟机监测对数据量进行安全检测,完成整个数据流的安全防护,实现了南北向和东西向纵深防护体系。
按照等级保护建设要求,实现等级保护一体机建设方案。其中云安全服务平台底层采用超融合架构,部署在X86服务器上,平台中计算资源、存储资源、网络资源、网络功能资源、安全功能等IT基础资源均实现虚拟化,其中安全功能具备云下一代防火墙、云堡垒机、云数据库审计、云防火墙、云VPN、云防病毒、虚拟机监测等功能组件,能够实现不同安全功能组件之间的联动,形成纵深防护体系。
以上落实到实际效果主要体现在两个部分:一部是为不同业务的个性化安全需求提供了灵活性的安全部署方式,一部分是实现了业务系统以及云平台的安全需求以服务化交付,具体如下:
通过安全需求服务化交付,实现了各个业务系统根据不同安全功能需求提供了按需服务,根据各个业务系统需求实现弹性扩展,提供WAF、IPS、FW、APT、VPN、APT、应用负载等丰富的增值服务内容,满足各个业务系统不同等保级别的合规需求;
通过云端安全云,实现未知威胁发现、Web业务系统漏洞扫描和安全监测,动态感知安全威胁,提前预警和防护;
通过云安全资源池管理平台,实现全网态势感知动态展示、策略下发、安全事件实时处置;
与云端安全云联动,实现安全威胁情报协同,突发安全事件在线应急响应。
后期扩容,可以通过添加一体机或X86服务器实现性能扩容。
3.1.2网络安全设计
网络安全防护设计主要包括以下手段:访问控制技术、流量清洗技术、入侵检测与入侵防御技术、安全域划分。
3.1.2.1访问控制
在平台边界,部署硬件防火墙和抗DDOS设备,用于防护大流量攻击需求,减少云安全资源池的压力,并对出口的规则做双重限制,部署链路负载,用于多运营商线路同时接入。
防火墙的ACL提供了细粒度的访问控制功能,实现粒度包括:源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制等方式。能够识别应用类型超过1100种,应用识别规则总数超过3000条;支持IPv4/v6NAT地址转换,支持源目的地址转换,目的地址转换和双向地址转换,支持针对源IP或者目的IP进行连接数控制;支持基于应用类型,网站类型,文件类型进行带宽分配和流量控制;防火墙ACL的应用可以应用于防火墙端口的进出流量,也可以应用于不同的域间。因此,针对用户访问控制,网络层面实现了较为细粒度的安全访问控制。
产品形态
对于数据中心的安全防护,采用以软件定义安全的架构,采用以基础X86架构为物理平台,以虚拟化技术为承载平台,将传统安全产品以软件的方式部署在虚拟化平台中,实现软件定义安全,即深信服的云安全服务平台。
部署方式
防火墙需要实现对传统网络环境中的安全域的隔离,也需要实现对虚拟化环境中的安全域(如生产域及其子区、生产域及其子区、支撑服务域及其子区、管理域及其子区、DMZ域及其子区等)的隔离。对于传统网络环境中的安全域可采用传统防火墙、传统的部署方式即可,而对于虚拟化环境中的安全域可采用虚拟化防火墙实现。
3.1.2.2DDOS防护
深信服DDOS防护采用自主研发的DDOS攻击算法,可防护基于数据包的DDOS攻击、IP协议报文的DDOS攻击、TCP协议报文的DDOS攻击、基于HTTP协议的DDOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。
主要功能如下:
支持防御Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IPSYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能。
3.1.2.3入侵检测与入侵防御
入侵检测功能的核心技术体现在检测引擎、签名库识别效率和处理性能上。通过IPS检测引擎和签名库,可以对系统漏洞、未授权自动下载、欺骗类应用软件、间谍/广告类软件、异常协议、P2P异常等多种威胁进行防护。同时,IPS基于“漏洞”的签名规则,单条规格可以覆盖上千种攻击;借助蜜罐系统,实时捕获最新的攻击、蠕虫、木马等威胁,提供零日攻击的防御能力。
入侵防护漏洞规则特征库数量在4000条以上,入侵防护漏洞特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号,参考信息和建议的解决方案。
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则。
3.1.3主机安全设计
主机防护主要采用的是主机安全agent安全插件,用于检测主机之间的流量、逻辑拓扑,并检测主机的性能状态,检测虚拟机的风险状态,以可视化的方式展示虚拟机的态势感知,重点检测如下:
Webshell检测
暴力破解检测
僵尸网络检测
微隔离
3.1.3.1常部署方式
服务端点安全由虚拟机端点agent、控制中心共同组成。端点agent需要安装在所有的主机上,包括所有的物理主机以及虚拟机、主机等。管理平台部署在本地。端点agent完成基本数据的采集以后,会将必要的数据发送到控制中心,然后由云资源池管理平台进行安全的分析和全局的汇总。
3.1.3.2主机防护功能
持续检测Web后门
端点agent将在服务器上持续进行安全检测,我们会自动清点服务器的关键目录(例如Web服务器的站点目录),并对关键目录进行持续地监控。
过去检测web后门的主要手段是依赖IPS或者WAF设备,但是特征库的方式很容易绕过现成的库,例如用户可以将web后门的代码进行各种混淆,这样传统的防御技术要在文件传输或请求的时刻判定文件是否为web后门将是非常困难的。
在服务器端点侧进行安全监测,将会获得传统防御不可替代的价值,因为无论用户是通过漏洞、爆破、上传等方式将web后门写入服务器,这样即会触发我们的监测程序。我们将会通过文件库、静态分析、云端沙盒、运行行为分析等手段对文件进行判断,相比流量侧的防御,检测方案将会更全面地分析文件。
暴力破解检测与响应
服务器的密码安全一直是数据中心一个突出的问题。过去使用边界防护设备可以有效阻断外部对于内部的密码爆破尝试。但是随着服务器边界的模糊,来自内部或服务器之间(横向移动)的密码爆破也逐渐增多。
Agent将会在服务器上持续监控密码的爆破行为,如果发现了有人进行密码的爆破,将可以设置对特定IP进行一段时间的自动封停,避免服务器被爆破成功。
性能实时查看
在服务器上安装agent,其中一个核心的保证就是不对服务器带来稳定性以及性能的影响。稳定性方面,我们的整体方案都采取了无驱动的方式进行设计,即便是agent意外退出,也不会导致服务器蓝屏重启。性能方面,我们的设计将主要的计算都放到本地管理平台上,所以agent上只会占用很少的CPU。
所以用户可以在管理平台上查看到所有agent目前对服务器的资源的消耗,包括CPU、内容等信息。
僵尸网络检测
通过对报文的会话分析,以及采集报文netflow信息分析,检测主机是否有被木马程序等控制,形成僵尸网络,并展现僵尸网络主机的的相关详细信息,如显示僵尸网络文件检测出来的事件日志,例如恶意文件名称、文件名称、操作动作、发现时间等,支持显示僵尸网络文件检测过程的详情内容,例如文件路径、文件大小、文件创建时间、进程ID、父进程、进程模块、网络行为。
3.1.4应用安全设计
3.1.4.1Web防护
云安全资源池中部署虚拟Web应用防护,通过执行应用会话内部的请求来处理应用层,保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击,包括SQL注入、跨站脚本、网页篡改和挂马等。同时提供防病毒功能,对各种病毒、蠕虫、木马进行检测和过滤。
支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;支持跨站请求伪造CSRF攻击防护;支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤;支持对网站的扫描防护和防止恶意爬虫攻击;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等。
提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。
3.1.4.2应用控制
云安全资源池中提供了应用负载均衡功能,能够为业务系统和平台的应用发布提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。配合性能优化、单边加速以及多重智能管理等技术,实现对业务系统、链路以及服务器状态的实时监控,同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分的利用。不仅扩展应用系统的整体处理能力,提高其稳定性,更可切实改善用户的访问体验。
3.1.4.3网页防篡改
云安全资源池中的网页防篡改安全功能其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。
当网页被数据篡改后,用户看到的页面变成了非法页面或者损害企事业单位形象的网页,这种事故往往会给企事业单位造成很严重的影响,甚至造成严重的经济损失。深信服网站篡改防护功能可有效降低此类风险,当内部网站数据被篡改之后,设备可以重定向到备用网站服务器或者指定的其他页面,并且及时地通过短信或者邮件方式通知管理员。
网站篡改防护使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言,客户无需在服务器上安装第三方软件,易于使用和维护,在防篡改部分基于网络字节流的检测与恢复,对服务器性能没有影响。
3.1.4.4黑链检测
深信服下一代防火墙利(NGFW)用查看网站的源代码来检查黑链、使用站长工具“网站死链检测”功能来检查黑链、用FTP查看网站文件的修改时间来检查黑链、使用站长工具里的“同IP站点查询”功能、使用第三方网站扫描工具。这些检测方法,都需要不定期来检测,否则挂黑链网站修愎后,还有可能被挂上。深信服下一代防火墙黑链检测功能,可以动态常态检测,只要被挂黑链页面被访问过,就能检测到黑链位置以及对应类型。这样网站管理员,不必定期去检测网站是否挂有黑链。
外链类型检测
对通过防火墙http流量进行处理,提取外链,在URL分类库查询其类型,并给一定权值评分,当总打分达到一定程度时,就认为是挂黑链,URL分类库会定期更新。
关键词检测
对通过防火墙http流量进行处理,提取外链内容,使用关键词库去匹配,针对不同关键词给不同权值,当总打分达到一定程度时,就认为是挂黑链。
当检测到黑链后,记录黑链类型以及对应的位置,高亮显示黑链位置。
APT检测
深信服APT检测主要解决的问题:针对内网PC感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志。帮助客户能够定位出那台PC中毒,并能阻断其网络流量,避免一些非法恶意数据进入客户端,起到更好的防护效果。结合深信服的威胁情报库能够深入进行APT检测。
远控木马检测
在应用特征识别库当中存在一类木马控制的应用分类。这部分木马具有较明显的网络恶意行为特征,且行为过程不经由HTTP协议交互,故通过专门制作分析的应用特征来进行识别。如灰鸽子,炽天使,冰河木马,网络守望者等等。此种类型的木马也随深信服应用识别规则库的更新而更细。
僵尸网络检测
僵尸网络检测主要是通过匹配内置的僵尸网络识别库来实现。该特征库包含木马,广告软件,恶意软件,间谍软件,后门,蠕虫,漏洞,黑客工具,病毒9大分类。特征库的数量目前已达数十万,并且依然以每两周升级一次的速度进行更新。
3.1.5安全审计
通过上网行为组件,对访问互联网的用户行为单独进行行为审计和数据分析。对网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等,审计记录的留存时间6个月以上且不中断。
审计策略,提供了等保2.0中要求记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。提供审计记录查询、分类、分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口。
为满足等保2.0对系统安全事件记录的要求,在安全运维管理区域部署日志基于日志分析的功能,如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等,系统配备了全球IP归属及地理位置信息数据,为安全事件的分析、溯源提供了有力支撑,综合日志分析系统能够同时满足单位实际运维分析需求及审计合规需求,也是日常信息安全工作的重要支撑平台。深信服日志审计能提供的主要功能有:
√采集管理
采集是深信服日志审计系统的重要功能模块,它承载了日志或事件采集标准化、过滤、归并功能。采集管理是系统进行分析的第一步,用户通过指定需要采集的目标、相关采集参数(Syslog、SNMPTrap等被动方式无需指定)、相关的过滤策略和归并策略等创建日志采集器,以收集相关设备或系统的日志。
√攻击检测
攻击检测来源于对网络流量的应用层进行检测,需要配合相关特征库,通过专门的攻击检测规则实现,而且一旦符合会在系统中生成安全事件。
网络攻击检测:支持对一般的网络攻击进行检测,检测的类型包括端口扫描、拒绝服务攻击、漏洞利用攻击、SQL注入攻击、缓冲区溢出攻击、Webshell及其它类型的注入攻击;
明文传输检测:对网络传输中存在的明文传输行为进行检测;
过期系统或软件检测:支持对可能存在过期的系统或软件进行检测;
木马检测:支持对各类木马活动进行检测,包括但不限于木马软件下载、木马登录/回连以及其他木马通讯行为;
隐蔽通道检测:支持对协议改写、安全洋葱(黑客会在一定程度上使用安全洋葱提供的隐藏的IP地址进行数据传输通讯行为)等存在隐蔽通道的行为检测;
电子加密货币活动检测:支持对主流电子加密货币活动进行检测(比如登录矿池的行为),包括但不限于比特币、莱特币、门罗币等;
勒索软件检测:支持对各类勒索软件进行检测,包括其登录行为、横向扩散行为等,检测的类型包括但不限于永恒之蓝、GandCrab、Satan等。主要是检测网络流量相关应用层内容,配合相关特征库,特征中包含了病毒特征在网络中传输的模式。
√会话审计
深信服日志审计系统利用独有的智能协议识别技术,可高速、准确地识别上千种应用,在解析五元组(源IP、目的IP、源端口、目的端口、协议)、会话发生时间外,根据不同应用协议各自有特有的特征信息可以更加深度的解析,满足客户会话审计的需求。
√告警监控
所谓告警是指用户特别需要关注的安全问题,这些问题来源于事件分析、审计分析的结果。告警监控中包括了如下功能:
告警监控:用户可以通过定义过滤器以监控需要特别关注的告警信息,用户也可以根据个人需求,设置告警的提示音、界面显示方式等;
告警处理:处理监控列表中相关告警;针对告警,用户可以清除(不予关注)、确认(已知告警可后续处理)。
3.1.6安全运维
要解决核心资源的访问安全问题,我们首先从管理模式上进行分析。管理模式是首要因素,管理是从一个很高的高度,综合考虑整体的情况,然后制定出相应的解决策略,最后落实到技术实现上。管理解决的是面的问题,技术解决的是点的问题,管理的模式决定了管理的高度。我们认为随着应用的发展,设备越来越多,维护人员也越来越多,我们必须由分散的管理模式逐步转变为集中的管理模式。
只有集中才能够实现统一管理,也只有集中才能把复杂问题简单化,集中管理是运维管理思想发展的必然趋势,也是唯一的选择。集中管理包括:集中的资源访问入口、集中账号管理、集中授权管理、集中认证管理、集中审计管理等等。
为了对字符终端、图形终端操作行为进行审计和监控,堡垒机对各种字符终端和图形终端使用的协议进行代理,实现多平台的操作支持和审计,例如Telnet、SSH、FTP、SFTP、Windows文件共享、Windows平台的RDP远程桌面协议、Linux/Unix平台的XWindow图形终端访问协议等。
当运维机通过堡垒机访问服务器时,首先由堡垒机模拟成远程访问的服务端,接受运维机的连接和通讯,并对其进行协议的还原、解析、记录,最终获得运维机的操作行为,之后堡垒机模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息,从而实现对各种维护协议的代理转发过程。在通讯过程中,堡垒机会记录各种指令信息,并根据策略对通信过程进行控制,如发现违规操作,则不进行代理转发,并由堡垒机反馈禁止执行的回显提示。
以前管理员依赖各IT系统上的系统账号实现两部分功能:身份认证和系统授权,但是因为共享账号、弱口令账号等问题存在,这两方面实现都存在漏洞,达不到预期的效果。
解决的思路是将身份和授权分离。在堡垒机上建立主账号体系,用于身份认证,原各IT系统上的系统账号仅用于系统授权,这样可以有效增强身份认证和系统授权的可靠性,从本质上解决账号管理混乱问题,为认证、授权、审计提供可靠的保障。
3.2等级保护一体机方案关键组件与技术
3.2.1等级保护一体机
采用基于标准X86平台打造的等保一体机,无需交付过多专有硬件设备,即可完成合规交付。
3.2.2云安全服务平台的关键特性
3.2.2.1网络虚拟化aNET
网络虚拟化也是构建云安全资源池中非常重要的一部分,如果在云计算、虚拟化的环境中,我们的网络如果继续采用传统It架构中硬件方式定义网络的话,就会存在诸多问题:
如何保障虚拟机在保持相应的网络策略不变的情况下进行虚机迁移,
虚拟化后的数据中心涉及业务众多,对外部提供云接入服务时,传统的Vlan技术已经无法满足业务隔离的需求,业务和业务之间的安全隔离也是面临的首要问题。
虚拟化后的数据中心的业务系统的构建和上线对网络功能的快速部署、灵活弹性甚至成本,提出了更高的要求。
在传统网络中,不论底层的IT基础设施还是上层的应用,都由专属设备来完成。这些设备成本高昂,能力和位置僵化,难以快速响应新业务对网络快速、灵活自动化部署的需求。
基于上述问题,深信服采用了业界成熟的软件定义安全的解决方案,我们称之为SDS,通过Overlay的方式来构建大二层和实现业务系统之间的隔离,通过NFV实现网络中的所需各类网络功能资源(包括基础的路由交换、安全以及应用交付等)按需分配和灵活调度,从而实现超融合架构中的网络虚拟化。
虚拟分布式交换机
虚拟分布式交换机是管理多台主机上的虚拟交换机的虚拟网络管理方式,包括对主机的物理端口和虚拟机虚拟端口的管理。
aSV虚拟化平台提供的虚拟分布式交换机就是把分布在集群中多台主机的单一交换机逻辑上组成一个大的集中式交换机,减少每台虚拟交换机需要单独分别配置过程,同时为集群级别的网络连接提供一个集中控制点,使虚拟环境中的网络配置不再以主机为单位,简化虚拟机网络连接的部署、管理和监控,适合于大规模的网络部署。
虚拟分布式交换机可以保证虚拟机在主机之间迁移时网络配置的一致性,同时提供丰富的网络配置管理功能,端口动态绑定,静态绑定,IP接入控制、虚拟机网络Qos,实现网络资源统一管理,实时化网络监控。
aRouter
在SDN网络里,路由器是必不可少的网络组件,aNET提供了虚拟化路由器的功能,可解决虚拟化后出口路由的问题,同时提供其它包括VLAN子网口,NAT规则,ACL策略,DHCP地址池,DNS代理等功能。
并且aNet提供的路由器自带HA功能,和虚拟机的HA功能一致,当路由器运行的主机出现故障时,可以自动迁移到运行正常的主机上面,实现快速的故障恢复。从而保障了超融合架构中业务网络的可靠性,减少了因网络故障引起的业务中断时间。
3.2.2.2存储虚拟化
aSAN是深信服在充分掌握了用户对虚拟化环境存储方面的需求基础上,推出以aSAN分布式存储软件为核心的解决方案,aSAN是基于分布式文件系统Glusterfs开发的面对存储虚拟化的一款产品,并作为超融合架构中的重要组成部分,为云计算环境而设计,融合了分布式缓存、SSD读写缓存加速、多副本机制保障、故障自动重构机制等诸多存储技术,能够满足关键业务的存储需求,保证客户业务高效稳定可靠的运行。
aSAN基于底层Hypervisor之上,通过主机管理、磁盘管理、缓存技术、存储网络、冗余副本等技术,管理集群内所有硬盘,“池化”集群所有硬盘存储的空间,通过向VMP提供访问接口,使得虚拟机可以进行业务数据的保存、管理和读写等整个存储过程中的操作。
主机数据可靠性保障
磁盘故障
如果在磁盘故障后,超过了设置的超时时间依然没有人工介入处理,aSAN将会自动进行数据重建,以保证数据副本数完备,确保数据可靠性。同时采用了热备盘的保障机制。
aSAN在初始化阶段会自动配置至少把集群里副本数个磁盘作为热备盘。注意不是每个主机一个热备盘,而是一个集群里面全局使用。热备盘在初始化时不会纳入aSAN复制卷内,只是作为一个不使用的磁盘带电存在,因此热备盘的空间不会反映到aSAN的空间里面。
主机故障
aSAN在多主机集群下,复制卷有个最高原则:跨主机建立复制卷。该原则的目的是为了达到在主机出现故障时,数据依然可用。在2主机2副本模式下,当主机B整个离线或,可以看到任何一个复制卷都依然有一个副本存在主机A上,数据依然可用,影响只是少了个副本。
在2主机2副本模式下,当主机B整个离线或,可以看到任何一个复制卷都依然有一个副本存在主机A上,数据依然可用,影响只是少了个副本。
第四章解决方案的优势和价值
4.1一体化交付,提供一站式的快速安全合规能力
深信服等级保护一体化交付方案,依托与深信服云安全服务平台的整合能力,将等级保护建设过程中包含的定级、备案、建设整改、测评、监督检查过程量化,特别是建设整改阶段,提供等级保护一体机与合规基础、合规高级、合规增强服务,无需关注不同安全产品的采购、配置、使用。
在深信服等级保护一体化交付方案中,涵盖了深信服自由安全产品与第三方生态合作产品,通过深信服云安全服务平台将所有安全产品的管理、日志打通。
4.2基于场景的交付,实现安全设备的统一高效管理
深信服等级保护一体化建设方案,将硬件设备堆叠式的等保建设方案,逐渐演变成按需交付、服务化交付的方式。可根据自身业务场景组合使用安全服务,也可根据不同业务阶段面临的共计手段的不同来组合安全服务。
4.3基于软件定义的安全架构,弹性扩展随需而变
按需定义的等保一体机组合,可根据等保建设进程,根据业务系统合规阶段,逐渐完成全部业务系统的等保合规建设。
第五章配置清单
序号产品产品型号产品说明数量单位
1主机杀毒EDR含:深信服终端检测响应平台软件V3.0(产品控制中心)(*1);深信服端点安全软件V3.0(智防客户端模块授权(适用1-200点))(*100);深信服端点安全软件V3.0(WindowsServer客户端授权(适用1-200点))(*7);软件升级(*3);1套
2上网行为管理SD-AC-200含:深信服上网行为管理软件(*1);软件升级(*3);1套
3下一代防火墙SD-AF-200含:深信服防火墙软件(*1);软件升级(*3);1套
4XSec硬件平台SdSec-1000-A600E5-2620V4*2,96G内存,128G*1SSD系统盘,240G*1SSD缓存盘,4T*1数据盘,6个千兆电口(*1);含:产品质保(*3);软件升级(*3);1台
5日志审计SDSec-1000-LAS20性能参数:20个主机审计许可证书,支持获取各种主流网络及数据库访问行为,支持Syslog、WMI、OPSECLea、SNMPtrap和LogBase专用协议等协议事件日志,支持通过Http、Https、FTP、SFTP、SMB等协议获取各类文件型日志,支持基于SQL/XML标准内容获取;
含:3年软件升级;1套
6堡垒机OSM-1000-V20性能参数:提供20个资源授权,提供运维人员单点登录、用户权限细粒度授权及访问控制、运维过程审计等功能,并满足等级保护三级建设要求,
含:技术支持服务;3年软件升级(OSM-1000-V20);1套
声明:
1、江苏欧迈科技有限公司所提供产品全部为原厂正规产品,我司不出售翻新机,二手机,等残次品;硬件保修政策及时长按设备原制造厂执行,支持三包规定。
2、价格:官网上列出的价格为含增值税专用发票价格;硬件设备产品含税13%,工程服务含税9%,技术服务含税6%。
3、服务:网站标明的价格为商品本身含税价格,不含其它设定和安装服务;如需要安装设定服务请联系销售人员另行报价。无价格的商品为按需配置的项目商品,需联络销售人员报价。
4、方案:官网所述之方案非完整方案,且并不适用于所有的应用场景,请勿盲目套用。
5、新闻:大多摘自互联网,如有侵权,请与我们联系。
6、运费:苏州,无锡,南通,常州,泰州,镇江,扬州地区免费送货上门,其它地区快递发货。
7、结算:苏州,无锡,南通,常州,泰州,镇江,扬州地区支持账期和月结的结算方式,具体可与销售人员协商。其它地区均为现金结算。
8、其它:服务申明最终解释权归欧迈科技所有,其它未尽事项请与我们联系。
