1、1. 数据中心与大数据安全方案1.1 数据中心与大数据安全概述随着信息技术的迅猛发展,大数据技术在各行各业的逐步落地,越来越多的单位和组织建设数据中心、部署大数据平台,进行海量数据的采集、存储、计算和分析,开发多种大数据应用解决业务问题。在大数据为业务带来巨大价值的同时,也带来了潜在的安全风险。一方面,传统数据中心面临的安全风险如网络攻击、系统漏洞等依然存在;另一方面,针对大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显,一旦数据被非法访问甚至泄漏损失非常巨大。1.2 数据中心与大数据安全风险分析数据中心和大数据环境下的安全风险分析如下: 合规性风险:数据中心的建设需满足等级保
2、护或分级保护的标准,即需要建设安全技术、管理、运维体系,达到可信、可控、可管的目标。为了满足合规性需求,需要在安全技术、运维、管理等方面进行更加灵活、冗余的建设。 基础设施物理安全风险:物理层指的是整个网络中存在的所有的信息机房、通信线路、硬件设备等,保证计算机信息系统基础设施的物理安全是保障整个大数据平台安全的前提。 边界安全风险:数据中心的边界包括接入终端、服务器主机、网络等,终端包括固定和移动终端都存在被感染和控制的风险,服务器主机存在被入侵和篡改的风险,数据中心网络存在入侵、攻击、非法访问等风险。 平台安全风险:大数据平台大多在设计之初对安全因素考虑较少,在身份认证、访问控制授权、审计
3、、数据安全方面较为薄弱,存在冒名、越权访问等风险,需要进行全方位的安全加固。 业务安全风险:大数据的应用和业务是全新的模式,在代码安全、系统漏洞、Web 安全、访问和审计等多个方面存在安全风险。 数据安全风险:由于数据集中、数据量大、数据价值大,在大数据环境下数据的安全尤为重要,数据的访问控制、保密性、完整性、可用性方面都存在严峻的安全风险。 运营管理风险:安全技术和策略最终要通过安全运营管理来落实,安全运营管理非常重要,面临管理疏漏、响应不及时或力度不够、安全监控和分析复杂等风险。1.3 数据中心与大数据安全解决方案1.3.1 设计原则本方案需要充分考虑长远发展需求,统一规划、统一布局、统一
4、设计、规范标准,并根据实际需要及投资金额,突出重点、分步实施,保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则: 合规性和规范化原则安全规划和建设应严格遵循国家信息安全等级保护或分级保护标准和行业有关法律法规和技术规范的要求,同时兼顾参考国际上较为成熟的ISO27000、CSA 的成熟范例,从技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。 国产自主化原则大数据中心信息的安全,关乎整个上层应用的信息系统平稳运转和工作正常开展,采用国产化自主可控的硬件和软件进行数据中心和大数据安全,避免国外技术封锁和后面带来的根本性安全风险。 适度安全原则
5、任何信息系统都不能做到绝对的安全,在安全规划过程中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷,因此该安全规划在进行设计的过程中,一方面要严格遵循基本要求,从物理、网络、主机、应用、数据、虚拟化、虚拟网络等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合考虑业务和成本的因素,针对信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。 技术管理并重原则信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全
6、部是片面的,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性。 先进性和成熟性原则所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。首先,云产品必须成熟,更加遵守标准。第二,云供应商必须与用户签署相关合同协议,这有助于客户满足云合规性的需求。并且,选择目前和未来一定时期内有代表性和先进性的成熟的安全技术,既保证当前系统的高安全可靠,又满足系统在很长生命周期内有持续的可维护和可扩展性。 动态调整原则信息安全问题不是静态的。信息系统安全保障体系的设计和建设,必须遵循动态性原则。必须适应不断发
7、展的信息技术和不断改变的脆弱性,必须能够及时地、不断地改进和完善系统的安全保障措施。 保密原则项目的整体过程和结果应严格保密,涉及项目的所有人员均需签署保密协议,未经授权,对项目涉及的任何信息不得泄露。1.3.2 总体架构针对数据中心与大数据安全的安全分析,基于上述设计原则,数据中心与大数据安全的总体架构如下:针对数据中心与大数据安全威胁的多样化、体系化,防御体系利用先发优势,在各个层面进行纵深覆盖,实现风险分化、协同互补,构建一套环环相扣的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多重纵深防御体系。从云端到终端、从业务到数据、从事前到事后,为数据中心提供无所不在的全方位
8、保护,在大数据环境中为用户提供多层次、多维度、体系化纵深防御的解决方案,综合提升应对新型安全威胁的能力,真正做到看得见的安全和有效安全。 威胁感知:360 建立了基于大数据安全分析和威胁情报的云计算中心,形成有效对抗新型威胁的防御和检测体系,通过该体系,可以挖掘未知威胁、预知风险,全面、快速、准确地感知过去、现在、为了的威胁态势,同时经过提炼后的情报信息会实时同步到边界、业务、数据安全防护体系中,大幅提升边界、平台、业务、数据的整体安全防护能力。 边界安全防护:基于业务的风险和控制需求,划分不同的物理/逻辑安全区域,在安全区域边界、网络出口边界、无线接入边界、终端接入边界建立健全的边界立体防控
9、体系,基于天擎终端安全、天堤网关安全等产品实现边界协同防御,同时通过与威胁情报中心的情报交互,以及流量的上下文情景感知分析,实现动态策略自动下发与阻断,将已知或未知威胁阻断在边界之外,有效保护各边界区域的网络信息安全。 平台安全防护:通过建立大数据分布式环境中的 4A 体系(账号 Account、认证 Authentication、授权 Authorization、审计 Audit),保证只有具备合法账号、通过身份认证、经过访问授权的人才能使用大数据平台,且具备平台各个系统使用和访问的集中统一审计与监控。 业务安全防护:通过对业务和应用的深入分析,从业务系统的代码缺陷、自身加固不足入手,再对用
10、户数据业务访问的行为详细审计分析,进行源代码安全检测、分析、溯源、缺陷管理,建立系统漏洞管理和响应机制;对 Web 系统进行安全扫描、监测、防护;进行日志、数据库、大数据方面的审计。 数据安全防护:对大数据平台中的数据进行加密和数据密级管理,基于分布式数据复制、校验等技术实现数据的完整性、可用性,通过网关敏感信息检查、终端敏感信息检查、终端数据加密实现数据的安全可控和防泄漏。数据中心和大数据安全体系的设计理念是在整体安全攻防体系下考虑大数据平台和数据安全,主要特点如下: 安全体系是一个整体:大数据安全不是孤立的,要基于整体安全攻防体系来构建大数据安全。整体安全攻防体系包括威胁感知、边界安全、平
11、台安全、业务安全、数据安全等。 大数据环境的 4A 体系:在分布式、海量数据的大数据环境中,构建用于大数据平台内所有系统的统一账号(Account)、认证(Authentication)、授权(Authorization)、审计(Audit)4A 体系。 大数据加密体系:所有数据加密存储、加密传输,实现数据密级管理体系,根据不同密级的数据选择不同强度加密算法、数据多层加密。 差异化多级防御:不同安全产品基于不同安全技术从不同角度保护系统的安全,防止单点被突破后整体安全沦陷。1.3.3 安全威胁感知基于 360 云端大数据中心和企业本地大数据中心以及数据中心流量分析,安全威胁感知体系可以及时洞察
12、展现数据中心的安全威胁和安全态势。360 态势感知与安全运营平台 NGSOC 及时发现本地的威胁和异常,同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势进行展现。360 天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。360 NGSOC 和 360 天眼都基于云端威胁情报中心提供的可机读威胁情报与本地流量数据相结合,威胁情况可以根据数据中心实际情况采取在线产线、云端推送、离线拷贝等多种灵活方式进入数据中心。1.3.3.1 威胁态势感知360 态势感知与安全运营平台 NGSOC 是基于 360 威胁情报和
13、本地大数据技术的对用户本地的安全数据进行快速、自动化的关联分析,及时发现本地的威胁和异常,同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势展现给用户的系统。360 态势感知与安全运营平台一方面可基于 360 自有的多维度海量互联网安全数据,进行情报挖掘与云端关联分析,提前洞悉各种安全威胁,并将威胁情报以可机读格式推送到本地系统,供本地威胁检测和分析时使用,另一方面,360 态势感知与安全运营平台可对本地全量数据进行采集和存储,利用大数据技术在本地进行安全数据分析和威胁溯源。整个设计将遵循发现、阻断、取证、溯源、研判、拓展的安全业务闭环设计,使得用户能通过产品各个功能模块完成威胁处置的
14、全过程。360 态势感知与安全运营平台 NGSOC 主要实现以下功能: 日志检索日志检索 APP 的主要功能是对采集到的全量原始日志进行快速检索,可实现千亿条日志秒级检索的性能。 关联分析关联分析 APP 是方便安全分析人员对多维度数据进行关联并分析攻击路径、取得攻击证据链的工具。在此 APP 上安全分析员可以将原始网络流量日志、原始主机日志、安全设备告警、威胁情报、互联网基础数据等多维度数据进行关联,寻找攻击者的在内网留下的痕迹,对攻击进行溯源和研判,并按照时间维度形成攻击证据链。 威胁情报利用通过从 360 云端获取(在线查询、云端推送或离线拷贝)可机读威胁情报,本地系统可自动创建分析规则
15、,对本地网络中采集的数据进行实时比对比对,发现可疑的连接行为;同时,可利用威胁情报对历史数据进行比对,以发现曾经发生过的 APT 攻击行为或本地网络中的 Botnet 主机,并可利用情报对安全事件进行溯源分析。 告警响应中心360 态势感知与安全运营平台采集的数据维度较多,太多的日志和告警反而让安全管理员无从下手。通过告警响应中心,安全管理员可将多个不同维度的数据进行关联后再做研判,这样可大大减少有效告警数量,提升安全管理效率。在告警响应中心,安全管理员可将潜在的威胁的判定逻辑做成关联规则,实时的发现符合威胁判定逻辑的内网行为,并产生告警。在发现关联告警后,安全管理员可将告警内容和响应建议通过
16、邮件、短信等方式发送给指定的安全事件处置人员,或者将其推送到下级处置中心,如:天擎终端管控中心。在下级处置中心完成事件处置后,告警响应中心会将告警事件标记为“已处置”。 报表中心提供丰富的报表管理功能;根据时间、数据类型等定期自动生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为 HTML、EXCEL、文本、PDF、WORD、PNG 等多种格式,提供报表模版的导入、导出功能,用户可根据需求自定义相关报表模版进行数据的导入、导出。 网站监控网站监控 APP 是用于监测网站安全性与可用性的系统,与常见监控技术不同的
17、是网站监控 APP 采用了云扫描、互联网漏洞众测平台及云多点探测等新技术,解决了以往网站监测仅依靠本地漏洞扫描及人工值守存在的时效性和准确性等问题。网站监控系统能通过云扫描技术对大量网站同时进行漏洞扫描,并具备篡改、挂马及暗链的发现能力,通过互联网漏洞众测平台保证漏洞(包括 WEB 0Day)发现的准确性及时效性,通过云多点监测全天候对大量网站进行可用性监测。 安全仪表板利用系统采集的海量数据,并根据用户不同的安全分析应用场景,精心定义了四类不同的安全仪表板,分别为资产威胁视图、互联网威胁视图、安全告警视图、资产安全监控视图。资产威胁视图中定义了内网资产拓扑、资产安全事件告警及漏洞统计、资产风
18、险统计、组件状态等仪表板;互联网威胁视图中定义了外部威胁视图、外联安全事件告警统计、外联安全事件告警详情等仪表板;安全告警视图中主要定义了安全事件告警详情、安全事件告警处置、安全事件处置状态等仪表板;资产安全监控视图中主要定义了安全域资产信息统计、安全域各维度告警及风险统计、安全域所包含资产的漏洞详情等仪表板。通过这些仪表板的使用,极大提高了安全事件的可视化展现能力,同时帮助分析人员从视图中快速发现异常,提供深入分析的线索。 可视化的事件溯源分析通过利用威胁情报发现 APT 攻击或 Botnet 主机后,可进一步通过系统提供的可视化分析工具和海量的云端安全数据,对事件进行溯源分析,在互联网范围
19、内发现类似的攻击事件,找出攻击事件背后的团伙和实际的攻击者,提高分析人员对安全事件的溯源分析能力。 态势感知大屏态势感知大屏 APP 提供 4 种面向不同安全场景的态势监控界面:APT 攻击态势、DDoS 攻击态势、僵木蠕毒安全态势和网站安全态势。1.3.3.2 大数据安全分析360 天眼新一代威胁感知系统(以下简称“天眼”)可基于 360 自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。同时结合部署在客户本地的大数据平台,进行本地流量深度分析。360 天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精
20、准定位,最终达到对入侵途径及攻击者背景的研判与溯源,帮助企业防患于未察。360 天眼的功能如下:天眼分析平台能够接收云端提供的威胁情报,对网络中的威胁事件进行 发现和告警威胁情报可支持在线和离线升级两种方式对于重要的未知威胁告警,将告知客 户攻击背景信息可提供未知威胁在本地发生的具体时间和受害主机地址能够对未知告警的受害 IP 进行搜索能够对未知威胁告警进行处理,可 设置已处理、未 处理、忽略等状态威胁详情展示,以时间轴的方式展示日志分布,和螺旋 图形成两套可 选方案,用户自行选择点击图标切换两种显示方式。用 户点击后可保存当前 选择为后续的默认选择威胁感知提供告警数据导出功能,以 excel
21、 表格式导出告警数据可对 TB 级日志做到快速搜索,搜索时间小于 30s可将日志区分为普通流量日志和告警日志,并可按照不同的日志 类型就行日志筛选网络流量日志至少包含DNS、HTTP、TCP、FTP、LDAP、SMTP、IMAP、POP3 等网络流量行为日志,并可按照以上应用协议的各个关键字段搜索日志流量日志记录至少包含以下字段:时间、IP、 IP 地理位置、端口、域名、HTTP头信息、SQL 语句、邮件收件人和发件人、文件名、文件 MD5、应用层payload 前 100 字节。日志检索可对流量日志的关键字段进行追加搜索,从上一次的搜索 结果中重新按照新的规则搜索日志可将 IP 地址的地理位
22、置信息及 AS 号解析出来可展示日志的时间分布支持日志导出可筛选关键字段展示,隐藏不必要的日志信息所有日志均可以标准化接口形式提供可以搜索文件访问行为,并展示 还原流量中文件的 MD5 和文件名支持搜索历史记录,点击后可重新搜索支持规则搜藏,导入导出支持基于选择字段的快速搜索支持 lucence 语法高级搜索支持搜索结果导出,以 excel 格式导出,导出条目数不超过 5000提供审计日志功能,能够记录 所有对产品的配置修改、数据修改、数据 检索、登录登出等操作。提供审计日志筛选搜索功能,能 够按照时间段、角色、用户、操作类型筛选审计日志提供审计日志展示功能,可以展示操作日志的操作时间、角色、
23、用户、用户登录 IP、操作类型和具体操作细节 。操作审计功能提供审计日志统计功能,可以按照 时间轴展示时间轴上操作数量的分布,时间轴可以圈选、拖动、同日志检索系统的时间轴一周日志统计功能,当前时间 向前 7 天的每日日志数量趋势 ,统计本周日志总量。一周告警统计功能,包含 APT 和非 APT 的比例和条目数集群状态展示,展示集群服务 器数量,集群状 态,各服务器数据盘占用率以及主从情报信息,展示情报总量,更新次数和最近更新日期系统信息,分析平台当前节点的 CPU、内存占用证书信息,当前系统的证书类 型,服 务起止时间,情报时间状态显示功能联动设备状态信息,联动设备 的连接状态, 设备以设备名
24、,绿色连接正常,红色链接异常。能够支持时间同步,支持 NTP V4.0 协议能够提供网络管理功能,可进 行静态路由配置多次登录失败将锁定账号 5 分钟内不得登录可支持在线升级和离线升级两种升级方式,并支持定 时自 动升级可实时监控设备的 CPU、内存、存储空间使用情况。可新增并管理用户,可控制用 户使用权限。 权限包含:管理 权限、应用权限、设备权限、数据权限等。管理功能可支持用户初次登陆强制修改密码功能。部署情况 可支持集群部署,可水平扩展至多台 设备集群,以 应对大量数据情况,可支持 PB 级 数据检索。天眼传感器威胁检测 提供对常见扫描行为的检测能力能够检测常见的远控木马行为提供对主要
25、Web应用攻击的检测能力,包括:注入、跨站、webshell、命令执行、文件包含等;能够对网络通信行为进行还原和记录,以供安全人 员进行取 证分析, 还原内容包括:TCP 会话记录、Web 访问记录、 SQL访问记录、DNS 解析记录、文件传输行为、LDAP 登录行为。支持对流量中出现文件传输行为进行发现和还原,将文件 MD5发送至分析平台流量记录可以支持 MSSQL、MYSQL、ORACLE 三种 sql协议的分析和还 原可分析的文件传输协议包括:邮件(SMTP、POP3、 IMAP、webmail)、Web(HTTP)、FTP、SMB支持对常见可执行文件的还原:EXE、DLL、 OCX、S
26、YS、COM、apk 等支持对常见压缩格式的还原:RAR、ZIP、 GZ、7Z 等文件还原支持常见的文档类型的还原:word、excel、 pdf、rtf、ppt 等能够支持时间同步,支持 NTP V4.0协议能够提供网络管理功能,可进 行静态路由配置多次登录失败将锁定账号 5 分钟内不得登录可支持在线升级和离线升级俩种升级方式,并支持定 时自 动升级可支持用户初次登陆强制修改密码功能。可实时监控设备的 CPU、内存、存储空间使用情况。能够监控监听接口的实时流量情况可以分析统计 1 天或 1 周时间内的文件还原数量情况管理功能可以分析统计 1 天或 1 周时间内的各个应用流量的大小和分布情况。
27、可支持旁路部署,对镜像流量 进行监听可支持 IPv4 网络和 IPv6 网络两种部署场景,可 对两种网 络流量均进行分析还原。部署情况可支持分布式部署,可以多台采集器同时部署于客户网络 不同位置并将数据传输到同一套分析平台1.3.3.3 威胁情报中心360 威胁情报中心是中国首个面向企业和机构的互联网威胁情报整合专业机构。中心以业界领先的安全大数据资源为基础,基于 360 长期积累的核心安全技术,依托亚太地区顶级的安全人才团队,通过强大的大数据能力,实现全网威胁情报的即时、全面、深入的整合与分析,为监管部门提供网络威胁预警与情报。360 威胁情报中心提供两种使用方式,一是通过访问威胁情报中心网
28、站查询数据,二是调用威胁情报中心的 API 接口直接调用数据。用户可通过威胁情报中心网站(https:/)查看 360 公司最新发布的网络安全事件报告,并可对 360 云端数据进行搜索和分析。360 威胁情报中心遵循 REST API 标准提供接口访问,实现如下功能: 域名分析:获取域名对应的 IP 地址、IP 地址相关地理位置信息、当前和历史 Whois 信息、威胁类型、相关样本信息、递归解析域名的客户端 ID、相关攻击团伙或安全事件信息。 IP 分析:获取 IP 所属地、相关域名、AS 域、威胁类型、相关样本信息、相关攻击团伙或安全事件信息。 MD5 分析:获取样本的首次发现时间、创建时间
29、、文件大小,检测结果、上传样本客户端 MID 信息。1.3.4 边界安全防护边界安全防护是在数据中心的各个边界区域和点进行防护,阻止入侵者进入核心系统,边界安全防护包括数据中心的终端安全、主机安全和网络安全。 终端安全保护接入大数据平台的 PC 终端的安全,采用 360 天擎实现病毒/木马防护、终端审计、合规管理、软件管理、资产管理、边界联动等。 主机安全保护数据中心物理服务器和云主机的安全,采用 360 天擎进行主机病毒/木马防护和补丁管理,采用主机加固降低主机安全风险。 网络安全首先做好安全区域划分,采用网神 SecGate3600 下一代防火墙进行网络隔离,采用网闸实现单向网络访问,采用
30、 DDoS 清理抵抗网络攻击,采用 SSL VPN 实现安全接入,采用 360 天巡防控无线网络安全风险。1.3.4.1 终端安全在终端上在部署 360 天擎终端安全管理系统,实现终端安全防护,包括Windows 系统终端和 Linux 系统终端。360 天擎终端安全管系统是 360 面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。360 天擎终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、未知恶意代码,有效防御 APT 攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动
31、存储管理、终端安全审计、XP 盾甲防护诸多功能。360 天擎的主要功能如下: 病毒/木马防护天擎终端安全管理系统支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS 病毒的查杀,这依赖于 QVM 人工智能引擎、云查杀引擎、AVE(针对可执行文件的引擎)、QEX(针对非可执行文件的引擎)等多引擎的协同工作。 补丁管理在企业的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进行全面的补丁管理,管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁,服务器系统尤为复杂,需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进
32、行补丁升级操作。天擎终端安全管理系统可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联,可以根据终端或漏洞进行分组管理,并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发,在保障企业网络带宽的前提下可以有效提升企业整体漏洞防护等级。 资产管理天擎终端安全管理系统具有强大的终端发现功能,管理员可以通过定义网络 IP 段分组,对指定的网络分组进行周期性地发现(采用多协议、多机制方式)与统计网络中的终端数量及类型。管理员通过此功能,了解全网终端数量和天擎终端的安装量,为企业终端安全管理运维提供有效的参考。 软件管理天擎终端安全管理系统独有的企业软件管家功能不但能够统计全网终端的软件部署情况
33、,还可以根据企业不同部门进行终端分组,并对不同分组分发不同软件,实现远程部署、远程通知安装等方式。天擎企业软件管家集软件下载、升级、卸载等功能于一体,为企业提供必要的一站式软件管理服务。通过使用企业软件服务,可以避免来源不明的软件的安装和运行带来的各种风险(如含有恶意代码或者木马程序),又可能合理分配和控制企业购买的软件许可证。 终端安全管控终端安全运维管控包含对终端的流量管理、非法外联、应用程序安全、网络安全、外设、桌面安全加固等。 移动存储介质管理天擎终端安全管理系统,能够实现对移动存储设备的灵活管控,保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。移动存储管理包括移动存储介
34、质的身份注册、网内终端授权管理、移动介质挂失管理、外出管理和终端设备例外等功能。 综合安全评估评估中心通过对内网终端的配置脆弱程度、终端数据价值和终端沦陷迹象进行评估,实现对网内终端安全性、核心数据终端以及终端使用痕迹的实时掌握,支持不同分组执行不同任务,以及对任务的优先级进行排序。 终端强制合规 NAC天擎强制合规(NAC)组件主要为企事业单位解决入网安全合规性要求,实现用户和设备的网络实名制认证管理、网络边界安全防护管理、核心业务访问准入等问题。用于防止企业网络资源不受设备接入所引起的各种威胁,在有效管理用户接入网络行为的同时,也达到了规范化地管理计算机终端的目的。 终端审计随着信息安全技
35、术和理念的发展,安全监控的关注点已经从设备转向对于设备使用者的行为,用户对于设备使用人行为审计和行为控制的需求越来越明显,天擎终端安全管理系统通过技术手段使各种管理条例落地,增强用户的安全和保密意识,保护内部的信息不外泄。所审计的内容只是跟内网安全合规管理相关的信息,不对涉及终端用户的个人隐私信息,达到合规管理的审计的要求。 边界联动防御天擎终端安全管理系统可以与 360 的边界防护设备天眼新一代未知威胁感知系统进行联动,借助 360 天眼的深度检测能力,结合天擎终端上的精确防御能力,实现对 PC 终端的攻击防御。1.3.4.2 主机安全数据中心的主机包括物理服务器和虚拟化云主机,所有主机都面
36、临入侵和攻击的风险。主机安全主要包括两个方面: 在主机上部署病毒/木马查杀软件 360 天擎,包括 Linux 和 Windows 系统,降低病毒/木马入侵主机和蔓延的风险。 对主机进行加固,降低主机遭受攻击和入侵的风险。对于数据中心的服务器和云主机,无论系统或应用本身安全与否,都可能存在漏洞,安全管理员应负责定期(例如 1 月/次)对包括物理服务器和云主机等进行安全加固。系统加固策略包括: 使用 GRUB 的 password 参数对 GRUB 设置密码,防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码,从而造成安全隐患; 对 ssh 服务进行加固,关闭 root
37、 账号远程连接,不允许使用空密码用户远程登录,设置最大登录尝试次数为 3; 对 xinetd 服务进行加固,根据最少服务原则,凡是不需要的服务一律禁用,减少系统所暴露攻击面,从而提高系统的安全性; 清理无主的文件,防止账号删除后系统残留未知文件; 删除非授权文件的全局可写属性,控制文件的可写操作权限,避免任何人都具有写权限的目录或文件存在; 设置守护进程 umask 值,控制守护进程访问权限范围; 为指定分区设置 nodev 挂载项,限制访问该文件系统上的文件; 限制 at、cron 定时任务命令的使用权限虚拟化层防护; 对于重要文件设置只有 root 可读、写和执行,主要检查目录为/etc/
38、、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d; 检查未授权 SUID/SGID 文件,可通过对比 SUID/SGID 文件列表及时发现可疑后门程序; 检查异常隐藏的文件的存在; 开启 TCP sync cookie 保护; 关闭系统 core dump 状态; 开启 syslog 服务记录用户登录、sudo 操作等日志;1.3.4.3 网络安全网络安全是边界安全防护的重要部分,保护数据中心的网
39、络与外界隔离、防止外部入侵和攻击,同时实现安全远程连接、数据安全导入。根据不通的系统功能、安全需求将数据中心网络划分为十个安全域,每个区域采取不同的网络隔离策略和访问控制,限制各个区之间的网络通信,从而降低网络整体失陷的风险。采用网神 SecGate3600 防火墙保护数据中心网络边界,同时具备网络入侵检测和防御的功能。采用网神 SecSIS 3600 网闸实现数据中心与外界进行安全可控的数据交互,降低数据采集、交换过程中的风险。采用网神 SecSSL 3600 安全接入网关实现通过网络安全接入数据中心,保证传输信道加密和审计可控,为运维、开发人员提供安全接入堡垒机。采用网神 SecGate
40、3600 安全网关抗拒绝服务系统抵御 DDoS 攻击,保证数据中心网络和服务的可用性。采用 360 天巡无线入侵防御系统,防止有人在数据中心通过私建 wifi 热点等无线通信方式带来网络风险。1.3.4.3.1 安全区域划分根据系统功能、安全需求不同进行网络区域划分,整个网络划分为数据源区、运维接入区、业务安全接入区、运维管理区、安全服务区、带外管理区、大数据平台核心区、云平台核心区、大数据平台和云平台十个部分,通过核心交换区及在各区域边界配置相应策略,实现在各个区域之间的访问控制。安全域划分示意图如下所示:数据源区与大数据平台核心区连通,主要是及大流量和大数据的输入区域,根据应用需求设置相应
41、策略,允许大数据平台区的安全访问,禁止其他安全区域的直接访问。运维接入区提供专属的区域给运维人员使用,根据访问的目标类型设置不同安全策略。业务安全接入区提供专属的区域给进行业务操作使用的人员,根据访问业务目标的重要性,设置不同的安全策略。为内部用户提供业务接入服务,与其他区域进行边界隔离,允许本区域按照工作需要访问安全服务区,允许本区域按照运维管理区的要求上报运维管理信息,禁止本区域主动访问其他区域。运维管理区负责管理与监控整个网络的安全与应用系统的运行,本安全域与与其他区域进行边界隔离,允许本区域主动访问其他区域,并允许其他安全域按照安全管理要求上报信息。禁止其他区域主动访问本区域。主要部署
42、边界访问控制、WEB 应用防护、统一用户和侧策略管理、PKI/CA 体系、漏扫、恶意代码防护管理端、安全管理中心等安全设备。大数据平台核心区作为整个大数据网络的核心,负责转发网络中所有的大数据交互数据;同时对于网络中各个区域之间的数据交换做合理的访问控制,允许云平台核心区、业务接入区、数据源区、安全服务器、带外管理区和运维管理区的访问,禁止其他区域接入。云平台核心区作为整个云平台网络的核心,负责转发网络中所有的虚拟化环境和外部区域的交互数据;同时对于网络中各个区域之间的数据交换做合理的访问控制,允许大数据平台核心区、业务安全接入区、运维接入区、带外管理区和运维管理区的访问,禁止其他区域接入。安
43、全服务区作为提供应用服务的区域,将所有应用系统中不直接对用户提供服务的服务器都部署在本区域。安全服务区划分子域,每一个应用系统的应用服务为一个子域,各子域之间通过网络策略隔离。本安全域与与其他区域进行边界隔离,允许业务安全接入区根据应用系统的业务需求访问本区域,允许本区域按照运维管理区的要求上报运维管理信息,禁止业务安全接入区和运维管理区以外的安全域直接访问本区域。带外管理区作为独立区域进行相关网络设备和服务器设备的单独管理区域,允许运维接入区、大数据平台核心区和云平台核心区的安全接入。禁止除该区域之外的安全域访问本区域。大数据平台区提供大数据平台服务的业务区域,所有大数据应用系统的大数据处理
44、服务器和大数据展示都部署在本区域。本安全域与其他区域进行边界隔离,允许数据源区、业务安全接入区、运维管理区、安全服务器、大数据核心区域和云平台核心区根据业务需要访问本区域,允许本区域按照运维管理区的要求上报运维管理信息,禁止除此以外的安全域直接访问本区域。云平台接入区提供云平台服务的业务区域,所有虚拟化环境、虚拟化主机和宿主机部署在本区域。本安全域与其他区域进行边界隔离,允许大数据平台区、业务安全接入区、运维管理区、安全服务器、大数据核心区域和云平台核心区根据业务需要访问本区域,允许本区域按照运维管理区的要求上报运维管理信息,禁止除此以外的安全域直接访问本区域各区域之间的访问控制策略如下:区域
45、访问控制关系大数据平台区 云平台区 大数据平台核心区 云平台核心区 数据源区 运维接入区 业务安全接入区 运维管理区 安全服务区 带外管理区大数据平台区 可达 可达 可达 可达 部分可达 可达 部分可达 可达 部分可达云平台区域 可达 可达 可达 不可达 部分可达 可达 部分可达 可达 部分可达大数据核心区 部分可达 部分可达 部分可达 不可达 不可达 可达 可达 不可达 可达云平台核心区 部分可达 部分可达 部分可达 不可达 不可达 可达 可达 不可达 可达数据源区可达 不可达 可达 不可达 不可达 不可达 不可达 不可达 不可达运维接入区 部分可达 部分可达 不可达 不可达 不可达 不可达
46、 可达 不可达 不可达业务安全接入区 部分可达 部分可达 可达 可达 不可达 不可达 可达 可达 不可达运维管理区 部分可达 部分可达 可达 可达 不可达 可达 可达 可达 不可达安全服务区 可达 可达 可达 可达 不可达 可达 可达 可达 不可达带外管理区 部分可达 部分可达 可达 可达 不可达 不可达 不可达 不可达 不可达1.3.4.3.2 防火墙与入侵检测网神 SecGate3600 防火墙 NSG 系列在强劲性能与更先进架构的支撑下,集成访问控制、用户授权访问、虚拟系统、行为管理、应用层综合安全防护等覆盖 IPv4 网络及 IPv6 网络的功能,进一步在网神 SecGate3600
47、防火墙 NSG 系列上完成了与 360 情报威胁、天擎、病毒云查杀、木马云查杀、未知威胁感知分析等多项智能联动功能,内置 IPS 入侵检测和防御。是专门为政府、军队、教育、运营商、大型企业、中小型企业的互联网出口打造的“云+端+边界+联动”下一代安全体系。网神 SecGate3600 防火墙 NSG 系列的主要功能如下: 高性能随着网络技术的发展,边界防火墙需要支持对应用层的过滤和威胁防护,如何保障开启应用层过滤和威胁防护情况下能够高效、快速、稳定运行是新一代防火墙必须面对的问题。在区别于对称的多核处理结构,网神 SecGate 3600防火墙 NSG 系列采用自主研发且优化后的异步处理结构
48、AMP+,突破前者处理数据的瓶颈,更大程度上提升了防火墙的性能。更高效的性能、更快速的转发速度是 SecGate 3600 防火墙 NSG 系列的基石,让集成的多种安全防护功能,在全面启用的情况下,仍然能轻松应对,保证极快的整体转发速度。 应用层转发延迟有效降低网神 SecGate 3600 防火墙 NSG 系列采用完全自主研发的单引擎一次性数据包拆分和物理多核下并行虚拟计算处理技术,使得整个数据的处理,包括应用层数据的处理、入侵防护等高级功能,都在数据平面完成,不涉及数据包的拷贝,进程切换等问题,同时数据的处理在整个转发阶段都使用同一个会话,实现数据包在 4-7 层的高性能转发,有效降低应用
49、层转发延迟。 管理员权限三权分立网神 SecGate 3600 防火墙 NSG 系列针对管理员的角色建立三权分立的管理员帐号机制,将超级用户特权集进行划分,分别授予配置管理员、安全管理员和审计管理员。实现配置管理、安全管理和审计管理功能的同时,也保证管理员权限的隔离。防止因为管理员权限过大所引起的安全风险,也保证已经配置完成的访问控制策略不会出现未授权的修改,及出现未授权修改时可以保留相关审计信息。 安全隔离的虚拟系统网神 SecGate 3600 防火墙 NSG 系列支持通过虚拟系统功能,将防火墙虚拟成多个相互隔离并独立运行的虚拟防火墙系统,每一个虚拟系统都可以为用户提供定制化的安全防护功能,并可配备独立的管理员账号。在用户网络不断扩展时,通过虚拟系统功能不仅能有效降低用户网络的复杂度,还能提高网络的灵活性。当这些相互隔离并独立运行的虚拟防火墙系统需要通讯时,可以通过防火墙提供的虚拟接口实现,而不需要通过物理链路将它们进行连接。 高可用性功能支持多种网络环境网神 SecGate 3600 防火墙 NSG 系列支持路由模式的 HA 和桥模式的 HA。路由模式,采用网神 SGRP