《《精编》IDC安全管理及业务管理知识系统平台》由会员分享,可在线阅读,更多相关《《精编》IDC安全管理及业务管理知识系统平台(37页珍藏版)》请在金锄头文库上搜索。
1、 IDC安全管理系统及业务平台EverGuard EverOne 恒安嘉新2012年10月 目录 背景与需求 一 IDC安全管控系统EverGuard 三 IDC安全业务平台EverOne 二 工信部文件中对IDC管控系统的建设要求 280号文 明确指出要求建立IDC管控系统 实现通信管理部门与当地IDC ISP企业的信息联动 能够对IDC ISP所接入网站进行动态采集统计 应急状态下可对IDC ISP所接入有害网站进行定位和关闭 对所接入网站和上网用户进行溯源 564号文 明确由江苏 天津 安徽 山东 河北五省作为第一批试点地区 各基础电信企业要认真按照当地通信管理部门的工作部署 加大工作力
2、度 加强组织协调 保障企业侧建设经费尽快到位 加快工作进展 各基础电信企业要加强统筹 认真做好机房等配套准备工作 传统防护设备对IDC局限性 IDC 防火墙只提供访问接入控制 应用层防御能力有限 IDS DLP采用并联接入模式 无法及时阻断安全事件 也无法发现隐藏在木马流量中的安全事件 流量控制设备提供网络和应用层流量管控 扩展性低 重要IDC安全需要建设针对海量数据流量的应用层深度安全检测 控制和阻断平台 仅依靠旁路监测无法及时阻止安全事件的发生 无法防护安全攻击 实现一站式防护 目录 背景与需求 一 IDC安全管控系统EverGuard 三 IDC安全业务平台EverOne 二 安全分析封
3、堵控制 链路 安全分析封堵控制 链路 传统方案A 传统方案B 封堵控制 链路 恒安嘉新方案 软件定义安全分析 恒安嘉新IDC安全防护 EverGuard 恒安嘉新IDC安全防护 EverGuard 并接检测与串接阻断相结合的IDC安全管控系统 为IDC监管定制的安全监控系统 适用于运营IDC各种出口等各种网络环境 检测与阻断相结合 有效发现和避免安全事件 运营商安全需求 业务扩展性相结合的一站式解决方案 恒安嘉新网络IDC安全管控系统通过在IDC网络出口处对双向网络流量进行智能化深度分析 将网络流量和行为精确映射至特征规则 精准 有效检测和阻断监控区域内的用户行为 安全攻击和木马病毒行为 并能
4、精确追溯事件源头并跟踪记录其所有的操作行为 EverGuard系统部署架构 LB 串接到网络中 并对eTM提供负载均衡 支持对eTM等进行健康检查 eTM 并接到网络中 实现数据安全事件的阻断 接收来自eControl的策略和控制指令 eDPI 对网络流量进行智能化深度分析 向eControl下发策略和控制指令 IDC内网 IDCInternet出口网络 eControl 集中管理平台 提供统一管理入口和视图 制定和下发检测和封堵策略 基于串接阻断检测相分离IDC管控实际网络部署和配置 串接层通过独立的串接设备 LB 串接 保证网络安全和当故障发生的时候与控制设备分离 控制层通过独立的控制设备
5、 eTM 进行五元组控制 让控制变成了一个独立简单的单元 与分析设备eDPI配合可以实现任意协议和访问的控制 分析层通过独立旁路的分析设备 可以灵活分析任意应用通过下发指令来实现控制 该技术为国家关防技术 LB eTM eDPI eControl EverGuard平台逻辑组件 EverGuard管控分析流程 基于9元组全流量存储 安全流量 IP 协议分析 漏洞攻击分析 僵木蠕文件级分析 信安内容级分析 HTTPFTPSMTPPOP3IMIP分析收发方分析时间分析频率分析 系统核心功能 1 信息安全管控 IDC信息安全管理接口 IP 域名备案系统 调用部备案系统接口 返回对应备案状态信息 互联
6、网综合管理平台 调用综合管理平台网站分类接口 返回网站分类信息 机房内域名 IP地址输出至综合管理平台 企业资源管理系统 传递机房设备 用户信息至IDC管控平台 1 基础资源管理实时获取机房内的域名 网站 IP等信息 并发现其中超范围运行 备案信息虚假等情况 2 信息监测能实时监测IDC机房内域名 URL IP 端口 协议 网页内容等信息 可提供监测结果至 管控模块 进行进一步的封堵处理 3 封堵管控能实时封堵域名 URL 未备案网站 IP 端口 协议等 应急状态下可实现区域管控 4 数据查询提供网站访问 BBS发帖审计等日志查询 系统核心功能 2 信息安全管控 工信部已发布相关信息安全技术规
7、范 并在江苏 山东 天津等五省试点 并将结合IDC资质的发放和更新结合一起并入IDC建设要求中 系统核心功能 2 僵木蠕监控 根据CnCERT发布的 2011年中国互联网网络安全分析报告 2011年 境内共有8895123个IP地址的主机被植入木马或僵尸程序 数量较2010增幅分别达到了78 5 其中 广东省 江苏省 浙江省居于木马或僵尸程序受控主机IP绝对数量前3位 中国已经成为僵尸木马感染的重灾区 发现正在遭受的零日攻击 发现 记录 追查 追踪 追踪出攻击的源头 对攻击行为进行记录 追查出攻击行为的目标和目的 发现 可发现正在遭受的0day攻击等攻击记录 对攻击行为进行记录追查 对攻击目的
8、和目标进行追查追踪 可追踪和追查出攻击源头 国内唯一一家提供0 Day木马防范7000多个流行木马样本依托CNCERT大网僵木蠕虫样本库 僵尸肉鸡 木马 蠕虫病毒已经成为IDC托管主机的重要安全威胁 依托国家安全中心CNCERT的大网僵木蠕病毒库和引擎 十余年成果积累 国内最权威 最尖端的木马检测 系统核心功能 2 僵木蠕监控 系统核心功能 3 基于国家漏洞库的安全防护 涵盖符合行业特点的Web漏洞覆盖OWASPTop10Web安全风险大于300条漏洞规则符合行业的弱口令字典根据CNVD漏洞库持续漏洞更新 正常流量 CRM漏洞 Sql注入 流量 流量分析 协议分析 攻击分析 内容分析 系统核心
9、功能 4 协议日志事后追溯 任何系统都无法彻底杜绝安全事件的发生 安全应建立 事前防范 事中监控 阻断 事后追溯 的防护体系 恒安嘉新网络IDC安全管控系统采用全流量采集技术 将网络全部上行 或上下行 流量全部采集 并基于9元组对访问时间 结束时间 源IP 源端口 目的IP 目的端口 目的URL 协议 报文内容进行日志留存 一旦发生未监控到的安全事件 可以在留存的日志中通过各种查询条件查询 Starttime 20120829132867Endtime 20120829132868SourceIP 192 168 11 122SourcePort 6553DesIP 202 213 45 8D
10、esPort 8080DesURL ziseyy 109868 htmlAppProtocol httppostContent ziseyysuiwe38952unicom内网安全技术报告 doc 技术特点 高可用性直通技术确保网络安全 系统支持设备直通技术 彻底解决串联方式可能带来的单点故障问题 直通技术包括三种 自身掉电直通 eTM掉电直通 对方设备逻辑BYPASS直通 LB与eTM直通的时间间隔以毫秒计算 对用户的感受没有任何的影响 LB与eTM之间不需要单独的心跳线 通过发送健康检查包实现 自身掉电直通 设备逻辑Bypass直通 eTM掉电直通 技术特点 分析与阻断相分离实现安全软件定
11、义 技术特点 高线速实时处理 线速处理能力 码流匹配技术 一次数据 多种规则 一次匹配 零拷贝技术 零拷贝在某节点的报文收发过程中不会出现任何内存中的拷贝 发送实时数据包由应用程序的用户缓冲区直接经过网络接口到达外部网络 接收时网络接口直接将数据包送入用户缓冲区 并行协议栈还原技术 采用多线程技术将捕获的以太网数据报文还原成应用层数据进行高效分析处理的技术 专用芯片 大大提升处理性能 系统外部接口 可定制的接口 其他接口 支持远程配置 特征等的更新接口 支持与现网文档安全系统 SOC系统等的接口 与受控网络的接口 通过光口或电口获得受控网络的流量数据 该接口获得链路双向数据 不对外部发送任何数
12、据 与管理平台的接口 支持通过Json Webservice FTP等协议与集团侧集中平台实现对接和通信 与云平台的接口 支持向云平台提交监测数据和监测结果 支持云存储 硬件配置 产品优势 实施案例 案例1 节点机房 实施案例 案例2 集中管控 系统界面 1 系统界面 2 目录 背景与需求 一 IDC安全管控系统EverGuard 三 IDC安全业务平台EverOne 二 与IDC安全管控系统联动业务平台 EverOne 与IDC安全系统无缝联动一键修复漏洞攻击防护云WAF防火墙防病毒网关安全团队专属服务日志分析挖掘 安全不再是负担 设备不仅仅是投资架设在IDC安全管控系统之上的增值业务平台E
13、verOne通过增和设备能力来提供安全服务 包括漏洞提醒 漏洞一键修复 云WAF等安全功能由于采用软件定义安全模式 非常方便扩展和提供业务 与IDC安全管控系统联动业务平台 EverOne 快速接入 注册即用的云扫描服务 免安装维护十分钟快速接入实时了解安全状况云扫描引擎漏洞第一时间更新 管理为核心设计 网站的编外安全管理员 网站趋势展示多次任务对比网站漏洞管理网站安全评分多维度水晶报表 智能评分体系 客观评价安全状况 网站总体评分得分变化趋势完备图表展示漏洞状况展示 完善的历史信息比对 用户充分掌握网站安全趋势直观体现安全运维成果历史任务查询管理完备任务关系展示完备的任务关系维护 智能报告 化繁为简大大减少汇报工作量 分角色提供内容多种格式导出界面美观内容完善全面 IDC安全服务套餐设计 功能免费提供服务收费提供 谢谢 结束语
