常見網(wǎng)絡(luò)安全設(shè)備

1、常見網(wǎng)絡(luò)安全設(shè)備精品管理制度、管理方案、合同、協(xié)議、一起學(xué)習(xí)進(jìn)步Web應(yīng)用防火墻（WAF ）為什么需要WAF?WAF （web application firewall）的出現(xiàn)是由于傳統(tǒng)防火墻無法對應(yīng)用層的攻擊進(jìn)行 有效抵抗，并且IPS也無法從根本上防護(hù)應(yīng)用層的攻擊。因此出現(xiàn)了保護(hù)Web應(yīng)用安全的 Web應(yīng)用防火墻系統(tǒng)（簡稱“WAF”）。什么是WAF?WAF是一種基礎(chǔ)的安全保護(hù)模塊，通過特征提取和分塊檢索技術(shù)進(jìn)行特征匹配，主要針 對HTTP訪問的Web程序保護(hù)。WAF部署在Web應(yīng)用程序前面，在用戶請求到達(dá)Web服務(wù)器前對用戶請求進(jìn)行掃描和 過濾，分析并校驗每個用戶請求的網(wǎng)絡(luò)包，確保每個用戶請

2、求有效且安全，對無效或有攻擊 行為的請求進(jìn)行阻斷或隔離。通過檢查HTTP流量，可以防止源自Web應(yīng)用程序的安全漏洞（如SQL注入，跨站腳本 （XSS），文件包含和安全配置錯誤）的攻擊。與傳統(tǒng)防火墻的區(qū)別WAF區(qū)別于常規(guī)防火墻，因為WAF能夠過濾特定Web應(yīng)用程序的內(nèi)容，而常規(guī)防火墻則 充當(dāng)服務(wù)器之間的安全門。WAF不是全能的WAF不是一個最終的安全解決方案，而是它們要與其他網(wǎng)絡(luò)周邊安全解決方案（如網(wǎng)絡(luò) 防火墻和入侵防御系統(tǒng)）一起使用，以提供全面的防御策略。入侵檢測系統(tǒng)（IDS ）什么是IDS？IDS是英文Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系 統(tǒng)

3、”。專業(yè)上講就是依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn) 各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。跟防火墻的比較假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn) 入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò) 流量流經(jīng)它便可以工作。部署位置選擇因此，對IDS的部署唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路 上。在這里，”所關(guān)注流量”指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計、監(jiān)視的

4、 網(wǎng)絡(luò)報文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕 大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：盡可能靠近攻擊源；這些位置通常是：服務(wù)器區(qū)域的交換機上；Internet接入路由器之后的第一臺交換機上；重點保護(hù)網(wǎng)段的局域網(wǎng)交換機上防火墻和IDS可以分開操作，IDS是個臨控系統(tǒng)，可以自行選擇合適的，或是符合需求 的，比如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改設(shè)置及規(guī)則，或是重新設(shè)置！主要組成部分事件產(chǎn)生器，從計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件；事件分析器，分析數(shù)據(jù)；響應(yīng)單元，發(fā)出警報或采取主動反應(yīng)措施；事件數(shù)

5、據(jù)庫，存放各種數(shù)據(jù)。主要任務(wù)主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構(gòu)造和弱點；識別、反映已知進(jìn)攻的活動模式，向相關(guān)人士報警；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計、跟蹤管理操作系統(tǒng)，識別用戶違反安全策略的行為。工作流程信息收集信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測利用的信息 一般來自系統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵 信息4個方面。數(shù)據(jù)分析數(shù)據(jù)分析是入侵檢測的核心。它首先構(gòu)建分析器，把收集到的信息經(jīng)過預(yù)處理，建立一 個行為分析引擎或模型，然后向模型中植入時間數(shù)據(jù)，在知識庫中保存植入數(shù)據(jù)的模型。數(shù) 據(jù)

6、分析一般通過模式匹配、統(tǒng)計分析和完整性分析3種手段進(jìn)行。前兩種方法用于實時入侵 檢測，而完整性分析則用于事后分析?？捎?種統(tǒng)計模型進(jìn)行數(shù)據(jù)分析：操作模型、方差、 多元模型、馬爾柯夫過程模型、時間序列分析。統(tǒng)計分析的最大優(yōu)點是可以學(xué)習(xí)用戶的使用 習(xí)慣。（3）實時記錄、報警或有限度反擊入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后會及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。響應(yīng)一般分為主動響應(yīng)（阻止攻擊或影響進(jìn)而改變攻擊的進(jìn)程）和被動響應(yīng)（報告和記錄所 檢測出的問題）兩種類型。主動響應(yīng)由用戶驅(qū)動或系統(tǒng)本身自動執(zhí)行，可對入侵者采取行動 （如斷開連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動響應(yīng)則包括告警和通知、簡單網(wǎng)絡(luò)

7、管 理協(xié)議（SNMP）陷阱和插件等。另外，還可以按策略配置響應(yīng)，可分別采取立即、緊急、適 時、本地的長期和全局的長期等行動。缺點（1）誤報、漏報率高（2）沒有主動防御能力（3）不能解析加密數(shù)據(jù)流入侵預(yù)防系統(tǒng)（IPS ）什么是入侵預(yù)防系統(tǒng)入侵預(yù)防系統(tǒng)（Intrusion Prevention System， IPS），又稱為入侵偵測與預(yù)防系統(tǒng)（intrusion detection and prevention systems， IDPS），是計算機網(wǎng)絡(luò)安全設(shè)施，是對 防病毒軟件（Antivirus Softwares）和防火墻的補充。入侵預(yù)防系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò) 或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)傳輸行為

8、的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些 不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)數(shù)據(jù)傳輸行為。為什么在存在傳統(tǒng)防火墻和IDS時，還會出現(xiàn)IPS？雖然防火墻可以根據(jù)英特網(wǎng)地址（IP-Addresses）或服務(wù)端口（Ports）過濾數(shù)據(jù)包。 但是，它對于利用合法網(wǎng)址和端口而從事的破壞活動則無能為力。因為，防火墻極少深入數(shù) 據(jù)包檢查內(nèi)容。在ISO/OSI網(wǎng)絡(luò)層次模型（見OSI模型）中，防火墻主要在第二到第四層起作用，它的 作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用。為了彌補防火 墻和除病毒軟件二者在第四到第五層之間留下的空檔，幾年前，工業(yè)界已經(jīng)有入侵檢測系統(tǒng) 投入使用。入侵偵

9、查系統(tǒng)在發(fā)現(xiàn)異常情況后及時向網(wǎng)絡(luò)安全管理人員或防火墻系統(tǒng)發(fā)出警 報?？上н@時災(zāi)害往往已經(jīng)形成。雖然，亡羊補牢，尤未為晚，但是，防衛(wèi)機制最好應(yīng)該是 在危害形成之前先期起作用。隨后應(yīng)運而生的入侵反應(yīng)系統(tǒng)（IRS: Intrusion Response Systems）作為對入侵偵查系統(tǒng)的補充能夠在發(fā)現(xiàn)入侵時，迅速做出反應(yīng)，并自動采取阻止 措施。而入侵預(yù)防系統(tǒng)則作為二者的進(jìn)一步發(fā)展，汲取了二者的長處。IPS如何工作入侵預(yù)防系統(tǒng)專門深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所認(rèn)識的攻擊代碼特征，過濾有害數(shù)據(jù) 流，丟棄有害數(shù)據(jù)包，并進(jìn)行記載，以便事后分析。除此之外，更重要的是，大多數(shù)入侵預(yù) 防系統(tǒng)同時結(jié)合考慮應(yīng)用程序或網(wǎng)

10、絡(luò)傳輸層的異常情況，來輔助識別入侵和攻擊。比如，用 戶或用戶程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時段出現(xiàn)、操作系統(tǒng)或應(yīng)用程序弱點的 空子正在被利用等等現(xiàn)象。入侵預(yù)防系統(tǒng)雖然也考慮已知病毒特征，但是它并不僅僅依賴于 已知病毒特征。應(yīng)用入侵預(yù)防系統(tǒng)的目的在于及時識別攻擊程序或有害代碼及其克隆和變種，采取預(yù)防 措施，先期阻止入侵，防患于未然?；蛘咧辽偈蛊湮：π猿浞纸档?。入侵預(yù)防系統(tǒng)一般作為 防火墻和防病毒軟件的補充來投入使用。在必要時，它還可以為追究攻擊者的刑事責(zé)任而 提供法律上有效的證據(jù)（forensic）。入侵預(yù)防技術(shù)異常偵查。正如入侵偵查系統(tǒng)，入侵預(yù)防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的通常的

11、 樣子，可以對照識別異常。在遇到動態(tài)代碼（ActiveX，JavaApplet，各種指令語言script languages等等）時， 先把它們放在沙盤內(nèi)，觀察其行為動向，如果發(fā)現(xiàn)有可疑情況，則停止傳輸，禁止執(zhí)行。有些入侵預(yù)防系統(tǒng)結(jié)合協(xié)議異常、傳輸異常和特征偵查，對通過網(wǎng)關(guān)或防火墻進(jìn)入網(wǎng)絡(luò) 內(nèi)部的有害代碼實行有效阻止。內(nèi)核基礎(chǔ)上的防護(hù)機制。用戶程序通過系統(tǒng)指令享用資源（如存儲區(qū)、輸入輸出設(shè)備、 中央處理器等）。入侵預(yù)防系統(tǒng)可以截獲有害的系統(tǒng)請求。對Library、Registry、重要文件和重要的文件夾進(jìn)行防守和保護(hù)。與IDS相比,IPS的優(yōu)勢同時具備檢測和防御功能ips不僅能檢測攻擊還能阻止

12、攻擊，做到檢測和防御兼顧， 而且是在入口處就開始檢測，而不是等到進(jìn)入內(nèi)部網(wǎng)絡(luò)后再檢測，這樣，檢測效率和內(nèi)網(wǎng) 的安全性都大大提高。可檢測到IDS檢測不到的攻擊行為IPS是在應(yīng)用層的內(nèi)容檢測基礎(chǔ)上加上主動響應(yīng)和過 濾功能，彌補了傳統(tǒng)的防火墻+IDS方案不能完成更多內(nèi)容檢查的不足，填補了網(wǎng)絡(luò)安全產(chǎn) 品基于內(nèi)容的安全檢查的空白IPS是一種失效既阻斷機制當(dāng)IPS被攻擊失效后，它會阻斷網(wǎng)絡(luò)連接，就像防火墻一 樣，使被保護(hù)資源與外界隔斷。安全運營中心（SOC）什么是安全運營中心？SOC，全稱是Security Operations Center，是一個以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)信息系 統(tǒng)為核心，以客戶體驗為指

13、引，從監(jiān)控、審計、風(fēng)險和運維四個維度建立起來的一套可度量 的統(tǒng)一業(yè)務(wù)支撐平臺，使得各種用戶能夠?qū)I(yè)務(wù)信息系統(tǒng)進(jìn)行可用性與性能的監(jiān)控、配置與 事件的分析審計預(yù)警、風(fēng)險與態(tài)勢的度量與評估、安全運維流程的標(biāo)準(zhǔn)化、例行化和常態(tài) 化，最終實現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運營。本質(zhì)上，SOC不是一款單純的產(chǎn)品，而是一個復(fù)雜的系統(tǒng)，他既有產(chǎn)品，又有服務(wù)，還 有運維（運營），SOC是技術(shù)、流程和人的有機結(jié)合。SOC產(chǎn)品是SOC系統(tǒng)的技術(shù)支撐平臺， 這是SOC產(chǎn)品的價值所在。為什么會出現(xiàn)SOC?過去我們都讓安全專家來管理各種類型的防火墻、IDS和諸如此類的安全措施，這主要 是因為安全問題一般都發(fā)生在網(wǎng)絡(luò)中非常具體的某

14、個地點。但是，現(xiàn)在的情況已經(jīng)變化，安 全問題已經(jīng)不再像當(dāng)年那么簡單。安全是一個動態(tài)的過程，因為敵方攻擊手段在變，攻擊方 法在變，漏洞不斷出現(xiàn)；我方業(yè)務(wù)在變，軟件在變，人員在變，妄圖通過一個系統(tǒng)、一個方 案解決所有的問題是不現(xiàn)實的，也是不可能的，安全需要不斷地運營、持續(xù)地優(yōu)化。安全措 施應(yīng)當(dāng)被實施在應(yīng)用層、網(wǎng)絡(luò)層和存儲層上。它已經(jīng)成為您的端對端應(yīng)用服務(wù)中的一部分， 與網(wǎng)絡(luò)性能的地位非常接近。安全管理平臺在未來安全建設(shè)中的地位尤其重要，它能夠站在管理者的角度去俯瞰 整個安全體系建設(shè)，對其中每一層產(chǎn)品都可以進(jìn)行全面、集中、統(tǒng)一的監(jiān)測、調(diào)度和指揮控 制?？梢哉f，未來的態(tài)勢感知的根基就是安全管理平臺。主

15、要功能（以venustech公司的soc產(chǎn)品為例）面向業(yè)務(wù)的統(tǒng)一安全管理系統(tǒng)內(nèi)置業(yè)務(wù)建模工具，用戶可以構(gòu)建業(yè)務(wù)拓?fù)?，反映業(yè)務(wù)支撐系統(tǒng)的資產(chǎn)構(gòu)成，并自 動構(gòu)建業(yè)務(wù)健康指標(biāo)體系，從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個維度計 算業(yè)務(wù)的健康度，協(xié)助用戶從業(yè)務(wù)的角度去分析業(yè)務(wù)可用性、業(yè)務(wù)安全事件和業(yè)務(wù)告警。全面的日志采集可以通過多種方式來收集設(shè)備和業(yè)務(wù)系統(tǒng)的日志，例如Syslog、SNMP Trap、FTP、 OPSEC LEA、NETBIOS、ODBC、WMI、Shell 腳本、Web Service 等等。智能化安全事件關(guān)聯(lián)分析借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r不間斷地對所有范

16、式化后的日志流進(jìn) 行安全事件關(guān)聯(lián)分析。系統(tǒng)為安全分析師提供了三種事件關(guān)聯(lián)分析技術(shù)，分別是：基于規(guī)則 的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析，并提供了豐富的可視化安全事件 分析視圖，充分提升分析效率，結(jié)合威脅情報，更好的幫助安全分析師發(fā)現(xiàn)安全問題。全面的脆弱性管理系統(tǒng)實現(xiàn)與天鏡漏掃、網(wǎng)御漏掃和綠盟漏掃系統(tǒng)的實時高效聯(lián)動，內(nèi)置安全配置核查功 能，從技術(shù)和管理兩個維度進(jìn)行全面的資產(chǎn)和業(yè)務(wù)脆弱性管控。主動化的預(yù)警管理用戶可以通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與網(wǎng)絡(luò)中的IP資產(chǎn)進(jìn) 行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全 隱患。系統(tǒng)支持內(nèi)

17、部預(yù)警和外部預(yù)警；預(yù)警類型包括安全通告、攻擊預(yù)警、漏洞預(yù)警和病毒 預(yù)警等；預(yù)警信息包括預(yù)備預(yù)警、正式預(yù)警和歸檔預(yù)警三個狀態(tài)。主動化的網(wǎng)絡(luò)威脅情報利用系統(tǒng)提供主動化的威脅情報采集，通過采集實時威脅情報，結(jié)合規(guī)則關(guān)聯(lián)和觀察列表等 分析方式，使安全管理人員及時發(fā)現(xiàn)來自己發(fā)現(xiàn)的外部攻擊源的威脅?；陲L(fēng)險矩陣的量化安全風(fēng)險評估系統(tǒng)參照GB/T 20984-2007信息安全風(fēng)險評估規(guī)范、ISO 27005:2008信息安全風(fēng)險管 理，以及OWASP威脅建模項目中風(fēng)險計算模型的要求，設(shè)計了一套實用化的風(fēng)險計算模型， 實現(xiàn)了量化的安全風(fēng)險估算和評估。指標(biāo)化宏觀態(tài)勢感知針對系統(tǒng)收集到的海量安全事件，系統(tǒng)借助地址

18、熵分析、熱點分析、威脅態(tài)勢分析、 KPI分析等數(shù)據(jù)挖掘技術(shù)，幫助管理員從宏觀層面把握整體安全態(tài)勢，對重大威脅進(jìn)行識 別、定位、預(yù)測和跟蹤。多樣的安全響應(yīng)管理系統(tǒng)具備完善的響應(yīng)管理功能，能夠根據(jù)用戶設(shè)定的各種觸發(fā)條件，通過多種方式（例 如郵件、短信、聲音、SNMP Trap、即時消息、工單等）通知用戶，并觸發(fā)響應(yīng)處理流程， 直至跟蹤到問題處理完畢，從而實現(xiàn)安全事件的閉環(huán)管理。豐富靈活的報表報告出具報表報告是安全管理平臺的重要用途，系統(tǒng)內(nèi)置了豐富的報表模板，包括統(tǒng)計報 表、明細(xì)報表、綜合審計報告，審計人員可以根據(jù)需要生成不同的報表。系統(tǒng)內(nèi)置報表生成 調(diào)度器，可以定時自動生成日報、周報、月報、季報、

19、年報，并支持以郵件等方式自動投 遞，支持以PDF、Excel、Word等格式導(dǎo)出，支持打印。系統(tǒng)還內(nèi)置一套報表編輯器，用戶可以自行設(shè)計報表，包括報表的頁面版式、統(tǒng)計內(nèi) 容、顯示風(fēng)格等流安全分析除了采集各類安全事件，系統(tǒng)還能夠采集形如NetFlow的流量數(shù)據(jù)并進(jìn)行可視化展示。 針對采集來的NetFlow流量數(shù)據(jù)的分析，系統(tǒng)能夠建立網(wǎng)絡(luò)流量模型，通過泰合特有的基于 流量基線的分析算法，發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。知識管理系統(tǒng)具有國內(nèi)完善的安全管理知識庫系統(tǒng)，內(nèi)容涵蓋安全事件庫、安全策略庫、安全公 告庫、預(yù)警信息庫、漏洞庫、關(guān)聯(lián)規(guī)則庫、處理預(yù)案庫、案例庫、報表庫等，并提供定期或 者不定期的知識庫升級服務(wù)。用戶

20、管理系統(tǒng)采用三權(quán)分立的管理體制，默認(rèn)設(shè)置了用戶管理員、系統(tǒng)管理員、審計管理員分別 管理。系統(tǒng)用戶管理采用基于角色的訪問控制策略，即依據(jù)對系統(tǒng)中角色行為來限制對資源 的訪問。自身系統(tǒng)管理實現(xiàn)了系統(tǒng)自身安全及維護(hù)管理。主要包括組織管理、系統(tǒng)數(shù)據(jù)庫及功能組件運行狀態(tài) 監(jiān)控、日志維護(hù)及其他一些與系統(tǒng)本身相關(guān)的運行維護(hù)的管理和配置功能。一體化的安全管控界面系統(tǒng)提供了強大的一體化安全管控功能界面，為不同層級的用戶提供了多視角、多層次 的管理視圖。信息安全和事件管理(SIEM )SIEM，信息安全和事件管理，全稱是 security information and event management， 由SE

21、M和SIM兩部分構(gòu)成。什么是SIEM?SIEM軟件能給企業(yè)安全人員提供其IT環(huán)境中所發(fā)生活動的洞見和軌跡記錄。SIEM技術(shù)最早是從日志管理發(fā)展起來的。它將安全事件管理(SEM)實時分析日志和 事件數(shù)據(jù)以提供威脅監(jiān)視、事件關(guān)聯(lián)和事件響應(yīng)，與安全信息管理(SIM)收集、分析并 報告日志數(shù)據(jù)，結(jié)合了起來。SIEM的運作機制是什么？SIEM軟件收集并聚合公司所有技術(shù)基礎(chǔ)設(shè)施所產(chǎn)生的日志數(shù)據(jù)，數(shù)據(jù)來源從主機系統(tǒng) 及應(yīng)用，到防火墻及殺軟過濾器之類網(wǎng)絡(luò)和安全設(shè)備都有。收集到數(shù)據(jù)后，SIEM軟件就開始識別并分類事件，對事件進(jìn)行分析。該軟件的主要目標(biāo)有兩個：產(chǎn)出安全相關(guān)事件的報告，比如成功/失敗的登錄、惡意軟件

22、活動和其他可能的惡意活 動。如果分析表明某活動違反了預(yù)定義的規(guī)則集，有潛在的安全問題，就發(fā)出警報。除了傳統(tǒng)的日志數(shù)據(jù)，很多SIEM技術(shù)還引入了威脅情報饋送，更有多種SIEM產(chǎn)品具備 安全分析能力，不僅監(jiān)視網(wǎng)絡(luò)行為，還監(jiān)測用戶行為，可針對某動作是否惡意活動給出更多 情報。如今，大型企業(yè)通常都將SIEM視為支撐安全運營中心(SOC)的基礎(chǔ)。如何最大化SIEM的價值？首先，SIEM技術(shù)是資源密集型工具，需要經(jīng)驗豐富的人員來實現(xiàn)、維護(hù)和調(diào)整一一這 種員工不是所有企業(yè)都能完全投入的。(團(tuán)隊)想要最大化SIEM軟件產(chǎn)出，就需要擁有高品質(zhì)的數(shù)據(jù)。數(shù)據(jù)源越大，該工具產(chǎn)出越 好，越能識別出異常值。(數(shù)據(jù))軟件的

23、局限在檢測可接受活動和合法潛在威脅上，SIEM并非完全準(zhǔn)確，正是這種差異，導(dǎo)致了很 多SIEM部署中出現(xiàn)了大量誤報。該情況需要企業(yè)內(nèi)有強力監(jiān)管和有效規(guī)程，避免安全團(tuán)隊 被警報過載拖垮。漏洞掃描器(Vulnerability Scanner)漏洞掃描是檢查計算機或網(wǎng)絡(luò)上可能利用的漏洞點，以識別安全漏洞。什么是漏洞掃描器？漏洞掃描器是一類自動檢測本地或遠(yuǎn)程主機安全弱點的程序，它能夠快速的準(zhǔn)確的發(fā)現(xiàn) 掃描目標(biāo)存在的漏洞并提供給使用者掃描結(jié)果。漏洞掃描器的工作原理工作原理是掃描器向目標(biāo)計算機發(fā)送數(shù)據(jù)包，然后根據(jù)對方反饋的信息來判斷對方的操 作系統(tǒng)類型、開發(fā)端口、提供的服務(wù)等敏感信息。漏洞掃描器的作用通

24、過掃描器，提前探知到系統(tǒng)的漏洞，預(yù)先修復(fù)。分類端口掃描器(Port scanner)例如Nmap網(wǎng)絡(luò)漏洞掃描器(Network vulnerability scanner )例如 Nessus, Qualys, SAINT, OpenVAS, INFRA Security Scanner, NexposeWeb 應(yīng)用安全掃描器(Web application security scanner )例如 Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。數(shù)據(jù)庫安全掃描器(atabase security sca

25、nner )基于主機的漏洞掃描器(Host based vulnerability scanner )例如LynisERP 安全掃描器(ERP security scanner )單一漏洞測試(Single vulnerability tests )統(tǒng)一威脅管理(UTM )什么是UTM？統(tǒng)一威脅管理(UTM，Unified Threat Management)，顧名思義，就是在單個硬件或軟 件上，提供多種安全功能。這跟傳統(tǒng)的安全設(shè)備不同，傳統(tǒng)的安全設(shè)備一般只解決一種問 題。包含的功能基礎(chǔ)功能：網(wǎng)絡(luò)防火墻(Network Firewall)入侵檢測(Intrusion Detection)入侵預(yù)

26、防(Intrusion Prevention)可能會有的功能：防病毒網(wǎng)關(guān)(Gateway Anti-Virus)應(yīng)用層防火墻和控制器(Application Layer Firewall and control)深度包檢測(Deep packet inspection)Web 代理和內(nèi)容過濾(Web Proxy & content filtering)數(shù)據(jù)丟失預(yù)防(DLP)安全信息和事件管理(SIEM)虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)絡(luò)沼澤(Network Tarpit)UTM的優(yōu)勢是什么？UTM通過為管理員提供統(tǒng)一管理的方式，使得安全系統(tǒng)的管理人員可以集中管理他們的 安全防御，而不需要擁有多個單一功

27、能的設(shè)備，每個設(shè)備都需要人去熟悉、關(guān)注和支持；一體化方法簡化了安裝、配置和維護(hù)；與多個安全系統(tǒng)相比，節(jié)省了時間、金錢和人員。UTM的缺點是什么？單點故障雖然UTM提供了一個單一設(shè)備管理的簡便性，但這引入了單點故障，一旦UTM設(shè)備出問 題，整個安全防御會失效。內(nèi)部防御薄弱由于UTM的設(shè)計原則違背了深度防御原則，雖然UTM在防御外部威脅非常有效，但面對 內(nèi)部威脅就無法發(fā)揮作用了?？笵DOS產(chǎn)品抗DDOS產(chǎn)品的防御方式拒絕服務(wù)攻擊的防御方式通常為入侵檢測，流量過濾和多重驗證，旨在堵塞網(wǎng)絡(luò)帶寬的 流量將被過濾，而正常的流量可正常通過。擴大帶寬流量清洗和封ipCDN防火墻(Firewall )什么是防火

28、墻在計算機科學(xué)領(lǐng)域中，防火墻(英文：Firewall)是一個架設(shè)在互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)之間 的信息安全系統(tǒng)，根據(jù)企業(yè)預(yù)定的策略來監(jiān)控往來的傳輸。防火墻可能是一臺專屬的網(wǎng)絡(luò)設(shè) 備或是運行于主機上來檢查各個網(wǎng)絡(luò)接口上的網(wǎng)絡(luò)傳輸。它是目前最重要的一種網(wǎng)絡(luò)防護(hù)設(shè) 備，從專業(yè)角度來說，防火墻是位于兩個（或多個）網(wǎng)絡(luò)間，實行網(wǎng)絡(luò)間訪問或控制的一組組 件集合之硬件或軟件。功能防火墻最基本的功能就是隔離網(wǎng)絡(luò)，通過將網(wǎng)絡(luò)劃分成不同的區(qū)域（通常情況下稱為ZONE），制定出不同區(qū)域之間的訪問控制策略來控制不同信任程度區(qū)域間傳送的數(shù)據(jù)流。類型網(wǎng)絡(luò)層（數(shù)據(jù)包過濾型）防火墻運作于TCP/IP協(xié)議堆棧上。管理者會先根據(jù)企業(yè)/組

29、織的策略預(yù)先設(shè)置好數(shù)據(jù)包通過的 規(guī)則或采用內(nèi)置規(guī)則，只允許匹配規(guī)則的數(shù)據(jù)包通過。應(yīng)用層防火墻應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運作，使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或 是使用FTP時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有數(shù) 據(jù)包，并且封鎖其他的數(shù)據(jù)包（通常是直接將數(shù)據(jù)包丟棄）。理論上，這一類的防火墻可以完 全阻絕外部的數(shù)據(jù)流進(jìn)受保護(hù)的機器里。代理服務(wù)代理（Proxy）服務(wù)器（可以是一臺專屬的網(wǎng)絡(luò)設(shè)備，或是在一般電腦上的一套軟件） 采用應(yīng)用程序的運作方式，回應(yīng)其所收到的數(shù)據(jù)包（例：連接要求）來實現(xiàn)防火墻的功能， 而封鎖/拋棄其他數(shù)據(jù)包。缺點正常狀況下，所有互聯(lián)網(wǎng)的

30、數(shù)據(jù)包軟件都應(yīng)經(jīng)過防火墻的過濾，這將造成網(wǎng)絡(luò)交通的瓶 頸。例如在攻擊性數(shù)據(jù)包出現(xiàn)時，攻擊者會不時寄出數(shù)據(jù)包，讓防火墻疲于過濾數(shù)據(jù)包，而 使一些合法數(shù)據(jù)包軟件亦無法正常進(jìn)出防火墻。虛擬專用網(wǎng)（VPN ）什么是VPN？虛擬私人網(wǎng)絡(luò)（英語：Virtual Private Network，縮寫為VPN）是一種常用于連接 中、大型企業(yè)或團(tuán)體與團(tuán)體間的私人網(wǎng)絡(luò)的通訊方法。虛擬私人網(wǎng)絡(luò)的訊息透過公用的網(wǎng)絡(luò) 架構(gòu)（例如：互聯(lián)網(wǎng)）來傳送內(nèi)部網(wǎng)的網(wǎng)絡(luò)訊息。它利用已加密的通道協(xié)議（Tunneling Protocol）來達(dá)到保密、發(fā)送端認(rèn)證、消息準(zhǔn)確性等私人消息安全效果。這種技術(shù)可以用不 安全的網(wǎng)絡(luò)（例如：互聯(lián)網(wǎng)）

31、來發(fā)送可靠、安全的消息。需要注意的是，加密消息與否是可 以控制的。沒有加密的虛擬專用網(wǎng)消息依然有被竊取的危險。上網(wǎng)行為管理什么是上網(wǎng)行為管理？上網(wǎng)行為管理，就是通過軟件或硬件，控制用戶訪問網(wǎng)絡(luò)的權(quán)限。功能包括行為管理、 應(yīng)用控制、流量管控、信息管控、非法熱點管控、行為分析、無線網(wǎng)絡(luò)管理等。云主機安全云服務(wù)商在云主機中部署自己的agent程序，做監(jiān)控、管理和安全監(jiān)測。功能木馬查殺對各類惡意文件進(jìn)行檢測，包括各類WebShell后門和二進(jìn)制木馬，對檢測出來的惡意 文件進(jìn)行訪問控制和隔離操作，防止惡意文件的再次利用。密碼破解攔截對密碼惡意破解類行為進(jìn)行檢測和攔截，共享全網(wǎng)惡意IP庫，自動化實施攔截策

32、 略。登錄行為審計根據(jù)登錄流水?dāng)?shù)據(jù)，識別常用的登錄區(qū)域，對可疑的登錄行為提供實時告警通知。漏洞管理對主機上存在的高危漏洞風(fēng)險進(jìn)行實時預(yù)警和提供修復(fù)方案，包括系統(tǒng)漏洞、web類漏 洞，幫助企業(yè)快速應(yīng)對漏洞風(fēng)險。資產(chǎn)管理支持對機器進(jìn)行分組標(biāo)簽管理，基于組件識別技術(shù)，快速掌握服務(wù)器中軟件、進(jìn)程、端 口的分布情況。數(shù)據(jù)庫審計（DBAudit）數(shù)據(jù)庫審計服務(wù)，是為了保證單位或者個人核心數(shù)據(jù)的安全，可針對數(shù)據(jù)庫SQL注入、 風(fēng)險操作等數(shù)據(jù)庫風(fēng)險操作行為進(jìn)行記錄與告警。功能用戶行為發(fā)現(xiàn)審計關(guān)聯(lián)應(yīng)用層和數(shù)據(jù)庫層的訪問操作可溯源到應(yīng)用者的身份和行為多維度線索分析風(fēng)險和危害線索：高中低的風(fēng)險等級、SQL注入、黑名

33、單語句、違反授權(quán)策略的SQL行 為會話線索：根據(jù)時間、用戶、IP、應(yīng)用程序、和客戶端多角度分析詳細(xì)語句線索：提供用戶、IP、客戶端工具、訪問時間、操作對象、SQL操作類型、成 功與否、訪問時長、影響行數(shù)等多種檢索條件異常操作、SQL注入、黑白名單實時告警異常操作風(fēng)險：通過IP、用戶、數(shù)據(jù)庫客戶端工具、時間、敏感對象、返回行數(shù)、系 統(tǒng)對象、高危操作等多種元素細(xì)粒度定義要求監(jiān)控的風(fēng)險訪問行為SQL注入：系統(tǒng)提供了系統(tǒng)性的SQL注入庫，以及基于正則表達(dá)式或語法抽象的SQL注 入描述，發(fā)現(xiàn)異常立即告警黑白名單：提供準(zhǔn)確而抽象的方式，對系統(tǒng)中的特定訪問SQL語句進(jìn)行描述，使這些 SQL語句出現(xiàn)時能夠迅速

34、報警針對各種異常行為的精細(xì)化報表會話行為：登錄失敗報表、會話分析報表SQL行為：新型SQL報表、SQL語句執(zhí)行歷史報表、失敗SQL報表風(fēng)險行為：告警報表、通知報表、SQL注入報表、批量數(shù)據(jù)訪問行為報表政策性報表：塞班斯報表堡壘機（運維審計與管控系統(tǒng)）為什么需要堡壘機當(dāng)今的時代是一個信息化社會，信息系統(tǒng)已成為各企事業(yè)單位業(yè)務(wù)運營的基礎(chǔ)，由于信 息系統(tǒng)運維人員掌握著信息系統(tǒng)的最高權(quán)限，一旦運維操作出現(xiàn)安全問題將會給企業(yè)或單位 帶來巨大的損失。因此，加強對運維人員操作行為的監(jiān)管與審計是信息安全發(fā)展的必然趨 勢。在此背景之下，針對運維操作管理與審計的堡壘機應(yīng)運而生。堡壘機提供了一套多維度 的運維操作控

35、管控與審計解決方案，使得管理人員可以全面對各種資源（如網(wǎng)絡(luò)設(shè)備、服務(wù) 器、安全設(shè)備和數(shù)據(jù)庫等）進(jìn)行集中賬號管理、細(xì)粒度的權(quán)限管理和訪問審計，幫助企業(yè)提 升內(nèi)部風(fēng)險控制水平。分類網(wǎng)關(guān)型堡壘機網(wǎng)關(guān)型的堡壘機被部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，其本身不直接向外部提供服務(wù)而是 作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個檢查點，用于提供對內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問控制。這類堡壘 機不提供路由功能，將內(nèi)外網(wǎng)從網(wǎng)絡(luò)層隔離開來，因此除非授權(quán)訪問外還可以過濾掉一些針 對內(nèi)網(wǎng)的來自應(yīng)用層以下的攻擊，為內(nèi)部網(wǎng)絡(luò)資源提供了一道安全屏障。但由于此類堡壘機 需要處理應(yīng)用層的數(shù)據(jù)內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡(luò)進(jìn)出口處流量越來越大，部署在 網(wǎng)關(guān)位

36、置的堡壘機逐漸成為了性能瓶頸，因此網(wǎng)關(guān)型的堡壘機逐漸被日趨成熟的防火墻、 UTM、IPS、網(wǎng)閘等安全產(chǎn)品所取代。運維審計型堡壘機第二種類型的堡壘機是審計型堡壘機，有時也被稱作“內(nèi)控堡壘機”，這種類型的堡壘 機也是當(dāng)前應(yīng)用最為普遍的一種。運維審計型堡壘機的原理與網(wǎng)關(guān)型堡壘機類似，但其部署位置與應(yīng)用場景不同且更為復(fù) 雜。運維審計型堡壘機被部署在內(nèi)網(wǎng)中的服務(wù)器和網(wǎng)絡(luò)設(shè)備等核心資源的前面，對運維人員 的操作權(quán)限進(jìn)行控制和操作行為審計;運維審計型堡壘機即解決了運維人員權(quán)限難以控制混 亂局面，又可對違規(guī)操作行為進(jìn)行控制和審計，而且由于運維操作本身不會產(chǎn)生大規(guī)模的流 量，堡壘機不會成為性能的瓶頸，所以堡壘機

37、作為運維操作審計的手段得到了快速發(fā)展。最早將堡壘機用于運維操作審計的是金融、運營商等高端行業(yè)的用戶，由于這些用戶的 信息化水平相對較高發(fā)展也比較快，隨著信息系統(tǒng)安全建設(shè)發(fā)展其對運維操作審計的需求表 現(xiàn)也更為突出，而且這些用戶更容易受到“信息系統(tǒng)等級保護(hù)”、“薩班斯法案”等法規(guī) 政策的約束，因此基于堡壘機作為運維操作審計手段的上述特點，這些高端行業(yè)用戶率先將 堡壘機應(yīng)用于運維操作審計。堡壘機運維操作審計的工作原理作為運維操作審計手段的堡壘機的核心功能是用于實現(xiàn)對運維操作人員的權(quán)限控制與操 作行為審計。主要技術(shù)思路如何實現(xiàn)對運維人員的權(quán)限控制與審計呢？堡壘機必須能夠截獲運維人員的操作，并能 夠分析出其操作的內(nèi)容。堡壘機的部署方式，確保它能夠截獲運維人員的所有操作行為，分 析出其中的操作內(nèi)容以實現(xiàn)權(quán)限控制和行為審計的目的，同時堡壘機還采用了應(yīng)用代理的技 術(shù)。運維審計型堡壘機對于運維操作人員相當(dāng)于一臺代理服務(wù)器(Proxy Server)運維人員在操作過程中首先連接到堡壘機，然后向堡壘機提交操作請求；該請求通過堡壘機的權(quán)限檢查后，堡壘機的應(yīng)用代理模塊將代替用戶連接到目標(biāo)設(shè) 備完