深信服下一代安全在教育行業(yè)的應(yīng)用課件

下一代安全在教育行業(yè)的應(yīng)用《第二代防火墻》標準解讀深信服科技王帆CONTENTS1234當前等級保護推行的思考第二代防火墻標準解讀簡單有效的安全運維應(yīng)對教育業(yè)務(wù)變化的新安全問題等級保護是安全建設(shè)的主要規(guī)范現(xiàn)象一：等保整改落地困難“我們的客戶90%完成了等保的測評，拿到了整改方案，但只有不到20%完成了等保整改” ——某測評機構(gòu)為什么會出現(xiàn)難以推進的問題？回顧三級等保的要求基礎(chǔ)網(wǎng)絡(luò)安全邊界安全終端系統(tǒng)安全服務(wù)端系統(tǒng)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)結(jié)構(gòu)安全、安全審計、網(wǎng)絡(luò)設(shè)備防護訪問控制、安全數(shù)據(jù)交換、入侵防范、惡意代碼防范、安全審計、邊界完整性身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、冗余配置身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份與恢復(fù)安全管理中心運行監(jiān)測、安全管理、審計管理等保整改落地建議方法2互聯(lián)網(wǎng)出口：防火墻、入侵防御、病毒過濾、上網(wǎng)行為管理、鏈路負載3安全域互訪隔離：所有的安全域之間必須通過統(tǒng)一接入平臺才能互聯(lián)互通4Web安全防護：WEB服務(wù)器前部署WEB防火墻5安全管理中心：漏洞掃描系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、終端安全管理系統(tǒng)、

網(wǎng)管系統(tǒng)、應(yīng)用性能管理系統(tǒng)、SSLVPN、防病毒系統(tǒng)、運維堡壘主機1安全域劃分業(yè)務(wù)服務(wù)器域：客戶的業(yè)務(wù)服務(wù)器和存儲的安全區(qū)域用戶終端域：用戶終端，一些不重要的服務(wù)器安全管理域：安全管理中心，包括網(wǎng)管系統(tǒng)服務(wù)器、終端安全管理的服務(wù)器等用來做網(wǎng)絡(luò)和安全運維管理的設(shè)備互聯(lián)網(wǎng)出口域：互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)和安全設(shè)備客戶拿到的整改方案預(yù)算過高！能否減少設(shè)備？能否先實現(xiàn)一部分？能否通過測評？如何申請預(yù)算？今年沒預(yù)算了，明年再說等保整改落地困難的現(xiàn)象90%的客戶已經(jīng)做了整改方案由于預(yù)算的問題：一部分客戶并沒有解決所有問題一部分客戶減少了等保建設(shè)的投入一部分客戶等保項目延期導致：等保建設(shè)推進緩慢現(xiàn)象二：臨時檢查還是被通報

雖然大多數(shù)用戶都能按照安全合規(guī)性要求部署安全設(shè)備，但仍然有許多用戶通不過監(jiān)管部門的檢查或者自我安全評估。安全形勢已經(jīng)惡化OPENSSL漏洞Bash漏洞Structs2漏洞2014年國內(nèi)考研130W報名信息泄露事件該漏洞導致泄露的信息正在被黑產(chǎn)利用。出售的用戶信息截止到2014年11月份的130萬考研用戶，而且數(shù)據(jù)已經(jīng)被多次轉(zhuǎn)賣，經(jīng)過與賣家了解，數(shù)據(jù)泄漏了考研用戶的姓名、手機、座機、身份證、住址、郵編、學校、專業(yè)等敏感數(shù)據(jù)。業(yè)務(wù)安全已經(jīng)發(fā)生變化物理邊界模糊化網(wǎng)絡(luò)應(yīng)用多樣化安全威脅復(fù)雜化新威脅環(huán)境下的老標準能否適用？CONTENTS1234當前等級保護推行的思考第二代防火墻標準解讀簡單有效的安全運維應(yīng)對教育業(yè)務(wù)變化的新安全問題傳統(tǒng)防火墻的主要功能數(shù)據(jù)包過濾、NAT、IP/MAC地址綁定、策略路由、帶寬管理、雙機熱備、負載均衡、協(xié)同聯(lián)動、VPN、安全審計、安全管理、抗?jié)B透等。怎么彌補防火墻的局限？新增設(shè)備？專業(yè)人員？提升成本？現(xiàn)有應(yīng)對方式一FWIPSAVWAF成本效率管理現(xiàn)有應(yīng)對方式二WAFIPSAVFW這類產(chǎn)品主要集成了防火墻、入侵防御和殺毒軟件，通常情況下僅為三個功能的簡單組合，內(nèi)部還得多次解包分析，使得其在開啟多個應(yīng)用層處理功能的條件下，性能較低，只適用于中小型企業(yè)。UTM：多次拆包，多次檢測應(yīng)用層性能低權(quán)威機構(gòu)已經(jīng)先行信息安全產(chǎn)品認證檢測單位信息安全行業(yè)規(guī)范編制單位信息安全等級保護測評單位公安部第三研究所13年已開始調(diào)研標準經(jīng)過嚴格的評審三所與國內(nèi)權(quán)威廠商參與共同制定經(jīng)過6輪客戶、安全廠商公開征集意見最終通過國家標準委員會、行業(yè)專家、部委專家、權(quán)威廠商的共同認可廠商參與公開評審權(quán)威認可《第二代防火墻》標準現(xiàn)已發(fā)布2013年3月8日啟動2014年7月24日發(fā)布2014年9月1日實施標準的意義顛覆了傳統(tǒng)“打補丁”的建設(shè)模式規(guī)范了新的安全威脅的防護功能指導了信息安全建設(shè)向融合轉(zhuǎn)型選擇下一代防火墻有標準參考5可以用于各行業(yè)及等保建設(shè)1234關(guān)注微信獲取《標準》1、關(guān)注深信服官方微信2、輸入“標準”即可《第二代防火墻》規(guī)范解析

一個或一組在不同安全策略的網(wǎng)絡(luò)或安全域之間實施訪問控制的系統(tǒng)，具備包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（ＮＡＴ）、狀態(tài)檢測等安全功能。第二代防火墻第一代防火墻

除具備第一代防火墻基本功能之外，還具有應(yīng)用流量識別、應(yīng)用層訪問控制、應(yīng)用層安全防護、用戶控制、深度內(nèi)容檢測、高性能等特征的控制的系統(tǒng)。第二代防火墻的特點融合的安全網(wǎng)絡(luò)層控制—邊界訪問控制應(yīng)用層控制—入侵防御、惡意代碼過濾、Web攻擊深度內(nèi)容檢測應(yīng)用協(xié)議訪問控制應(yīng)用內(nèi)容訪問控制信息泄露防護混合包性能應(yīng)用層吞吐、網(wǎng)絡(luò)層吞吐、延遲最大新建連接數(shù)、最大并發(fā)連接數(shù)在標準中有哪些功能體現(xiàn)？第二代防火墻安全功能劃分功能與等級保護的對應(yīng)關(guān)系基本級對應(yīng)等保一、二級增強級對應(yīng)等保三、四級第二代防火墻的特點融合的安全網(wǎng)絡(luò)層控制—邊界訪問控制應(yīng)用層控制—入侵防御、惡意代碼過濾、Web攻擊深度內(nèi)容檢測應(yīng)用協(xié)議訪問控制應(yīng)用內(nèi)容訪問控制信息泄露防護混合包性能應(yīng)用層吞吐、網(wǎng)絡(luò)層吞吐、延遲最大新建連接數(shù)、最大并發(fā)連接數(shù)《標準》定義深度內(nèi)容檢測什么是深度內(nèi)容檢測？ACL：安全根據(jù)包裹上的地址轉(zhuǎn)發(fā)DPI：安全檢測到包裹里面一個玩具小木馬DCI：危險玩具木馬上有帶有無線發(fā)射裝置的針孔攝像頭，實時向外發(fā)射信號深度內(nèi)容檢測1、ACL控制不住的應(yīng)用協(xié)議1521建立鏈接1200-3000隨機端口建立通信先嘗試UDP再嘗試TCP80最后嘗試TCP443應(yīng)用協(xié)議檢測應(yīng)用協(xié)議破譯應(yīng)用簽名識別啟發(fā)式流量識別實現(xiàn)基于應(yīng)用的訪問控制白名單模式黑名單模式實現(xiàn)更精細的內(nèi)容級的安全控制上傳文檔登錄賬號√下載資料√2、協(xié)議不合規(guī)出現(xiàn)的安全威脅實現(xiàn)深度的協(xié)議字段效驗3、正常協(xié)議中的惡意內(nèi)容實現(xiàn)基于惡意回包內(nèi)容的安全控制潛藏已久的僵尸用戶惡意URL惡意HOST主動向外連接惡意回包內(nèi)容外網(wǎng)內(nèi)網(wǎng)http請求中的信息泄露實現(xiàn)信息泄露防護泄密信息泄密信息010010010010010010010010010內(nèi)部用戶泄密信息泄密信息泄密信息泄密信息《標準》中的功能體現(xiàn)DCI技術(shù)應(yīng)用的價值檢測正常協(xié)議交互中的非法內(nèi)容提升應(yīng)用識別的精確度提升威脅檢測的精確度第二代防火墻的特點融合的安全網(wǎng)絡(luò)層控制—邊界訪問控制應(yīng)用層控制—入侵防御、惡意代碼過濾、Web攻擊深度內(nèi)容檢測應(yīng)用協(xié)議訪問控制應(yīng)用內(nèi)容訪問控制信息泄露防護混合包性能應(yīng)用層吞吐、網(wǎng)絡(luò)層吞吐、延遲最大新建連接數(shù)、最大并發(fā)連接數(shù)防火墻需要怎樣的性能？防火墻基本功能應(yīng)用流量識別應(yīng)用層訪問控制應(yīng)用層安全防護用戶控制深度內(nèi)容檢測性能融合的安全深度內(nèi)容檢測第二代防火墻性能要求網(wǎng)絡(luò)層性能吞吐延遲新建并發(fā)應(yīng)用層性能吞吐延遲性能要求（單次解析引擎）防火墻基本功能應(yīng)用流量識別應(yīng)用層訪問控制應(yīng)用層安全防護用戶控制深度內(nèi)容檢測…的主流安全廠商已發(fā)布下一代防火墻90%權(quán)威機構(gòu)推薦100%我們預(yù)計到2014年，35%的企業(yè)將會安裝下一代防火墻，而60%用戶新購買的防火墻將是NGFW，并且它會擁有緊密集成的入侵防護、應(yīng)用可視性和控制功能?！啊啊S著市場對下一代安全網(wǎng)關(guān)的需求增加，預(yù)計到2018年，這一比例將達到80%，2013到2018年的5年復(fù)合增長率超過40%?！啊啊覀儾辉賹⒄鲜椒阑饓?IntegratedAppliance)中入侵檢測(IDS)/入侵防御(IPS)的市場份額取出,而是將下一代防火墻中的各個功能視為一個整體,稱為“整合式網(wǎng)絡(luò)安全設(shè)備““——的用戶選擇下一代防火墻68%下一代防火墻將是未來安全市場的主戰(zhàn)場68%國內(nèi)下一代防火墻第一品牌第一品牌技術(shù)領(lǐng)先品牌：國內(nèi)銷售額最高啟X天XX華X網(wǎng)X綠X網(wǎng)X2.5億品牌：用戶數(shù)量最多10000家用戶60部委省廳級單位70大型企業(yè)集團50運營商金融單位60知名教育單位CMS搜索：AF行業(yè)案例品牌：在線設(shè)備最多在線運行設(shè)備接入云端設(shè)備4000臺2萬臺品牌：高端行業(yè)入圍中央政府采購目錄國稅總局產(chǎn)品集采中國電信產(chǎn)品集采123中國移動產(chǎn)品集采3品牌：通過權(quán)威機構(gòu)認證國內(nèi)唯一通過NSSLabsweb安全測評推薦級的產(chǎn)品NSSLabsWAF功能評測報告CMS搜索：CONTENTS1234當前等級保護推行的思考第二代防火墻標準解讀簡單有效的安全運維應(yīng)對教育業(yè)務(wù)變化的新安全問題多設(shè)備管理比較困難防火墻IPSAV43端口：80IP地址33443端口MS-13-10漏洞SQL注入雜亂無序，看不出重點傳統(tǒng)墻報表攻擊情況漏洞情況專業(yè)，明了網(wǎng)銀系統(tǒng)OA系統(tǒng)風險程度高攻擊次數(shù)50次SQL注入漏洞IIS漏洞SQL注入攻擊XSS攻擊IIS漏洞攻擊風險程度中攻擊次數(shù)2次IIS漏洞Webshell漏洞IIS漏洞攻擊Webshell攻擊業(yè)務(wù)系統(tǒng)風險資產(chǎn)等級基于業(yè)務(wù)的安全運維快速定位有效攻擊漏洞攻擊日志關(guān)聯(lián)分析發(fā)現(xiàn)有效攻擊，減少無效分析提升運維效率7*24小時實時漏洞發(fā)現(xiàn)實時監(jiān)控業(yè)務(wù)系統(tǒng)0DAY漏洞，7*24小時關(guān)注業(yè)務(wù)漏洞比soc更優(yōu)的可視化運維管理基于業(yè)務(wù)系統(tǒng)的安全評級—數(shù)據(jù)中心整體安全狀況一目了然基于業(yè)務(wù)系統(tǒng)安全分析—讓用戶看得懂的安全實時監(jiān)控業(yè)務(wù)系統(tǒng)0DAY漏洞—7*24小時關(guān)注業(yè)務(wù)漏洞關(guān)聯(lián)分析發(fā)現(xiàn)有效攻擊—減少無效分析提升運維效率教育城域網(wǎng)全網(wǎng)安全監(jiān)測全網(wǎng)安全可視化安全運維CONTENTS1234當前等級保護推行的思考第二代防火墻標準解讀簡單有效的安全運維應(yīng)對教育業(yè)務(wù)變化的新安全問題教育信息化有哪些新的變化？IT基礎(chǔ)設(shè)施建設(shè)1995單體業(yè)務(wù)系統(tǒng)建設(shè)2000應(yīng)用集成與整合20052010整體規(guī)劃與服務(wù)轉(zhuǎn)型……數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)GISETLMIS一卡通……大數(shù)據(jù)云計算物聯(lián)網(wǎng)智能終端MDMESBSNS移動互聯(lián)BISOAERPGISEAI智慧校園網(wǎng)絡(luò)、存儲、數(shù)據(jù)中心、…財務(wù)、人事、教務(wù)、……身份認證、數(shù)據(jù)共享、資源檢索、……服務(wù)集成、工作協(xié)同、資源整合……數(shù)字校園向智慧校園升級智慧學習空間SmarterEducation/WisdomEducation智慧教育SmartTeaching&SmartLearning智慧教學智慧終端智慧教室智慧校園智慧學習生態(tài)個性學習群智學習入境學習智慧教育云泛在學習技術(shù)創(chuàng)新方法創(chuàng)新技術(shù)應(yīng)用教育實踐教育理念智慧人才革命影響人才觀變革期望提升SmartComputing智慧計算教學模式的變化：轉(zhuǎn)向云平臺網(wǎng)上教學網(wǎng)上培訓網(wǎng)上考試電子書包家長互動教務(wù)管理教學資源庫如何實現(xiàn)從云到端安全的落地？多屏終端校園網(wǎng)云服務(wù)數(shù)據(jù)中心教務(wù)系統(tǒng)遠程教育/在線教育網(wǎng)站群校園資源共享教育網(wǎng)無線網(wǎng)物聯(lián)網(wǎng)校內(nèi)電子閱覽室多媒體教室/學生機房實訓室校外PC/智能終端租戶：

應(yīng)用多樣，個性化需求多樣政務(wù)云

我要Web防護我要7層SLB我要多重身份認證我要國密加密傳輸我要提升應(yīng)用速度我要安全掃描評估硬件設(shè)備的方式預(yù)算申請無法通過！責任邊界如何劃分？虛擬化分區(qū)技術(shù)，適應(yīng)多租戶環(huán)境下的業(yè)務(wù)部署和管理隔離劃分多個vAD提供給不同租戶使用，vAD之間相互隔離不受影響MailCRMWEB資源池APIVMwarevCenter應(yīng)用交付/NGAFAD/NGAF硬件一虛多方案政務(wù)云多租戶個性化網(wǎng)絡(luò)方案軟件化部署，支持旁掛、路由等方式租戶：直接采購軟件版安全、優(yōu)化設(shè)備

簡單5步，快速部署上線：購買授權(quán)、導入鏡像、注冊開通、配置策略、配置VSwitch方案優(yōu)勢：方案完善靈活部署隨需擴展總成本低軟件版…....電子政務(wù)云托管服務(wù)互聯(lián)網(wǎng)租戶1：報考系統(tǒng)教育云：集中采購虛擬設(shè)備，靈活分配類似需求：公積金查詢系統(tǒng)政務(wù)查詢和審批政務(wù)門戶在線考試系統(tǒng)…....電子政務(wù)云托管服務(wù)租戶1：報考系統(tǒng)互聯(lián)網(wǎng)租戶3：教務(wù)管理互聯(lián)網(wǎng)政務(wù)網(wǎng)租戶2：網(wǎng)上教學軟件版AD軟件版AF軟件版AD軟件版SSL軟件版AD軟件版WOC終端校園網(wǎng)數(shù)據(jù)中心/云安全、高效、永續(xù)的數(shù)據(jù)中心/云安全、智能、可靠的互聯(lián)網(wǎng)出口

安全、快速、可運營的無線校園網(wǎng)低成本高效運維終端端到端遠程安全接入深信服數(shù)字校園方案架構(gòu)深信服數(shù)字校園方案架構(gòu)NGAF上網(wǎng)行為管理應(yīng)用交付CERNETInternet教務(wù)系統(tǒng)一卡通系統(tǒng)圖書館其他系統(tǒng)桌面云VDC/VMSWACNGAFSSLVPN應(yīng)用交付論壇網(wǎng)站招考網(wǎng)站遠程教育門戶網(wǎng)站應(yīng)用交付分校區(qū)aDeskWLANAPWOCWOCNGAF學生宿舍網(wǎng)校園網(wǎng)校園無線網(wǎng)電子閱覽室/

多媒體教室移動辦公/