網(wǎng)絡(luò)安全監(jiān)測方案

網(wǎng)絡(luò)安全監(jiān)測方案深信服網(wǎng)絡(luò)安全監(jiān)測解決方案背景與需求分析網(wǎng)絡(luò)安全已上升到國家戰(zhàn)略，網(wǎng)絡(luò)信息安全是國家安全的重要一環(huán)，2015年7月1號頒布的《國家安全法》第二十五條指出：加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。國家《網(wǎng)絡(luò)安全法》草案已經(jīng)發(fā)布，正式的法律預(yù)計(jì)不久后也會正式頒布。保障網(wǎng)絡(luò)安全，不僅是國家的義務(wù)，也是企業(yè)和組織機(jī)構(gòu)的責(zé)任。對于企業(yè)來說，保障網(wǎng)絡(luò)信息安全，防止網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、違法信息發(fā)布，不僅能維護(hù)自身經(jīng)濟(jì)發(fā)展利益，還能避免法律風(fēng)險(xiǎn)，減少社會信譽(yù)損失。Gartner認(rèn)為，未來企業(yè)安全將發(fā)生很大的轉(zhuǎn)變，傳統(tǒng)的安全手段無法防范APT等高級定向攻擊，如果沒有集體共享的威脅和攻擊情報(bào)監(jiān)測，將很難全方位的保護(hù)自己網(wǎng)絡(luò)安全。因此過去單純以被動防范的安全策略將會過時(shí)，全方位的安全監(jiān)控和情報(bào)共享將成為信息安全的重要手段。因此，僅僅依靠防護(hù)體系不足以應(yīng)對安全威脅，企業(yè)需要建立全面的監(jiān)測機(jī)制，擴(kuò)大監(jiān)控的深度和寬度，加強(qiáng)事件的響應(yīng)能力。安全監(jiān)測和響應(yīng)能力將成為企業(yè)安全能力的關(guān)鍵，在新的安全形勢下，企業(yè)需要更加關(guān)注威脅監(jiān)控和綜合性分析的價(jià)值，使信息安全保障逐步由傳統(tǒng)的被動防護(hù)轉(zhuǎn)向“監(jiān)測-響應(yīng)式”的主動防御，實(shí)現(xiàn)信息安全保障向著完整、聯(lián)動、可信、快速響應(yīng)的綜合防御體系發(fā)展。然而，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備更多關(guān)注網(wǎng)絡(luò)層風(fēng)險(xiǎn)及基于已知特征的被動保護(hù)，缺乏對各種系統(tǒng)、軟件的漏洞后門有效監(jiān)測，缺乏對流量內(nèi)容的深度分析及未知威脅有效識別，不具備多維全面的安全風(fēng)險(xiǎn)監(jiān)測響應(yīng)機(jī)制，已不能滿足新形勢下網(wǎng)絡(luò)安全的需求。深信服網(wǎng)絡(luò)安全監(jiān)測解決方案網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第1頁。深信服創(chuàng)新性的推出了網(wǎng)絡(luò)安全監(jiān)測解決方案，該方案面向未來的安全需求設(shè)計(jì)，幫助企業(yè)實(shí)現(xiàn)多層次、全方位、全網(wǎng)絡(luò)的立體網(wǎng)絡(luò)安全監(jiān)測。該方案主要采用了深信服下一代防火墻NGAF作為監(jiān)測節(jié)點(diǎn)，通過對應(yīng)用狀態(tài)、數(shù)據(jù)內(nèi)容、用戶行為等多個(gè)維度的全方位安全監(jiān)測，并結(jié)合深信服云安全中心海量威脅情報(bào)快速共享機(jī)制，幫助企業(yè)構(gòu)建立體化、主動化、智能化綜合安全監(jiān)測防御體系，有效彌補(bǔ)了傳統(tǒng)安全設(shè)備只能防護(hù)已知常規(guī)威脅的被動局面，實(shí)現(xiàn)了安全風(fēng)險(xiǎn)全面識別和快速響應(yīng)。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第1頁。實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅內(nèi)容的全面監(jiān)測，幫助用戶深度的了解和評估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，是深信服下一代防火墻（NGAF）設(shè)計(jì)目的之一。NGAF能夠深入分析流量內(nèi)容，有效識別網(wǎng)絡(luò)中的用戶、應(yīng)用、內(nèi)容和威脅。NGAF提供了更加全面的安全威脅監(jiān)測能力，除了傳統(tǒng)的黑名單、木馬病毒特征簽名檢測外，還提供了實(shí)時(shí)漏洞監(jiān)測、僵尸主機(jī)監(jiān)測、數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測、黑鏈風(fēng)險(xiǎn)監(jiān)測、對外DoS攻擊等多種威脅監(jiān)測，全面滿足網(wǎng)絡(luò)安全監(jiān)測和防御體系建設(shè)的需求。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第2頁。NGAF可以旁路部署在網(wǎng)絡(luò)中，通過將相關(guān)業(yè)務(wù)數(shù)據(jù)流鏡像到下一代防火墻進(jìn)行實(shí)時(shí)監(jiān)測，該方式對用戶業(yè)務(wù)系統(tǒng)的完整性、可用性可以做到零影響。NGAF能夠協(xié)助用戶進(jìn)行業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)評估，并結(jié)合黑客攻擊行為進(jìn)行關(guān)聯(lián)分析，幫助用戶找到真正存在風(fēng)險(xiǎn)的薄弱環(huán)節(jié)。NGAF也可以串接在網(wǎng)絡(luò)中在線監(jiān)測，實(shí)時(shí)監(jiān)控入侵、漏洞、僵尸主機(jī)、數(shù)據(jù)泄漏、黑鏈等安全風(fēng)險(xiǎn)，并提供專業(yè)的安全風(fēng)險(xiǎn)運(yùn)維加固參考方案，助您快速實(shí)現(xiàn)自助化安全運(yùn)維。配合使用NGAF的外置數(shù)據(jù)中心，您可以將監(jiān)測設(shè)備的安全日志集中存儲和匯總分析，外置數(shù)據(jù)中心能夠給出監(jiān)測設(shè)備當(dāng)前網(wǎng)絡(luò)環(huán)境的安全概況、最近的攻擊事件詳情、漏洞詳情，并支持綜合日志查詢功能，可以查詢監(jiān)測到的多種類型安全日志。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第2頁。NGAF可以將監(jiān)測到的安全風(fēng)險(xiǎn)在WEB頁面展現(xiàn)，大部分威脅類型都可以在NGAF設(shè)備頁面的系統(tǒng)狀態(tài)查看到，進(jìn)一步點(diǎn)擊進(jìn)去還能看到每一類風(fēng)險(xiǎn)的詳細(xì)信息，并且提供了客觀的威脅描述及參考解決方案。入侵風(fēng)險(xiǎn)監(jiān)測NGAF提供了入侵風(fēng)險(xiǎn)監(jiān)測功能，能夠自動收集被保護(hù)網(wǎng)絡(luò)遭受到的入侵風(fēng)險(xiǎn)狀況，并基于今天、昨天、最近7天分別展示。入侵風(fēng)險(xiǎn)包含了多維的風(fēng)險(xiǎn)類型，包括WEBSHELL、XSS攻擊、SQL注入、信息泄露、惡意鏈接、網(wǎng)站掃描、DNS漏洞攻擊、FTP漏洞攻擊、系統(tǒng)漏洞攻擊、后門漏洞攻擊等。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第3頁。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第3頁。登錄NGAF設(shè)備就能看到系統(tǒng)狀態(tài)中的入侵風(fēng)險(xiǎn)情況（如上圖），進(jìn)一步點(diǎn)擊入侵風(fēng)險(xiǎn)，還能看到詳細(xì)的入侵風(fēng)險(xiǎn)狀況，包括入侵風(fēng)險(xiǎn)的類型TOP10、入侵風(fēng)險(xiǎn)排行詳情、每種攻擊的數(shù)量、有效攻擊數(shù)量、攻擊類型、被攻擊IP等信息，如果配置了深信服外置數(shù)據(jù)中心，還能進(jìn)一步看到每個(gè)攻擊的詳細(xì)信息，包括源IP、目的IP、時(shí)間、類型、攻擊描述等詳細(xì)的入侵信息，并能夠?qū)С鋈罩拘畔⒑瓦M(jìn)行分類查詢等操作。僵尸主機(jī)監(jiān)測NGAF能有效識別出那些因感染了蠕蟲、木馬等病毒而被黑客控制的僵尸主機(jī)。攻擊者可通過控制僵尸主機(jī)進(jìn)行DoS攻擊、APT攻擊等各種類型的攻擊，以達(dá)到致使用戶網(wǎng)絡(luò)或重要應(yīng)用系統(tǒng)癱瘓、竊取用戶機(jī)密業(yè)務(wù)數(shù)據(jù)等目的。登錄NGAF設(shè)備就能看到系統(tǒng)狀態(tài)中的僵尸主機(jī)情況（如上圖），包含了TOP5的僵尸主機(jī)IP地址和風(fēng)險(xiǎn)行為類型及數(shù)量。進(jìn)一步點(diǎn)擊僵尸主機(jī)，還能看到詳細(xì)的僵尸主機(jī)風(fēng)險(xiǎn)狀況，包括僵尸主機(jī)風(fēng)險(xiǎn)類型和數(shù)量，具有僵尸主機(jī)行為的主機(jī)IP，主機(jī)所在區(qū)域，活躍行為次數(shù)，最近活躍時(shí)間，風(fēng)險(xiǎn)行為描述等。此外，還提供了危害影響描述及推薦的解決方案實(shí)時(shí)漏洞監(jiān)測網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第4頁。NGAF提供了實(shí)時(shí)漏洞發(fā)現(xiàn)功能，可以對經(jīng)過設(shè)備的流量進(jìn)行實(shí)時(shí)漏洞風(fēng)險(xiǎn)分析，它的最大優(yōu)勢就在于能實(shí)時(shí)發(fā)現(xiàn)客戶網(wǎng)絡(luò)環(huán)境的安全缺陷，且不會給網(wǎng)絡(luò)產(chǎn)生額外的流量。實(shí)時(shí)漏洞檢測功能能夠發(fā)現(xiàn)主機(jī)、服務(wù)和應(yīng)用的安全漏洞，如底層軟件漏洞、Web應(yīng)用風(fēng)險(xiǎn)、插件漏洞、Web不安全配置、弱口令等安全缺陷。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第4頁。點(diǎn)擊進(jìn)入實(shí)時(shí)漏洞風(fēng)險(xiǎn)頁面，還能看到漏洞風(fēng)險(xiǎn)的服務(wù)器總數(shù)和漏洞風(fēng)險(xiǎn)總數(shù)排行前10的服務(wù)器域名/IP，發(fā)現(xiàn)詳情，漏洞風(fēng)險(xiǎn)概況。針對單個(gè)服務(wù)器IP，給出了檢測到的詳細(xì)漏洞信息，如漏洞類型，數(shù)量，描述，危害等級等信息。深信服還創(chuàng)新性的將實(shí)時(shí)漏洞檢測和入侵攻擊風(fēng)險(xiǎn)進(jìn)行結(jié)合，從海量的攻擊日志中快速識別出真正對用戶業(yè)務(wù)系統(tǒng)有危害的“有效攻擊”，從而大大減少安全運(yùn)維的動作工作，讓IT人員將更多的精力放在有效威脅的防護(hù)上面。數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測主要是為了發(fā)現(xiàn)和阻止一些重要信息資源泄漏。數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測包含了源代碼泄漏、重要配置泄漏、敏感信息泄漏、賬號信息泄漏、其他信息泄漏的監(jiān)測。賬號、源代碼、重要資源文件等敏感信息的泄露不但會給用戶造成損失，黑客還可利用這些信息對內(nèi)網(wǎng)中重要的業(yè)務(wù)系統(tǒng)進(jìn)行滲透攻擊，進(jìn)一步竊取用戶單位中更機(jī)密的核心數(shù)據(jù)。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第5頁。點(diǎn)擊進(jìn)入數(shù)據(jù)風(fēng)險(xiǎn)頁面，還能看到數(shù)據(jù)風(fēng)險(xiǎn)詳細(xì)信息，如風(fēng)險(xiǎn)類型和數(shù)量，危害影響，參考解決方案，數(shù)據(jù)風(fēng)險(xiǎn)詳情等。在數(shù)據(jù)風(fēng)險(xiǎn)詳情里面，還能看到具體的服務(wù)器風(fēng)險(xiǎn)信息和防護(hù)情況等。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第5頁。黑鏈風(fēng)險(xiǎn)監(jiān)測NGAF提供黑鏈檢測功能，黑鏈的本質(zhì)是一種網(wǎng)頁篡改。攻擊者通過利用網(wǎng)站存在的程序漏洞上傳或獲取網(wǎng)站的WEBSHELL后門，進(jìn)而篡改網(wǎng)站內(nèi)容并植入黑鏈。黑鏈不會顯現(xiàn)在網(wǎng)頁上，只有在網(wǎng)頁代碼中才能看到鏈接。攻擊者可在網(wǎng)站中添加賭博、色情等黑鏈，用戶的對外業(yè)務(wù)將受到嚴(yán)重影響，還會面臨網(wǎng)站被降權(quán)或者受到相關(guān)部門通報(bào)的風(fēng)險(xiǎn)。NGAF黑鏈檢測能夠?qū)l(fā)現(xiàn)黑鏈的網(wǎng)站域名/IP及被植入的黑鏈類型實(shí)時(shí)顯示出來。點(diǎn)擊進(jìn)入黑鏈風(fēng)險(xiǎn)頁面，還能看到黑鏈風(fēng)險(xiǎn)詳細(xì)信息，如黑鏈類型分布、危害影響、參考解決方案、風(fēng)險(xiǎn)主機(jī)排行等。在風(fēng)險(xiǎn)主機(jī)排行信息中，能夠看到風(fēng)險(xiǎn)主機(jī)被發(fā)現(xiàn)的黑鏈頁面，黑鏈類型，風(fēng)險(xiǎn)概況，黑鏈詳細(xì)信息，發(fā)現(xiàn)時(shí)間，植入黑鏈的頁面總數(shù)。對外DoS攻擊監(jiān)測網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第6頁。NGAF能夠?qū)崟r(shí)檢測內(nèi)部主機(jī)對外的DoS攻擊，DoS攻擊判定的本質(zhì)是該訪問行為是異常流量。對外發(fā)起DoS攻擊的內(nèi)網(wǎng)主機(jī)很可能感染了病毒，并已被黑客控制。內(nèi)網(wǎng)外發(fā)的DoS攻擊將會造成嚴(yán)重的網(wǎng)絡(luò)擁堵，導(dǎo)致用戶業(yè)務(wù)中斷，也會影響被攻擊網(wǎng)絡(luò)的業(yè)務(wù)的正常運(yùn)行，甚至因此而受到網(wǎng)絡(luò)監(jiān)管部門的通報(bào)，甚至承擔(dān)法律責(zé)任。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第6頁。NGAF能夠?qū)崟r(shí)檢測并記錄對外的DoS攻擊情況。點(diǎn)擊進(jìn)入對外DoS攻擊頁面，還能看到內(nèi)網(wǎng)主機(jī)對外發(fā)起DoS攻擊的詳細(xì)信息，如對外攻擊TOP5主機(jī)信息，對外攻擊詳情，危害影響，參考解決方案。對外攻擊詳情還包括單個(gè)攻擊的開始時(shí)間，持續(xù)時(shí)間，攻擊者IP，被攻擊者IP，并能夠結(jié)合外置數(shù)據(jù)中心看到攻擊日志詳情。威脅情報(bào)預(yù)警與處置一些存在范圍廣、危害破壞大的高危漏洞給我們的網(wǎng)絡(luò)安全造成巨大的隱患，如OpenSSL心臟滴血漏洞、Bash破殼漏洞、微軟IIS高危漏洞等。為了解決高危漏洞爆發(fā)后快速幫助用戶修復(fù)和保護(hù)這些漏洞威脅，深信服在NGAF設(shè)備上專門設(shè)置了一個(gè)威脅情報(bào)預(yù)警與處置模塊。該模塊能夠和深信服云安全引擎平臺聯(lián)動，深信服云中心能夠在熱點(diǎn)安全事件爆發(fā)后的48小時(shí)內(nèi)提供完整的0Day漏洞檢測和防護(hù)方案，并推送給NGAF設(shè)備，NGAF可自動對被保護(hù)對象進(jìn)行掃描檢測，并對掃描發(fā)現(xiàn)的熱點(diǎn)威脅提供一鍵防護(hù)功能，用戶只需按動一鍵防護(hù)按鈕，設(shè)備即可自動生成針對所有被發(fā)現(xiàn)的威脅的防護(hù)策略。截至2015年8月，深信服NGAF已推出了以下類型的威脅情報(bào)預(yù)警與處置方案。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第7頁。網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第7頁。待處理問題對于監(jiān)測發(fā)現(xiàn)的重要安全問題，NGAF還會生成待處理問題列表，提醒用戶及時(shí)修復(fù)安全問題。點(diǎn)擊具體的待處理問題，還能看到這些問題的風(fēng)險(xiǎn)提示，還可以進(jìn)一步查看風(fēng)險(xiǎn)問題詳情，詳情中有對問題的詳細(xì)描述及建議的解決方案，用戶只需要參照解決方案提示步驟，即可快速完成這些安全問題的修復(fù)。此外，深信服云安全中心會實(shí)時(shí)同步最新的安全威脅識別特征到NGAF設(shè)備上，實(shí)現(xiàn)了海量的威脅情報(bào)快速共享。當(dāng)單個(gè)NGAF發(fā)現(xiàn)了無法實(shí)時(shí)確認(rèn)的可疑內(nèi)容，就會同步上報(bào)到深信服安全云中心，云中心通過虛擬沙盒演練等方法進(jìn)行判定，一旦確認(rèn)是威脅行為，將快速生成識別特征并下發(fā)到全球在線的NGAF設(shè)備上，基于這些技術(shù)手段，NGAF能夠準(zhǔn)確識別未知威脅和APT攻擊。深信服NGAF全面專業(yè)的深度內(nèi)容“監(jiān)測-響應(yīng)”體系，能夠?qū)崿F(xiàn)多層次、全方位、全網(wǎng)絡(luò)的立體網(wǎng)絡(luò)安全監(jiān)測，實(shí)現(xiàn)立體化、主動化、智能化綜合安全防御，有效幫助客戶構(gòu)建完整、聯(lián)動、可信、快速響應(yīng)的綜合防御系統(tǒng)。深信服方案價(jià)值積極主動發(fā)現(xiàn)安全問題，提升安全部門價(jià)值；提供自助式、智能化運(yùn)維方法，改變傳統(tǒng)被動滯后的運(yùn)維狀態(tài)；網(wǎng)絡(luò)安全監(jiān)測方案全文共9頁，當(dāng)前為第8頁。威脅識別更全面，實(shí)現(xiàn)完整、宏觀