數(shù)據(jù)中心及大數(shù)據(jù)安全方案-電科院

隨著信息技術的迅猛發(fā)展，大數(shù)據(jù)技術在各行各業(yè)的逐步落地，成熟的27000、的成熟范例，從技術、運行管理等方面對項目的整體客戶端踐1網閘網關敏感信息檢測終端平臺終端平臺踐3踐4日志審計5針對數(shù)據(jù)中心與大數(shù)據(jù)安全威脅的多樣化、體系化，防御體系利用先發(fā)優(yōu)勢，在各個層面進行縱深覆蓋，實現(xiàn)風險分化、協(xié)同互補，構建一套環(huán)環(huán)相扣的威脅感知、邊界安全防護、平臺安全防護、業(yè)務安全防護、數(shù)據(jù)安全防護多重縱深防御體系。從云端到終端、從業(yè)務到數(shù)據(jù)、從事前到事后，為數(shù)據(jù)中心提供無所不在的全方位保護，在大數(shù)據(jù)環(huán)境中為用戶提供多層次、多維度、體系化縱深防御的解決方案，綜合提升應對新型安全威脅的能力，真正做到看得見的安全和有效安全?！裢{感知：360建立了基于大數(shù)據(jù)安全分析和威脅情報的云計算中心，形成有效對抗新型威脅的防御和檢測體系，通過該體系，可以挖掘未知威脅、預知風險，全面、快速、準確地感知過去、現(xiàn)在、為了的威脅態(tài)勢，同時經過提煉后的情報信息會實時同步到邊界、業(yè)務、數(shù)據(jù)安全防護體系中，大幅提升邊界、平臺、業(yè)務、數(shù)據(jù)的整體安全防護能力。認證、授權、審計),保證只有具備合法賬號、通過身份認證、系統(tǒng)漏洞管理和響應機制；對系統(tǒng)進行安全掃描、監(jiān)測、防護；基于分布式數(shù)據(jù)復制、校驗等技術實現(xiàn)數(shù)據(jù)的完整性、可用性，●安全體系是一個整體：大數(shù)據(jù)安全不是孤立的，要基于整體安全●大數(shù)據(jù)環(huán)境的4A體系：在分布式、海量數(shù)據(jù)的大數(shù)據(jù)環(huán)境中，構建用于大數(shù)據(jù)平臺內所有系統(tǒng)的統(tǒng)一賬號()、認證()、授權●大數(shù)據(jù)加密體系：所有數(shù)據(jù)加密存儲、加密傳輸，實現(xiàn)數(shù)據(jù)密級●差異化多級防御：不同安全產品基于不同安全技術從不同角度?；?60云端大數(shù)據(jù)中心和企業(yè)本地大數(shù)據(jù)中心以及數(shù)據(jù)中心流360態(tài)勢感知與安全運營平臺及時發(fā)現(xiàn)本地的威脅和異常，同時360天眼能夠對未知威脅的惡意行為實現(xiàn)早期的快速發(fā)現(xiàn)，并可360和360天眼都基于云端威脅情報中心提供的可機讀威脅情報360態(tài)勢感知與安全運營平臺是基于360威脅情報和本地大數(shù)據(jù)異常的總體安全態(tài)勢展現(xiàn)給用戶的系統(tǒng)。360態(tài)勢感知與安全運營平臺一方面可基于360自有的多維度海量互聯(lián)網安全數(shù)據(jù)，進行情管理區(qū)互聯(lián)網防火墻公A區(qū)360天擎360云端大數(shù)據(jù)平臺辦360態(tài)勢感知與安全運營平臺主要實現(xiàn)以下功能：關聯(lián)分析是方便安全分析人員對多維度數(shù)據(jù)進行關聯(lián)并分析攻擊通過從360云端獲取(在線查詢、云端推送或離線拷貝)可機讀360態(tài)勢感知與安全運營平臺采集的數(shù)據(jù)維度較多，太多的日志漏洞(包括0)發(fā)現(xiàn)的準確性及時效性，通過云多點監(jiān)測全天候對大態(tài)勢感知大屏提供4種面向不同安全場景的態(tài)勢監(jiān)控界面：攻擊360天眼新一代威脅感知系統(tǒng)(以下簡稱“天眼”)可基于360部署在客戶本地的大數(shù)據(jù)平臺，進行本地流量深度分析。360天眼能流量日志主機行為服務器區(qū)辦公區(qū)A辦公區(qū)B互聯(lián)網接入?yún)^(qū)管理區(qū)360天眼的功能如下：威脅感知發(fā)現(xiàn)和告警威脅情報可支持在線和離線升級兩種方式對于重要的未知威脅告警，將告知客戶攻擊背景信息可提供未知威脅在本地發(fā)生的具體時間和受害主機地址能夠對未知告警的受害進行搜索忽略等狀態(tài)方式。用戶點擊后可保存當前選擇為后續(xù)的默認選擇提供告警數(shù)據(jù)導出功能，以表格式導出告警數(shù)據(jù)日志檢索可對級日志做到快速搜索，搜索時間小于30s的日志類型就行日志篩選結果中重新按照新的規(guī)則搜索日志可將地址的地理位置信息及號解析出來可展示日志的時間分布支持日志導出可篩選關鍵字段展示，隱藏不必要的日志信息所有日志均可以標準化接口形式提供可以搜索文件訪問行為，并展示還原流量中文件的5和文件名支持搜索歷史記錄，點擊后可重新搜索支持規(guī)則搜藏，導入導出支持基于選擇字段的快速搜索支持語法高級搜索操作審計功能據(jù)修改、數(shù)據(jù)檢索、登錄登出等操作。戶、操作類型篩選審計日志的時間軸狀態(tài)顯示功能一周日志統(tǒng)計功能，當前時間向前7天的每日日志數(shù)量趨一周告警統(tǒng)計功能，包含和非的比例和條目數(shù)器數(shù)據(jù)盤占用率以及主從情報信息，展示情報總量，更新次數(shù)和最近更新日期系統(tǒng)信息，分析平臺當前節(jié)點的、內存占用間管理功能能夠支持時間同步，支持V4.0協(xié)議能夠提供網絡管理功能，可進行靜態(tài)路由配置多次登錄失敗將鎖定賬號5分鐘內不得登錄動升級可實時監(jiān)控設備的、內存、存儲空間使用情部署情況威脅檢測提供對常見掃描行為的檢測能力能夠檢測常見的遠控木馬行為命令執(zhí)行、文件包含等；流量記能夠對網絡通信行為進行還原和記錄，以供安全人員進錄行取證分析，還原內容包括：會話記錄、訪問記錄、訪問記錄、解析記錄、文件傳輸行為、登錄行為。支持對流量中出現(xiàn)文件傳輸行為進行發(fā)現(xiàn)和還原，將文件5發(fā)送至分析平臺可以支持、、三種協(xié)議的分析和還原文件還原可分析的文件傳輸協(xié)議包括：郵件(、3、、)、()、、支持對常見可執(zhí)行文件的還原：、、、、、等支持對常見壓縮格式的還原：、、、7Z等支持常見的文檔類型的還原：、、、、等管理功能能夠支持時間同步，支持V4.0協(xié)議能夠提供網絡管理功能，可進行靜態(tài)路由配置多次登錄失敗將鎖定賬號5分鐘內不得登錄可支持在線升級和離線升級倆種升級方式，并支持定時自動升級可實時監(jiān)控設備的、內存、存儲空間使用情能夠監(jiān)控監(jiān)聽接口的實時流量情況可以分析統(tǒng)計1天或1周時間內的文件還原數(shù)量情況可以分析統(tǒng)計1天或1周時間內的各個應用流量的大小部署情況可支持旁路部署，對鏡像流量進行監(jiān)聽可支持4網絡和6網絡兩種部署場景，可對兩種網絡流量均進行分析還原?？芍С址植际讲渴?，可以多臺采集器同時部署于客戶網絡不同位置并將數(shù)據(jù)傳輸?shù)酵惶追治銎脚_360威脅情報中心是中國首個面向企業(yè)和機構的互聯(lián)網威脅情報整合專業(yè)機構。中心以業(yè)界領先的安全大數(shù)據(jù)資源為基礎，基于360360威脅情報中心提供兩種使用方式，一是通過訪問威脅情報中用戶可通過威脅情報中心網站()查看360公司最新發(fā)布的網絡安全事件報告，并可對360云端數(shù)據(jù)進行搜索和分析。360威脅情報中心遵循標準提供接口訪問，實現(xiàn)如下功能：●分析：獲取所屬地、相關域名、域、威脅類型、相關樣本信息、●5分析：獲取樣本的首次發(fā)現(xiàn)時間、創(chuàng)建時間、文件大小，檢測●終端安全保護接入大數(shù)據(jù)平臺的終端的安全，采用360天擎實現(xiàn)病毒/木馬防護、終端審計、合規(guī)管理、軟件管理、資產管理、●主機安全保護數(shù)據(jù)中心物理服務器和云主機的安全，采用360天擎進行主機病毒/木馬防護和補丁管理，采用主機加固降低主機●網絡安全首先做好安全區(qū)域劃分，采用網神3600下一代防火墻360天擎終端安全管系統(tǒng)是360面向政府、企業(yè)、金融、軍隊、控于一體的解決方案。360天擎終端安全管理系統(tǒng)，以大數(shù)據(jù)技術為殺引擎、(針對可執(zhí)行文件的引擎)、(針對非可執(zhí)行文件的引擎)需要甄別不同的操作系統(tǒng)并根據(jù)各個系統(tǒng)的不同情況有選擇性的下安全管理系統(tǒng)可以對全網計算機進行漏洞掃描把計算機與漏洞進行議、多機制方式)與統(tǒng)計網絡中的終端數(shù)量及類型。管理員通過此功不明的軟件的安裝和運行帶來的各種風險(如含有惡意代碼或者木馬程序),又可能合理分配和控制企業(yè)購買的軟件許可證。天擎終端安全管理系統(tǒng)，能夠實現(xiàn)對移動存儲設備的靈活管控，保證終端與移動存儲介質進行數(shù)據(jù)交換和共享過程中的信息安全要評估中心通過對內網終端的配置脆弱程度、終端數(shù)據(jù)價值和終端天擎強制合規(guī)()組件主要為企事業(yè)單位解決入網安全合規(guī)性要天擎終端安全管理系統(tǒng)可以與360的邊界防護設備——天眼新一代未知威脅感知系統(tǒng)進行聯(lián)動，借助360天眼的深度檢測能力，結合●在主機上部署病毒/木馬查殺軟件360天擎，包括和系統(tǒng)，降低都可能存在漏洞，安全管理員應負責定期(例如1月/次)對包括物程登錄，設置最大登錄嘗試次數(shù)為3;●對于重要文件設置只有可讀、寫和執(zhí)行，主要檢查目錄采用網神3600網閘實現(xiàn)數(shù)據(jù)中心與外界進行安全可控的數(shù)據(jù)交采用網神3600安全接入網關實現(xiàn)通過網絡安全接入數(shù)據(jù)中心，采用網神3600安全網關抗拒絕服務系統(tǒng)抵御攻擊，保證數(shù)據(jù)中采用360天巡無線入侵防御系統(tǒng)，防止有人在數(shù)據(jù)中心通過私建根據(jù)系統(tǒng)功能、安全需求不同進行網絡區(qū)域劃分，整個網絡劃分設備應用系統(tǒng)區(qū)應用前應用應用數(shù)據(jù)源區(qū)——與大數(shù)據(jù)平臺核心區(qū)連通，主要是及大流運維接入?yún)^(qū)——提供專屬的區(qū)域給運維人員使用，根據(jù)訪問的目運維管理區(qū)——負責管理與監(jiān)控整個網絡的安全與應用系統(tǒng)的運大數(shù)據(jù)平臺核心區(qū)——作為整個大數(shù)據(jù)網絡的核心，負責轉發(fā)網云平臺核心區(qū)——作為整個云平臺網絡的核心，負責轉發(fā)網絡中安全服務區(qū)——作為提供應用服務的區(qū)域，將所有應用系統(tǒng)中不等覆蓋4網絡及6網絡的功能，進一步在網神3600防火墻系列上完網神3600防火墻系列的主要功能如下：的性能、更快速的轉發(fā)速度是3600防火墻系列的基石，讓集成的多網神3600防火墻系列采用完全自主研發(fā)的單引擎一次性數(shù)據(jù)包段都使用同一個會話，實現(xiàn)數(shù)據(jù)包在4-7層的高性能轉發(fā)，有效降低網神3600防火墻系列針對管理員的角色建立三權分立的管理員網神3600防火墻系列支持通過虛擬系統(tǒng)功能，將防火墻虛擬成網神3600防火墻系列支持路由模式的和橋模式的。網神3600防火墻系列提供對稱路由功能。用戶可以通過啟用接網神3600防火墻系列支持在多出口的環(huán)境中根據(jù)用戶實際需求，網神3600防火墻系列的安全策略功能是防火墻的核心功能。提制不同安全域之間的數(shù)據(jù)轉發(fā)。網神3600防火墻系列的安全策略規(guī)實現(xiàn)對4數(shù)據(jù)及6數(shù)據(jù)通訊的管理。網神3600防火墻系列將按順序對策略規(guī)則進行比較，特定性更網神3600防火墻系列支持對穿過防火墻的協(xié)議進行解密，并對3600防火墻系列也支持將指定的加密數(shù)據(jù)進行排除不解密。對協(xié)議網神3600防火墻系列的攻擊防護模塊通過基于安全域的防護和網神3600防火墻系列支持與奇虎360公司的天擎系統(tǒng)、威脅情網神3600防火墻系列，基于第三代操作系統(tǒng)，依托先進的多核網神3600防火墻系列采用全新先進的多維動態(tài)特征異常檢測引網神3600防火墻系列的用戶認證主要被設計用于增強從內網訪為了認證的安全，認證模式支持，,默認設置為關閉服務器訪問賬號等都與用戶認證的賬號統(tǒng)一時，3600防火墻系列可優(yōu)先級用戶帶寬。當網絡中存在空閑帶寬時，網神3600防火墻系列網神3600防火墻系列為用戶提供了全面的實時的狀態(tài)信息展示，網神3600安全隔離與信息交換系統(tǒng)(簡稱：網閘)是新一代網網神3600網閘可廣泛應用于各級政府機關、軍隊、公安、科研不可信網絡可信網絡網神3600安全隔離與信息交換系統(tǒng)采用模塊化的系統(tǒng)結構設計，數(shù)據(jù)庫同步模塊：通過靈活的同步機制，保證安全等級不同的網>安全瀏覽模塊：保證在內外網隔離的環(huán)境下，內網用戶安全瀏覽定制模塊：支持4和6雙協(xié)議棧，保證在內外網隔離的同時實現(xiàn)>通道模塊：通過通道模塊，能夠實現(xiàn)認證、加密、授權。認證保>代理模塊：通過代理模塊能夠實現(xiàn)4、5等版本的代理，支持本網神3600安全隔離與信息交換系統(tǒng)提供多種內容安全過濾與內內網用戶對外部資源不良內容的訪問及敏感信息的泄漏。網神3600網閘可對用戶訪問的數(shù)據(jù)庫服務器進行語句、數(shù)據(jù)庫名網閘可對郵件標題和內容以及傳輸?shù)奈募冗M行黑/白名單關鍵系統(tǒng)可內嵌殺病毒引擎，針對文件交換模塊、訪問模塊、安全瀏網神3600安全隔離與信息交換系統(tǒng)提供基于純文件的交換方式，網神3600安全隔離與信息交換系統(tǒng)的數(shù)據(jù)庫同步模塊，獨立自網神3600安全隔離與信息交換系統(tǒng)采用雙通道通信機制，從可信網到非可信網的數(shù)據(jù)流與從非可信網到可信網的數(shù)據(jù)流采用不同網神3600安全隔離與信息交換系統(tǒng)提供管理員多種手段了解網 網神3600安全隔離與信息交換系統(tǒng)支持多樣靈活的身份認證方網神3600安全網關抗拒絕服務系統(tǒng)(又名抗系統(tǒng)、流量清洗系統(tǒng)),以下簡稱網神抗系統(tǒng)，是自主知識產權的新一代安全產品，作識別端口保護清洗后純綠色流量不同的流量觸發(fā)不同的保護機制，提高效率的同時確保準確度。●主機識別：網神抗系統(tǒng)可自動識別其保護的各個主機及其地址，對攻擊頻率較高的攻擊防護模式，此模式將更為嚴格過濾攻擊；●連接控制：根據(jù)攻擊的流量和連接數(shù)閥值來設置觸發(fā)防護選項，網神3600安全接入網關系統(tǒng)是以國際標準協(xié)議為基礎的、自主研發(fā)的、專為企業(yè)定制的、基于應用層設計的遠程接入產品，網神3600全面支持6安全接入，滿足下一代互聯(lián)網安全接入需求，為企SecSSL3600SecSSL36002●對移動用戶進行統(tǒng)一的身份進行認證管理。●根據(jù)管理員定義的安全策略和客戶端的安全狀況，對用戶進行●檢測遠端用戶接入設備的安全狀態(tài)。●保證遠端用戶同內部網絡的通信安全?！駥崟r監(jiān)控遠程接入的安全連接?！褚苿佣税踩庋b技術，無需企業(yè)二次開發(fā)快速集成功能?！褚苿佣似髽I(yè)內部安全應用商店，保障合法白名單的應用定向推●移動端安卓設備安全殺毒功能，保障終端安全辦公環(huán)境?！駶M足國產信息安全的需要，完整支持國密辦算法，包括1、2、安全接入網關系統(tǒng)提供了靈活的用戶管理方式和方便的日志管理功360天巡是一款輕部署、強安全、易管理的新一代企業(yè)級無線網絡安全防御系統(tǒng)。360天巡基于無線入侵檢測、無線數(shù)據(jù)分析、惡意360天巡廣泛應用于有內網數(shù)據(jù)安全需求的軍隊、企業(yè)、黨政機360天巡的主要功能如下：熱點是無線網絡中轉發(fā)數(shù)據(jù)的重要設備，一旦熱點被劫持或其本擊的防御手段，在無線入侵防御系統(tǒng)中是不可或缺的。360斷方式有別于其他無線入侵方式系統(tǒng)所使用的射頻干擾技術進行范保證無線網絡安全的關鍵任務是持續(xù)關注企業(yè)當前無線網絡的安對大數(shù)據(jù)平臺進行安全加固，其中最重要的是建立大數(shù)據(jù)環(huán)境下的基于大數(shù)據(jù)平臺日志建立統(tǒng)一審計系統(tǒng)，對于大數(shù)據(jù)平臺各個系360安全大數(shù)據(jù)平臺基于實現(xiàn)大數(shù)據(jù)統(tǒng)一賬號系統(tǒng)，對大數(shù)據(jù)平統(tǒng)一賬號系統(tǒng)提供界面方便管理員進行日常操作，并提供接口與360安全大數(shù)據(jù)平臺實現(xiàn)基于模型的大數(shù)據(jù)統(tǒng)一授權系統(tǒng)，通過的所有用戶生效，可以方便的對一組用戶進行批量授權和回收。各相應集群+工/44角色角色workadmin資源管理Ⅱ作業(yè)管理#用戶信息work_admin,hlve_adm#用戶信息work_admin,hlve_adm申請授權 審批列表 Ⅱ作業(yè)管理田BigSQL白名單work_admin,hive_adm群限單申請授權Ⅱ作業(yè)管理田BigsQL口BigGraph申請授權Ⅱ作業(yè)管理出BigSQL四BigGraph#角色列表#角色列表目角色管理歷史內容作源限白名單群內容作限白名單群內容作限白名單類理內容作白白名單白名單限RFAD.WRITE.CRFATE.DROP.U時間2群內白名單Ⅱ作業(yè)管理o過過360安全大數(shù)據(jù)平臺實現(xiàn)基于角色的訪問控制授權系統(tǒng)對數(shù)為了實現(xiàn)最小化授權和訪問控制，360安全大數(shù)據(jù)平臺的訪問控●訪問的主體：細化到用戶或者用戶+程序。普通數(shù)據(jù)訪問授權細●訪問的來源：可細化指定授權訪問的來源，限定只能通過某個/360安全大數(shù)據(jù)平臺基于審計日志實現(xiàn)大數(shù)據(jù)統(tǒng)一審計系統(tǒng)，支●基于日志進行統(tǒng)一的審計，收集各個組件的審計日志，進行集中●審計日志存儲采用經過加固的，數(shù)據(jù)只能新增和按照日期淘汰清●提取審計日志中結構化信息，包括集群，用戶，,操作，對象，●交互式的審計日志檢索，可以對結構化的集群，用戶，,操作，●可擴展的統(tǒng)一審計架構，新的組件或系統(tǒng)可以方便地整合到統(tǒng)一檢索模塊6/homa/m/mapred/ytms,201607271622,818Amp/acedujunvouput161701/,empMhomtjmapied/stemfob,201607271522,28163obtmp/-agdyurjun/ostput174001/emporgyattergt20160727174,2219mAomtmuped/ntemh,201607271852,28homgm/mapredhygtemjob_201607271852.28247/homt/mr/mapred/nggtemjok_201607271847_28245/homt/hirmupred/ytemh_201607271847_28/home/m/hsdoop/hhtogsob_201607271632,28191_10160.133.34.1449608327606_munjan_WorAomtuhadoop/h64ob.201607271632.28191_6onmpredunjanoutput.172homthm/hudoop/hknoofob.201607271822,28235.c0home/obe/dednl/onenthempt72opsyocqhoont-13000-0-kfule-2016-07-27-1-32-22,29014,1409615542000,0homg/mr/mapredhplenjob_201607271837_28241uvar/melTcanh/Ourent/tmp/maerd_u查看原始日志dfs[qihoo_audit_cluster_type]=>hdfs[qihoo_audit_timestamp]=>2016-[qihoo_audit_ip]=>1[qihoo_audit_uri]=>/home/mr/mapred/system/job_201607271622_28[qihoo_audit_ret]=>dfstest_clustercreate/home/mr/hadoop/history/job_201607271822_28235_conf.dfsdfsdfsdfsdfsdfsdfs●集群類型和集群名稱都是采用下拉框選擇的方式，集群類型和集●操作類型也采用下拉列表，但是支持用戶輸入，同時操作類型支●操作對象采用用戶手動輸入的方式，格式為格式；單條件查詢支●用戶字段支持多用戶、單用戶精確查詢?！駮r間區(qū)間可選擇一個時間段。策略名稱：策略條件：目標用戶：郵箱收件人：短信收件人：請選捏請選擇..請選擇..郵件收件人.短信收件人batPut目標用戶：郵箱收件人：十增加十增加郵箱收件人：短信收件人：郵箱收件人：短信收件人：實現(xiàn)自動化的多類型掃描器的整合和分布式化部署，能夠有效解360漏洞掃描平臺實現(xiàn)了多個系統(tǒng)安全掃描器的掃描、可分布式IDC機房1IDC機房2管理員360系統(tǒng)漏洞掃描部署圖表0P006917,T22,T8006,T8089,180153.233221.10115100.168000.T6700,T47940.10443.T80.T8649,T22,.4101299485.2021029115T10009,145462T31052,19360代碼衛(wèi)士(以下簡稱“代碼衛(wèi)士”)是奇虎360公司基于多代碼安全缺陷分析系統(tǒng)(5100)、源代碼合規(guī)分析系統(tǒng)(5200)、源代碼溯源分析系統(tǒng)(5300)及代碼安全保障系統(tǒng)(5500)四個產品。管理系統(tǒng)(如)等進行無縫對接，以最小代價幫助組織實現(xiàn)源代碼安將代碼衛(wèi)士與代碼庫進行關聯(lián)，配置好定時檢測計劃，系統(tǒng)能自支持源代碼合規(guī)，檢查源代碼是否違背代碼開發(fā)規(guī)范，約束開發(fā)對源代碼的不同版本的檢測結果進行比對分析，分析代碼安全趨缺陷信息數(shù)據(jù)的深度挖掘，按時間、部門、缺陷等級、缺陷類別外部系統(tǒng)接口模塊支持定制化開發(fā)，通過定制化接口驅動基于360對應用攻擊周期深度理解的基礎上定制開發(fā)的入侵檢測系統(tǒng)。作為應用防火墻()的補充，該產品通過旁路部署，分析雙向流360安全大數(shù)據(jù)平臺基于審計日志實現(xiàn)大數(shù)據(jù)統(tǒng)一審計系統(tǒng)，支360安全大數(shù)據(jù)平臺對數(shù)據(jù)進行加密存儲，實現(xiàn)無明文存儲，避360實現(xiàn)數(shù)據(jù)的透明加解密，在集群中數(shù)據(jù)寫入時自動對數(shù)據(jù)進秘鑰和加密算法對數(shù)據(jù)進行多次加密，可以進一步提高數(shù)據(jù)安全