安全设备
一、安全设备–IDS
- IDS入侵检测
(1)什么是入侵检测:
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。在很多中大型企业,政府机构,都会布有IDS。我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
(2)入侵检测系统
用于入侵检测所有软硬件系统,发现违反安全策略的行为或系统存在被攻击痕迹,立即启动有关安全机制进行应对入侵检测系统在安全体系中的位置。 - IDS作用和必然性
必然性:
(1)网络安全本身的复杂性,被动式的防御方式显得力不从心
(2)有关防火墙:网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部
(3)入侵很容易:入侵教程随处可见;各种工具唾手可得
作用:
(1)防火墙的重要补充
(2)构建网络安全防御体系重要环节
(3)克服传统防御机制的限制 - IDS系统功能
(1)监测并分析用户和系统的活动
(2)核查系统配置和漏洞
(3)对操作系统进行日志管理,并识别违反安全策略的用户活动
(4)针对已发现的攻击行为作出适当的反应,如告警、中止进程等 - IDS 架构
事件产生器: 它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件
事件分析器: 分析数据,发现危险、异常事件,通知响应单元
响应单元: 对分析结果作出反应
事件数据库: 存放各种中间和最终数据 - IDS检测性能关键参数
误报(false positive): 实际无害的事件却被IDS检测为攻击事件。
漏报(false negative): 一个攻击事件未被IDS检测到或被分析人员认为是无害的。 - IDS典型入侵行为
篡改Web网页、破解系统密码、复制/查看敏感数据、使用网络嗅探工具获取用户密码、访问未经允许的服务器、特殊硬件获取原始网络包、向主机植入特洛伊木马程序
常见入侵方式。 - IDS入侵检测技术
①.误用检测技术
基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
前提: 所有的入侵行为都有可被检测到的特征。
指标: 误报低、漏报高。
攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
特点: 采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。
误用检测技术
(1)建立入侵行为模型(攻击特征)
(2)假设可以识别和表示所有可能的特征
(3)基于系统和基于用户的误用
优点
(1)准确率高
(2)算法简单
关键问题
(1)要识别所有的攻击特征,就要建立完备的特征库
(2)特征库要不断更新
(3)无法检测新的入侵
②.异常检测技术
基于统计分析原理。首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。
前提: 入侵是异常活动的子集。指标:漏报率低,误报率高。
用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围。
特点: 异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
(1)设定“正常”的行为模式
(2)假设所有的入侵行为是异常的
(3)基于系统和基于用户的异常
优点
(1)可检测未知攻击
(2)自适应、自学习能力
关键问题
(1)“正常”行为特征的选择
(2)统计算法、统计点的选择 - IDS的局限性
(1)对用户知识要求较高,配置、操作和管理使用较为复杂
(2)网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要
(3)高虚警率,用户处理的负担重
(4)由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果
(5)在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响 - IDS厂商
二、安全设备–IPS
- IPS定义及优势
定义:
入侵防御为一种安全机制,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),通过一定的响应方式,实时终止入侵行为,保护企业信息系统和网络架构免受侵害。
优势:
(1)入侵防御既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后能自动丢弃入侵报文或阻断攻击源,根本上避免攻击行为。
(2)实时阻断攻击:设备采用直路方式部署于网络中,当检测到入侵时,实时对入侵活动和攻击性网络流量进行拦截。
(3)深层防护:新型攻击都隐藏在TCP/IP协议应用层,入侵防御能检测报文应用层内容,还能对网络数据流重组进行协议分析和检测,并根据攻击类型、策略确定应被拦截的流量。
(4)全方位防护:入侵防御可针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击防护措施,全方位防御各种攻击,保护网络安全。
(5)内外兼防:入侵防御不仅可以防来自企业外部的攻击,还可以防发自企业内部的攻击。系统对经过的流量都可以进行检测,既可以对服务器进行防护,又可以对客户端进行防护。
(6)不断升级,精准防护:入侵防御特征库会持续更新,以保证最高安全性。通过审计中心定期升级特征库,保持入侵防御持续有效性。 - IPS和IDS区别
IDS的主要作用是监控网络状况,侧重于风险管理。
IPS的主要作用是实时阻断入侵行为,侧重于风险控制。
- IPS入侵防御实现机制-签名
入侵防御签名用来描述网络中攻击行为的特征,FW通过将数据流和入侵防御签名进行比较来检测和防范攻击。
FW的入侵防御签名分为两类:
预定义签名
预定义签名是入侵防御特征库中包含的签名。预定义签名也能修改默认的动作
每个预定义签名都有缺省的动作,分为:
放行: 指对命中签名的报文放行,不记录日志。
告警: 指对命中签名的报文放行,但记录日志。
阻断: 指丢弃命中签名的报文,阻断该报文所在的数据流,并记录日志。 - IPS入侵防御实现机制-自定义签名
自定义签名是指管理员通过自定义规则创建的签名。新的攻击出现后,其对应的攻击签名通常都会晚一点才会出现。当用户自身对这些新的攻击比较了解时,可以自行创建自定义签名以便实时地防御这些攻击。另外,当用户出于特殊的目的时,也可以创建一些对应的自定义签名。自定义签名创建后,系统会自动对自定义规则的合法性和正则表达式进行检查,避免低效签名浪费系统资源。
自定义签名的动作分为阻断和告警,您可以在创建自定义签名时配置签名的响应动作。 - IPS入侵防御实现机制-签名过滤器
(1)由于设备升级特征库后会存在大量签名,而这些签名是没有进行分类,且有些签名所包含的特征在网络中不存在,需过滤出去,故设置了签名过滤器进行管理。管理员分析本网络中常出现的威胁的特征,并将含有这些特征的签名通过签名过滤器提取出来,防御本网络中可能存在的威胁。
(2)签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括:签名类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器。一个过滤条件中如果配置多个值,多个值之间是“或”的关系,只要匹配任意一个值,就认为匹配了这个条件,签名过滤器的动作分为阻断、告警和采用签名的缺省动作。签名过滤器的动作优先级高于签名缺省动作,当签名过滤器的动作不采用签名缺省动作时,以签名过滤器设置的动作为准。各签名过滤器之间存在优先关系(按照配置顺序,先配置的优先)。如果一个安全配置文件中的两个签名过滤器包含同一个签名,当报文命中此签名后,设备将根据优先级高的签名过滤器的动作对报文进行处理。 - IPS入侵防御实现机制-例外签名
(1)由于签名过滤器会批量过滤出签名,且通常为了方便管理设置为统一的动作。如果管理员需要将某些签名设置为与签名过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
(2)例外签名的动作分为阻断、告警、放行和添加黑名单。其中,添加黑名单是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并将报文的源地址或目的地址添加至黑名单。
(3)例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。
(4)例如,签名过滤器中过滤出一批符合条件的签名,且动作统一设置为阻断。但是员工经常使用的某款自研软件却被拦截了。观察日志发现,用户经常使用的该款自研软件命中了签名过滤器中某个签名,被误阻断了。此时管理员可将此签名引入到例外签名中,并修改动作为放行。 - 入侵防御对数据流的处理
当数据流命中的安全策略中包含入侵防御配置文件时,设备将数据流送到入侵防御模块,并依次匹配入侵防御配置文件引用的签名。入侵防御对数据流的通用处理流程如下
注意
当数据流命中多个签名,对该数据流的处理方式如下:
(1)如果这些签名的实际动作都为告警时,最终动作为告警。
(2)如果这些签名中至少有一个签名的实际动作为阻断时,最终动作为阻断。
(3)当数据流命中了多个签名过滤器时,设备会按照优先级最高的签名过滤器的动作来处理。 - IPS厂商
三、安全设备–WAF
-
WAF
WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF常见的部署方式,如图
-
WAF的优缺点
优点:
(1)WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。
(2)WAF可以对Web应用进行安全审计
(3)WAF可以防止CC攻击
(4)应用交付
缺点:
(1)WAF不能过滤其他协议流量,如FTP、PoP3协议
(2)WAF不能实现传统防护墙功能,如地址映射
(3)WAF不能防止网络层的DDoS攻击
(4)防病毒 -
WAF与IPS、IDS对比
传统安全设备特点:
IPS:针对蠕虫、网络病毒、后门木马防护,不具备WEB应用层的安全防护能力
传统FW:作为内网与外网之间的一种访问控制设备,提供3-4层的安全防护能力,不具备WEB应用层的安全防护能力
UTM/NGFW:优势,UTM或者NGFW把多种安全能力融合为一体(上网行为管理、IPS、防病毒、WEB安全防护)
劣势:各安全引擎模式开启之后设备综合性能势必降低!
n多核架构/MIPS架构无法实现对HTTP/HTTPS数据包的深度检测(包括转换编码、拼接攻击语句、大小写变换、超大报文等),WEB应用攻击的检出率低、漏报率高!
WAF特点:
WAF是专业的应用层安全防护产品、具备威胁感知能力、具备HTTP/HTTPS深度检测能力. 检出率高,误报率低/漏报率低、高性能、复杂环境下高稳定性
-
WAF的分类
软件型WAF
以软件的形式安装在服务器上,可以直接检测服务器是否存在webshell,是否有文件被创建等
D盾,云锁,网防G01,安全狗,护卫神,智创,悬镜,UPUPW,安骑士
硬件型WAF
以硬件的形式部署在链路中,支持多种部署方式,当串联到链路中时可以拦截恶意流量,在旁路监听时只记录攻击,不拦截
绿盟、安恒、铱迅、天融信、深信服、启明星辰、知道创宇、F5 BIG-IP
基于云WAF
一般以反向代理的形式工作,通过配置NS(当设定后,相当于把他的解析权交给了对应的DNS)或CNAME记录,使得对网站的请求报文优先经过WAF主机,经过WAF主机过滤后,将被认为无害的请求报文再发送给实际网站服务器进行请求,可以认为是自带防护功能的CDN
安全宝、创宇盾、玄武盾、腾讯云(T-Sec Web 应用防火墙)、百度云(应用防火墙 WAF)、西部数码、阿里云盾、奇安信网站卫士
开源型WAF
Naxsi、OpenRASP、ModSecurity
网站内置的WAF
网站系统内置的WAF直接镶嵌在代码中,相对来说自由度高,网站内置的WAF与业务更加契合 -
WAF的主要功能
(1)WAF主要是通过内置的很多安全规则 来进行防御。
(2)防护常见的SQL注入、XSS、网页篡改、中间件漏洞等OWASP TOP10攻击行。
(3)发现攻击后,将IP进行锁定,IP锁定之后将无法访问网站业务。
(4)支持防止CC攻击,采用集中度和速率双重检测算法。 -
WAF透明代理部署模式
WAF一般支持透明代理,反向代理,旁路监控,桥模式部署模式。
透明代理部署模式支持透明串接部署方式。串接在用户网络中,可实现即插即用,无需用户更改网络设备与服务器配置。部署简单易用,应用于大部分用户网络中。
部署特点:
①.不需要改变用户网络结构,对于用户而言是透明的
②.安全防护性能强
③.故障恢复快,可支持Bypass
④.透明代理串接模式是采用最多的部署模式,防御效果好。 -
WAF反向代理模式
反向代理又分为两种模式,反向代理(代理模式)与反向代理(牵引模式)。
WAF采用反向代理模式以旁路的方式接入到网络环境中,需要更改网络防火墙的目的映射表,网络防火墙映射WAF的业务口地址,将服务器的IP地址进行隐藏。
部署特点:
①.可旁路部署,对于用户网络不透明,防护能力强
②.故障恢复时间慢,不支持Bypass,恢复时需要重新将域名或地址映射到原服务器。
③.此模式应用于复杂环境中,如设备无法直接串接的环境。
④.访问时需要先访问WAF配置的业务口地址。
⑤.支持VRRP主备 -
WAF厂商
四、安全设备–蜜罐
- 什么是蜜罐
蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁、提取威胁特征。为更好的吸引攻击者,蜜罐需要提供强悍的攻击诱骗能力。 - 蜜罐分类
依据蜜罐诱骗能力或交互能力的高低,蜜罐可分为低交互蜜罐与高交互蜜罐(在国内研究中也有低、中、高三类交互能力的分法):
低交互蜜罐: 主要通过模拟一些服务,为攻击者提供简单的交互,低交互蜜罐配置简单,可以较容易的完成部署,但是受限于交互能力,无法捕获高价值的攻击。
高交互蜜罐: 模拟了整个系统与服务,它们大多是真实的系统或设备,存在配置难、难以部署的问题。 - 蜜罐系统
蜜罐系统主要包括三部分:数据捕获、交互仿真、安全防护
交互仿真(面向攻击者):通过仿真,诱导攻击。
数据捕获(面向管理者,攻击者不可见):捕获攻击者信息和攻击代码等。
安全防护(面向管理者,攻击者不可见):防止攻击者攻陷蜜罐系统。
手段:操作权限分级、阻断、隔离
- 不同类型蜜罐工作原理
(1)垃圾邮件蜜罐
将伪造的电子邮件地址放置在隐藏位置,只有自动地址收集器才能找到它。由于该地址除了是垃圾邮件陷阱外,没有任何其他用途,因此可以100%确定发送到该地址的任何邮件都是垃圾邮件。所有与发送到垃圾邮件陷阱的邮件内容相同的邮件都可以被自动阻止,并且发件人的源 IP 可以添加到黑名单中。
(2)SQL注入蜜罐
可以设置一个诱饵数据库来监控软件漏洞,并发现利用不安全的系统架构或使用 SQL 注入、SQL 服务漏洞或滥用权限的攻击。
(3)恶意软件蜜罐
恶意软件蜜罐模仿软件应用程序和 API 来引诱恶意软件攻击。然后可以通过分析恶意软件的特征,来开发反恶意软件或封堵 API 中的漏洞。
(4)爬虫蜜罐
旨在通过创建只有网络爬虫才能访问的网页和链接来诱捕网络爬虫。检测网络爬虫可以帮助您了解如何阻止恶意机器人以及广告网络爬虫程序。
五、安全设备–隔离装置
-
物理隔离
“物理隔离”是指内部网不得直接或间接地连接公共网即国际互联网。只有使内部网和公共网“物理隔离”,才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。
-
正反向隔离
电力系统按照安全等级的要求把计算机系统分为了I、II、III等。I和II之间要有防火墙,I/II区与III区之间则要在物理上做隔离。即I/II发到III区的数据要经过正向隔离装置,III区发到I/II区的数据要经过反向隔离装置。
正向安全隔离装置
(1)两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;
(2)表示层与应用层数据完全单向传输,即从安全区III到安全区I/II的TCP应答禁止携带应用数据;
(3)透明工作方式:虚拟主机IP地址、隐藏MAC地址
(4)基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
(5)支持NAT;
(6)防止穿透性TCP联接:禁止两个应用网关之间直接建立TCP联接,将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;
(7)具有可定制的应用层解析功能,支持应用层特殊标记识别;
(8)安全、方便的维护管理方式:基于证书的管理人员认证,使用图形化的管理界面。 -
反向隔离装置
反向隔离装置用于从安全区III到安全区I/II传递数据,是安全区III到安全区I/II的唯一一个数据传递途径。反向隔离装置集中接收安全区III发向安全区I/II的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给安全区I/II内部的接收程序具体过程如下:
(1)全区III内的数据发送端首先对需要发送的数据签名,然后发给反向隔离装置;
(2)反向隔离装置接收数据后,进行签名验证,并对数据进行内容过滤、有效性检查等处理。 -
安全区I/II内部接收程序
将处理过的数据转发给安全区I/II内部的接收程序,其功能如下:
(1)有应用网关功能,实现应用数据的接收与转发;
(2)具有应用数据内容有效性检查功能;
(3)具有基于数字证书的数据签名/解签名功能;
(4)实现两个安全区之间的非网络方式的安全的数据传递;
(5)支持透明工作方式:虚拟主机IP地址、隐藏MAC地址;
(6)支持NAT;
(7)基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
(8)防止穿透性TCP联接。 -
装置安全保障要点
隔离装置本身应该具有较高的安全防护能力,其安全性要求主要包括:
(1)用非INTEL指令系统的(及兼容)微处理器;
(2)安全、固化的操作系统;
(3)不存在设计与实现上的安全漏洞,抵御除Dos以外的已知的网络攻击。 -
网络隔离装置要点
(1)一个网络隔离装置(作为阻塞点、控制点)能极大地提高一个监控系统的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过网络隔离装置,所以网络环境变得更安全。如网络隔离装置可以禁止不安全的NFS协议进出保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击监控系统。网络隔离装置同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。网络隔离装置应该可以拒绝所有以上类型攻击的报文并通知网络隔离装置管理员。
(2)通过以网络隔离装置为中心的安全方案配置,能将所有安全策略配置在网络隔离装置上。与将网络安全问题分散到各个主机上相比,网络隔离装置的集中安全管理更方便可靠。例如在网络访问时,监控系统通过加密口令/身份认证方式与其它信息系统通信,在电力监控系统基本上不可行,它意味监控系统要重新测试,因此用网络隔离装置集中控制,无需修改双端应用程序是最佳的选择。
(3)如果所有的访问都经过网络隔离装置,那么,网络隔离装置就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,网络隔离装置能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
(4)通过网络隔离装置对监控系统及其它信息系统的划分,实现监控系统重点网段的隔离,一个监控系统中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽那些透漏内部细节,例如网络隔离装置可以进行网络地址转换(NAT),这样一台主机IP地址就不会被外界所了解, 不会为外部攻击创造条件
六、安全设备–防病毒网关
- 防病毒网关概念
防病毒网关,是一种在网关的基础上,增加了保护网络功能的一种全新网关。防病毒网关具有优秀的杀毒,关键字、关键词过滤、垃圾邮件拦截的功能,同时还具有防火墙功能,路由分配功能,可以对网络内设备进行分配。 - 防病毒网关功能特点
(1)智能接入,安全可靠
和工业网关一样,防病毒网关也支持通过ADSL,光纤等多种方式宽带接入方案,可实现扩展带宽和廉价的接入,可通过路由、NAT、多链路复用及检测功能为企业解决灵活扩展带宽和廉价接入的接入方案。
(2)健康网络,应用安全
自带防火墙功能,可通过防火墙拦截病毒以及非法请求。用以保障企业的网络安全和数据的安全。还可通过DHCP服务器,ARP防火墙、DDNS等功能为企业提供全方位的局域网管理方案。
(3)移动办公,快速安全
带有的SSLVPN、IPSEC、PPTP、L2TP等VPN功能,能够让用户通过一键式操作,方便快捷的建立价格低廉的广域网上专用网络,为企业提供广域网安全业务传输通道,便利的实现了企业总部与移动工作人员、分公司、合作伙伴、产品供应商、客户间的连接,提高与分公司、客户、供应商和合作伙伴开展业务的能力。
(4)动态智能带宽管理
可通过动态智能带宽管理功能,对网络带宽进行合理分配,便于解决bt、p2p和视频等带宽问题。 - 防病毒网关与防火墙的区别
| 防病毒网关 | 防火墙 |
|---|---|
| 专注病毒过滤 | 专注访问控制 |
| 阻断病毒传输 | 控制非法授权访问 |
| 工作协议层:ISO2-7层 | 工作协议层:ISO2-4层 |
| 识别数据报IP并还远传文件 | 识别数据报IP |
| 运用病毒分析技术处理病毒 | 对比规则控制访问方向 |
| 具有防火墙访问控制功能模块 | 不具有病毒过滤功能 |
- 防病毒网关与防病毒软件的区别
| 防病毒网关 | 防病毒软件 |
|---|---|
| 基于网络层过滤病毒 | 基于操作系统病毒清除 |
| 阻断病毒体网络传输 | 清除进入操作系统病毒 |
| 网关阻断病毒传输,主动防御病毒于网络之外 | 病毒对系统核心技术滥用导致病毒清除困难研究主动防御技术 |
| 网关设备配置病毒过滤策略,方便 | 主动防御技术专业性强,普及困难 |
| 过滤出入网关的数据 | 管理安装杀毒软件终端 |
| 与杀毒软件联动建立多层次反病毒体系 | 病毒发展互联网化需要网关级反病毒技术配合 |
七、安全设备–安全运维审计系统
- 安全运维审计系统概念
运维安全管理与审计系统(俗称 “堡垒机”):是采用新一代智能运维技术框架,基于认证、授权、访问、审计的管理流程设计理念,实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计;通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能,为企事业IT中心运维构建一套事前预防、事中监控、事后审计完善的安全管理体系。 - 安全运维审计系统核心功能
(1)访问控制
通过对访问资源的严格控制,堡垒机可以确保运维人员在其账号有效权限、期限内合法访问操作资源,降低操作风险,以实现安全监管目的,保障运维操作人员的安全、合法合规、可控制性。
(2)账号管理
当运维人员在使用堡垒机时,无论是使用云主机还是局域网的主机,都可以同步导入堡垒机进行账号集中管理与密码的批量修改,并可一键批量设置SSH秘钥对等。
(3)资源授权
支持云主机、局域网主机等多种形式的主机资源授权,并且堡垒机采用基于角色的访问控制模型,能够对用户、资源、功能作用进行细致化的授权管理,解决人员众多、权限交叉、资产繁琐、各类权限复制等众多运维人员遇到的运维难题。
(4)指令审核
对运维人员的账号使用情况,包括登录、资源访问、资源使用等。针对敏感指令,堡垒机可以对非法操作进行阻断响应或触发审核的操作情况,审核未通过的敏感指令,堡垒机将进行拦截。
(5)审计录像
除了可以提供安全层面外,还可以利用堡垒机的事前权限授权、事中敏感指令拦截外,以及堡垒机事后运维审计的特性。运维人员在堡垒机中所进行的运维操作均会以日志的形式记录,管理者即通过日志对微云人员的操作进行安全审计录像。
(6)身份认证
为运维人员提供不同强度的认证方式,既可以保持原有的静态口令方式,还可以提供微信、短信等认证方式。堡垒机不仅可以实现用户认证的统一管理,还能为运维人员提供统一一致的认证门户,实现企业的信息资源访问的单点登录。
(7)操作审计
将运维人员所有操作日志集中管理与分析,不仅可以对用户行为进行监控与拦截,还可以通过集中的安全审计数据进行数据挖掘,以便于运维人员对安全事故的操作审计认定。 - 安全运维审计系统部署方式
(1)单机部署
堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。
部署特点:
旁路部署,逻辑串联。
不影响现有网络结构。
(2)HA高可靠部署
旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。用户通过堡垒机虚拟IP进行访问,堡垒机自动进行会话负载分配和数据同步、冗余存储。
部署特点:
两台硬件堡垒机,一主一备/提供VIP。
当主机出现故障时,备机自动接管服务。
八、安全设备–态势感知
- 态势感知基本概念
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
态势感知发展历程
态势感知的概念最早在军事领域被提出,覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。 - 为什么需要态势感知
一方面,如今我们面对的攻击者,已形成专业的黑色产业链,他们不仅分工明确,其所采用的攻击手段也更加先进,甚至利用上当下热门的人工智能,以便发动更具针对性的恶意攻击。攻击的专业化和利益化,引发的直接后果就是,不是你会不会被黑,而是何时会被黑,甚至说被黑了你都不知道。
另一方面,从网络安全建设来看,多年来我们一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设,虽取得了一定的成果,却也遇到发展瓶颈,需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。
显然,面对越来越专业的恶意攻击,我们已无法再用传统的边界隔离理念,日渐臃肿的攻击特征库,与对方多变的渗透技术,智能的HaaS服务,隐蔽的信道相抗衡了。因此,态势感知成为未来网络安全的关键。我们说,一次成功的渗透和攻击,包含了信息搜集、攻击尝试、移动提权、信息回传等多个过程,因此没有万无一失的筹谋,再聪明的攻击者也会留下蛛丝马迹,而我们要做的就是在“事前”发现它。 - 态势感知防御优势
检测: 提供网络安全持续监控能力,及时发现各种攻击威胁与异常,特别是针对性攻击。
分析、响应: 建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,目的是有效的安全决策和响应。
预测、预防: 建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息。
防御: 利用掌握的攻击者相关目的、技术、攻击工具等情报,完善防御体系。
应对关键性威胁: 快速发现失陷主机;全面的Web安全保障。
提升分析研判能力: 分析研判保障事件正确响应处置、逐步完善防御架构;依赖外部威胁情报和本地的流量日志进行有效的分析研判。
信息与情报共享: 实现本行业、本领域的网络安全监测预警和信息通报;研判分析和情报共享是预警、预测的基础。
履行行业监管职责: 边界流量探针、云监控和外部情报监测等优选检测手段,实现对行业的监管。 - 态势感知厂商
九、小结
本章详细的介绍了安全设备的基础知识,包括:IDS、IPS、WAF、蜜罐、隔离装置等,下一章,最终章——等保风评加固应急响应,记得来看哦!!!
