2)、完善的报表功能:提供多种专业化报表和分析图表
5、支持多种报警响应方式 邮件报警:
1)阻断
2)TOPSEC联动
6.灵活全面的审计策略、采集策略:
1)关键词策略。
2)流量监控策略
3)报警响应策略。
4)统计分析策略
7.高速、完整、海量信息处理能力
1)零拷贝高速抓包
2)分布式数据采集、数据处理
3)强大的包重组和流重组能力,可以监控各种基于协议碎片的逃避检测行为。
8.支持多种编码、压缩格式
1)支持多种编码方式:Base64、Quoted-Printable、UTF-7、UTF-8
2)支持多种压缩格式:Zip、Rar、Arj、Gz等。
9.资源监控、日志功能
1)系统资源实时监控
2)提供完整的操作日志、系统日志记录,可以进行方便的查看、导入导出。
3)多级用户管理,按照功能——角色——用户三级进行权限控制
4)用户友好的管理,查看界面
5)便捷的的部署方式,支持分布式部署。
涉及的关键技术点
1、引擎
在引擎上使用裁减过的Linux操作系统,在截包时候使用“零拷贝技术”,对数据进行IP包重组,流重组后,按照会话(session)归类,形成一个基本分析,传递给数据中心。
易出现的问题:
1)当处理速度不够的时候,丢包,造成IP包不完整或者会话不完整,数据丢失。
2)“零拷贝”在协议栈的哪层实现效果更好。
3)硬件选择问题。
2、数据中心
数据中心把从引擎得到的数据在内存中组为大块数据,写要硬盘,对每个会话所在文件的索引以及会话动作与内容的特性写到数据库中。
易出现的问题:
1)服务器的选型决定硬盘读写速度,硬盘读写速度将是整个系统的瓶镜。写速度慢,则会造成来不及处理引擎传递的数据,造成引擎内存满,丢包或者死机。
2)海量数据的存储问题,如果策略制定不得当,200G硬盘将很快添满,需要合理的方式预防这一问题。分布式无疑是一种合理的选择,但是还涉及技术性的难题。
3)数据还原时机。在引擎传递数据的瞬间做数据还原,会降低接受数据的性能,而且会造成存储文件的增大。因此可以考虑在用户请求查看的时候还原数据。
4)用户查询关键字的效率问题。由前一条问题确定的,在用户访问数据时候做数据还原并缓存,这对查询是一个很大的问题,用户将有可能等待很长的一段时间才能得到返回结果。解决方法:使用Ajax技术,在服务器操作的过程中,对进度向用户提示,防止用户以为系统故障。
5)操作系统和数据库选型。数据中心可用平台有很多,但是数据库的性能也将和磁盘性能一样,会成为另一个系统的瓶颈所在。
3、管理中心
用户使用WEB浏览器可以实现对整个系统的管理、使用。考虑到用户使用的方便性和部署的便捷性,应该使用B/S架构的WEB浏览器方式。
易出现的问题:
1)用户界面的扩展性问题。 2)权限控制问题。考虑功能——角色——用户三级的权限控制方式。
拓展话题
安全审计的另一分支:对入侵检测、防火墙、各应用服务器、病毒防护软件等安全产品的海量日志做统计分析,从其中找到用户关心的数据。
和当前的“安全管理平台”所管理的内容类似,但是功能要多的多,其定位为“集中监管、海量审计”。“安全管理平台”是一个操作性的管理平台,而审计系统能提供网络事件的综合性分析以及统计报表的功能,还应该能为网管提供直观而参考意义的数据。
堡垒机
一、什么是运维安全管理与审计系统
运维安全管理与审计系统(俗称 “堡垒机”):是采用新一代智能运维技术框架,基于认证、授权、访问、审计的管理流程设计理念,实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计;通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能,为企事业IT中心运维构建一套事前预防、事中监控、事后审计完善的安全管理体系。
简单的说,运维安全管理与审计系统(堡垒机)就是用来控制哪些人可以登录哪些资产(事先防范和控制),以及录像记录登录资产后做了什么事情(事中监控和事后溯源)的系统。其核心是可控及审计。可控是指权限可控、行为可控。权限可控指可以方便的设置、回收运维操作人员的权限;行为可控,比如需要集中禁用某个危险命令;可审计,指有权限操作的人员对资产的所有操作都有记录,能够被监控和审计。
二、为什么需要运维安全管理与审计系统
当企业的IT资产越来越多,当参与运维的岗位越来越多样性,运维团队达到一定的规模,不同的人员如运维人员、开发人员、第三方代维、厂商支撑人员需要控制访问不同的资产及权限,如果没有一套好的机制,就会产生混乱。无法有效的做到“哪些人允许以什么样的身份访问哪些设备”,更没办法知道“哪些人登录设备后做了哪些事情”,出问题后无法回溯。
运维安全管理与审计系统(堡垒机)是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。跳板机是一台unix/linux/windows操作系统的服务器,所有运维人员都需要先远程登录跳板机,然后再从跳板机登录其他服务器中进行运维操作。
跳板机解决了远程登录集中管理访问的问题,但跳板机并没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作等事故,而且很难定位原因和责任人。此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。同时,对于个别资源(如telnet)可以通过跳板机来完成一定的内控,但是对于更多更特殊的资源(ftp、rdp等)来讲就显得力不从心了。
人们逐渐认识到跳板机的不足,进而需要更新、更好的安全技术理念来实现运维操作管理。需要能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性的产品。在这些理念的指导下,2005年前后,运维安全管理与审计系统(堡垒机)开始以一个独立产品形态被广泛部署,有效地降低了运维操作风险,使得运维操作管理变得更简单、更安全。
运维安全管理与审计系统(堡垒机)承担了运维人员在运维过程中唯一的入口,通过精细化授权以明确“哪些人以什么身份访问了哪些设备”,从而让运维混乱变得有序起来,堡垒机不仅可以明确每一个运维人员的访问路径,还可以将每一次访问及操作过程变得可以“审计”,就像飞机中的黑匣子,汽车上的行车记录仪,能够做到针对运维人员的每次一操作均可以录像、全程审计,一但出了问题,可以追踪溯源。
运维安全管理与审计系统的目标可以概括为5W,主要是为了降低运维风险。具体如下:
1)审计:你做了什么?(What)
2)授权:你能做哪些?(Which)
3)账号:你要去哪?(Where)
4)认证:你是谁?(Who)
5)来源:访问时间?(When)
运维安全管理与审计系统实现:(作用)
事前预防:建立“自然人-资源-资源账号”关系,实现统一认证和授权
事中控制:建立“自然人-操作-资源”关系,实现操作审计和控制
事后审计:建立“自然人-资源-审计日志”关系,实现事后溯源和责任界定
三、运维安全管理与审计系统原理
原理: 运维安全管理与审计系统(堡垒机),主要采用4A管理模型,是一个对IT运维操作进行访问控制和行为审计的合规性管控系统。
主要用来解决企业IT运维部门账号管理混乱,身份冒用、滥用,授权控制不明确,操作行为不规范,事件责任无法定位等问题。
4A 是指
认证 Authentication、
授权 Authorization、
账号 Account、
审计 Audit,
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
-blog.csdnimg.cn/15c1192cad414044b4dd41f3df44433d.png)
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-kmob3Hds-1712798751368)]
490
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
