信息安全是对信息和信息系统进行保护,防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。
信息安全管理体系是人员、管理与技术三者的互动。在现在的安全因素中,安全的管理能力显得特别重要。在安全管理政策及策略下,再通过相关的技术手段来提高安全的能力。
安全能力可以分为四种:
• Protection(防护):采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和责任性。
• Detection(检测):检查系统可能存在的脆弱性。
• Response(响应):系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。
• Recovery(恢复):对危及安全的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。
内容安全威胁
• TCP/IP协议栈设计缺陷包括无数据源验证、无机密性保障以及无完整性校验。导致现今网络存在各种各样的安全威胁。其中,针对TCP/IP下四层的安全风险,一般借助简单的协议和机制便可进行防范。但是应用层的网络威胁本身的技术含量就比较高(比如说病毒、木马、系统漏洞攻击等),因而其防范难度也相对较大。
• 在目前出现的各种安全威胁当中,恶意程序(病毒与蠕虫、Bot、Rootkit、特洛依木马与后门程序、弱点攻击程序以及行动装置恶意程序)类别占有很高的比例,灰色软件(间谍/广告软件)的影响也逐渐扩大,而与犯罪程序有关的安全威胁已经成为威胁网络安全的重要因素。
• 目前用户面临的不再是传统的病毒攻击,“网络威胁”经常是融合了病毒、黑客攻击、木马、僵尸、间谍等危害等于一身的混合体,因此单靠以往的防毒或者防黑技术往往难以抵御。
应用层威胁
随着企业业务拓展,更多业务应用依赖于IT信息系统来完成。浏览网页、邮件传输是病毒、木马、间谍软件进入内网的主要途径。
• 病毒能够破坏计算机系统,纂改、损坏业务数据。
• 木马使黑客不仅可以窃取计算机上的重要信息,还可以对内网计算机破坏;间谍软件搜集、使用、并散播企业员工的敏感信息,严重干扰企业的正常业务。
• 桌面型反病毒软件难于从全局上防止病毒泛滥。
服务器漏洞给企业造成严重的安全威胁:
• 企业内网中许多应用软件可能存在漏洞。互联网使应用软件的漏洞迅速传播。
• 蠕虫利用应用软件漏洞大肆传播,消耗网络带宽,破坏重要数据。
• 黑客、恶意员工利用漏洞攻击或入侵企业服务器,业务机密被纂改、破坏和偷窃。
DDOS攻击威胁:
• 以经济利益为目标的全球黑色产业链的形成,网络上存在大量僵尸网络。不法分子的敲诈勒索,同行的恶意竞争等都有可能导致企业遭受DDoS攻击。
• 遭受DDoS攻击时,网络带宽被大量占用,网络陷于瘫痪;受攻击服务器资源被耗尽无法响应正常用户请求,严重时会造成系统死机,企业业务无法正常运行。
补丁、病毒库未及时更新(一般杀毒软件会自动更新);P2P、IM滥用给企业带宽、运营效率带来严重影响。员工不受控Web访问可能会:
• 被不安全的链接或者恶意下载植入代码,使机构成为僵尸网络或者感染病毒。
• 容易被含有欺骗信息的钓鱼网站所欺骗,泄露个人银行帐号、密码等机密信息。
• 被娱乐性内容所吸引。
• 网页中可能带有与法律相抵触的内容(如色情、暴力),给企业带来一系列法律风险。
1. 防护技术和设备
入侵防御设备 IPS
应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。
Web应用防火墙 WAF
传统Web防火墙面对当前复杂的业务流量类型处理性能有限,且只针对来自Web的攻击防护,缺乏针对来自应用系统底层漏洞的攻击特征,缺乏基于敏感业务内容的保护机制,只能提供简单的关键字过滤功能,无法对Web业务提供L2-L7层的整体安全防护。
传统的“串糖葫芦式的组合方案”
由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。
通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中,管理人员通常会遇到如下的困难:
一,有几款设备就可以看到几种攻击,但是是割裂的难以对安全日志进行统一分析;有攻击才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导客户进行安全建设;
二,有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流进行防护,在面临新的未知攻击的情况下缺乏有效防御措施,还是存在被绕过的风险。
升级版UTM与NGWF怎么样呢?
这种设备的理念是将多个功能模块集中如:FW、IPS、AV,联合起来达到统一防护,集中管理的目的。这无疑给安全建设者们提供了更新的思路。
事实证明国内市场UTM(Unified Threat Management的缩写),统一威胁管理产品确实得到用户认可,据IDC统计数据09年UTM市场增长迅速,但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB服务器的有效防护等;另外,UTM开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000人以上规模的大型企业使用。”
NGWF功能已经相当完备,然而不同的厂家生产的设备性能也不一样。大部分下一代防火墙只能看到除web攻击外的大部分攻击,极少部分下一代防火墙能够看到简单的WEB攻击,但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性;另外,大部分下一代防火墙防不住web攻击,也不对服务器/终端主动向外发起的业务流进行防护,比如信息泄露、僵尸网络等,应对未知攻击的方式比较单一,只通过简单的联动防护,仍有被绕过的风险。
网闸
安全隔离与信息交换系统简称网闸,要实现互联互通又要实现物理隔离
物理隔离:在电路上切断链路层连接,硬件隔离
互联互通:安全适度的进行应用数据交换
网闸构成:外端机—隔离设备—内端机,三合一
连接不同等级的安全区域,所以部署在内外网之间
有双向、单向网闸
各种安全功能:ips、av、访问控制等,资源管理、系统维护、日志等
防毒墙
又称病毒过滤网关系统(TopFilter),防病毒专门设备,防病毒第一道关卡,部署在网络边界,
全方位病毒防御的组成部分:纵向病毒防御与横向病毒防御
纵向病毒防御:防火墙——防病毒网关——IPS——APT检测阻拦联动
横向病毒防御:EDR终端威胁防御
防病毒网关防御深度:快速病毒查杀与深度病毒查杀。深与浅,纵横后又一个层次
主要靠特征库,特征库全、多、更新频繁。以此提高病毒检测命中率
TP:TopPolicy 集中管理
基线核查
对网络设备、安全设备、中间件、操作系统、数据库等进行自动化扫描,内置标准模板,针对等保和分保
报告展示和修复建议
旁路部署
网页防篡改,又叫网站监测与自动修复系统
工作在web层面,产品组成:管理中心 + 发布agent + 防篡改agent
特点:要在应用服务器上安装agent
工作流程:设置备份服务端或者备份服务目录,之后的更新操作都是在备份服务器或者备份目录上完成,然后再增量同步至服务端或者服务目录
监控目录与备份目录,监控目录:对外发布服务的网站目录;备份目录:对监控目录进行完全备份
被监控的目录处于保护状态,不允许对其进行修改。如果要修改,只能在备份目录下修改,然后同步
只针对静态文件,进行防篡改。
APT,又叫高级可持续威胁安全监测系统
为什么叫APT:高级、持续性、威胁
高级:高度复杂的攻击技术,如0day漏洞、病毒、爆破、木马、加密等手段,而非特定单一攻击
持续性:一段时间持续攻击,不断尝试攻击,直到进入目标系统
威胁:造成重大危害
DGA随机数生成算法,用于申请域名,随机不断变化的域名
APT产品的核心功能就是检测,其次是统计展示、防火墙等联动
态势感知
特点:面向全网态势管控
资产:所谓的资产就是指网络设备、安全设备、终端机、服务器、操作系统、中间件、数据库、打印机等具有ip属性的软硬件
探针采集数据,深度关联分析,复杂的算法、建模
旁路部署
全网态势、资产态势、威胁态势、攻击态势
上网行为管理TopACM
关键点:
1、上网权限设置,谁能上网
2、上网带宽管理,网速限制
3、上网内容管理,游戏、娱乐禁止访问
4、上网留痕,防止内部文件泄露
5、网络安全规定的其他行为,如防火墙主要功能
跟防火墙很像:访问控制策略、资源对象、NAT、VPN、各种路由功能、系统设置、日志和高可
但其独特的是:组织管理和监控管理功能
对用户和组管理,这比FW强很多
服务监控、用户监控、文件监控等,报表展示功能
智能选路,DDNS、智能DNS等
流量管理功能,多维度流控,基于地址、用户、应用等
认证功能,单点登陆
部署模式:透明网桥、路由模式和旁路模式
可以加入集中管理
安全数据交换平台
就是网闸外端机和内端机之间的交换系统,与网闸一起使用
文件同步、数据库同步、应用协议代理、音视频代理和安全功能(acl、ips、av)
安全数据交换系统与外端机和内端机使用私有加密协议交互信息
应用安全网关
就是UTM,大杂烩,啥都有,ips av fw ddos waf
网络流量分析NTA
旁路部署
可以作为探针为态势感知提供素材数据
关键功能:
态势分析:流量可视化
流量透视:业务流量可视化
性能监控:业务性能监控可视化
安全检测:安全态势可视化
回溯分析:会话记录可视化
资产分析:内网资产自动发现
ADS
组成部分:异常流量检测、一场流量清洗、设备管理控制
关键字:检测、清洗、BGP
针对DOS、DDOS、各种异常包、异常连接等行为进行防护
可以与其他设备进行联动,如ips、僵木蠕等
流量检测:通过镜像技术将流量复制一份到检测设备,如果检测到危险流量通知清晰设备
流量清洗:
流量牵引:接到通知更新BGP路由,向BGP邻居更新路由信息,目的地址是被攻击服务器,下一跳是本清洗设备;
流量回注:处理完异常流量,恢复正常后,将正常流量通过2层或者3层技术将流量回注到路由设备上。如果超时时间过后没再出现异常流量,则ADS销毁那条BGP路由,让流量按照正常路径转发。
沙箱
针对文件行为的安全检测
构成:宿主机和多个分析机,可以立即成一个服务器虚拟化。旁路部署
分析机:干净的运行环境,可以运行在window7、linux和安卓系统上,记录样本行为,反馈给宿主机
宿主机:
检测已知和未知威胁
不会主动发现样本,得由用户手动上传或第三方联动设备通过网络上传或者批量添加上传样本。
更像是一个分析工具,样本都是别人上传的,别人发现异常文件使用这个设备检测,而不是设备发现的一场文件主动检测。
蜜罐
又叫潜听威胁发现系统
基于规则库的安全防御设备在面对0day攻击时完全失效,2017年的勒索病毒就是例子
现在的技术大多采用被动防御策略
蜜罐像是存在漏洞的、暴露在网络中的服务器,目的是诱捕攻击,联动防御如态势感知
蜜罐就是有漏洞并且暴露的虚拟机,然后具有审计和联动功能
小型网络部署比较简单,多合一设备,旁路部署
大型环境,使用分布式部署,各个子网旁路部署蜜罐传感器,全部上传到管理中心进行统计分析
僵木蠕
检测端——管理端——处置端(TopTVD——TopTVDM——TopADS),依靠最新安全规则库,但面对0day攻击时此设备发挥不了作用
1935
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
