IDC安全管控系統(tǒng)及業(yè)務(wù)平臺(tái)

1、IDC安全管理系統(tǒng)及業(yè)務(wù)平臺(tái)EverGuard /EverOne恒安嘉新 2012年10月 目錄背景與需求一IDC安全管控系統(tǒng)EverGuard三IDC安全業(yè)務(wù)平臺(tái)EverOne二工信部文件中對(duì)工信部文件中對(duì)IDC管控系統(tǒng)的建設(shè)要求管控系統(tǒng)的建設(shè)要求p 280號(hào)文，明確指出要求建立IDC管控系統(tǒng)，“實(shí)現(xiàn)通信管理部門與當(dāng)?shù)豂DC、ISP企業(yè)的信息聯(lián)動(dòng)，能夠?qū)DC、ISP所接入網(wǎng)站進(jìn)行動(dòng)態(tài)采集統(tǒng)計(jì)。應(yīng)急狀態(tài)下可對(duì)IDC、ISP所接入有害網(wǎng)站進(jìn)行定位和關(guān)閉。對(duì)所接入網(wǎng)站和上網(wǎng)用戶進(jìn)行溯源?！眕 564號(hào)文，“明確由江蘇江蘇、天津、安徽、山東、河北五省作為第一批試點(diǎn)地區(qū)，各基礎(chǔ)電信企業(yè)要認(rèn)真按照當(dāng)?shù)?/p>

2、通信管理部門的工作部署，加大工作力度，加強(qiáng)組織協(xié)調(diào)，保障企業(yè)側(cè)建設(shè)經(jīng)費(fèi)盡快到位，加快工作進(jìn)展。各基礎(chǔ)電信企業(yè)要加強(qiáng)統(tǒng)籌，認(rèn)真做好機(jī)房等配套準(zhǔn)備工作。”傳統(tǒng)防護(hù)設(shè)備對(duì)傳統(tǒng)防護(hù)設(shè)備對(duì)IDC局限性局限性IDC防火墻只提供訪問接入控制，應(yīng)用層防御能力有限。IDS/DLP采用并聯(lián)接入模式，無(wú)法及時(shí)阻斷安全事件，也無(wú)法及時(shí)阻斷安全事件，也無(wú)法發(fā)現(xiàn)隱藏在木馬流量中無(wú)法發(fā)現(xiàn)隱藏在木馬流量中的安全事件的安全事件。流量控制設(shè)備提供網(wǎng)絡(luò)和應(yīng)用層流量管控，擴(kuò)展性低。重要重要IDC安全需要建設(shè)針對(duì)海量數(shù)據(jù)流量的應(yīng)用層深度安全需要建設(shè)針對(duì)海量數(shù)據(jù)流量的應(yīng)用層深度安全檢測(cè)、控制和阻斷平臺(tái)。安全檢測(cè)、控制和阻斷平臺(tái)。僅依靠旁

3、路監(jiān)測(cè)無(wú)僅依靠旁路監(jiān)測(cè)無(wú)法及時(shí)阻止安全事法及時(shí)阻止安全事件的發(fā)生！件的發(fā)生！無(wú)法防護(hù)安全攻擊，無(wú)法防護(hù)安全攻擊，實(shí)現(xiàn)一站式防護(hù)！實(shí)現(xiàn)一站式防護(hù)！目錄背景與需求一IDC安全管控系統(tǒng)EverGuard三IDC安全業(yè)務(wù)平臺(tái)EverOne二安全分析封堵控制鏈路鏈路安全分析封堵控制鏈路鏈路傳統(tǒng)方案A傳統(tǒng)方案B封堵控制鏈路鏈路恒安嘉新方案軟件定義安全分析優(yōu)點(diǎn)：1、適合大流量數(shù)據(jù)分析 2、不容易造成單點(diǎn)故障缺點(diǎn)：1、控制和管理的效果不理想優(yōu)點(diǎn)：1、控制和管理的效果好缺點(diǎn)：1、容易造成單點(diǎn)故障恒安嘉新IDC管控平臺(tái)方案，結(jié)合以上兩種方案的優(yōu)點(diǎn)，并彌補(bǔ)上述缺點(diǎn)恒安嘉新恒安嘉新IDC 安全防護(hù)安全防護(hù)-EverG

4、uard恒安嘉新恒安嘉新IDC安全防護(hù)安全防護(hù)-EverGuard并接檢測(cè)與串接阻斷相結(jié)合的并接檢測(cè)與串接阻斷相結(jié)合的IDCIDC安全管控系統(tǒng)安全管控系統(tǒng)p 為IDC監(jiān)管定制的安全監(jiān)控系統(tǒng)。p 適用于運(yùn)營(yíng)IDC各種出口等各種網(wǎng)絡(luò)環(huán)境。p 檢測(cè)與阻斷相結(jié)合，有效發(fā)現(xiàn)和避免安全事件。p 運(yùn)營(yíng)商安全需求、業(yè)務(wù)擴(kuò)展性相結(jié)合的一站式解決方案。 恒安嘉新網(wǎng)絡(luò)IDC安全管控系統(tǒng)通過在IDC網(wǎng)絡(luò)出口處對(duì)雙向網(wǎng)絡(luò)流量進(jìn)行智能化深度分智能化深度分析析，將網(wǎng)絡(luò)流量和行為精確映射至特征規(guī)則，精準(zhǔn)、有效檢測(cè)和阻斷檢測(cè)和阻斷監(jiān)控區(qū)域內(nèi)的用戶行為、安全攻擊和木馬病毒行為，并能精確追追溯事件源頭并跟蹤記錄其所有的操作行為溯事

5、件源頭并跟蹤記錄其所有的操作行為。EverGuard系統(tǒng)部署架構(gòu)系統(tǒng)部署架構(gòu)LB：串接到網(wǎng)絡(luò)中，并對(duì)eTM提供負(fù)載均衡。支持對(duì)eTM等進(jìn)行健康檢查。eTM：并接到網(wǎng)絡(luò)中，實(shí)現(xiàn)數(shù)據(jù)安全事件的阻斷。接收來自eControl的策略和控制指令。eDPI：對(duì)網(wǎng)絡(luò)流量進(jìn)行智能化深度分析；向eControl下發(fā)策略和控制指令。IDC 內(nèi)網(wǎng)IDC Internet出口網(wǎng)絡(luò)eControl：集中管理平臺(tái)，提供統(tǒng)一管理入口和視圖。制定和下發(fā)檢測(cè)和封堵策略。基于串接阻斷檢測(cè)相分離基于串接阻斷檢測(cè)相分離IDC管控實(shí)際網(wǎng)絡(luò)部署和配置管控實(shí)際網(wǎng)絡(luò)部署和配置串接層通過獨(dú)立的串接設(shè)備(LB)串接，保證網(wǎng)絡(luò)安全和當(dāng)故障發(fā)生的時(shí)

6、候與控制設(shè)備分離控制層通過獨(dú)立的控制設(shè)備(eTM) 進(jìn)行五元組控制，讓控制變成 了一個(gè)獨(dú)立簡(jiǎn)單的單元，與分析設(shè)備eDPI配合可以實(shí)現(xiàn)任意協(xié)議和訪問的控制分析層通過獨(dú)立旁路的分析設(shè)備，可以靈活分析任意應(yīng)用通過下發(fā)指令來實(shí)現(xiàn)控制該技術(shù)為國(guó)家關(guān)防技術(shù)LBLBeTMeTMeDPIeDPIeControleControl1.串接入網(wǎng)絡(luò)，提供1GE/10GE/FE接口。2.把數(shù)據(jù)先流轉(zhuǎn)到eTM后，再由eTM送回LB。 3. 針對(duì)eTM 做物理和邏輯的健康檢查，出現(xiàn)故障立即bypass.1.實(shí)時(shí)分析和識(shí)別用戶各類上網(wǎng)行為。2.實(shí)時(shí)分析和識(shí)別網(wǎng)絡(luò)流量?jī)?nèi)各種類型傳輸?shù)暮诵臄?shù)據(jù)。3.實(shí)時(shí)分析和識(shí)別木馬、病毒和僵尸

7、網(wǎng)絡(luò)行為。4.支持應(yīng)用層深度智能分析。5.支持日志留存記錄和查詢。1.統(tǒng)一的管理和查詢平臺(tái)。2.支持百萬(wàn)級(jí)控制策略。3.策略生效時(shí)間為毫秒級(jí)延遲。4.支持對(duì)接集團(tuán)集中管控平臺(tái)。1. 把流量復(fù)制到eDPI 用于數(shù)據(jù)分析。2.提供封堵模塊，支持IP 5元組和協(xié)議封堵或永久封堵。3.提供通信接口，與eControl進(jìn)行通信，并獲取封堵的策略。 EverGuard平臺(tái)邏輯組件平臺(tái)邏輯組件EverGuard管控分析流程管控分析流程基于基于9元元組組全流量存全流量存儲(chǔ)儲(chǔ)全流量采集全流量采集安全流量安全流量IP/協(xié)議協(xié)議分析分析漏洞攻漏洞攻擊分析擊分析僵木蠕僵木蠕文件級(jí)文件級(jí)分析分析信安信安內(nèi)容級(jí)內(nèi)容級(jí)分析

8、分析HTTPFTPSMTPPOP3IMIP分析分析收發(fā)方分析收發(fā)方分析時(shí)間分析時(shí)間分析頻率分析頻率分析系統(tǒng)核心功能系統(tǒng)核心功能(1) - 信息安全管控信息安全管控IDC信息安全管理接口IP/域名備案系統(tǒng)互聯(lián)網(wǎng)指揮平臺(tái)向SMCC傳遞管控指令向指揮平臺(tái)提供訪問日志超鏈地址調(diào)用部備案系統(tǒng)接口，返回對(duì)應(yīng)備案狀態(tài)信息互聯(lián)網(wǎng)綜合管理平臺(tái)調(diào)用綜合管理平臺(tái)網(wǎng)站分類接口，返回網(wǎng)站分類信息機(jī)房?jī)?nèi)域名/IP地址輸出至綜合管理平臺(tái)企業(yè)資源管理系統(tǒng)傳遞機(jī)房設(shè)備、用戶信息至IDC管控平臺(tái)1、基礎(chǔ)資源管理、基礎(chǔ)資源管理 實(shí)時(shí)獲取機(jī)房?jī)?nèi)的域名、網(wǎng)站、IP等信息，并發(fā)現(xiàn)其中超范圍運(yùn)行、備案信息虛假等情況。2、信息監(jiān)測(cè)、信息監(jiān)測(cè)

9、 能實(shí)時(shí)監(jiān)測(cè)IDC機(jī)房?jī)?nèi)域名、URL、IP、端口、協(xié)議、網(wǎng)頁(yè)內(nèi)容等信息?？商峁┍O(jiān)測(cè)結(jié)果至“管控模塊”，進(jìn)行進(jìn)一步的封堵處理。 3、封堵管控、封堵管控 能實(shí)時(shí)封堵域名、URL、未備案網(wǎng)站、IP、端口、協(xié)議等，應(yīng)急狀態(tài)下可實(shí)現(xiàn)區(qū)域管控。4、數(shù)據(jù)查詢、數(shù)據(jù)查詢 提供網(wǎng)站訪問、BBS發(fā)帖審計(jì)等日志查詢。系統(tǒng)核心功能系統(tǒng)核心功能(2) - 信息安全管控信息安全管控p 工信部已發(fā)布相關(guān)信息安全技術(shù)規(guī)范，并在江蘇、山東、天津等五省試點(diǎn)，并將結(jié)合IDC資質(zhì)的發(fā)放和更新結(jié)合一起并入IDC建設(shè)要求中。系統(tǒng)核心功能系統(tǒng)核心功能(2)- - 僵木蠕監(jiān)控僵木蠕監(jiān)控p 根據(jù)CnCERT發(fā)布的2011年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全分

10、析報(bào)告，2011年，境內(nèi)共有8895123個(gè)IP地址的主機(jī)被植入木馬或僵尸程序，數(shù)量較2010增幅分別達(dá)到了78.5%。其中，廣東省、江蘇省、浙江省廣東省、江蘇省、浙江省居于木馬或僵尸程序受控主機(jī)IP絕對(duì)數(shù)量前3位。中國(guó)已經(jīng)成為僵中國(guó)已經(jīng)成為僵尸木馬感染的重尸木馬感染的重災(zāi)區(qū)！災(zāi)區(qū)！發(fā)現(xiàn)正在遭受的零日攻擊發(fā)現(xiàn)記錄追查追蹤追蹤出攻擊的源頭對(duì)攻擊行為進(jìn)行記錄追查出攻擊行為的目標(biāo)和目的發(fā)現(xiàn)：可發(fā)現(xiàn)正在遭受的0day攻擊等攻擊記錄：對(duì)攻擊行為進(jìn)行記錄追查：對(duì)攻擊目的和目標(biāo)進(jìn)行追查追蹤：可追蹤和追查出攻擊源頭國(guó)內(nèi)唯一一家提供0-Day木馬防范木馬防范7000多個(gè)流行木馬樣本依托CNCERT大網(wǎng)僵木蠕蟲樣

11、本庫(kù)p 僵尸肉雞、木馬、蠕蟲病毒已經(jīng)成為IDC托管主機(jī)的重要安全威脅。p 依托國(guó)家安全中心CNCERT的大網(wǎng)僵木蠕病毒庫(kù)和引擎，十余年成果積累，國(guó)內(nèi)最權(quán)威、最尖端的木馬檢測(cè)。系統(tǒng)核心功能系統(tǒng)核心功能(2)-僵木蠕監(jiān)控僵木蠕監(jiān)控系統(tǒng)核心功能系統(tǒng)核心功能 (3)-基于國(guó)家漏洞庫(kù)的安全防護(hù)基于國(guó)家漏洞庫(kù)的安全防護(hù)n 涵蓋符合行業(yè)特點(diǎn)的Web漏洞n 覆蓋OWASP Top10 Web安全風(fēng)險(xiǎn)n 大于300條漏洞規(guī)則n 符合行業(yè)的弱口令字典n 根據(jù)CNVD漏洞庫(kù)持續(xù)漏洞更新正常流量正常流量CRM漏洞漏洞Sql注入注入流量流量流量分析流量分析協(xié)議分析協(xié)議分析攻擊分析攻擊分析內(nèi)容分析內(nèi)容分析系統(tǒng)核心功能系統(tǒng)

12、核心功能 (4)-協(xié)議日志事后追溯協(xié)議日志事后追溯p 任何系統(tǒng)都無(wú)法徹底杜絕安全事件的發(fā)生。p 安全應(yīng)建立“事前防范事前防范- -事中監(jiān)控（阻斷）事中監(jiān)控（阻斷）- -事后追溯事后追溯”的防護(hù)體系。p 恒安嘉新網(wǎng)絡(luò)IDC安全管控系統(tǒng)采用全流量采集技術(shù)采用全流量采集技術(shù)，將網(wǎng)絡(luò)全部上行（或上下行）流量全部采集，并基于基于9 9元組對(duì)訪問時(shí)間、結(jié)束時(shí)間、源元組對(duì)訪問時(shí)間、結(jié)束時(shí)間、源IPIP、源端口、源端口、目的目的IPIP、目的端口、目的、目的端口、目的URLURL、協(xié)議、報(bào)文內(nèi)容進(jìn)行日志留存、協(xié)議、報(bào)文內(nèi)容進(jìn)行日志留存。p 一旦發(fā)生未監(jiān)控到的安全事件，可以在留存的日志中通過各種查詢條件查詢事前

13、防范事前防范事中監(jiān)控（阻事中監(jiān)控（阻斷）斷）事后追溯事后追溯技術(shù)特點(diǎn)技術(shù)特點(diǎn)-高可用性直通技術(shù)確保網(wǎng)絡(luò)安全高可用性直通技術(shù)確保網(wǎng)絡(luò)安全p 系統(tǒng)支持設(shè)備直通技術(shù)，徹底解決串聯(lián)方式可能帶來的單點(diǎn)故障問題。p 直通技術(shù)包括三種：自身掉電直通、eTM掉電直通、對(duì)方設(shè)備邏輯BYPASS直通。p LB與eTM直通的時(shí)間間隔以毫秒計(jì)算，對(duì)用戶的感受沒有任何的影響。p LB與eTM之間不需要單獨(dú)的心跳線，通過發(fā)送健康檢查包實(shí)現(xiàn)。自身掉電自身掉電直通直通設(shè)備邏輯設(shè)備邏輯Bypass直通直通eTM掉電掉電直通直通技術(shù)特點(diǎn)技術(shù)特點(diǎn)分析與阻斷相分離實(shí)現(xiàn)安全軟件定義分析與阻斷相分離實(shí)現(xiàn)安全軟件定義串并結(jié)合的IDC安全管

14、控系統(tǒng)eTM負(fù)責(zé)對(duì)數(shù)據(jù)事件阻斷ePDI負(fù)責(zé)對(duì)數(shù)據(jù)事件分析并定義阻斷事件檢測(cè)檢測(cè)阻斷阻斷技術(shù)特點(diǎn)技術(shù)特點(diǎn)-高線速實(shí)時(shí)處理高線速實(shí)時(shí)處理線速處理能力線速處理能力p 碼流匹配技術(shù)碼流匹配技術(shù)：一次數(shù)據(jù)、多種規(guī)則、一次匹配。p 零拷貝技術(shù)零拷貝技術(shù)：零拷貝在某節(jié)點(diǎn)的報(bào)文收發(fā)過程中不會(huì)出現(xiàn)任何內(nèi)存中的拷貝。發(fā)送實(shí)時(shí)數(shù)據(jù)包由應(yīng)用程序的用戶緩沖區(qū)直接經(jīng)過網(wǎng)絡(luò)接口到達(dá)外部網(wǎng)絡(luò)，接收時(shí)網(wǎng)絡(luò)接口直接將數(shù)據(jù)包送入用戶緩沖區(qū)。 p 并行協(xié)議棧還原技術(shù)并行協(xié)議棧還原技術(shù)：采用多線程技術(shù)將捕獲的以太網(wǎng)數(shù)據(jù)報(bào)文還原成應(yīng)用層數(shù)據(jù)進(jìn)行高效分析處理的技術(shù)。 p 專用芯片專用芯片：大大提升處理性能。 并行協(xié)議棧并行協(xié)議棧還原技術(shù)還

15、原技術(shù)碼流匹配碼流匹配技術(shù)技術(shù)零拷貝零拷貝技術(shù)技術(shù)專用芯片專用芯片系統(tǒng)外部接口系統(tǒng)外部接口可定制的接口可定制的接口其他接口其他接口：支持遠(yuǎn)程配置/特征等的更新接口；支持與現(xiàn)網(wǎng)文檔安全系統(tǒng)、SOC系統(tǒng)等的接口。與受控網(wǎng)絡(luò)的接口與受控網(wǎng)絡(luò)的接口：通過光口或電口獲得受控網(wǎng)絡(luò)的流量數(shù)據(jù)，該接口獲得鏈路雙向數(shù)據(jù)，不對(duì)外部發(fā)送任何數(shù)據(jù)。與管理與管理平臺(tái)平臺(tái)的接口的接口：支持通過Json、Webservice、FTP等協(xié)議與集團(tuán)側(cè)集中平臺(tái)實(shí)現(xiàn)對(duì)接和通信。與云平臺(tái)的接口與云平臺(tái)的接口：支持向云平臺(tái)提交監(jiān)測(cè)數(shù)據(jù)和監(jiān)測(cè)結(jié)果，支持云存儲(chǔ)。硬件配置硬件配置設(shè)備設(shè)備名稱名稱設(shè)備設(shè)備型號(hào)型號(hào)設(shè)備設(shè)備描述描述串串接設(shè)備接設(shè)

16、備Perseus LB用于串接入網(wǎng)絡(luò)內(nèi)，具備bypass分流等功能，含原廠一年7*24服務(wù)控制設(shè)備控制設(shè)備Perseus eTMES2000 （ES 2U機(jī)箱、24口。含原廠一年7*24服務(wù)）分析設(shè)備分析設(shè)備Perseus eDPIES2000 （ES 2U機(jī)箱、E5410 4核CPU、8G內(nèi)存、1T硬盤、IS401A 加速采集卡、12個(gè)SFP光口/千兆電口。含原廠一年7*24服務(wù)）管理設(shè)備管理設(shè)備eControl/ePortalHP DL385G7（AMD Opteron（皓龍）機(jī)型 6172處理器（2*12 核，2.1 GHz，12MB 三級(jí)高速緩存，80 瓦），24Gmem，2*146G

17、 disk，共4網(wǎng)口）產(chǎn)品優(yōu)勢(shì)產(chǎn)品優(yōu)勢(shì)關(guān)注點(diǎn)關(guān)注點(diǎn)恒安嘉新智能管控恒安嘉新智能管控方案方案流控方案流控方案旁路方案旁路方案是否支持有害信息封堵支持實(shí)時(shí)發(fā)現(xiàn)和阻斷，并且只針對(duì)該用戶Session阻斷暫不支持部分支持。UDP管控力度差壓縮網(wǎng)頁(yè)gzip支持暫不支持較難是否支持虛擬賬號(hào)封堵除了頁(yè)面以外，支持SMTP/ POP3/FTP等協(xié)議賬號(hào)只能頁(yè)面訪問的虛擬賬號(hào)關(guān)鍵詞較難支持，同時(shí)管控力度差安全性LB串接設(shè)備滿足自身掉電、對(duì)接設(shè)備掉電、應(yīng)用邏輯錯(cuò)誤等自動(dòng)切換倒回原來鏈路新增的協(xié)議或者監(jiān)控要求帶來設(shè)備的穩(wěn)定性較難保證相對(duì)安全靈活性eDPI靈活支持任意協(xié)議或者管控要求的開發(fā)需求新增的協(xié)議艱難做穩(wěn)定僅能

18、TCP RST， 其他協(xié)議分析也很難管控實(shí)施案例實(shí)施案例-案例案例1（節(jié)點(diǎn)機(jī)房）（節(jié)點(diǎn)機(jī)房）實(shí)施案例實(shí)施案例-案例案例2（集中管控）（集中管控）系統(tǒng)界面（系統(tǒng)界面（1）系統(tǒng)界面（2）目錄背景與需求一IDC安全管控系統(tǒng)EverGuard三IDC安全業(yè)務(wù)平臺(tái)EverOne二 與與IDC安全管控系統(tǒng)聯(lián)動(dòng)業(yè)務(wù)平臺(tái)安全管控系統(tǒng)聯(lián)動(dòng)業(yè)務(wù)平臺(tái) - EverOnen 與IDC安全系統(tǒng)無(wú)縫聯(lián)動(dòng)n 一鍵修復(fù)漏洞n 攻擊防護(hù)n 云WAFn 防火墻n 防病毒網(wǎng)關(guān)n 安全團(tuán)隊(duì)專屬服務(wù)n 日志分析挖掘p 安全不再是負(fù)擔(dān)，設(shè)備不僅僅是投資p 架設(shè)在IDC安全管控系統(tǒng)之上的增值業(yè)務(wù)平臺(tái)EverOne通過增和設(shè)備能力來提供安全服務(wù)，包括漏洞提醒、漏洞一鍵修復(fù)、云WAF等安全功能p 由于采用軟件定義安全模式，非常方便擴(kuò)展和提供業(yè)務(wù) 與與IDC安全管控系統(tǒng)聯(lián)動(dòng)業(yè)務(wù)平臺(tái)安全管控系統(tǒng)聯(lián)動(dòng)業(yè)務(wù)平臺(tái) -EverOne快速接入快速接入-注冊(cè)即用的云掃描服務(wù)注冊(cè)即用的云掃描服務(wù)n 免安裝維護(hù)n 十分鐘快速接入n 實(shí)時(shí)了解安全狀況n 云掃描引擎n 漏洞第一時(shí)間更新管理為核心設(shè)計(jì)管理為核心設(shè)計(jì)-網(wǎng)站的編外安全管理員網(wǎng)站的編外安