IDC安全管理及業(yè)務管理知識系統(tǒng)平臺(共38頁).ppt

1、IDC安全管理系統(tǒng)及業(yè)務平臺EverGuard /EverOne恒安嘉新 2012年10月 目錄背景與需求一IDC安全管控系統(tǒng)EverGuard三IDC安全業(yè)務平臺EverOne二工信部文件中對工信部文件中對IDC管控系統(tǒng)的建設要求管控系統(tǒng)的建設要求p 280號文，明確指出要求建立IDC管控系統(tǒng)，“實現(xiàn)通信管理部門與當?shù)豂DC、ISP企業(yè)的信息聯(lián)動，能夠?qū)DC、ISP所接入網(wǎng)站進行動態(tài)采集統(tǒng)計。應急狀態(tài)下可對IDC、ISP所接入有害網(wǎng)站進行定位和關閉。對所接入網(wǎng)站和上網(wǎng)用戶進行溯源?！眕 564號文，“明確由江蘇江蘇、天津、安徽、山東、河北五省作為第一批試點地區(qū)，各基礎電信企業(yè)要認真按照當?shù)?/p>

2、通信管理部門的工作部署，加大工作力度，加強組織協(xié)調(diào)，保障企業(yè)側(cè)建設經(jīng)費盡快到位，加快工作進展。各基礎電信企業(yè)要加強統(tǒng)籌，認真做好機房等配套準備工作。”傳統(tǒng)防護設備對傳統(tǒng)防護設備對IDC局限性局限性IDC防火墻只提供訪問接入控制，應用層防御能力有限。IDS/DLP采用并聯(lián)接入模式，無法及時阻斷安全事件，也無法及時阻斷安全事件，也無法發(fā)現(xiàn)隱藏在木馬流量中無法發(fā)現(xiàn)隱藏在木馬流量中的安全事件的安全事件。流量控制設備提供網(wǎng)絡和應用層流量管控，擴展性低。重要重要IDC安全需要建設針對海量數(shù)據(jù)流量的應用層深度安全需要建設針對海量數(shù)據(jù)流量的應用層深度安全檢測、控制和阻斷平臺。安全檢測、控制和阻斷平臺。僅依靠旁

3、路監(jiān)測無僅依靠旁路監(jiān)測無法及時阻止安全事法及時阻止安全事件的發(fā)生！件的發(fā)生！無法防護安全攻擊，無法防護安全攻擊，實現(xiàn)一站式防護！實現(xiàn)一站式防護！目錄背景與需求一IDC安全管控系統(tǒng)EverGuard三IDC安全業(yè)務平臺EverOne二安全分析封堵控制鏈路鏈路安全分析封堵控制鏈路鏈路傳統(tǒng)方案A傳統(tǒng)方案B封堵控制鏈路鏈路恒安嘉新方案軟件定義安全分析優(yōu)點：1、適合大流量數(shù)據(jù)分析 2、不容易造成單點故障缺點：1、控制和管理的效果不理想優(yōu)點：1、控制和管理的效果好缺點：1、容易造成單點故障恒安嘉新IDC管控平臺方案，結(jié)合以上兩種方案的優(yōu)點，并彌補上述缺點恒安嘉新恒安嘉新IDC 安全防護安全防護-EverG

4、uard恒安嘉新恒安嘉新IDC安全防護安全防護-EverGuard并接檢測與串接阻斷相結(jié)合的并接檢測與串接阻斷相結(jié)合的IDCIDC安全管控系統(tǒng)安全管控系統(tǒng)p 為IDC監(jiān)管定制的安全監(jiān)控系統(tǒng)。p 適用于運營IDC各種出口等各種網(wǎng)絡環(huán)境。p 檢測與阻斷相結(jié)合，有效發(fā)現(xiàn)和避免安全事件。p 運營商安全需求、業(yè)務擴展性相結(jié)合的一站式解決方案。 恒安嘉新網(wǎng)絡IDC安全管控系統(tǒng)通過在IDC網(wǎng)絡出口處對雙向網(wǎng)絡流量進行智能化深度分智能化深度分析析，將網(wǎng)絡流量和行為精確映射至特征規(guī)則，精準、有效檢測和阻斷檢測和阻斷監(jiān)控區(qū)域內(nèi)的用戶行為、安全攻擊和木馬病毒行為，并能精確追追溯事件源頭并跟蹤記錄其所有的操作行為溯事

5、件源頭并跟蹤記錄其所有的操作行為。EverGuard系統(tǒng)部署架構(gòu)系統(tǒng)部署架構(gòu)LB：串接到網(wǎng)絡中，并對eTM提供負載均衡。支持對eTM等進行健康檢查。eTM：并接到網(wǎng)絡中，實現(xiàn)數(shù)據(jù)安全事件的阻斷。接收來自eControl的策略和控制指令。eDPI：對網(wǎng)絡流量進行智能化深度分析；向eControl下發(fā)策略和控制指令。eControl：集中管理平臺，提供統(tǒng)一管理入口和視圖。制定和下發(fā)檢測和封堵策略?；诖幼钄鄼z測相分離基于串接阻斷檢測相分離IDC管控實際網(wǎng)絡部署和配置管控實際網(wǎng)絡部署和配置串接層通過獨立的串接設備(LB)串接，保證網(wǎng)絡安全和當故障發(fā)生的時候與控制設備分離控制層通過獨立的控制設備(e

6、TM) 進行五元組控制，讓控制變成 了一個獨立簡單的單元，與分析設備eDPI配合可以實現(xiàn)任意協(xié)議和訪問的控制分析層通過獨立旁路的分析設備，可以靈活分析任意應用通過下發(fā)指令來實現(xiàn)控制該技術為國家關防技術LBLBeTMeTMeDPIeDPIeControleControl1.串接入網(wǎng)絡，提供1GE/10GE/FE接口。2.把數(shù)據(jù)先流轉(zhuǎn)到eTM后，再由eTM送回LB。 3. 針對eTM 做物理和邏輯的健康檢查，出現(xiàn)故障立即bypass.1.實時分析和識別用戶各類上網(wǎng)行為。2.實時分析和識別網(wǎng)絡流量內(nèi)各種類型傳輸?shù)暮诵臄?shù)據(jù)。3.實時分析和識別木馬、病毒和僵尸網(wǎng)絡行為。4.支持應用層深度智能分析。5.支

7、持日志留存記錄和查詢。1.統(tǒng)一的管理和查詢平臺。2.支持百萬級控制策略。3.策略生效時間為毫秒級延遲。4.支持對接集團集中管控平臺。1. 把流量復制到eDPI 用于數(shù)據(jù)分析。2.提供封堵模塊，支持IP 5元組和協(xié)議封堵或永久封堵。3.提供通信接口，與eControl進行通信，并獲取封堵的策略。 EverGuard平臺邏輯組件平臺邏輯組件EverGuard管控分析流程管控分析流程基于基于9元元組組全流量存全流量存儲儲全流量采集全流量采集安全流量安全流量IP/協(xié)議協(xié)議分析分析漏洞攻漏洞攻擊分析擊分析僵木蠕僵木蠕文件級文件級分析分析信安信安內(nèi)容級內(nèi)容級分析分析HTTPFTPSMTPPOP3IMIP分

8、析分析收發(fā)方分析收發(fā)方分析時間分析時間分析頻率分析頻率分析系統(tǒng)核心功能系統(tǒng)核心功能(1) - 信息安全管控信息安全管控IDC信息安全管理接口IP/域名備案系統(tǒng)互聯(lián)網(wǎng)指揮平臺向SMCC傳遞管控指令向指揮平臺提供訪問日志超鏈地址調(diào)用部備案系統(tǒng)接口，返回對應備案狀態(tài)信息互聯(lián)網(wǎng)綜合管理平臺調(diào)用綜合管理平臺網(wǎng)站分類接口，返回網(wǎng)站分類信息機房內(nèi)域名/IP地址輸出至綜合管理平臺企業(yè)資源管理系統(tǒng)傳遞機房設備、用戶信息至IDC管控平臺1、基礎資源管理、基礎資源管理 實時獲取機房內(nèi)的域名、網(wǎng)站、IP等信息，并發(fā)現(xiàn)其中超范圍運行、備案信息虛假等情況。2、信息監(jiān)測、信息監(jiān)測 能實時監(jiān)測IDC機房內(nèi)域名、URL、IP、

9、端口、協(xié)議、網(wǎng)頁內(nèi)容等信息?？商峁┍O(jiān)測結(jié)果至“管控模塊”，進行進一步的封堵處理。 3、封堵管控、封堵管控 能實時封堵域名、URL、未備案網(wǎng)站、IP、端口、協(xié)議等，應急狀態(tài)下可實現(xiàn)區(qū)域管控。4、數(shù)據(jù)查詢、數(shù)據(jù)查詢 提供網(wǎng)站訪問、BBS發(fā)帖審計等日志查詢。系統(tǒng)核心功能系統(tǒng)核心功能(2) - 信息安全管控信息安全管控p 工信部已發(fā)布相關信息安全技術規(guī)范，并在江蘇、山東、天津等五省試點，并將結(jié)合IDC資質(zhì)的發(fā)放和更新結(jié)合一起并入IDC建設要求中。系統(tǒng)核心功能系統(tǒng)核心功能(2)- - 僵木蠕監(jiān)控僵木蠕監(jiān)控p 根據(jù)CnCERT發(fā)布的2011年中國互聯(lián)網(wǎng)網(wǎng)絡安全分析報告，2011年，境內(nèi)共有8895123個

10、IP地址的主機被植入木馬或僵尸程序，數(shù)量較2010增幅分別達到了78.5%。其中，廣東省、江蘇省、浙江省廣東省、江蘇省、浙江省居于木馬或僵尸程序受控主機IP絕對數(shù)量前3位。中國已經(jīng)成為僵中國已經(jīng)成為僵尸木馬感染的重尸木馬感染的重災區(qū)！災區(qū)！發(fā)現(xiàn)正在遭受的零日攻擊發(fā)現(xiàn)記錄追查追蹤追蹤出攻擊的源頭對攻擊行為進行記錄追查出攻擊行為的目標和目的發(fā)現(xiàn)：可發(fā)現(xiàn)正在遭受的0day攻擊等攻擊記錄：對攻擊行為進行記錄追查：對攻擊目的和目標進行追查追蹤：可追蹤和追查出攻擊源頭國內(nèi)唯一一家提供0-Day木馬防范木馬防范7000多個流行木馬樣本依托CNCERT大網(wǎng)僵木蠕蟲樣本庫p 僵尸肉雞、木馬、蠕蟲病毒已經(jīng)成為ID

11、C托管主機的重要安全威脅。p 依托國家安全中心CNCERT的大網(wǎng)僵木蠕病毒庫和引擎，十余年成果積累，國內(nèi)最權(quán)威、最尖端的木馬檢測。系統(tǒng)核心功能系統(tǒng)核心功能(2)-僵木蠕監(jiān)控僵木蠕監(jiān)控系統(tǒng)核心功能系統(tǒng)核心功能 (3)-基于國家漏洞庫的安全防護基于國家漏洞庫的安全防護n 涵蓋符合行業(yè)特點的Web漏洞n 覆蓋OWASP Top10 Web安全風險n 大于300條漏洞規(guī)則n 符合行業(yè)的弱口令字典n 根據(jù)CNVD漏洞庫持續(xù)漏洞更新正常流量正常流量CRM漏洞漏洞Sql注入注入流量流量流量分析流量分析協(xié)議分析協(xié)議分析攻擊分析攻擊分析內(nèi)容分析內(nèi)容分析系統(tǒng)核心功能系統(tǒng)核心功能 (4)-協(xié)議日志事后追溯協(xié)議日志事

12、后追溯p 任何系統(tǒng)都無法徹底杜絕安全事件的發(fā)生。p 安全應建立“事前防范事前防范- -事中監(jiān)控（阻斷）事中監(jiān)控（阻斷）- -事后追溯事后追溯”的防護體系。p 恒安嘉新網(wǎng)絡IDC安全管控系統(tǒng)采用全流量采集技術采用全流量采集技術，將網(wǎng)絡全部上行（或上下行）流量全部采集，并基于基于9 9元組對訪問時間、結(jié)束時間、源元組對訪問時間、結(jié)束時間、源IPIP、源端口、源端口、目的目的IPIP、目的端口、目的、目的端口、目的URLURL、協(xié)議、報文內(nèi)容進行日志留存、協(xié)議、報文內(nèi)容進行日志留存。p 一旦發(fā)生未監(jiān)控到的安全事件，可以在留存的日志中通過各種查詢條件查詢Source IP:22

13、 Source Port: 6553Des IP: Des Port:8080Des URL: App Protocol: http postContent: ziseyysuiwe38952titile20120829的技術報告的技術報告unicom內(nèi)網(wǎng)安內(nèi)網(wǎng)安全技術報告全技術報告.doc技術特點技術特點-高可用性直通技術確保網(wǎng)絡安全高可用性直通技術確保網(wǎng)絡安全p 系統(tǒng)支持設備直通技術，徹底解決串聯(lián)方式可能帶來的單點故障問題。p 直通技術包括三種：自身掉電直通、eTM掉電直通、對方設備邏輯BYPASS直通。p LB與eTM直通的時間間隔以毫秒計算，對用戶的感受沒有任何

14、的影響。p LB與eTM之間不需要單獨的心跳線，通過發(fā)送健康檢查包實現(xiàn)。自身掉電自身掉電直通直通設備邏輯設備邏輯Bypass直通直通eTM掉電掉電直通直通技術特點技術特點分析與阻斷相分離實現(xiàn)安全軟件定義分析與阻斷相分離實現(xiàn)安全軟件定義串并結(jié)合的IDC安全管控系統(tǒng)eTM負責對數(shù)據(jù)事件阻斷ePDI負責對數(shù)據(jù)事件分析并定義阻斷事件檢測檢測阻斷阻斷技術特點技術特點-高線速實時處理高線速實時處理線速處理能力線速處理能力p 碼流匹配技術碼流匹配技術：一次數(shù)據(jù)、多種規(guī)則、一次匹配。p 零拷貝技術零拷貝技術：零拷貝在某節(jié)點的報文收發(fā)過程中不會出現(xiàn)任何內(nèi)存中的拷貝。發(fā)送實時數(shù)據(jù)包由應用程序的用戶緩沖區(qū)直接經(jīng)過網(wǎng)

15、絡接口到達外部網(wǎng)絡，接收時網(wǎng)絡接口直接將數(shù)據(jù)包送入用戶緩沖區(qū)。 p 并行協(xié)議棧還原技術并行協(xié)議棧還原技術：采用多線程技術將捕獲的以太網(wǎng)數(shù)據(jù)報文還原成應用層數(shù)據(jù)進行高效分析處理的技術。 p 專用芯片專用芯片：大大提升處理性能。 并行協(xié)議棧并行協(xié)議棧還原技術還原技術碼流匹配碼流匹配技術技術零拷貝零拷貝技術技術專用芯片專用芯片系統(tǒng)外部接口系統(tǒng)外部接口可定制的接口可定制的接口其他接口其他接口：支持遠程配置/特征等的更新接口；支持與現(xiàn)網(wǎng)文檔安全系統(tǒng)、SOC系統(tǒng)等的接口。與受控網(wǎng)絡的接口與受控網(wǎng)絡的接口：通過光口或電口獲得受控網(wǎng)絡的流量數(shù)據(jù)，該接口獲得鏈路雙向數(shù)據(jù)，不對外部發(fā)送任何數(shù)據(jù)。與管理與管理平臺平

16、臺的接口的接口：支持通過Json、Webservice、FTP等協(xié)議與集團側(cè)集中平臺實現(xiàn)對接和通信。與云平臺的接口與云平臺的接口：支持向云平臺提交監(jiān)測數(shù)據(jù)和監(jiān)測結(jié)果，支持云存儲。硬件配置硬件配置設備名稱設備型號設備描述串接設備Perseus LB用于串接入網(wǎng)絡內(nèi)，具備bypass分流等功能，含原廠一年7*24服務控制設備Perseus eTMES2000 （ES 2U機箱、24口。含原廠一年7*24服務）分析設備Perseus eDPIES2000 （ES 2U機箱、E5410 4核CPU、8G內(nèi)存、1T硬盤、IS401A 加速采集卡、12個SFP光口/千兆電口。含原廠一年7*24服務）管理設

17、備eControl/ePortalHP DL385G7（AMD Opteron（皓龍）機型 6172處理器（2*12 核，2.1 GHz，12MB 三級高速緩存，80 瓦），24Gmem，2*146G disk，共4網(wǎng)口）產(chǎn)品優(yōu)勢產(chǎn)品優(yōu)勢關注點關注點恒安嘉新智能管控恒安嘉新智能管控方案方案流控方案流控方案旁路方案旁路方案是否支持有害信息封堵支持實時發(fā)現(xiàn)和阻斷，并且只針對該用戶Session阻斷暫不支持部分支持。UDP管控力度差壓縮網(wǎng)頁gzip支持暫不支持較難是否支持虛擬賬號封堵除了頁面以外，支持SMTP/ POP3/FTP等協(xié)議賬號只能頁面訪問的虛擬賬號關鍵詞較難支持，同時管控力度差安全性LB

18、串接設備滿足自身掉電、對接設備掉電、應用邏輯錯誤等自動切換倒回原來鏈路新增的協(xié)議或者監(jiān)控要求帶來設備的穩(wěn)定性較難保證相對安全靈活性eDPI靈活支持任意協(xié)議或者管控要求的開發(fā)需求新增的協(xié)議艱難做穩(wěn)定僅能TCP RST， 其他協(xié)議分析也很難管控實施案例實施案例-案例案例1（節(jié)點機房）（節(jié)點機房）實施案例實施案例-案例案例2（集中管控）（集中管控）系統(tǒng)界面（系統(tǒng)界面（1）系統(tǒng)界面（2）目錄背景與需求一IDC安全管控系統(tǒng)EverGuard三IDC安全業(yè)務平臺EverOne二 與與IDC安全管控系統(tǒng)聯(lián)動業(yè)務平臺安全管控系統(tǒng)聯(lián)動業(yè)務平臺 - EverOnen 與IDC安全系統(tǒng)無縫聯(lián)動n 一鍵修復漏洞n 攻擊防護n 云WAFn 防火墻n 防病毒網(wǎng)關n 安全團隊專屬服務n 日志分析挖掘p 安全不再是負擔，設備不僅僅是投資p 架設在IDC安全管控系統(tǒng)之上的增值業(yè)務平臺EverOne通過增和設備能力來提供安全服務，包括漏洞提醒、漏洞一鍵修復、云WAF等安全功能p 由于采用軟件定義安全模式，非常方便擴展和提供業(yè)務 與與IDC安全管控系統(tǒng)聯(lián)動業(yè)務平臺安全管控系統(tǒng)聯(lián)動業(yè)務平臺 -EverOne快速接入快速接入-注冊即用的云掃描服務注冊即用的云掃描服務n 免安裝維護n 十分鐘快速接入n 實時了解安全狀況n 云掃描引擎n 漏洞第一時間更新管理為核心設計管理為核心設計-網(wǎng)站的編外安全管理員網(wǎng)