網(wǎng)絡(luò)安全監(jiān)測(cè)方案

網(wǎng)絡(luò)安全監(jiān)測(cè)方案深信服網(wǎng)絡(luò)安全監(jiān)測(cè)解決方案背景與需求分析網(wǎng)絡(luò)安全已上升到國(guó)家戰(zhàn)略，網(wǎng)絡(luò)信息安全是國(guó)家安全的重要一環(huán)，2015年7月1號(hào)頒布的《國(guó)家安全法》第二十五條指出：加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。國(guó)家《網(wǎng)絡(luò)安全法》草案已經(jīng)發(fā)布，正式的法律預(yù)計(jì)不久后也會(huì)正式頒布。保障網(wǎng)絡(luò)安全，不僅是國(guó)家的義務(wù)，也是企業(yè)和組織機(jī)構(gòu)的責(zé)任。對(duì)于企業(yè)來(lái)說(shuō)，保障網(wǎng)絡(luò)信息安全，防止網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、違法信息發(fā)布，不僅能維護(hù)自身經(jīng)濟(jì)發(fā)展利益，還能避免法律風(fēng)險(xiǎn)，減少社會(huì)信譽(yù)損失。Gartner認(rèn)為，未來(lái)企業(yè)安全將發(fā)生很大的轉(zhuǎn)變，傳統(tǒng)的安全手段無(wú)法防范APT等高級(jí)定向攻擊，如果沒(méi)有集體共享的威脅和攻擊情報(bào)監(jiān)測(cè)，將很難全方位的保護(hù)自己網(wǎng)絡(luò)安全。因此過(guò)去單純以被動(dòng)防范的安全策略將會(huì)過(guò)時(shí)，全方位的安全監(jiān)控和情報(bào)共享將成為信息安全的重要手段。因此，僅僅依靠防護(hù)體系不足以應(yīng)對(duì)安全威脅，企業(yè)需要建立全面的監(jiān)測(cè)機(jī)制，擴(kuò)大監(jiān)控的深度和寬度，加強(qiáng)事件的響應(yīng)能力。安全監(jiān)測(cè)和響應(yīng)能力將成為企業(yè)安全能力的關(guān)鍵，在新的安全形勢(shì)下，企業(yè)需要更加關(guān)注威脅監(jiān)控和綜合性分析的價(jià)值，使信息安全保障逐步由傳統(tǒng)的被動(dòng)防護(hù)轉(zhuǎn)向“監(jiān)測(cè)-響應(yīng)式”的主動(dòng)防御，實(shí)現(xiàn)信息安全保障向著完整、聯(lián)動(dòng)、可信、快速響應(yīng)的綜合防御體系發(fā)展。然而，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備更多關(guān)注網(wǎng)絡(luò)層風(fēng)險(xiǎn)及基于已知特征的被動(dòng)保護(hù)，缺乏對(duì)各種系統(tǒng)、軟件的漏洞后門(mén)有效監(jiān)測(cè)，缺乏對(duì)流量?jī)?nèi)容的深度分析及未知威脅有效識(shí)別，不具備多維全面的安全風(fēng)險(xiǎn)監(jiān)測(cè)響應(yīng)機(jī)制，已不能滿足新形勢(shì)下網(wǎng)絡(luò)安全的需求。深信服網(wǎng)絡(luò)安全監(jiān)測(cè)解決方案網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第1頁(yè)。深信服創(chuàng)新性的推出了網(wǎng)絡(luò)安全監(jiān)測(cè)解決方案，該方案面向未來(lái)的安全需求設(shè)計(jì)，幫助企業(yè)實(shí)現(xiàn)多層次、全方位、全網(wǎng)絡(luò)的立體網(wǎng)絡(luò)安全監(jiān)測(cè)。該方案主要采用了深信服下一代防火墻NGAF作為監(jiān)測(cè)節(jié)點(diǎn)，通過(guò)對(duì)應(yīng)用狀態(tài)、數(shù)據(jù)內(nèi)容、用戶行為等多個(gè)維度的全方位安全監(jiān)測(cè)，并結(jié)合深信服云安全中心海量威脅情報(bào)快速共享機(jī)制，幫助企業(yè)構(gòu)建立體化、主動(dòng)化、智能化綜合安全監(jiān)測(cè)防御體系，有效彌補(bǔ)了傳統(tǒng)安全設(shè)備只能防護(hù)已知常規(guī)威脅的被動(dòng)局面，實(shí)現(xiàn)了安全風(fēng)險(xiǎn)全面識(shí)別和快速響應(yīng)。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第1頁(yè)。實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅內(nèi)容的全面監(jiān)測(cè)，幫助用戶深度的了解和評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，是深信服下一代防火墻（NGAF）設(shè)計(jì)目的之一。NGAF能夠深入分析流量?jī)?nèi)容，有效識(shí)別網(wǎng)絡(luò)中的用戶、應(yīng)用、內(nèi)容和威脅。NGAF提供了更加全面的安全威脅監(jiān)測(cè)能力，除了傳統(tǒng)的黑名單、木馬病毒特征簽名檢測(cè)外，還提供了實(shí)時(shí)漏洞監(jiān)測(cè)、僵尸主機(jī)監(jiān)測(cè)、數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)、黑鏈風(fēng)險(xiǎn)監(jiān)測(cè)、對(duì)外DoS攻擊等多種威脅監(jiān)測(cè)，全面滿足網(wǎng)絡(luò)安全監(jiān)測(cè)和防御體系建設(shè)的需求。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第2頁(yè)。NGAF可以旁路部署在網(wǎng)絡(luò)中，通過(guò)將相關(guān)業(yè)務(wù)數(shù)據(jù)流鏡像到下一代防火墻進(jìn)行實(shí)時(shí)監(jiān)測(cè)，該方式對(duì)用戶業(yè)務(wù)系統(tǒng)的完整性、可用性可以做到零影響。NGAF能夠協(xié)助用戶進(jìn)行業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，并結(jié)合黑客攻擊行為進(jìn)行關(guān)聯(lián)分析，幫助用戶找到真正存在風(fēng)險(xiǎn)的薄弱環(huán)節(jié)。NGAF也可以串接在網(wǎng)絡(luò)中在線監(jiān)測(cè)，實(shí)時(shí)監(jiān)控入侵、漏洞、僵尸主機(jī)、數(shù)據(jù)泄漏、黑鏈等安全風(fēng)險(xiǎn)，并提供專業(yè)的安全風(fēng)險(xiǎn)運(yùn)維加固參考方案，助您快速實(shí)現(xiàn)自助化安全運(yùn)維。配合使用NGAF的外置數(shù)據(jù)中心，您可以將監(jiān)測(cè)設(shè)備的安全日志集中存儲(chǔ)和匯總分析，外置數(shù)據(jù)中心能夠給出監(jiān)測(cè)設(shè)備當(dāng)前網(wǎng)絡(luò)環(huán)境的安全概況、最近的攻擊事件詳情、漏洞詳情，并支持綜合日志查詢功能，可以查詢監(jiān)測(cè)到的多種類型安全日志。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第2頁(yè)。NGAF可以將監(jiān)測(cè)到的安全風(fēng)險(xiǎn)在WEB頁(yè)面展現(xiàn)，大部分威脅類型都可以在NGAF設(shè)備頁(yè)面的系統(tǒng)狀態(tài)查看到，進(jìn)一步點(diǎn)擊進(jìn)去還能看到每一類風(fēng)險(xiǎn)的詳細(xì)信息，并且提供了客觀的威脅描述及參考解決方案。入侵風(fēng)險(xiǎn)監(jiān)測(cè)NGAF提供了入侵風(fēng)險(xiǎn)監(jiān)測(cè)功能，能夠自動(dòng)收集被保護(hù)網(wǎng)絡(luò)遭受到的入侵風(fēng)險(xiǎn)狀況，并基于今天、昨天、最近7天分別展示。入侵風(fēng)險(xiǎn)包含了多維的風(fēng)險(xiǎn)類型，包括WEBSHELL、XSS攻擊、SQL注入、信息泄露、惡意鏈接、網(wǎng)站掃描、DNS漏洞攻擊、FTP漏洞攻擊、系統(tǒng)漏洞攻擊、后門(mén)漏洞攻擊等。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第3頁(yè)。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第3頁(yè)。登錄NGAF設(shè)備就能看到系統(tǒng)狀態(tài)中的入侵風(fēng)險(xiǎn)情況（如上圖），進(jìn)一步點(diǎn)擊入侵風(fēng)險(xiǎn)，還能看到詳細(xì)的入侵風(fēng)險(xiǎn)狀況，包括入侵風(fēng)險(xiǎn)的類型TOP10、入侵風(fēng)險(xiǎn)排行詳情、每種攻擊的數(shù)量、有效攻擊數(shù)量、攻擊類型、被攻擊IP等信息，如果配置了深信服外置數(shù)據(jù)中心，還能進(jìn)一步看到每個(gè)攻擊的詳細(xì)信息，包括源IP、目的IP、時(shí)間、類型、攻擊描述等詳細(xì)的入侵信息，并能夠?qū)С鋈罩拘畔⒑瓦M(jìn)行分類查詢等操作。僵尸主機(jī)監(jiān)測(cè)NGAF能有效識(shí)別出那些因感染了蠕蟲(chóng)、木馬等病毒而被黑客控制的僵尸主機(jī)。攻擊者可通過(guò)控制僵尸主機(jī)進(jìn)行DoS攻擊、APT攻擊等各種類型的攻擊，以達(dá)到致使用戶網(wǎng)絡(luò)或重要應(yīng)用系統(tǒng)癱瘓、竊取用戶機(jī)密業(yè)務(wù)數(shù)據(jù)等目的。登錄NGAF設(shè)備就能看到系統(tǒng)狀態(tài)中的僵尸主機(jī)情況（如上圖），包含了TOP5的僵尸主機(jī)IP地址和風(fēng)險(xiǎn)行為類型及數(shù)量。進(jìn)一步點(diǎn)擊僵尸主機(jī)，還能看到詳細(xì)的僵尸主機(jī)風(fēng)險(xiǎn)狀況，包括僵尸主機(jī)風(fēng)險(xiǎn)類型和數(shù)量，具有僵尸主機(jī)行為的主機(jī)IP，主機(jī)所在區(qū)域，活躍行為次數(shù)，最近活躍時(shí)間，風(fēng)險(xiǎn)行為描述等。此外，還提供了危害影響描述及推薦的解決方案實(shí)時(shí)漏洞監(jiān)測(cè)網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第4頁(yè)。NGAF提供了實(shí)時(shí)漏洞發(fā)現(xiàn)功能，可以對(duì)經(jīng)過(guò)設(shè)備的流量進(jìn)行實(shí)時(shí)漏洞風(fēng)險(xiǎn)分析，它的最大優(yōu)勢(shì)就在于能實(shí)時(shí)發(fā)現(xiàn)客戶網(wǎng)絡(luò)環(huán)境的安全缺陷，且不會(huì)給網(wǎng)絡(luò)產(chǎn)生額外的流量。實(shí)時(shí)漏洞檢測(cè)功能能夠發(fā)現(xiàn)主機(jī)、服務(wù)和應(yīng)用的安全漏洞，如底層軟件漏洞、Web應(yīng)用風(fēng)險(xiǎn)、插件漏洞、Web不安全配置、弱口令等安全缺陷。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第4頁(yè)。點(diǎn)擊進(jìn)入實(shí)時(shí)漏洞風(fēng)險(xiǎn)頁(yè)面，還能看到漏洞風(fēng)險(xiǎn)的服務(wù)器總數(shù)和漏洞風(fēng)險(xiǎn)總數(shù)排行前10的服務(wù)器域名/IP，發(fā)現(xiàn)詳情，漏洞風(fēng)險(xiǎn)概況。針對(duì)單個(gè)服務(wù)器IP，給出了檢測(cè)到的詳細(xì)漏洞信息，如漏洞類型，數(shù)量，描述，危害等級(jí)等信息。深信服還創(chuàng)新性的將實(shí)時(shí)漏洞檢測(cè)和入侵攻擊風(fēng)險(xiǎn)進(jìn)行結(jié)合，從海量的攻擊日志中快速識(shí)別出真正對(duì)用戶業(yè)務(wù)系統(tǒng)有危害的“有效攻擊”，從而大大減少安全運(yùn)維的動(dòng)作工作，讓IT人員將更多的精力放在有效威脅的防護(hù)上面。數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)主要是為了發(fā)現(xiàn)和阻止一些重要信息資源泄漏。數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)包含了源代碼泄漏、重要配置泄漏、敏感信息泄漏、賬號(hào)信息泄漏、其他信息泄漏的監(jiān)測(cè)。賬號(hào)、源代碼、重要資源文件等敏感信息的泄露不但會(huì)給用戶造成損失，黑客還可利用這些信息對(duì)內(nèi)網(wǎng)中重要的業(yè)務(wù)系統(tǒng)進(jìn)行滲透攻擊，進(jìn)一步竊取用戶單位中更機(jī)密的核心數(shù)據(jù)。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第5頁(yè)。點(diǎn)擊進(jìn)入數(shù)據(jù)風(fēng)險(xiǎn)頁(yè)面，還能看到數(shù)據(jù)風(fēng)險(xiǎn)詳細(xì)信息，如風(fēng)險(xiǎn)類型和數(shù)量，危害影響，參考解決方案，數(shù)據(jù)風(fēng)險(xiǎn)詳情等。在數(shù)據(jù)風(fēng)險(xiǎn)詳情里面，還能看到具體的服務(wù)器風(fēng)險(xiǎn)信息和防護(hù)情況等。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第5頁(yè)。黑鏈風(fēng)險(xiǎn)監(jiān)測(cè)NGAF提供黑鏈檢測(cè)功能，黑鏈的本質(zhì)是一種網(wǎng)頁(yè)篡改。攻擊者通過(guò)利用網(wǎng)站存在的程序漏洞上傳或獲取網(wǎng)站的WEBSHELL后門(mén)，進(jìn)而篡改網(wǎng)站內(nèi)容并植入黑鏈。黑鏈不會(huì)顯現(xiàn)在網(wǎng)頁(yè)上，只有在網(wǎng)頁(yè)代碼中才能看到鏈接。攻擊者可在網(wǎng)站中添加賭博、色情等黑鏈，用戶的對(duì)外業(yè)務(wù)將受到嚴(yán)重影響，還會(huì)面臨網(wǎng)站被降權(quán)或者受到相關(guān)部門(mén)通報(bào)的風(fēng)險(xiǎn)。NGAF黑鏈檢測(cè)能夠?qū)l(fā)現(xiàn)黑鏈的網(wǎng)站域名/IP及被植入的黑鏈類型實(shí)時(shí)顯示出來(lái)。點(diǎn)擊進(jìn)入黑鏈風(fēng)險(xiǎn)頁(yè)面，還能看到黑鏈風(fēng)險(xiǎn)詳細(xì)信息，如黑鏈類型分布、危害影響、參考解決方案、風(fēng)險(xiǎn)主機(jī)排行等。在風(fēng)險(xiǎn)主機(jī)排行信息中，能夠看到風(fēng)險(xiǎn)主機(jī)被發(fā)現(xiàn)的黑鏈頁(yè)面，黑鏈類型，風(fēng)險(xiǎn)概況，黑鏈詳細(xì)信息，發(fā)現(xiàn)時(shí)間，植入黑鏈的頁(yè)面總數(shù)。對(duì)外DoS攻擊監(jiān)測(cè)網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第6頁(yè)。NGAF能夠?qū)崟r(shí)檢測(cè)內(nèi)部主機(jī)對(duì)外的DoS攻擊，DoS攻擊判定的本質(zhì)是該訪問(wèn)行為是異常流量。對(duì)外發(fā)起DoS攻擊的內(nèi)網(wǎng)主機(jī)很可能感染了病毒，并已被黑客控制。內(nèi)網(wǎng)外發(fā)的DoS攻擊將會(huì)造成嚴(yán)重的網(wǎng)絡(luò)擁堵，導(dǎo)致用戶業(yè)務(wù)中斷，也會(huì)影響被攻擊網(wǎng)絡(luò)的業(yè)務(wù)的正常運(yùn)行，甚至因此而受到網(wǎng)絡(luò)監(jiān)管部門(mén)的通報(bào)，甚至承擔(dān)法律責(zé)任。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第6頁(yè)。NGAF能夠?qū)崟r(shí)檢測(cè)并記錄對(duì)外的DoS攻擊情況。點(diǎn)擊進(jìn)入對(duì)外DoS攻擊頁(yè)面，還能看到內(nèi)網(wǎng)主機(jī)對(duì)外發(fā)起DoS攻擊的詳細(xì)信息，如對(duì)外攻擊TOP5主機(jī)信息，對(duì)外攻擊詳情，危害影響，參考解決方案。對(duì)外攻擊詳情還包括單個(gè)攻擊的開(kāi)始時(shí)間，持續(xù)時(shí)間，攻擊者IP，被攻擊者IP，并能夠結(jié)合外置數(shù)據(jù)中心看到攻擊日志詳情。威脅情報(bào)預(yù)警與處置一些存在范圍廣、危害破壞大的高危漏洞給我們的網(wǎng)絡(luò)安全造成巨大的隱患，如OpenSSL心臟滴血漏洞、Bash破殼漏洞、微軟IIS高危漏洞等。為了解決高危漏洞爆發(fā)后快速幫助用戶修復(fù)和保護(hù)這些漏洞威脅，深信服在NGAF設(shè)備上專門(mén)設(shè)置了一個(gè)威脅情報(bào)預(yù)警與處置模塊。該模塊能夠和深信服云安全引擎平臺(tái)聯(lián)動(dòng)，深信服云中心能夠在熱點(diǎn)安全事件爆發(fā)后的48小時(shí)內(nèi)提供完整的0Day漏洞檢測(cè)和防護(hù)方案，并推送給NGAF設(shè)備，NGAF可自動(dòng)對(duì)被保護(hù)對(duì)象進(jìn)行掃描檢測(cè)，并對(duì)掃描發(fā)現(xiàn)的熱點(diǎn)威脅提供一鍵防護(hù)功能，用戶只需按動(dòng)一鍵防護(hù)按鈕，設(shè)備即可自動(dòng)生成針對(duì)所有被發(fā)現(xiàn)的威脅的防護(hù)策略。截至2015年8月，深信服NGAF已推出了以下類型的威脅情報(bào)預(yù)警與處置方案。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第7頁(yè)。網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第7頁(yè)。待處理問(wèn)題對(duì)于監(jiān)測(cè)發(fā)現(xiàn)的重要安全問(wèn)題，NGAF還會(huì)生成待處理問(wèn)題列表，提醒用戶及時(shí)修復(fù)安全問(wèn)題。點(diǎn)擊具體的待處理問(wèn)題，還能看到這些問(wèn)題的風(fēng)險(xiǎn)提示，還可以進(jìn)一步查看風(fēng)險(xiǎn)問(wèn)題詳情，詳情中有對(duì)問(wèn)題的詳細(xì)描述及建議的解決方案，用戶只需要參照解決方案提示步驟，即可快速完成這些安全問(wèn)題的修復(fù)。此外，深信服云安全中心會(huì)實(shí)時(shí)同步最新的安全威脅識(shí)別特征到NGAF設(shè)備上，實(shí)現(xiàn)了海量的威脅情報(bào)快速共享。當(dāng)單個(gè)NGAF發(fā)現(xiàn)了無(wú)法實(shí)時(shí)確認(rèn)的可疑內(nèi)容，就會(huì)同步上報(bào)到深信服安全云中心，云中心通過(guò)虛擬沙盒演練等方法進(jìn)行判定，一旦確認(rèn)是威脅行為，將快速生成識(shí)別特征并下發(fā)到全球在線的NGAF設(shè)備上，基于這些技術(shù)手段，NGAF能夠準(zhǔn)確識(shí)別未知威脅和APT攻擊。深信服NGAF全面專業(yè)的深度內(nèi)容“監(jiān)測(cè)-響應(yīng)”體系，能夠?qū)崿F(xiàn)多層次、全方位、全網(wǎng)絡(luò)的立體網(wǎng)絡(luò)安全監(jiān)測(cè)，實(shí)現(xiàn)立體化、主動(dòng)化、智能化綜合安全防御，有效幫助客戶構(gòu)建完整、聯(lián)動(dòng)、可信、快速響應(yīng)的綜合防御系統(tǒng)。深信服方案價(jià)值積極主動(dòng)發(fā)現(xiàn)安全問(wèn)題，提升安全部門(mén)價(jià)值；提供自助式、智能化運(yùn)維方法，改變傳統(tǒng)被動(dòng)滯后的運(yùn)維狀態(tài)；網(wǎng)絡(luò)安全監(jiān)測(cè)方案全文共9頁(yè)，當(dāng)前為第8頁(yè)。威脅識(shí)別更全面，實(shí)現(xiàn)完整、宏觀