绝对值得收藏的“信息安全产品全介绍”
上篇文章中主要阐述了信息安全体系基本架构,文章结尾处,简单说了一下信息安全产品的分类。有很多小伙伴给我私信说"能不能具体介绍一下目前主流的安全产品方案"。"好的,今天我就以本文详细阐述一下常见的主流安全产品各自的特点和所解决的安全隐患"。
本篇文章绝对值得收藏,请对信息安全感兴趣的小伙伴一定要读完和收藏哦!
安全产品的制造者都源于安全厂商,所以我们就按照安全厂商产品分类主要可以分为:物理安全、网络安全、主机安全、应用安全、数据安全、安全管理。
由于产品过多,咱们主要针对主流安全产品进行阐述。
一、 物理安全产品采用一定信息计算实现的,用以保护环境、设备、设施以及介质免遭物理破坏的产品。
1、 存储介质粉碎机
针对存储介质,存储信息量大,使用寿命长,已经成为涉密单位工作不可或缺的一部分。多数人删除数据采用DEL键直接删除,或使用相关软件对存储介质进行清零覆盖或单格式化分区处理。而从技术的角度分析,所有简单删除的信息依然会存储于介质内,使用专业的数据恢复工具都可以被恢复。对于一些重要敏感信息,需要及时彻底删除,然后存储介质才可以继续安全使用。由于我们平时信任的伪删除并不能真正彻底安全删除信息,所以简单删除后继续使用的存储介质成为严重的泄密源。鉴于以上情形,诞生了直接可以销毁要淘汰的介质机器。
功能:
销毁介质:硬盘、软盘、磁带、光盘、U盘等
特性:
适合粉碎光盘、U盘、软盘和IC卡等介质,粉碎机集挤压、拉伸、切割等作用力于一体,通过二次碾压技术对介质进行彻底粉碎
适用场景:
涉密办公场景,资料等信息需要严格保密的环境。
物理安全这里还有很多安全产品,大多数都是涉密场景适用的,采用的都是物理手段,例如:电磁屏蔽机柜、手机屏蔽柜、保密文件柜、视频干扰器、手机屏蔽袋等等。
二、 网络安全产品部署在网络设备或通信终端上,用于监测、保护网络通信,保障网络通信的保密性、完整性和可用性的产品。
1、 防火墙
定义:防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
主要功能:
1) 过滤进、出网络的数据
2) 防止不安全的协议和服务
3) 管理进、出网络的访问行为
4) 记录通过防火墙的信息内容
5) 对网络攻击进行检测与警告
6) 防止外部对内部网络信息的获取
7) 提供与外部连接的集中管理
主要类型:
1) 网络层防火墙
一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包,其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
2) 应用层防火墙
针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。
3) 下一代防火墙(NGFW)
主要是一款全面应对应用层威胁的高性能防火墙。可以做到智能化主动防御、应用层数据防泄漏、应用层洞察与控制、威胁防护等特性。 下一代防火墙在一台设备里面集成了传统防火墙、IPS、应用识别、内容过滤等功能既降低了整体网络安全系统的采购投入,又减去了多台设备接入网络带来的部署成本,还通过应用识别和用户管理等技术降低了管理人员的维护和管理成本。
使用方式:
防火墙多部署于单位或企业内部网络的出口位置。
局限性:
1) 不能防止源于内部的攻击,不提供对内部的保护
2) 不能防病毒
3) 不能根据网络被恶意使用和攻击的情况动态调整自己的策略
2、 IDS(入侵检测系统)
定义:
入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。入侵检测系统通常包含3个必要的功能组件:信息来源、分析引擎和响应组件。
工作原理:
1) 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自:系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。
2) 信号分析 对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,是通过模式匹配、统计分析和完整性分析这三种手段进行分析的。前两种用于实时入侵检测,完整性分析用于事后分析。
3) 告警与响应
根据入侵性质和类型,做出相应的告警与响应。
主要功能:
它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。
1) 实时监测:实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;
2) 安全审计:对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态,找出所需要的证据
3) 主动响应:主动切断连接或与防火墙联动,调用其他程序处理。
主要类型:
1) 基于主机的入侵检测系统(HIDS):基于主机的入侵检测系统是早期的入侵检测系统结构,通常是软件型的,直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。这种检测方式的优点主要有:信息更详细、误报率要低、部署灵活。
这种方式的缺点主要有:会降低应用系统的性能;依赖于服务器原有的日志与监视能力;代价较大;不能对网络进行监测;需安装多个针对不同系统的检测系统。
2) 基于网络的入侵检测系统(NIDS):基于网络的入侵检测方式是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备。检测设备放置在比较重要的网段内,不停地监视网段中的各种数据包,而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析,如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报,甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。这种检测技术的优点主要有:能够检测那些来自网络的攻击和超过授权的非法访问;不需要改变服务器等主机的配置,也不会影响主机性能;风险低;配置简单。
其缺点主要是:成本高、检测范围受局限;大量计算,影响系统性能;大量分析数据流,影响系统性能;对加密的会话过程处理较难;网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。
使用方式:
作为防火墙后的第二道防线,适于以旁路接入方式部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。
局限性:
1) 误报率高:主要表现为把良性流量误认为恶性流量进行误报。还有些IDS产品会对用户不关心事件的进行误报。
2) 产品适应能力差:传统的IDS产品在开发时没有考虑特定网络环境下的需求,适应能力差。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整,以适应不同环境的需求。
3) 大型网络管理能力差:首先,要确保新的产品体系结构能够支持数以百计的IDS传感器;其次,要能够处理传感器产生的告警事件;最后还要解决攻击特征库的建立,配置以及更新问题。
4) 缺少防御功能:大多数IDS产品缺乏主动防御功能。
5) 处理性能差:目前的百兆、千兆IDS产品性能指标与实际要求还存在很大的差距。
3、IPS(入侵防御系统)
定义:
入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
产生背景:
1) 串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
2) 旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
3) IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的"瞬间攻击"(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。
入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。
入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。
IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。
功能:
1) 入侵防护:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
2) Web安全:基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。
3) 流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。
4) 上网监管:全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
技术特征:
1) 嵌入式运行:只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
2) 深入分析和控制:IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。
3) 入侵特征库:高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。
4) 高效处理能力:IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
主要类型:
1) 基于特征的IPS
这是许多IPS解决方案中最常用的方法。把特征添加到设备中,可识别当前最常见的攻击。也被称为模式匹配IPS。特征库可以添加、调整和更新,以应对新的攻击。
2) 基于异常的IPS
也被称为基于行规的IPS。基于异常的方法可以用统计异常检测和非统计异常检测。
3) 基于策略的IPS
它更关心的是是否执行组织的安保策略。如果检测的活动违反了组织的安保策略就触发报警。使用这种方法的IPS,要把安全策略写入设备之中。
4) 基于协议分析的IPS
它与基于特征的方法类似。大多数情况检查常见的特征,但基于协议分析的方法可以做更深入的数据包检查,能更灵活地发现某些类型的攻击。
使用方式:
串联部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。
局限性:
1) 同样存在误报率
2) 会降低网络性能
4、VPN设备
定义:
虚拟专用网络指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输。
主要功能:
1) 通过隧道或虚电路实现网络互联
2) 支持用户安全管理
3) 能够进行网络监控、故障诊断。
工作原理:
1) 通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。
2) 网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。
3) 网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。
4) 网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。
5) 网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
6) 网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。
7) 从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。
通过上述说明可以发现,在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
常用VPN技术:
1) MPLS VPN:是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。MPLS优势在于将二层交换和三层路由技术结合起来,在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此,MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN(即MPLS L2 VPN)和三层MPLS VPN(即MPLS L3 VPN)。
2) SSL VPN:是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。
3) IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
主要类型:
按所用的设备类型进行分类:
主要为交换机、路由器和防火墙:
(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
(2)交换机式VPN:主要应用于连接用户较少的VPN网络;
(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型;
VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。
实现方式:
VPN的实现有很多种方法,常用的有以下四种:
1.VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN。
2.软件VPN:可以通过专用的软件实现VPN。
3.硬件VPN:可以通过专用的硬件实现VPN。
4.集成VPN:某些硬件设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。
5、漏洞扫描设备
定义:
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
主要功能:
可以对网站、系统、数据库、端口、应用软件等一些网络设备应用进行智能识别扫描检测,并对其检测出的漏洞进行报警提示管理人员进行修复。同时可以对漏洞修复情况进行监督并自动定时对漏洞进行审计提高漏洞修复效率。
1) 定期的网络安全自我检测、评估
安全检测可帮助客户最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,有效的利用已有系统,提高网络的运行效率。
2) 安装新软件、启动新服务后的检查
由于漏洞和安全隐患的形式多种多样,安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来,因此进行这些操作之后应该重新扫描系统,才能使安全得到保障。
3) 网络承担重要任务前的安全性测试
4) 网络安全事故后的分析调查
网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在,帮助弥补漏洞,尽可能多得提供资料方便调查攻击的来源。
5) 重大网络安全事件前的准备
重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞,帮助用户及时的弥补漏洞。
主要技术:
1) 主机扫描:
确定在目标网络上的主机是否在线。
2) 端口扫描:
发现远程主机开放的端口以及服务。
3) OS识别技术:
根据信息和协议栈判别操作系统。
4) 漏洞检测数据采集技术:
按照网络、系统、数据库进行扫描。
5) 智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描
6) 多种数据库自动化检查技术,数据库实例发现技术;
主要类型:
1) 针对网络的扫描器:基于网络的扫描器就是通过网络来扫描远程计算机中的漏洞。价格相对来说比较便宜;在操作过程中,不需要涉及到目标系统的管理员,在检测过程中不需要在目标系统上安装任何东西;维护简便。
2) 针对主机的扫描器:基于主机的扫描器则是在目标系统上安装了一个代理或者是服务,以便能够访问所有的文件与进程,这也使得基于主机的扫描器能够扫描到更多的漏洞。
3) 针对数据库的扫描器:数据库漏扫可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
使用方式:
1) 独立式部署:
在网络中只部署一台漏扫设备,接入网络并进行正确的配置即可正常使用,其工作范围通常包含用户企业的整个网络地址。用户可以从任意地址登录漏扫系统并下达扫描评估任务,检查任务的地址必须在产品和分配给此用户的授权范围内。
2) 多级式部署:
对于一些大规模和分布式网络用户,建议使用分布式部署方式。在大型网络中采用多台漏扫系统共同工作,可对各系统间的数据共享并汇总,方便用户对分布式网络进行集中管理。
优缺点:
优点
有利于及早发现问题,并从根本上解决安全隐患。
不足
只能针对已知安全问题进行扫描;准确性和指导性有待改善。
6、流量监控设备
定义:
网络流量控制是一种利用软件或硬件方式来实现对电脑网络流量的控制。它的最主要方法,是引入QoS的概念,从通过为不同类型的网络数据包标记,从而决定数据包通行的优先次序。
技术类型:
流控技术分为两种:
一种是传统的流控方式,通过路由器、交换机的QoS模块实现基于源地址、目的地址、源端口、目的端口以及协议类型的流量控制,属于四层流控;
路由交换设备可以通过修改路由表,实现一定程度的流量控制,但这种传统的IP包流量识别和QoS控制技术,仅对IP包头中的"五元组"信息进行分析,来确定当前流量的基本信息。传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障,但其仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。
随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。例如,P2P类应用会使用跳动端口技术及加密方式进行传输,基于交换路由设备进行流量控制的方法对此完全失效。
另一种是智能流控方式,通过专业的流控设备实现基于应用层的流控,属于七层流控。
主要功能:
1) 全面透视网络流量,快速发现与定位网络故障
2) 保障关键应用的稳定运行,确保重要业务顺畅地使用网络
3) 限制与工作无关的流量,防止对带宽的滥用
4) 管理员工上网行为,提高员工网上办公的效率
5) 依照法规要求记录上网日志,避免违法行为
6) 保障内部信息安全,减少泄密风险
7) 保障服务器带宽,保护服务器安全
8) 内置企业级路由器与防火墙,降低安全风险
9) 专业负载均衡,提升多线路的使用价值
使用方式:
1) 网关模式: 置于出口网关,所有数据流直接经由设备端口通过;
2) 网桥模式:如同集线器的作用,设备置于网关出口之后,设置简单、透明;
3) 旁路模式:与交换机镜像端口相连,通过对网络出口的交换机进行镜像映射,设备获得链路中的数据"拷贝",主要用于监听、审计局域网中的数据流及用户的网络行为。
7、安全隔离网闸
定义:
安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。由于物理隔离网闸所连接的两个独立网络系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
功能模块:
安全隔离闸门的功能模块有:
安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证
主要功能
1) 阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接;
2) 阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离,将原始数据通过P2P的非TCP/IP连接方式,通过存储介质的"写入"与"读出"完成数据;
3) 安全审查:物理隔离网闸具有安全审查功能,即网络在将原始数据"写入"物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等;
4) 原始数据无危害性:物理隔离网闸的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。
5) 管理和控制功能:建立完善的日志系统。
6) 根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础。当用户请求时,提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤。
7) 根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。
8) 支持定时/实时文件交换;支持支持单向/双向文件交换;支持数字签名、内容过滤、病毒检查等功能。
工作原理:
安全隔离网闸的组成:
安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:
1) 内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出"纯数据",作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
2) 外网处理单元:与内网处理单元功能相同,但处理的是外网连接。
3) 隔离与交换控制单元(隔离硬件):是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。
其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。
区别比较:
1) 与物理隔离卡的区别
安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。
2) 网络交换信息的区别
安全隔离网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接,没有考虑网络安全和数据安全的问题。
3) 与防火墙的区别
防火墙一般在进行IP包的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。
使用方式:
1) 涉密网与非涉密网之间
2) 局域网与互联网之间(内网与外网之间)
3) 办公网与业务网之间
4) 业务网与互联网之间
8、防病毒网关(防毒墙)
定义:
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。
主要功能:
1) 病毒杀除
2) 关键字过滤
3) 垃圾邮件阻止的功能
4) 部分设备也具有一定防火墙
能够检测进出网络内部的数据,对http、ftp、SMTP、IMAP和POP3五种协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面起到了非常大的作用。
与防火墙的区别:
1) 防病毒网关:专注病毒过滤,阻断病毒传输,工作协议层为ISO 2-7层,分析数据包中的传输数据内容,运用病毒分析技术处理病毒体,具有防火墙访问控制功能模块
2) 防火墙:专注访问控制,控制非法授权访问,工作协议层为ISO 2-4层,分析数据包中源IP目的IP,对比规则控制访问方向,不具有病毒过滤功能
与防病毒软件的区别:
1) 防病毒网关:基于网络层过滤病毒;阻断病毒体网络传输;网关阻断病毒传输,主动防御病毒于网络之外;网关设备配置病毒过滤策略,方便、扼守咽喉;过滤出入网关的数据;与杀毒软件联动建立多层次反病毒体系。
2) 防病毒软件:基于操作系统病毒清除;清除进入操作系统病毒;病毒对系统核心技术滥用导致病毒清除困难,研究主动防御技术;主动防御技术专业性强,普及困难;管理安装杀毒软件终端;病毒发展互联网化需要网关级反病毒技术配合。
查杀方式:
对进出防病毒网关数据监测:以特征码匹配技术为主;对监测出病毒数据进行查杀:采取将数据包还原成文件的方式进行病毒处理。
1) 基于代理服务器的方式
2) 基于防火墙协议还原的方式
3) 基于邮件服务器的方式
使用方式:
1) 透明模式:串联接入网络出口处,部署简单
2) 旁路代理模式:强制客户端的流量经过防病毒网关,防病毒网关仅仅需要处理要检测的相关协议,不需要处理其他协议的,可以较好的提高设备性能。
3) 旁路模式:与旁路代理模式部署的拓扑一样,不同的是,旁路模式只能起到检测作用,对于已检测到的病毒无法做到清除。
三、 主机安全产品主机安全,其核心内容包括安全、应用监管系统、操作系统安全增强系统和安全管控系统。它的具体功能是指保证主机在和处理的保密性、完整性,可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。
1、 杀毒软件
定义:
杀毒软件,也称或防毒软件,是用于消除、和等计算机威胁的一类软件。
软件原理:
的任务是和扫描。部分通过在系统添加驱动程序的方式,进驻系统,并且随启动。大部分的杀毒软件还具有功能。的方式因软件而异。有的,是通过在内存里划分一部分空间,将里流过内存的数据与反病毒软件自身所带的(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些则在所划分到的内存空间里面,或用户提交的程序,根据其行为或结果作出判断。
而扫描磁盘的方式,则和上面提到的的第一种工作方式一样,只是在这里,将会将磁盘上所有的文件(或者用户的扫描范围内的文件)做一次检查。
对于杀毒软件的实时监控,其工作方式因软件而异:
· 有的杀毒软件在内存里划分一部分空间,将计算机中流过内存的数据与杀毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。
· 有的杀毒软件在所划分到的内存空间里,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。
而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是扫描磁盘时,杀毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。
软件技术:
脱壳技术
是一种十分常用的技术,可以对、加壳文件、加花文件、类文件进行分析的技术。
自我保护技术
自我保护技术基本在各个杀毒软件均含有,可以防止结束杀毒软件进程或篡改杀毒软件文件。进程的自我保护有两种:,。
修复技术
对被损坏的文件进行修复的技术,如病毒破坏了,杀毒软件可以修复或下载对应文件进行修复。没有这种技术的杀毒软件往往删除被感染的后计算机崩溃,无法启动。
实时升级技术
最早由提出,每一次连接互联网,都自动连接升级服务器查询升级信息,如需要则进行升级。但是目前有更先进的,实时访问云进行判断,用户无需频繁升级即可防御最新病毒。用户不应被厂商所说的每天实时更新的大肆宣传而选择。
主动防御技术
技术是通过动态仿真反专家系统对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定病毒,达到主动防御的目的。
启发技术
常规所使用的杀毒方法是出现新后由杀毒软件公司的反病毒专家从病毒样本中提取,通过定期升级的形式下发到各用户里达到查杀效果,但是这种方法费时费力。于是有了启发技术,在原有的特征值识别技术基础上,根据反样本分析专家总结的分析可疑程序样本经验(移植入反病毒程序),在没有符合特征值比对时,根据反编译后程序代码所调用的函数情况(特征组合、出现频率等)判断程序的具体目的是否为病毒、,符合判断条件即报警提示用户发现可疑程序,达到防御、恶意软件的目的。解决了单一通过特征值比对存在的缺陷。
虚拟机技术
采用(AI)算法,具备"自学习、自进化"能力,无需频繁升级特征库,就能免疫大部分的加壳和变种,不但查杀能力领先,而且从根本上攻克了前两代"不升级就杀不了新病毒"的技术难题,在海量病毒样本数据中归纳出一套智能算法,自己来发现和学习病毒变化规律。它无需频繁更新特征库、无需分析静态特征、无需分析病毒行为。
智能技术
采用人工智能算法,具备"自学习、自进化"能力,无需频繁升级特征库,就能免疫大部分的变种病毒,查杀效果优良,而且一定程度上解决了"不升级病毒库就杀不了新病毒"的技术难题。
需要改进的地方:
1) 更加 智能识别,从而更好的发现未知病毒;
2) 发现后能够快速、;
3) 增强自我保护功能,即使大部分都有自我保护功能,不过依然有病毒能够屏蔽它们的进程,致使其瘫痪而无法保护。
4) 更低的占用,很多杀毒软件都需要大量的系统资源如内存资源、CPU资源,虽然保证了系统的安全,但是却降低了系统速度。
2、 主机防火墙
定义:
是防止您电脑中的信息被外部侵袭的一项技术,它能在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。 是一种个人行为的防范措施,这种不需要特定的网络设备,只要在用户所使用的PC 上安装软件即可。
功能:
把用户的计算机和公共网络分隔开,它检查到达防火墙两端的所有,无论是进入还是发出,从而决定该拦截这个包还是将其放行,是保护个人计算机接入互联网的安全有效措施。
优缺点:
优点:成本低,不需要额外的硬件源 ,可以抵挡内部的攻击。
缺点:主要的缺点是对公共网络只有一个,个人防火墙本身可能会容易受到威胁
3、 主机监控管理系统
定义:该产品是通过对安全事件的事前预防,事中监控,事后审计,实现了终端环境中安全事件行为的全方位管理,可以实现内网终端集中管理、统一监控,统一策略、分级部署,多重防护、安全保障。
功能:
1) 安全准入
防止未知终端非法接入网络。
支持基于802.1X协议相关技术的准入控制。
2) 资源监控
CPU占用率、CPU温度、内存占用率、硬盘剩余空间、硬盘温度等。
3) 硬件监控
光驱、USB设备、打印机、蓝牙设备、PCMCIA卡、无线网卡等。
4) 软件安装监控
监控终端软件安装统计,进行黑名单和白名单过滤,确保终端能够按照要求安装指定的软件。
5) 进程执行监控
监控终端进程运行状态,进行黑名单和白名单控制,确保终端能够按照要求启用、禁用指定的进程。
6) IP/MAC绑定
监控终端IP与MAC绑定,非法改变终端IP时,自动改回原来的IP。
7) 补丁分发
支持Linux平台下系统补丁、应用补丁的自动分发、检测、安装、统计功能,对系统进行加固处理。
8) 上网行为审计
监控终端上网访问行为审计,针对黑名单和白名单控制网址访问。
9) 主机连接监控
以黑名单、白名单的形式,监控终端的网络连接行为。
10) 违规外联监控
能够有效控制网络非法外联行为,杜绝网络非法外联行为发生。可控制wifi上网、拨号上网、多网卡、、3G/4G网卡、手机等多种方式的网络外联。
11) 安全审计日志
对终端操作审计做记录,便于操作行为追溯。
部署方式:
支持旁路部署和分级部署
四、 应用安全产品部署在特定的应用系统中,用于保障应用安全的信息安全产品,如应用层的身份鉴别和访问控制服务。
1、 WAF(Web应用防火墙)
定义:
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种设备。
产生背景:
当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。
企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,由此产生了WAF(Web应用防护系统)。Web应用防护系统用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
主要功能:
1) 审计设备:用来截获所以HTTP数据或者仅仅满足某些规则的会话;
2) 访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
3) 架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
4) WEB应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且 能够保护WEB应用编程错误导致的安全隐患。主要包括防攻击、防漏洞、防暗链、防爬虫、防挂马、抗DDos等。
使用方式:
与IPS设备部署方式类似,可以串联部署在web服务器等关键设备的网络出口处。
2、 邮件安全网关
定义:
邮件安全网关能够有效阻挡日益增多的高级恶意软件、垃圾邮件、病毒、钓鱼邮件、间谍程序、邮件炸弹、跳板攻击等威胁,帮助用户有效做好邮件安全防护管理,提升邮件服务质量。
功能:
1) 防恶意邮件攻击
邮件安全网关与垃圾邮件"行为模式识别"库匹配联动,智能识别巨量的病毒攻击、用户名单探测攻击、口令探测攻击、空邮件攻击、大邮件攻击、字典攻击、多线程攻击、DHA攻击、DoS攻击等各种恶意攻击行为,并且自动阻断攻击源IP,真正做到无人值守。
2) 反垃圾邮件
电信级的反垃圾邮件功能,基于"行为模式识别"技术,建立垃圾邮件行为模型库,无须关键字规则,垃圾邮件误判率低于百万分之一,拦截率超过98%。同时提供实时黑名单、IP控制列表、DNS反向查询、SMTP连接数/连接速率控制、控制、用户认证控制(LDAP / Active Directory / ESMTP / POP3)、SMTP冗余路由管理、SpamDNA特征库、贝叶斯算法评分、邮件头分析、虚假路由分析等各种反垃圾邮件技术。
3) 扫描病毒邮件
基于行为模式识别技术以及内嵌的杀病毒引擎,可以对通过电子邮件而散播的已知以及未知病毒进行有效的查杀。同时也支持与多家专业级杀病毒引擎进行嵌合。反病毒引擎的自动在线升级,可以做到每10分钟就升级一次病毒库。
4) 过滤敏感内容
采用高速多线程内容过滤引擎,提供可以实时升级的敏感信息规则库,用户可以自定义设置各种敏感内容过滤规则,对进出网关的邮件信息以及附件进行智能过滤和监控,同时支持公安部规则库的接口和集中上报管理。
5) 邮件归档
为防止用户终端邮件系统的突然崩溃,而导致大量邮件数据损失的情况,邮件安全网关特别提供邮件自动归档功能,无论发生任何情况都可以轻松恢复;利用邮件归档系统的数据保全机制和高速处理性能,不会影响邮件系统在流量高峰期的响应速度;方便的查询、统计功能,实现的普通用户对归档邮件的自主处理功能。
使用方式:
部署在Email Server前端
五、 数据安全产品
防止信息系统数据被雇佣或无意非授权泄露、更改、破坏或信息被非授权的系统辨识、控制,即确保数据的完整性、保密性、可用性和可控性的信息安全产品。
1、 数据泄露防护系统
定义:
基于数据存在的三种形态(存储、使用、传输),对数据生命周期中的各种泄密途径进行全方位的监查和防护,保证了敏感数据泄露行为事前能被发现,事中能被拦截和监查,事后能被追溯,使得数据泄露行为无处遁形,敏感数据无径可出,从而保障用户的数据安全。
产生背景:
我国已有的安全建设重要围绕着网络防护、主机访问和安全防护以及服务器层安全防护进行,但对真正核心的数据生命周期并没有采取有效的防护措施,而且近些年频频发生的用户敏感信息泄露事件,给企业信誉、经济等方面带来了巨大的损失;而棱镜门事件的发生,则威胁到了国家的安全。这使得国家在政策层面、企业在意识层面,对敏感信息泄露的防护,以及安全产品的自主可控提出了前所未有的严格要求。因此产生了数据安全防泄漏产品。
功能:
1) 数据识别
提供关键字、正则、指纹等多数据识别技术,可识别
Word/EXCEL/PowerPoint/PDF/TXT/RAR/ZIP/7Z/GZ等多种格式和非格式化文档格式。
2) 数据分类
支持对服务器、终端设备进行远程扫描和敏感信息分类,随时随地发现企业敏感数据分布及数据安全状态。
3) 终端防护
支持拦截敏感数据通过终端外设接口(如U盘拷贝、打印、刻录、红外蓝牙等),以及常见应用(如聊天工具、邮件客户端等)进行的泄密传输。
4) 网络防护
全面、准确地协议分析技术,支持对通过网络传输的敏感数据进行监查和防护(如网盘、微博、FTP、论坛等)。
5) 邮件防护
支持对企业邮件全方位的敏感识别(如正文、标题、收发件人、附件等),防止敏感数据通过企业邮箱泄露。
6) 审计报表
提供日志记录、统计报表等功能,实现安全现状可掌控、泄密事件可追溯、安全态势可度量。
使用方式:
分布式部署,多数是纯软件C/S架构。
2、 数据脱敏系统
定义:
数据脱敏系统是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下,在不违反系统规则条件下,对真实数据进行改造并提供测试使用,如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。
功能:
1) 实时动态脱敏
对需要共享的生产数据或时效性要求很高的数据测试和培训场景,基于网关代理模式的动态脱敏技术,达到实时模糊敏感数据的效果。动态脱敏可对业务系统数据库中敏感数据进行透明、实时脱敏。
2) 批量静态脱敏
对于开发、测试,或者数据外发等场景,提供批量的数据脱敏能力。通过采样、替换等方式生成脱敏后的准真实数据,脱敏后的数据同时保留原有的关联关系。
3) 脱敏
系统将产生的日志转存至脱敏系统中,用户可以对运维人员操作数据库的日志进行查询和统计,实现对数据库审计的功能。审计字段包括:发生时间、连接规则、数据库、安全规则、动作、SQL、客户端用户名、客户端主机、客户端程序、登录帐号等。
使用方式:
系统支持旁路代理和直连代理两种部署方式。
3、 数据备份系统
定义:
数据备份系统是指为了防止由于操作失误、系统故障等人为因素或意外原因导致数据丢失,而将整个系统的数据或者一部份关键数据通过一定的方法从主计算机系统的存储设备中复制到其它存储设备的过程。当主计算机系统的数据由于某种原因丢失或不可用时,可以利用复制的数据进行恢复,从而保持数据的完整与业务的正常进行。因此,可以说,数据备份主要解决的是数据的可用性问题。
备份策略:
备份策略的制定是备份系统的一个重要部分,备份策略的选择依赖于数据的重要性、允许备份的可用时间以及其它的一些因素。 一般来说,主要有3种备份策略:
1) 完全备份(full backup)
执行数据全部备份操作, 每天对自己的系统进行完全备份。 这种备份策略的好处是很直观,而且当发生数据丢失的灾难时, 只要用灾难发生前一天的备份就可以恢复丢失的数据。然而它亦有不足之处,首先,由于每天都对整个系统进行完全备份,造成备份的数据大量重复,这些重复的数据占用了大量的磁带和磁盘空间,这对用户来说就意味着增加成本。其次,由于需要备份的数据量较大,因此备份所需的时间也就较长。 对于那些业务繁忙、数据量大、备份时间有限的单位来说,选择这种备份策略是不明智的。
2) 增量备份(incremental backup)
增量备份相对全备份而言,只备份上一次备份后数据的改变量。这种备份的优点很明显,没有重复的备份数据,节省磁带或磁盘空间,又缩短了备份时间。 但它的缺点在于当发生灾难时,恢复数据比较麻烦。 另外,这种备份的可靠性也很差。 在这种备份方式下,各盘磁带间的关系环环相连,其中任何一盘磁带出了问题都会导致整个备份链条脱节。
3) 差量备份(differential backup)
差量备份是指每次备份的数据是相对于上一次全备份之后新增加的和修改过的数据。管理员先在星期一进行一次系统完全备份:然后在接下来的几天里,再将当天所有与星期一不同的数据(增加的或修改的)备份到磁带上。差量备份策略在避免了以上两种策略的缺陷的同时, 又具有了它们的所有优点。首先,差量备份无需每天都做系统完全备份,因此备份所需时间短,并节省磁带空间,它的灾难恢复也很方便,系统管理员只需两盘磁带,即系统全备份的磁带与发生灾难前一天的备份磁带,就可以将系统完全恢复。
常见的备份系统种类:
不同的备份方法,其效果不同,主要表现在性能、自动化程度、对现有系统应用的影响程度、管理、可扩展性等方面。 常见的数据备份系统主要有Host-Based、LAN-Based和基于SAN结构的LAN-Free、Server-Free等多种结构。
1) 主机备份
基于主机(Host-Based) 的备份是传统的数据备份技术,在这种备份架构中,磁带读写设备直接连接在某台需要备份数据的应用服务器上,为该服务器提供数据备份服务。Host-Based备份架构的优点是备份管理简单,数据传输速度快;缺点是不利于备份系统的共享,不适合有多个服务器需要备份的大型信息系统的数据备份要求。
2) 局域网备份
基于局域网(LAN-Based)备份架构中数据的传输是以网络为基础的。 将局域网中一台服务器配置为备份服务器,由备份服务器负责管理整个系统的备份任务。 磁带读写设备可以连接在某台服务器(称为介质服务器)上,多个需要备份数据的应用服务器将需要备份的数据通过局域网络传输到磁带库中实现备份。在局域网中,备份服务器、介质服务器和应用服务器可以是同一台服务器,介质服务器也可以是多台,这种灵活的架构,可以适应大型局域网数据备份的需要。
LAN-Based备份结构的优点是可以共享磁带库以节省投资,同时可以实现集中的备份管理;它的缺点是大量的备份数据需要通过网络传输,对网络带宽和备份窗口的压力比较大。 [1]
3) LAN-Free备份
所谓LAN-Free Backup, 就是指释放网络资源的数据备份方 式。 LAN-Free结构的备份系统是建立在数据存储网(SN,Storage Network)上的一种全新体系结构。 [1]
备份服务器向应用服务器发送指令,指挥应用服务器将数据备份到磁带库中。 在这个过程中,庞大的备份数据流没有流经LAN 网络,而是通过数据存储网,直接从磁盘存储系统传送到磁带库内,因此无需占用网络带宽 (LAN-Free),为网络节约了宝贵的带宽资源。 因此基于SN 的备份是一种彻底解决传统备份需要占用LAN 带宽问题的方案。
LAN-Free的优点是数据备份统一管理、备份速度快、网络传输压力小、能够实现磁带库资源共享。但缺点是实现复杂,需要成本较高。
4) Server-Less备份
在前面的备份架构中,需要备份的数据需要通过应用服务器备份到存储设备中, 大量的数据I/O无疑增加了应用服务器的工作负荷。
Server-Less Backup技术就是以全面释放网络和服务器资源为目的的。 Server-Less Backup 技术的核心就是在存储区域网(SAN,Storage Area Network)的交换层实现数据的传输工作。这样,大量的备份数据不仅无需经过网络,而且也不必经过应用服务器的总线(应用服务器仅需发布少量数据备份控制命令),就可以完全保证网络和应用服务器的高效运行。
六、 安全管理产品为保障信息系统正常运行提供安全管理与支持、以及降低运行过程中安全风险的信息安全产品。
1、 安全审计系统
定义:
安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
主要类型:
根据被审计的对象(主机、设备、网络、数据库、业务、终端、用户)划分,安全审计可以分为:
1) 主机审计:审计针对主机的各种操作和行为。
2) 设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计网络审计:对网络中各种访问、操作的审计,例如telnet操作、FTP操作,等等。
3) 数据库审计:对数据库行为和操作、甚至操作的内容进行审计业务审计:对业务操作、行为、内容的审计。
4) 终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计。
5) 用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象。
主要功能:
1) 采集多种类型的日志数据
能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志。
2) 日志管理
多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
3) 日志查询
支持以多种方式查询网络中的日志记录信息,以报表的形式显示。
4) 入侵检测
使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
5) 自动生成安全分析报告
根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。报告的输出可以根据预先定义的条件自动地产生、提交给管理员。
6) 网络状态实时监视
可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。
7) 事件响应机制
当审计系统检测到安全事件时候,可以采用相关的响应方式报警。
8) 集中管理
审计系统通过提供一个统一的集中管理平台,实现对日志代理、安全审计中心、日志数据库的集中管理。
使用方式:
安全审计产品在网络中的部署方式主要为旁路部署。
2、 安全评估系统
定义:
安全风险评估系统能够全方位检测IT系统存在的脆弱性,发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
评估范围:
1) 针对主机:对主机的配置、服务进行安全评估
2) 针对系统安全评估:对各类计算机系统(Windows、等)的配置、服务和安全防护能力进行评估
3) 针对网络安全评估: 对网络设备、网络服务、以及Web应用等进行评估,得出评估报告
4) 针对业务系统评估: 评估常见业务应用(ERP、OA、CRM等)系统
部署方式:
支持单机旁路部署,也支持分布式部署。
以上就是针对主流的信息安全产品的详细阐述。大家阅读完记得收藏哦!