天融信云安全监控服务白皮书.doc

天融信云安全监控服务 天融信云安全监控服务 销售白皮书 北京天融信公司 2012年8月 目 录 1服务背景4 1.1各类网络安全产品的大量使用带来新的工作挑战4 1.2WEB的广泛应用导致针对WEB服务器的攻击日益盛行5 1.3天融信云安全监控服务6 2服务说明7 2。1天融信安全设备远程监控服务7 2。1。1目标客户7 2。1。2产品功能7 2。1.2.1多方位可用性监控7 2。1。2.2策略评估9 2。1。2.3策略监控10 2。1.2.4策略备份10 2。1。2。5智能风险防御10 2。1.2.6设备更新管理10 2。1。2。7备件响应服务11 2.1。2。8内网事件分析11 2。1。2。9外网事件分析11 2。1.2。10日志云存储服务11 2.1.3典型应用12 2。2天融信网站监控防护服务12 2。2.1目标客户13 2。2.2产品功能13 2。2。2.1可用性状态监控13 2。2。2。2敏感字监控13 2.2。2。3网站页面防篡改监控和网页恢复13 2。2。2。4网站遭受攻击后并可能产生影响时,是否被风险隔离14 2.2.2。5实时阻断对WEB服务的各种攻击行为14 2.2.2.6WEB漏洞检测14 2.2。2。7防拒绝服务攻击15 2.2。2.8异常外联事件分析15 2.2.2.9日志云存储服务15 2。2.2。10安全信息通报服务15 2.2.3典型应用16 3服务特点16 3。1更彻底的网站防护及页面防篡改、页面恢复16 3。2强大的WEB网站防护能力16 3。3符合国家信息安全评测的标准和结果17 3。4提供专业的网站防护巡检、评测、加固、应急等持续性服务17 3.5有效提升网络安全设备的防护价值和风险控制能力17 3。6云安全在线监测服务提供全天侯监控和即时预警17 3。7提供安全设备和网站防护的日志存储服务18 3.8以结果为导向的“托管式全方位服务”18 3.9丰富经验和专业技术的保障18 3.10解决实际问题的专家级报告18 4客户收益19 1 服务背景 1.1 各类网络安全产品的大量使用带来新的工作挑战 过去的十多年来，网络安全形势一直十分严峻，重大网络安全事故频频发生。随着社会各界对网络安全的重视程度越来越高，很多政企机构都购买部署了各种类型的网络安全设备，如防火墙、IDP、VPN、防病毒网关等来保护自己的信息系统资产。 但是随着用户网络规模的扩大和网络安全设备数量的增多,网络管理员又面临新的问题: u 所有的这些网络安全设备,数量众多，型号多样，功能各异,网络管理员只能对每个产品或每种产品单个管理,缺少统一的管理手段。 u 大量网络安全设备在不同位置的使用导致这些设备的策略管理非常麻烦，比如设备上线前策略的规划和制定是否符合安全需求,策略变动是否是合理的管理行为,策略变化之前是否有备份,等等。 u 网络安全技术日新月异，说一日一变都不为过，而相应的网络安全产品更新也非常之快,大量的网络安全产品更新任务也大大增加了网络管理员工作. u 工作时间之外的网络安全事件层出不穷，而往往网络安全事件就发生在5X8小时之外，缺少全天侯安全监控人手和工具. u 由于技术方面缺少专业的网络安全研究团队支撑，大多数管理员很难跟上网络安全技术发展，这导致管理员在发生新的网络攻击和安全事件时缺少足够的应对办法. u 设备出现问题时可能缺少救急用的对应型号的网络安全设备顶替，而如果每种型号的安全设备都自购备件的话，会导致成本的大大增加和可能的浪费。 u 海量的安全事件和操作日志缺少统一的管理和存储,可能就在安全设备本身上存放，针对这类最有价值的信息资产缺少统一的管理存储分析手段和技术. …… 综上所述，可以看出,网络安全设备的维护和管理是否专业直接影响到潜在网络安全风险的高低，如何在现有网络安全设备的基础上，通过收集和整合各类用户关心的安全事件，挖掘用户关注的业务价值，满足用户日益复杂的信息系统实际安全管理需要,对网络管理员维护系统安全提出了重大挑战. 1.2 WEB的广泛应用导致针对WEB服务器的攻击日益盛行 伴随着互联网技术与用户的业务密切结合，电子商务和电子政务用户利用WEB网站来实现其业务流程的趋势日趋明显。但是，商业对手的恶意竞争，国内外各类非法组织的不良企图，离职员工的不满情绪泄愤等等各种原因都越来越导致WEB网站安全问题日益突出： u 网页篡改:各类黑暗势力的反华宣传，可能篡改有影响力的政企WEB网站网页，这会严重影响单位形象，甚至带来负面政治影响。 u 网站攻击：网站核心资产被入侵,机密信息泄露会严重危害单位业务和竞争力. u 拒绝服务：为打击竞争对手业务,拒绝服务攻击可能造成客户的大量流失。 u 被动下线：被篡改系统或作为攻击机后,可能导致被监管部门勒令下线整改。 u 法律风险:可能带来大量法律方面的风险,比如成为钓鱼网站传播的媒介，损害访问者的利益(网银、游戏等各类密码). …… 针对这两块独特而复杂的网络安全领域，天融信公司集十余年信息安全研发经验和安全服务实践，推出“云安全监控服务”。 1.3 天融信云安全监控服务 “天融信云安全监控服务”为用户提供托管式的“安全设备远程监控服务”和“网站监控防护服务"两大服务内容，针对用户的网络安全设备和网站进行全天侯安全监控、安全告警、攻击阻断，并提供可视化报告和解决方案. “天融信云安全监控中心”是网络时代信息安全防护手段的最新体现，它以云安全运维监控团队为服务核心和发起点,整合公司各技术团队（安全技术团队、攻防实验室团队、公司研发团队、客户本地技术支持团队）和相关安全产品、管理平台资源，为用户提供最实时最实用的网络安全解决方案。 “天融信云安全监控中心"存在自适应自学习能力，它融合了并行处理、网格计算、未知攻击行为判断等新兴技术和概念,每一个技术团队、每一个客户服务点，都会在自己的岗位上为用户网络安全监控发挥自己的作用，通过网状的大量安全事件，对网络中的异常行为进行监测研究和趋势判断，获取互联网中各种恶意程序的最新信息，推送到服务器端进行自动分析和处理，再把各类安全事件的解决方案分发到每一个相关客户手中。 2 服务说明 2.1 天融信安全设备远程监控服务 天融信安全设备远程监控服务是天融信安全服务团队依托专业的安全管理系统平台，结合用户对网络安全设备的管理需求,以灵活多样的服务包为主要形式，针对不同的IT环境进行安全监控、安全告警等，并提供可视化报告和统计的一种服务. 安全设备监控平台提供了高实时性和全方位的监控和管理服务.通过天融信安全设备监控平台提供的智能向导、强大的管理工具和灵活的监控服务,实现对用户的安全设备和业务服务器进行全面监控和保障,从而提升整个业务网络的安全性和稳定性,大大降低企业的运维安全风险和成本。 2.1.1 目标客户 Ø 安全设备监控服务包主要监控对象：天融信自研的安全网关，包括防火墙、VPN、入侵防御、防病毒网关和UTM。 2.1.2 产品功能 安全设备监控服务包主要提供以下内容： 2.1.2.1 多方位可用性监控 天融信安全设备监控平台是实现安全设备监控服务的核心,它提供了一系列强大的监控和管理功能,通过一个直观、易用的Web界面来展现，对重要对象的可用性进行监测，帮助用户监控以下功能：设备可用性监测、隧道可用性监测、业务服务器可用性监测、业务网络可用性监测、可用性质量综合评分等，实现对用户业务的实时性、持续性、安全性进行保护。 多方位可用性监控的主要目的是保障用户安全设备的可用性和稳定性，通过对设备在线情况、CPU内存连接数等性能信息、接口流量信息、隧道连通信息、隧道流量信息进行实时监控和综合统计、分析，从而判断出设备的健康度。 通过7*24小时不间断的实时监控和及时报警，第一时间发现安全隐患并通知用户,并提供详细的问题分析和解决建议. 定期提供丰富的审计报表,包括每类信息的运行详细和所有设备的运行情况汇总,以饼图、柱图、曲线图和列表等多种形式显示信息，使用用户能够一目了然的获知设备运行信息。 服务人员通过拓扑图等多种方式，实现对设备、隧道等进行各种管理和监控，图形化的添加设备和安全域，建立设备间的隧道,实现对设备性能信息的监视，包括CPU信息、内存信息、接口信息和连接信息等。另外，对于具有VPN功能的设备还提供了隧道监控和VRC监控功能。 通过天融信安全监控平台能够最全面的了解整个网络，包括：设备的可用性、接口流量、版本、许可证、配置信息、路由信息和日志等；全网拓扑、设备性能排行、设备接口流量排行；隧道协商状态、隧道流量趋势、隧道传输细节、VRC用户信息、虚拟路由信息;全网攻击事件、病毒信息、木马信息、应用分布流量等。 2.1.2.2 策略评估 安全策略评估功服务由天融信安全顾问团队负责，基于监控平台定期对防火墙、入侵防御、防病毒等设备的安全策略进行合规性和安全性的监测与评估,提供专业的评估报告.主要针对入侵、网络攻击、拒绝服务（DoS）攻击，以及蠕虫、网络病毒、特洛伊木马、间谍件和广告件等做出策略评估，并给出改进建议，进一步的提高设备的使用价值。 长期的防火墙策略管理以及复杂的防火墙部署过程中，防火墙规则集可能会比较凌乱,随着时间的发展,这些规则集可能与安全策略脱轨，同时也有可能产生没有用或策略漏洞的规则，天融信安全设备监控平台可以实现远程对设备的安全策略进行评估,帮助用户实现设备策略的安全防护： l 静态策略评估：通过静态检查设备配置文件的方式，结合天融信和用户工程经验，识别出配置文件中有风险的规则，给出改进建议。包括管理类配置、接口类配置、网络类配置、ACL类配置、高可用性类配置等方面; l 设备安全自检策略：通过检查设备的时间是否同步，管理员密码强度等方面来提高设备的安全性； l 策略安全综合评分：根据策略安全性的各项检查项,进行综合评分。 l 策略优化:检查设备是否配置了不安全的外部访问策略，提供天融信的安全配置建议，检查策略冲突情况；根据实际访问情况,评估策略的使用情况，给出优化建议。 2.1.2.3 策略监控 安全设备的策略一旦发生变化,则安全监控中心会告警，通知客户进行确认并记录策略变更。 实现设备配置的版本管理，监控设备配置是否被修改，被修改的风险等级判断,并提供不同策略版本之间的比较功能。 2.1.2.4 策略备份 策略定期备份：针对有需要的用户，定期自动进行网络安全设备策略的备份，以防止管理员策略变更后缺少备份. 2.1.2.5 智能风险防御 当被保护的对象遭受攻击时，监控中心根据风险的特性，自动生成安全设备防护策略规则，让安全设备主动进行风险防护或对管理员提供优化规则建议. 2.1.2.6 设备更新管理 更新管理能确保用户使用的设备操作系统版本、病毒库版本、攻击识别库版本等为最新版本，保证用户网络能够对最近发生的安全威胁进行实时、有效的防御。 安全设备监控平台提供了定期监测设备相关的更新信息，给出更新建议。也可以事先配置好设备自动升级和软件自动分发功能，在有新的规则库和系统软件发布时，第一时间更新到用户的设备上，执行更新操作,实现了版本检测、升级管理和软件分发、License管理、设备系统软件管理、设备客户端软件管理、CRL管理、签名库管理(管理设备各类签名库，有攻击检测规则库、应用识别库、URL库、病毒库等)等,有效保护用户的资产安全防护有效性和安全防护的实时性。同时支持设备升级计划任务形式,在业务空闲时进行设备的批量自动升级，保证用户业务本身不受影响。 2.1.2.7 备件响应服务 主要包括天融信系列网关产品，服务期限外的设备故障替换、设备应急处理、现场支持等。 2.1.2.8 内网事件分析 深度分析设备收取的内网安全事件或异常行为,帮助用户净化内部网络,维护内网安全合规性。对持续出现违反安全规则的,作出重点报告。 2.1.2.9 外网事件分析 深度分析设备抓到的外网攻击行为,协助用户提高安全配置，对重点攻击IP进行隔断或调查。 2.1.2.10 日志云存储服务 帮助用户网站实现符合国家政策法规、标准规定的日志收存查和深度分析功能，并使组织满足等保、分保等政策标准的一体化解决方案. 2.1.3 典型应用 2.2 天融信网站监控防护服务 天融信网站防护服务是天融信经过多年行业深厚技术积累和应用实践经验，凭借历经奥运、亚运、世博、两会等大型活动安全保障的考验，以及在多个网站防护项目上的经验积累，为客户网站提供：一、网站页面是否被篡改和被恢复监测；二、网站是否可用性状态监控；三、网站安全是否符合国家评测机构相关规定；四、网站遭受攻击后并可能产生影响时，是否被安全阻断和隔离;五、及时的安全应急及安全信息通报服务。 天融信网站防护服务通过远程安全检测和实时监控,可以实时将源站保护起来，既能保证其内容不会被黑客篡改,又能将各种攻击影响降到最低，同时保障网站信息的正确性、政务服务的可用性和信息反馈的畅通性. 天融信网站防护服务为了达到对网站进行持续防护的目的,我们还将为客户提供后续的网站扫描、风险评估及加固、应急处理，网站安全评测，网站安全通告服务，第一时间向客户预警并帮助客户处理可能发生的网站安全风险事件。 2.2.1 目标客户 政务网站、教育网站、行业企业网站，电子商务网站、金融网站等客户。 2.2.2 产品功能 2.2.2.1 可用性状态监控 对客户的网站系统进行7X24小时监控,当客户的网站不能访问或者访问异常，向客户及时报警。 2.2.2.2 敏感字监控 监测网站页面中是否存在反动、色情等敏感信息，一旦发现及时向客户预警，提醒客户采取应对措施。 2.2.2.3 网站页面防篡改监控和网页恢复 采用独特专业技术,不需要在WEB服务器上装载任何软件，一旦发现网页被篡改就及时恢复，同时通过页面告警、声音、邮件、短信的方式通知在线监测人员及用户,进行保护性防护。采用了一种快速监测方法，70%～80%的网页篡改行为都能在1s内被发现。 特点：支持在线监控和离线监控；支持日志、禁止、恢复动作；支持根路径、非根路径分别设置检测时间间隔;支持轻度、深度两种级别检测策略. 2.2.2.4 网站遭受攻击后并可能产生影响时,是否被风险隔离 采用天融信独特的技术，当发现网页两次或以上被篡改又被恢复时，根据用户的权限设置，可以实现网站和互联网络的物理隔离,实现网站的彻底安全性，减少风险的扩大性,有效控制风险的蔓延，等处理完毕后，可自动进行恢复。 2.2.2.5 实时阻断对WEB服务的各种攻击行为 天融信网站防护系列实现了恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入、自身抗网络攻击等功能，不但保障了网页不会被篡改,而且还可以保障网站可以被安全、高效的访问，对网站系统进行自动化的漏洞扫描，以发现目标网站系统的全弱点为目标，对网站中指定网页范围进行网站高危脚本漏洞挖掘验证，包括SQL注入、XSS攻击、恶意执行逻辑错误等典型脚本漏洞信息，并对网站中指定网页范围进行网站高危脚本漏洞挖掘验证。 2.2.2.6 WEB漏洞检测 对网站系统进行自动化的漏洞扫描，以发现目标网站系统的全弱点为目标，对网站中指定网页范围进行网站高危脚本漏洞挖掘验证，包括SQL注入、XSS攻击、恶意执行逻辑错误等典型脚本漏洞信息，并对网站中指定网页范围进行网站高危脚本漏洞挖掘验证。 2.2.2.7 防拒绝服务攻击 全面防御SYN flood、ICMP flood、UDP flood、DNS Flood，DHCP flood、CC等几十种DOS/DDOS攻击行为 2.2.2.8 异常外联事件分析 对网站流出的异常流量和行为进行分析，防止网站成为攻击跳板或钓鱼网站。 2.2.2.9 日志云存储服务 日志云存储服务：帮助用户网站实现符合国家政策法规、标准规定的日志收存查和深度分析功能，并使组织满足等保、分保等政策标准的一体化解决方案。 2.2.2.10 安全信息通报服务 提供最新安全资讯，使客户实时掌握最新的安全动态，同时当发现与网站系统相关的紧急安全漏洞或事件，将第一时间通知。安全通告的方式有短信、电话、电子邮件。 2.2.3 典型应用 3 服务特点 3.1 更彻底的网站防护及页面防篡改、页面恢复 监控中心一旦发现网站页面被篡改，可即时进行自动恢复，并通报用户.发生两次以上的篡改，根据用户定义，可以自动进行网络隔离以提供更彻底的安全保障，避免事件造成更大的影响。 3.2 强大的WEB网站防护能力 强大的WEB网站防御平台和知识库,全面的网站漏洞自扫描监测功能,强大的防火墙联动阻断功能。 3.3 符合国家信息安全评测的标准和结果 服务过程、服务手段、服务平台、服务团队、服务输出等,符合国家相关安全监管要求，相关成果可作为单位信息安全评测的参考依据和原始素材。 3.4 提供专业的网站防护巡检、评测、加固、应急等 持续性服务 为客户提供完整的延续性的安全保障服务,包含安全评估服务、安全加固服务、安全巡检服务、安全应急服务、安全在线监测服务、符合法规的安全测评服务等. 3.5 有效提升网络安全设备的防护价值和风险控制能力 由于大量的安全设备的部署和使用,对这些设备的安全维护和管理是否专业就直接影响到了整个信息系统的安全性。如何在现有安全设备的基础上,通过收集和整合用户关心的安全事件、挖掘用户的业务关注价值、以满足日益复杂的信息系统安全管理需要，这对网络管理员维护系统安全提出了重大挑战.天融信云安全监控中心从专业的角度,能帮助用户有效提高安全设备的防护价值和风险控制能力. 3.6 云安全在线监测服务提供全天侯监控和即时预警 为用户提供7X24，7X8 ，5X8 小时的在线监控防护，为用户解决8小时之外的安全事件,使用户高枕无忧.全天候在线监控中心，可实现客户的信息安全管理从被动防御到事前防范、事中监控与即时阻断、事后取证与总结完善的完整信息安全防护流程. 发现重大安全问题及时向客户进行预警，预警的方式有电子邮件、短信、电话等方式。协助客户及时解决自有安全设备的可用问题、以及网站安全问题. 3.7 提供安全设备和网站防护的日志存储服务 提供全面的日志收存查和深度分析，并使组织满足等保、分保等政策法规、标准规定的一体化解决方案. 3.8 以结果为导向的“托管式全方位服务" 用户往往并不太关心整个安全防护的过程和细节,而是关心安全防护的结果，天融信的远程云安全监控中心通过远程监测的方式,让用户不用担心和处理安全风险的事件过程,只确认时间和结果就可以,从根本上有效的帮助用户保障业务和网站信息的正确性、政务服务的可用性和信息反馈的畅通性。 3.9 丰富经验和专业技术的保障 作为中国信息安全行业领导企业，天融信历经十六年的安全行业市场考验与技术积累，天融信目前拥有包括政府、军队、金融、能源、电信、教育等众多行业的数万家客户,以及大量历经奥运、亚运、世博、两会等大型活动安全保障的考验，以及在多个网站防护项目上的经验积累，成就了天融信采用远程的“安全设备远程监控服务”方式，保障用户的安全. 3.10 解决实际问题的专家级报告 在交付给客户的定期检测安全报告中，内容包括设备cpu、内存、连接数、接口流量、HA状态等状态变化情况。通过统计趋势预见可能的安全风险,如设备本身的性能风险、带宽风险，恶意访问行为风险。 另外也将发现的网站存在web应用程序漏洞、网页挂马现象、病毒和后门等情况,进行详细准确的描述，并且天融信安全专家还会在报告中提出专家级的风险处置方案和漏洞修复建议。客户可以根据报告内容进行网站安全处理. 最后也将在报告中将统计周期中发现的网页篡改企图次数，恢复的次数向客户汇报。 4 客户收益 Ø 维护形象：维护客户WEB网站业务公众形象与声誉，增强客户对自身网站保护的信心； Ø 控制风险:有效提升安全设备的防护价值和风险控制能力; Ø 杜绝隐患：检验网络安全设备和WEB网站的安全性,针对发现的安全隐患获得有效处理方案； Ø 有据可查：对日志信息进行云存储和备份，使安全事件完整保存下来,可作为安全评测或调查取证的原始依据。 Ø 符合法规:监控服务进行的相关防护体系、服务成果，可作为国家相关安全监管、评测的参考依据和原始素材。 Ø 降低成本:最大限度的降低企事业网站安全运营成本，提高企业信息业务发展安全竞争力； Ø 了解态势：客户可以及时了解自身系统安全态势,降低安全风险，轻松保障自身业务的可持续性。 17