服務熱(rè)線:400-086-9769
網絡安全闆塊
網絡安全:
1、下(xià)一代防火牆:下(xià)一代防火牆,即Next Generation Firewall,簡稱NG Firewall,是一款可(kě)以全面應對(duì)應用(yòng)層威脅的(de)高(gāo)性能防火牆。通(tōng)過深入洞察網絡流量中的(de)用(yòng)戶、應用(yòng)和(hé)内容,并借助全新的(de)高(gāo)性能單路徑異構并行處理(lǐ)引擎,NGFW能夠爲用(yòng)戶提供有效的(de)應用(yòng)層一體化(huà)安全防護,幫助用(yòng)戶安全地開展業務并簡化(huà)用(yòng)戶的(de)網絡安全架構。2009年,著名咨詢機構Gartner介紹爲應對(duì)當前與未來(lái)新一代的(de)網絡安全威脅認爲防火牆必需要再一次升級爲“下(xià)一代防火牆”。第一代防火牆已基本無法探測到利用(yòng)僵屍網絡作爲傳輸方法的(de)威脅。由于采用(yòng)的(de)是基于服務的(de)架構與Web2.0使用(yòng)的(de)普及,更多(duō)的(de)通(tōng)訊量都隻是通(tōng)過少數幾個(gè)端口及采用(yòng)有限的(de)幾個(gè)協議(yì)進行,這(zhè)也(yě)就意味著(zhe)基于端口/協議(yì)類安全策略的(de)關聯性與效率都越來(lái)越低。深層數據包檢查入侵防禦系統(IPS)可(kě)根據已知攻擊對(duì)操作系統與漏失部署補丁的(de)軟件進行檢查,但卻不能有效的(de)識别與阻止應用(yòng)程序的(de)濫用(yòng),更不用(yòng)說對(duì)于應用(yòng)程序中的(de)具體特性的(de)保護了(le)。
Gartner将網絡防火牆定義爲在線安全控制措施,即:可(kě)實時(shí)在各受信級網絡間執行網絡安全策略。Gartner使用(yòng)“下(xià)一代防火牆”這(zhè)一術語來(lái)說明(míng)升級防火牆的(de)必要性,以應對(duì)業務程序使用(yòng)IT的(de)方法以及針對(duì)業務系統所發起的(de)攻擊方法所發生的(de)改變。
2、負載均衡:負載均衡,英文名稱爲Load Balance,其含義就是指将負載(工作任務)進行平衡、分(fēn)攤到多(duō)個(gè)操作單元上進行運行,例如FTP服務器、Web服務器、企業核心應用(yòng)服務器和(hé)其它主要任務服務器等,從而協同完成工作任務。
負載均衡構建在原有網絡結構之上,它提供了(le)一種透明(míng)且廉價有效的(de)方法擴展服務器和(hé)網絡設備的(de)帶寬、加強網絡數據處理(lǐ)能力、增加吞吐量、提高(gāo)網絡的(de)可(kě)用(yòng)性和(hé)靈活性。
包括軟/硬件負載均衡和(hé)本地/全局負載均衡兩大(dà)類。
3、上網行爲管理(lǐ):指幫助互聯網用(yòng)戶控制和(hé)管理(lǐ)對(duì)互聯網的(de)使用(yòng)。其包括對(duì)網頁訪問過濾、上網隐私保護、網絡應用(yòng)控制、帶寬流量管理(lǐ)、信息收發審計、用(yòng)戶行爲分(fēn)析等。随著(zhe)計算(suàn)機、寬帶技術的(de)迅速發展,網絡辦公日益流行,互聯網已經成爲人(rén)們工作、生活、學習(xí)過程中不可(kě)或缺、便捷高(gāo)效的(de)工具。但是,在享受著(zhe)電腦(nǎo)辦公和(hé)互聯網帶來(lái)的(de)便捷同時(shí),員(yuán)工非工作上網現象越來(lái)越突出,企業普遍存在著(zhe)電腦(nǎo)和(hé)互聯網絡濫用(yòng)的(de)嚴重問題。網上購(gòu)物(wù)、在線聊天、在線欣賞音(yīn)樂(yuè)和(hé)電影(yǐng)、P2P工具下(xià)載等與工作無關的(de)行爲占用(yòng)了(le)有限的(de)帶寬,嚴重影(yǐng)響了(le)正常的(de)工作效率。
上網行爲管理(lǐ)産品及技術是專用(yòng)于防止非法信息惡意傳播,避免國家機密、商業信息、科研成果洩漏的(de)産品;并可(kě)實時(shí)監控、管理(lǐ)網絡資源使用(yòng)情況,提高(gāo)整體工作效率。上網行爲管理(lǐ)産品系列适用(yòng)于需實施内容審計與行爲監控、行爲管理(lǐ)的(de)網絡環境,尤其是按等級進行計算(suàn)機信息系統安全保護的(de)相關單位或部門。
早期的(de)上網行爲管理(lǐ)産品幾乎都可(kě)以化(huà)身爲URL過濾器,用(yòng)戶所有訪問的(de)網頁地址都會被系統監控、追蹤及記錄,如果是設定爲合法地址的(de)訪問則不做(zuò)限制,如果是非法地址則會被禁止或發出警告,而且每一次對(duì)訪問行爲的(de)監控都是具體到每一個(gè)人(rén)的(de)。這(zhè)也(yě)就在一定程度上成爲黑(hēi)白名單的(de)一種限定。此外,針對(duì)郵件收發行爲的(de)監控也(yě)一如URL過濾,成爲了(le)一種常規性的(de)上網行爲管理(lǐ)功能。
4、等保一體機:幫助用(yòng)戶順利通(tōng)過等級保護測評,從物(wù)理(lǐ)安全、網絡安全、主機安全、應用(yòng)安全、數據安全等多(duō)個(gè)層面進行體系化(huà)等保建設,提高(gāo)安全運維效率。同時(shí),通(tōng)過等保一體機提供的(de)定制化(huà)安全增值服務,實現全網動态監測、精确感知、主動防護。在一台硬件設備上即可(kě)提供下(xià)一代防火牆、數據庫審計與風險控制、WEB應用(yòng)防火牆、堡壘機、VPN、入侵檢測與防禦等各類等級保護建設所需要的(de)安全組件。在滿足合規要求的(de)同時(shí),讓用(yòng)戶的(de)等級保護建設可(kě)信可(kě)控、簡單高(gāo)效。
5、IPS:入侵防禦系統(IPS: Intrusion Prevention System)是電腦(nǎo)網絡安全設施,是對(duì)防病毒軟件(Antivirus Programs)和(hé)防火牆(Packet Filter, Application Gateway)的(de)補充。 入侵防禦系統(Intrusion-prevention system)是一部能夠監視網絡或網絡設備的(de)網絡資料傳輸行爲的(de)計算(suàn)機網絡安全設備,能夠及時(shí)的(de)中斷、調整或隔離一些不正常或是具有傷害性的(de)網絡資料傳輸行爲。在ISO/OSI網絡層次模型中,防火牆主要在第二到第四層起作用(yòng),它的(de)作用(yòng)在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用(yòng)。爲了(le)彌補防火牆和(hé)除病毒軟件二者在第四到第五層之間留下(xià)的(de)空檔,幾年前,工業界已經有入侵偵查系統(IDS: Intrusion Detection System)投入使用(yòng)。入侵偵查系統在發現異常情況後及時(shí)向網絡安全管理(lǐ)人(rén)員(yuán)或防火牆系統發出警報。可(kě)惜這(zhè)時(shí)災害往往已經形成。雖然,亡羊補牢,尤未爲晚,但是,防衛機制最好應該是在危害形成之前先期起作用(yòng)。随後應運而生的(de)入侵響應系統(IRS: Intrusion Response Systems) 作爲對(duì)入侵偵查系統的(de)補充能夠在發現入侵時(shí),迅速作出反應,并自動采取阻止措施。而入侵預防系統則作爲二者的(de)進一步發展,汲取了(le)二者的(de)長(cháng)處。
6、IDS:入侵檢測系統(intrusion detection system,簡稱“IDS”)是一種對(duì)網絡傳輸進行、即時(shí)監視,在發現可(kě)疑傳輸時(shí)發出警報或者采取主動反應措施的(de)網絡安全設備。它與其他(tā)網絡安全設備的(de)不同之處便在于,IDS是一種積極主動的(de)安全防護技術。不同于防火牆,IDS入侵檢測系統是一個(gè)監聽(tīng)設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可(kě)以工作。因此,對(duì)IDS的(de)部署,唯一的(de)要求是:IDS應當挂接在所有所關注流量都必須流經的(de)鏈路上。在這(zhè)裏,"所關注流量"指的(de)是來(lái)自高(gāo)危網絡區(qū)域的(de)訪問流量和(hé)需要進行統計、監視的(de)網絡報文。在如今的(de)網絡拓撲中,已經很難找到以前的(de)HUB式的(de)共享介質沖突域的(de)網絡,絕大(dà)部分(fēn)的(de)網絡區(qū)域都已經全面升級到交換式的(de)網絡結構。因此,IDS在交換式網絡中的(de)位置一般選擇在盡可(kě)能靠近攻擊源或者盡可(kě)能靠近受保護資源的(de)位置。這(zhè)些位置通(tōng)常是:服務器區(qū)域的(de)交換機上;Internet接入路由器之後的(de)第一台交換機上;重點保護網段的(de)局域網交換機上。
7、WAF:Web應用(yòng)防護系統(也(yě)稱爲:網站應用(yòng)級入侵防禦系統。英文:Web Application Firewall,簡稱: WAF)。利用(yòng)國際上公認的(de)一種說法:Web應用(yòng)防火牆是通(tōng)過執行一系列針對(duì)HTTP/HTTPS的(de)安全策略來(lái)專門爲Web應用(yòng)提供保護的(de)一款産品。當WEB應用(yòng)越來(lái)越爲豐富的(de)同時(shí),WEB 服務器以其強大(dà)的(de)計算(suàn)能力、處理(lǐ)性能及蘊含的(de)較高(gāo)價值逐漸成爲主要攻擊目标。SQL注入、網頁篡改、網頁挂馬等安全事件,頻(pín)繁發生。2007年,國家計算(suàn)機網絡應急技術處理(lǐ)協調中心監測到中國大(dà)陸被篡改網站總數累積達61228個(gè),比2006年增加了(le)1.5倍。其中,中國大(dà)陸政府網站被篡改各月(yuè)累計達4234個(gè)。企業等用(yòng)戶一般采用(yòng)防火牆作爲安全保障體系的(de)第一道防線。但是在現實中,Web服務器和(hé)應用(yòng)存在各種各樣的(de)安全問題,并随著(zhe)黑(hēi)客技術的(de)進步也(yě)變得(de)更加難以預防,因爲這(zhè)些問題是普通(tōng)防火牆難以檢測和(hé)阻斷的(de),由此産生了(le)WAF(Web應用(yòng)防護系統)。Web應用(yòng)防護系統(Web Application Firewall, 簡稱:WAF)代表了(le)一類新興的(de)信息安全技術,用(yòng)以解決諸如防火牆一類傳統設備束手無策的(de)Web應用(yòng)安全問題。與傳統防火牆不同,WAF工作在應用(yòng)層,因此對(duì)Web應用(yòng)防護具有先天的(de)技術優勢。基于對(duì)Web應用(yòng)業務和(hé)邏輯的(de)深刻理(lǐ)解,WAF對(duì)來(lái)自Web應用(yòng)程序客戶端的(de)各類請求進行内容檢測和(hé)驗證,确保其安全性與合法性,對(duì)非法的(de)請求予以實時(shí)阻斷,從而對(duì)各類網站站點進行有效防護。
8、網閘:網閘是使用(yòng)帶有多(duō)種控制功能的(de)固态開關讀寫介質,連接兩個(gè)獨立主機系統的(de)信息安全設備。由于兩個(gè)獨立的(de)主機系統通(tōng)過網閘進行隔離,使系統間不存在通(tōng)信的(de)物(wù)理(lǐ)連接、邏輯連接及信息傳輸協議(yì),不存在依據協議(yì)進行的(de)信息交換,而隻有以數據文件形式進行的(de)無協議(yì)擺渡。因此,網閘從物(wù)理(lǐ)上隔離、阻斷了(le)對(duì)内網具有潛在攻擊可(kě)能的(de)一切網絡連接,使外部攻擊者無法直接入侵、攻擊或破壞内網,保障了(le)内部主機的(de)安全。網閘就是要解決目前網絡安全存在的(de)下(xià)述問題。
(1)對(duì)操作系統的(de)依賴,因爲操作系統也(yě)有漏洞;
(2)對(duì)TCP/IP協議(yì)的(de)依賴,而TCP/IP協議(yì)有漏洞;
(3)解決通(tōng)信連接的(de)問題,内網和(hé)外網直接連接,存在基于通(tōng)信的(de)攻擊;
(4)應用(yòng)協議(yì)的(de)漏洞,如非法的(de)命令和(hé)指令等。
網閘的(de)指導思想與防火牆有下(xià)述很大(dà)的(de)不同。
(1)防火牆的(de)思路是在保障互聯互通(tōng)的(de)前提下(xià),盡可(kě)能安全;
(2)網閘的(de)思路是在保證必須安全的(de)前提下(xià),盡可(kě)能互聯互通(tōng),如果不安全則隔離斷開。
9、日志審計系統:日志審計系統是用(yòng)于全面收集企業IT系統中常見的(de)安全設備、網絡設備、數據庫、服務器、應用(yòng)系統、主機等設備所産生的(de)日志(包括運行、告警、操作、消息、狀态等)并進行存儲、監控、審計、分(fēn)析、報警、響應和(hé)報告的(de)系統。國家的(de)政策法規、行業标準等都明(míng)确對(duì)日志審計提出了(le)要求,日志審計已成爲企業滿足合規内控要求所必須的(de)一項基本要求。 2017年6月(yuè)1日起施行的(de)《中華人(rén)民共和(hé)國網絡安全法》中規定:采取監測、記錄網絡運行狀态、網絡安全事件的(de)技術措施,并按照(zhào)規定留存相關的(de)網絡日志不少于六個(gè)月(yuè)。
《網絡安全等級保護基本要求》(GB∕T 22239-2019)中規定:二到四級需要對(duì)網絡、主機、應用(yòng)安全三部分(fēn)進行日志審計,留存日志需符合法律法規規定。
滿足系統安全管理(lǐ)需求
當前信息安全形勢日益嚴峻,信息安全防護工作面臨前所未有的(de)困難和(hé)挑戰。日志審計能夠幫助用(yòng)戶更好監控和(hé)保障信息系統運行,及時(shí)識别針對(duì)信息系統的(de)入侵攻擊、内部違規等信息,同時(shí)日志審計能夠爲安全事件的(de)事後分(fēn)析、調查取證提供必要的(de)信息。
10、網絡準入:基于在NACC、802.1x、EOU、WebAuth、MAB、IAB的(de)基礎上進行自主研發的(de)一門新興技術。其宗旨是防止病毒和(hé)蠕蟲等新興黑(hēi)客技術對(duì)企業安全造成危害,爲企業建設一套網絡安全體系。
1.用(yòng)戶身份認證
從接入層對(duì)訪問的(de)用(yòng)戶進行最小授權控制,根據用(yòng)戶身份嚴格控制用(yòng)戶對(duì)内部網絡訪問範圍,确保企業内網資源安全。
2.終端完整性檢查
通(tōng)過身份認證的(de)用(yòng)戶還(hái)必須通(tōng)過終端完整性檢查,查看連入系統的(de)補丁、防病毒等功能是否已及時(shí)升級,是否具有潛在安全隐患。
3.終端安全隔離與修補
對(duì)通(tōng)過身份認證但不滿足安全檢查的(de)終端不予以網絡接入,并強制引導移至隔離修複區(qū),提示用(yòng)戶安裝有關補丁、殺毒軟件、配置操作系統有關安全設置等。
4.非法終端網絡阻斷
能及時(shí)發現并阻止未授權終端對(duì)内網資源的(de)訪問,降低非法終端對(duì)内網進行攻擊、竊密等安全威脅,從而确保内部網絡的(de)安全。
5.接入強制技術
支持幾乎所有的(de)網絡接入強制技術,如: 802.1X、DNS代理(lǐ)、防火牆、CISCO EOU、H3C Portal、VPN等,實現從網絡層到系統層接入的(de)全面、深度控制,有效拒絕未知設備接入。
11、态勢感知:态勢感知是一種基于環境的(de)、動态、整體地洞悉安全風險的(de)能力,是以安全大(dà)數據爲基礎,從全局視角提升對(duì)安全威脅的(de)發現識别、理(lǐ)解分(fēn)析、響應處置能力的(de)一種方式,最終是爲了(le)決策與行動,是安全能力的(de)落地。覆蓋感知、理(lǐ)解和(hé)預測三個(gè)層次。并随著(zhe)網絡的(de)興起而升級爲“網絡态勢感知(Cyberspace Situation Awareness,CSA)”。旨在大(dà)規模網絡環境中對(duì)能夠引起網絡态勢發生變化(huà)的(de)安全要素進行獲取、理(lǐ)解、顯示以及最近發展趨勢的(de)順延性預測,進而進行決策與行動。現階段面對(duì)傳統安全防禦體系失效的(de)風險,态勢感知能夠全面感知網絡安全威脅态勢、洞悉網絡及應用(yòng)運行健康狀态、通(tōng)過全流量分(fēn)析技術實現完整的(de)網絡攻擊溯源取證,幫助安全人(rén)員(yuán)采取針對(duì)性響應處置措施。
所以态勢感知系統應該具備網絡空間安全持續監控能力,能夠及時(shí)發現各種攻擊威脅與異常;具備威脅調查分(fēn)析及可(kě)視化(huà)能力,可(kě)以對(duì)威脅相關的(de)影(yǐng)響範圍、攻擊路徑、目的(de)、手段進行快(kuài)速判别,從而支撐有效的(de)安全決策和(hé)響應;能夠建立安全預警機制,來(lái)完善風險控制、應急響應和(hé)整體安全防護的(de)水(shuǐ)平。
與我們一起
同捷信息—您身邊的(de)信息化(huà)專家!
微信公衆号
企業微信
