安全防護(hù)
安全防護(hù)解決方案
時(shí)間:2017-10-31 11:30:11 來(lái)源:
企業(yè)網(wǎng)絡(luò)安全是不容忽視且一直存在的問(wèn)題,下一代安全防火墻可以滿足出口的安全防護(hù)。
防火墻描述:
融合是依照業(yè)務(wù)開(kāi)展過(guò)程中會(huì)遇到的各類風(fēng)險(xiǎn),所提供的對(duì)應(yīng)安全技術(shù)手段的融合,能夠?yàn)闃I(yè)務(wù)提供全流程的保護(hù),融合安全包括從事前的資產(chǎn)風(fēng)險(xiǎn)發(fā)現(xiàn),策略有效性檢測(cè),到事中所應(yīng)具備的各類安全防御手段以及事后的持續(xù)檢測(cè)和快速響應(yīng)機(jī)制,并將這一過(guò)程中所有的相關(guān)信息通過(guò)多種方式呈現(xiàn)給給用戶。
能夠在事前對(duì)內(nèi)部的服務(wù)器進(jìn)行自動(dòng)識(shí)別,并且還能自動(dòng)識(shí)別服務(wù)器上開(kāi)放端口和存在的漏洞,弱密碼等風(fēng)險(xiǎn),同時(shí)還能判斷識(shí)別出的資產(chǎn)是否有對(duì)應(yīng)的安全防護(hù)策略以及是否生效。
在事中防御層面融合了多種安全技術(shù),提供了L2-7層完整的安全防御體系,確保安全防護(hù)不存在短板,同時(shí)還能通過(guò)安全聯(lián)動(dòng)功能加強(qiáng)防御體系的時(shí)效性和有效性,包括模塊間的聯(lián)動(dòng)封鎖,同云端安全聯(lián)動(dòng),策略的智能聯(lián)動(dòng)等。此外,下一代防火墻還廣泛的開(kāi)展第三方安全機(jī)構(gòu)合作,幫助用戶能夠在安全事件爆發(fā)之前就提前做好防御的準(zhǔn)備。
防火墻地域訪問(wèn)控制主要是通過(guò)對(duì)訪問(wèn)者的IP地址進(jìn)行歸屬地判斷,判斷所屬國(guó)家或地區(qū)是否能夠?qū)I(yè)務(wù)進(jìn)行訪問(wèn)。防火墻內(nèi)置了一個(gè)全球的IP地址庫(kù),并定期更新。地址庫(kù)由三部分組成:黑名單、白名單和全球地址庫(kù),用戶可以在WEBUI上對(duì)此地址庫(kù)配置黑白名單和IP歸屬地糾錯(cuò)。具體訪問(wèn)控制流程如下:
下一代防火墻在發(fā)現(xiàn)未知流量時(shí),將會(huì)主動(dòng)(配置允許的條件下)結(jié)合云安全將未知流量上傳到云端進(jìn)行未知威脅的檢測(cè)工作。云端可以通過(guò)監(jiān)測(cè)防火墻環(huán)境下的文件執(zhí)行情況、異常網(wǎng)絡(luò)行為、注冊(cè)表改動(dòng)等行為來(lái)進(jìn)行未知威脅的判定工作,再通過(guò)特征庫(kù)更新的方式下發(fā)到所有在線的下一代防火墻上。大量的未知流量發(fā)現(xiàn)新威脅特征,用以充實(shí)特征庫(kù),幫助用戶抵御最新的攻擊行為。
網(wǎng)絡(luò)設(shè)備積累了大量的網(wǎng)絡(luò)日志,包括安全事件、用戶網(wǎng)絡(luò)行為等等。這些網(wǎng)絡(luò)數(shù)據(jù)蘊(yùn)藏著巨大的商業(yè)價(jià)值,因?yàn)檫@些數(shù)據(jù)具備如下特征:
真實(shí)性:互聯(lián)網(wǎng)是相對(duì)隱蔽的空間,用戶真實(shí)心理和偏好都會(huì)在上網(wǎng)行為中體現(xiàn),同時(shí)一些日常難以發(fā)現(xiàn)的隱蔽性較高的風(fēng)險(xiǎn)行為,也容易在互聯(lián)網(wǎng)上發(fā)生。
完整性:區(qū)別于人工監(jiān)督管理,上網(wǎng)日志是全時(shí)刻完整記錄的,無(wú)遺漏,同時(shí)不受任何時(shí)間、位置的影響。
AC外置數(shù)據(jù)中心基礎(chǔ)上開(kāi)發(fā)全新架構(gòu),匯總海量的上網(wǎng)日志,對(duì)用戶行為特征進(jìn)行深度建模分析,基于不同場(chǎng)景的數(shù)據(jù)分析應(yīng)用,以應(yīng)用商店為載體,提供多種行為感知應(yīng)用,幫助客戶解決業(yè)務(wù)問(wèn)題,持續(xù)挖掘數(shù)據(jù)價(jià)值。
下一代防火墻對(duì)網(wǎng)站管理進(jìn)行二次認(rèn)證,防止網(wǎng)站管理員因密碼泄露而被篡改,并且對(duì)用戶網(wǎng)站服務(wù)器進(jìn)行web防護(hù),防止網(wǎng)站因webshell、sql注入等攻擊被篡改。
下一代防火墻采用自主研發(fā)的DOS攻擊算法,可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護(hù),實(shí)現(xiàn)L2-L7層的異常流量清洗。
安全感知平臺(tái)
是由防火墻延伸出來(lái)的安全感知平臺(tái),部署了安全感知平臺(tái)可通過(guò)web界面實(shí)時(shí)觀察全網(wǎng)業(yè)務(wù)資產(chǎn)、訪問(wèn)關(guān)系可視化內(nèi)網(wǎng)攻擊可視異常行為可視,分析及預(yù)警全網(wǎng)安全態(tài)勢(shì)感知網(wǎng)絡(luò)中的安全攻擊數(shù);
上網(wǎng)行為管理
上網(wǎng)行為管理是應(yīng)用于優(yōu)化帶寬管理,管控網(wǎng)絡(luò)應(yīng)用,管控上網(wǎng)權(quán)限,防范信息泄露,優(yōu)化上網(wǎng)環(huán)境等功能;
行為感知系統(tǒng)和上網(wǎng)行為管理高度耦合,在整個(gè)方案中,上網(wǎng)行為管理負(fù)責(zé)收集數(shù)據(jù),行為感知系統(tǒng)負(fù)責(zé)匯總和分析數(shù)據(jù),部署架構(gòu)圖如下:
行為感知系統(tǒng)用戶價(jià)值
上網(wǎng)行為管理AC一直秉持“讓上網(wǎng)可視可控,讓數(shù)據(jù)更有價(jià)值”產(chǎn)品理念,認(rèn)為海量的上網(wǎng)日志中一定蘊(yùn)含著對(duì)客戶有用的業(yè)務(wù)價(jià)值?;诖死砟?,同時(shí)深入了解客戶業(yè)務(wù)需求,創(chuàng)新提出行為感知系統(tǒng)。
系統(tǒng)基于海量的上網(wǎng)日志和用戶行為特征進(jìn)行深度建模,通過(guò)上網(wǎng)日志分析平臺(tái),以應(yīng)用商店為載體,提供多種行為感知應(yīng)用,每款應(yīng)用幫助客戶解決一個(gè)業(yè)務(wù)問(wèn)題。行為感知系統(tǒng)堅(jiān)持“讓數(shù)據(jù)更有價(jià)值”的理念,幫助用戶做到:
簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維管理;
發(fā)現(xiàn)組織行為風(fēng)險(xiǎn);
輔助決策/優(yōu)化服務(wù)質(zhì)量、提升組織效率。
行為感知系統(tǒng)架構(gòu)
數(shù)據(jù)分析平臺(tái)簡(jiǎn)述
行為感知系統(tǒng)采用的是上網(wǎng)行為管理AC數(shù)據(jù)分析平臺(tái),是由一個(gè)高性能、高穩(wěn)定性和可擴(kuò)展的數(shù)據(jù)計(jì)算與服務(wù)的平臺(tái)。
平臺(tái)的框架如下圖所示:
數(shù)據(jù)分析平臺(tái)整個(gè)框架分為四層:
存儲(chǔ)層:用于存放原始數(shù)據(jù)和中間數(shù)據(jù)。目前我們的數(shù)據(jù)格式包括:多維列式數(shù)據(jù)MDD、MDI多維索引和KVD(鍵值對(duì)數(shù)據(jù))等
處理引擎層:目前我們的主要處理引擎是核心計(jì)算框架,提供Map和Reduce算子,主要滿足統(tǒng)計(jì)分析需求。自定義計(jì)算則提供一些迭代計(jì)算功能,主要用于生成復(fù)雜報(bào)表以及機(jī)器學(xué)習(xí)和圖計(jì)算。
服務(wù)和接口層:在這一層里,我們不僅提供用于計(jì)算的接口,還提供一系列數(shù)據(jù)分析的相關(guān)服務(wù),如執(zhí)行工作流,表構(gòu)建服務(wù),查詢等,方便內(nèi)部應(yīng)用的開(kāi)發(fā)。
內(nèi)部應(yīng)用層:數(shù)據(jù)分析的應(yīng)用可以利用底層提供的服務(wù)和接口,專注領(lǐng)域數(shù)據(jù)價(jià)值的挖掘。
平臺(tái)主要關(guān)注OLAP場(chǎng)景的分布式實(shí)現(xiàn),但會(huì)保證和單機(jī)版的一樣,支持事務(wù)以及MVCC。我們平臺(tái)的主要特點(diǎn)有:
高性能:即方便擴(kuò)容和擴(kuò)展計(jì)算能力。一般通過(guò)增加機(jī)器,交換機(jī)和機(jī)架完成分布式的水平擴(kuò)展部署。通過(guò)移動(dòng)計(jì)算等軟件上的優(yōu)化,可以提高整個(gè)群集的I/O吞吐量。
數(shù)據(jù)存在副本:防止硬件損壞和機(jī)器失聯(lián)丟失數(shù)據(jù)。比如類似HDFS的三副本機(jī)制。
容錯(cuò)性:在計(jì)算過(guò)程中,機(jī)器掉電,JOB可以恢復(fù)執(zhí)行。某個(gè)機(jī)器的副本不存在,不影響一個(gè)表或者數(shù)據(jù)庫(kù)的完整性。
高可用性:一般指的是服務(wù)可用性,不會(huì)因?yàn)橐慌_(tái)機(jī)器的問(wèn)題影響整個(gè)群集,也就是沒(méi)有單點(diǎn)故障。
數(shù)據(jù)分析平臺(tái)的應(yīng)用
AC數(shù)據(jù)分析平臺(tái)是開(kāi)放式的架構(gòu),可以通過(guò)設(shè)計(jì)不同的底層數(shù)據(jù)引擎來(lái)滿足不同的業(yè)務(wù)需求。平臺(tái)發(fā)展至今,其應(yīng)用領(lǐng)域已經(jīng)超過(guò)了數(shù)據(jù)庫(kù)乃至于數(shù)據(jù)倉(cāng)庫(kù)的范疇,包括:
搜索引擎:數(shù)據(jù)分析平臺(tái)內(nèi)置高性能的多維索引引擎MDI,不僅可以滿足類似百度、Google那樣的關(guān)鍵字搜索引擎需求,也可以滿足數(shù)據(jù)倉(cāng)庫(kù)的查詢需求。性能方面,引擎可以支持每日上億條記錄的索引并且搜索秒級(jí)返回;功能方面,引擎支持的索引類型包括:
全文索引:用于關(guān)鍵字搜索。
位圖索引:一般用于不同值較少的字段,例如性別、線路、終端類型等。
普通索引:普通的倒排索引,適用于不同值較少的字段。
行程索引:適用于已經(jīng)排序好的字段,如時(shí)間等。
網(wǎng)貸行為大致分析過(guò)程如下圖所示:
敏感事件預(yù)知
熱門(mén)敏感事件和群體惡性事件是組織單位最為關(guān)心的問(wèn)題之一, 事件感知系統(tǒng)可以幫助組織及時(shí)發(fā)現(xiàn)隱蔽的敏感事件和惡性事件,為事件的妥善處置創(chuàng)造更多的時(shí)間,避免發(fā)生難以控制的負(fù)面影響。
自定義事件:設(shè)置事件的關(guān)鍵詞組,篩選傳播應(yīng)用和網(wǎng)頁(yè)。
事件關(guān)注度分析:分析事件關(guān)鍵詞的搜索次數(shù)和傳播次數(shù),給出活躍用戶排行。
可自定義編輯篩選
沉迷網(wǎng)絡(luò)分析
伴隨著科學(xué)技術(shù)的迅速發(fā)展,網(wǎng)絡(luò)已經(jīng)成為當(dāng)代學(xué)生獲取各種信息的重要渠道。但是學(xué)生過(guò)度沉迷網(wǎng)絡(luò)也存在較多的安全隱患。例如,影響學(xué)業(yè)、缺乏人際溝通、更有甚者出現(xiàn)心理問(wèn)題和網(wǎng)絡(luò)犯罪現(xiàn)象等。
通過(guò)沉迷網(wǎng)絡(luò)分析應(yīng)用可以幫助學(xué)校發(fā)現(xiàn)沉迷網(wǎng)絡(luò)的學(xué)生,便于進(jìn)行有針對(duì)性的輔導(dǎo)和教育,拯救更多被網(wǎng)癮毒害的學(xué)生。
案例效果
通過(guò)沉迷網(wǎng)絡(luò)分析應(yīng)用幫助學(xué)校發(fā)現(xiàn)沉迷網(wǎng)絡(luò)的學(xué)生,便于進(jìn)行有針對(duì)性輔導(dǎo)和教育。
沉迷網(wǎng)絡(luò)概況:沉迷上網(wǎng)總?cè)藬?shù),以及沉迷游戲、視頻等各類應(yīng)用的人數(shù)。
沉迷學(xué)生分析:分析學(xué)生上網(wǎng)時(shí)長(zhǎng)排行、熱門(mén)網(wǎng)絡(luò)應(yīng)用以及最近上網(wǎng)時(shí)長(zhǎng)趨勢(shì)。
圖書(shū)館資源優(yōu)化分析
學(xué)校圖書(shū)館資源越來(lái)越豐富,學(xué)校在資源上每年投入了高額成本。但仍存在以下問(wèn)題:
對(duì)已購(gòu)買(mǎi)的資源不知道利用率如何;
未購(gòu)買(mǎi)的資源不清楚是否應(yīng)該選擇增加投入購(gòu)買(mǎi);
存在惡意下載,用戶使用工具進(jìn)行批量下載資源,甚至將下載的資源賣(mài)給第三方從中獲利,導(dǎo)致IP遭到封殺,影響整個(gè)學(xué)校無(wú)法訪問(wèn)資源。
統(tǒng)計(jì)并聯(lián)動(dòng)分析封堵惡意下載資源行為,維護(hù)全體師生利益。
離職傾向分析
很多公司機(jī)密文件泄漏問(wèn)題的產(chǎn)生往往發(fā)生在即將離職的員工身上,離職的時(shí)候可能會(huì)帶走一些公司的機(jī)密數(shù)據(jù)。員工的突然離職也會(huì)導(dǎo)致人員職位出現(xiàn)空缺,給人事帶來(lái)人員變動(dòng)的麻煩,同時(shí)會(huì)給業(yè)務(wù)帶來(lái)負(fù)面的影響。因此,需要提前識(shí)別出有離職傾向的員工,做到提前發(fā)現(xiàn)、提前介入解決,幫助企業(yè)更好的規(guī)避風(fēng)險(xiǎn)。
離職員工風(fēng)險(xiǎn)查詢:針對(duì)有離職傾向的人員進(jìn)行詳細(xì)分析,給出離職風(fēng)險(xiǎn)的判定依據(jù)。對(duì)于公司的核心員工或骨干人員可以添加特殊關(guān)注,定向?qū)iT(mén)分析。