天融信云安全监控服务白皮书

1、天融信云安全监控服务销售白皮书天融信tch=sec北京天融信公司2012年8月天融信云安全监控服务3目 录1 服务背景 41.1 各类网络安全产品的大量使用带来新的工作挑战 41.2 web的广泛应用导致针对 web服务器的攻击日益盛行 51.3 天融信云安全监控服务 62 服务说明 72.1 天融信安全设备远程监控服务 72.1.1 目标客户 72.1.2 产品功能 72.1.2.1 多方位可用性监控 72.1.2.2 策略评估 92.1.2.3 策略监控 102.1.2.4 策略备份 102.1.2.5 智能风险防御 102.1.2.6 设备更新管理 102.1.2.7 备件响应服务 11

2、2.1.2.8 内网事件分析 112.1.2.9 外网事件分析 112.1.2.10 日志云存储服务 112.1.3 典型应用 122.2 天融信网站监控防护服务 122.2.1 目标客户 132.2.2 产品功能 132.2.2.1 可用性状态监控 132.2.2.2 敏感字监控 132.2.2.3网站页面防篡改监控和网页恢复132.2.2.4 网站遭受攻击后并可能产生影响时，是否被风险隔离 142.2.2.5 实时阻断对web服务的各种攻击行为 142.2.2.6 web 漏洞检测 142.2.2.7 防拒绝服务攻击 152.2.2.8 异常外联事件分析 152.2.2.9 日志云存储服务

3、 152.2.2.10 安全信息通报服务 152.2.3 典型应用 163 服务特点 163.2 更彻底的网站防护及页面防篡改、页面恢复 163.3 强大的web网站防护能力 163.4 符合国家信息安全评测的标准和结果 173.5 提供专业的网站防护巡检、评测、加固、应急等持续性服务 173.6 有效提升网络安全设备的防护价值和风险控制能力 173.7 云安全在线监测服务提供全天侯监控和即时预警 173.8 提供安全设备和网站防护的日志存储服务 183.9 以结果为导向的“托管式全方位服务” 183.10 丰富经验和专业技术的保障 183.11 解决实际问题的专家级报告 184 客户收益 1

4、9笈醴上天融信云安全监控服务1服务背景1.1 各类网络安全产品的大量使用带来新的工作挑战过去的十多年来，网络安全形势一直十分严峻，重大网络安全事故频频发生。 随着社会各界对网络安全的重视程度越来越高，很多政企机构都购买部署了各种 类型的网络安全设备，如防火墙、idp、vpn、防病毒网关等来保护自己的信息 系统资产。但是随着用户网络规模的扩大和网络安全设备数量的增多，网络管理员又面临新的问题：所有的这些网络安全设备，数量众多，型号多样，功能各异，网络管理员只能对每个产品或每种产品单个管理，缺少统一的管理手段。大量网络安全设备在不同位置的使用导致这些设备的策略管理非常麻烦，比如设备上线前策略的规划

5、和制定是否符合安全需求，策略变动是否是合理的管理行为，策略变化之前是否有备份，等等。网络安全技术日新月异，说一日一变都不为过，而相应的网络安全产品更新 也非常之快，大量的网络安全产品更新任务也大大增加了网络管理员工作。工作时间之外的网络安全事件层出不穷，而往往网络安全事件就发生在5x8 小时之外，缺少全天侯安全监控人手和工具。由于技术方面缺少专业的网络安全研究团队支撑，大多数管理员很难跟上网络安全技术发展，这导致管理员在发生新的网络攻击和安全事件时缺少足够的应对办法。设备出现问题时可能缺少救急用的对应型号的网络安全设备顶替，而如果每 种型号的安全设备都自购备件的话，会导致成本的大大增加和可能的

6、浪费。海量的安全事件和操作日志缺少统一的管理和存储，可能就在安全设备本身 上存放，针对这类最有价值的信息资产缺少统一的管理存储分析手段和技术。综上所述，可以看出，网络安全设备的维护和管理是否专业直接影响到潜在网络安全风险的高低，如何在现有网络安全设备的基础上，通过收集和整合各类 用户关心的安全事件，挖掘用户关注的业务价值，满足用户日益复杂的信息系统 实际安全管理需要，对网络管理员维护系统安全提出了重大挑战。1.2 web的广泛应用导致针对 web服务器的攻击日益盛行伴随着互联网技术与用户的业务密切结合，电子商务和电子政务用户利用web网站来实现其业务流程的趋势日趋明显。但是，商业对手的恶意竞争

7、，国 内外各类非法组织的不良企图，离职员工的不满情绪泄愤等等各种原因都越来 越导致web网站安全问题日益突出：网页篡改：各类黑暗势力的反华宣传，可能篡改有影响力的政企web网站网页，这会严重影响单位形象，甚至带来负面政治影响。网站攻击：网站核心资产被入侵，机密信息泄露会严重危害单位业务和竞争拒绝服务：为打击竞争对手业务，拒绝服务攻击可能造成客户的大量流失。被动下线：被篡改系统或作为攻击机后，可能导致被监管部门勒令下线整改。法律风险：可能带来大量法律方面的风险，比如成为钓鱼网站传播的媒介， 损害访问者的利益（网银、游戏等各类密码）。针对这两块独特而复杂的网络安全领域，天融信公司集十余年信息安全研

8、 发经验和安全服务实践，推出“云安全监控服务”。1.3 天融信云安全监控服务“天融信云安全监控服务”为用户提供托管式的“安全设备远程监控服务” 和“网站监控防护服务”两大服务内容， 针对用户的网络安全设备和网站进行全 天侯安全监控、安全告警、攻击阻断，并提供可视化报告和解决方案。“天融信云安全监控中心”是网络时代信息安全防护手段的最新体现，它以 云安全运维监控团队为服务核心和发起点， 整合公司各技术团队（安全技术团队、 攻防实验室团队、公司研发团队、客户本地技术支持团队）和相关安全产品、管 理平台资源，为用户提供最实时最实用的网络安全解决方案。“天融信云安全监控中心”存在自适应自学习能力，它融

9、合了并行处理、 网 格计算、未知攻击行为判断等新兴技术和概念，每一个技术团队、 每一个客户服 务点，都会在自己的岗位上为用户网络安全监控发挥自己的作用， 通过网状的大 量安全事件，对网络中的异常行为进行监测研究和趋势判断， 获取互联网中各种 恶意程序的最新信息，推送到服务器端进行自动分析和处理， 再把各类安全事件 的解决方案分发到每一个相关客户手中。2服务说明2.1 天融信安全设备远程监控服务大融信安全设备远程监控服务是大融信安全服务团队依托专业的安全管理 系统平台，结合用户对网络安全设备的管理需求，以灵活多样的服务包为主要形 式，针对不同的it环境进行安全监控、安全告警等，并提供可视化报告和

10、统计的 一种服务。安全设备监控平台提供了高实时性和全方位的监控和管理服务。通过大融 信安全设备监控平台提供的智能向导、强大的管理工具和灵活的监控服务，实 现对用户的安全设备和业务服务器进行全面监控和保障，从而提升整个业务网 络的安全性和稳定性，大大降低企业的运维安全风险和成本。2.1.1 目标客户安全设备监控服务包主要监控对象：天融信自研的安全网关，包括防火 墙、vpn、入侵防御、防病毒网关和 utm。2.1.2 产品功能安全设备监控服务包主要提供以下内容：2.1.2.1 多方位可用性监控大融信安全设备监控平台是实现安全设备监控服务的核心，它提供了一系列 强大的监控和管理功能，通过一个直观、易

11、用的 web界面来展现，对重要对象 的可用性进行监测，帮助用户监控以下功能：设备可用性监测、隧道可用性监测、 业务服务器可用性监测、业务网络可用性监测、可用性质量综合评分等，实现对 用户业务的实时性、持续性、安全性进行保护。多方位可用性监控的主要目的是保障用户安全设备的可用性和稳定性，通 过对设备在线情况、cpu内存连接数等性能信息、接口流量信息、隧道连通信 息、隧道流量信息进行实时监控和综合统计、分析，从而判断出设备的健康度。通过7*24小时不间断的实时监控和及时报警，第一时间发现安全隐患并通知用户，并提供详细的问题分析和解决建议。定期提供丰富的审计报表，包括每类信息的运行详细和所有设备的运

12、行情况汇总，以饼图、柱图、曲线图和列表等多种形式显示信息，使用用户能够一 目了然的获知设备运行信息。服务人员通过拓扑图等多种方式，实现对设备、隧道等进行各种管理和监控，图形化的添加设备和安全域，建立设备间的隧道，实现对设备性能信息的监视，包括cpu信息、内存信息、接口信息和连接信息等。另外，对于具有vpn功能的设备还提供了隧道监控和 vrc监控功能。通过大融信安全监控平台能够最全面的了解整个网络， 包括：设备的可用性、接口流量、版本、许可证、配置信息、路由信息和日志等；全网拓扑、设备性能 排行、设备接口流量排行；隧道协商状态、隧道流量趋势、隧道传输细节、vrc用户信息、虚拟路由信息；全网攻击事

13、件、病毒信息、木马信息、应用分布流量2.1.2.2 策略评估安全策略评估功服务由天融信安全顾问团队负责，基于监控平台定期对防 火墙、入侵防御、防病毒等设备的安全策略进行合规性和安全性的监测与评估， 提供专业的评估报告。主要针对入侵、网络攻击、拒绝服务（ dos）攻击，以 及蠕虫、网络病毒、特洛伊木马、问谍件和广告件等做出策略评估，并给出改 进建议，进一步的提高设备的使用价值。长期的防火墙策略管理以及复杂的防火墙部署过程中，防火墙规则集可能会比较凌乱，随着时间的发展，这些规则集可能与安全策略脱轨，同时也有可能产 生没有用或策略漏洞的规则，大融信安全设备监控平台可以实现远程对设备的安 全策略进行评

14、估，帮助用户实现设备策略的安全防护：静态策略评估：通过静态检查设备配置文件的方式，结合大融信和用户工程经验，识别出配置文件中有风险的规则，给出改进建议。包括管理类配置、接口类配置、网络类配置、 acl类配置、高可用性类配置等方 面；设备安全自检策略：通过检查设备的时间是否同步，管理员密码强度等方面来提高设备的安全性；策略安全综合评分：根据策略安全性的各项检查项，进行综合评分。策略优化：检查设备是否配置了不安全的外部访问策略，提供大融信的 安全配置建议，检查策略冲突情况；根据实际访问情况，评估策略的使 用情况，给出优化建议。2.1.2.3 策略监控安全设备的策略一旦发生变化，则安全监控中心会告警

15、，通知客户进行确认 并记录策略变更。实现设备配置的版本管理，监控设备配置是否被修改，被修改的风险等级判 断，并提供不同策略版本之间的比较功能。2.1.2.4 策略备份策略定期备份：针对有需要的用户，定期自动进行网络安全设备策略的备份， 以防止管理员策略变更后缺少备份。2.1.2.5 智能风险防御当被保护的对象遭受攻击时，监控中心根据风险的特性，自动生成安全设备 防护策略规则，让安全设备主动进行风险防护或对管理员提供优化规则建议。2.1.2.6 设备更新管理更新管理能确保用户使用的设备操作系统版本、病毒库版本、攻击识别库版 本等为最新版本，保证用户网络能够对最近发生的安全威胁进行实时、 有效的防

16、 御。安全设备监控平台提供了定期监测设备相关的更新信息，给出更新建议。也可以事先配置好设备自动升级和软件自动分发功能，在有新的规则库和系统软件发布时，第一时间更新到用户的设备上，执行更新操作，实现了版本检测、升级 管理和软件分发、license管理、设备系统软件管理、设备客户端软件管理、crl 管理、签名库管理（管理设备各类签名库，有攻击检测规则库、应用识别库、url库、病毒库等）等，有效保护用户的资产安全防护有效性和安全防护的实 时性。同时支持设备升级计划任务形式，在业务空闲时进行设备的批量自动升级， 保证用户业务本身不受影响。2.1.2.7 备件响应服务主要包括大融信系列网关产品，服务期限

17、外的设备故障替换、设备应急处理、 现场支持等。2.1.2.8 内网事件分析深度分析设备收取的内网安全事件或异常行为，帮助用户净化内部网络，维护内网安全合规性。对持续出现违反安全规则的，作出重点报告。2.1.2.9 外网事件分析深度分析设备抓到的外网攻击行为， 协助用户提高安全配置，对重点攻击ip 进行隔断或调查。2.1.2.10 日志云存储服务帮助用户网站实现符合国家政策法规、 标准规定的日志收存查和深度分析功 能，并使组织满足等保、分保等政策标准的一体化解决方案。11笈醴上天融信云安全监控服务2.1.3 典型应用vmhir7出网用户内网门由中心it1t的椅其他分支机构上海就那旧券片已阍忖户广

18、州分支机梅2.2 天融信网站监控防护服务天融信网站防护服务是大融信经过多年行业深厚技术积累和应用实践经验， 凭借历经奥运、亚运、世博、两会等大型活动安全保障的考验，以及在多个网站 防护项目上的经验积累，为客户网站提供：一、网站页面是否被篡改和被恢复监 测；二、网站是否可用性状态监控；三、网站安全是否符合国家评测机构相关规 定；四、网站遭受攻击后并可能产生影响时，是否被安全阻断和隔离；五、及时 的安全应急及安全信息通报服务。天融信网站防护服务通过远程安全检测和实时监控，可以实时将源站保护 起来，既能保证其内容不会被黑客篡改，又能将各种攻击影响降到最低，同时 保障网站信息的正确性、政务服务的可用性

19、和信息反馈的畅通性。天融信网站防护服务为了达到对网站进行持续防护的目的，我们还将为客 户提供后续的网站扫描、风险评估及加固、应急处理，网站安全评测，网站安 全通告服务，第一时间向客户预警并帮助客户处理可能发生的网站安全风险事 件。2.2.1 目标客户政务网站、教育网站、行业企业网站，电子商务网站、金融网站等客户。2.2.2 产品功能2.2.2.1 可用性状态监控对客户的网站系统进行7x24小时监控，当客户的网站不能访问或者访问异 常，向客户及时报警。2.2.2.2 敏感字监控监测网站页面中是否存在反动、色情等敏感信息，一旦发现及时向客户预警, 提醒客户采取应对措施。2.2.2.3 网站页面防篡

20、改监控和网页恢复采用独特专业技术，不需要在 web服务器上装载任何软件，一旦发现网页 被篡改就及时恢复，同时通过页面告警、声音、邮件、短信的方式通知在线监测人员及用户，进行保护性防护。采用了一种快速监测方法，70%80%的网页篡改行为都能在1s内被发现。特点：支持在线监控和离线监控；支持日志、禁止、恢复动作；支持根路径、 非根路径分别设置检测时间问隔；支持轻度、深度两种级别检测策略。2.2.2.4 网站遭受攻击后并可能产生影响时，是否被风险隔离采用大融信独特的技术，当发现网页两次或以上被篡改又被恢复时， 根据用户 的权限设置，可以实现网站和互联网络的物理隔离，实现网站的彻底安全性，减 少风险的

21、扩大性，有效控制风险的蔓延，等处理完毕后，可自动进行恢复。2.2.2.5 实时阻断对web服务的各种攻击行为天融信网站防护系列实现了恶意代码主动防御、网页的文件过滤驱动保护、 防跨站攻击、防sql注入、自身抗网络攻击等功能，不但保障了网页不会被篡 改，而且还可以保障网站可以被安全、 高效的访问，对网站系统进行自动化的漏 洞扫描，以发现目标网站系统的全弱点为目标， 对网站中指定网页范围进行网站 高危脚本漏洞挖掘验证，包括 sql注入、xss攻击、恶意执行逻辑错误等典型 脚本漏洞信息，并对网站中指定网页范围进行网站高危脚本漏洞挖掘验证。2.2.2.6 web漏洞检测对网站系统进行自动化的漏洞扫描，

22、以发现目标网站系统的全弱点为目标， 对网站中指定网页范围进行网站高危脚本漏洞挖掘验证，包括sql注入、xss攻击、恶意执行逻辑错误等典型脚本漏洞信息， 并对网站中指定网页范围进行网站高危脚本漏洞挖掘验证。2.2.2.7 防拒绝服务攻击全面防御 syn flood、icmp flood 、udp flood 、dns flood , dhcp flood 、 cc等几十种dos/ddos攻击行为2.2.2.8 异常外联事件分析对网站流出的异常流量和行为进行分析，防止网站成为攻击跳板或钓鱼网 站。2.2.2.9 日志云存储服务日志云存储服务：帮助用户网站实现符合国家政策法规、标准规定的日志收存查和

23、深度分析功能，并使组织满足等保、分保等政策标准的一体化解决方案。2.2.2.10 安全信息通报服务提供最新安全资讯，使客户实时掌握最新的安全动态，同时当发现与网站系 统相关的紧急安全漏洞或事件，将第一时间通知。安全通告的方式有短信、电话、 电子邮件。15笈醴上天融信云安全监控服务2.2.3典型应用3服务特点3.1 更彻底的网站防护及页面防篡改、页面恢复监控中心一旦发现网站页面被篡改， 可即时进行自动恢复，并通报用户。发 生两次以上的篡改，根据用户定义，可以自动进行网络隔离以提供更彻底的安全 保障，避免事件造成更大的影响。3.2 强大的web网站防护能力强大的web网站防御平台和知识库，全面的网

24、站漏洞自扫描监测功能，强大的防火墙联动阻断功能。3.3 符合国家信息安全评测的标准和结果服务过程、服务手段、服务平台、服务团队、服务输出等，符合国家相关安 全监管要求，相关成果可作为单位信息安全评测的参考依据和原始素材。3.4 提供专业的网站防护巡检、评测、加固、应急等持续性服务为客户提供完整的延续性的安全保障服务，包含安全评估服务、安全加固服务、安全巡检服务、安全应急服务、安全在线监测服务、符合法规的安全测评服 务等。3.5 有效提升网络安全设备的防护价值和风险控制能力由于大量的安全设备的部署和使用，对这些设备的安全维护和管理是否专业 就直接影响到了整个信息系统的安全性。如何在现有安全设备的

25、基础上，通过收集和整合用户关心的安全事件、 挖掘用户的业务关注价值、以满足日益复杂的信 息系统安全管理需要，这对网络管理员维护系统安全提出了重大挑战。 天融信云 安全监控中心从专业的角度，能帮助用户有效提高安全设备的防护价值和风险控 制能力。3.6 云安全在线监测服务提供全天侯监控和即时预警为用户提供7x24, 7x8 ,5x8小时的在线监控防护，为用户解决 8小时之 外的安全事件，使用户高枕无忧。全天候在线监控中心，可实现客户的信息安全 管理从被动防御到事前防范、事中监控与即时阻断、事后取证与总结完善的完整 信息安全防护流程。发现重大安全问题及时向客户进行预警，预警的方式有电子邮件、短信、电 话等方式。协助客户及时解决自有安全设备的可用问题、以及网站安全问题。3.7 提供安全设备和网站防护的日志存储服务提供全面的日志收存查和深度分析，并使组织满足等保、分保等政策法规、 标准规定的一体化解决方案。3.8 以结果为导向的“托管式全方位服务”用户往往并不太关心整个安