数据中心和大数据安全方案-电科院

1、.wd.wd.wd.数据中心与大数据安全方案数据中心与大数据安全概述随着信息技术的迅猛开展，大数据技术在各行各业的逐步落地，越来越多的单位和组织建设数据中心、部署大数据平台，进展海量数据的采集、存储、计算和分析，开发多种大数据应用解决业务问题。在大数据为业务带来巨大价值的同时，也带来了潜在的安全风险。一方面，传统数据中心面临的安全风险如网络攻击、系统漏洞等依然存在；另一方面，针对大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显，一旦数据被非法访问甚至泄漏损失非常巨大。数据中心与大数据安全风险分析数据中心和大数据环境下的安全风险分析如下：合规性风险：数据中心的建设需满足等级保护或

2、分级保护的标准，即需要建设安全技术、管理、运维体系，到达可信、可控、可管的目标。为了满足合规性需求，需要在安全技术、运维、管理等方面进展更加灵活、冗余的建设。根基设施物理安全风险：物理层指的是整个网络中存在的所有的信息机房、通信线路、硬件设备等，保证计算机信息系统根基设施的物理安全是保障整个大数据平台安全的前提。边界安全风险：数据中心的边界包括接入终端、服务器主机、网络等，终端包括固定和移动终端都存在被感染和控制的风险，服务器主机存在被入侵和篡改的风险，数据中心网络存在入侵、攻击、非法访问等风险。平台安全风险：大数据平台大多在设计之初对安全因素考虑较少，在身份认证、访问控制授权、审计、数据安全

3、方面较为薄弱，存在冒名、越权访问等风险，需要进展全方位的安全加固。业务安全风险：大数据的应用和业务是全新的模式，在代码安全、系统漏洞、Web安全、访问和审计等多个方面存在安全风险。数据安全风险：由于数据集中、数据量大、数据价值大，在大数据环境下数据的安全尤为重要，数据的访问控制、保密性、完整性、可用性方面都存在严峻的安全风险。运营管理风险：安全技术和策略最终要通过安全运营管理来落实，安全运营管理非常重要，面临管理疏漏、响应不及时或力度不够、安全监控和分析复杂等风险。数据中心与大数据安全解决方案设计原那么本方案需要充分考虑长远开展需求，统一规划、统一布局、统一设计、标准标准，并根据实际需要及投资

4、金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。在方案设计和工程建设中应当遵循以下的原那么：合规性和标准化原那么安全规划和建设应严格遵循国家信息安全等级保护或分级保护标准和行业有关法律法规和技术标准的要求，同时兼顾参考国际上较为成熟的ISO27000、CSA的成熟范例，从技术、运行管理等方面对工程的整体建设和实施进展设计，充分表达标准化和标准化。国产自主化原那么大数据中心信息的安全，关乎整个上层应用的信息系统平稳运转和工作正常开展，采用国产化自主可控的硬件和软件进展数据中心和大数据安全，防止国外技术封锁和后面带来的 基本性安全风险。适度安全原那么任何信息系统都不能做到绝对的安全，

5、在安全规划过程中，要在安全需求、安全风险和安全成本之间进展平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此该安全规划在进展设计的过程中，一方面要严格遵循 基本要求，从物理、网络、主机、应用、数据、虚拟化、虚拟网络等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合考虑业务和成本的因素，针对信息系统的实际风险，提出对应的保护强度，并按照保护强度进展安全防护系统的设计和建设，从而有效控制成本。技术管理并重原那么信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品

6、很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性。先进性和成熟性原那么所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。首先，云产品必须成熟，更加遵守标准。第二，云供应商必须与用户签署相关合同协议，这有助于客户满足云合规性的需求。并且，选择目前和未来一定时期内有代表性和先进性的成熟的安全技术，既保证当前系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可扩展性。动态调整原那么信息安全问题不是静态的。信息系统安全保障体系的设计和建设，必须遵循动态性原那么。必须适应不断开展的信息技术和不断改变的脆弱性

7、，必须能够及时地、不断地改进和完善系统的安全保障措施。保密原那么工程的整体过程和结果应严格保密，涉及工程的所有人员均需签署保密协议，未经授权，对工程涉及的任何信息不得泄露。总体架构针对数据中心与大数据安全的安全分析，基于上述设计原那么，数据中心与大数据安全的总体架构如下：针对数据中心与大数据安全威胁的多样化、体系化，防御体系利用先发优势，在各个层面进展纵深覆盖，实现风险分化、协同互补，构建一套环环相扣的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多重纵深防御体系。从云端到终端、从业务到数据、从事前到事后，为数据中心提供无所不在的全方位保护，在大数据环境中为用户提供多层次、多

8、维度、体系化纵深防御的解决方案，综合提升应对新型安全威胁的能力，真正做到看得见的安全和有效安全。威胁感知：360建设了基于大数据安全分析和威胁情报的云计算中心，形成有效对抗新型威胁的防御和检测体系，通过该体系，可以挖掘未知威胁、预知风险，全面、快速、准确地感知过去、现在、为了的威胁态势，同时经过提炼后的情报信息会实时同步到边界、业务、数据安全防护体系中，大幅提升边界、平台、业务、数据的整体安全防护能力。边界安全防护：基于业务的风险和控制需求，划分不同的物理/逻辑安全区域，在安全区域边界、网络出口边界、无线接入边界、终端接入边界建设健全的边界立体防控体系，基于天擎终端安全、天堤网关安全等产品实现

9、边界协同防御，同时通过与威胁情报中心的情报交互，以及流量的上下文情景感知分析，实现动态策略自动下发与阻断，将或未知威胁阻断在边界之外，有效保护各边界区域的网络信息安全。平台安全防护：通过建设大数据分布式环境中的4A体系账号Account、认证Authentication、授权Authorization、审计Audit，保证只有具备合法账号、通过身份认证、经过访问授权的人才能使用大数据平台，且具备平台各个系统使用和访问的集中统一审计与监控。业务安全防护：通过对业务和应用的深入分析，从业务系统的代码缺陷、自身加固缺乏入手，再对用户数据业务访问的行为详细审计分析，进展源代码安全检测、分析、溯源、缺陷

10、管理，建设系统漏洞管理和响应机制；对Web系统进展安全扫描、监测、防护；进展日志、数据库、大数据方面的审计。数据安全防护：对大数据平台中的数据进展加密和数据密级管理，基于分布式数据复制、校验等技术实现数据的完整性、可用性，通过网关敏感信息检查、终端敏感信息检查、终端数据加密实现数据的安全可控和防泄漏。数据中心和大数据安全体系的设计理念是在整体安全攻防体系下考虑大数据平台和数据安全，主要特点如下：安全体系是一个整体：大数据安全不是孤立的，要基于整体安全攻防体系来构建大数据安全。整体安全攻防体系包括威胁感知、边界安全、平台安全、业务安全、数据安全等。大数据环境的4A体系：在分布式、海量数据的大数据

11、环境中，构建用于大数据平台内所有系统的统一账号Account、认证Authentication、授权Authorization、审计Audit4A体系。大数据加密体系：所有数据加密存储、加密传输，实现数据密级管理体系，根据不同密级的数据选择不同强度加密算法、数据多层加密。差异化多级防御：不同安全产品基于不同安全技术从不同角度保护系统的安全，防止单点被突破后整体安全沦陷。安全威胁感知基于360云端大数据中心和企业本地大数据中心以及数据中心流量分析，安全威胁感知体系可以及时洞察展现数据中心的安全威胁和安全态势。360态势感知与安全运营平台NGSOC及时发现本地的威胁和异常，同时通过图形化、可视化的

12、技术将这些威胁和异常的总体安全态势进展展现。360天眼能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进展精准定位，最终到达对入侵途径及攻击者背景的研判与溯源。360 NGSOC和360天眼都基于云端威胁情报中心提供的可机读威胁情报与本地流量数据相结合，威胁情况可以根据数据中心实际情况采取在线产线、云端推送、离线拷贝等多种灵活方式进入数据中心。威胁态势感知360态势感知与安全运营平台NGSOC是基于360威胁情报和本地大数据技术的对用户本地的安全数据进展快速、自动化的关联分析，及时发现本地的威胁和异常，同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势展现给用户的系

13、统。360态势感知与安全运营平台一方面可基于360自有的多维度海量互联网安全数据，进展情报挖掘与云端关联分析，提前洞悉各种安全威胁，并将威胁情报以可机读格式推送到本地系统，供本地威胁检测和分析时使用，另一方面，360态势感知与安全运营平台可对本地全量数据进展采集和存储，利用大数据技术在本地进展安全数据分析和威胁溯源。整个设计将遵循发现、阻断、取证、溯源、研判、拓展的安全业务闭环设计，使得用户能通过产品各个功能模块完成威胁处置的全过程。360态势感知与安全运营平台NGSOC主要实现以下功能：日志检索日志检索APP的主要功能是对采集到的全量原始日志进展快速检索，可实现千亿条日志秒级检索的性能。关联

14、分析关联分析APP是方便安全分析人员对多维度数据进展关联并分析攻击路径、取得攻击证据链的工具。在此APP上安全分析员可以将原始网络流量日志、原始主机日志、安全设备告警、威胁情报、互联网根基数据等多维度数据进展关联，寻找攻击者的在内网留下的痕迹，对攻击进展溯源和研判，并按照时间维度形成攻击证据链。威胁情报利用通过从360云端获取在线查询、云端推送或离线拷贝可机读威胁情报，本地系统可自动创立分析规那么，对本地网络中采集的数据进展实时比比照对，发现可疑的连接行为；同时，可利用威胁情报对历史数据进展比对，以发现曾经发生过的APT攻击行为或本地网络中的Botnet主机，并可利用情报对安全事件进展溯源分析

15、。告警响应中心360态势感知与安全运营平台采集的数据维度较多，太多的日志和告警反而让安全管理员无从下手。通过告警响应中心，安全管理员可将多个不同维度的数据进展关联后再做研判，这样可大大减少有效告警数量，提升安全管理效率。在告警响应中心，安全管理员可将潜在的威胁的判定逻辑做成关联规那么，实时的发现符合威胁判定逻辑的内网行为，并产生告警。在发现关联告警后，安全管理员可将告警内容和响应建议通过邮件、短信等方式发送给指定的安全事件处置人员，或者将其推送到下级处置中心，如：天擎终端管控中心。在下级处置中心完成事件处置后，告警响应中心会将告警事件标记为“已处置。报表中心提供丰富的报表管理功能；根据时间、数

16、据类型等定期自动生成报表，提供打印、导出以及邮件送达等服务；直观地为管理员提供决策和分析的数据根基，帮助管理员掌握网络及业务系统的状况。报表可以保存为HTML、EXCEL、文本、PDF、WORD、PNG等多种格式，提供报表模版的导入、导出功能，用户可根据需求自定义相关报表模版进展数据的导入、导出。网站监控网站监控APP是用于监测网站安全性与可用性的系统，与常见监控技术不同的是网站监控APP采用了云扫描、互联网漏洞众测平台及云多点探测等新技术，解决了以往网站监测仅依靠本地漏洞扫描及人工值守存在的时效性和准确性等问题。网站监控系统能通过云扫描技术对大量网站同时进展漏洞扫描，并具备篡改、挂马及暗链的

17、发现能力，通过互联网漏洞众测平台保证漏洞包括WEB 0Day发现的准确性及时效性，通过云多点监测全天候对大量网站进展可用性监测。安全仪表板利用系统采集的海量数据，并根据用户不同的安全分析应用场景，精心定义了四类不同的安全仪表板，分别为资产威胁视图、互联网威胁视图、安全告警视图、资产安全监控视图。资产威胁视图中定义了内网资产拓扑、资产安全事件告警及漏洞统计、资产风险统计、组件状态等仪表板；互联网威胁视图中定义了外部威胁视图、外联安全事件告警统计、外联安全事件告警详情等仪表板；安全告警视图中主要定义了安全事件告警详情、安全事件告警处置、安全事件处置状态等仪表板；资产安全监控视图中主要定义了安全域资

18、产信息统计、安全域各维度告警及风险统计、安全域所包含资产的漏洞详情等仪表板。通过这些仪表板的使用，极大提高了安全事件的可视化展现能力，同时帮助分析人员从视图中快速发现异常，提供深入分析的线索。可视化的事件溯源分析通过利用威胁情报发现APT攻击或Botnet主机后，可进一步通过系统提供的可视化分析工具和海量的云端安全数据，对事件进展溯源分析，在互联网范围内发现类似的攻击事件，找出攻击事件背后的团伙和实际的攻击者，提高分析人员对安全事件的溯源分析能力。态势感知大屏态势感知大屏APP提供4种面向不同安全场景的态势监控界面：APT攻击态势、DDoS攻击态势、僵木蠕毒安全态势和网站安全态势。大数据安全分

19、析360天眼新一代威胁感知系统以下简称“天眼可基于360自有的多维度海量互联网数据，进展自动化挖掘与云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报。同时结合部署在客户本地的大数据平台，进展本地流量深度分析。360天眼能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进展精准定位，最终到达对入侵途径及攻击者背景的研判与溯源，帮助企业防患于未察。360天眼的功能如下：天眼分析平台威胁感知能够接收云端提供的威胁情报，对网络中的威胁事件进展发现和告警威胁情报可支持在线和离线升级两种方式对于重要的未知威胁告警，将告知客户攻击背景信息可提供未知威胁在本地发生的具体时间

20、和受害主机地址能够对未知告警的受害IP进展搜索能够对未知威胁告警进展处理，可设置已处理、未处理、忽略等状态威胁详情展示，以时间轴的方式展示日志分布，和螺旋图形成两套可选方案，用户自行选择点击图标切换两种显示方式。用户点击后可保存当前选择为后续的默认选择提供告警数据导出功能，以excel表格式导出告警数据日志检索可对TB级日志做到快速搜索，搜索时间小于30s可将日志区分为普通流量日志和告警日志，并可按照不同的日志类型就行日志筛选网络流量日志至少包含DNS、 、TCP、FTP、LDAP、SMTP、IMAP、POP3等网络流量行为日志，并可按照以上应用协议的各个关键字段搜索日志流量日志记录至少包含以

21、下字段：时间、IP、IP地理位置、端口、域名、 头信息、SQL语句、邮件收件人和发件人、文件名、文件MD5、应用层payload前100字节。可对流量日志的关键字段进展追加搜索，从上一次的搜索结果中重新按照新的规那么搜索日志可将IP地址的地理位置信息及AS号解析出来可展示日志的时间分布支持日志导出可筛选关键字段展示，隐藏不必要的日志信息所有日志均可以标准化接口形式提供可以搜索文件访问行为，并展示复原流量中文件的MD5和文件名支持搜索历史记录，点击后可重新搜索支持规那么搜藏，导入导出支持基于选择字段的快速搜索支持lucence语法高级搜索支持搜索结果导出，以excel格式导出，导出条目数不超过5

22、000操作审计功能提供审计日志功能，能够记录所有对产品的配置修改、数据修改、数据检索、登录登出等操作。提供审计日志筛选搜索功能，能够按照时间段、角色、用户、操作类型筛选审计日志提供审计日志展示功能，可以展示操作日志的操作时间、角色、用户、用户登录IP、操作类型和具体操作细节。提供审计日志统计功能，可以按照时间轴展示时间轴上操作数量的分布，时间轴可以圈选、拖动、同日志检索系统的时间轴状态显示功能一周日志统计功能，当前时间向前7天的每日日志数量趋势，统计本周日志总量。一周告警统计功能，包含APT和非APT的比例和条目数集群状态展示，展示集群服务器数量，集群状态，各服务器数据盘占用率以及主从情报信息

23、，展示情报总量，更新次数和最近更新日期系统信息，分析平台当前节点的CPU、内存占用证书信息，当前系统的证书类型，服务起止时间，情报时间联动设备状态信息，联动设备的连接状态，设备以设备名，绿色连接正常，红色链接异常。管理功能能够支持时间同步，支持NTP V4.0协议能够提供网络管理功能，可进展静态路由配置屡次登录失败将锁定账号5分钟内不得登录可支持在线升级和离线升级两种升级方式，并支持定时自动升级可实时监控设备的CPU、内存、存储空间使用情况。可新增并管理用户，可控制用户使用权限。权限包含：管理权限、应用权限、设备权限、数据权限等。可支持用户初次登陆强制修改密码功能。部署情况可支持集群部署，可水

24、平扩展至多台设备集群，以应对大量数据情况，可支持PB级数据检索。天眼传感器威胁检测提供对常见扫描行为的检测能力能够检测常见的远控木马行为提供对主要Web应用攻击的检测能力，包括：注入、跨站、webshell、命令执行、文件包含等；流量记录能够对网络通信行为进展复原和记录，以供安全人员进展取证分析，复原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。支持对流量中出现文件传输行为进展发现和复原，将文件MD5发送至分析平台可以支持MSSQL、MYSQL、ORACLE三种sql协议的分析和复原文件复原可分析的文件传输协议包括：邮件SMTP、PO

25、P3、IMAP、webmail、Web 、FTP、SMB支持对常见可执行文件的复原：EXE、DLL、OCX、SYS、COM、apk等支持对常见压缩格式的复原：RAR、ZIP、GZ、7Z等支持常见的文档类型的复原：word、excel、pdf、rtf、ppt等管理功能能够支持时间同步，支持NTP V4.0协议能够提供网络管理功能，可进展静态路由配置屡次登录失败将锁定账号5分钟内不得登录可支持在线升级和离线升级俩种升级方式，并支持定时自动升级可支持用户初次登陆强制修改密码功能。可实时监控设备的CPU、内存、存储空间使用情况。能够监控监听接口的实时流量情况可以分析统计1天或1周时间内的文件复原数量情

26、况可以分析统计1天或1周时间内的各个应用流量的大小和分布情况。部署情况可支持旁路部署，对镜像流量进展监听可支持IPv4网络和IPv6网络两种部署场景，可对两种网络流量均进展分析复原。可支持分布式部署，可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台威胁情报中心360威胁情报中心是中国首个面向企业和机构的互联网威胁情报整合专业机构。中心以业界领先的安全大数据资源为根基，基于360长期积累的核心安全技术，依托亚太地区顶级的安全人才团队，通过强大的大数据能力，实现全网威胁情报的即时、全面、深入的整合与分析，为监管部门提供网络威胁预警与情报。360威胁情报中心提供两种使用方式，一是

27、通过访问威胁情报中心网站查询数据，二是调用威胁情报中心的API接口直接调用数据。用户可通过威胁情报中心网站s:/ti.360 查看360公司最新发布的网络安全事件报告，并可对360云端数据进展搜索和分析。360威胁情报中心遵循REST API标准提供接口访问，实现如下功能： 域名分析：获取域名对应的IP地址、IP地址相关地理位置信息、当前和历史Whois信息、威胁类型、相关样本信息、递归解析域名的客户端ID、相关攻击团伙或安全事件信息。IP分析：获取IP所属地、相关域名、AS域、威胁类型、相关样本信息、相关攻击团伙或安全事件信息。MD5分析：获取样本的首次发现时间、创立时间、文件大小，检测结果

28、、上传样本客户端MID信息。边界安全防护边界安全防护是在数据中心的各个边界区域和点进展防护，阻止入侵者进入核心系统，边界安全防护包括数据中心的终端安全、主机安全和网络安全。终端安全保护接入大数据平台的PC终端的安全，采用360天擎实现病毒/木马防护、终端审计、合规管理、软件管理、资产管理、边界联动等。主机安全保护数据中心物理服务器和云主机的安全，采用360天擎进展主机病毒/木马防护和补丁管理，采用主机加固降低主机安全风险。网络安全首先做好安全区域划分，采用网神SecGate3600下一代防火墙进展网络隔离，采用网闸实现单向网络访问，采用DDoS清理抵抗网络攻击，采用SSL VPN实现安全接入，

29、采用360天巡防控无线网络安全风险。终端安全在终端上在部署360天擎终端安全管理系统，实现终端安全防护，包括Windows系统终端和Linux系统终端。360天擎终端安全管系统是360面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。360天擎终端安全管理系统，以大数据技术为支撑、以可靠服务为保障，它能够为用户准确检测病毒木马、未知恶意代码，有效防御APT攻击，并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。360天擎的主要功能如下：病毒/木马防护天擎终端安全管理系统支持对

30、蠕虫病毒、恶意软件、广告软件、讹诈软件、引导区病毒、BIOS病毒的查杀，这依赖于QVM人工智能引擎、云查杀引擎、AVE针对可执行文件的引擎、QEX针对非可执行文件的引擎等多引擎的协同工作。补丁管理在企业的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进展全面的补丁管理，管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁，服务器系统尤为复杂，需要管理员将补丁与服务器应用进展兼容性测试后才能对相应的服务器进展补丁升级操作。天擎终端安全管理系统可以对全网计算机进展漏洞扫描把计算机与漏洞进展多维关联，可以根据终端或漏洞进展分组管理，并且能够根

31、据不同的计算机分组与操作系统类型将补丁错峰下发，在保障企业网络带宽的前提下可以有效提升企业整体漏洞防护等级。资产管理天擎终端安全管理系统具有强大的终端发现功能，管理员可以通过定义网络IP段分组，对指定的网络分组进展周期性地发现采用多协议、多机制方式与统计网络中的终端数量及类型。管理员通过此功能，了解全网终端数量和天擎终端的安装量，为企业终端安全管理运维提供有效的参考。软件管理天擎终端安全管理系统独有的企业软件管家功能不但能够统计全网终端的软件部署情况，还可以根据企业不同部门进展终端分组，并对不同分组分发不同软件，实现远程部署、远程通知安装等方式。天擎企业软件管家集软件下载、升级、卸载等功能于一

32、体，为企业提供必要的一站式软件管理服务。通过使用企业软件服务，可以防止来源不明的软件的安装和运行带来的各种风险如含有恶意代码或者木马程序，又可能合理分配和控制企业购置的软件许可证。终端安全管控终端安全运维管控包含对终端的流量管理、非法外联、应用程序安全、网络安全、外设、桌面安全加固等。移动存储介质管理天擎终端安全管理系统，能够实现对移动存储设备的灵活管控，保证终端与移动存储介质进展数据交换和共享过程中的信息安全要求。移动存储管理包括移动存储介质的身份注册、网内终端授权管理、移动介质挂失管理、外出管理和终端设备例外等功能。综合安全评估评估中心通过对内网终端的配置脆弱程度、终端数据价值和终端沦陷迹

33、象进展评估，实现对网内终端安全性、核心数据终端以及终端使用痕迹的实时掌握，支持不同分组执行不同任务，以及对任务的优先级进展排序。终端强制合规NAC天擎强制合规NAC组件主要为企事业单位解决入网安全合规性要求，实现用户和设备的网络实名制认证管理、网络边界安全防护管理、核心业务访问准入等问题。用于防止企业网络资源不受设备接入所引起的各种威胁，在有效管理用户接入网络行为的同时，也到达了标准化地管理计算机终端的目的。终端审计随着信息安全技术和理念的开展，安全监控的关注点已经从设备转向对于设备使用者的行为，用户对于设备使用人行为审计和行为控制的需求越来越明显，天擎终端安全管理系统通过技术手段使各种管理条

34、例落地，增强用户的安全和保密意识，保护内部的信息不外泄。所审计的内容只是跟内网安全合规管理相关的信息，不对涉及终端用户的个人隐私信息，到达合规管理的审计的要求。边界联动防御天擎终端安全管理系统可以与360的边界防护设备天眼新一代未知威胁感知系统进展联动，借助360天眼的深度检测能力，结合天擎终端上的准确防御能力，实现对PC终端的攻击防御。主机安全数据中心的主机包括物理服务器和虚拟化云主机，所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面：在主机上部署病毒/木马查杀软件360天擎，包括Linux和Windows系统，降低病毒/木马入侵主机和蔓延的风险。对主机进展加固，降低主机遭受攻击和入

35、侵的风险。对于数据中心的服务器和云主机，无论系统或应用本身安全与否，都可能存在漏洞，安全管理员应负责定期例如1月/次对包括物理服务器和云主机等进展安全加固。系统加固策略包括：使用GRUB的password参数对GRUB设置密码，防止通过编辑GRUB启动参数轻松的进入单用户模式从而修改root密码，从而造成安全隐患；对ssh服务进展加固，关闭root账号远程连接，不允许使用空密码用户远程登录，设置最大登录尝试次数为3；对xinetd服务进展加固，根据最少服务原那么,但凡不需要的服务一律禁用，减少系统所暴露攻击面，从而提高系统的安全性；清理无主的文件，防止账号删除后系统残留未知文件；删除非授权文件

36、的全局可写属性，控制文件的可写操作权限，防止任何人都具有写权限的目录或文件存在；设置守护进程umask值，控制守护进程访问权限范围；为指定分区设置nodev挂载项，限制访问该文件系统上的文件；限制at、cron定时任务命令的使用权限虚拟化层防护；对于重要文件设置只有root可读、写和执行，主要检查目录为/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；检查未授权SUID/SGID文件，可

37、通过比照SUID/SGID文件列表及时发现可疑后门程序；检查异常隐藏的文件的存在；开启TCP sync cookie保护；关闭系统core dump状态；开启syslog服务记录用户登录、sudo操作等日志；网络安全网络安全是边界安全防护的重要局部，保护数据中心的网络与外界隔离、防止外部入侵和攻击，同时实现安全远程连接、数据安全导入。根据不通的系统功能、安全需求将数据中心网络划分为十个安全域，每个区域采取不同的网络隔离策略和访问控制，限制各个区之间的网络通信，从而降低网络整体失陷的风险。采用网神SecGate3600防火墙保护数据中心网络边界，同时具备网络入侵检测和防御的功能。采用网神SecS

38、IS 3600网闸实现数据中心与外界进展安全可控的数据交互，降低数据采集、交换过程中的风险。采用网神SecSSL 3600安全接入网关实现通过网络安全接入数据中心，保证传输信道加密和审计可控，为运维、开发人员提供安全接入堡垒机。采用网神SecGate 3600安全网关抗拒绝服务系统抵御DDoS攻击，保证数据中心网络和服务的可用性。采用360天巡无线入侵防御系统，防止有人在数据中心通过私建wifi热点等无线通信方式带来网络风险。安全区域划分根据系统功能、安全需求不同进展网络区域划分，整个网络划分为数据源区、运维接入区、业务安全接入区、运维管理区、安全服务区、带外管理区、大数据平台核心区、云平台核

39、心区、大数据平台和云平台十个局部，通过核心交换区及在各区域边界配置相应策略，实现在各个区域之间的访问控制。安全域划分示意图如下所示：数据源区与大数据平台核心区连通，主要是及大流量和大数据的输入区域，根据应用需求设置相应策略，允许大数据平台区的安全访问，制止其他安全区域的直接访问。运维接入区提供专属的区域给运维人员使用，根据访问的目标类型设置不同安全策略。业务安全接入区提供专属的区域给进展业务操作使用的人员，根据访问业务目标的重要性，设置不同的安全策略。为内部用户提供业务接入服务，与其他区域进展边界隔离，允许本区域按照工作需要访问安全服务区，允许本区域按照运维管理区的要求上报运维管理信息，制止本

40、区域主动访问其他区域。运维管理区负责管理与监控整个网络的安全与应用系统的运行，本安全域与与其他区域进展边界隔离，允许本区域主动访问其他区域，并允许其他安全域按照安全管理要求上报信息。制止其他区域主动访问本区域。主要部署边界访问控制、WEB应用防护、统一用户和侧策略管理、PKI/CA体系、漏扫、恶意代码防护管理端、安全管理中心等安全设备。大数据平台核心区作为整个大数据网络的核心，负责转发网络中所有的大数据交互数据；同时对于网络中各个区域之间的数据交换做合理的访问控制，允许云平台核心区、业务接入区、数据源区、安全服务器、带外管理区和运维管理区的访问，制止其他区域接入。云平台核心区作为整个云平台网络

41、的核心，负责转发网络中所有的虚拟化环境和外部区域的交互数据；同时对于网络中各个区域之间的数据交换做合理的访问控制，允许大数据平台核心区、业务安全接入区、运维接入区、带外管理区和运维管理区的访问，制止其他区域接入。安全服务区作为提供应用服务的区域，将所有应用系统中不直接对用户提供服务的服务器都部署在本区域。安全服务区划分子域，每一个应用系统的应用服务为一个子域，各子域之间通过网络策略隔离。本安全域与与其他区域进展边界隔离，允许业务安全接入区根据应用系统的业务需求访问本区域，允许本区域按照运维管理区的要求上报运维管理信息，制止业务安全接入区和运维管理区以外的安全域直接访问本区域。带外管理区作为独立

42、区域进展相关网络设备和服务器设备的单独管理区域，允许运维接入区、大数据平台核心区和云平台核心区的安全接入。制止除该区域之外的安全域访问本区域。大数据平台区提供大数据平台服务的业务区域，所有大数据应用系统的大数据处理服务器和大数据展示都部署在本区域。本安全域与其他区域进展边界隔离，允许数据源区、业务安全接入区、运维管理区、安全服务器、大数据核心区域和云平台核心区根据业务需要访问本区域，允许本区域按照运维管理区的要求上报运维管理信息，制止除此以外的安全域直接访问本区域。云平台接入区提供云平台服务的业务区域，所有虚拟化环境、虚拟化主机和宿主机部署在本区域。本安全域与其他区域进展边界隔离，允许大数据平

43、台区、业务安全接入区、运维管理区、安全服务器、大数据核心区域和云平台核心区根据业务需要访问本区域，允许本区域按照运维管理区的要求上报运维管理信息，制止除此以外的安全域直接访问本区域各区域之间的访问控制策略如下：区域访问控制关系大数据平台区云平台区大数据平台核心区云平台核心区数据源区运维接入区业务安全接入区运维管理区安全服务区带外管理区大数据平台区可达可达可达可达局部可达可达局部可达可达局部可达云平台区域可达可达可达不可达局部可达可达局部可达可达局部可达大数据核心区局部可达局部可达局部可达不可达不可达可达可达不可达可达云平台核心区局部可达局部可达局部可达不可达不可达可达可达不可达可达数据源区可达

44、不可达可达不可达不可达不可达不可达不可达不可达运维接入区局部可达局部可达不可达不可达不可达不可达可达不可达不可达业务安全接入区局部可达局部可达可达可达不可达不可达可达可达不可达运维管理区局部可达局部可达可达可达不可达可达可达可达不可达安全服务区可达可达可达可达不可达可达可达可达不可达带外管理区局部可达局部可达可达可达不可达不可达不可达不可达不可达防火墙与入侵检测网神SecGate3600防火墙NSG系列在强劲性能与更先进架构的支撑下，集成访问控制、用户授权访问、虚拟系统、行为管理、应用层综合安全防护等覆盖IPv4网络及IPv6网络的功能，进一步在网神SecGate3600防火墙NSG系列上完成

45、了与360情报威胁、天擎、病毒云查杀、木马云查杀、未知威胁感知分析等多项智能联动功能，内置IPS入侵检测和防御。是专门为政府、军队、教育、运营商、大型企业、中小型企业的互联网出口打造的“云+端+边界+联动下一代安全体系。网神SecGate3600防火墙NSG系列的主要功能如下：高性能随着网络技术的开展，边界防火墙需要支持对应用层的过滤和威胁防护，如何保障开启应用层过滤和威胁防护情况下能够高效、快速、稳定运行是新一代防火墙必须面对的问题。在区别于对称的多核处理构造，网神SecGate 3600防火墙NSG系列采用自主研发且优化后的异步处理构造AMP+，突破前者处理数据的瓶颈，更大程度上提升了防火

46、墙的性能。更高效的性能、更快速的转发速度是SecGate 3600防火墙NSG系列的基石，让集成的多种安全防护功能，在全面启用的情况下，仍然能轻松应对，保证极快的整体转发速度。应用层转发延迟有效降低网神SecGate 3600防火墙NSG系列采用完全自主研发的单引擎一次性数据包拆分和物理多核下并行虚拟计算处理技术，使得整个数据的处理，包括应用层数据的处理、入侵防护等高级功能，都在数据平面完成，不涉及数据包的拷贝，进程切换等问题，同时数据的处理在整个转发阶段都使用同一个会话，实现数据包在4-7层的高性能转发，有效降低应用层转发延迟。管理员权限三权分立网神SecGate 3600防火墙NSG系列针

47、对管理员的角色建设三权分立的管理员帐号机制，将超级用户特权集进展划分,分别授予配置管理员、安全管理员和审计管理员。实现配置管理、安全管理和审计管理功能的同时,也保证管理员权限的隔离。防止因为管理员权限过大所引起的安全风险，也保证已经配置完成的访问控制策略不会出现未授权的修改，及出现未授权修改时可以保存相关审计信息。安全隔离的虚拟系统网神SecGate 3600防火墙NSG系列支持通过虚拟系统功能，将防火墙虚拟成多个相互隔离并独立运行的虚拟防火墙系统，每一个虚拟系统都可以为用户提供定制化的安全防护功能，并可配备独立的管理员账号。在用户网络不断扩展时，通过虚拟系统功能不仅能有效降低用户网络的复杂度

48、，还能提高网络的灵活性。当这些相互隔离并独立运行的虚拟防火墙系统需要通讯时，可以通过防火墙提供的虚拟接口实现，而不需要通过物理链路将它们进展连接。高可用性功能支持多种网络环境网神SecGate 3600防火墙NSG系列支持路由模式的HA和桥模式的HA。路由模式，采用网神SGRP路由冗余备份协议，实现双主的路由负载均衡和主备的路由冗余备份两种模式。在一台防火墙出现问题时，另外一台可以及时接收路由转发工作，向用户提供透明的切换，提高网络服务质量。透明模式下，支持通过STP和PVST+的生成树协议完成桥模式的HA冗余备份和快速切换。对称路由保证来回路径一致网神SecGate 3600防火墙NSG系列

49、提供对称路由功能。用户可以通过启用接口的对称路由功能，实现用户从哪里进来访问的数据，从哪里再返回出去。例如：用户内网对外提供一个 服务，同时用户申请了联通和电信两个出口。当联通的用户从联通出口进来访问 服务时，对称路由功能可以让服务器返回给用户的应答数据也从联通出口出去。当电信的用户从电信出口进来访问 服务时，对称路由功能可以让服务器返回给用户的应答数据也从电信出口出去。保证数据来回路径的一致性。高适应性的路由负载均衡算法网神SecGate 3600防火墙NSG系列支持在多出口的环境中根据用户实际需求，匹配多种方式的负载均衡，包括备份、轮询、源地址哈希、源地址目的地址哈希、目的地址哈希、源地址

50、轮询、最有链路带宽负载、最优链路带宽备份、随机、流量均衡、时延负载、跳数负载十二种。可以实现基于权重的路由负载、基于延迟的路由负载、基于会话的路由负载、基于流量的路由负载，满足用户各种场景。支持N元组的安全策略网神SecGate 3600防火墙NSG系列的安全策略功能是防火墙的核心功能。提供基于状态检测、基于TCP、UDP、ICMP、其他协议的动态包过滤技术，同时能够控制不同安全域之间的数据转发。网神SecGate 3600防火墙NSG系列的安全策略规那么可以实现基于源安全域、目的安全域、源地址、目的地址、地理位置、用户、服务、应用、时间等多种安全属性的组合，将用户感兴趣、需要进展控制的数据流

51、别离出来，同时配合拒绝或允许的处理行为，实现对IPv4数据及IPv6数据通讯的管理。网神SecGate 3600防火墙NSG系列将按顺序对策略规那么进展比较，特定性更强的规那么必须位于一般性更强的规那么前面。例如，如果所有其他与通信相关的设置均一样，那么适用于单个应用程序的规那么必须位于适用于所有应用程序的规那么前面。如果通信不匹配任何规那么，那么该通信将遭到阻止。因此，用户可以通过配置安全策略严格的制定访问控制规那么及访问控制规那么的匹配顺序，到达对数据进展控制的目的的同时，也在一定程度在满足了用户对安全策略灵活性的要求。根据安全策略的匹配顺序，让用户网络中进出防火墙的数据实现针对性的控制。

52、支持解密SSL协议并对其数据进展应用层防护网神SecGate 3600防火墙NSG系列支持对穿过防火墙的SSL协议进展解密，并对解密后的数据提供防护过滤，如攻击防护、入侵检测、病毒防护、内容过滤等。同时，对于某些重要数据，不希望防火墙进展解密，网神SecGate 3600防火墙NSG系列也支持将指定的加密数据进展排除不解密。对SSL协议解密并进展过滤可以防止通过SSL协议加密的攻击行为从防火墙绕过。防火墙解密后的数据在过滤完毕后会再次通过SSL协议加密并发送，保持数据在传输的过程中加密特性不变。基于应用层的综合攻击防护功能网神SecGate 3600防火墙NSG系列的攻击防护模块通过基于安全域

53、的Flood防护和扫描欺骗防护、IP地址扫描攻击、端口扫描以及异常包攻击、应用层攻击、IP安全域关联等防护手段，将包括SYN Flood、ICMP Flood、UDP Food、IP Food、 ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke等常见的攻击行为检测集成在模块中，使得用户通过启用并配置攻击防护模块，可以有效的过滤并采取相应的措施阻止非正常报文流入用户内网，并对 、DNS、DHCP协议提供应用层防护。另一方面，针对局域网多播播送、IP地址欺骗等也提供了专门的防护。安全联动配合动态策略实现全网威胁拦截网神SecG

54、ate 3600防火墙NSG系列支持与奇虎360公司的天擎系统、威胁情报系统进展联动。实现全网木马专项查杀及未知威胁拦截功能。天擎系统通过收集终端应用程序特征，发送给防火墙进展木马专项查杀及云查杀，拦截木马程序。威胁情报系统通过互联网未知威胁分析，将分析出的威胁数据反响给防火墙，由防火墙进展阻断。联动功能可以在防火墙生成动态策略，当一样攻击再次进入防火墙时，会直接被动态策略拦截，而无需再次检测，大大提高了防火墙的效率并节省出防火墙更多资源用于承载高级功能。更加灵活、精准的入侵防御功能网神SecGate 3600防火墙NSG系列，基于第三代SecOS操作系统，依托先进的多核全并行处理技术，大幅提

55、高了IPS的处理性能，能够轻松应对多样的混合型攻击。超过3000种的特征库可以检测并防范针对 、FTP、SMTP、IMAP、POP3、TELNET、DNS、RPC、MSSQL、ORACLE、NNTP、NETBOIS、TFTP等多种协议的攻击，以保障网络的安全。完善的日志系统及监控系统提供了基于不同维度的入侵事件记录分析，方便管理员掌握当前网络中的攻击信息，及时做出正确的管理决策。同时，网神通过专业的特征库团队，分析和跟踪常用根基软件的漏洞，以及常用应用系统的漏洞利用机理，定期生成攻击特征库下发到防火墙，保证IPS在防范漏洞的根基上，也能对新出现的漏洞进展防范，确保了入侵防御功能的有效性。IPS

56、功能中针对每种攻击特征设定的精细执行动作，极大的提高了入侵防御策略的自由度和灵活性，并且最大程度的降低了误识别率，从而有效防止了因配置导致的单点故障。采用全新先进的多维动态特征异常检测引擎网神SecGate 3600防火墙NSG系列采用全新先进的多维动态特征异常检测引擎，抛弃原有的异常行为特征码静态表达的方式，将异常行为、恶意行为特征码通过多维度提炼，动态进展表达，使得特征表达更加全面、精准、有效，极大提高了防火墙入侵防御系统的命中质量，解决了传统设备检测命中率高，但是误报率同样高的问题。多种认证方式下的web认证防护策略网神SecGate 3600防火墙NSG系列的用户认证主要被设计用于增强

57、从内网访问外网时的控制。用户认证功能对用户的访问采用多层控制，通过对用户组的访问地址来源根据源安全域、目的安全域、源地址、目的地址，匹配决定是否进展需要认证，如需认证根据认证服务器反响的结果，进而来决定是否允许用户的访问。为了认证的安全，认证模式支持 ， s，默认设置为关闭。为了用户使用方便，支持认证页面端口的自定义和同一用户单个客户端登陆和多个客户端同时登陆情景设置，以及证书设置，超时设置等。基于用户行为的策略管控用户网络已经搭建了成熟的认证体系，并且业务账号如邮件账号、FTP服务器访问账号等都与用户认证的账号统一时，SecGate 3600防火墙NSG系列可以提供基于用户行为的策略管控，在

58、认证用户通过认证之后，防火墙会记录用户通过认证时的IP地址与用户名信息。勾选基于策略用户管控功能，在SMTP、POP3、IMAP、FTP协议数据经过防火墙时，防火墙会查看用户是否为认证过的用户，如果已认证，那么检查用户名与用户认证时的用户名是否一样，防止越权、异常访问的发生。动态QoS流量分配动态QoS由带宽管理功能实现，可配置带宽限制策略。策略类型包括共享型和独享型，用户优先级分为高、中、低，服务类型包括了应用层的多种协议。用户优先级可选高、中、低三级。在用户都满足保证带宽情况下，高优先级用户将抢占中、低优先级用户带宽，中优先级用户将抢占低优先级用户带宽。当网络中存在空闲带宽时，网神SecG

59、ate 3600防火墙NSG系列会根据当前网络带宽分配情况，自动将空闲带宽分配给重要业务，保证重要业务的正常访问。基于内容过滤、URL过滤、网络行为的行为管控网神SecGate 3600防火墙NSG系列提供内容过滤、URL过滤、网络行为管理功能，从而实现对用户的网络行为进展管控。行为管控策略不仅支持准确到IP地址，更可准确到用户。网络行为管理功能支持对 、SMTP、POP3、IMAP、FTP、TELNET协议的关键命令、关键字内容进展管理，支持SMTP、POP3、IMAP邮件协议发件人、收件人的地址黑白名单设置。异常流量监控异常流量监控，实时采集监控对象的流量指标，并以可视化的曲线方式展现给防

60、火墙管理员，帮助管理员定位网络流量异常问题。流量指标包括：TCP、UDP、ICMP和组播播送流量。通过长时间对历史数据的学习和计算，异常流量监控功能可以计算出整个网络或单个接口的正常范围基线图，与实际流量比照，即可查看到网络中或单个接口上的异常流量，从而协助管理员管理网络、定位问题。全方位状态信息展示网神SecGate 3600防火墙NSG系列为用户提供了全面的实时的状态信息展示，包括网络接口状态、接口信息状态、系统信息状态、资源状态、并发连接数、入侵防御状态、应用流量排行榜。第一时间为管理员修改防火墙配置策略，了解防火墙运行状态，掌握网络当前态势提供实时报告。更加人性化和智能化的状态展示同时