天融信云安全监控服务白皮书

天融信云平安监控效劳销售白皮书北京天融信公司2023年8月目录TOC\o"1-4"\h\z\u1效劳背景4各类网络平安产品的大量使用带来新的工作挑战4WEB的广泛应用导致针对WEB效劳器的攻击日益盛行5天融信云平安监控效劳62效劳说明7天融信平安设备远程监控效劳7目标客户7产品功能7多方位可用性监控7策略评估9策略监控10策略备份10智能风险防御10设备更新管理10备件响应效劳11内网事件分析11外网事件分析11日志云存储效劳11典型应用12天融信网站监控防护效劳12目标客户13产品功能13可用性状态监控13敏感字监控13网站页面防篡改监控和网页恢复13网站遭受攻击后并可能产生影响时，是否被风险隔离14实时阻断对WEB效劳的各种攻击行为14WEB漏洞检测14防拒绝效劳攻击15异常外联事件分析15日志云存储效劳15平安信息通报效劳15典型应用163效劳特点16更彻底的网站防护及页面防篡改、页面恢复16强大的WEB网站防护能力16符合国家信息平安评测的标准和结果17提供专业的网站防护巡检、评测、加固、应急等持续性效劳17有效提升网络平安设备的防护价值和风险控制能力17云平安在线监测效劳提供全天侯监控和即时预警17提供平安设备和网站防护的日志存储效劳18以结果为导向的“托管式全方位效劳〞18丰富经验和专业技术的保障18解决实际问题的专家级报告184客户收益19效劳背景各类网络平安产品的大量使用带来新的工作挑战过去的十多年来，网络平安形势一直十分严峻，重大网络平安事故频频发生。随着社会各界对网络平安的重视程度越来越高，很多政企机构都购置部署了各种类型的网络平安设备，如防火墙、IDP、VPN、防病毒网关等来保护自己的信息系统资产。但是随着用户网络规模的扩大和网络平安设备数量的增多，网络管理员又面临新的问题：所有的这些网络平安设备，数量众多，型号多样，功能各异，网络管理员只能对每个产品或每种产品单个管理，缺少统一的管理手段。大量网络平安设备在不同位置的使用导致这些设备的策略管理非常麻烦，比方设备上线前策略的规划和制定是否符合平安需求，策略变动是否是合理的管理行为，策略变化之前是否有备份，等等。网络平安技术日新月异，说一日一变都不为过，而相应的网络平安产品更新也非常之快，大量的网络平安产品更新任务也大大增加了网络管理员工作。工作时间之外的网络平安事件层出不穷，而往往网络平安事件就发生在5X8小时之外，缺少全天侯平安监控人手和工具。由于技术方面缺少专业的网络平安研究团队支撑，大多数管理员很难跟上网络平安技术开展，这导致管理员在发生新的网络攻击和平安事件时缺少足够的应对方法。设备出现问题时可能缺少救急用的对应型号的网络平安设备顶替，而如果每种型号的平安设备都自购备件的话，会导致本钱的大大增加和可能的浪费。海量的平安事件和操作日志缺少统一的管理和存储，可能就在平安设备本身上存放，针对这类最有价值的信息资产缺少统一的管理存储分析手段和技术。……综上所述，可以看出，网络平安设备的维护和管理是否专业直接影响到潜在网络平安风险的上下，如何在现有网络平安设备的根底上，通过收集和整合各类用户关心的平安事件，挖掘用户关注的业务价值，满足用户日益复杂的信息系统实际平安管理需要，对网络管理员维护系统平安提出了重大挑战。WEB的广泛应用导致针对WEB效劳器的攻击日益盛行伴随着互联网技术与用户的业务密切结合，电子商务和电子政务用户利用WEB网站来实现其业务流程的趋势日趋明显。但是，商业对手的恶意竞争，国内外各类非法组织的不良企图，离职员工的不满情绪泄愤等等各种原因都越来越导致WEB网站平安问题日益突出：网页篡改：各类黑暗势力的反华宣传，可能篡改有影响力的政企WEB网站网页，这会严重影响单位形象，甚至带来负面政治影响。网站攻击：网站核心资产被入侵，机密信息泄露会严重危害单位业务和竞争力。拒绝效劳：为打击竞争对手业务，拒绝效劳攻击可能造成客户的大量流失。被动下线：被篡改系统或作为攻击机后，可能导致被监管部门勒令下线整改。法律风险：可能带来大量法律方面的风险，比方成为钓鱼网站传播的媒介，损害访问者的利益〔网银、游戏等各类密码〕。……针对这两块独特而复杂的网络平安领域，天融信公司集十余年信息平安研发经验和平安效劳实践，推出“云平安监控效劳〞。天融信云平安监控效劳“天融信云平安监控效劳〞为用户提供托管式的“平安设备远程监控效劳〞和“网站监控防护效劳〞两大效劳内容，针对用户的网络平安设备和网站进行全天侯平安监控、平安告警、攻击阻断，并提供可视化报告和解决方案。“天融信云平安监控中心〞是网络时代信息平安防护手段的最新表达，它以云平安运维监控团队为效劳核心和发起点，整合公司各技术团队〔平安技术团队、攻防实验室团队、公司研发团队、客户本地技术支持团队〕和相关平安产品、管理平台资源，为用户提供最实时最实用的网络平安解决方案。“天融信云平安监控中心〞存在自适应自学习能力，它融合了并行处理、网格计算、未知攻击行为判断等新兴技术和概念，每一个技术团队、每一个客户效劳点，都会在自己的岗位上为用户网络平安监控发挥自己的作用，通过网状的大量平安事件，对网络中的异常行为进行监测研究和趋势判断，获取互联网中各种恶意程序的最新信息，推送到效劳器端进行自动分析和处理，再把各类平安事件的解决方案分发到每一个相关客户手中。效劳说明天融信平安设备远程监控效劳天融信平安设备远程监控效劳是天融信平安效劳团队依托专业的平安管理系统平台，结合用户对网络平安设备的管理需求，以灵活多样的效劳包为主要形式，针对不同的IT环境进行平安监控、平安告警等，并提供可视化报告和统计的一种效劳。平安设备监控平台提供了高实时性和全方位的监控和管理效劳。通过天融信平安设备监控平台提供的智能向导、强大的管理工具和灵活的监控效劳，实现对用户的平安设备和业务效劳器进行全面监控和保障，从而提升整个业务网络的平安性和稳定性，大大降低企业的运维平安风险和本钱。目标客户平安设备监控效劳包主要监控对象：天融信自研的平安网关，包括防火墙、VPN、入侵防御、防病毒网关和UTM。产品功能平安设备监控效劳包主要提供以下内容：多方位可用性监控天融信平安设备监控平台是实现平安设备监控效劳的核心，它提供了一系列强大的监控和管理功能，通过一个直观、易用的Web界面来展现，对重要对象的可用性进行监测，帮助用户监控以下功能：设备可用性监测、隧道可用性监测、业务效劳器可用性监测、业务网络可用性监测、可用性质量综合评分等，实现对用户业务的实时性、持续性、平安性进行保护。多方位可用性监控的主要目的是保障用户平安设备的可用性和稳定性，通过对设备在线情况、CPU内存连接数等性能信息、接口流量信息、隧道连通信息、隧道流量信息进行实时监控和综合统计、分析，从而判断出设备的健康度。通过7*24小时不间断的实时监控和及时报警，第一时间发现平安隐患并通知用户，并提供详细的问题分析和解决建议。定期提供丰富的审计报表，包括每类信息的运行详细和所有设备的运行情况汇总，以饼图、柱图、曲线图和列表等多种形式显示信息，使用用户能够一目了然的获知设备运行信息。效劳人员通过拓扑图等多种方式，实现对设备、隧道等进行各种管理和监控，图形化的添加设备和平安域，建立设备间的隧道，实现对设备性能信息的监视，包括CPU信息、内存信息、接口信息和连接信息等。另外，对于具有VPN功能的设备还提供了隧道监控和VRC监控功能。通过天融信平安监控平台能够最全面的了解整个网络，包括：设备的可用性、接口流量、版本、许可证、配置信息、路由信息和日志等；全网拓扑、设备性能排行、设备接口流量排行；隧道协商状态、隧道流量趋势、隧道传输细节、VRC用户信息、虚拟路由信息；全网攻击事件、病毒信息、木马信息、应用分布流量等。策略评估平安策略评估功效劳由天融信平安参谋团队负责，基于监控平台定期对防火墙、入侵防御、防病毒等设备的平安策略进行合规性和平安性的监测与评估，提供专业的评估报告。主要针对入侵、网络攻击、拒绝效劳〔DoS〕攻击，以及蠕虫、网络病毒、特洛伊木马、间谍件和广告件等做出策略评估，并给出改良建议，进一步的提高设备的使用价值。长期的防火墙策略管理以及复杂的防火墙部署过程中，防火墙规那么集可能会比拟凌乱，随着时间的开展，这些规那么集可能与平安策略脱轨，同时也有可能产生没有用或策略漏洞的规那么，天融信平安设备监控平台可以实现远程对设备的平安策略进行评估，帮助用户实现设备策略的平安防护：静态策略评估：通过静态检查设备配置文件的方式，结合天融信和用户工程经验，识别出配置文件中有风险的规那么，给出改良建议。包括管理类配置、接口类配置、网络类配置、ACL类配置、高可用性类配置等方面；设备平安自检策略：通过检查设备的时间是否同步，管理员密码强度等方面来提高设备的平安性；策略平安综合评分：根据策略平安性的各项检查项，进行综合评分。策略优化：检查设备是否配置了不平安的外部访问策略，提供天融信的平安配置建议，检查策略冲突情况；根据实际访问情况，评估策略的使用情况，给出优化建议。策略监控平安设备的策略一旦发生变化，那么平安监控中心会告警，通知客户进行确认并记录策略变更。实现设备配置的版本管理，监控设备配置是否被修改，被修改的风险等级判断，并提供不同策略版本之间的比拟功能。策略备份策略定期备份：针对有需要的用户，定期自动进行网络平安设备策略的备份，以防止管理员策略变更后缺少备份。智能风险防御当被保护的对象遭受攻击时，监控中心根据风险的特性，自动生成平安设备防护策略规那么，让平安设备主动进行风险防护或对管理员提供优化规那么建议。设备更新管理更新管理能确保用户使用的设备操作系统版本、病毒库版本、攻击识别库版本等为最新版本，保证用户网络能够对最近发生的平安威胁进行实时、有效的防御。平安设备监控平台提供了定期监测设备相关的更新信息，给出更新建议。也可以事先配置好设备自动升级和软件自动分发功能，在有新的规那么库和系统软件发布时，第一时间更新到用户的设备上，执行更新操作，实现了版本检测、升级管理和软件分发、License管理、设备系统软件管理、设备客户端软件管理、CRL管理、签名库管理〔管理设备各类签名库，有攻击检测规那么库、应用识别库、URL库、病毒库等〕等，有效保护用户的资产平安防护有效性和平安防护的实时性。同时支持设备升级方案任务形式，在业务空闲时进行设备的批量自动升级，保证用户业务本身不受影响。备件响应效劳主要包括天融信系列网关产品，效劳期限外的设备故障替换、设备应急处理、现场支持等。内网事件分析深度分析设备收取的内网平安事件或异常行为，帮助用户净化内部网络，维护内网平安合规性。对持续出现违反平安规那么的，作出重点报告。外网事件分析深度分析设备抓到的外网攻击行为，协助用户提高平安配置，对重点攻击IP进行隔断或调查。日志云存储效劳帮助用户网站实现符合国家政策法规、标准规定的日志收存查和深度分析功能，并使组织满足等保、分保等政策标准的一体化解决方案。典型应用天融信网站监控防护效劳天融信网站防护效劳是天融信经过多年行业深厚技术积累和应用实践经验，凭借历经奥运、亚运、世博、两会等大型活动平安保障的考验，以及在多个网站防护工程上的经验积累，为客户网站提供：一、网站页面是否被篡改和被恢复监测；二、网站是否可用性状态监控；三、网站平安是否符合国家评测机构相关规定；四、网站遭受攻击后并可能产生影响时，是否被平安阻断和隔离；五、及时的平安应急及平安信息通报效劳。天融信网站防护效劳通过远程平安检测和实时监控，可以实时将源站保护起来，既能保证其内容不会被黑客篡改，又能将各种攻击影响降到最低，同时保障网站信息的正确性、政务效劳的可用性和信息反应的畅通性。天融信网站防护效劳为了到达对网站进行持续防护的目的，我们还将为客户提供后续的网站扫描、风险评估及加固、应急处理，网站平安评测，网站平安通告效劳，第一时间向客户预警并帮助客户处理可能发生的网站平安风险事件。目标客户政务网站、教育网站、行业企业网站，电子商务网站、金融网站等客户。产品功能可用性状态监控对客户的网站系统进行7X24小时监控，当客户的网站不能访问或者访问异常，向客户及时报警。敏感字监控监测网站页面中是否存在反动、色情等敏感信息，一旦发现及时向客户预警，提醒客户采取应对措施。网站页面防篡改监控和网页恢复采用独特专业技术，不需要在WEB效劳器上装载任何软件，一旦发现网页被篡改就及时恢复，同时通过页面告警、声音、邮件、短信的方式通知在线监测人员及用户，进行保护性防护。采用了一种快速监测方法，70%~80%的网页篡改行为都能在1s内被发现。特点：支持在线监控和离线监控；支持日志、禁止、恢复动作；支持根路径、非根路径分别设置检测时间间隔；支持轻度、深度两种级别检测策略。网站遭受攻击后并可能产生影响时，是否被风险隔离采用天融信独特的技术，当发现网页两次或以上被篡改又被恢复时，根据用户的权限设置，可以实现网站和互联网络的物理隔离，实现网站的彻底平安性，减少风险的扩大性，有效控制风险的蔓延，等处理完毕后，可自动进行恢复。实时阻断对WEB效劳的各种攻击行为天融信网站防护系列实现了恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入、自身抗网络攻击等功能，不但保障了网页不会被篡改，而且还可以保障网站可以被平安、高效的访问，对网站系统进行自动化的漏洞扫描，以发现目标网站系统的全弱点为目标，对网站中指定网页范围进行网站高危脚本漏洞挖掘验证，包括SQL注入、XSS攻击、恶意执行逻辑错误等典型脚本漏洞信息，并对网站中指定网页范围进行网站高危脚本漏洞挖掘验证。WEB漏洞检测对网站系统进行自动化的漏洞扫描，以发现目标网站系统的全弱点为目标，对网站中指定网页范围进行网站高危脚本漏洞挖掘验证，包括SQL注入、XSS攻击、恶意执行逻辑错误等典型脚本漏洞信息，并对网站中指定网页范围进行网站高危脚本漏洞挖掘验证。防拒绝效劳攻击全面防御SYNflood、ICMPflood、UDPflood、DNSFlood，DHCPflood、CC等几十种DOS/DDOS攻击行为异常外联事件分析对网站流出的异常流量和行为进行分析，防止网站成为攻击跳板或钓鱼网站。日志云存储效劳日志云存储效劳：帮助用户网站实现符合国家政策法规、标准规定的日志收存查和深度分析功能，并使组织满足等保、分保等政策标准的一体化解决方案。平安信息通报效劳提供最新平安资讯，使客户实时掌握最新的平安动态，同时当发现与网站系统相关的紧急平安漏洞或事件，将第一时间通知。平安通告的方式有短信、、电子邮件。典型应用效劳特点更彻底的网站防护及页面防篡改、页面恢复监控中心一旦发现网站页面被篡改，可即时进行自动恢复，并通报用户。发生两次以上的篡改，根据用户定义，可以自动进行网络隔离以提供更彻底的平安保障，防止事件造成更大的影响。强大的WEB网站防护能力强大的WEB网站防御平台和知识库，全面的网站漏洞自扫描监测功能，强大的防火墙联动阻断功能。符合国家信息平安评测的标准和结果效劳过程、效劳手段、效劳平台、效劳团队、效劳输出等，符合国家相关平安监管要求，相关成果可作为单位信息平安评测的参考依据和原始素材。提供专业的网站防护巡检、评测、加固、应急等持续性效劳为客户提供完整的延续性的平安保障效劳，包含平安评估效劳、平安加固效劳、平安巡检效劳、平安应急效劳、平安在线监测效劳、符合法规的平安测评效劳等。有效提升网络平安设备的防护价值和风险控制能力由于大量的平安设备的部署和使用，对这些设备的平安维护和管理是否专业就直接影响到了整个信息系统的平安性。如何在现有平安设备的根底上，通过收集和整合用户关心的平安事件、挖掘用户的业务关注价值、以满足日益复杂的信息系统平安管理需要，这对网络管理员维护系统平安提出了重大挑战。天融信云平安监控中心从专业的角度，能帮助用户有效提高平安设备的防护价值和风险控制能力。云平安在线监测效劳提供全天侯监控和即时预警为用户提供7X24，7X8,5X8小时的在线监控防护，为用户解决8小时之外的平安事件，使用户高枕无忧。全天候在线监控中心，可实现客户的信息平安管理从被动防御到事前防范、事中监控与即时阻断、事后取证与总结完善的完整信息平安防护流程。发现重大平安问题及时向客户进行预警，预警的方式有电子邮件、短信、等方式。协助客户及时解决自有平安设备的可用问题、以及网站平安问题。提供平安设备和网站防护的日志存储效劳提供全面的日志收存查和深度分析，并使组织满足等保、分保等政策法规、标准规定的一体化解决方案。以结果为导向的“托管式全方位效劳〞用户往往并不太关心整个平安防护的过程和细节，而是关心平安防护的结果，天融信的远程云平安监控中心通过远程监测的方式，让用户不