数据中心及大数据安全方案-电科院

随着信息技术的迅猛发展，大数据技术在各行各业的逐步落地，成熟的27000、的成熟范例，从技术、运行管理等方面对项目的整体客户端践1网闸网关敏感信息检测终端平台终端平台践3践4日志审计5针对数据中心与大数据安全威胁的多样化、体系化，防御体系利用先发优势，在各个层面进行纵深覆盖，实现风险分化、协同互补，构建一套环环相扣的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多重纵深防御体系。从云端到终端、从业务到数据、从事前到事后，为数据中心提供无所不在的全方位保护，在大数据环境中为用户提供多层次、多维度、体系化纵深防御的解决方案，综合提升应对新型安全威胁的能力，真正做到看得见的安全和有效安全。●威胁感知：360建立了基于大数据安全分析和威胁情报的云计算中心，形成有效对抗新型威胁的防御和检测体系，通过该体系，可以挖掘未知威胁、预知风险，全面、快速、准确地感知过去、现在、为了的威胁态势，同时经过提炼后的情报信息会实时同步到边界、业务、数据安全防护体系中，大幅提升边界、平台、业务、数据的整体安全防护能力。认证、授权、审计),保证只有具备合法账号、通过身份认证、系统漏洞管理和响应机制；对系统进行安全扫描、监测、防护；基于分布式数据复制、校验等技术实现数据的完整性、可用性，●安全体系是一个整体：大数据安全不是孤立的，要基于整体安全●大数据环境的4A体系：在分布式、海量数据的大数据环境中，构建用于大数据平台内所有系统的统一账号()、认证()、授权●大数据加密体系：所有数据加密存储、加密传输，实现数据密级●差异化多级防御：不同安全产品基于不同安全技术从不同角度保基于360云端大数据中心和企业本地大数据中心以及数据中心流360态势感知与安全运营平台及时发现本地的威胁和异常，同时360天眼能够对未知威胁的恶意行为实现早期的快速发现，并可360和360天眼都基于云端威胁情报中心提供的可机读威胁情报360态势感知与安全运营平台是基于360威胁情报和本地大数据异常的总体安全态势展现给用户的系统。360态势感知与安全运营平台一方面可基于360自有的多维度海量互联网安全数据，进行情管理区互联网防火墙公A区360天擎360云端大数据平台办360态势感知与安全运营平台主要实现以下功能：关联分析是方便安全分析人员对多维度数据进行关联并分析攻击通过从360云端获取(在线查询、云端推送或离线拷贝)可机读360态势感知与安全运营平台采集的数据维度较多，太多的日志漏洞(包括0)发现的准确性及时效性，通过云多点监测全天候对大态势感知大屏提供4种面向不同安全场景的态势监控界面：攻击360天眼新一代威胁感知系统(以下简称“天眼”)可基于360部署在客户本地的大数据平台，进行本地流量深度分析。360天眼能流量日志主机行为服务器区办公区A办公区B互联网接入区管理区360天眼的功能如下：威胁感知发现和告警威胁情报可支持在线和离线升级两种方式对于重要的未知威胁告警，将告知客户攻击背景信息可提供未知威胁在本地发生的具体时间和受害主机地址能够对未知告警的受害进行搜索忽略等状态方式。用户点击后可保存当前选择为后续的默认选择提供告警数据导出功能，以表格式导出告警数据日志检索可对级日志做到快速搜索，搜索时间小于30s的日志类型就行日志筛选结果中重新按照新的规则搜索日志可将地址的地理位置信息及号解析出来可展示日志的时间分布支持日志导出可筛选关键字段展示，隐藏不必要的日志信息所有日志均可以标准化接口形式提供可以搜索文件访问行为，并展示还原流量中文件的5和文件名支持搜索历史记录，点击后可重新搜索支持规则搜藏，导入导出支持基于选择字段的快速搜索支持语法高级搜索操作审计功能据修改、数据检索、登录登出等操作。户、操作类型筛选审计日志的时间轴状态显示功能一周日志统计功能，当前时间向前7天的每日日志数量趋一周告警统计功能，包含和非的比例和条目数器数据盘占用率以及主从情报信息，展示情报总量，更新次数和最近更新日期系统信息，分析平台当前节点的、内存占用间管理功能能够支持时间同步，支持V4.0协议能够提供网络管理功能，可进行静态路由配置多次登录失败将锁定账号5分钟内不得登录动升级可实时监控设备的、内存、存储空间使用情部署情况威胁检测提供对常见扫描行为的检测能力能够检测常见的远控木马行为命令执行、文件包含等；流量记能够对网络通信行为进行还原和记录，以供安全人员进录行取证分析，还原内容包括：会话记录、访问记录、访问记录、解析记录、文件传输行为、登录行为。支持对流量中出现文件传输行为进行发现和还原，将文件5发送至分析平台可以支持、、三种协议的分析和还原文件还原可分析的文件传输协议包括：邮件(、3、、)、()、、支持对常见可执行文件的还原：、、、、、等支持对常见压缩格式的还原：、、、7Z等支持常见的文档类型的还原：、、、、等管理功能能够支持时间同步，支持V4.0协议能够提供网络管理功能，可进行静态路由配置多次登录失败将锁定账号5分钟内不得登录可支持在线升级和离线升级俩种升级方式，并支持定时自动升级可实时监控设备的、内存、存储空间使用情能够监控监听接口的实时流量情况可以分析统计1天或1周时间内的文件还原数量情况可以分析统计1天或1周时间内的各个应用流量的大小部署情况可支持旁路部署，对镜像流量进行监听可支持4网络和6网络两种部署场景，可对两种网络流量均进行分析还原。可支持分布式部署，可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台360威胁情报中心是中国首个面向企业和机构的互联网威胁情报整合专业机构。中心以业界领先的安全大数据资源为基础，基于360360威胁情报中心提供两种使用方式，一是通过访问威胁情报中用户可通过威胁情报中心网站()查看360公司最新发布的网络安全事件报告，并可对360云端数据进行搜索和分析。360威胁情报中心遵循标准提供接口访问，实现如下功能：●分析：获取所属地、相关域名、域、威胁类型、相关样本信息、●5分析：获取样本的首次发现时间、创建时间、文件大小，检测●终端安全保护接入大数据平台的终端的安全，采用360天擎实现病毒/木马防护、终端审计、合规管理、软件管理、资产管理、●主机安全保护数据中心物理服务器和云主机的安全，采用360天擎进行主机病毒/木马防护和补丁管理，采用主机加固降低主机●网络安全首先做好安全区域划分，采用网神3600下一代防火墙360天擎终端安全管系统是360面向政府、企业、金融、军队、控于一体的解决方案。360天擎终端安全管理系统，以大数据技术为杀引擎、(针对可执行文件的引擎)、(针对非可执行文件的引擎)需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下安全管理系统可以对全网计算机进行漏洞扫描把计算机与漏洞进行议、多机制方式)与统计网络中的终端数量及类型。管理员通过此功不明的软件的安装和运行带来的各种风险(如含有恶意代码或者木马程序),又可能合理分配和控制企业购买的软件许可证。天擎终端安全管理系统，能够实现对移动存储设备的灵活管控，保证终端与移动存储介质进行数据交换和共享过程中的信息安全要评估中心通过对内网终端的配置脆弱程度、终端数据价值和终端天擎强制合规()组件主要为企事业单位解决入网安全合规性要天擎终端安全管理系统可以与360的边界防护设备——天眼新一代未知威胁感知系统进行联动，借助360天眼的深度检测能力，结合●在主机上部署病毒/木马查杀软件360天擎，包括和系统，降低都可能存在漏洞，安全管理员应负责定期(例如1月/次)对包括物程登录，设置最大登录尝试次数为3;●对于重要文件设置只有可读、写和执行，主要检查目录采用网神3600网闸实现数据中心与外界进行安全可控的数据交采用网神3600安全接入网关实现通过网络安全接入数据中心，采用网神3600安全网关抗拒绝服务系统抵御攻击，保证数据中采用360天巡无线入侵防御系统，防止有人在数据中心通过私建根据系统功能、安全需求不同进行网络区域划分，整个网络划分设备应用系统区应用前应用应用数据源区——与大数据平台核心区连通，主要是及大流运维接入区——提供专属的区域给运维人员使用，根据访问的目运维管理区——负责管理与监控整个网络的安全与应用系统的运大数据平台核心区——作为整个大数据网络的核心，负责转发网云平台核心区——作为整个云平台网络的核心，负责转发网络中安全服务区——作为提供应用服务的区域，将所有应用系统中不等覆盖4网络及6网络的功能，进一步在网神3600防火墙系列上完网神3600防火墙系列的主要功能如下：的性能、更快速的转发速度是3600防火墙系列的基石，让集成的多网神3600防火墙系列采用完全自主研发的单引擎一次性数据包段都使用同一个会话，实现数据包在4-7层的高性能转发，有效降低网神3600防火墙系列针对管理员的角色建立三权分立的管理员网神3600防火墙系列支持通过虚拟系统功能，将防火墙虚拟成网神3600防火墙系列支持路由模式的和桥模式的。网神3600防火墙系列提供对称路由功能。用户可以通过启用接网神3600防火墙系列支持在多出口的环境中根据用户实际需求，网神3600防火墙系列的安全策略功能是防火墙的核心功能。提制不同安全域之间的数据转发。网神3600防火墙系列的安全策略规实现对4数据及6数据通讯的管理。网神3600防火墙系列将按顺序对策略规则进行比较，特定性更网神3600防火墙系列支持对穿过防火墙的协议进行解密，并对3600防火墙系列也支持将指定的加密数据进行排除不解密。对协议网神3600防火墙系列的攻击防护模块通过基于安全域的防护和网神3600防火墙系列支持与奇虎360公司的天擎系统、威胁情网神3600防火墙系列，基于第三代操作系统，依托先进的多核网神3600防火墙系列采用全新先进的多维动态特征异常检测引网神3600防火墙系列的用户认证主要被设计用于增强从内网访为了认证的安全，认证模式支持，,默认设置为关闭服务器访问账号等都与用户认证的账号统一时，3600防火墙系列可优先级用户带宽。当网络中存在空闲带宽时，网神3600防火墙系列网神3600防火墙系列为用户提供了全面的实时的状态信息展示，网神3600安全隔离与信息交换系统(简称：网闸)是新一代网网神3600网闸可广泛应用于各级政府机关、军队、公安、科研不可信网络可信网络网神3600安全隔离与信息交换系统采用模块化的系统结构设计，数据库同步模块：通过灵活的同步机制，保证安全等级不同的网>安全浏览模块：保证在内外网隔离的环境下，内网用户安全浏览定制模块：支持4和6双协议栈，保证在内外网隔离的同时实现>通道模块：通过通道模块，能够实现认证、加密、授权。认证保>代理模块：通过代理模块能够实现4、5等版本的代理，支持本网神3600安全隔离与信息交换系统提供多种内容安全过滤与内内网用户对外部资源不良内容的访问及敏感信息的泄漏。网神3600网闸可对用户访问的数据库服务器进行语句、数据库名网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键系统可内嵌杀病毒引擎，针对文件交换模块、访问模块、安全浏网神3600安全隔离与信息交换系统提供基于纯文件的交换方式，网神3600安全隔离与信息交换系统的数据库同步模块，独立自网神3600安全隔离与信息交换系统采用双通道通信机制，从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同网神3600安全隔离与信息交换系统提供管理员多种手段了解网 网神3600安全隔离与信息交换系统支持多样灵活的身份认证方网神3600安全网关抗拒绝服务系统(又名抗系统、流量清洗系统),以下简称网神抗系统，是自主知识产权的新一代安全产品，作识别端口保护清洗后纯绿色流量不同的流量触发不同的保护机制，提高效率的同时确保准确度。●主机识别：网神抗系统可自动识别其保护的各个主机及其地址，对攻击频率较高的攻击防护模式，此模式将更为严格过滤攻击；●连接控制：根据攻击的流量和连接数阀值来设置触发防护选项，网神3600安全接入网关系统是以国际标准协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神3600全面支持6安全接入，满足下一代互联网安全接入需求，为企SecSSL3600SecSSL36002●对移动用户进行统一的身份进行认证管理。●根据管理员定义的安全策略和客户端的安全状况，对用户进行●检测远端用户接入设备的安全状态。●保证远端用户同内部网络的通信安全。●实时监控远程接入的安全连接。●移动端安全封装技术，无需企业二次开发快速集成功能。●移动端企业内部安全应用商店，保障合法白名单的应用定向推●移动端安卓设备安全杀毒功能，保障终端安全办公环境。●满足国产信息安全的需要，完整支持国密办算法，包括1、2、安全接入网关系统提供了灵活的用户管理方式和方便的日志管理功360天巡是一款轻部署、强安全、易管理的新一代企业级无线网络安全防御系统。360天巡基于无线入侵检测、无线数据分析、恶意360天巡广泛应用于有内网数据安全需求的军队、企业、党政机360天巡的主要功能如下：热点是无线网络中转发数据的重要设备，一旦热点被劫持或其本击的防御手段，在无线入侵防御系统中是不可或缺的。360断方式有别于其他无线入侵方式系统所使用的射频干扰技术进行范保证无线网络安全的关键任务是持续关注企业当前无线网络的安对大数据平台进行安全加固，其中最重要的是建立大数据环境下的基于大数据平台日志建立统一审计系统，对于大数据平台各个系360安全大数据平台基于实现大数据统一账号系统，对大数据平统一账号系统提供界面方便管理员进行日常操作，并提供接口与360安全大数据平台实现基于模型的大数据统一授权系统，通过的所有用户生效，可以方便的对一组用户进行批量授权和回收。各相应集群+工/44角色角色workadmin资源管理Ⅱ作业管理#用户信息work_admin,hlve_adm#用户信息work_admin,hlve_adm申请授权 审批列表 Ⅱ作业管理田BigSQL白名单work_admin,hive_adm群限单申请授权Ⅱ作业管理田BigsQL口BigGraph申请授权Ⅱ作业管理出BigSQL四BigGraph#角色列表#角色列表目角色管理历史内容作源限白名单群内容作限白名单群内容作限白名单类理内容作白白名单白名单限RFAD.WRITE.CRFATE.DROP.U时间2群内白名单Ⅱ作业管理o过过360安全大数据平台实现基于角色的访问控制授权系统对数为了实现最小化授权和访问控制，360安全大数据平台的访问控●访问的主体：细化到用户或者用户+程序。普通数据访问授权细●访问的来源：可细化指定授权访问的来源，限定只能通过某个/360安全大数据平台基于审计日志实现大数据统一审计系统，支●基于日志进行统一的审计，收集各个组件的审计日志，进行集中●审计日志存储采用经过加固的，数据只能新增和按照日期淘汰清●提取审计日志中结构化信息，包括集群，用户，,操作，对象，●交互式的审计日志检索，可以对结构化的集群，用户，,操作，●可扩展的统一审计架构，新的组件或系统可以方便地整合到统一检索模块6/homa/m/mapred/ytms,201607271622,818Amp/acedujunvouput161701/,empMhomtjmapied/stemfob,201607271522,28163obtmp/-agdyurjun/ostput174001/emporgyattergt20160727174,2219mAomtmuped/ntemh,201607271852,28homgm/mapredhygtemjob_201607271852.28247/homt/mr/mapred/nggtemjok_201607271847_28245/homt/hirmupred/ytemh_201607271847_28/home/m/hsdoop/hhtogsob_201607271632,28191_10160.133.34.1449608327606_munjan_WorAomtuhadoop/h64ob.201607271632.28191_6onmpredunjanoutput.172homthm/hudoop/hknoofob.201607271822,28235.c0home/obe/dednl/onenthempt72opsyocqhoont-13000-0-kfule-2016-07-27-1-32-22,29014,1409615542000,0homg/mr/mapredhplenjob_201607271837_28241uvar/melTcanh/Ourent/tmp/maerd_u查看原始日志dfs[qihoo_audit_cluster_type]=>hdfs[qihoo_audit_timestamp]=>2016-[qihoo_audit_ip]=>1[qihoo_audit_uri]=>/home/mr/mapred/system/job_201607271622_28[qihoo_audit_ret]=>dfstest_clustercreate/home/mr/hadoop/history/job_201607271822_28235_conf.dfsdfsdfsdfsdfsdfsdfs●集群类型和集群名称都是采用下拉框选择的方式，集群类型和集●操作类型也采用下拉列表，但是支持用户输入，同时操作类型支●操作对象采用用户手动输入的方式，格式为格式；单条件查询支●用户字段支持多用户、单用户精确查询。●时间区间可选择一个时间段。策略名称：策略条件：目标用户：邮箱收件人：短信收件人：请选捏请选择..请选择..邮件收件人.短信收件人batPut目标用户：邮箱收件人：十增加十增加邮箱收件人：短信收件人：邮箱收件人：短信收件人：实现自动化的多类型扫描器的整合和分布式化部署，能够有效解360漏洞扫描平台实现了多个系统安全扫描器的扫描、可分布式IDC机房1IDC机房2管理员360系统漏洞扫描部署图表0P006917,T22,T8006,T8089,180153.233221.10115100.168000.T6700,T47940.10443.T80.T8649,T22,.4101299485.2021029115T10009,145462T31052,19360代码卫士(以下简称“代码卫士”)是奇虎360公司基于多代码安全缺陷分析系统(5100)、源代码合规分析系统(5200)、源代码溯源分析系统(5300)及代码安全保障系统(5500)四个产品。管理系统(如)等进行无缝对接，以最小代价帮助组织实现源代码安将代码卫士与代码库进行关联，配置好定时检测计划，系统能自支持源代码合规，检查源代码是否违背代码开发规范，约束开发对源代码的不同版本的检测结果进行比对分析，分析代码安全趋缺陷信息数据的深度挖掘，按时间、部门、缺陷等级、缺陷类别外部系统接口模块支持定制化开发，通过定制化接口驱动基于360对应用攻击周期深度理解的基础上定制开发的入侵检测系统。作为应用防火墙()的补充，该产品通过旁路部署，分析双向流360安全大数据平台基于审计日志实现大数据统一审计系统，支360安全大数据平台对数据进行加密存储，实现无明文存储，避360实现数据的透明加解密，在集群中数据写入时自动对数据进秘钥和加密算法对数据进行多次加密，可以进一步提高数据安全