天融信网络安全专家服务白皮书.docx
《天融信网络安全专家服务白皮书.docx》由会员分享,可在线阅读,更多相关《天融信网络安全专家服务白皮书.docx(16页珍藏版)》请在冰豆网上搜索。
天融信网络安全专家服务白皮书
密
1术语定义
网络安全专家服务系统:
是实现网络安全管理的技术支撑平台,以风险管理为核心作用,为安全服务和管理提供支撑。
监控对象:
是对网络安全专家服务系统实施风险管理的对象的统称,包括:
安全设备、网络设备、应用系统、主机、数据和信息。
安全事件:
由计算机信息系统或网络中的各种计算机设备发现并记录下的可疑活动。
安全威胁:
是对系统、组织及安全对象构成潜在破坏能力的可能性因素或事件。
脆弱性:
存在于被威胁的客体上,可被威胁利用而导致安全性问题。
安全风险:
即存在由一种特定的威胁利用脆弱性而引起信息丢失甚至损害一个或一组安全对象的可能性。
2网络安全专家服务产生背景
2.1用户信息系统安全面临的挑战
当今,几乎所有行业的用户业务都是建立在网络应用的基础之上。
互联网应用与业务的融合给用户带来了效率提升和持续竞争力,然而互联网与业务结合同样具有潜在的风险。
任何细微的变故,都有可能导致业务流程完全失效。
信息系统在给电子政务、电子商务带来了高效和便捷的优越性同时,同样给外部和内部利用信息系统犯罪带来了容易性和隐蔽性。
黑客、蠕虫病毒、后门漏洞等安全威胁的存在,使得用户的关键业务暴露在危险之中。
其中问题集中体现在:
⏹众多安全设备缺乏有效的统一管理
⏹安全运维能力不足,5*8小时外的安全事件无暇顾及
⏹信息安全产品更新太快,信息安全系统建设投入太大
⏹缺乏专业的安全研究团队
⏹突发安全事件的应急处理能力不足
⏹海量日志需要统一存储审计
2.2天融信网络安全专家服务的产生
网络安全专家服务是天融信针对安全设备统一管理、5*8小时外的安全运维、突发安全事件处理等安全问题而推出的专业安全服务产品。
天融信与中国电信、中国联通合作,建立了安全监控运营中心,打造了一支专业化的安全运营团队,由经验丰富的安全专家为用户提供服务。
同时与国家计算机网络应急技术处理协调中心(CNCERT/CC)等权威单位合作,利用国家级监管单位及电信运营商独有的网络资源,为用户提供更高级别的服务。
3网络安全专家服务介绍
3.1服务定义
天融信网络安全专家服务,是利用天融信的安全运营服务系统,结合先进的技术平台、经验丰富的安全运营团队、成熟的服务管理体系,依托来自国家监管机构的权威分析数据,为政府、金融、企业等行业客户的广域网络和互联网接入(包括客户的安全设备、网络设备及应用系统在内)提供统一安全管理和安全保障服务。
3.2适用范围
面向使用互联网接入业务的政企事业单位和金融机构客户。
可对广域网以及互联网接入的客户网络和重要应用系统设备进行安全事件实时监控管理、安全威胁分析处理,为客户提供整体安全防护体系,实现统一安全管理。
目前“网络安全专家服务”可监控管理的客户端设备包括:
Ø安全设备:
防火墙、IPS/IDS、安全网关、安全审计、上网行为管理等;
Ø应用系统:
WEB应用服务器、邮件服务器、数据库服务器;
4网络安全专家服务功能
4.1网络安全监控服务
4.1.1服务说明
天融信网络安全监控服务对用户网络中的安全设备、WEB应用系统的日志信息进行实时收集、监控与分析,对用户网络面临的安全威胁进行分析,及时、准确的发现DDoS攻击、蠕虫病毒、黑客入侵、扫描渗透、暴力破解、非法访问、非法外联等网络安全事件。
4.1.2服务内容
服务内容
服务功能
互联网连通性实时监控
通过远程监控方式对用户指定的IP地址进行5*8或7*24小时网络连通性实时监控,及时发现网络访问中断事件,保障系统可用性。
网络安全事件实时监控
对用户指定的安全设备和网络设备的日志信息进行5*8或7*24小时实时监控,及时发现非法访问、恶意攻击、病毒散播等可能给用户网络造成影响的安全事件。
应用系统安全事件实时监控
对用户指定的web应用系统的访问日志进行7X24小时实时监控,及时应用扫描、SQL注入攻击、XSS跨站攻击等可能给用户应用系统造成影响的安全事件。
安全事件信息存储
将收集到的原始日志信息及报警数据在一段时间内保存,有助于用户追溯安全事件,便于用户事后分析、审计与取证。
安全分析报表管理
每月统计用户网络中发生的安全事件,为用户分析总结网络安全状况及变化趋势,帮助用户掌握自身网络的整体安全状况,并提供合理的整改措施建议。
安全通告
每周总结最新的安全漏洞信息、黑客攻击方法、流行病毒信息、补丁信息、安全发展动态、重大安全事件、安全法律法规等安全资讯,以邮件的方式发送给用户,帮助用户集中了解最新的安全动态。
安全事件预警
发现用户网络异常流量、蠕虫病毒、黑客入侵等重要安全事件时向用户电话发出预警信息,提供安全事件的详细信息,指导用户对安全事件进行处理。
4.1.3服务级别
天融信网络安全监控服务提供基本服务包和增强服务包两种服务,如下表:
服务内容
服务级别
Level1
Level2
5*8小时网络安全事件监控
●
7*24小时网络安全事件监控
●
7*24小时应用系统安全事件监控
●
5*8小时互联网连通性实时监控
●
7*24小时互联网连通性实时监控
●
30天事故数据存储
●
60天事故数据、30天原始数据存储
●
每月安全分析报表
●
每周安全分析报表
●
每周安全通告
●
●
网络安全事件预警(1小时内)
●
网络安全事件预警(20分钟内)
●
应用系统安全事件预警(20分钟内)
●
4.1.4服务实现方式
4.1.4.1系统架构
天融信“网络安全监控服务”业务通过天融信安全运营中心的网络安全专家服务系统实现。
网络安全专家服务系统由四个部分组成:
数据采集子系统、运营服务核心平台子系统、客户服务支撑子系统、专家团队子系统。
图1网络安全专家服务系统
(一)数据采集子系统部署在用户网络端,负责从客户网络的安全监控对象上采集日志数据,并将预处理后的数据信息以加密方式发送至“网络安全专家服务”核心平台进行分析。
具体部署方式参见下节“业务接入方式”。
(二)运营服务核心平台子系统部署在电信IDC机房,对采集到的日志信息进行智能分析,以安全风险管理为核心,实现安全对象管理、安全事件管理、系统脆弱性管理,将发现的高危安全事件生成预警信息通知到客户服务支撑系统。
(三)客户服务支撑子系统定期向用户报送安全报表和安全通告,在发生高危安全事件时向用户提供预警,为用户提供专家级的安全解决方案和安全响应、安全咨询服务。
(四)安全专家团队子系统包括安全运维人员、安全分析人员、安全专家组、现场服务人员。
安全专家团队负责对安全事件进行实时监控与分析,帮助用户发现真正有威胁的安全事件。
4.1.4.2接入方式
天融信网络安全监控服务通过数据采集子系统实现客户业务接入。
本业务提供三种接入方式供客户选择,包括代理服务器形式、软件安装形式和硬件采集设备形式。
1、代理服务器形式
在客户网络内一台“网络安全监控服务”专用服务器上安装代理软件,部署为监控代理服务器。
监控代理服务器硬件要求:
内存2G以上,空闲磁盘空间100G以上,intel双核处理器主频2.4GHz以上,1000M以太网卡。
软件要求:
windowsxp/2000/2003企业版或支持Java的商业版Linux操作系统,需配备1.6及以上版本java虚拟机(JVM)。
客户网络内需要监控的安全设备、应用系统等如具备主动日志发送功能,则在监控对象上进行相应配置,由监控对象主动将日志发送至监控代理服务器。
如监控对象不具备主动日志发送功能,则需要采用后两种接入方式为用户提供服务。
监控代理服务器须保证与监控对象间网络可达,与运营服务核心平台间网络可达。
如下图所示:
图2代理服务器方式客户接入
2、软件安装形式
对于客户网络中不具备主动日志发送功能的监控对象,则需要在监控对象中安装代理软件,由监控代理软件将日志信息发送至运营服务核心平台。
如下图所示:
图3软件方式客户接入
3、硬件采集设备接入
由天融信提供硬件采集设备,以旁路接入的方式部署于客户网络端的网络交换设备,并在网络交换设备中配置端口镜像,将监控对象所在网络端口的流量发送至硬件采集设备,硬件采集设备通过流量分析获取监控对象的监控数据,同时支持接收监控对象主动发送的日志信息,即可替换监控代理服务器使用。
采集设备具有1个流量分析端口和1个管理端口,流量分析端口与镜像端口连接,用以分析网络流量;管理端口直接与网络交换设备连接,用以接收监控对象主动发送的日志信息和设备管理信息。
硬件采集设备与运营服务核心平台间须保证网络可达。
如下图所示:
图4硬件方式客户接入
一般情况下,数据采集子系统采集的监控数据通过Internet加密通道的方式安全上传至运营平台子系统。
如下图所示:
图5Internet加密监控通道
4.1.5服务流程
4.1.6产品服务特征
天融信网络安全监控服务具有部署灵活、快速,可扩展性好,服务范围广泛,可视化程度高等特征,能够满足不同层次用户的安全需求。
(一)部署方式灵活
网络安全专家服务系统部署方式非常灵活。
系统核心平台和数据采集系统分布式部署,既可以保证核心系统的稳定,又可以支持复杂的网络环境。
采集器部署在客户端,采用软硬件多种方式,可在不影响用户网络环境、不进行网络配置重大变更的情况下实现。
(二)可扩展性高
网络安全专家服务系统支持分布式部署方式,可根据业务规模灵活扩展。
核心平台为全国客户提供远程服务,在全国不同区域可采用分级部署的方式建立多级平台,实现不同等级的事件管理与响应;采集器功能集成为软硬件两种方式,已实现自动化管理,可根据用户需求在用户网络中灵活部署。
(三)服务范围广泛
网络安全专家服务系统以标准化接口方式实现了对多厂商设备的管理,在统一的系统架构和数据模型下,将各项管理数据的共享集中,互通互融,能够综合量化企业安全状态和企业业务的总体安全问题,从而更加彻底地保证业务系统的正常运行,降低运维成本,提供安全事件监控、资产运营管理、事件管理等的综合统一管理平台。
(四)服务可视化程度高
网络安全专家服务系统可提供基于不同视角的视图管理,从地理区域上提供区域视图,从设备角度上提供设备视图。
可视化过程包括在线和离线两种方式,“在线”是通过实时风险的综合计算和可视,表达当前信息系统的安全态势;“离线”则通过对安全事件的数据挖掘,可视化输出统计分析的结果,帮助用户分析信息系统某一事件段内的安全态势。
4.2安全巡检服务
4.2.1服务说明
本服务的目的是尽可能发现用户网络中的网络设备、安全设备、WEB应用系统等存在的安全漏洞和安全隐患,根据对客户信息系统安全评估的结果,制定安全加固方案,提出对客户的主机系统、应用系统、网络设备、安全设备的加固建议,完成策略调整和加固措施,全面提升客户信息系统的安全保障能力。
4.2.2服务内容
服务内容
服务功能
人工安全检查服务
通过人工检查的方式发现网络及应用系统所面临的安全威胁及安全漏洞并加以分析,为后续的安全加固服务提供依据。
安全加固服务
根据对客户信息系统人工安全检查的结果分析,制定针对客户信息系统特点的安全加固方案,全面提升客户信息系统地安全保障能力。
工具扫描服务
利用基于各种评估侧面的评估工具对评估对象进行扫描评估,对象包括各类主机系统、网络设备等。
日志分析服务
通过安全日志分析了解真实的网络现状,对已发生的入侵及事后取证提供必不可少的依据。
4.2.3服务级别
服务内容
服务级别
Level1
Level2
Level3
Level4
人工安全检查服务
●
●
●
●
安全加固服务
●
●
工具扫描服务
●
●
●
●
日志分析服务
升级会员 