数据中心与大数据安全方案电科院.docx
《数据中心与大数据安全方案电科院.docx》由会员分享,可在线阅读,更多相关《数据中心与大数据安全方案电科院.docx(49页珍藏版)》请在冰豆网上搜索。
数据中心与大数据安全方案电科院
1.数据中心与大数据安全方案
1.1数据中心与大数据安全概述
随着信息技术的迅猛发展,大数据技术在各行各业的逐步落地,越来越多的单位和组织建设数据中心、部署大数据平台,进行海量数据的采集、存储、计算和分析,开发多种大数据应用解决业务问题。
在大数据为业务带来巨大价值的同时,也带来了潜在的安全风险。
一方面,传统数据中心面临的安全风险如网络攻击、系统漏洞等依然存在;另一方面,针对大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显,一旦数据被非法访问甚至泄漏损失非常巨大.
1.2数据中心与大数据安全风险分析
数据中心和大数据环境下的安全风险分析如下:
●合规性风险:
数据中心的建设需满足等级保护或分级保护的标准,即需要建设安全技术、管理、运维体系,达到可信、可控、可管的目标。
为了满足合规性需求,需要在安全技术、运维、管理等方面进行更加灵活、冗余的建设。
●基础设施物理安全风险:
物理层指的是整个网络中存在的所有的信息机房、通信线路、硬件设备等,保证计算机信息系统基础设施的物理安全是保障整个大数据平台安全的前提。
●边界安全风险:
数据中心的边界包括接入终端、服务器主机、网络等,终端包括固定和移动终端都存在被感染和控制的风险,服务器主机存在被入侵和篡改的风险,数据中心网络存在入侵、攻击、非法访问等风险.
●平台安全风险:
大数据平台大多在设计之初对安全因素考虑较少,在身份认证、访问控制授权、审计、数据安全方面较为薄弱,存在冒名、越权访问等风险,需要进行全方位的安全加固。
●业务安全风险:
大数据的应用和业务是全新的模式,在代码安全、系统漏洞、Web安全、访问和审计等多个方面存在安全风险.
●数据安全风险:
由于数据集中、数据量大、数据价值大,在大数据环境下数据的安全尤为重要,数据的访问控制、保密性、完整性、可用性方面都存在严峻的安全风险.
●运营管理风险:
安全技术和策略最终要通过安全运营管理来落实,安全运营管理非常重要,面临管理疏漏、响应不及时或力度不够、安全监控和分析复杂等风险。
1.3数据中心与大数据安全解决方案
1.3.1设计原则
本方案需要充分考虑长远发展需求,统一规划、统一布局、统一设计、规范标准,并根据实际需要及投资金额,突出重点、分步实施,保证系统建设的完整性和投资的有效性。
在方案设计和项目建设中应当遵循以下的原则:
●合规性和规范化原则
安全规划和建设应严格遵循国家信息安全等级保护或分级保护标准和行业有关法律法规和技术规范的要求,同时兼顾参考国际上较为成熟的ISO27000、CSA的成熟范例,从技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。
●国产自主化原则
大数据中心信息的安全,关乎整个上层应用的信息系统平稳运转和工作正常开展,采用国产化自主可控的硬件和软件进行数据中心和大数据安全,避免国外技术封锁和后面带来的根本性安全风险.
●适度安全原则
任何信息系统都不能做到绝对的安全,在安全规划过程中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性.适度安全也是等级保护建设的初衷,因此该安全规划在进行设计的过程中,一方面要严格遵循基本要求,从物理、网络、主机、应用、数据、虚拟化、虚拟网络等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合考虑业务和成本的因素,针对信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。
●技术管理并重原则
信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性。
●先进性和成熟性原则
所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一.首先,云产品必须成熟,更加遵守标准。
第二,云供应商必须与用户签署相关合同协议,这有助于客户满足云合规性的需求。
并且,选择目前和未来一定时期内有代表性和先进性的成熟的安全技术,既保证当前系统的高安全可靠,又满足系统在很长生命周期内有持续的可维护和可扩展性。
●动态调整原则
信息安全问题不是静态的。
信息系统安全保障体系的设计和建设,必须遵循动态性原则.必须适应不断发展的信息技术和不断改变的脆弱性,必须能够及时地、不断地改进和完善系统的安全保障措施。
●保密原则
项目的整体过程和结果应严格保密,涉及项目的所有人员均需签署保密协议,XX,对项目涉及的任何信息不得泄露。
1.3.2总体架构
针对数据中心与大数据安全的安全分析,基于上述设计原则,数据中心与大数据安全的总体架构如下:
针对数据中心与大数据安全威胁的多样化、体系化,防御体系利用先发优势,在各个层面进行纵深覆盖,实现风险分化、协同互补,构建一套环环相扣的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多重纵深防御体系.从云端到终端、从业务到数据、从事前到事后,为数据中心提供无所不在的全方位保护,在大数据环境中为用户提供多层次、多维度、体系化纵深防御的解决方案,综合提升应对新型安全威胁的能力,真正做到看得见的安全和有效安全。
●威胁感知:
360建立了基于大数据安全分析和威胁情报的云计算中心,形成有效对抗新型威胁的防御和检测体系,通过该体系,可以挖掘未知威胁、预知风险,全面、快速、准确地感知过去、现在、为了的威胁态势,同时经过提炼后的情报信息会实时同步到边界、业务、数据安全防护体系中,大幅提升边界、平台、业务、数据的整体安全防护能力.
●边界安全防护:
基于业务的风险和控制需求,划分不同的物理/逻辑安全区域,在安全区域边界、网络出口边界、无线接入边界、终端接入边界建立健全的边界立体防控体系,基于天擎终端安全、天堤网关安全等产品实现边界协同防御,同时通过与威胁情报中心的情报交互,以及流量的上下文情景感知分析,实现动态策略自动下发与阻断,将已知或未知威胁阻断在边界之外,有效保护各边界区域的网络信息安全。
●平台安全防护:
通过建立大数据分布式环境中的4A体系(账号Account、认证Authentication、授权Authorization、审计Audit),保证只有具备合法账号、通过身份认证、经过访问授权的人才能使用大数据平台,且具备平台各个系统使用和访问的集中统一审计与监控。
●业务安全防护:
通过对业务和应用的深入分析,从业务系统的代码缺陷、自身加固不足入手,再对用户数据业务访问的行为详细审计分析,进行源代码安全检测、分析、溯源、缺陷管理,建立系统漏洞管理和响应机制;对Web系统进行安全扫描、监测、防护;进行日志、数据库、大数据方面的审计。
●数据安全防护:
对大数据平台中的数据进行加密和数据密级管理,基于分布式数据复制、校验等技术实现数据的完整性、可用性,通过网关敏感信息检查、终端敏感信息检查、终端数据加密实现数据的安全可控和防泄漏。
数据中心和大数据安全体系的设计理念是在整体安全攻防体系下考虑大数据平台和数据安全,主要特点如下:
●安全体系是一个整体:
大数据安全不是孤立的,要基于整体安全攻防体系来构建大数据安全。
整体安全攻防体系包括威胁感知、边界安全、平台安全、业务安全、数据安全等.
●大数据环境的4A体系:
在分布式、海量数据的大数据环境中,构建用于大数据平台内所有系统的统一账号(Account)、认证(Authentication)、授权(Authorization)、审计(Audit)4A体系。
●大数据加密体系:
所有数据加密存储、加密传输,实现数据密级管理体系,根据不同密级的数据选择不同强度加密算法、数据多层加密.
●差异化多级防御:
不同安全产品基于不同安全技术从不同角度保护系统的安全,防止单点被突破后整体安全沦陷.
1.3.3安全威胁感知
基于360云端大数据中心和企业本地大数据中心以及数据中心流量分析,安全威胁感知体系可以及时洞察展现数据中心的安全威胁和安全态势。
360态势感知与安全运营平台NGSOC及时发现本地的威胁和异常,同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势进行展现.
360天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。
360NGSOC和360天眼都基于云端威胁情报中心提供的可机读威胁情报与本地流量数据相结合,威胁情况可以根据数据中心实际情况采取在线产线、云端推送、离线拷贝等多种灵活方式进入数据中心。
1.3.3.1威胁态势感知
360态势感知与安全运营平台NGSOC是基于360威胁情报和本地大数据技术的对用户本地的安全数据进行快速、自动化的关联分析,及时发现本地的威胁和异常,同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势展现给用户的系统。
360态势感知与安全运营平台一方面可基于360自有的多维度海量互联网安全数据,进行情报挖掘与云端关联分析,提前洞悉各种安全威胁,并将威胁情报以可机读格式推送到本地系统,供本地威胁检测和分析时使用,另一方面,360态势感知与安全运营平台可对本地全量数据进行采集和存储,利用大数据技术在本地进行安全数据分析和威胁溯源。
整个设计将遵循发现、阻断、取证、溯源、研判、拓展的安全业务闭环设计,使得用户能通过产品各个功能模块完成威胁处置的全过程。
360态势感知与安全运营平台NGSOC主要实现以下功能:
●日志检索
日志检索APP的主要功能是对采集到的全量原始日志进行快速检索,可实现千亿条日志秒级检索的性能。
●关联分析
关联分析APP是方便安全分析人员对多维度数据进行关联并分析攻击路径、取得攻击证据链的工具.在此APP上安全分析员可以将原始网络流量日志、原始主机日志、安全设备告警、威胁情报、互联网基础数据等多维度数据进行关联,寻找攻击者的在内网留下的痕迹,对攻击进行溯源和研判,并按照时间维度形成攻击证据链.
●威胁情报利用
通过从360云端获取(在线查询、云端推送或离线拷贝)可机读威胁情报,本地系统可自动创建分析规则,对本地网络中采集的数据进行实时比对比对,发现可疑的连接行为;同时,可利用威胁情报对历史数据进行比对,以发现曾经发生过的APT攻击行为或本地网络中的Botnet主机,并可利用情报对安全事件进行溯源分析。
●告警响应中心
360态势感知与安全运营平台采集的数据维度较多,太多的日志和告警反而让安全管理员无从下手.通过告警响应中心,安全管理员可将多个不同维度的数据进行关联后再做研判,这样可大大减少有效告警数量,提升安全管理效率。
在告警响应中心,安全管理员可将潜在的威胁的判定逻辑做成关联规则,实时的发现符合威胁判定逻辑的内网行为,并产生告警。
在发现关联告警后,安全管理员可将告警内容和响应建议通过邮件、短信等方式发送给指定的安全事件处置人员,或者将其推送到下级处置中心,如:
天擎终端管控中心。
在下级处置中心完成事件处置后,告警响应中心会将告警事件标记为“已处置”。
●报表中心
提供丰富的报表管理功能;根据时间、数据类型等定期自动生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况.报表可以保存为HTML、EXCEL、文本、PDF、WORD、PNG等多种格式,提供报表模版的导入、导出功能,用户可根据需求自定义相关报表模版进行数据的导入、导出。
●网站监控
网站监控APP是用于监测网站安全性与可用性的系统,与常见监控技术不同的是网站监控APP采用了云扫描、互联网漏洞众测平台及云多点探测等新技术,解决了以往网站监测仅依靠本地漏洞扫描及人工值守存在的时效性和准确性等问题。
网站监控系统能通过云扫描技术对大量网站同时进行漏洞扫描,并具备篡改、挂马及暗链的发现能力,通过互联网漏洞众测平台保证漏洞(包括WEB0Day)发现的准确性及时效性,通过云多点监测全天候对大量网站进行可用性监测。
●安全仪表板
利用系统采集的海量数据,并根据用户不同的安全分析应用场景,精心定义了四类不同的安全仪表板,分别为资产威胁视图、互联网威胁视图、安全告警视图、资产安全监控视图。
资产威胁视图中定义了内网资产拓扑、资产安全事件告警及漏洞统计、资产风险统计、组件状态等仪表板;互联网威胁视图中定义了外部威胁视图、外联安全事件告警统计、外联安全事件告警详情等仪表板;安全告警视图中主要定义了安全事件告警详情、安全事件告警处置、安全事件处置状态等仪表板;资产安全监控视图中主要定义了安全域资产信息统计、安全域各维度告警及风险统计、安全域所包含资产的漏洞详情等仪表板.通过这些仪表板的使用,极大提高了安全事件的可视化展现能力,同时帮助分析人员从视图中快速发现异常,提供深入分析的线索.
●可视化的事件溯源分析
通过利用威胁情报发现APT攻击或Botnet主机后,可进一步通过系统提供的可视化分析工具和海量的云端安全数据,对事件进行溯源分析,在互联网范围内发现类似的攻击事件,找出攻击事件背后的团伙和实际的攻击者,提高分析人员对安全事件的溯源分析能力。
●态势感知大屏
态势感知大屏APP提供4种面向不同安全场景的态势监控界面:
APT攻击态势、DDoS攻击态势、僵木蠕毒安全态势和网站安全态势。
1.3.3.2大数据安全分析
360天眼新一代威胁感知系统(以下简称“天眼")可基于360自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。
同时结合部署在客户本地的大数据平台,进行本地流量深度分析。
360天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源,帮助企业防患于未察。
360天眼的功能如下:
天眼分析平台
威胁感知
能够接收云端提供的威胁情报,对网络中的威胁事件进行发现和告警
威胁情报可支持在线和离线升级两种方式
对于重要的未知威胁告警,将告知客户攻击背景信息
可提供未知威胁在本地发生的具体时间和受害主机地址
能够对未知告警的受害IP进行搜索
能够对未知威胁告警进行处理,可设置已处理、未处理、忽略等状态
威胁详情展示,以时间轴的方式展示日志分布,和螺旋图形成两套可选方案,用户自行选择点击图标切换两种显示方式。
用户点击后可保存当前选择为后续的默认选择
提供告警数据导出功能,以excel表格式导出告警数据
日志检索
可对TB级日志做到快速搜索,搜索时间小于30s
可将日志区分为普通流量日志和告警日志,并可按照不同的日志类型就行日志筛选
网络流量日志至少包含DNS、HTTP、TCP、FTP、LDAP、SMTP、IMAP、POP3等网络流量行为日志,并可按照以上应用协议的各个关键字段搜索日志
流量日志记录至少包含以下字段:
时间、IP、IP地理位置、端口、域名、HTTP头信息、SQL语句、邮件收件人和发件人、文件名、文件MD5、应用层payload前100字节。
可对流量日志的关键字段进行追加搜索,从上一次的搜索结果中重新按照新的规则搜索日志
可将IP地址的地理位置信息及AS号解析出来
可展示日志的时间分布
支持日志导出
可筛选关键字段展示,隐藏不必要的日志信息
所有日志均可以标准化接口形式提供
可以搜索文件访问行为,并展示还原流量中文件的MD5和文件名
支持搜索历史记录,点击后可重新搜索
支持规则搜藏,导入导出
支持基于选择字段的快速搜索
支持lucence语法高级搜索
支持搜索结果导出,以excel格式导出,导出条目数不超过5000
操作审计功能
提供审计日志功能,能够记录所有对产品的配置修改、数据修改、数据检索、登录登出等操作。
提供审计日志筛选搜索功能,能够按照时间段、角色、用户、操作类型筛选审计日志
提供审计日志展示功能,可以展示操作日志的操作时间、角色、用户、用户登录IP、操作类型和具体操作细节。
提供审计日志统计功能,可以按照时间轴展示时间轴上操作数量的分布,时间轴可以圈选、拖动、同日志检索系统的时间轴
状态显示功能
一周日志统计功能,当前时间向前7天的每日日志数量趋势,统计本周日志总量。
一周告警统计功能,包含APT和非APT的比例和条目数
集群状态展示,展示集群服务器数量,集群状态,各服务器数据盘占用率以及主从
情报信息,展示情报总量,更新次数和最近更新日期
系统信息,分析平台当前节点的CPU、内存占用
证书信息,当前系统的证书类型,服务起止时间,情报时间
联动设备状态信息,联动设备的连接状态,设备以设备名,绿色连接正常,红色链接异常。
管理功能
能够支持时间同步,支持NTPV4.0协议
能够提供网络管理功能,可进行静态路由配置
多次登录失败将锁定账号5分钟内不得登录
可支持在线升级和离线升级两种升级方式,并支持定时自动升级
可实时监控设备的CPU、内存、存储空间使用情况.
可新增并管理用户,可控制用户使用权限。
权限包含:
管理权限、应用权限、设备权限、数据权限等。
可支持用户初次登陆强制修改密码功能.
部署情况
可支持集群部署,可水平扩展至多台设备集群,以应对大量数据情况,可支持PB级数据检索。
天眼传感器
威胁检测
提供对常见扫描行为的检测能力
能够检测常见的远控木马行为
提供对主要Web应用攻击的检测能力,包括:
注入、跨站、webshell、命令执行、文件包含等;
流量记录
能够对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容包括:
TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为.
支持对流量中出现文件传输行为进行发现和还原,将文件MD5发送至分析平台
可以支持MSSQL、MYSQL、ORACLE三种sql协议的分析和还原
文件还原
可分析的文件传输协议包括:
邮件(SMTP、POP3、IMAP、webmail)、Web(HTTP)、FTP、SMB
支持对常见可执行文件的还原:
EXE、DLL、OCX、SYS、COM、apk等
支持对常见压缩格式的还原:
RAR、ZIP、GZ、7Z等
支持常见的文档类型的还原:
word、excel、pdf、rtf、ppt等
管理功能
能够支持时间同步,支持NTPV4.0协议
能够提供网络管理功能,可进行静态路由配置
多次登录失败将锁定账号5分钟内不得登录
可支持在线升级和离线升级俩种升级方式,并支持定时自动升级
可支持用户初次登陆强制修改密码功能.
可实时监控设备的CPU、内存、存储空间使用情况。
能够监控监听接口的实时流量情况
可以分析统计1天或1周时间内的文件还原数量情况
可以分析统计1天或1周时间内的各个应用流量的大小和分布情况。
部署情况
可支持旁路部署,对镜像流量进行监听
可支持IPv4网络和IPv6网络两种部署场景,可对两种网络流量均进行分析还原.
可支持分布式部署,可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台
1.3.3.3威胁情报中心
360威胁情报中心是中国首个面向企业和机构的互联网威胁情报整合专业机构。
中心以业界领先的安全大数据资源为基础,基于360长期积累的核心安全技术,依托亚太地区顶级的安全人才团队,通过强大的大数据能力,实现全网威胁情报的即时、全面、深入的整合与分析,为监管部门提供网络威胁预警与情报。
360威胁情报中心提供两种使用方式,一是通过访问威胁情报中心网站查询数据,二是调用威胁情报中心的API接口直接调用数据.
用户可通过威胁情报中心网站(https:
//ti.360。
com)查看360公司最新发布的网络安全事件报告,并可对360云端数据进行搜索和分析.
360威胁情报中心遵循RESTAPI标准提供接口访问,实现如下功能:
●域名分析:
获取域名对应的IP地址、IP地址相关地理位置信息、当前和历史Whois信息、威胁类型、相关样本信息、递归解析域名的客户端ID、相关攻击团伙或安全事件信息。
●IP分析:
获取IP所属地、相关域名、AS域、威胁类型、相关样本信息、相关攻击团伙或安全事件信息。
●MD5分析:
获取样本的首次发现时间、创建时间、文件大小,检测结果、上传样本客户端MID信息。
1.3.4边界安全防护
边界安全防护是在数据中心的各个边界区域和点进行防护,阻止入侵者进入核心系统,边界安全防护包括数据中心的终端安全、主机安全和网络安全.
●终端安全保护接入大数据平台的PC终端的安全,采用360天擎实现病毒/木马防护、终端审计、合规管理、软件管理、资产管理、边界联动等.
●主机安全保护数据中心物理服务器和云主机的安全,采用360天擎进行主机病毒/木马防护和补丁管理,采用主机加固降低主机安全风险。
●网络安全首先做好安全区域划分,采用网神SecGate3600下一代防火墙进行网络隔离,采用网闸实现单向网络访问,采用DDoS清理抵抗网络攻击,采用SSLVPN实现安全接入,采用360天巡防控无线网络安全风险。
1.3.4.1终端安全
在终端上在部署360天擎终端安全管理系统,实现终端安全防护,包括Windows系统终端和Linux系统终端.
360天擎终端安全管系统是360面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。
360天擎终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。
360天擎的主要功能如下:
●病毒/木马防护
天擎终端安全管理系统支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀,这依赖于QVM人工智能引擎、云查杀引擎、AVE(针对可执行文件的引擎)、QEX(针对非可执行文件的引擎)等多引擎的协同工作。
●补丁管理
在企业的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进行全面的补丁管理,管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁,服务器系统尤为复杂,需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进行补丁升级操作。
天擎终端安全管理系统可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联,可以根据终端或漏洞进行分组管理,并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发,在保障企业网络带宽的前提下可以有效提升企业整体漏洞防护等级。
●资产管理
天擎终端安全管理系统具有强大的终端发现功能,管理员可以通过定义网络IP段分组,对指定的网络分组进行周期性地发现(采用多协议、多机制方式)与统计网络中的终端数量及类型。
管理员通过此功能,了解全网终端数量和天擎终端的安装量,为企业终端安全管理运维提供有效的参考。
●软件管理
天擎终端安全管理系统独有的企业软件管家功能不但能够统计全网终端的软件部署情况,还可以根据企业不同部门进行终端分组,并对不同分组分发不同软件,实现远程部署、远程通知安装等方式.天擎企业软件管家集软件下载、升级、卸载等功能于一体,为企业提供必要的一站式软件管理服务.通过使用企业软件服务,可以避免来源不明的软件的安装和运行带来的各种风险(如含有恶意代码或者木马程序),又可能合理分配和控制企业购买的软件许可证.
●终端安全管控
终端安全运维管控包含对终端的流量管理、非法外联、应用程序安全、网络安全、外设、桌面安全加固等.
●移动存储介质管理
天擎终端安全管理系统,能够实现对移动存储设备的灵活管控,保证终端
升级会员 