20141210_启明星辰FlowEye安全域流监控产品白皮书V6.0.11.7.doc

产品白皮书 天玥网络安全审计系统V6.0（FlowEye安全域流监控产品） 目 录 1. 背景 5 2. 安全域流监控产品简介 6 2.1. 产品概述 6 2.2. 在安全体系建设中的意义 6 2.3. 产品总体架构 6 3. 系统部署方式 8 3.1. 系统管理结构 8 3.2. 流量采集方式 8 4. 主要功能介绍 9 4.1. 设备管理 9 4.2. 互连关系管理 9 4.3. 策略管理 12 4.4. 报表管理 12 5. 客户收益 15 5.1. 有效提高DPI设备的采集效率 15 5.2. 有效获得企业内设备间的合法互连关系 15 5.3. 及时有效发现不安全的连接事件 15 5.4. 帮助梳理安全域及安全子域定义，调整不合理网络拓扑 15 5.5. 有效帮助企业发现违规设备和潜在的安全风险 15 5.6. 及时有效的提高APT攻击检测能力 16 6. 附录：本系统和传统网络行为审计产品的差异 17 术语及缩略语 白名单 符合因业务运营及管理需要、正常业务流程需要、日常维护需要而生成的设备互访关系称为白名单。 White List 黑名单 不符合白名单的互访要求生成的互访关系称之为黑名单。 Black List 安全域 安全域（网络安全域）是一个逻辑范围或区域，指有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络。 Security Domain 安全子域 一个安全域内可根据其管理需求的不同（如：维护管理部门的不同）、地域的不同（如：一个网络或系统的不同物理节点）、数据分类不同（如：安全域中的交互网络域、计算域、服务域、维护域），可进一步被划分为若干安全子域。 Security SubDomain 互连关系 设备间为实现通信和资源共享产生的访问关系 interconnection relationship Payload数据 Payload数据记载着信息的那部分数据。通常在传输数据时，为了使数据传输更可靠，要把原始数据分批传输，并且在每一批数据的头和尾都加上一定的辅助信息，比如这一批数据量的大小，校验位等，这样就相当于给已经分批原始数据加一些外套，这些外套起到标示作用，使得原始数据不易丢失。一批数据加上它的“外套”，就形成了传输通道中基本的传输单元，叫做数据帧或者数据包（有的地方数据帧和数据包不是同一概念比如网络传输）。这些数据帧中的记录信息的原始数据就是有效载荷数据亦即Payload数据 Payload data 背景 网络与信息安全管理的实质是对各类超出IT系统设计目的的异常流量的管理，因此，强化流量分析是安全管理从基于经验、粗放管理模式向精确、量化安全管理模式转型的基础性工作和必由之路，是企业下一阶段解决制约当前安全管理水平的几个关键问题的关键性工作。如： 安全人员进行防火墙策略审计时，由于不能掌握精确、真实的互连需求，无法对any to any、*** to any、any to ***等明显错误之外的其它策略进行判断；同时系统维护人员也无法判断业务开通、变更时厂家提出的互连需求的合理性；而集成商也普遍缺乏在研发等环节存留网络互连端口、服务、进程等基础信息的管理要求，只能以开通业务为主要目的设置过粗的策略，忽略安全方面策略最小化的要求； 安全人员不能掌握是否存在互联网子域直接访问核心域后台数据库、两个无关系统之间是否有可疑流量，是否出现新的未备案、直接部署到安全域的设备，是否存在超出接入审批的其它设备，仅仅依靠管理措施，无法准确判断是否符合安全域划分要求，是否满足企业对具体设备部署要求、互连要求等等，安全工作难以取得实效。 系统维护人员不能掌握各服务器开放的用于网络通信的固定端口或者端口变化存在的分布规律，无法进行端口异常检测，无法及时发现植入的恶意程序、后门的活动痕迹。例如在电信公司的WAP网关统计服务器上植入程序、利用WAP网关到MISC认证机制的脆弱性进行恶意订购的行为；例如在某电信公司的BOSS系统中，安全人员无法及时发现BOSS系统程序中是否含有窃取用户话单、通信记录信息的后门程序，无法及时发现和阻止一些后门程序不定期地窃取客户信息并发送到外部设备而造成信息泄露的重大安全事件，无法阻止感染木马、僵尸恶意代码导致系统被控制的安全事件等等。 同时，APT（高级持续性威胁，Advanced Persistent Threat）是近年来兴起的一种新型网络攻击方式。它对大型企业，特别是对政府、运营商、银行、能源等机构的针对性日益增强，造成的威胁越来越大，对 APT 引发的安全问题需要引起我们足够的重视。 应对APT需要安全专业人员展开一种新的思维。信息安全专业人员必须假定攻击者已经使用高级攻击成功地渗透进入了企业网络，那么当攻击者与企业的价值资产之间