新威胁环境下的信息安全概述.pptVIP

泰合安全管理平台体系 第二十八页，共五十二页。 符合等级保护基本要求的安管平台 方面 类 第一级 第二级 第三级 第四级 技术要求 　 　 　 　 　 物理安全 　 　 物理安全监控与告警 物理安全监控与告警 网络安全 拓扑管理 拓扑管理 设备和应用监控 IP地址管理 安全审计 拓扑管理 设备和应用监控 IP地址管理 安全审计 流量监控 地址欺骗监控 拓扑管理 设备和应用监控 IP地址管理 安全审计 流量监控 地址欺骗监控 主机安全 　 安全审计 安全审计 资源监控 安全审计 资源监控 应用安全 　 安全审计 安全审计 资源监控 安全审计 资源监控 数据安全 信息完整性保护 信息完整性保护 信息完整性保护 信息完整性保护 管理要求 　 系统运维管理 资产管理 资产管理 设备管理 网络监控 设备配置信息监控 日志审计 告警事件存储 资产管理 物理环境监控 设备管理 网络监控 设备配置信息监控 日志审计 告警事件统计 安全管理中心 权限管理 资产管理 物理环境监控 设备管理 网络监控 设备和应用配置信息监控 日志审计 告警事件统计 安全管理中心 权限管理 √ √ √ √ √ √ √ √ √ √ √ √ √ √ * VenusTech Confidential 第二十九页，共五十二页。 等级保护差距报告 第三十页，共五十二页。 新技术应对新威胁 安全技术的新方向 第三十一页，共五十二页。 新技术之APT攻击检测 不依赖于事先设定的规则库 不需要“在线更新” 不需要人工调整即可应对新威胁 启明星辰入侵检测产品家族 传统入侵检测 恶意代码检测(0day攻击检测) 异常流量检测 敏感信息泄露检测 定制化检测 第三十二页，共五十二页。 传统基于SandBox，很容易被具有环境学习的未知恶意代码绕过，MDS中的前置引擎基于静态的指令特征识别恶意代码，因此不存在被具有环境学习的恶意代码所绕过 文件还原 捕包 word excel pdf tif …… AV（已知代码库） 前置引擎 Shellcode 指令库 传统 恶意代码库 文件解析（分离数据区、控制区） 提取文件数据区，检测shellcode指令 提取文件控制区，检测漏洞利用指令 产生可疑文件报警（但无法区分0day/Nday） 后置引擎（VX） 将可疑文件加载至SandBox打开、执行 跟踪文件打开、执行过程中的系统调用 提取文件中的可疑code 确定所利用的漏洞是0day还是Nday Nday漏洞 特征库 新技术之0day攻击检测 第三十三页，共五十二页。 新技术之安全域流量监控 第三十四页，共五十二页。 新技术之安全域流量监控 威胁路径 威胁源 威胁利用点 风险描述 威胁程度 安全措施建议 路径1 内部用户 利用应用界面访问，对数据进行操作 利用自身或他人权限，进行数据违规查询、修改、删除等操作； 中 1、增强业务平台自身审计；2、通过旁路部署网络审计方式，加强安全操作审计；3、增强系统登录的验证方式，对关键应用增强身份认证、权限控制； 路径2 内部运维 利用应用程序管理维护界面访问 利用管理界面，进行数据违规查询、修改、删除等操作； 高 1、增强业务平台自身审计；2、通过旁路部署网络审计方式，加强安全操作审计； 3、增强系统登录的验证方式，对关键应用增强身份认证、权限控制；4、设立运维区，对重要的业务系统的运维操作，必须来自该受控区域； 利用应用服务器中间件管理权限 利用中间件管理权限，私自部署应用，违规进行数据查询、修改、删除等操作； 高 1、严格控制中间件的访问权限； 2、通过旁路部署网络审计方式，加强安全操作审计； 3、集中记录中间件操作日志； 第三十五页，共五十二页。 安全域流量监控 ①不同的安全域间、子域间部署 分光器或者分流器（可选）;或者直接镜像口抓包，取决于试点的安全域实际要求 ②部署启明星辰安全域流量监控与 分析产品的流量采集和协议分析引 擎对流量进行解析 安全域 安全域 ③部署启明星辰安全域流量监控与分析产品的集中控制中心，对引擎上报数据进行分析、统计、展现和其它管理功能 分光器/分流器 启明星辰安全域流量监控与分析产品 其它DPI设备 其它DPI设备 端口镜像 端口镜像 第三十六页，共五十二页。 安全域流量监控 第三十七页，共五十二页。 安全域流量监控 产品价值：清晰的互连关系展示和监控，有效支撑安全生产！ 存在的问题 难以察觉防火墙策略开放过大 难以监测到非必要连接 难以判断违规的网络结构 不了解安全域间、域内真实流量 解决的问题 有助于落实安全域划分规范 协助实现防火墙策略最 小化部署 可视化直观展现互连关系 便于管理人员判断互连合规性 为安全域实际划分情况提供基础数据支撑 精确判断资产是否遵守入网规范要求 实时监控是否存在违