IDC安全管控系统及业务平台

IDC安全管理系统及业务平台EverGuard/EverOne恒安嘉新2012年10月目录背景与需求一IDC安全管控系统EverGuard三IDC安全业务平台EverOne二工信部文件中对IDC管控系统的建设要求280号文，明确指出要求建立IDC管控系统，“···实现通信管理部门与当地IDC、ISP企业的信息联动，能够对IDC、ISP所接入网站进行动态采集统计。应急状态下可对IDC、ISP所接入有害网站进行定位和关闭。对所接入网站和上网用户进行溯源。”564号文，“···明确由江苏、天津、安徽、山东、河北五省作为第一批试点地区，···各基础电信企业要认真按照当地通信管理部门的工作部署，加大工作力度，加强组织协调，保障企业侧建设经费尽快到位，加快工作进展。···各基础电信企业要加强统筹，认真做好机房等配套准备工作。”传统防护设备对IDC局限性IDC防火墙只提供访问接入控制，应用层防御能力有限。IDS/DLP采用并联接入模式，无法及时阻断安全事件，也无法发现隐藏在木马流量中的安全事件。流量控制设备提供网络和应用层流量管控，扩展性低。重要IDC安全需要建设针对海量数据流量的应用层深度安全检测、控制和阻断平台。仅依靠旁路监测无法及时阻止安全事件的发生！无法防护安全攻击，实现一站式防护！目录背景与需求一IDC安全管控系统EverGuard三IDC安全业务平台EverOne二优点：1、适合大流量数据分析2、不容易造成单点故障缺点：1、控制和管理的效果不理想方案B优点：1、控制和管理的效果好缺点：1、容易造成单点故障恒安嘉新方案恒安嘉新IDC管控平台方案，结合以上两种方案的优点，并弥补上述缺点恒安嘉新IDC安全防护-EverGuard恒安嘉新IDC安全防护-EverGuard并接检测与串接阻断相结合的IDC安全管控系统IDC安全管控系统集中管控并接分析串接阻断为IDC监管定制的安全监控系统。适用于运营IDC各种出口等各种网络环境。检测与阻断相结合，有效发现和避免安全事件。运营商安全需求、业务扩展性相结合的一站式解决方案。恒安嘉新网络IDC安全管控系统通过在IDC网络出口处对双向网络流量进行智能化深度分析，将网络流量和行为精确映射至特征规则，精准、有效检测和阻断监控区域内的用户行为、安全攻击和木马病毒行为，并能精确追溯事件源头并跟踪记录其所有的操作行为。EverGuard系统部署架构LB：•串接到网络中，并对eTM提供负载均衡。•支持对eTM等进行健康检查。eTM：•并接到网络中，实现数据安全事件的阻断。•接收来自eControl的策略和控制指令。eDPI：•对网络流量进行智能化深度分析；•向eControl下发策略和控制指令。IDC内网IDCInternet出口网络eControl：•集中管理平台，提供统一管理入口和视图。•制定和下发检测和封堵策略。基于串接阻断检测相分离IDC管控实际网络部署和配置BNetworkMonitor12ABNetworkMonitor12A2路LB-22管理分流12管理分流1eTM-2eth0eth12Gb1采集口内网管理口外网管理口外网管理口eDPI-2eControl32内部交换机1路-串接数据口2路-串接数据口eth0eth12采集口内网管理口外网管理口14连接集中ePortal机房华为QuidwayS9306-1LB-11*10GE单模1*10GE单模1*10GE单模1*10GE单模华为QuidwayS9306-21*10GE单模eTM-11*10GE单模eDPI-11*10GE单模1*10GE单模1*10GE单模1*10GE单模1*10GE单模1*10GE单模IDC核心NE80E-1长桥6FIDC核心NE80E-2长桥6F串接层通过独立的串接设备(LB)串接，保证网络安全和当故障发生的时候与控制设备分离控制层通过独立的控制设备(eTM)进行五元组控制，让控制变成了一个独立简单的单元，与分析设备eDPI配合可以实现任意协议和访问的控制分析层通过独立旁路的分析设备，可以灵活分析任意应用通过下发指令来实现控制该技术为国家关防技术LBeTMeDPIeControl1.串接入网络，提供1GE/10GE/FE接口。2.把数据先流转到eTM后，再由eTM送回LB。3.针对eTM做物理和逻辑的健康检查，出现故障立即bypass.1.实时分析和识别用户各类上网行为。2.实时分析和识别网络流量内各种类型传输的核心数据。3.实时分析和识别木马、病毒和僵尸网络行为。4.支持应用层深度智能分析。5.支持日志留存记录和查询。1.统一的管理和查询平台。2.支持百万级控制策略。3.策略生效时间为毫秒级延迟。4.支持对接集团集中管控平台。1.把流量复制到eDPI用于数据分析。2.提供封堵模块，支持IP5元组和协议封堵或永久封堵。3.提供通信接口，与eControl进行通信，并获取封堵的策略。EverGuard平台逻辑组件EverGuard管控分析流程基于9元组全流量存储全流量采集安全流量IP/协议分析漏洞攻击分析僵木蠕文件级分析信安内容级分析HTTPFTPSMTPPOP3IMIP分析收发方分析时间分析频率分析系统核心功能(1)--信息安全管控IDC信息安全管理接口管局侧系统资源管理区域管控信息监测封堵管控网络安全统计分析系统管理侦控配合IP/域名备案系统互联网指挥平台向SMCC传递管控指令向指挥平台提供访问日志超链地址调用部备案系统接口，返回对应备案状态信息互联网综合管理平台调用综合管理平台网站分类接口，返回网站分类信息机房内域名/IP地址输出至综合管理平台企业资源管理系统传递机房设备、用户信息至IDC管控平台资源管理行为审计内容审计策略管理报警管理业务处理系统管理统计分析企业侧系统1、基础资源管理实时获取机房内的域名、网站、IP等信息，并发现其中超范围运行、备案信息虚假等情况。2、信息监测能实时监测IDC机房内域名、URL、IP、端口、协议、网页内容等信息。可提供监测结果至“管控模块”，进行进一步的封堵处理。3、封堵管控能实时封堵域名、URL、未备案网站、IP、端口、协议等，应急状态下可实现区域管控。4、数据查询提供网站访问、BBS发帖审计等日志查询。系统核心功能(2)--信息安全管控工信部已发布相关信息安全技术规范，并在江苏、山东、天津等五省试点，并将结合IDC资质的发放和更新结合一起并入IDC建设要求中。系统核心功能(2)--僵木蠕监控根据CnCERT发布的《2011年中国互联网网络安全分析报告》，2011年，境内共有8895123个IP地址的主机被植入木马或僵尸程序，数量较2010增幅分别达到了78.5%。其中，广东省、江苏省、浙江省居于木马或僵尸程序受控主机IP绝对数量前3位。中国已经成为僵尸木马感染的重灾区！发现正在遭受的零日攻击发现记录追查追踪追踪出攻击的源头对攻击行为进行记录追查出攻击行为的目标和目的发现：可发现正在遭受的0day攻击等攻击记录：对攻击行为进行记录追查：对攻击目的和目标进行追查追踪：可追踪和追查出攻击源头国内唯一一家提供0-Day木马防范7000多个流行木马样本依托CNCERT大网僵木蠕虫样本库僵尸肉鸡、木马、蠕虫病毒已经成为IDC托管主机的重要安全威胁。依托国家安全中心CNCERT的大网僵木蠕病毒库和引擎，十余年成果积累，国内最权威、最尖端的木马检测。系统核心功能(2)--僵木蠕监控系统核心功能(3)--基于国家漏洞库的安全防护涵盖符合行业特点的Web漏洞覆盖OWASPTop10Web安全风险大于300条漏洞规则符合行业的弱口令字典根据CNVD漏洞库持续漏洞更新正常流量CRM漏洞Sql注入流量流量分析协议分析攻击分析内容分析系统核心功能(4)–-协议日志事后追溯任何系统都无法彻底杜绝安全事件的发生。安全应建立“事前防范-事中监控（阻断）-事后追溯”的防护体系。恒安嘉新网络IDC安全管控系统采用全流量采集技术，将网络全部上行（或上下行）流量全部采集，并基于9元组对访问时间、结束时间、源IP、源端口、目的IP、目的端口、目的URL、协议、报文内容进行日志留存。一旦发生未监控到的安全事件，可以在留存的日志中通过各种查询条件查询事前防范事中监控（阻断）事后追溯Starttime:20120829132867Endtime:20120829132868SourceIP:192.168.11.122SourcePort:6553DesIP:202.213.45.8DesPort:8080DesURL::httppostContent:UserziseyyCookiesuiwe38952titile20120829的技术报告attachunicom内网安全技术报告.doc技术特点--高可用性直通技术确保网络安全系统支持设备直通技术，彻底解决串联方式可能带来的单点故障问题。直通技术包括三种：自身掉电直通、eTM掉电直通、对方设备逻辑BYPASS直通。LB与eTM直通的时间间隔以毫秒计算，对用户的感受没有任何的影响。LB与eTM之间不需要单独的心跳线，通过发送健康检查包实现。自身掉电直通设备逻辑Bypass直通eTM掉电直通技术特点—分析与阻断相分离实现安全软件定义串并结合的IDC安全管控系统eTM负责对数据事件阻断ePDI负责对数据事件分析并定义阻断事件检测阻断技术特点--高线速实时处理线速处理能力码流匹配技术：一次数据、多种规则、一次匹配。零拷贝技术：零拷贝在某节点的报文收发过程中不会出现任何内存中的拷贝。发送实时数据包由应用程序的用户缓冲区直接经过网络接口到达外部网络，接收时网络接口直接将数据包送入用户缓冲区。并行协议栈还原技术：采用多线程技术将捕获的以太网数据报文还原成应用层数据进行高效分析处理的技术。专用芯片：大大提升处理性能。并行协议栈还原技术码流匹配技术零拷贝技术专用芯片系统外部接口—可定制的接口平台支持灵活的可扩展外部接口其他接口：支持远程配置/特征等的更新接口；支持与现网文档安全系统、SOC系统等的接口。与受控网络的接口：通过光口或电口获得受控网络的流量数据，该接口获得链路双向数据，不对外部发送任何数据。与管理平台的接口：支持通过Json、Webservice、FTP等协议与集团侧集中平台实现对接和通信。与云平台的接口：支持向云平台提交监测数据和监测结果，支持云存储。硬件配置设备名称设备型号设备描述串接设备PerseusLB用于串接入网络内，具备bypass分流等功能，含原厂一年7*24服务控制设备PerseuseTMES2000（ES2U机箱、24口。含原厂一年7*24服务）分析设备PerseuseDPIES2000（ES2U机箱、E54104核CPU、8G内存、1T硬盘、IS401A加速采集卡、12个SFP光口/千兆电口。含原厂一年7*24服务）管理设备eControl/ePortalHPDL385G7（AMDOpteron™（皓龙™）机型6172处理器（2*12核，2.1GHz，12MB三级高速缓存，80瓦），24Gmem，2*146Gdisk，共4网口）产品优势关注点恒安嘉新智能管控方案流控方案旁路方案是否支持有害信息封堵支持实时发现和阻断，并且只针对该用户Session阻断暂不支持部分支持。UDP管控力度差压缩网页gzip支持暂不支持较难是否支持虚拟账号封堵除了页面以外，支持SMTP/POP3/FTP等协议账号只能页面访问的虚拟账号关键词较难支持，同时管控力度差安全性LB串接设备满足自身掉电、对接设备掉电、应用逻辑错误等自动切换倒回原来链路新增的协议或者监控要求带来设备的稳定性较难保证相对安全灵活性eDPI灵活支持任意协议或者管控要求的开发需求新增的协议艰难做稳