产品分类和发展趋势
安全产品:
- 端点安全:恶意软件防护、终端安全管理
- 网络安全:安全网关、入侵检测与防御、网络监控与审计
- 应用安全:web安全、数据库安全、邮件安全
- 数据安全:数据治理、文件管理与加密、数据备份与恢复
- 身份与访问管理:认证与权限管理、高级认证
- 安全管理:安全运营与事件响应、脆弱性评估与管理、治理、风险与合规
访问控制技术
访问控制技术
访问控制是明确什么角色的用户可以访问什么类型的资源。使用访问控制可以防止用户对计算资源、通信资源或信息资源等进行进行未授权访问,是一种越权使用资源的防御措施。未授权访问包括未经授权的使用、泄露、修改、销毁信息,以及发布指令等。
可在防火墙上配置访问控制策略。
访问控制基本概念
- 客体:规定需要保护的资源,又称为目标
- 主体:是一个主动的实体,规定可以访问该资源的实体(通常指用户或代表用户执行的程序),又称为发起者。
- 授权:主体经过系统鉴别后,根据主体的访问请求来决定对目标执行动作的权限。规定可对该资源执行的动作,如读、写、执行或拒绝访问
常见安全产品及相关概念
防火墙
定义
防火墙被设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间并且是唯一的出口,能根据安全策略控制(允许、拒绝、监测)网络的信息流,具有安全防护的能力。随着防火墙技术的不断发展,其功能越来越丰富。防火墙最基础的两大功能依旧是隔离和访问控制。隔离功能就是在不同信任级别的网络之间砌“墙”,而访问控制就是在墙上开“门”并派驻守卫,按照安全策略来进行检查和放行。
作用1. 提供基础组网和访问控制
防火墙能够满足基础组网和基本的攻击防御需求,可以实现网络连通并限制非法用户发起的内外攻击,如黑客、网络破坏者等,禁止存在安全脆弱性的服务和未授权的通信数据包进出网络。
2. 记录和监控网络访问
防火墙可以收集关于系统网络所有进出信息并做出日志记录,通过防火墙可以很方便地监视网络的安全性,并在异常时给出报警。
3. 限制网络暴露面
利用防火墙对内部网络的划分,可实现网络中网段的隔离,防止影响一个网段的问题通过整个网络传播,限制了局部重点或敏感网络安全问题对全局网络造成的影响,保护一个网段不受来自网络内部其他网段的攻击,从而保障网络内部敏感数据的安全。为什么需要安全域
(1)随着网络系统规模逐渐扩大,结构越来越复杂,组网方式随意性增强,缺乏统一规划,扩展性差;
(2)网络区域之间的边界不清晰,互联互通没有统一控制规范;(3) 业务系统各自为政,与外网之间存在多个出口,无法统一管理;
(4)安全防护策略不统一,安全防护手段部署原则不明确;
(5)对访问关键业务的不可信终端接入网络的情况块乏有效控制。针对这类问题,提出交全域这—概念,安全域是构建安全防御体系的基础
为什么是安全域
网络安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等要素的不同来划分的不同逻辑子网或网络,每一个安全域内部有相同的安全保护需求,互相信任,具有相同的安全访问控制和边界控制策略,并且相同的网络安全域共享—样的安全策略。安全域通常划分种类
(1)用户域:由多个进行存储、处理和使用数据信息的终端组成,通过接入方式是否相同与能够访问的数据是否相同进行划分。
(2)计算域:由局域网中多台服务器/主机等计算资源组成,数据的产生、计算、存储都依靠该区域,因数据的重要性及计算、存储要求都不相同,数据中心会有多个计算域,且在物理位置上相近或相邻。(3)支撑域:由用于辅助运维人员日常工作的管理系统/资源组成,按照具备的功能特点进行划分。
(4)网络域:由连接不同安全域之间的网络组成,根据连接的两个安全域之间承载的数据大小和重要程度进行划分。在工作和项目中,可根据业务特点、管理模式、资产价值、安全策略等因素,对这4种安全域再进行扩展。
WAF
Web应用防火墙,主要针对Web服务器进行HTTP/HTTPS流量分析,防护以Web应用程序漏洞为目标的攻击,并针对Web应用访问各方面进行优化,以提高Web或网络协议应用的可用性、性能和安全性,确保Web业务应用能够快速、安全、可靠地交付。
入侵检测系统
入侵防御系统作为一项主动的网络安全技术,它能够检测未授权对象(用户或进程)针对系统(主机或网络)的入侵行为,监控授权对象对系统资源的非法使用,记录并保存相关行为的证据,并可根据配置的要求在特定的情况下采取必要的响应措施(警报、阻断等)。
主要功能1. 网络流量跟踪与分析功能
实时检测并分析用户在系统中的活动;实时统计网络流量、检测入侵攻击等异常行为。
2. 已知攻击特征的识别功能
识别特定类型的攻击,并向控制台报警,为网络防护提供依据。根据定制的条件过滤重复告警事件。
3. 异常行为的分析、统计与响应功能
分析系统的异常行为模式,统计异常行为,并对异常行为做出响应4. 自定义响应功能
定制实时响应策略;根据用户定义,经过系统过滤,对告警事件及时做出响应。
5. 特征库在线和离线升级功能
提供入侵检测规则的在线和离线升级,实时更新入侵特征库,不断提高设备的入侵检测能力。
6. 探测器集中管理功能
通过控制台收集探测器的状态和告警信息,控制各个探测器的行为。
蜜罐
欺骗防御系统
欺骗防御系统与一般的安全防护产品不同,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实地攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解白己所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
部署方式
欺骗防御系统采用旁路接入模式,支持单机部署、分布式部署。
部署在公网:可稳定获得大量攻击事件数据和样本,用于研究当前互联网安全态势。
部署在DMZ区:捕获针对对外服务攻击,如WEB官网、数据库等的攻击事件,提供攻击情报,与IDS、FW等组成总体防御体系。部署在办公网和业务网:捕获内网渗透和业务系统攻击行为,并可捕获攻击样本、记录攻击路径,实现溯源反制。
安全防御体系概述
边界防御体系
传统的边界防御体系,主要进行边界隔离防护,从最开始的防火墙、IPS 到UTM、下一代防火墙等产品,边界防御体系就是将攻击拦截在外部,在网络边界上解决安全问题,部著比较简单;但弱点也非常明显,即黑客一旦渗透进内部,便可长驱直入。
| 边界安全设备 | 主要作用 |
| 防火墙 | 提供组网能力、划分安全域、访问控制 |
| UTM | 多功能安全设备 |
| 下一代防火墙 | 开启多重防护功能后依然能够保证高速度、低时延的安全防护 |
| 抗DDOS | 流量清洗、防御拒绝服务攻击 |
| WAF | Web应用安全防护 |
| 入侵防御 | 检测发现入侵攻击行为,并执行实时阻断,弥补网络层安全设备的不足 |
| 网闸 | 内网隔离、数据安全交换 |
