深信服安全感知平台(内部资料)
方案模版-深信服全网安全监测解决方案
深信服全网安全监测解决方案模板 深信服科技股份有限公司 20XX年XX月XX日
1.应用背景 在当前互联网的浪潮下,日益成熟的网络基础建设和互联网丰富的资源大大提高了人类的生产力和生产效率,各组织业务得以持续、快速、高效的发展。然而无处不在的网络带给人类发展便利的同时,也随之带来了诸多的网络安全风险。 互联网出口承载着内部所有用户的上网需求,首当其冲承受着最直接的安全威胁,因此在该区域部署相匹配的安全防护手段必不可少。 2.需求分析 2.1.基础需求 2.1.1.用户访问无控制,安全不可控 在广域网环境下分支机构的各类用户对互联网或数据数据中心经常仅具有一部分的访问权限,而在实际网络中因仅仅解决了基础网络的使用,导致很多用户可以对互联网或数据中心随意进行访问。 最终使得各分支与总部没有实现有效的边界访问控制,无法对用户的访问行为进行有效的管理与审计。 2.1.2.无用数据占用带宽,影响业务运行 在用户访问互联网或数据中心时,经常会产生大量的非关键业务流量或垃圾流量占用有限的宽带资源。这样的情况严重了影响关键业务的正常运行,那么我们应该如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度?
2.2.安全需求 2.2.1.网络欺诈泛滥,员工遭受损失 互联网发展越来越快,人们对互联网的依赖性越来越强,网上购物、数据存储、信息查询等等业务应用不断向互联网端迁移,这也使得了攻击者可以通过互联网获取想要的一切。 而随着越累越多的黑客察觉到了其中的利益后,各种钓鱼网站、网络欺诈便开始变得层出不穷。网络欺诈的泛滥直接导致了各类用户的经济损失、数据泄露,而各分支机构往往安全防护薄弱、员工安全意识低,最终致使网络欺诈行为屡获成功。 2.2.2.僵木蠕隐蔽性强,终端大量失陷 大量的网络攻击往往都是通过僵木蠕的传播来实现的,而对于分支机构的终端来说从互联网端下载的参考资料、办公软件等数据便是主要的威胁来源。 为了更易感染终端,僵木蠕等恶意流量往往与参考资料、办公软件等进行捆绑,诱导用户下载执行从而感染终端实现后续目的,而分支机构边界的薄弱也就促成了恶意流量在整个广域网中肆意泛滥。 2.2. 3.缺乏持续检测,失陷主机成为攻击跳板 当终端感染僵木蠕之后,往往会被攻击者控制成为僵尸主机或攻击跳板,此类失陷主机也是进行APT攻击或更加深入攻击的首要条件。失陷主机在网络中往往隐藏很深,可能通过多种途径实现传播感染或对外通讯,最终达到破坏窃取等目的。 而现有的网络中,哪怕存在了一定的边界防护设备,也很难发现失陷主机。主要原因便是失陷主机行为利用了大多数防护设备的逻辑漏洞,最终导致失陷主
深信服智安全认证SCSA模拟测试题
深信服智安全认证SCSA模拟测试题 1、[AC]关于 AC 旁路模式,下面描述哪一项不正确? A、旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境 B、不支持 NAT、 VPN、 DHCP 等功能 C、不支持流量控制功能 D、对基于 TCP 协议的应用无法控制 2、[SSL]以下关于 SSL 设备说法正确的是? A、SSL 默认使用 443 端口登录控制台 B、SSL 默认所有网口都可以作为 WAN 口使用 C、SSL 的 DMZ 口默认地址 10.254.253.254/24 D、SSL 的 LAN 口子接口地址是 10.111.222.33/24 3、[AF]下列哪项不属于热点事件预警与处置功能带来的价值点? A、推送当前的热点事件到设备,让用户感知当前的外部威胁 B、主动扫描用户关注的业务段,是否存在相应的风险 C、一键生成安全防护策略,帮忙用户实现快速防护 D、被动分析相关流量,确认内网是否已被入侵 4、[AC]下面关于外置数据中心的说法,错误的是? A、当客户需要长期保存日志时,推荐安装外置数据中心
B、外置数据中心才有附件内容搜索功能 C、外置数据中心支持安装在 Linux 系统上 D、外置数据中心推荐安装在 windows 服务器系统上 5、目前网络设备的 MAC 地址由()位二进制数字构成, IP 地址由()位二进制数字构成? A、48, 16 B、64, 32 C、48, 32 D、64, 48 6、【EDR】如何才能释放 EDR 授权? A、从管理平台卸载客户端 Agent 软件 B、从管理平台停止客户端 Agent 软件 C、从管理平台卸载客户端 Agent 软件后,再移除此客户端 D、从管理平台停止客户端 Agent 软件后,再卸载此客户端 7、计算机病毒工作步骤是以下哪种? A、潜伏阶段-传染阶段-触发阶段-发作阶段 B、传染阶段-潜伏阶段-触发阶段-发作阶段 C、传染阶段-触发阶段-潜伏阶段-发作阶段 D、潜伏阶段-触发阶段-传染阶段-发作阶段 8、针对 SSL VPN 启用数字证书认证的说法,错误的是? A、证书认证不可以单独使用 B、只有私有用户才能使用数字证书认证
深信服安全业务快速选型报价一纸通
深信服安全业务渠道销售指导 以下所有产品给客户的首次报价应不低于6折,具体成本请联系您的深信服接口人:XXX 一、网关安全类:AF(下一代防火墙)、AC(上网行为管理)、SSL VPN (1)AC选型参考出口带宽和用户数,报价涉及网关杀毒、多线路、BA等模块以及URL库升级和服务; (2)AF选型主要参考带宽,报价涉及增强级模块、杀毒与未知威胁防护、VPN模块、多线路(2U设备)、最新威胁防御(URL库、安全规则库更新)和服务; (3)SSL选型主要参考并发用户数,报价涉及多线路模块、SSL 接入授权、远程应用发布模块、远程应用发布并发接入授权(必须先买)、短信认证模块、集群授权(第三台起免费)、动态令牌认证模块+加密狗、口袋助理验证码模块等。 二、旁路检测类:SIP(安全感知平台) SIP选型主要参考探针数量和模式选型,高级模式与标准模式的差别在于是否审计分析正常流量,对于安全威胁的检测分析能力相同,探针选型主要参考镜像交换机的流量大小。报价涉及设备与软件的接入授权,包括深信服设备接入授权、第三方设备接入授权、第三方系统软件接入授权、主管单位版本授权。 三、终端安全类:EDR(端点检测响应系统)、EMM (1)EDR选型参考终端数量及操作系统类型,报价区分PC端操作系统、windows服务端与Linux服务端分别报价,PC端涉及智防(恶意文件检测)、智控(微隔离)、智响应(联动响应)模块,windows Server与Linux Server 报价默认包含全部模块(不可以分开购买); (2)EMM选型:
四、分支组网类:SDWAN 备注:aBOS里面的vAC/vAF/vWOC/vSSL需要按照带宽和并发授权选型 五、解决方案类:等保合规、软件定义安全 (1)等级保护 备注:深信服提供全套的等级保护合规方案,请联系厂家BU提供等保方案咨询。 (2)软件定义安全 等保一体机中各个组件选型跟对应硬件设备选型方法一致,网络串接的组件均按照流量选型,旁路部署的组件均按照授权数来选型;等保一体机中的各个组件默认免费开通该组件所有模块,无需考虑模块开通。
深信服安全服务用户手册
深信服安全服务用户手册
目录 深信服安全服务用户手册 (1) 第1章安全服务申请和版本升级 (3) 1.1 安全服务申请 (3) 1.2 安全服务版本升级 (3) 第2章控制台功能介绍 (4) 2.1 安全服务状态 (4) 2.2 安全服务配置 (5) 第3章 WEB端功能介绍 (6) 3.1 登录 (6) 3.2 首页 (6) 3.2.1基础事项 (6) 3.2.2平台总览 (7) 3.2.3持续评估 (7) 3.2.4持续加固 (7) 3.2.5云端值守 (8) 3.2.6云端响应 (8) 3.3 待办事项 (9) 3.4安全状况 (9) 3.4.1持续评估服务 (9) 3.4.2持续加固服务 (10) 3.4.3云端值守 (10) 3.4.4云端响应 (11) 3.5报告管理 (11) 3.6服务中心 (11) 3.7个人中心 (12) 第4章微信端功能介绍 (13) 4.1 微信帐号(服务号)管理 (13) 4.1.1账号管理 (14) 4.1.2服务管理 (14) 4.2 申请服务 (15) 4.2.1申请单次评估 (15) 4.2.2申请持续评估 (16) 4.2.3申请人工服务 (17) 4.3 服务结果反馈 (18) 4.3.1 安全事件告警反馈 (18) 4.3.2 网站评估报告 (18) 4.3.3 应急响应报告 (19) 4.3.4 安全运营月报 (19)
第1章安全服务申请和版本升级 1.1 安全服务申请 安全服务的用户类型分两种:普通用户和渠道用户。普通用户就是一线行销/客服圈定客户,渠道用户一般是我们的合作伙伴或者销售经理。注册用户需要收集基本信息(公司、联系人、电话、邮箱、网站主域名),然后通过邮件方式发送给对应的接口人,公司总部会根据提供的资料生成客户对应的服务号。目前服务号以客户提供的邮箱作为服务号ID,服务ID确认生成后,客户公司名称和服务号是不能进行修改(务必提供真实有效的信息)。服务号默认为注册时填写的邮箱。服务号生成后,通过邮件发送给对应的申请人。 1.2 安全服务版本升级 升级说明: 1、7.0以及7.0以上的版本升级,直接升级安全服务版本,升级后对客户业务无影响 2、非7.0及以上版本升级,需要照以上版本的升级路径升级到可支持的版本,再升级安全服务版本(如客户是6.3版本,则要先从6.3版本顺序升级到7.0版本,然后再升级安全服务版本)
信息安全-终端检测响应平台EDR解决方案
第一章概述 二十一世纪以计算机和网络通信为代表的信息化技术迅速发展,现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖,信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。组织机构的正常运行高度依赖于信息系统,而针对其所承载的服务和数据的安全保护就显得尤为重要,如数据的安全性、完整性,终端计算机的可靠性、可用性等方面出现缺陷,将会给组织机构带来不可计量的损失。而如今,全球化的互联网使得组织机构不仅依赖信息系统,还不可避免地通过计算机与外部的信息系统建立密切联系。面对来自外部以及内部的威胁,对信息系统及系统终端的保护需求则更为突出。 面对日益严峻的安全风险,大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系,并在一定程度上抵御来自外部的攻击,然而内部信息系统是不断变化发展的,系统环境在任何时刻都会呈现开放、共享等特点,不应以孤岛形式存在,外部威胁只是安全风险的一部分,作为办公环境的重要组成,开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。正因如此,终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。 XX终端计算机具有点数多、覆盖面大、难管理等特点,加之XX信息安全人员人手有限,终端分布环境复杂,威胁风险事件较多,使信息安全人员对终端安全工作处于被动状态。在终端安全方面,一旦出现病毒感染、恶意破坏传播、数据丢失等事件,将会给XX造成严重损失,后果不堪设想。现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐,已严重影响到计算机信息系统安全性。正因如此,全方位做好XX信息系统的终端安全防护工作,在XX建设一套终端安全检测与响应系统,以确保XX的日常办公安全、稳定、高效运行。 第二章应用场景与风险分析 2.1防病毒应用概况 信息化飞速发展,组织内部人员的正常办公,与计算机终端密不可分,它为使用者带来便利同时,亦产生了层出不穷的安全威胁。这其中就以计算机病毒最
深信服一站式网站安全服务
深信服一站式网站安全服务 一、网站安全的重要性 随着互联网技术的高速发展,绝大部分客户都已经将自身业务迁移到互联网上开展,而这当中又主要是以Web服务为载体进行相关业务的开展,Web成为当前互联网应用最为广泛的业务。而针对Web业务的安全问题也越来越多。如2016年4月底的Struts2 S2-032让网站的安全问题又引发了业界普遍的关注,很多网站纷纷中招,被黑客入侵造成了严重损失。从历史Struts2漏洞爆发数据看,此前每次漏洞公布都深度影响到了政府、金融等行业。网站作为主要的对外门户,已经成为黑客发起攻击的首要目标,网站一旦遭遇攻击,将有可能导致严重的后果: 网站被篡改,直接影响对公众树立的社会形象; 网站业务被攻击导致瘫痪,影响效率和经济利益; 网站敏感数据被窃取,影响单位信誉; 网站被攻陷后成为跳板,渗透到内部网络,造成更大面积的破坏; 被第三方监管机构,漏洞报告平台通报,带来负面影响; 二、网站安全该如何来建设 安全是一个动态的,攻守对抗的过程,具备一个完整的生命周期,所以安全建设也应该是围绕这个生命周期来进行。目前业界安全建设的标准模型有很多,从最早的PDR模型衍生出的P2DR、PDRR、IATF等等,但无论是哪种安全防护模型,都离不开安全建设当中的三个要素:防护,检测及响应。
完整的防护:防护的主要对象就是用户的业务资产,要能够通过先进的技术手段来保证防御措施能够抵抗来自网络层和应用层的各类攻击手段和攻击工具,主要面临的挑战在于防护手段的完整性和应对威胁特征的时效性; 持续的检测:检测主要是要求能够围绕黑客攻击过程中的三个阶段:事前、事中、事后,持续的对威胁的行为进行检测。主要面临的挑战在于是否能够持续的针对不同阶段,基于异常行为数据的分析,检测出有效的攻击事件; 快速的响应:针对检测发现的问题,能够进行快速响应处理,将风险消除。响应包括事件响应和应急响应,响应的内容包括安全策略的调整,漏洞修复,安全加固,配置核查等,快速响应主要面临的挑战在于对人员的技术能力及安全运维能力要求较高,所以是整个网站安全建设当中非常重要的一环。 三、目前网站安全建设存在的不足 很多用户一定有这样的困惑:为什么我也购买了安全设备,做了安全建设,还是被上级监管机构,被第三方漏洞报告平台通报?对照我们的安全建设标准模型,我们不难发现现在的网站安全建设上还存在几个不足: 安全投资主要在防护层面,交付的是产品 以往安全投资主要是在防护层面,买了各种的安全设备,安全交付的是产品,但是攻防是不对称的,不是设备买的越多就越安全,攻方只需要找到一个薄弱突破口就
精选-信息安全-深信服安全感知平台(SIP)解决方案模板
1. 目概况 1.1 项目名称 XXX单位安全态势感知项目、XXX单位内网安全监测、XXX单位全网安全可视化项目等等 1.2 编制依据 以下标准作为参考,根据项目实际情况进行增删 1)国家信息安全法规与技术标准文档 《中华人民共和国网络安全法》 《“十三五”国家信息化规划》(国发〔2016〕73号) 《信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006) 《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006) 《信息安全技术网络基础安全技术要求》(GB/T 20270-2006) 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》 《国家信息化领导小组关于加强信息安全保障工作的意见》 2)本省/集团公司政策文件 《xx省电子政务发展规划(2014-2020)》 《xx省电子政务信息安全管理暂行办法》 …… 1.3 建设目标、建设内容和建设周期 本项目的建设目标是:强化xx单位网络信息安全监测预警能力,主要解决当前xx网络的信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高xx
网络突发安全事件监测和预警能力,实现整体网络的安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。 通过部署监测管理平台、网络安全监测探针等,实现有效发现未知威胁攻击,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。 本项目的主要建设内容有: 安全感知系统建设; 监测预警响应服务; 其他计划整体打包交付的安全能力: 本项目的建设周期x 个月,从xxx年xx月至xxx年xx月, 监测预警和响应服务将延续到项目实施并验收通过后的x年。 1.4 总投资估算 本项目总投资估算xx万元,其中软硬件设备投资xx万,集成和服务费xx万。 1.5 文档结构安排 本方案重点介绍xx单位安全态势感知项目建设相关内容,全文结构如下:第2章从用户现状、行业现状和安全管理等方面对项目建设需求进行分析; 第3章基于现状分析提出我司的安全感知理念; 第4章阐明系统设计方案的主要内容和技术原理; 第5章进一步回顾方案的主要价值和优势; 第6章为初步的报价估算。