精选-信息安全-深信服_云安全_等保一体机_技术白皮书
1 前言
1.1 等级保护的现状与挑战
信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。
同时等级保护建设是一项体系化的工程,在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题。
1.2 深信服等保一体机概述
深信服等保一体机解决方案是基于用户在等保建设中的实际需求,推出软件定义、轻量级、快速交付的实用有效的一站式解决方案,不仅能够帮助用户快速有效地完成等级保护建设、通过等保测评,同时通过丰富的安全能力,可帮助用户为各项业务按需提供个性化的安全增值服务。采用基于标准X86平台打造的等保一体机,无需交付过多专有硬件设备,即可完成等级保护合规交付。
2 深信服等保一体机技术架构
2.1 系统整体架构
深信服等保一体机架构由两部分组成:一是超融合基础架构,二是一体机管理平台。在等保一体机架构上,客户可以基于自身安全需求按需构建等级保护安全建设体系。
超融合基础架构以虚拟化技术为核心,利用计算虚拟化、存储虚拟化、网络虚拟化等模块,将计算、存储、网络等虚拟资源融合到一台标准X86服务器中,形成基础架构单元。并且多套单元设备可以通过网络聚合起来,实现模块化的无缝横向扩展,形成统一的等保一体机资源池。
一体机管理平台提供对深信服安全组件、第三方安全组件的管理和资源调配能力;通过接口自动化部署组件,降低组网难度,减少上架工作量;借助虚拟化
技术的优势,提升用户弹性扩充和按需购买安全的能力,从而提高组织的安全服务运维效率。
2.2 超融合基础架构
超融合基础架构主要由计算虚拟化、存储虚拟化、网络虚拟化三部分组成,从而使得等保一体机能够提供给客户按需购买和弹性扩充对应的安全组件。
2.2.1 计算虚拟化
传统硬件安全解决方案提供的硬件计算资源一般存在资源不足或者资源冗余的情况。深信服等保一体机创新性的使用计算资源虚拟化技术,通过通用的x86服务器经过服务器虚拟化模块,呈现标准的安全设备虚拟机。安全设备虚拟机不是由真实的电子元件组成,而是由一组虚拟组件(文件)组成,这些虚拟组件与物理服务器的硬件配置无关。
Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层,可允许
多个操作系统和应用共享一套基础物理硬件,因此也可以看作是虚拟环境中的“元”操作系统,它可以协调访问服务器上的所有物理设备和虚拟机,也叫虚拟机监视器(VMM,Virtual Machine Monitor)。
Hypervisor是所有虚拟化技术的核心。非中断地支持多工作负载迁移的能力是Hypervisor的基本功能。当服务器启动并执行Hypervisor时,它会给每一台安全组件分配适量的内存、CPU、网络和磁盘,并加载所有安全组件的客户操作系统。
VMM (Virtual Machine Monitor)对物理资源的虚拟可以划分为三个部分:CPU 虚拟化、内存虚拟化和I/O 设备虚拟化,其中又以CPU 的虚拟化最为关键。计算虚拟化在传统虚拟化技术基础上进行了多项针对化的改进和优化,这包括如下几个方面。
2.2.1.1 安全组件生命周期管理
计算虚拟化提供了安全组件从创建至删除整个过程中的全面管理,就像人类的生命周期一样,安全组件最基本的生命周期就是创建、使用和删除这三个状态。当然还包含如下几个状态:
?创建安全组件
?安全组件开关机、重启、挂起
?更新安全组件硬件配置
?迁移安全组件及/或安全组件的存储资源
?分析安全组件的资源利用情况
?删除安全组件
2.2.1.2 安全组件的HA
HA全称是High Availability(高可用性)。在等保一体机平台中,安全组件所在物理主机的网线被拔出或存储不能访问等出现的物理故障时,会将此安全组件切换到其他的主机上重新启动运行,保障安全组件正常使用。
计算虚拟化存在后台进程,通过轮询的机制,每隔5s检测一次安全组件状态是否异常,发现异常时,切换安全组件到其他主机运行。
下面任意一种情况发生,都会触发安全组件切换主机:
1、连续三次检测到安全组件所连接的物理网卡被拔出(不包括网卡被禁用情况);
2、连续两次检测到安全组件所在的当前主机无法访问安全组件的存储;
通过计算虚拟化的HA技术,提供了安全防护的高可用性,极大缩短了由于各种主机物理或者链路故障引起的安全防护中断时间。
2.2.1.3 动态资源调度
在等保一体机方案中,计算虚拟化管理平台提供动态资源调度技术,通过引入一个自动化机制,持续地动态平衡资源能力,将安全组件迁移到有更多可用资源的主机上,确保每个安全组件在任何节点都能及时地调用相应的资源。
计算虚拟化的动态资源调度功能其实现原理:通过跨越集群之间的心跳机制,定时监测集群内主机的CPU和内存等计算资源的利用率,并根据用户自定
义的规则来判断是否需要为该主机在集群内寻找有更多可用资源的主机,以将该主机上的安全组件通过安全组件迁移技术迁移到另外一台具有更多合适资源的服务器上。
2.2.1.4 动态资源扩展
在传统的硬件解决方案中,经常会遇到资源计算的问题,如何保证资源刚刚好是一个非常令客户头痛的问题。等保一体机的硬件资源动态热添加功能,能够非常有效地利用主机资源,并且全自动化以减少运维成本。
2.2.2 存储虚拟化
传统硬件安全解决方案提供的硬件存储资源一般存在资源不足或者资源冗余的情况。深信服等保一体机创新性的使用存储资源虚拟化技术,融合了分布式缓存、SSD读写缓存加速、多副本机制保障、故障自动重构机制等诸多存储技术,能够充分保证安全组件高效稳定可靠的运行。
存储虚拟化通过主机管理、磁盘管理、缓存技术、存储网络、冗余副本等技术,管理等保一体机平台内所有硬盘,“池化”集群所有硬盘存储的空间,通过向计算虚拟化提供访问接口,使得安全组件可以进行安全配置策略以及安全日志的保存、管理和读写等整个存储过程中的操作。
2.2.2.1 存储自动精简配置
如果采用传统的硬件安全方案,需要用户对当前和未来业务发展规模进行正
确的预判,提前做好安全应用存储资源的规划。但在实际中,由于对应用系统规模的估计不准确,往往会造成容量分配的浪费。即使是最优秀的系统管理员,也不可能恰如其分的为安全应用分配好存储资源,而没有任何的浪费。
自动精简配置(Thin Provisioning)是一种先进的、智能的、高效的容量分配和管理技术,它扩展了存储管理功能,可以用小的物理容量为操作系统提供超大容量的虚拟存储空间。并且随着应用的数据量增长,实际存储空间也可以及时扩展,而无须手动扩展。一句话而言,自动精简配置提供的是“运行时空间”,可以显著减少已分配但是未使用的存储空间。
等保一体机采用了自动精简配置技术有效的解决了存储资源的空间分配难题,提高了资源利用率。采用自动精简配置技术的数据卷分配给用户的是一个逻辑的虚拟容量,而不是一个固定的物理空间,只有当用户向该逻辑资源真正写数据时,才按照预先设定好的策略从物理空间分配实际容量。
2.2.2.2 私网链路聚合
等保一体机采用存储虚拟化的私网链路聚合技术是为了提高网络可靠性和性能设置,使用私网链路聚合功能不需要交换机上配置链路聚合,由存储私网负责链路聚合的功能,使用普通的二层交换机,保证正确的连接即可。
传统的链路聚合是按主机IP进行均分,即每两台主机间只能用一条物理链路。而私网链路聚合采用按照TCP连接进行均分,两台主机间的不同TCP连接可使用不同物理链路。在保障可靠性的同时,还达到了更加充分的利用所有链路资源的能力。
2.2.2.3 数据一致性检查
等保一体机的存储虚拟化采用一致性复制协议来保证多个副本数据的一致性,即只有当所有副本都写成功,才返回写入磁盘成功。正常情况下存储虚拟化会保证每个副本上的数据都是完全一致,从任一副本读到的数据都是相同的。如果某个副本中的某个磁盘短暂故障,存储虚拟化会暂时不写这个副本,等恢复后再恢复该副本上的数据;如果磁盘长时间或者永久故障,存储虚拟化会把这个磁盘从群集中移除掉,并为副本寻找新的副本磁盘,再通过重建机制使得数据在各个磁盘上的分布均匀。
2.2.3 网络虚拟化
等保一体机的网络虚拟化设计基于netmap和dpdk的方案,针对数据IO 密集型网络应用程序而设计,从而解决安全组件的高性能和安全组件的自编排。
2.2.
3.1 支持专有网卡和通用网卡
等保一体机平台对于Intel和Broadcom的e1000e,igb,ixgbe,bnx2,tg3,bnx2x等可编程网卡支持高性能方案,对e1000等网卡支持通用方案,保证硬件兼容性。
2.2.
3.2 跨安全组件的全局内存池
等保一体机平台设计并实现了零拷贝的数据面环境,一个跨内核跨进程的全
局内存引用机制,真正做到网卡收包一次拷贝,所有安全组件共享引用的方式,数据可以从网卡传送到安全组件而无需再次拷贝,减少对网络传输和网络延迟的影响。
2.2.
3.3 避免中断处理和上下文切换
单数据线程亲和锁定到硬件线程,避免内核和用户空间之间的上下文切换、线程切换和中断处理,同时每个线程有直接的高速缓冲,避免了缓冲区争用。
在理想情况下,当数据包到达系统时,所有处理该数据包所需的信息最好都已经在内核的本地高速缓存中。我们可以设想一下,如果当数据包到达时,查找表项目、数据流上下文、以及连接控制块都已经在高速缓存中的话,那么就可以直接对数据包进行处理,而无需“挂起”并等待外部顺序内存访问完成。
2.2.
3.4 安全组件数据更稳定
等保一体机平台设计了检测监控机制,在最极端的情况,即使进程意外死亡,也能秒级别做到安全组件无感知的网络恢复。数据平面负责报文的转发,是整个系统的核心,数据平面由多个数据转发线程和一个控制线程组成,控制线程负责接收控制进程配置的消息,数据线程是实现报文的处理。
系统中所有的报文都是由数据线程接收的,需要做转发的报文,不需要送到linux协议栈,直接在数据线程中处理后从网卡发出,对于到设备本身的报文(如ssh,telnet,ospf, bgp, dhcp等等),数据线程无法直接处理,通过TUN接口将报文重新送到linux协议栈处理,从linux协议栈的发出的报文需经过数据线
程中转后才可从折本发出。
数据面为底层处理和数据包IO提供了与硬件打交道的功能,而应用层协议栈在上方提供了一个优化的网络堆栈实现。与Linux SMP 解决方案相比,降低了对Linux 内核的依赖性,从而具有更好的扩展性和稳定性。
2.3 一体机管理平台架构
一体机管理平台主要由平台管理CSSP、安全组件两大模块构成,其中安全组件提供各类安全服务,而CSSP作为统一的管理中心,承担对安全组件的管理与编排、与外部的UI接口以及日志、告警等信息处理系统。
一体机管理平台的整体技术架构如下图所示,利用超融合基础架构提供的资源,将各类安全组件进行统一部署和管理,对内利用安全服务链可以将任意安全组件进行自由组合,对外提供自由的安全编排服务能力。
2.3.1 虚拟路由器
等保一体机内部虚拟网络通过多个虚拟路由器实现对整个安全防护网络的
连通,具体如下
?rt_lan_cssp,简称LAN路由器,它的作用是与物理网络互联。路由模式下,负责将物理网络进来的出站流量引流到内部。单臂模式下,负责将物理网络进来的出入站流量引流到内部。
?rt_wan_cssp,简称WAN路由器,它的作用是与物理网络互联,并将从物理网络进来的入站流量引流到内部。WAN路由器仅在路由模式下起作用,单臂模式下流量不经过WAN路由器。
?rt_data_core_cssp,简称核心路由器,实际上它在等保一体机中的作用不大,只是负责把从LAN路由器接收过来的流量再向内转发。
?rt_bord_cssp_admin,简称边界路由器,它负责将从核心路由器接收过来的流量,根据应用编排顺序转发到不同的安全应用。
?rt_manage_core_cssp,简称管理路由器,用与转发CSSP与各安全应用组件之间的内部管理流量。
?switch_lan_cssp,简称镜像交换机,主要用于将物理网络引流进来的流量镜像到网络通信审计vAC和风险监测vAF上。
?dvs_config_ip_cssp,简称配置交换机,用于CSSP给新创建的安全应用组件自动分配IP地址使用。
2.3.2 应用编排
等保一体机根据不同部署模式,数据转发流程也有所区别。
单臂模式数据转发:物理交换机->LAN路由器->核心路由器->边界路由器->安全组件1->边界路由器->安全组件2->边界路由器->核心路由器->LAN
路由器->物理交换机。
路由模式数据转发:物理交换机->LAN路由器->核心路由器->边界路由器->安全组件1->边界路由器->安全组件2->边界路由器->核心路由器->LAN 路由器->WAN路由器->物理交换机。
图2.3.2.1 防火墙数据流
图2.3.2.2 VPN数据流
图2.3.2.3 堡垒机数据流
图2.3.2.4 数据库审计数据流
3 深信服等保一体机功能介绍
3.1 安全组件介绍
3.1.1 下一代防火墙
深信服等保一体机中的下一代防火墙组件具有完备的L2-L7层一体化的双向防御体系,智能融合了防火墙、WAF、IPS、实时漏洞检测等多项安全功能,
为业务提供全流程的保护,为企业安全赋能。
支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA 办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则;提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定。
入侵防护漏洞规则特征库数量在4000条以上;支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能。
Web攻击防护保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、Webshell脚本上传、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击和网站内容管理系统漏洞防护;参数防护提供主动防御和自定义参数防护两种方式,主动防御通过自学习形成参数白名单,阻断异常参数内容,自定义参数提供更定制化的参数防护;应用隐藏支持HTTP和FTP服务隐藏,可针对HTTP响应报文头和HTTP出错页面的过滤,Web响应报文头可自定义,隐藏FTP服务器返回的软件版本信息;弱口令防护支持FTP弱口令防护,Web登录弱口令防护,Web登录明文传输检测;权限控制支持文件上传服务器过滤、支持指定URL的黑名单、加入排除URL目录功能;策略制定配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号;登录防护用户登录权限防护,支持页面双因子认证方式,加强敏感页面的访问权限控制;HTTP 异常检测检测HTTP协议异常,可针对HTTP GET、POST、HEAD、OPTIONS、
PUT、DELETE、TRACE、SEARCH、CONNECT、LOCK、UNLOCK等方法进行过滤;CC攻击防护支持HTTP协议CC攻击防护,根据源IP请求阈值来控制;网站扫描防护防止Web服务器被常见扫描器扫描出漏洞;缓冲区溢出检测支持URL溢出检测,POST实体溢出检测以及HTTP头部各字段溢出检测;Https防护支持对Https进行解密并进行内容检测,需导入服务器证书。
能够实时发现和跟踪网络中存在的主机、服务和应用,发现服务器软件的漏洞,并把漏洞的危害和解决方法通过日志和报表进行展示,支持对网站黑链进行检测。
3.1.2 数据库审计
深信服等保一体机中的数据库安全审计系统DAS组件对用户数据安全新方向的不断探索,创新地将数据安全防护与大数据分析相结合,它能为用户提供完整的数据库审计分析、泄密轨迹分析、数据库访问关系可视、数据库攻击威胁分析。
支持Oracle数据库审计、SQL-Server数据库审计、DB2数据库审计、MySQL数据库审计;支持同时审计多种数据库及跨多种数据库平台操作。
3.1.3 SSL VPN
深信服等保一体机中的SSL VPN组件是国内第一品牌,行业标准引领者。支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法;支持各种NAT网络
环境下的VPN组网;支持第三方标准IPSec VPN进行对接;*总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略。
3.1.4 堡垒机
深信服等保一体机中的LogBase运维安全管理系统组件是思福迪公司自主研发的,具有完全知识产权的安全审计类产品。该系统能够实现对运维人员日常服务器、网络设备、数据库维护过程的行为记录、监视、控制等功能,具备异常操作行为的告警及阻断能力,拥有完善的安全审计报表系统,是一款具备“事前控制、事后审计”能力的产品;同时还具备服务器密码管理,访问权限控制等功能,通过该产品的部署,各组织单位能够获得对内部以及第三方运维人员操作行为的全面审计与控制能力,弥补传统系统审计能力不足的缺点,完善企事业单位安全审计体系建设。
支持SSH、RDP等多种协议。对运维人员进行身份鉴别、单点登录、访问授权、关键访问二次审批、违规访问告警与阻断、操作过程监控,并提供历史记录查询、综合审计报告。
3.1.5 主机杀毒
深信服等保一体机中的终端检测响应平台(EDR)组件是针对终端安全提供
的,由轻量级的端点安全软件和管理平台软件共同组成。EDR的管理平台支持统一的终端资产管理、终端安全体检、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位,历史行为数据的溯源分析,远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。
3.1.6 日志审计
深信服等保一体机中的综合日志分析系统组件是南京聚铭网络科技有限公司独立研发的、拥有自主知识产权的专业日志审计产品。系统能够实时采集企业内部各种安全设备、网络设备、主机、操作系统、业务系统等日志信息,协助用户进行安全分析及合规审计,及时、有效的发现安全事件及审计违规。
支持安全审计和安全分析等国标、行标,支持数据集群、热扩容,基于关联、多维度场景关联、机器学习等多种分析模式,内置各类分析场景,满足安全监控、安全分析、安全审计、安全可视化等用户实际需求。
3.1.7 漏洞扫描
深信服等保一体机中的漏洞扫描管理系统组件是南京聚铭网络科技有限公司自主研发的拥有自主知识产权的专业漏洞管理产品。它协助用户实现企业内安全配置的集中采集、风险分析、处理的工作,它提供分布式的部署和管理方式,它是企业日常信息安全工作的重要支撑。
支持暴力破解攻击、缓冲区溢出、远程获取shell、拒绝服务、远程文件访问、文件传输协议、数据库、思科产品等,及时发现各类系统中存在的安全漏洞,协助企业发现和修复漏洞。
3.1.8 负载均衡
深信服等保一体机中的应用交付组件在传统负载均衡的基础上,融入大量安全和优化技术,内容涵盖了用户访问的全过程,确保核心IT应用可以稳定、安全和高效地交付给最终用户。
支持基于五元组、时间计划、目标域名、应用类型、线路质量等条件进行流量分发,提供多达20种调度算法,满足用户多元化的流量管理需求。内置全球地址库、国内各大运营商和省市地址库,通过动态全网更新技术保证地址库的准确性。准确监控线路运行状态,可根据延迟、丢包率和流量情况进行规则的动态调节,使用流量分配更加合理。
3.1.9 上网行为管理
深信服等保一体机中的上网行为管理组件秉持“让上网可视可控,让数据更有价值”的理念,通过专业的用户认证与管理、应用控制、流量管控、行为审计等功能,让客户看得清带宽流量现状,管得住应用和内容,以此提高办公效率、规避泄密和法规风险、保障内网数据安全,实现上网可视化管理。
支持29种认证方式,常用的有IP/MAC绑定、密码认证、短信认证、微信认证、结合多种第三方服务器认证等,满足各种场景的上网认证需求。具备全国
领先的应用识别特征库和URL库,能识别3000多种网络应用以及1000多种移动应用,并且每2周更新和淘汰一次,时效性更强、准确度更高。应用控制更精细,可区分应用动作(如社交网站的浏览、发帖回帖、上传)、区分方向(如网盘的上传、下载)进行管控。采用应用标签化管理,做到对指定类别的应用进行批量管理,策略部署更简单。精确控制P2P上下行流量,相比市场上其他P2P 控制技术可提高30%以上的带宽利用率。根据具体的带宽空闲程度和业务需要,受限的通道可以突破上限,提高带宽利用率和用户体验。能够针对URL类型、文件类型做流控,通道流量实时可视化以及细粒度的可视化报表。具备业界最好的内容识别与管控技术,可以对多种外发途径的数据进行有效识别和管控,如网盘上传附件控制、论坛上传附件审计和控制、邮件外发附件审计与控制、IM外发文件审计与控制等。可以对SSL加密的网站内容精准识别与控制,如邮件客户端收发加密邮件、加密论坛审计等。
3.2 场景化服务交付
深信服等保一体机解决方案为满足核心业务系统持续保护,不止合规,打造了一站式场景化服务安全能力。典型场景如下:
3.2.1 核心系统安全防护
核心系统的安全建设思路一般要满足业务的全生命周期的安全,达成业务安全等保合规要求,安全能力随着业务增加线性增长。深信服等保一体机解决方案通过下一代防火墙、SSL VPN、运维安全管理、数据库安全审计模块,达到纵深
信息安全-深信服云盾产品技术白皮书
1背景 随着互联网技术的不断发展,网站系统成为了政务公开的门户和企事业单位互联网业务的窗口,在“政务公开”、“互联网+”等变革发展中承担重要角色,具备较高的资产价值。但是另一方面,由于黑客攻击行为变得自动化和高级化,也导致了网站系统极易成为黑客攻击目标,造成篡改网页、业务瘫痪、网页钓鱼等一系列问题。其安全问题受到了国家的高度关注。近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查,并推出了一系列政策文件。 据权威调研机构数据显示,近年来,中国网站遭受篡改攻击呈增长态势。其中2018 年,我国境内被篡改的网站数量达到13.7万次,15.6万个网站曾遭到CC攻击。2018年共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面。中国反钓鱼网站联盟共处理钓鱼网站51198个,平均每月处理钓鱼网站4266个。同时,随着贸易战形势的不断严峻,境外机构针对我国政府网站的攻击力度也不断的加强,尤其是在重要活动期间,政府网站的安全防护成为了重中之重。 为了帮助企业级客户及政府机构保障网站的安全,解决网站被攻陷、网页被篡改、加强重要活动期间的网站安全防护能力,深信服云盾提供持续性的安全防护保障,同时由云端专家进行7*24小时的值守服务,帮助客户识别安全风险,提供高级攻防对抗的能力,有效应对各种攻击行为。
2产品体系架构 深信服利用云计算技术融合评估、防护、监测和响应四个模块,打造由安全专家驱动,围绕业务生命周期,深入黑客攻击过程的自适应安全防护平台,帮助用户代管业务安全问题,交付全程可视的安全服务。 客户端无需硬件部署或软件安装,只需将DNS映射至云盾的CNAME别名地址即可。全程专家参与和值守,为用户提供托管式安全防护。安全防护设施部署在深信服安全云平台上,安全策略的配置和调优由深信服安全专家进行,用户仅需要将用户访问的流量牵引至深信服安全云。所有的部署和运维工作全部由深信服安全专家在云上完成,更简单,更安全,更省心。 3用户价值 深信服将网站评估、防护、监测、处置,以及7*24在线的安全专家团队等安全能力整
精选-信息安全-深信服_云安全_等保一体机_技术白皮书
1 前言 1.1 等级保护的现状与挑战 信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。 同时等级保护建设是一项体系化的工程,在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题。
1.2 深信服等保一体机概述 深信服等保一体机解决方案是基于用户在等保建设中的实际需求,推出软件定义、轻量级、快速交付的实用有效的一站式解决方案,不仅能够帮助用户快速有效地完成等级保护建设、通过等保测评,同时通过丰富的安全能力,可帮助用户为各项业务按需提供个性化的安全增值服务。采用基于标准X86平台打造的等保一体机,无需交付过多专有硬件设备,即可完成等级保护合规交付。
2 深信服等保一体机技术架构 2.1 系统整体架构 深信服等保一体机架构由两部分组成:一是超融合基础架构,二是一体机管理平台。在等保一体机架构上,客户可以基于自身安全需求按需构建等级保护安全建设体系。 超融合基础架构以虚拟化技术为核心,利用计算虚拟化、存储虚拟化、网络虚拟化等模块,将计算、存储、网络等虚拟资源融合到一台标准X86服务器中,形成基础架构单元。并且多套单元设备可以通过网络聚合起来,实现模块化的无缝横向扩展,形成统一的等保一体机资源池。 一体机管理平台提供对深信服安全组件、第三方安全组件的管理和资源调配能力;通过接口自动化部署组件,降低组网难度,减少上架工作量;借助虚拟化
技术的优势,提升用户弹性扩充和按需购买安全的能力,从而提高组织的安全服务运维效率。 2.2 超融合基础架构 超融合基础架构主要由计算虚拟化、存储虚拟化、网络虚拟化三部分组成,从而使得等保一体机能够提供给客户按需购买和弹性扩充对应的安全组件。 2.2.1 计算虚拟化 传统硬件安全解决方案提供的硬件计算资源一般存在资源不足或者资源冗余的情况。深信服等保一体机创新性的使用计算资源虚拟化技术,通过通用的x86服务器经过服务器虚拟化模块,呈现标准的安全设备虚拟机。安全设备虚拟机不是由真实的电子元件组成,而是由一组虚拟组件(文件)组成,这些虚拟组件与物理服务器的硬件配置无关。 Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层,可允许
深信服网络安全监测解决方案
深信服网络安全监测解决方案 背景与需求分析 网络安全已上升到国家战略,网络信息安全是国家安全的重要一环,2015 年 7 月 1 号颁布的《国家安全法》第二十五条指出:加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。国家《网络安全法》草案已经发布,正式的法律预计不久后也会正式颁布。保障网络安全,不仅是国家的义务,也是企业和组织机构的责任。对于企业来说,保障网络信息安全,防止网络攻击、网络入侵、网络窃密、违法信息发布,不仅能维护自身经济发展利益,还能避免法律风险,减少社会信誉损失。 Gartner 认为,未来企业安全将发生很大的转变,传统的安全手段无法防范 APT 等高级定向攻击,如果没有集体共享的威胁和攻击情报监测,将很难多方位的保护自己网络安全。因此过去单纯以被动防范的安全策略将会过时,全方位的安全监控和情报共享将成为信息安全的重要手段。 因此,仅仅依靠防护体系不足以应对安全威胁,企业需要建立监测机制,扩大监控的深度和宽度,加强事件的响应能力。安全监测和响应能力将成为企业安全能力的关键,在新的安全形势下,企业需要更加关注威胁监控和综合性分析的价值,使信息安全保障逐步由传统的被动防护转向“监测-响应式”的主动防御,实现信息安全保障向着完整、联动、可信、快速响应的综合防御体系发展。 然而,传统的网络安全设备更多关注网络层风险及基于已知特征的被动保护,缺乏对各种系统、软件的漏洞后门有效监测,缺乏对流量内容的深度分析及未知威胁有效识别,不具备多维全面的安全风险监测响应机制,已不能满足新形势下网络安全的需求。
深信服等级保护全行业案例集v3
Case Study Collection-Sangfor Classified Protection of Cybersecurity 第1章政府行业用户案例 唐山市电子政务 杨凌区电子政务 新疆自治区安监局 烟台市长岛法院 佛山市公安局南海分局 政府行业部分等级保护用户名单 第2章医疗行业用户案例 山东大学齐鲁医院 中南大学湘雅医院 深圳大学总医院(深圳大学学府医院/深圳大学附属医院) 南方医科大学深圳医院 中山大学附属第二医院 医院行业部分等级保护用户名单 第3章教育行业用户案例 浙江大学 华北电力大学 江汉大学 武汉商学院 山东药品食品职业学院 教育行业部分等级保护用户名单 第4章企业用户案例 葛洲坝集团 国投集团某重点单位 东风柳州汽车有限公司 企业部分等级保护用户名单P01 P02 P04 P07 P10 P13 P15 P16 P17 P19 P22 P24 P26 P29 P30 P31 P34 P36 P38 P40 P42 P43 P44 P46 P48 P50 目录CONTENT
02Case Study Collection-Sangfor Classified Protection of Cybersecurity 政府行业用户案例章第1 01唐山市电子政务 用户简介Customer Profile 唐山市的电子政务外网由外部电子政务接入、办公网络、安全管理域、服务器区、互联网接入区等部分组成,实现了等级保护对于分级分域的要求。整个系统是由几十台服务器、十几个远程接入网络和两千多个信息点组成的大型城域网络,并且通过一条广域网线路为本部提供互联网接入服务。信息中心建设了由防火墙、WEB应用防火墙、防病毒网关、堡垒机等设备组成的安全壁垒,形成了初步的系统网络安全防护能力。2017年6月1日《网络安全法》正式实施,并且提出国家实行网络安全等级保护制度,用户的等级保护建设目标需结合信息系统的现状进行合理规划和整改,建立一套完善的安全保障体系,有效保障其系统业务的正常开展,保护敏感数据信息的安全,并且满足等级保护三级设计标准要求。针对以上问题,深信服为用户提出全新的安全体系框架。从时间维度实现事前、事中、事后的融合安全;从空间维度,建立全业务链的整体保护能力;从部署的角度,简单有效,让安全体系更容易落地。痛点和需求 Customer Difficulties and Needs 片面侧重防御,缺乏风险管理的能力已有的信息安全建设以事中防御为主,缺乏事前的风险预知,事后的及时发现及止损能力,既无法事先识别资产、脆弱性及风险,又不能满足在 边界被突破时的快速止损安全需求。 事件碎片化,缺乏整体分析的能力安全建设存在“碎片化”现象,没有从业务的整体安全性进行分析,形成整体的安全体系,缺乏业务驱动的整 体安全防护能力。 设备多,缺乏 统一管理的能力原有安全体系通过设备堆叠方式进行建设,购买了大量设备,但是各种设备之间由于是从不同厂商购买的,甚至同一厂商的设备之间也是隔离的、相关日志文件不能共享,导致安全架构复杂、运维困难,难以起到良好的 安全运维效果。解决之道The Solution
信息安全-深信服等保一体机解决方案
深信服等保一体机解决方案 等级保护的现状与挑战 信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。 等级保护建设是一项体系化的工程,在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题:
用户需要怎样的等保方案? 面对以上挑战,用户需要一套既能够满足合规要求,同时部署灵活、运维管理简单且可实现安全资源增值的一体化等级保护方案,保障等级保护快速通过。如图所示: 深信服等保一体机解决方案 等级保护建设涵盖系统定级、备案、建设整改、等级测评和监督检查五个环节,各环节主要工作内容如图所示:
深信服可以提供全生命周期的等保建设咨询服务,在建设整改阶段,深信服除了帮助用户进行安全管理制度的梳理外,还会以《信息系统安全等级保护基本要求》为基本准则,针对安全现状分析发现的问题进行整体安全技术设计,通过深信服等保一体机落实物理安全、网络安全、主机安全、应用安全和数据安全要求。 等保一体机解决方案是深信服推出的轻量级、快速交付的一站式解决方案,不仅能够帮助用户快速有效地完成等级保护的建设,同时方案丰富的安全能力,可助力用户为各项业务按需提供个性化的安全增值服务。 方案优势和价值 ?安全能力丰富,满足合规要求 深信服等保一体机解决方案涵盖了用户等保建设整改过程中所有技术方面,实现南北向和云平台的东西向安全防护,满足最新等级保护标准要求。 ?一体化交付,降低管理成本与交付周期 传统等保建设需要采购大量的安全设备,深信服等保一体机解决方案用户只需要通过标准的X86服务器搭配上深信服安全资源系统,即可实现传统安全设备实现的所有安全功能,建设成本与交付周期更低。 ?灵活部署,快速交付 传统等保方案需要在网络中部署大量的安全设备,需要大量修改现有网络的结构,深信服等保一体机支持网关模式和旁路引流模式部署,其中旁路引流模式不改变现有网络架构,部署更简单,广泛使用于物理环境和虚拟化环境下的等保建设。
信息安全行业品牌企业深信服调研分析报告
信息安全行业品牌企业深信服调研分析报告
一、公司概况:信息安全行业领先厂商,云计算行业新锐 (5) 二、信息安全产业高速发展,未来市场空间巨大 (7) 2.1、事件+技术+政策,刺激下游需求不断释放 (7) 2.2、信息安全内涵日益丰富,行业竞争格局相对分散 (11) 三、云计算产业规模持续增长,超融合市场前景向好 (13) 3.1、我国云计算私有云占比较高,混合云将成为未来趋势 (13) 3.2、超融合架构是建设私有云及混合云的最佳选项 (16) 四、安全+云计算为战略重点,产品表现亮眼 (20) 4.1、安全业务:品类丰富,多个细分市场市占率领先 (20) 4.2、云计算业务:基于超融合架构,提供全栈云解决方案 (22) 4.3、企业级无线业务:产品优势明显,市场份额领先 (25) 五、渠道化战略+高研发投入,确保公司竞争优势 (26) 5.1、实施全面渠道化战略,提升全市场覆盖能力 (26) 5.2、保持高研发投入,持续推进新产品落地 (29) 盈利预测与投资建议 (30) 盈利预测 (30) 投资建议 (32) 风险提示 (33)
图1:公司三大主要业务 (5) 图2:2014-2018年公司主营产品收入构成(亿元) (6) 图3:2014-2018年公司归母净利润及同比增速(亿元,%) (6) 图4:公司股权结构(2019Q1) (7) 图5:全球企业/组织IT安全投入变化(2017) (9) 图6:全球网络信息安全市场规模及同比增速(亿美元,%) (11) 图7:我国网络信息安全市场规模及同比增速(亿元,%) (11) 图8:网络安全细分市场划分 (11) 图9:中国网络信息安全市场结构(2017) (12) 图10:欧美网络信息安全市场结构(2017) (12) 图11:国内网络安全100强企业(2019)) (13) 图12:我国公有云市场规模及增速(亿元,%) (15) 图13:我国私有云市场规模及增速(亿元,%) (15) 图14:企业选择使用私有云的考虑因素 (16) 图15:中国企业混合云应用比例(2018) (16) 图16:企业数据中心架构变迁 (17) 图17:传统架构与超融合使用成本对比举例 (17) 图18:我国企业私有云建设方式选择 (18) 图19:我国企业对开源私有云管理平台的认可情况 (18) 图20:企业云化路径 (19) 图21:我国超融合市场规模及增速(亿美元,%) (19) 图22:我国超融合市场份额分布(2018) (19) 图23:公司安全业务图谱 (20) 图24:公司安全业务收入及增速(亿元,%) (22) 图25:公司营收结构(2018) (22) 图26:同行业安全产品毛利率比较 (22) 图27:公司基于超融合架构的企业级aCloud云 (23) 图28:公司超融合软硬件整体市场市占率情况 (23) 图29:公司在超融合软件市场的占有率(2018) (23) 图30:公司云计算整体架构 (24) 图31:公司云计算业务收入及增速(亿元,%) (25) 图32:公司云计算业务毛利贡献及毛利率(亿元,%) (25) 图33:公司企业级无线产品 (25) 图34:公司企业级无线业务收入及增速(亿元,%) (26) 图35:信锐网科在企业级无线市场的市占率排名(2018Q1) (26) 图36:同行业销售费用率比较 (28)
2019年深信服的核心竞争力及云计算、信息安全的市场前景、战略方向
2019年深信服的核心竞争力及云计算、信息安全的 市场前景、战略方向
内容目录 1. 投资要件 (5) 2. 华为精神一脉相承,ICT巨头崭露峥嵘 (6) 2.1 发展历程:以信息安全为基,云计算打开成长空间 (6) 2.2 经营分析:业务规模快速成长,毛利率行业领先 (8) 2.3 核心竞争力分析:产品线完善+服务投入行业领先 (10) 高研发投入:孵化出新产品和新业务 (10) 高销售支出:赋予个性化服务和全面覆盖 (11) 3. 云计算:借力5G,独辟蹊径 (13) 3.1 市场前景:私有云建设仍大有可为,混合云潜力巨大 (13) 3.2 公司战略:聚焦“三云”,以客户需求为导向搭建服务体系 (14) 3.2.1 企业云:以超融合为架构,切入虚拟化市场 (16) 3.2.2 桌面云:拓展私/混合云,市占率稳居前二 (17) 3.2.3 战略方向:业务整合,产品升级 (18) 4. 信息安全:业务稳定增长,深度协同云端业务 (19) 市场前景:行业增速维持稳定,业务发展快于总体水平 (19) 公司战略:坚固壁垒,与云计算成协同之势 (20) 网络连接 (20) 安全保障 (22) 5. 基础网络业务:乘风物联网,与主业差异化互补 (22) 6. 盈利预测与估值 (24) 6.1 盈利预测 (24) 6.2 估值分析 (24) 风险提示 (25) 图表目录 图表1:公司发展历程 (6) 图表2:业务架构及主要产品 (7) 图表3:公司多款产品市场排名前列 (8) 图表4:6款产品入围Gartner国际魔力象限 (8) 图表5:主要董事会和管理层成员介绍 (8) 图表6:2014-2019H1公司营业收入 (9) 图表7:2014-2019H1归母净利润 (9) 图表8:2016-2019H1年收入占比情况 (9) 图表9:云计算和安全业务占比 (9) 图表10:公司主营业务毛利率 (9) 图表11:公司毛利率和同行业对比 (9) 图表12:公司费用支出占销售收入的比例 (10) 图表13:公司研发人员占比快速提高 (11) 图表14:2018年同行业的研发支出对比 (11) 图表15:公司推行的渠道战略 (11) 图表16:公司渠道体系 (12) 图表17:2018年同行业销售费用对比 (12)
信息安全-深信服下一代防火墙AF产品彩页
深信服下一代防火墙NGAF 近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。 一、企业级网络安全建设需要什么 1.传统割裂的各种安全产品? 传统组合方案问题多 传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。 传统产品组合方案缺陷二:有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以安全存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流量进行防护,在面临新的未知攻击的情况下缺乏有效的防御措施,还是存在被绕过的风险。 传统产品组织方案缺陷三:无论安全建设采用的是传统的安全产品叠加方案还是采用UTM/NGFW+WAF的整合类产品解决方案,都是聚焦于如何保护资产在事中攻击过程中不被入侵成功,但是并不具备对于资产的事前风险预知和事后检测响应的能力,从业务风险的生命周期来看,仅仅具备事中的防护是不完整的。
2.企业级的网络安全需要什么? 诉求一:看不看得到安全风险? 只有看到L2-L7层的攻击才能了解网络的整体安全状况,基于传统多产品的组合方案使大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。此外,没有攻击并不意味着业务不存在漏洞,一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞,防患于未然。最后,即使有大量的攻击也不意味着对业务安全的威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的来源,就无法让客户看到网络和业务的真实安全情况。 诉求二:能不能持续抵抗新威胁? 首先,面对已知威胁,需要评估现有的安全防护体系在技术层面是否存在短板,存在短板必然容易被绕过,原有安全设备就形同虚设;其次,面对新型的威胁,企业是否具备实时应对和响应的能力,能够把影响最小化;最后,更多的安全威胁是未知的,如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁,是企业安全建设更高的一个层次的需求。 诉求三:安全运营是否能够简化? 面对专业的安全设备,如果采用前述r”雇佣兵”式的服务,并无法持续地帮助企业用户将安全达到一种可控的状态。要想能够脱离”雇佣兵”式的安全服务,让安全设备发挥出最大的防护价值,就必须将专业、难懂的安全配置、安全日志进行简化,并能够引导和帮助用户具备用好、管好自己的设备的能力。 二、深信服下一代防火墙的价值主张 融合安全,简单有效 融合不是单纯的功能叠加,而是依照业务开展过程中会遇到的各类风险,所提供的对应安全技术手段的融合,能够为业务提供全流程的保护,融合安全包括从事前的资产风险发现,策略有效性检测,到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机制。
精选-信息安全-深信服安全感知平台(SIP)解决方案模板
1. 目概况 1.1 项目名称 XXX单位安全态势感知项目、XXX单位内网安全监测、XXX单位全网安全可视化项目等等 1.2 编制依据 以下标准作为参考,根据项目实际情况进行增删 1)国家信息安全法规与技术标准文档 《中华人民共和国网络安全法》 《“十三五”国家信息化规划》(国发〔2016〕73号) 《信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006) 《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006) 《信息安全技术网络基础安全技术要求》(GB/T 20270-2006) 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》 《国家信息化领导小组关于加强信息安全保障工作的意见》 2)本省/集团公司政策文件 《xx省电子政务发展规划(2014-2020)》 《xx省电子政务信息安全管理暂行办法》 …… 1.3 建设目标、建设内容和建设周期 本项目的建设目标是:强化xx单位网络信息安全监测预警能力,主要解决当前xx网络的信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高xx
网络突发安全事件监测和预警能力,实现整体网络的安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。 通过部署监测管理平台、网络安全监测探针等,实现有效发现未知威胁攻击,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。 本项目的主要建设内容有: 安全感知系统建设; 监测预警响应服务; 其他计划整体打包交付的安全能力: 本项目的建设周期x 个月,从xxx年xx月至xxx年xx月, 监测预警和响应服务将延续到项目实施并验收通过后的x年。 1.4 总投资估算 本项目总投资估算xx万元,其中软硬件设备投资xx万,集成和服务费xx万。 1.5 文档结构安排 本方案重点介绍xx单位安全态势感知项目建设相关内容,全文结构如下:第2章从用户现状、行业现状和安全管理等方面对项目建设需求进行分析; 第3章基于现状分析提出我司的安全感知理念; 第4章阐明系统设计方案的主要内容和技术原理; 第5章进一步回顾方案的主要价值和优势; 第6章为初步的报价估算。
信息安全攻防实验室(深信服)设计方案
深信服 信息安全攻防实验室建设方案 目录 第一章信息安全技术人才需求分析 (4) 1.1国内信息安全技术人才的需求现状分析 (4) 1.2国内信息安全技术人才的教育现状分析 (4) 1.3信息安全实训室建设的应用需求 (6) 1.3.1提供真实的信息安全实验教学环境 (6) 1.3.2满足不同层次实验的需要 (6) 1.3.3提供实训室配套的实验教学系统 (6) 1.3.4提供完备和成熟的整体解决方案 (6) 第二章信息安全实训室建设方案 (8) 2.1信息安全实训室建设原则 (8) 2.1.1 信息安全技术人才实训环境的真实性 (8) 2.1.2 信息安全技术人才技能知识点覆盖的全面性 (8) 2.1.3 信息安全实训室的可管理性 (8)
2.1.4 信息安全实训室方案的完整性 (8) 2.1.5 实训环境自身安全性 (9) 2.2建设规模 (9) 2.3建设目标 (9) 2.4信息安全攻防教学实训室解决方案 (10) 2.4.1 信息安全实训室框架 (10) 2.4.2 信息安全实训室优势与特色 (22) 2.4.3 信息安全实训室组网拓扑图示意 (24) 第三章信息安全技术人才实验教学内容 (25) 3.1实验内容列表 (25) 3.2实验进度设计 (28) 3.3应用系统安全入侵与防护实验 (30) 3.4防火墙实验 (32) 3.4IDS/IPS实验 (32) 3.5防病毒网关 (33) 3.6流量控制与审计系统 (33) 3.7WAF (33) 3.8VPN (33) 第四章实训室清单 (35) 第五章实训室布局设计参考 (37) 5.1岛式布局设计图 (37) 5.2一字型布局设计图 (37) 5.3背靠背布局设计图 (38) 第六章关于深信服 (39)