91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

數據驅動安全架構升級---“花瓶”模型迎來V5.0(二)

發布時間:2020-08-05 23:27:33 來源:網絡 閱讀:13116 作者:zhaisj 欄目:大數據

數據驅動安全架構升級---“花瓶”模型迎來V5.0

 

Jackzhai

 

三、“花瓶”模型V5.0

數據驅動安全架構升級---“花瓶”模型迎來V5.0(二)

“花瓶”模型V5.0是從安全事件防護的角度,設計安全保障架構的。事前制定策略,部署防護措施,提高***門檻,阻斷常規的******;事中監控,動態檢測***防護體系的***者,通過分析業務狀態的異常,流量的異常,網絡行為的異常,以及對各種惡意代碼的檢測,從多個角度展示安全態勢與行為的關聯分析,及時發現***者,并及時阻斷***者的破壞行為;事后進行溯源、取證、合規性分析,一方面震懾違規者,另一方面是改進防護策略,調整防護措施,進入下一輪的***循環。

全面的監控,與多角度的審計分析,都離不開大量的日志、流量數據,收集的數據越豐的富(覆蓋全、時間久),基于大數據的分析就越精準。面對海量的數據采集、存儲、檢索,需要在安全管理中心建立一個專門處理海量數據的“數據湖”,作為數據的管理倉庫。

“花瓶”模型提供的是基于“防護-監控-審計-平臺”的“三線一中心”的防護架構,覆蓋了***對抗互動的整個過程。下面介紹“三線一中心”上可以選擇的安全技術措施:


   1、  防護體系:

   防護體系主要的目的是提高***者進入的門檻,建立用戶訪問的控制機制,傳統的訪問控制策略多數是本地管理,隨著等級保護標準V2.0的推出,安全策略集中管理、統一下發成為趨勢,這促進了邊界安全措施的安全策略統一描述語言的誕生,包括主機操作系統、安全設備、安全中間件等。

   網絡虛擬化模糊了網絡的邊界,一些企業的網絡甚至與互聯網都不在有明確的邊界,所以,“花瓶”模型原有的五大邊界也發生了改變。按網絡分層抽象的理解,分為物理邊界與虛擬邊界:

   a) 物理邊界:有明確的物理連接,網絡分為端、網、服務三個部分

      (1)  網:物理網絡,與傳統的網絡相同,其邊界分為

        安全域邊界:域邊界成為安全區域隔離的主體,采用傳統的安全隔離方式

          NGFWIPSAV

          WAF

          網閘:雙向、單向

          數據交換區:數據共享交換平臺

          AP/AC:無線WiFi網絡的接入網關

          4G/5G等移動網接入網關

        業務代理邊界:應用層的代理網關

          ×××:基于加密技術的鏈路協議通道

          CASB:云計算服務代理訪問

          運維堡壘機(隔離運維人員直接接觸服務器)

     (2)服務器:面向服務的控制

         服務器安全加固

         統一安全策略管理(SOC)

      (3)   終端:

         終端安全管理(網絡準入、非法外聯、介質管理、軟件安裝管理、補丁管理…)

         統一安全策略管理(SOC)

         信息加密中間件:端到端加密控件


   b) 虛擬邊界:網絡虛擬化,也包含虛擬的端、網、服務三部分

      (1)網:即業務流邊界,通過對信息系統流量的引導控制,建立信息系統之間的虛擬邊界

      (2) 虛擬機:信息系統的服務支撐部分,虛擬機是可以動態遷移的,但其外部可訪問的URL是確定的

      (3)虛擬桌面:訪問信息系統服務的方式很多,大致可分為兩類

         遠程虛擬桌面:即瘦終端模式,處理功能在遠程

         本地容器式安全運行環境:即胖終端中運行一個應用安全環境

         安全瀏覽器

         終端虛擬機

         應用容器

         手機APP

      (4) 流量引導技術:虛擬網絡的邊界建立離不開流量的引導與控制,一般通過通信協議實現,需要在虛擬交換機與物理交換機上同時支持。在虛擬化平臺上目前常用的方式如下:

         SDN

         VPC

         VXLAN

         NVGRE


   2、  監控體系:

   監控體系是為了應對那些***到網絡內部的***者,他們通過了邊界安全措施的檢查,偽裝成“合法用戶”,具備業務信息系統的訪問權限。監控措施就是發現這些***者的“異常”行為、“破壞”活動,并進行及時阻斷。因此,監控體系就是安全運營、應急處理、事件追蹤的基礎支撐部分。

   監控系統包括兩個基本部分,數據采集與關聯分析,信息采集的越充分、越具體,分析才會更有效,顯然,足夠多的信息采集,意味著需要海量數據的處理能力。

   a) 信息采集:網絡安全需要采集的信息分為三類:

     (1)安全事件:安全事件的生成一般是發現惡意代碼,發現網絡***行為,或者是發現異常訪問行為。安全事件來自于多個方面,主要是安全措施檢測或阻斷的記錄:

        病毒蠕蟲檢測系統,如AV、主機防病毒等

        ******檢測系統,如IDS、主機IDS

        網關阻斷***日志,如DDOSCC***、SQL注入等

        高級威脅檢測系統,如沙箱發現惡意文件等

        信息系統的安全中間件,如口令暴力破解、資源異常使用、敏感信息的異常訪問等安全事件輸出

     (2)狀態信息:網絡安全是以保護網絡核心資產為目標的,這些資產的狀態變化就必須隨時掌握,包括如下幾個方面:

        服務狀態:業務信息系統的服務狀態,如用戶狀態、服務能力、流量、存儲空間等;

        設備狀態:提供服務的設備自身狀態,可以是物理設備,也可以是各種功能的虛擬機;

        鏈路狀態:即網絡連通狀態;

        終端狀態:終端是用戶所在,也常常是***者藏身的地點;

     (3) 漏洞信息:自身的脆弱性信息。漏洞是多方面的,包括對已知漏洞的內部發現,以及外部威脅信息中新漏洞信息的關聯;


   b) 關聯分析:采集數據是為了發現、定位***者。為了適應高級威脅的***態勢,以及海量數據的現狀,在傳統安全檢測的基礎上,很多高級、多維的關聯分析技術相繼出現:

     (1)   網絡異常行為檢測:從流量中提取的多元原始訪問信息,如IPURLDNS等信息,通過大數據關聯聚合,形成訪問者行為軌跡;

     (2) 流量異常檢測:從流量中提取多元原始訪問信息,按業務系統聚合,形成業務訪問分布圖,分析業務的異常波動,發現DDOSCC、蠕蟲等***;

     (3)高級威脅檢測:發現高級***者是監控體系的核心目標所在,目前主要的方法是從兩個維度進行的:

       文件沙箱:對網絡的可執行文件進行黑白名單分類,即確認是惡意的放入黑名單,確認是好的放入白名單。未知的文件可以通過文件指紋(MD5)等方式檢測,未知的文件則送入文件沙箱檢測系統,通過虛擬機建立文件運行的環境,讓未知文件釋放運行,通過配置的惡意型模型,對其行為是否惡意進行判定,并放入黑白名單庫中,以后就可以直接用文件指紋檢測了;

       行為模式匹配:先分析***者常見的***行為模型,再通過對網絡行為記錄進行大數據模式匹配分析,發現***者的惡意行為;


   c) 威脅情報關聯:安全監控需要知己知彼,前三項檢測是對內部安全動態的了解,威脅情報是為外部安全動態的了解。由于網絡安全已經成為國家戰略,應對高級威脅就不可能閉關自守,威脅情報是一個體系化的系統措施,涉及內容較多,其關鍵是獲取的威脅情報信息如何對整個安全保障體系所用:

     (1)威脅情報種類:哪些情報是有用的,我們需要哪些威脅情報信息

        新漏洞信息

        新型***技術、新型防護技術信息

        新安全補丁信息

        外部尤其是同行業內的***事件

        新發現的惡意代碼特征

        ***組織信息,或者是對我威脅方的信息,如行業競爭者

        惡意IP地址、惡意URL地址

        釣魚網站URL地址

        敏感信息曝光

     (2)威脅情報格式:威脅情報的處理自動化,即“機讀”威脅情報(威脅指示器IOC)

     (3)威脅情報處理:收到的威脅情報,可以落實為不同的處理方式

        安全策略下發:如新補丁發布,安排網絡內打補丁工作;發現新漏洞,沒有補丁時可以部署虛擬補丁措施;發現惡意IP地址,在邊界網關部署ACL,禁止網絡內用戶訪問該IP

        信息通報:如新***技術、安全事件,通告相關部門,提高大家安全意識;

        受害情況分析:如僵尸控制服務IP地址,可以掃描網絡行為記錄,發現網絡內有多少終端訪問該IP,即已經被該僵尸控制;如釣魚網站URL地址,通過網絡內訪問該URL的記錄,可以給出網絡內有多少終端已經訪問釣魚網站,有可能被***了;

        泄密事件預警:發現被曝光的敏感信息屬于內部業務系統,說明該系統發生泄密事件,立即部署清查活動,發現泄密源;

   

    d)安全態勢:監控系統需要一個展示平臺,將動態信息實時展示出來,以圖形圖像等方式展示其各種元素之間的關聯關系,還可以發揮人的高度概括、抽象的能力,發現其中隱含的關聯關系,這也是安全分析中常用的手段之一。把采集的信息與分析的結果按照安全管理者關注的框架展示出來,就是常說的安全態勢。安全態勢感知是對安全信息采集、分析、展示、預測等的總體稱謂。因此,安全態勢需要一個描述安全態勢的指標體系,即表征用戶關注的安全態勢的關鍵要素,有這些要素的動態數據,組合成安全態勢視圖。一般安全態勢有多個視圖,如資產狀態、事件影響、事件追蹤、情報關聯等。


   3、  信用體系

   信用體系是對網絡用戶的一系列安全管理措施,其核心就是確定是誰,是否有權做,做法是否合規,最終落實到用戶的行為審計。“花瓶”模型V5.0增加對合規行為的動態分析,不僅僅是事后取證,而且可以在用戶行為進行中,及時關聯分析,并動態追蹤該用戶目前在哪里,在干啥。

   信用體系的構建分為如下幾個部分:

   a) 身份認證:身份認證是信任體系的基礎支撐,是跨層建設的安全服務系統。

     (1)  鑒別技術:賬戶口令、動態口令、生物特征、數字證書、電子芯片

     (2) 多因子:多種鑒別技術組合,對重要信息的訪問,還可以追加鑒別機制

     (3) 網絡漫游:移動接入與多屏合一的業務發展,需要用戶單點登錄(SSO)認證與網絡漫游支持

   b) 授權控制:判斷用戶是否可以訪問,依據授權管理。由于網絡資源較多,應用增加速度較快,分立的授權管理難以支撐網絡安全運營,集中的授權管理,分布式的用戶訪問控制機制是未來的方向;

   c) 行為日志:有了身份認證、授權管理,就可以確定某人的行為是否被授權允許。行為日志是用戶的行為記錄,是事后取證的依據,是用戶行為防抵賴的保障措施;

   d) 基于大數據的合規性檢測:單個看一個行為,不合規,未授權,則訪問控制機制直接拒絕。多個合法的行為組合起來,卻不一定是合法的,這要看用戶實現業務的結果。基于大數據的合規性檢測,就是發現內部人員違規操作的行為,或者是內部人員被冒充,執行冒充者的指令行為。

     (1) 用戶行為檢測:是各種不同業務系統的訪問行為關聯分析,從用戶訪問的時間、順序、訪問內容與數量等,分析其動機,發現其異常;

     (2)  流程合規檢測:是對業務流程操作的行為關聯分析,從用戶操作的時間、順序、動作等,分析是否符合流程操作規范,從而發現操作異常;

   e) 行為取證:發現的異常行為、違規行為都要能獲取其完整的行為證據鏈。行為取證可以復現***者的***的場景,從而分析流程、管理中的漏洞,為安全策略的完善提供建議。


   4、  安全管理中心

   安全管理中心的作用是提供公共的安全集中管理與服務。即是網絡安全運維、安全應急指揮、事件跟蹤處理的平臺,同時也是用戶常用軟件的服務中心。與傳統的安全管理中心不同的是,由于采集的數據量龐大,需要建立數據湖(數據倉庫)處理海量數據,包括數據的采集、存儲、檢索。

   a) 安裝軟件倉庫:軟件倉庫服務統一提供各種軟件安裝,不僅方便日常安裝使用,而且既可以統一做兼容性測試,又避免軟件被“污染”,控制***的傳播;

     (1) 補丁軟件:以云服務模式提供補丁管理服務,包括系統、設備、應用等補丁;

     (2) 常用應用軟件:以云服務模式提供常用軟件的安裝版,尤其是終端軟件;

   b) 數據湖:即數據層,采集的原始數據分為三類:

     (1) 事件:從各種安全設備報上來的安全事件

     (2) 日志:從各系統、設備報上來的狀態、操作等

     (3) 配置:安全設備當前的安全配置,即目前的安全策略

     對原始數據進行實時分析,生成新的數據,也有三類:

     (1) 統計數據:進行各種統計的數據

     (2) 關聯分析:規則分析、模式匹配等產生的新數據

     (3)     挖掘數據:進行各種大數據分析挖掘出的新數據

   c) 安全管理平臺:管理層,提供安全管理平臺的各項功能

     (1) 資產管理:機房的設備好管理,難度大的是終端,尤其是那些移動終端的管理。很多用戶都希望對接入網絡的終端可以及時發現,這是發現內網***者的有效策略之一;NFV技術的使用,很多設備軟件化,動態生成與銷毀很容易,快速、高效管理更是需要;

     (2) 態勢展示:用戶關心的態勢指標體系可視化展示,同時也是監控體系的工作臺,應急指揮、輔助領導決策的指揮臺;

     (3) 事件處理:安全運維的基本工作,即安全事件的跟蹤、溯源、處置流程;

     (4) 安全策略:安全策略的統一下發,這項功能比傳統SOC有較大提升,即可以針對終端,如Windows/Linux等下發加固策略,對NGFW批量下發訪問控制策略,對IDS/流量采集下發重點監控的臨時安全策略;

     (5) 運維管理:日常的安全運維工作,如人員變動、配置變更、新系統上線、設備更換等,還包括值班處理、安全通告、違規處罰等管理職能;

     (6) 補丁管理:補丁管理是安全運維重要的一項工作,包括補丁兼容性測試、批量補丁下發、虛擬補丁部署等。

 

 “花瓶”模型V5.0的三條安全線,是相互配合的,相互支撐的。防護體系是門檻,是防護基線,建立基于“空間”的縱深防御體系;監控體系是針對高級***,發現那些透過防護體系進入到網絡內部的***者,通過多角度、多時空的信息關聯,發現***者的異常;信任體系是針對網絡內部用戶的安全管理,發現內部***者,發現違規操作者,建立基于用戶的網絡信任體系。

“花瓶”模型V5.0適應網絡新應用模式,防御體系分化為物理網絡層與虛擬網絡層,同時向應用層轉移,向用戶邊界---終端轉移;擴大了監控體系的粒度與覆蓋面,強化了身份認證與授權,與業務系統更加緊密地結合。因此,“花瓶”模型V5.0不僅更加適合“國家網絡安全法”第33條要求的“三同步”設計原則,而且更加適合基于云計算、物聯網等新型IT基礎架構的安全保障設計。

 

四、小結

    “花瓶”模型伴隨著信息安全已經經歷了風雨十年,為眾多網絡安全保障方案的設計提供了便利,是方案設計者最佳的參考模型之一。V5.0版本的發布,讓“花瓶”模型融入了最新的安全***理念,整合了最新的安全技術手段,不僅適合傳統的網絡信息系統使用,而且適合基于新型IT基礎架構的信息系統,與云計算的虛擬化技術、大數據處理技術、移動互聯應用無縫結合,將是售前工程師為用戶設計符合等級保護標準2.0的安全保障方案的最佳參考模型。


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

信丰县| 化隆| 安阳市| 江口县| 钟祥市| 中山市| 溧阳市| 和平区| 青冈县| 保靖县| 高淳县| 大丰市| 汾西县| 班戈县| 庆安县| 新晃| 锦屏县| 罗甸县| 马尔康县| 陇南市| 舟山市| 闸北区| 清苑县| 都兰县| 鄂托克前旗| 临武县| 汝城县| 宿州市| 华坪县| 云浮市| 镶黄旗| 孟连| 防城港市| 内乡县| 门源| 翁牛特旗| 锦屏县| 顺昌县| 竹山县| 沙湾县| 友谊县|