1、13安全网关类安全网关类威胁管理类威胁管理类应用监管类应用监管类安全工具类安全工具类天清汉马 统一安全网关天阗 入侵检测系统天清 入侵防御系统天玥 合规性审计系统天镜 脆弱性评估系统泰合 安全管理平台天珣 内网安全管理系统强化风险控制强化风险管理NDP100 NDP200 NDP800 NDP1000 NDP2000NS100 NS200 NS500 NS1500 NS2200 NS2800USG-300B USG-600 USG-800 USG-2000C USG-3600CCA300 CA500 CA2300 CA2800软件版便携版硬件版ZSOC 4ASOC ASOC TSOC MSOC
2、低端低端高端高端CCE-BM泰合平台泰合平台CCE-ACCCE-DM CCE-MSCCE-TM4安全产品怎么定位?5IDSIDS基于纵深防御,看安全产品应用定位Internet办公网络办公网络生产网络生产网络WEBWEB服务器服务器天玥天玥II IIUSGUSGN-IPSN-IPS服务器扫描服务器扫描关键业务系统关键业务系统天珣天珣天珣天珣天镜天镜WWAGAG边界域边界域控制控制互联域互联域管理管理核心计算域核心计算域止损止损支撑域支撑域合规合规安全域控制器安全域控制器高端高端USGUSG天珣天珣安星安星IDSIDS6UTM、IPS的区别7IPS市场需求划分与产品应对网络入侵保护B/S服务器C
3、/S服务器服务器入侵保护聚焦网络入侵保护需求聚焦基于WEB业务入侵保护需求8天清汉马USG定位全面访问控制 天清汉马天清汉马USG的产品定位的产品定位 为外联边界提供应用级安全访问控制,过滤网络病毒、网络入侵、非法应用、非授权访问、恶意流量等; 解决企业级VPN接入服务、终端准入控制服务; USG产品系列型号,满足100M4G边界处理性能,能适应小企业级到电信级应用; 提供事件库持续的升级服务;型号覆中小企业至电信级型号覆中小企业至电信级定位于外联网络边界定位于外联网络边界实现应用级访问控制实现应用级访问控制未来发展:性能提升,跨界组合9天清WIPS(NDP)产品定位WEB业务防御 天清天清W
4、IPS(WIPS(天清天清IPS IPS NDPNDP系列系列) )产品定位产品定位 部署于WEB服务器前,精确阻断SQL注入、跨站脚本等基于WEB语法构建的入侵行为,降低WEB网站语法漏洞被利用的风险; 为入侵过程提供告警,提供入侵事件的分析依据,并实时阻断 天清IPS产品性能,可以覆盖100M1000M环境下的WEB服务器前端。 提供事件库持续的升级服务;精确阻断精确阻断SQL注入注入/跨站攻击跨站攻击InternetWEBWEB服务器服务器定位于定位于WEB服务器前端服务器前端NDP200NDP100NDP1000NDP2000覆盖百兆、千兆应用环境覆盖百兆、千兆应用环境未来发展:扩展D
5、DOSXPATHSHELLCODE10天清NIPS定位弥补防火墙防御能力天清天清NIPS定位定位 部署于防火墙外联接口的前端,弥补以防火墙、安全路由器等作为边界网关时入侵防御能力的不足,同事降低原有网关信息过滤的压力; 对网络入侵提供阻断和过滤能力, 提供应用级访问控制,降低原有防火墙访问控制方面压力; 提供事件库持续的升级服务;Internet办公网络办公网络防火墙防火墙定位于防火墙网关前端定位于防火墙网关前端覆盖百兆、千兆应用环境覆盖百兆、千兆应用环境天清天清NIPS弥补防火墙入侵防御不足弥补防火墙入侵防御不足11IDS与IPS的区别12IPS是深层防御、IDS是全面检测部署目标部署目标强
6、化风险管理能力强化风险管理能力及时了解安全状况及时了解安全状况为改善风险控制环境提为改善风险控制环境提供决策依据供决策依据部署目标部署目标强化风险控制强化风险控制降低风险降低风险进一步优化风险进一步优化风险控制环境控制环境检测与监控设施防护与控制设施审计系统审计系统 漏洞扫描漏洞扫描 入侵检测入侵检测IDS 监控平台监控平台 接入控制接入控制 防火墙防火墙 入侵防御入侵防御IPS P.D.R一个都不能少可以有可疑行为需要人工分析要求精确对人工分析无要求13天阗IDS定位威胁态势量化分析天阗天阗IDS定位定位 旁路部署于互联网关口、威胁传播关键路径,用于分析威胁蔓延态势,定位威胁,科学指导事件处
7、理,衡量防御体系的效果; 涵盖国内最权威的入侵事件库,支持深度事件自定义; 基于分级管理的规模部署模式,实现对互联域的全局检测; 提供事件库持续的升级服务;Internet办公网络办公网络网关网关定位于关键威胁路径入侵检测定位于关键威胁路径入侵检测覆盖百兆、多千兆应用环境覆盖百兆、多千兆应用环境NIDS分析威胁态势,管理威胁分析威胁态势,管理威胁未来发展:安全基线的呈现效果,将事件数量减少14其它产品作用15天玥定位业务合规审计天玥网络安全审计定位天玥网络安全审计定位 旁路部署于关键业务路径服务侧,通过设定违规的审计策略匹配业务违规行为,并进行记录行为过程和阻断,记录的结果可作为事后取证; 促
8、进业务内控管理效率,确保计算环境域关键业务安全合规运营; 避免企业IT运营事故与法律风险; 提供丰富的业务违规审计策略,可细粒度自定义策略匹配违规操作; 提供高速T级大容量存储,满足电信级应用支撑网络支撑网络定位于关键业务操作行为审计定位于关键业务操作行为审计覆盖百兆、千兆应用环境覆盖百兆、千兆应用环境天玥网络安全审计天玥网络安全审计记录记录/阻断违规行为,事后取证阻断违规行为,事后取证数据库未来发展:三层关联,看到结果,知道过程16天珣定位终端合规 内网安全天珣内网安全产品定位天珣内网安全产品定位 部署于企业办公终端,实现企业终端统一管理。避免终端违规应用; 自动化推送式部署:满足大规模部署
9、。具备数十万点部署经验; 多层准入控制机制:从源头上避免企业敏感信息被非法访问; 桌面合规管理:避免终端资产滥用,影响企业内网安全性; 终端泄密控制:解决终端数据泄密问题,保护关键信息资产。 终端审计:确保100%的终端接受监督,促进内网安全状况持续改善。 易用:对终端系统资源占用小,管理配置操作简单。定位于企业终端统一安全管理定位于企业终端统一安全管理满足大规模部署环境满足大规模部署环境天珣客户端天珣客户端实现终端合规,促进内网安全实现终端合规,促进内网安全策略网关策略服务器办公网络办公网络17Internet天镜、安星定位脆弱性评估安星产品定位安星产品定位 对WEB网站的脆弱性检测,提供W
10、EB网站漏洞报告、被挂马报告等; 及时预知WEB网站安全状况,利于安全加固与改造,避免网站漏洞被利用导致敏感信息被窃取;天镜产品定位天镜产品定位 对企业主机、终端进行扫描,提供可视化的脆弱性评估报告; 了解企业整体脆弱性状况,便于统一治理与加固; 指导企业对终端安全状态进行改进,并提供参考依据;定位于计算机系统脆弱性评估定位于计算机系统脆弱性评估满足大规模部署环境满足大规模部署环境天镜天镜WEB业务脆弱性业务脆弱性/主机与终端脆弱性主机与终端脆弱性办公网络办公网络安星安星互联网站数据库Server终端WEB网站网站远程在线检查远程在线检查服务服务天镜天镜安星安星漏洞扫描系统漏洞扫描系统未来发展
11、:扫描器准确度提高,硬件化网站检测系统18从安全建设阶段看产品布局IDS / 安全工具 / 服务安全网关 / IPS应用监管/审计利用各种措施形成闭环泰合平台天阗IDS天玥天珣天清IPS天镜USG泰合SOC看问题看问题定目标定目标促管理促管理建体系建体系20安全产品总体趋势与发展方向 安全目标更具体、产品定位更清晰、防御更有效安全目标更具体、产品定位更清晰、防御更有效 在不可信的网络世界中,建立纵深防御体系的需要 产品融入专业服务,逐渐由产品融入专业服务,逐渐由“冷冷”变变“热热” 安全变得简单,安全成为服务,服务成就安全 向结构性安全演进,向结构性安全演进,“跨界跨界”组合成为必然组合成为必
12、然 保障业务安全、实现主体防御、构建可信网络世界的必经阶段21你知道那杯是有害的吗?威胁未知?防御目标未知? 面对未知目标如何有效?面对未知目标如何有效? 威胁源未知 保护目标未知 三杯液体,哪杯有害?三杯液体,哪杯有害? 你能判断吗?威胁源未知?防御目标未知?你知道那杯是有害的吗?看得出哪杯有害吗?看得出哪杯有害吗?22你知道那杯是有害的吗?威胁已知,防御目标仍未知? 面对未知目标如何有效?面对未知目标如何有效? 威胁源已知 酒精 水 硫酸 但保护目标仍未知 哪杯有害?你能判断吗?哪杯有害?你能判断吗? 酒精、水、硫酸?威胁源已知防御目标仍未知?你知道那杯是有害的吗?看得出哪杯有害吗?看得出
13、哪杯有害吗?23你知道那杯是有害的吗?目标明确,防御才更有效 目标具体,防御才有效;目标具体,防御才有效; 目标明确,防御才明确;目标明确,防御才明确; 目标不同,判断威胁的方式目标不同,判断威胁的方式也不同也不同 如果保护目标是:植物 怎么检测有害? 如果保护目标是:伤口 怎么检测有害?你知道那杯是有害的吗?看得出哪杯有害吗?看得出哪杯有害吗?24IDSIDS纵深防御中,产品目标明确、定位清晰Internet办公网络办公网络安星安星生产网络生产网络WEBWEB服务器服务器天玥天玥II IIWEBWEB服务器扫描服务器扫描USGUSGN-IPSN-IPS(USG)(USG)服务器扫描服务器扫描
14、关键业务系统关键业务系统天珣天珣天珣天珣天镜天镜W-IPSW-IPS边界域边界域控制控制互联域互联域管理管理核心计算域核心计算域止损止损支撑域支撑域合规合规安全域控制器安全域控制器“门卫门卫”“保镖保镖”“巡警巡警”“督查督查”“纪检纪检”25为什么WIPS能精确阻断SQL注入攻击者WEB&数据库难以防范的SQL注入如何解决: 语法攻击特征虽然千变万化,但天清IPS保护目标相对具体,可以模拟被保护目标(WEB业务、数据库),实现SQL注入的精确阻断;攻击过程千变万化模拟目标校验结果有危害的丢弃没有危害的保留启明星辰VISD专利算法已应用于IPS产品26安全产品总体趋势与发展方向 安全目标更具体
15、、产品定位更清晰、防御更有效安全目标更具体、产品定位更清晰、防御更有效 在不可信的网络世界中,建立纵深防御体系的需要 安全产品融入专业服务,逐渐由安全产品融入专业服务,逐渐由“冷冷”变变“热热” 安全变得简单,安全成为服务,服务成就安全 向结构性安全演进,向结构性安全演进,“跨界跨界”组合成为必然组合成为必然 保障业务安全、实现主体防御、构建可信网络世界的必经阶段27两个例子的对比后的反思 安全是动态的,本身充满了众多不确定性因素?安全是动态的,本身充满了众多不确定性因素? 两个例子的对比与反思导弹导弹炮弹炮弹炮弹:静态打击炮弹:静态打击发射后由风速、仰角等因素,决定落点无法根据环境或目标的变
16、化改变落点导弹:动态打击导弹:动态打击能随着环境或打击目标移动而自我调整28 冷产品、热产品的定义冷产品、热产品的定义 热产品:基于动态更新的环境信息,不断适应动态的安全需求 冷产品:只解决相对静态的需求,不能随环境变化而变化 安全产品由安全产品由“冷冷”变变“热热”源动力源动力 安全的动态性、不确定性不确定性导致安全产品由“冷”变“热”实时更新实时更新库信息库信息安全服务支撑团队安全服务支撑团队非法入侵者非法入侵者/组织组织出现出现威胁威胁A研究特征研究特征和原理和原理明确应对明确应对方法方法解决解决威胁威胁A躲避防御躲避防御而演变而演变演变出新演变出新威胁威胁B热产品热产品 VS 威胁的动
17、态性、不确定性威胁的动态性、不确定性那就不需要那就不需要“热产品热产品”所包含的这部分所包含的这部分如果,威胁不存在动态性或不确定性如果,威胁不存在动态性或不确定性如果威胁是确定的、静态不变的如果威胁是确定的、静态不变的那么那么“冷产品冷产品”就可以解决问题就可以解决问题可是,事实并非如此!可是,事实并非如此!29专业安全厂家的 “热产品”安全产品与专业的后援支撑服务结合,共同应对动态性和不确定性安全产品与专业的后援支撑服务结合,共同应对动态性和不确定性 漏洞研究、威胁研究、法律法规研究的成果,成为产品适应环境的基础 产品通过动态信息库的不断更新,完成自我调整,以达到持续安全目的通过专业后援支
18、撑团队不断研究通过专业后援支撑团队不断研究使产品不断更新库信息,实现持续性的安全保障使产品不断更新库信息,实现持续性的安全保障各种信息库各种信息库30研究漏洞机理研究新攻击特征研究攻击躲避机理设计抗躲避机制/算法发现新漏洞CVECNCVECERTCNCERT/CC披露信息安全事件攻击特征无法精确定义披露漏洞列入产品可升级事件库实现精确阻断攻击基于攻击躲避机理的精确识别程序包在线升级引擎,加载新算法实现精确阻断攻击攻击特征可被精确定义资源使命价值图例图例开放源代码研究安全的不确定性研究安全的不确定性找出环境信息的变化的要素和规律找出环境信息的变化的要素和规律实时更新安全产品的环境信息实时更新安全
19、产品的环境信息实现精确打击实现精确打击31安星:一个“热”产品的背后二级检查:除误报三级检查:人工验证一级检查:渗透看异常准确网站漏洞报告WEB网站网站用户用户修补漏洞修补漏洞应付应付WEB网页挂马、网站各种动态的漏洞网页挂马、网站各种动态的漏洞一个热产品的背后一个热产品的背后32冷产品与热产品几个举例冷产品(应对静态需求)冷产品(应对静态需求)热产品(应对动态和不确定的需求)热产品(应对动态和不确定的需求)路由器、交换机、防火墙路由器、交换机、防火墙自主自主UTM (专业后援团队保障)(专业后援团队保障)开源开源IDS(开源库)(开源库)自主自主IDS (专业后援团队保障)(专业后援团队保障
20、)开源开源IPS(开源库)(开源库)自主自主IPS (专业后援团队保障)(专业后援团队保障)防病毒(开源库)防病毒(开源库)自主防病毒(专业后援团队保障)自主防病毒(专业后援团队保障)网页防篡改网页防篡改网站漏洞扫描(后援团队保障)网站漏洞扫描(后援团队保障)冷产品(应对静态需求)冷产品(应对静态需求)热产品(应对动态和不确定的需求)热产品(应对动态和不确定的需求)汽车各种安全系统汽车各种安全系统汽车保险(保险机构保障)汽车保险(保险机构保障)炮弹炮弹导弹(制导系统保障)导弹(制导系统保障)33小结:为什么安全产品要逐渐变热 安全是动态的,存在大量的不确定性;安全是动态的,存在大量的不确定性;
21、 促使安全产品由冷变热 防火墙UTM “热热”产品能更快速的适应环境的变化产品能更快速的适应环境的变化 动态的安全需求,有动态的专业的安全后援团队 “热热”产品使安全变得更简单产品使安全变得更简单 用炮弹打击动态的目标,对于使用者将是一件复杂的事情 用导弹打击动态目标,却很简单,甚至不需要瞄准34安全产品总体趋势与发展方向 安全目标更具体、产品定位更清晰、防御更有效安全目标更具体、产品定位更清晰、防御更有效 在不可信的网络世界中,建立纵深防御体系的需要 产品融入专业服务,逐渐由产品融入专业服务,逐渐由“冷冷”变变“热热” 安全变得简单,安全成为服务,服务成就安全 向结构性安全演进,向结构性安全
22、演进,“跨界跨界”组合成为必然组合成为必然 保障业务安全、实现主体防御、构建可信网络世界的必经阶段35什么是结构安全 什么是结构安全什么是结构安全 一个结构物的任何剖面上,其应力小于强度的表征 为什么要结构安全为什么要结构安全 不会因为局部损失,导致危害全局 在各种不确定性因素下,能达到最佳的安全状态 结构安全怎么做?结构安全怎么做? 产品怎样发展,满足结构安全的需要? 有很多方法,例如参考PDR就是一种结构安全思想的体现; 结构安全是我们的目标结构安全是我们的目标36每个产品都有自己的界限 每个产品都有自己定位,它们之间往往是互补关系;每个产品都有自己定位,它们之间往往是互补关系; 目标都是
23、为了保障整体安全目标都是为了保障整体安全 安全产品有界,但安全需求是无界的安全产品有界,但安全需求是无界的防火墙防火墙终端安全终端安全UTM网络审计网络审计IPSIDS37未来安全产品将围绕跨界需求整合目前已有几个跨界的先例目前已有几个跨界的先例 准入控制,将网络与终端安全,整合应用,协同实现整体安全目标 UTM将FW、VPN、IPS、AV整合未来安全产品的发展目标,促进结构性安全未来安全产品的发展目标,促进结构性安全 安全产品之间的紧密协同,优势互补 面向业务安全融合,产品跨界组合整合的例子整合的例子 终端安全与安全网关的整合,面向主体的可信访问控制 WIPS与网站安全服务整合,完整的网站安
24、全措施 终端审计与网络审计的整合,可精确溯源的强审计 IDS与资产管理整合,有效呈现全局威胁态势38网关与终端安全的跨界组合实体组合实现跨界应用实体组合实现跨界应用2009年年Q2发布发布USG增加内网安全功能,将UTM的访问控制延伸到终端安全网关中内嵌终端安全客户端,结合网络认证,实现便捷的一体化、自动化部署访问控制延伸到终端,网络访问控制能力可提升到对主机进程的访问控制;天珣 策略服务器网络安全网关便捷部署终端安全客户端便捷部署终端安全客户端Internet内联网自动同步终端安全策略终端经过USG网关访问其它IT资源终端未通过安全验证拒绝访问网络请点击“安装”天珣客户端例如:BT进程访问控
25、制禁止终端运行迅雷软件或流量不能超过10K例如:准安全域控制器非指定程序,不能访问XX安全域中的服务或业务39生产终端安全网关天珣终端安全强准入控制外联业务服务生产网络内联业务服务数据中心生产终端办公终端办公网络外联网络运维终端DMZ存储/备份系统漏洞防WEB业务入侵系统漏洞防系统入侵DB违规操作远程接入访问防病毒接入控制文档防护终端审计终端维护终端漏洞接入控制防违规操作终端维护运维过程审计命令级控制业务违规操作业务违规操作DB防入侵非法外联入侵检测防网络入侵网络访问控制网络访问控制防资源滥用防资源滥用互联网行为监管防网络病毒防系统入侵远程终端管理/监控平台信息采集资产管理灾难备份数据恢复防W
26、EB业务入侵数据防盗身份鉴别防网络入侵业务访问控制二次身份鉴别二次身份鉴别二次身份鉴别USG天珣USGUSGWEB业务漏洞天珣!天珣天珣!天珣天珣天珣!USGUSGUSGUSGUSGUSG账户管理DB漏洞IT管理网络Internet外部业务服务(托管)远程接入日志管理USG-C天珣威胁管理漏洞管理网元管理审计管理远程操作强认证SSO系统漏洞防系统入侵业务违规操作防WEB业务入侵WEB业务漏洞网络访问控制USG可信主可信主体访问体访问接入接入网络地址可信网络地址可信主体状态可信主体状态可信行为可信行为可信实现基于可信主体的访问控制实现基于可信主体的访问控制阻止阻止不可信不可信主体访主体访问问40
27、网站安全360 网站安全360天清IPSWEB网站入侵防护(P)安星服务远程网站漏洞检查远程网页挂马检查(D)M2S、ADLAB、网页篡改恢复网页安全修复应急响应服务(R)天清IPS入侵防御P网页安全修复R响应防御安星-网站安全检查D检测基于结构性安全思想应用的一个体现基于结构性安全思想应用的一个体现41跨产品界组合形式的演进LV1(松耦合):目前最多的形式(松耦合):目前最多的形式每个产品维持独立的WEB控制台LV2(紧耦合):组合技术壁垒较高(紧耦合):组合技术壁垒较高以一个产品的WEB控制台为主,集成其他产品的WEB控制界面LV3(面向业务需求),形成新产品形态(面向业务需求),形成新产品形态面向用户业务,独立的WEB控制台,同时配置多个产品上的策略产品A产品BWeb控制台Web控制台联动产品A产品BWeb控制台配置产品A产品BWeb控制台配置配置逐逐步步深深入入42谢谢!谢谢!
