日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

數(shù)據(jù)驅(qū)動安全架構(gòu)升級---“花瓶”模型迎來V5.0

尋烏網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)等網(wǎng)站項目制作，到程序開發(fā)，運營維護。創(chuàng)新互聯(lián)公司從2013年創(chuàng)立到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

Jackzhai

三、“花瓶”模型V5.0

“花瓶”模型V5.0是從安全事件防護的角度，設(shè)計安全保障架構(gòu)的。事前制定策略，部署防護措施，提高***門檻，阻斷常規(guī)的******；事中監(jiān)控，動態(tài)檢測***防護體系的***者，通過分析業(yè)務(wù)狀態(tài)的異常，流量的異常，網(wǎng)絡(luò)行為的異常，以及對各種惡意代碼的檢測，從多個角度展示安全態(tài)勢與行為的關(guān)聯(lián)分析，及時發(fā)現(xiàn)***者，并及時阻斷***者的破壞行為；事后進行溯源、取證、合規(guī)性分析，一方面震懾違規(guī)者，另一方面是改進防護策略，調(diào)整防護措施，進入下一輪的***循環(huán)。

全面的監(jiān)控，與多角度的審計分析，都離不開大量的日志、流量數(shù)據(jù)，收集的數(shù)據(jù)越豐的富(覆蓋全、時間久)，基于大數(shù)據(jù)的分析就越精準(zhǔn)。面對海量的數(shù)據(jù)采集、存儲、檢索，需要在安全管理中心建立一個專門處理海量數(shù)據(jù)的“數(shù)據(jù)湖”，作為數(shù)據(jù)的管理倉庫。

“花瓶”模型提供的是基于“防護-監(jiān)控-審計-平臺”的“三線一中心”的防護架構(gòu)，覆蓋了***對抗互動的整個過程。下面介紹“三線一中心”上可以選擇的安全技術(shù)措施：

  1、 防護體系：

  防護體系主要的目的是提高***者進入的門檻，建立用戶訪問的控制機制，傳統(tǒng)的訪問控制策略多數(shù)是本地管理，隨著等級保護標(biāo)準(zhǔn)V2.0的推出，安全策略集中管理、統(tǒng)一下發(fā)成為趨勢，這促進了邊界安全措施的安全策略統(tǒng)一描述語言的誕生，包括主機操作系統(tǒng)、安全設(shè)備、安全中間件等。

  網(wǎng)絡(luò)虛擬化模糊了網(wǎng)絡(luò)的邊界，一些企業(yè)的網(wǎng)絡(luò)甚至與互聯(lián)網(wǎng)都不在有明確的邊界，所以，“花瓶”模型原有的五大邊界也發(fā)生了改變。按網(wǎng)絡(luò)分層抽象的理解，分為物理邊界與虛擬邊界：

  a) 物理邊界：有明確的物理連接，網(wǎng)絡(luò)分為端、網(wǎng)、服務(wù)三個部分

   (1)  網(wǎng)：物理網(wǎng)絡(luò)，與傳統(tǒng)的網(wǎng)絡(luò)相同，其邊界分為

    安全域邊界：域邊界成為安全區(qū)域隔離的主體，采用傳統(tǒng)的安全隔離方式

     NGFW、IPS、AV

     WAF

     網(wǎng)閘：雙向、單向

     數(shù)據(jù)交換區(qū)：數(shù)據(jù)共享交換平臺

     AP/AC：無線WiFi網(wǎng)絡(luò)的接入網(wǎng)關(guān)

     4G/5G等移動網(wǎng)接入網(wǎng)關(guān)

    業(yè)務(wù)代理邊界：應(yīng)用層的代理網(wǎng)關(guān)

     ×××：基于加密技術(shù)的鏈路協(xié)議通道

     CASB：云計算服務(wù)代理訪問

     運維堡壘機(隔離運維人員直接接觸服務(wù)器)

   （2）服務(wù)器：面向服務(wù)的控制

     服務(wù)器安全加固

     統(tǒng)一安全策略管理(與SOC)

   (3)  終端：

     終端安全管理(網(wǎng)絡(luò)準(zhǔn)入、非法外聯(lián)、介質(zhì)管理、軟件安裝管理、補丁管理…)

     統(tǒng)一安全策略管理(與SOC)

     信息加密中間件：端到端加密控件

  b) 虛擬邊界：網(wǎng)絡(luò)虛擬化，也包含虛擬的端、網(wǎng)、服務(wù)三部分

   (1)網(wǎng)：即業(yè)務(wù)流邊界，通過對信息系統(tǒng)流量的引導(dǎo)控制，建立信息系統(tǒng)之間的虛擬邊界

   (2) 虛擬機：信息系統(tǒng)的服務(wù)支撐部分，虛擬機是可以動態(tài)遷移的，但其外部可訪問的URL是確定的

   (3)虛擬桌面：訪問信息系統(tǒng)服務(wù)的方式很多，大致可分為兩類

     遠(yuǎn)程虛擬桌面：即瘦終端模式，處理功能在遠(yuǎn)程

     本地容器式安全運行環(huán)境：即胖終端中運行一個應(yīng)用安全環(huán)境

     安全瀏覽器

     終端虛擬機

     應(yīng)用容器

     手機APP

   (4) 流量引導(dǎo)技術(shù)：虛擬網(wǎng)絡(luò)的邊界建立離不開流量的引導(dǎo)與控制，一般通過通信協(xié)議實現(xiàn)，需要在虛擬交換機與物理交換機上同時支持。在虛擬化平臺上目前常用的方式如下：

     SDN

     VPC

     VXLAN

     NVGRE

  2、 監(jiān)控體系：

  監(jiān)控體系是為了應(yīng)對那些***到網(wǎng)絡(luò)內(nèi)部的***者，他們通過了邊界安全措施的檢查，偽裝成“合法用戶”，具備業(yè)務(wù)信息系統(tǒng)的訪問權(quán)限。監(jiān)控措施就是發(fā)現(xiàn)這些***者的“異常”行為、“破壞”活動，并進行及時阻斷。因此，監(jiān)控體系就是安全運營、應(yīng)急處理、事件追蹤的基礎(chǔ)支撐部分。

  監(jiān)控系統(tǒng)包括兩個基本部分，數(shù)據(jù)采集與關(guān)聯(lián)分析，信息采集的越充分、越具體，分析才會更有效，顯然，足夠多的信息采集，意味著需要海量數(shù)據(jù)的處理能力。

  a) 信息采集：網(wǎng)絡(luò)安全需要采集的信息分為三類：

   (1)安全事件：安全事件的生成一般是發(fā)現(xiàn)惡意代碼，發(fā)現(xiàn)網(wǎng)絡(luò)***行為，或者是發(fā)現(xiàn)異常訪問行為。安全事件來自于多個方面，主要是安全措施檢測或阻斷的記錄：

    病毒蠕蟲檢測系統(tǒng)，如AV、主機防病毒等

    ******檢測系統(tǒng)，如IDS、主機IDS等

    網(wǎng)關(guān)阻斷***日志，如DDOS、CC***、SQL注入等

    高級威脅檢測系統(tǒng)，如沙箱發(fā)現(xiàn)惡意文件等

    信息系統(tǒng)的安全中間件，如口令暴力破解、資源異常使用、敏感信息的異常訪問等安全事件輸出

   (2)狀態(tài)信息：網(wǎng)絡(luò)安全是以保護網(wǎng)絡(luò)核心資產(chǎn)為目標(biāo)的，這些資產(chǎn)的狀態(tài)變化就必須隨時掌握，包括如下幾個方面：

    服務(wù)狀態(tài)：業(yè)務(wù)信息系統(tǒng)的服務(wù)狀態(tài)，如用戶狀態(tài)、服務(wù)能力、流量、存儲空間等；

    設(shè)備狀態(tài)：提供服務(wù)的設(shè)備自身狀態(tài)，可以是物理設(shè)備，也可以是各種功能的虛擬機；

    鏈路狀態(tài)：即網(wǎng)絡(luò)連通狀態(tài)；

    終端狀態(tài)：終端是用戶所在，也常常是***者藏身的地點；

   (3) 漏洞信息：自身的脆弱性信息。漏洞是多方面的，包括對已知漏洞的內(nèi)部發(fā)現(xiàn)，以及外部威脅信息中新漏洞信息的關(guān)聯(lián)；

  b) 關(guān)聯(lián)分析：采集數(shù)據(jù)是為了發(fā)現(xiàn)、定位***者。為了適應(yīng)高級威脅的***態(tài)勢，以及海量數(shù)據(jù)的現(xiàn)狀，在傳統(tǒng)安全檢測的基礎(chǔ)上，很多高級、多維的關(guān)聯(lián)分析技術(shù)相繼出現(xiàn)：

   (1)   網(wǎng)絡(luò)異常行為檢測：從流量中提取的多元原始訪問信息，如IP、URL、DNS等信息，通過大數(shù)據(jù)關(guān)聯(lián)聚合，形成訪問者行為軌跡；

   (2) 流量異常檢測：從流量中提取多元原始訪問信息，按業(yè)務(wù)系統(tǒng)聚合，形成業(yè)務(wù)訪問分布圖，分析業(yè)務(wù)的異常波動，發(fā)現(xiàn)DDOS、CC、蠕蟲等***；

   (3)高級威脅檢測：發(fā)現(xiàn)高級***者是監(jiān)控體系的核心目標(biāo)所在，目前主要的方法是從兩個維度進行的：

    文件沙箱：對網(wǎng)絡(luò)的可執(zhí)行文件進行黑白名單分類，即確認(rèn)是惡意的放入黑名單，確認(rèn)是好的放入白名單。未知的文件可以通過文件指紋(如MD5值)等方式檢測，未知的文件則送入文件沙箱檢測系統(tǒng)，通過虛擬機建立文件運行的環(huán)境，讓未知文件釋放運行，通過配置的惡意型模型，對其行為是否惡意進行判定，并放入黑白名單庫中，以后就可以直接用文件指紋檢測了；

    行為模式匹配：先分析***者常見的***行為模型，再通過對網(wǎng)絡(luò)行為記錄進行大數(shù)據(jù)模式匹配分析，發(fā)現(xiàn)***者的惡意行為；

  c) 威脅情報關(guān)聯(lián)：安全監(jiān)控需要知己知彼，前三項檢測是對內(nèi)部安全動態(tài)的了解，威脅情報是為外部安全動態(tài)的了解。由于網(wǎng)絡(luò)安全已經(jīng)成為國家戰(zhàn)略，應(yīng)對高級威脅就不可能閉關(guān)自守，威脅情報是一個體系化的系統(tǒng)措施，涉及內(nèi)容較多，其關(guān)鍵是獲取的威脅情報信息如何對整個安全保障體系所用：

   (1)威脅情報種類：哪些情報是有用的，我們需要哪些威脅情報信息

    新漏洞信息

    新型***技術(shù)、新型防護技術(shù)信息

    新安全補丁信息

    外部尤其是同行業(yè)內(nèi)的***事件

    新發(fā)現(xiàn)的惡意代碼特征

    ***組織信息，或者是對我威脅方的信息，如行業(yè)競爭者

    惡意IP地址、惡意URL地址

    釣魚網(wǎng)站URL地址

    敏感信息曝光

   (2)威脅情報格式：威脅情報的處理自動化，即“機讀”威脅情報(威脅指示器IOC)

   (3)威脅情報處理：收到的威脅情報，可以落實為不同的處理方式

    安全策略下發(fā)：如新補丁發(fā)布，安排網(wǎng)絡(luò)內(nèi)打補丁工作；發(fā)現(xiàn)新漏洞，沒有補丁時可以部署虛擬補丁措施；發(fā)現(xiàn)惡意IP地址，在邊界網(wǎng)關(guān)部署ACL，禁止網(wǎng)絡(luò)內(nèi)用戶訪問該IP；

    信息通報：如新***技術(shù)、安全事件，通告相關(guān)部門，提高大家安全意識；

    受害情況分析：如僵尸控制服務(wù)IP地址，可以掃描網(wǎng)絡(luò)行為記錄，發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)有多少終端訪問該IP，即已經(jīng)被該僵尸控制；如釣魚網(wǎng)站URL地址，通過網(wǎng)絡(luò)內(nèi)訪問該URL的記錄，可以給出網(wǎng)絡(luò)內(nèi)有多少終端已經(jīng)訪問釣魚網(wǎng)站，有可能被***了；

    泄密事件預(yù)警：發(fā)現(xiàn)被曝光的敏感信息屬于內(nèi)部業(yè)務(wù)系統(tǒng)，說明該系統(tǒng)發(fā)生泄密事件，立即部署清查活動，發(fā)現(xiàn)泄密源；

  d)安全態(tài)勢：監(jiān)控系統(tǒng)需要一個展示平臺，將動態(tài)信息實時展示出來，以圖形圖像等方式展示其各種元素之間的關(guān)聯(lián)關(guān)系，還可以發(fā)揮人的高度概括、抽象的能力，發(fā)現(xiàn)其中隱含的關(guān)聯(lián)關(guān)系，這也是安全分析中常用的手段之一。把采集的信息與分析的結(jié)果按照安全管理者關(guān)注的框架展示出來，就是常說的安全態(tài)勢。安全態(tài)勢感知是對安全信息采集、分析、展示、預(yù)測等的總體稱謂。因此，安全態(tài)勢需要一個描述安全態(tài)勢的指標(biāo)體系，即表征用戶關(guān)注的安全態(tài)勢的關(guān)鍵要素，有這些要素的動態(tài)數(shù)據(jù)，組合成安全態(tài)勢視圖。一般安全態(tài)勢有多個視圖，如資產(chǎn)狀態(tài)、事件影響、事件追蹤、情報關(guān)聯(lián)等。

  3、 信用體系

  信用體系是對網(wǎng)絡(luò)用戶的一系列安全管理措施，其核心就是確定是誰，是否有權(quán)做，做法是否合規(guī)，最終落實到用戶的行為審計?！盎ㄆ俊蹦Ｐ蚔5.0增加對合規(guī)行為的動態(tài)分析，不僅僅是事后取證，而且可以在用戶行為進行中，及時關(guān)聯(lián)分析，并動態(tài)追蹤該用戶目前在哪里，在干啥。

  信用體系的構(gòu)建分為如下幾個部分：

  a) 身份認(rèn)證：身份認(rèn)證是信任體系的基礎(chǔ)支撐，是跨層建設(shè)的安全服務(wù)系統(tǒng)。

   (1)  鑒別技術(shù)：賬戶口令、動態(tài)口令、生物特征、數(shù)字證書、電子芯片…

   (2) 多因子：多種鑒別技術(shù)組合，對重要信息的訪問，還可以追加鑒別機制

   (3) 網(wǎng)絡(luò)漫游：移動接入與多屏合一的業(yè)務(wù)發(fā)展，需要用戶單點登錄(SSO)認(rèn)證與網(wǎng)絡(luò)漫游支持

  b) 授權(quán)控制：判斷用戶是否可以訪問，依據(jù)授權(quán)管理。由于網(wǎng)絡(luò)資源較多，應(yīng)用增加速度較快，分立的授權(quán)管理難以支撐網(wǎng)絡(luò)安全運營，集中的授權(quán)管理，分布式的用戶訪問控制機制是未來的方向；

  c) 行為日志：有了身份認(rèn)證、授權(quán)管理，就可以確定某人的行為是否被授權(quán)允許。行為日志是用戶的行為記錄，是事后取證的依據(jù)，是用戶行為防抵賴的保障措施；

  d) 基于大數(shù)據(jù)的合規(guī)性檢測：單個看一個行為，不合規(guī)，未授權(quán)，則訪問控制機制直接拒絕。多個合法的行為組合起來，卻不一定是合法的，這要看用戶實現(xiàn)業(yè)務(wù)的結(jié)果。基于大數(shù)據(jù)的合規(guī)性檢測，就是發(fā)現(xiàn)內(nèi)部人員違規(guī)操作的行為，或者是內(nèi)部人員被冒充，執(zhí)行冒充者的指令行為。

   (1) 用戶行為檢測：是各種不同業(yè)務(wù)系統(tǒng)的訪問行為關(guān)聯(lián)分析，從用戶訪問的時間、順序、訪問內(nèi)容與數(shù)量等，分析其動機，發(fā)現(xiàn)其異常；

   (2)  流程合規(guī)檢測：是對業(yè)務(wù)流程操作的行為關(guān)聯(lián)分析，從用戶操作的時間、順序、動作等，分析是否符合流程操作規(guī)范，從而發(fā)現(xiàn)操作異常；

  e) 行為取證：發(fā)現(xiàn)的異常行為、違規(guī)行為都要能獲取其完整的行為證據(jù)鏈。行為取證可以復(fù)現(xiàn)***者的***的場景，從而分析流程、管理中的漏洞，為安全策略的完善提供建議。

  4、 安全管理中心

  安全管理中心的作用是提供公共的安全集中管理與服務(wù)。即是網(wǎng)絡(luò)安全運維、安全應(yīng)急指揮、事件跟蹤處理的平臺，同時也是用戶常用軟件的服務(wù)中心。與傳統(tǒng)的安全管理中心不同的是，由于采集的數(shù)據(jù)量龐大，需要建立數(shù)據(jù)湖(數(shù)據(jù)倉庫)處理海量數(shù)據(jù)，包括數(shù)據(jù)的采集、存儲、檢索。

  a) 安裝軟件倉庫：軟件倉庫服務(wù)統(tǒng)一提供各種軟件安裝，不僅方便日常安裝使用，而且既可以統(tǒng)一做兼容性測試，又避免軟件被“污染”，控制***的傳播；

   (1) 補丁軟件：以云服務(wù)模式提供補丁管理服務(wù)，包括系統(tǒng)、設(shè)備、應(yīng)用等補?。?/p>

   (2) 常用應(yīng)用軟件：以云服務(wù)模式提供常用軟件的安裝版，尤其是終端軟件；

  b) 數(shù)據(jù)湖：即數(shù)據(jù)層，采集的原始數(shù)據(jù)分為三類：

   (1) 事件：從各種安全設(shè)備報上來的安全事件

   (2) 日志：從各系統(tǒng)、設(shè)備報上來的狀態(tài)、操作等

   (3) 配置：安全設(shè)備當(dāng)前的安全配置，即目前的安全策略

   對原始數(shù)據(jù)進行實時分析，生成新的數(shù)據(jù)，也有三類:

   (1) 統(tǒng)計數(shù)據(jù)：進行各種統(tǒng)計的數(shù)據(jù)

   (2) 關(guān)聯(lián)分析：規(guī)則分析、模式匹配等產(chǎn)生的新數(shù)據(jù)

   (3)   挖掘數(shù)據(jù)：進行各種大數(shù)據(jù)分析挖掘出的新數(shù)據(jù)

  c) 安全管理平臺：管理層，提供安全管理平臺的各項功能

   (1) 資產(chǎn)管理：機房的設(shè)備好管理，難度大的是終端，尤其是那些移動終端的管理。很多用戶都希望對接入網(wǎng)絡(luò)的終端可以及時發(fā)現(xiàn)，這是發(fā)現(xiàn)內(nèi)網(wǎng)***者的有效策略之一；NFV技術(shù)的使用，很多設(shè)備軟件化，動態(tài)生成與銷毀很容易，快速、高效管理更是需要；

   (2) 態(tài)勢展示：用戶關(guān)心的態(tài)勢指標(biāo)體系可視化展示，同時也是監(jiān)控體系的工作臺，應(yīng)急指揮、輔助領(lǐng)導(dǎo)決策的指揮臺；

   (3) 事件處理：安全運維的基本工作，即安全事件的跟蹤、溯源、處置流程；

   (4) 安全策略：安全策略的統(tǒng)一下發(fā)，這項功能比傳統(tǒng)SOC有較大提升，即可以針對終端，如Windows/Linux等下發(fā)加固策略，對NGFW批量下發(fā)訪問控制策略，對IDS/流量采集下發(fā)重點監(jiān)控的臨時安全策略；

   (5) 運維管理：日常的安全運維工作，如人員變動、配置變更、新系統(tǒng)上線、設(shè)備更換等，還包括值班處理、安全通告、違規(guī)處罰等管理職能；

   (6) 補丁管理：補丁管理是安全運維重要的一項工作，包括補丁兼容性測試、批量補丁下發(fā)、虛擬補丁部署等。

 “花瓶”模型V5.0的三條安全線，是相互配合的，相互支撐的。防護體系是門檻，是防護基線，建立基于“空間”的縱深防御體系；監(jiān)控體系是針對高級***，發(fā)現(xiàn)那些透過防護體系進入到網(wǎng)絡(luò)內(nèi)部的***者，通過多角度、多時空的信息關(guān)聯(lián)，發(fā)現(xiàn)***者的異常；信任體系是針對網(wǎng)絡(luò)內(nèi)部用戶的安全管理，發(fā)現(xiàn)內(nèi)部***者，發(fā)現(xiàn)違規(guī)操作者，建立基于用戶的網(wǎng)絡(luò)信任體系。

“花瓶”模型V5.0適應(yīng)網(wǎng)絡(luò)新應(yīng)用模式，防御體系分化為物理網(wǎng)絡(luò)層與虛擬網(wǎng)絡(luò)層，同時向應(yīng)用層轉(zhuǎn)移，向用戶邊界---終端轉(zhuǎn)移；擴大了監(jiān)控體系的粒度與覆蓋面，強化了身份認(rèn)證與授權(quán)，與業(yè)務(wù)系統(tǒng)更加緊密地結(jié)合。因此，“花瓶”模型V5.0不僅更加適合“國家網(wǎng)絡(luò)安全法”第33條要求的“三同步”設(shè)計原則，而且更加適合基于云計算、物聯(lián)網(wǎng)等新型IT基礎(chǔ)架構(gòu)的安全保障設(shè)計。

四、小結(jié)

   “花瓶”模型伴隨著信息安全已經(jīng)經(jīng)歷了風(fēng)雨十年，為眾多網(wǎng)絡(luò)安全保障方案的設(shè)計提供了便利，是方案設(shè)計者最佳的參考模型之一。V5.0版本的發(fā)布，讓“花瓶”模型融入了最新的安全***理念，整合了最新的安全技術(shù)手段，不僅適合傳統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)使用，而且適合基于新型IT基礎(chǔ)架構(gòu)的信息系統(tǒng)，與云計算的虛擬化技術(shù)、大數(shù)據(jù)處理技術(shù)、移動互聯(lián)應(yīng)用無縫結(jié)合，將是售前工程師為用戶設(shè)計符合等級保護標(biāo)準(zhǔn)2.0的安全保障方案的最佳參考模型。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享標(biāo)題：數(shù)據(jù)驅(qū)動安全架構(gòu)升級---“花瓶”模型迎來V5.0(二)-創(chuàng)新互聯(lián)
網(wǎng)頁URL：http://www.dlmjj.cn/article/desssh.html