數(shù)據(jù)中心與大數(shù)據(jù)安全方案數(shù)據(jù)中心與大數(shù)據(jù)安全概述隨著信息技術(shù)的迅猛發(fā)展，大數(shù)據(jù)技術(shù)在各行各業(yè)的逐步落地，越來(lái)越多的單位和組織建設(shè)數(shù)據(jù)中心、部署大數(shù)據(jù)平臺(tái)，進(jìn)行海量數(shù)據(jù)的采集、存儲(chǔ)、計(jì)算和分析，開(kāi)發(fā)多種大數(shù)據(jù)應(yīng)用解決業(yè)務(wù)問(wèn)題。在大數(shù)據(jù)為業(yè)務(wù)帶來(lái)巨大價(jià)值的同時(shí)，也帶來(lái)了潛在的安全風(fēng)險(xiǎn)。一方面，傳統(tǒng)數(shù)據(jù)中心面臨的安全風(fēng)險(xiǎn)如網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞等依然存在；另一方面，針對(duì)大數(shù)據(jù)的數(shù)據(jù)集中、數(shù)據(jù)量大、數(shù)據(jù)價(jià)值大等新特點(diǎn)的安全風(fēng)險(xiǎn)更加凸顯，一旦數(shù)據(jù)被非法訪問(wèn)甚至泄漏損失非常巨大。數(shù)據(jù)中心與大數(shù)據(jù)安全風(fēng)險(xiǎn)分析數(shù)據(jù)中心和大數(shù)據(jù)環(huán)境下的安全風(fēng)險(xiǎn)分析如下：合規(guī)性風(fēng)險(xiǎn)：數(shù)據(jù)中心的建設(shè)需滿足等級(jí)保護(hù)或分級(jí)保護(hù)的標(biāo)準(zhǔn)，即需要建設(shè)安全技術(shù)、管理、運(yùn)維體系，達(dá)到可信、可控、可管的目標(biāo)。為了滿足合規(guī)性需求，需要在安全技術(shù)、運(yùn)維、管理等方面進(jìn)行更加靈活、冗余的建設(shè)?；A(chǔ)設(shè)施物理安全風(fēng)險(xiǎn)：物理層指的是整個(gè)網(wǎng)絡(luò)中存在的所有的信息機(jī)房、通信線路、硬件設(shè)備等，保證計(jì)算機(jī)信息系統(tǒng)基礎(chǔ)設(shè)施的物理安全是保障整個(gè)大數(shù)據(jù)平臺(tái)安全的前提。邊界安全風(fēng)險(xiǎn)：數(shù)據(jù)中心的邊界包括接入終端、服務(wù)器主機(jī)、網(wǎng)絡(luò)等，終端包括固定和移動(dòng)終端都存在被感染和控制的風(fēng)險(xiǎn)，服務(wù)器主機(jī)存在被入侵和篡改的風(fēng)險(xiǎn)，數(shù)據(jù)中心網(wǎng)絡(luò)存在入侵、攻擊、非法訪問(wèn)等風(fēng)險(xiǎn)。平臺(tái)安全風(fēng)險(xiǎn)：大數(shù)據(jù)平臺(tái)大多在設(shè)計(jì)之初對(duì)安全因素考慮較少，在身份認(rèn)證、訪問(wèn)控制授權(quán)、審計(jì)、數(shù)據(jù)安全方面較為薄弱，存在冒名、越權(quán)訪問(wèn)等風(fēng)險(xiǎn)，需要進(jìn)行全方位的安全加固。業(yè)務(wù)安全風(fēng)險(xiǎn)：大數(shù)據(jù)的應(yīng)用和業(yè)務(wù)是全新的模式，在代碼安全、系統(tǒng)漏洞、Web安全、訪問(wèn)和審計(jì)等多個(gè)方面存在安全風(fēng)險(xiǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)：由于數(shù)據(jù)集中、數(shù)據(jù)量大、數(shù)據(jù)價(jià)值大，在大數(shù)據(jù)環(huán)境下數(shù)據(jù)的安全尤為重要，數(shù)據(jù)的訪問(wèn)控制、保密性、完整性、可用性方面都存在嚴(yán)峻的安全風(fēng)險(xiǎn)。運(yùn)營(yíng)管理風(fēng)險(xiǎn)：安全技術(shù)和策略最終要通過(guò)安全運(yùn)營(yíng)管理來(lái)落實(shí)，安全運(yùn)營(yíng)管理非常重要，面臨管理疏漏、響應(yīng)不及時(shí)或力度不夠、安全監(jiān)控和分析復(fù)雜等風(fēng)險(xiǎn)。數(shù)據(jù)中心與大數(shù)據(jù)安全解決方案設(shè)計(jì)原則本方案需要充分考慮長(zhǎng)遠(yuǎn)發(fā)展需求，統(tǒng)一規(guī)劃、統(tǒng)一布局、統(tǒng)一設(shè)計(jì)、規(guī)范標(biāo)準(zhǔn)，并根據(jù)實(shí)際需要及投資金額，突出重點(diǎn)、分步實(shí)施，保證系統(tǒng)建設(shè)的完整性和投資的有效性。在方案設(shè)計(jì)和項(xiàng)目建設(shè)中應(yīng)當(dāng)遵循以下的原則：合規(guī)性和規(guī)范化原則安全規(guī)劃和建設(shè)應(yīng)嚴(yán)格遵循國(guó)家信息安全等級(jí)保護(hù)或分級(jí)保護(hù)標(biāo)準(zhǔn)和行業(yè)有關(guān)法律法規(guī)和技術(shù)規(guī)范的要求，同時(shí)兼顧參考國(guó)際上較為成熟的ISO27000、CSA的成熟范例，從技術(shù)、運(yùn)行管理等方面對(duì)項(xiàng)目的整體建設(shè)和實(shí)施進(jìn)行設(shè)計(jì)，充分體現(xiàn)標(biāo)準(zhǔn)化和規(guī)范化。國(guó)產(chǎn)自主化原則大數(shù)據(jù)中心信息的安全，關(guān)乎整個(gè)上層應(yīng)用的信息系統(tǒng)平穩(wěn)運(yùn)轉(zhuǎn)和工作正常開(kāi)展，采用國(guó)產(chǎn)化自主可控的硬件和軟件進(jìn)行數(shù)據(jù)中心和大數(shù)據(jù)安全，避免國(guó)外技術(shù)封鎖和后面帶來(lái)的根本性安全風(fēng)險(xiǎn)。適度安全原則任何信息系統(tǒng)都不能做到絕對(duì)的安全，在安全規(guī)劃過(guò)程中，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過(guò)多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。適度安全也是等級(jí)保護(hù)建設(shè)的初衷，因此該安全規(guī)劃在進(jìn)行設(shè)計(jì)的過(guò)程中，一方面要嚴(yán)格遵循基本要求，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、虛擬化、虛擬網(wǎng)絡(luò)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，另外也要綜合考慮業(yè)務(wù)和成本的因素，針對(duì)信息系統(tǒng)的實(shí)際風(fēng)險(xiǎn)，提出對(duì)應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。技術(shù)管理并重原則信息安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為信息安全問(wèn)題的全部是片面的，僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋所有的信息安全問(wèn)題，因此必須要把技術(shù)措施和管理措施結(jié)合起來(lái)，更有效的保障信息系統(tǒng)的整體安全性。先進(jìn)性和成熟性原則所建設(shè)的安全體系應(yīng)當(dāng)在設(shè)計(jì)理念、技術(shù)體系、產(chǎn)品選型等方面實(shí)現(xiàn)先進(jìn)性和成熟性的統(tǒng)一。首先，云產(chǎn)品必須成熟，更加遵守標(biāo)準(zhǔn)。第二，云供應(yīng)商必須與用戶簽署相關(guān)合同協(xié)議，這有助于客戶滿足云合規(guī)性的需求。并且，選擇目前和未來(lái)一定時(shí)期內(nèi)有代表性和先進(jìn)性的成熟的安全技術(shù)，既保證當(dāng)前系統(tǒng)的高安全可靠，又滿足系統(tǒng)在很長(zhǎng)生命周期內(nèi)有持續(xù)的可維護(hù)和可擴(kuò)展性。動(dòng)態(tài)調(diào)整原則信息安全問(wèn)題不是靜態(tài)的。信息系統(tǒng)安全保障體系的設(shè)計(jì)和建設(shè)，必須遵循動(dòng)態(tài)性原則。必須適應(yīng)不斷發(fā)展的信息技術(shù)和不斷改變的脆弱性，必須能夠及時(shí)地、不斷地改進(jìn)和完善系統(tǒng)的安全保障措施。保密原則項(xiàng)目的整體過(guò)程和結(jié)果應(yīng)嚴(yán)格保密，涉及項(xiàng)目的所有人員均需簽署保密協(xié)議，未經(jīng)授權(quán)，對(duì)項(xiàng)目涉及的任何信息不得泄露。總體架構(gòu)針對(duì)數(shù)據(jù)中心與大數(shù)據(jù)安全的安全分析，基于上述設(shè)計(jì)原則，數(shù)據(jù)中心與大數(shù)據(jù)安全的總體架構(gòu)如下：針對(duì)數(shù)據(jù)中心與大數(shù)據(jù)安全威脅的多樣化、體系化，防御體系利用先發(fā)優(yōu)勢(shì)，在各個(gè)層面進(jìn)行縱深覆蓋，實(shí)現(xiàn)風(fēng)險(xiǎn)分化、協(xié)同互補(bǔ)，構(gòu)建一套環(huán)環(huán)相扣的威脅感知、邊界安全防護(hù)、平臺(tái)安全防護(hù)、業(yè)務(wù)安全防護(hù)、數(shù)據(jù)安全防護(hù)多重縱深防御體系。從云端到終端、從業(yè)務(wù)到數(shù)據(jù)、從事前到事后，為數(shù)據(jù)中心提供無(wú)所不在的全方位保護(hù)，在大數(shù)據(jù)環(huán)境中為用戶提供多層次、多維度、體系化縱深防御的解決方案，綜合提升應(yīng)對(duì)新型安全威脅的能力，真正做到看得見(jiàn)的安全和有效安全。威脅感知：360建立了基于大數(shù)據(jù)安全分析和威脅情報(bào)的云計(jì)算中心，形成有效對(duì)抗新型威脅的防御和檢測(cè)體系，通過(guò)該體系，可以挖掘未知威脅、預(yù)知風(fēng)險(xiǎn)，全面、快速、準(zhǔn)確地感知過(guò)去、現(xiàn)在、為了的威脅態(tài)勢(shì)，同時(shí)經(jīng)過(guò)提煉后的情報(bào)信息會(huì)實(shí)時(shí)同步到邊界、業(yè)務(wù)、數(shù)據(jù)安全防護(hù)體系中，大幅提升邊界、平臺(tái)、業(yè)務(wù)、數(shù)據(jù)的整體安全防護(hù)能力。邊界安全防護(hù)：基于業(yè)務(wù)的風(fēng)險(xiǎn)和控制需求，劃分不同的物理/邏輯安全區(qū)域，在安全區(qū)域邊界、網(wǎng)絡(luò)出口邊界、無(wú)線接入邊界、終端接入邊界建立健全的邊界立體防控體系，基于天擎終端安全、天堤網(wǎng)關(guān)安全等產(chǎn)品實(shí)現(xiàn)邊界協(xié)同防御，同時(shí)通過(guò)與威脅情報(bào)中心的情報(bào)交互，以及流量的上下文情景感知分析，實(shí)現(xiàn)動(dòng)態(tài)策略自動(dòng)下發(fā)與阻斷，將已知或未知威脅阻斷在邊界之外，有效保護(hù)各邊界區(qū)域的網(wǎng)絡(luò)信息安全。平臺(tái)安全防護(hù)：通過(guò)建立大數(shù)據(jù)分布式環(huán)境中的4A體系（賬號(hào)Account、認(rèn)證Authentication、授權(quán)Authorization、審計(jì)Audit），保證只有具備合法賬號(hào)、通過(guò)身份認(rèn)證、經(jīng)過(guò)訪問(wèn)授權(quán)的人才能使用大數(shù)據(jù)平臺(tái)，且具備平臺(tái)各個(gè)系統(tǒng)使用和訪問(wèn)的集中統(tǒng)一審計(jì)與監(jiān)控。業(yè)務(wù)安全防護(hù)：通過(guò)對(duì)業(yè)務(wù)和應(yīng)用的深入分析，從業(yè)務(wù)系統(tǒng)的代碼缺陷、自身加固不足入手，再對(duì)用戶數(shù)據(jù)業(yè)務(wù)訪問(wèn)的行為詳細(xì)審計(jì)分析，進(jìn)行源代碼安全檢測(cè)、分析、溯源、缺陷管理，建立系統(tǒng)漏洞管理和響應(yīng)機(jī)制；對(duì)Web系統(tǒng)進(jìn)行安全掃描、監(jiān)測(cè)、防護(hù)；進(jìn)行日志、數(shù)據(jù)庫(kù)、大數(shù)據(jù)方面的審計(jì)。數(shù)據(jù)安全防護(hù)：對(duì)大數(shù)據(jù)平臺(tái)中的數(shù)據(jù)進(jìn)行加密和數(shù)據(jù)密級(jí)管理，基于分布式數(shù)據(jù)復(fù)制、校驗(yàn)等技術(shù)實(shí)現(xiàn)數(shù)據(jù)的完整性、可用性，通過(guò)網(wǎng)關(guān)敏感信息檢查、終端敏感信息檢查、終端數(shù)據(jù)加密實(shí)現(xiàn)數(shù)據(jù)的安全可控和防泄漏。數(shù)據(jù)中心和大數(shù)據(jù)安全體系的設(shè)計(jì)理念是在整體安全攻防體系下考慮大數(shù)據(jù)平臺(tái)和數(shù)據(jù)安全，主要特點(diǎn)如下：安全體系是一個(gè)整體：大數(shù)據(jù)安全不是孤立的，要基于整體安全攻防體系來(lái)構(gòu)建大數(shù)據(jù)安全。整體安全攻防體系包括威脅感知、邊界安全、平臺(tái)安全、業(yè)務(wù)安全、數(shù)據(jù)安全等。大數(shù)據(jù)環(huán)境的4A體系：在分布式、海量數(shù)據(jù)的大數(shù)據(jù)環(huán)境中，構(gòu)建用于大數(shù)據(jù)平臺(tái)內(nèi)所有系統(tǒng)的統(tǒng)一賬號(hào)（Account）、認(rèn)證（Authentication）、授權(quán)（Authorization）、審計(jì)（Audit）4A體系。大數(shù)據(jù)加密體系：所有數(shù)據(jù)加密存儲(chǔ)、加密傳輸，實(shí)現(xiàn)數(shù)據(jù)密級(jí)管理體系，根據(jù)不同密級(jí)的數(shù)據(jù)選擇不同強(qiáng)度加密算法、數(shù)據(jù)多層加密。差異化多級(jí)防御：不同安全產(chǎn)品基于不同安全技術(shù)從不同角度保護(hù)系統(tǒng)的安全，防止單點(diǎn)被突破后整體安全淪陷。安全威脅感知基于360云端大數(shù)據(jù)中心和企業(yè)本地大數(shù)據(jù)中心以及數(shù)據(jù)中心流量分析，安全威脅感知體系可以及時(shí)洞察展現(xiàn)數(shù)據(jù)中心的安全威脅和安全態(tài)勢(shì)。360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)NGSOC及時(shí)發(fā)現(xiàn)本地的威脅和異常，同時(shí)通過(guò)圖形化、可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢(shì)進(jìn)行展現(xiàn)。360天眼能夠?qū)ξ粗{的惡意行為實(shí)現(xiàn)早期的快速發(fā)現(xiàn)，并可對(duì)受害目標(biāo)及攻擊源頭進(jìn)行精準(zhǔn)定位，最終達(dá)到對(duì)入侵途徑及攻擊者背景的研判與溯源。360NGSOC和360天眼都基于云端威脅情報(bào)中心提供的可機(jī)讀威脅情報(bào)與本地流量數(shù)據(jù)相結(jié)合，威脅情況可以根據(jù)數(shù)據(jù)中心實(shí)際情況采取在線產(chǎn)線、云端推送、離線拷貝等多種靈活方式進(jìn)入數(shù)據(jù)中心。威脅態(tài)勢(shì)感知360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)NGSOC是基于360威脅情報(bào)和本地大數(shù)據(jù)技術(shù)的對(duì)用戶本地的安全數(shù)據(jù)進(jìn)行快速、自動(dòng)化的關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)本地的威脅和異常，同時(shí)通過(guò)圖形化、可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢(shì)展現(xiàn)給用戶的系統(tǒng)。360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)一方面可基于360自有的多維度海量互聯(lián)網(wǎng)安全數(shù)據(jù)，進(jìn)行情報(bào)挖掘與云端關(guān)聯(lián)分析，提前洞悉各種安全威脅，并將威脅情報(bào)以可機(jī)讀格式推送到本地系統(tǒng)，供本地威脅檢測(cè)和分析時(shí)使用，另一方面，360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)可對(duì)本地全量數(shù)據(jù)進(jìn)行采集和存儲(chǔ)，利用大數(shù)據(jù)技術(shù)在本地進(jìn)行安全數(shù)據(jù)分析和威脅溯源。整個(gè)設(shè)計(jì)將遵循發(fā)現(xiàn)、阻斷、取證、溯源、研判、拓展的安全業(yè)務(wù)閉環(huán)設(shè)計(jì)，使得用戶能通過(guò)產(chǎn)品各個(gè)功能模塊完成威脅處置的全過(guò)程。360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)NGSOC主要實(shí)現(xiàn)以下功能：日志檢索日志檢索APP的主要功能是對(duì)采集到的全量原始日志進(jìn)行快速檢索，可實(shí)現(xiàn)千億條日志秒級(jí)檢索的性能。關(guān)聯(lián)分析關(guān)聯(lián)分析APP是方便安全分析人員對(duì)多維度數(shù)據(jù)進(jìn)行關(guān)聯(lián)并分析攻擊路徑、取得攻擊證據(jù)鏈的工具。在此APP上安全分析員可以將原始網(wǎng)絡(luò)流量日志、原始主機(jī)日志、安全設(shè)備告警、威脅情報(bào)、互聯(lián)網(wǎng)基礎(chǔ)數(shù)據(jù)等多維度數(shù)據(jù)進(jìn)行關(guān)聯(lián)，尋找攻擊者的在內(nèi)網(wǎng)留下的痕跡，對(duì)攻擊進(jìn)行溯源和研判，并按照時(shí)間維度形成攻擊證據(jù)鏈。威脅情報(bào)利用通過(guò)從360云端獲取（在線查詢、云端推送或離線拷貝）可機(jī)讀威脅情報(bào)，本地系統(tǒng)可自動(dòng)創(chuàng)建分析規(guī)則，對(duì)本地網(wǎng)絡(luò)中采集的數(shù)據(jù)進(jìn)行實(shí)時(shí)比對(duì)比對(duì)，發(fā)現(xiàn)可疑的連接行為；同時(shí)，可利用威脅情報(bào)對(duì)歷史數(shù)據(jù)進(jìn)行比對(duì)，以發(fā)現(xiàn)曾經(jīng)發(fā)生過(guò)的APT攻擊行為或本地網(wǎng)絡(luò)中的Botnet主機(jī)，并可利用情報(bào)對(duì)安全事件進(jìn)行溯源分析。告警響應(yīng)中心360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)采集的數(shù)據(jù)維度較多，太多的日志和告警反而讓安全管理員無(wú)從下手。通過(guò)告警響應(yīng)中心，安全管理員可將多個(gè)不同維度的數(shù)據(jù)進(jìn)行關(guān)聯(lián)后再做研判，這樣可大大減少有效告警數(shù)量，提升安全管理效率。在告警響應(yīng)中心，安全管理員可將潛在的威脅的判定邏輯做成關(guān)聯(lián)規(guī)則，實(shí)時(shí)的發(fā)現(xiàn)符合威脅判定邏輯的內(nèi)網(wǎng)行為，并產(chǎn)生告警。在發(fā)現(xiàn)關(guān)聯(lián)告警后，安全管理員可將告警內(nèi)容和響應(yīng)建議通過(guò)郵件、短信等方式發(fā)送給指定的安全事件處置人員，或者將其推送到下級(jí)處置中心，如：天擎終端管控中心。在下級(jí)處置中心完成事件處置后，告警響應(yīng)中心會(huì)將告警事件標(biāo)記為“已處置”。報(bào)表中心提供豐富的報(bào)表管理功能；根據(jù)時(shí)間、數(shù)據(jù)類型等定期自動(dòng)生成報(bào)表，提供打印、導(dǎo)出以及郵件送達(dá)等服務(wù)；直觀地為管理員提供決策和分析的數(shù)據(jù)基礎(chǔ)，幫助管理員掌握網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的狀況。報(bào)表可以保存為HTML、EXCEL、文本、PDF、WORD、PNG等多種格式，提供報(bào)表模版的導(dǎo)入、導(dǎo)出功能，用戶可根據(jù)需求自定義相關(guān)報(bào)表模版進(jìn)行數(shù)據(jù)的導(dǎo)入、導(dǎo)出。網(wǎng)站監(jiān)控網(wǎng)站監(jiān)控APP是用于監(jiān)測(cè)網(wǎng)站安全性與可用性的系統(tǒng)，與常見(jiàn)監(jiān)控技術(shù)不同的是網(wǎng)站監(jiān)控APP采用了云掃描、互聯(lián)網(wǎng)漏洞眾測(cè)平臺(tái)及云多點(diǎn)探測(cè)等新技術(shù)，解決了以往網(wǎng)站監(jiān)測(cè)僅依靠本地漏洞掃描及人工值守存在的時(shí)效性和準(zhǔn)確性等問(wèn)題。網(wǎng)站監(jiān)控系統(tǒng)能通過(guò)云掃描技術(shù)對(duì)大量網(wǎng)站同時(shí)進(jìn)行漏洞掃描，并具備篡改、掛馬及暗鏈的發(fā)現(xiàn)能力，通過(guò)互聯(lián)網(wǎng)漏洞眾測(cè)平臺(tái)保證漏洞（包括WEB0Day）發(fā)現(xiàn)的準(zhǔn)確性及時(shí)效性，通過(guò)云多點(diǎn)監(jiān)測(cè)全天候?qū)Υ罅烤W(wǎng)站進(jìn)行可用性監(jiān)測(cè)。安全儀表板利用系統(tǒng)采集的海量數(shù)據(jù)，并根據(jù)用戶不同的安全分析應(yīng)用場(chǎng)景，精心定義了四類不同的安全儀表板，分別為資產(chǎn)威脅視圖、互聯(lián)網(wǎng)威脅視圖、安全告警視圖、資產(chǎn)安全監(jiān)控視圖。資產(chǎn)威脅視圖中定義了內(nèi)網(wǎng)資產(chǎn)拓?fù)?、資產(chǎn)安全事件告警及漏洞統(tǒng)計(jì)、資產(chǎn)風(fēng)險(xiǎn)統(tǒng)計(jì)、組件狀態(tài)等儀表板；互聯(lián)網(wǎng)威脅視圖中定義了外部威脅視圖、外聯(lián)安全事件告警統(tǒng)計(jì)、外聯(lián)安全事件告警詳情等儀表板；安全告警視圖中主要定義了安全事件告警詳情、安全事件告警處置、安全事件處置狀態(tài)等儀表板；資產(chǎn)安全監(jiān)控視圖中主要定義了安全域資產(chǎn)信息統(tǒng)計(jì)、安全域各維度告警及風(fēng)險(xiǎn)統(tǒng)計(jì)、安全域所包含資產(chǎn)的漏洞詳情等儀表板。通過(guò)這些儀表板的使用，極大提高了安全事件的可視化展現(xiàn)能力，同時(shí)幫助分析人員從視圖中快速發(fā)現(xiàn)異常，提供深入分析的線索?？梢暬氖录菰捶治鐾ㄟ^(guò)利用威脅情報(bào)發(fā)現(xiàn)APT攻擊或Botnet主機(jī)后，可進(jìn)一步通過(guò)系統(tǒng)提供的可視化分析工具和海量的云端安全數(shù)據(jù)，對(duì)事件進(jìn)行溯源分析，在互聯(lián)網(wǎng)范圍內(nèi)發(fā)現(xiàn)類似的攻擊事件，找出攻擊事件背后的團(tuán)伙和實(shí)際的攻擊者，提高分析人員對(duì)安全事件的溯源分析能力。態(tài)勢(shì)感知大屏態(tài)勢(shì)感知大屏APP提供4種面向不同安全場(chǎng)景的態(tài)勢(shì)監(jiān)控界面：APT攻擊態(tài)勢(shì)、DDoS攻擊態(tài)勢(shì)、僵木蠕毒安全態(tài)勢(shì)和網(wǎng)站安全態(tài)勢(shì)。大數(shù)據(jù)安全分析360天眼新一代威脅感知系統(tǒng)（以下簡(jiǎn)稱“天眼”）可基于360自有的多維度海量互聯(lián)網(wǎng)數(shù)據(jù)，進(jìn)行自動(dòng)化挖掘與云端關(guān)聯(lián)分析，提前洞悉各種安全威脅，并向客戶推送定制的專屬威脅情報(bào)。同時(shí)結(jié)合部署在客戶本地的大數(shù)據(jù)平臺(tái)，進(jìn)行本地流量深度分析。360天眼能夠?qū)ξ粗{的惡意行為實(shí)現(xiàn)早期的快速發(fā)現(xiàn)，并可對(duì)受害目標(biāo)及攻擊源頭進(jìn)行精準(zhǔn)定位，最終達(dá)到對(duì)入侵途徑及攻擊者背景的研判與溯源，幫助企業(yè)防患于未察。360天眼的功能如下：天眼分析平臺(tái)威脅感知能夠接收云端提供的威脅情報(bào)，對(duì)網(wǎng)絡(luò)中的威脅事件進(jìn)行發(fā)現(xiàn)和告警威脅情報(bào)可支持在線和離線升級(jí)兩種方式對(duì)于重要的未知威脅告警，將告知客戶攻擊背景信息可提供未知威脅在本地發(fā)生的具體時(shí)間和受害主機(jī)地址能夠?qū)ξ粗婢氖芎P進(jìn)行搜索能夠?qū)ξ粗{告警進(jìn)行處理，可設(shè)置已處理、未處理、忽略等狀態(tài)威脅詳情展示，以時(shí)間軸的方式展示日志分布，和螺旋圖形成兩套可選方案，用戶自行選擇點(diǎn)擊圖標(biāo)切換兩種顯示方式。用戶點(diǎn)擊后可保存當(dāng)前選擇為后續(xù)的默認(rèn)選擇提供告警數(shù)據(jù)導(dǎo)出功能，以excel表格式導(dǎo)出告警數(shù)據(jù)日志檢索可對(duì)TB級(jí)日志做到快速搜索，搜索時(shí)間小于30s可將日志區(qū)分為普通流量日志和告警日志，并可按照不同的日志類型就行日志篩選網(wǎng)絡(luò)流量日志至少包含DNS、HTTP、TCP、FTP、LDAP、SMTP、IMAP、POP3等網(wǎng)絡(luò)流量行為日志，并可按照以上應(yīng)用協(xié)議的各個(gè)關(guān)鍵字段搜索日志流量日志記錄至少包含以下字段：時(shí)間、IP、IP地理位置、端口、域名、HTTP頭信息、SQL語(yǔ)句、郵件收件人和發(fā)件人、文件名、文件MD5、應(yīng)用層payload前100字節(jié)?？蓪?duì)流量日志的關(guān)鍵字段進(jìn)行追加搜索，從上一次的搜索結(jié)果中重新按照新的規(guī)則搜索日志可將IP地址的地理位置信息及AS號(hào)解析出來(lái)可展示日志的時(shí)間分布支持日志導(dǎo)出可篩選關(guān)鍵字段展示，隱藏不必要的日志信息所有日志均可以標(biāo)準(zhǔn)化接口形式提供可以搜索文件訪問(wèn)行為，并展示還原流量中文件的MD5和文件名支持搜索歷史記錄，點(diǎn)擊后可重新搜索支持規(guī)則搜藏，導(dǎo)入導(dǎo)出支持基于選擇字段的快速搜索支持lucence語(yǔ)法高級(jí)搜索支持搜索結(jié)果導(dǎo)出，以excel格式導(dǎo)出，導(dǎo)出條目數(shù)不超過(guò)5000操作審計(jì)功能提供審計(jì)日志功能，能夠記錄所有對(duì)產(chǎn)品的配置修改、數(shù)據(jù)修改、數(shù)據(jù)檢索、登錄登出等操作。提供審計(jì)日志篩選搜索功能，能夠按照時(shí)間段、角色、用戶、操作類型篩選審計(jì)日志提供審計(jì)日志展示功能，可以展示操作日志的操作時(shí)間、角色、用戶、用戶登錄IP、操作類型和具體操作細(xì)節(jié)。提供審計(jì)日志統(tǒng)計(jì)功能，可以按照時(shí)間軸展示時(shí)間軸上操作數(shù)量的分布，時(shí)間軸可以圈選、拖動(dòng)、同日志檢索系統(tǒng)的時(shí)間軸狀態(tài)顯示功能一周日志統(tǒng)計(jì)功能，當(dāng)前時(shí)間向前7天的每日日志數(shù)量趨勢(shì)，統(tǒng)計(jì)本周日志總量。一周告警統(tǒng)計(jì)功能，包含APT和非APT的比例和條目數(shù)集群狀態(tài)展示，展示集群服務(wù)器數(shù)量，集群狀態(tài)，各服務(wù)器數(shù)據(jù)盤(pán)占用率以及主從情報(bào)信息，展示情報(bào)總量，更新次數(shù)和最近更新日期系統(tǒng)信息，分析平臺(tái)當(dāng)前節(jié)點(diǎn)的CPU、內(nèi)存占用證書(shū)信息，當(dāng)前系統(tǒng)的證書(shū)類型，服務(wù)起止時(shí)間，情報(bào)時(shí)間聯(lián)動(dòng)設(shè)備狀態(tài)信息，聯(lián)動(dòng)設(shè)備的連接狀態(tài)，設(shè)備以設(shè)備名，綠色連接正常，紅色鏈接異常。管理功能能夠支持時(shí)間同步，支持NTPV4.0協(xié)議能夠提供網(wǎng)絡(luò)管理功能，可進(jìn)行靜態(tài)路由配置多次登錄失敗將鎖定賬號(hào)5分鐘內(nèi)不得登錄可支持在線升級(jí)和離線升級(jí)兩種升級(jí)方式，并支持定時(shí)自動(dòng)升級(jí)可實(shí)時(shí)監(jiān)控設(shè)備的CPU、內(nèi)存、存儲(chǔ)空間使用情況。可新增并管理用戶，可控制用戶使用權(quán)限。權(quán)限包含：管理權(quán)限、應(yīng)用權(quán)限、設(shè)備權(quán)限、數(shù)據(jù)權(quán)限等?？芍С钟脩舫醮蔚顷憦?qiáng)制修改密碼功能。部署情況可支持集群部署，可水平擴(kuò)展至多臺(tái)設(shè)備集群，以應(yīng)對(duì)大量數(shù)據(jù)情況，可支持PB級(jí)數(shù)據(jù)檢索。天眼傳感器威脅檢測(cè)提供對(duì)常見(jiàn)掃描行為的檢測(cè)能力能夠檢測(cè)常見(jiàn)的遠(yuǎn)控木馬行為提供對(duì)主要Web應(yīng)用攻擊的檢測(cè)能力，包括：注入、跨站、webshell、命令執(zhí)行、文件包含等；流量記錄能夠?qū)W(wǎng)絡(luò)通信行為進(jìn)行還原和記錄，以供安全人員進(jìn)行取證分析，還原內(nèi)容包括：TCP會(huì)話記錄、Web訪問(wèn)記錄、SQL訪問(wèn)記錄、DNS解析記錄、文件傳輸行為、LDAP登錄行為。支持對(duì)流量中出現(xiàn)文件傳輸行為進(jìn)行發(fā)現(xiàn)和還原，將文件MD5發(fā)送至分析平臺(tái)可以支持MSSQL、MYSQL、ORACLE三種sql協(xié)議的分析和還原文件還原可分析的文件傳輸協(xié)議包括：郵件（SMTP、POP3、IMAP、webmail）、Web（HTTP）、FTP、SMB支持對(duì)常見(jiàn)可執(zhí)行文件的還原：EXE、DLL、OCX、SYS、COM、apk等支持對(duì)常見(jiàn)壓縮格式的還原：RAR、ZIP、GZ、7Z等支持常見(jiàn)的文檔類型的還原：word、excel、pdf、rtf、ppt等管理功能能夠支持時(shí)間同步，支持NTPV4.0協(xié)議能夠提供網(wǎng)絡(luò)管理功能，可進(jìn)行靜態(tài)路由配置多次登錄失敗將鎖定賬號(hào)5分鐘內(nèi)不得登錄可支持在線升級(jí)和離線升級(jí)倆種升級(jí)方式，并支持定時(shí)自動(dòng)升級(jí)可支持用戶初次登陸強(qiáng)制修改密碼功能?？蓪?shí)時(shí)監(jiān)控設(shè)備的CPU、內(nèi)存、存儲(chǔ)空間使用情況。能夠監(jiān)控監(jiān)聽(tīng)接口的實(shí)時(shí)流量情況可以分析統(tǒng)計(jì)1天或1周時(shí)間內(nèi)的文件還原數(shù)量情況可以分析統(tǒng)計(jì)1天或1周時(shí)間內(nèi)的各個(gè)應(yīng)用流量的大小和分布情況。部署情況可支持旁路部署，對(duì)鏡像流量進(jìn)行監(jiān)聽(tīng)可支持IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)兩種部署場(chǎng)景，可對(duì)兩種網(wǎng)絡(luò)流量均進(jìn)行分析還原?？芍С址植际讲渴?，可以多臺(tái)采集器同時(shí)部署于客戶網(wǎng)絡(luò)不同位置并將數(shù)據(jù)傳輸?shù)酵惶追治銎脚_(tái)威脅情報(bào)中心360威脅情報(bào)中心是中國(guó)首個(gè)面向企業(yè)和機(jī)構(gòu)的互聯(lián)網(wǎng)威脅情報(bào)整合專業(yè)機(jī)構(gòu)。中心以業(yè)界領(lǐng)先的安全大數(shù)據(jù)資源為基礎(chǔ)，基于360長(zhǎng)期積累的核心安全技術(shù)，依托亞太地區(qū)頂級(jí)的安全人才團(tuán)隊(duì)，通過(guò)強(qiáng)大的大數(shù)據(jù)能力，實(shí)現(xiàn)全網(wǎng)威脅情報(bào)的即時(shí)、全面、深入的整合與分析，為監(jiān)管部門(mén)提供網(wǎng)絡(luò)威脅預(yù)警與情報(bào)。360威脅情報(bào)中心提供兩種使用方式，一是通過(guò)訪問(wèn)威脅情報(bào)中心網(wǎng)站查詢數(shù)據(jù)，二是調(diào)用威脅情報(bào)中心的API接口直接調(diào)用數(shù)據(jù)。用戶可通過(guò)威脅情報(bào)中心網(wǎng)站（）查看360公司最新發(fā)布的網(wǎng)絡(luò)安全事件報(bào)告，并可對(duì)360云端數(shù)據(jù)進(jìn)行搜索和分析。360威脅情報(bào)中心遵循RESTAPI標(biāo)準(zhǔn)提供接口訪問(wèn)，實(shí)現(xiàn)如下功能：域名分析：獲取域名對(duì)應(yīng)的IP地址、IP地址相關(guān)地理位置信息、當(dāng)前和歷史Whois信息、威脅類型、相關(guān)樣本信息、遞歸解析域名的客戶端ID、相關(guān)攻擊團(tuán)伙或安全事件信息。IP分析：獲取IP所屬地、相關(guān)域名、AS域、威脅類型、相關(guān)樣本信息、相關(guān)攻擊團(tuán)伙或安全事件信息。MD5分析：獲取樣本的首次發(fā)現(xiàn)時(shí)間、創(chuàng)建時(shí)間、文件大小，檢測(cè)結(jié)果、上傳樣本客戶端MID信息。邊界安全防護(hù)邊界安全防護(hù)是在數(shù)據(jù)中心的各個(gè)邊界區(qū)域和點(diǎn)進(jìn)行防護(hù)，阻止入侵者進(jìn)入核心系統(tǒng)，邊界安全防護(hù)包括數(shù)據(jù)中心的終端安全、主機(jī)安全和網(wǎng)絡(luò)安全。終端安全保護(hù)接入大數(shù)據(jù)平臺(tái)的PC終端的安全，采用360天擎實(shí)現(xiàn)病毒/木馬防護(hù)、終端審計(jì)、合規(guī)管理、軟件管理、資產(chǎn)管理、邊界聯(lián)動(dòng)等。主機(jī)安全保護(hù)數(shù)據(jù)中心物理服務(wù)器和云主機(jī)的安全，采用360天擎進(jìn)行主機(jī)病毒/木馬防護(hù)和補(bǔ)丁管理，采用主機(jī)加固降低主機(jī)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全首先做好安全區(qū)域劃分，采用網(wǎng)神SecGate3600下一代防火墻進(jìn)行網(wǎng)絡(luò)隔離，采用網(wǎng)閘實(shí)現(xiàn)單向網(wǎng)絡(luò)訪問(wèn)，采用DDoS清理抵抗網(wǎng)絡(luò)攻擊，采用SSLVPN實(shí)現(xiàn)安全接入，采用360天巡防控?zé)o線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。終端安全在終端上在部署360天擎終端安全管理系統(tǒng)，實(shí)現(xiàn)終端安全防護(hù)，包括Windows系統(tǒng)終端和Linux系統(tǒng)終端。360天擎終端安全管系統(tǒng)是360面向政府、企業(yè)、金融、軍隊(duì)、醫(yī)療、教育、制造業(yè)等大型企事業(yè)單位推出的集防病毒與終端安全管控于一體的解決方案。360天擎終端安全管理系統(tǒng)，以大數(shù)據(jù)技術(shù)為支撐、以可靠服務(wù)為保障，它能夠?yàn)橛脩艟_檢測(cè)已知病毒木馬、未知惡意代碼，有效防御APT攻擊，并提供終端資產(chǎn)管理、漏洞補(bǔ)丁管理、安全運(yùn)維管控、網(wǎng)絡(luò)安全準(zhǔn)入、移動(dòng)存儲(chǔ)管理、終端安全審計(jì)、XP盾甲防護(hù)諸多功能。 360天擎的主要功能如下：病毒/木馬防護(hù)天擎終端安全管理系統(tǒng)支持對(duì)蠕蟲(chóng)病毒、惡意軟件、廣告軟件、勒索軟件、引導(dǎo)區(qū)病毒、BIOS病毒的查殺，這依賴于QVM人工智能引擎、云查殺引擎、AVE（針對(duì)可執(zhí)行文件的引擎）、QEX（針對(duì)非可執(zhí)行文件的引擎）等多引擎的協(xié)同工作。補(bǔ)丁管理在企業(yè)的數(shù)據(jù)中心和辦公網(wǎng)絡(luò)中存在各種不同類型的操作系統(tǒng)及不同版本的操作系統(tǒng)都需要管理員進(jìn)行全面的補(bǔ)丁管理，管理員往往需要甄別不同的操作系統(tǒng)并根據(jù)各個(gè)系統(tǒng)的不同情況有選擇性的下發(fā)系統(tǒng)補(bǔ)丁，服務(wù)器系統(tǒng)尤為復(fù)雜，需要管理員將補(bǔ)丁與服務(wù)器應(yīng)用進(jìn)行兼容性測(cè)試后才能對(duì)相應(yīng)的服務(wù)器進(jìn)行補(bǔ)丁升級(jí)操作。天擎終端安全管理系統(tǒng)可以對(duì)全網(wǎng)計(jì)算機(jī)進(jìn)行漏洞掃描把計(jì)算機(jī)與漏洞進(jìn)行多維關(guān)聯(lián)，可以根據(jù)終端或漏洞進(jìn)行分組管理，并且能夠根據(jù)不同的計(jì)算機(jī)分組與操作系統(tǒng)類型將補(bǔ)丁錯(cuò)峰下發(fā)，在保障企業(yè)網(wǎng)絡(luò)帶寬的前提下可以有效提升企業(yè)整體漏洞防護(hù)等級(jí)。資產(chǎn)管理天擎終端安全管理系統(tǒng)具有強(qiáng)大的終端發(fā)現(xiàn)功能，管理員可以通過(guò)定義網(wǎng)絡(luò)IP段分組，對(duì)指定的網(wǎng)絡(luò)分組進(jìn)行周期性地發(fā)現(xiàn)（采用多協(xié)議、多機(jī)制方式）與統(tǒng)計(jì)網(wǎng)絡(luò)中的終端數(shù)量及類型。管理員通過(guò)此功能，了解全網(wǎng)終端數(shù)量和天擎終端的安裝量，為企業(yè)終端安全管理運(yùn)維提供有效的參考。軟件管理天擎終端安全管理系統(tǒng)獨(dú)有的企業(yè)軟件管家功能不但能夠統(tǒng)計(jì)全網(wǎng)終端的軟件部署情況，還可以根據(jù)企業(yè)不同部門(mén)進(jìn)行終端分組，并對(duì)不同分組分發(fā)不同軟件，實(shí)現(xiàn)遠(yuǎn)程部署、遠(yuǎn)程通知安裝等方式。天擎企業(yè)軟件管家集軟件下載、升級(jí)、卸載等功能于一體，為企業(yè)提供必要的一站式軟件管理服務(wù)。通過(guò)使用企業(yè)軟件服務(wù)，可以避免來(lái)源不明的軟件的安裝和運(yùn)行帶來(lái)的各種風(fēng)險(xiǎn)（如含有惡意代碼或者木馬程序），又可能合理分配和控制企業(yè)購(gòu)買的軟件許可證。終端安全管控終端安全運(yùn)維管控包含對(duì)終端的流量管理、非法外聯(lián)、應(yīng)用程序安全、網(wǎng)絡(luò)安全、外設(shè)、桌面安全加固等。移動(dòng)存儲(chǔ)介質(zhì)管理天擎終端安全管理系統(tǒng)，能夠?qū)崿F(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的靈活管控，保證終端與移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)交換和共享過(guò)程中的信息安全要求。移動(dòng)存儲(chǔ)管理包括移動(dòng)存儲(chǔ)介質(zhì)的身份注冊(cè)、網(wǎng)內(nèi)終端授權(quán)管理、移動(dòng)介質(zhì)掛失管理、外出管理和終端設(shè)備例外等功能。綜合安全評(píng)估評(píng)估中心通過(guò)對(duì)內(nèi)網(wǎng)終端的配置脆弱程度、終端數(shù)據(jù)價(jià)值和終端淪陷跡象進(jìn)行評(píng)估，實(shí)現(xiàn)對(duì)網(wǎng)內(nèi)終端安全性、核心數(shù)據(jù)終端以及終端使用痕跡的實(shí)時(shí)掌握，支持不同分組執(zhí)行不同任務(wù)，以及對(duì)任務(wù)的優(yōu)先級(jí)進(jìn)行排序。終端強(qiáng)制合規(guī)NAC天擎強(qiáng)制合規(guī)（NAC）組件主要為企事業(yè)單位解決入網(wǎng)安全合規(guī)性要求，實(shí)現(xiàn)用戶和設(shè)備的網(wǎng)絡(luò)實(shí)名制認(rèn)證管理、網(wǎng)絡(luò)邊界安全防護(hù)管理、核心業(yè)務(wù)訪問(wèn)準(zhǔn)入等問(wèn)題。用于防止企業(yè)網(wǎng)絡(luò)資源不受設(shè)備接入所引起的各種威脅，在有效管理用戶接入網(wǎng)絡(luò)行為的同時(shí)，也達(dá)到了規(guī)范化地管理計(jì)算機(jī)終端的目的。終端審計(jì)隨著信息安全技術(shù)和理念的發(fā)展，安全監(jiān)控的關(guān)注點(diǎn)已經(jīng)從設(shè)備轉(zhuǎn)向?qū)τ谠O(shè)備使用者的行為，用戶對(duì)于設(shè)備使用人行為審計(jì)和行為控制的需求越來(lái)越明顯，天擎終端安全管理系統(tǒng)通過(guò)技術(shù)手段使各種管理?xiàng)l例落地，增強(qiáng)用戶的安全和保密意識(shí)，保護(hù)內(nèi)部的信息不外泄。所審計(jì)的內(nèi)容只是跟內(nèi)網(wǎng)安全合規(guī)管理相關(guān)的信息，不對(duì)涉及終端用戶的個(gè)人隱私信息，達(dá)到合規(guī)管理的審計(jì)的要求。邊界聯(lián)動(dòng)防御天擎終端安全管理系統(tǒng)可以與360的邊界防護(hù)設(shè)備——天眼新一代未知威脅感知系統(tǒng)進(jìn)行聯(lián)動(dòng)，借助360天眼的深度檢測(cè)能力，結(jié)合天擎終端上的精確防御能力，實(shí)現(xiàn)對(duì)PC終端的攻擊防御。主機(jī)安全數(shù)據(jù)中心的主機(jī)包括物理服務(wù)器和虛擬化云主機(jī)，所有主機(jī)都面臨入侵和攻擊的風(fēng)險(xiǎn)。主機(jī)安全主要包括兩個(gè)方面：在主機(jī)上部署病毒/木馬查殺軟件360天擎，包括Linux和Windows系統(tǒng)，降低病毒/木馬入侵主機(jī)和蔓延的風(fēng)險(xiǎn)。對(duì)主機(jī)進(jìn)行加固，降低主機(jī)遭受攻擊和入侵的風(fēng)險(xiǎn)。對(duì)于數(shù)據(jù)中心的服務(wù)器和云主機(jī)，無(wú)論系統(tǒng)或應(yīng)用本身安全與否，都可能存在漏洞，安全管理員應(yīng)負(fù)責(zé)定期（例如1月/次）對(duì)包括物理服務(wù)器和云主機(jī)等進(jìn)行安全加固。系統(tǒng)加固策略包括：使用GRUB的password參數(shù)對(duì)GRUB設(shè)置密碼，防止通過(guò)編輯GRUB啟動(dòng)參數(shù)輕松的進(jìn)入單用戶模式從而修改root密碼，從而造成安全隱患；對(duì)ssh服務(wù)進(jìn)行加固，關(guān)閉root賬號(hào)遠(yuǎn)程連接，不允許使用空密碼用戶遠(yuǎn)程登錄，設(shè)置最大登錄嘗試次數(shù)為3；對(duì)xinetd服務(wù)進(jìn)行加固，根據(jù)最少服務(wù)原則,凡是不需要的服務(wù)一律禁用，減少系統(tǒng)所暴露攻擊面，從而提高系統(tǒng)的安全性；清理無(wú)主的文件，防止賬號(hào)刪除后系統(tǒng)殘留未知文件；刪除非授權(quán)文件的全局可寫(xiě)屬性，控制文件的可寫(xiě)操作權(quán)限，避免任何人都具有寫(xiě)權(quán)限的目錄或文件存在；設(shè)置守護(hù)進(jìn)程umask值，控制守護(hù)進(jìn)程訪問(wèn)權(quán)限范圍；為指定分區(qū)設(shè)置nodev掛載項(xiàng)，限制訪問(wèn)該文件系統(tǒng)上的文件；限制at、cron定時(shí)任務(wù)命令的使用權(quán)限虛擬化層防護(hù)；對(duì)于重要文件設(shè)置只有root可讀、寫(xiě)和執(zhí)行，主要檢查目錄為/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；檢查未授權(quán)SUID/SGID文件，可通過(guò)對(duì)比SUID/SGID文件列表及時(shí)發(fā)現(xiàn)可疑后門(mén)程序；檢查異常隱藏的文件的存在；開(kāi)啟TCPsynccookie保護(hù)；關(guān)閉系統(tǒng)coredump狀態(tài)；開(kāi)啟syslog服務(wù)記錄用戶登錄、sudo操作等日志；網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是邊界安全防護(hù)的重要部分，保護(hù)數(shù)據(jù)中心的網(wǎng)絡(luò)與外界隔離、防止外部入侵和攻擊，同時(shí)實(shí)現(xiàn)安全遠(yuǎn)程連接、數(shù)據(jù)安全導(dǎo)入。根據(jù)不通的系統(tǒng)功能、安全需求將數(shù)據(jù)中心網(wǎng)絡(luò)劃分為十個(gè)安全域，每個(gè)區(qū)域采取不同的網(wǎng)絡(luò)隔離策略和訪問(wèn)控制，限制各個(gè)區(qū)之間的網(wǎng)絡(luò)通信，從而降低網(wǎng)絡(luò)整體失陷的風(fēng)險(xiǎn)。采用網(wǎng)神SecGate3600防火墻保護(hù)數(shù)據(jù)中心網(wǎng)絡(luò)邊界，同時(shí)具備網(wǎng)絡(luò)入侵檢測(cè)和防御的功能。采用網(wǎng)神SecSIS3600網(wǎng)閘實(shí)現(xiàn)數(shù)據(jù)中心與外界進(jìn)行安全可控的數(shù)據(jù)交互，降低數(shù)據(jù)采集、交換過(guò)程中的風(fēng)險(xiǎn)。采用網(wǎng)神SecSSL3600安全接入網(wǎng)關(guān)實(shí)現(xiàn)通過(guò)網(wǎng)絡(luò)安全接入數(shù)據(jù)中心，保證傳輸信道加密和審計(jì)可控，為運(yùn)維、開(kāi)發(fā)人員提供安全接入堡壘機(jī)。采用網(wǎng)神SecGate3600安全網(wǎng)關(guān)抗拒絕服務(wù)系統(tǒng)抵御DDoS攻擊，保證數(shù)據(jù)中心網(wǎng)絡(luò)和服務(wù)的可用性。采用360天巡無(wú)線入侵防御系統(tǒng)，防止有人在數(shù)據(jù)中心通過(guò)私建wifi熱點(diǎn)等無(wú)線通信方式帶來(lái)網(wǎng)絡(luò)風(fēng)險(xiǎn)。安全區(qū)域劃分根據(jù)系統(tǒng)功能、安全需求不同進(jìn)行網(wǎng)絡(luò)區(qū)域劃分，整個(gè)網(wǎng)絡(luò)劃分為數(shù)據(jù)源區(qū)、運(yùn)維接入?yún)^(qū)、業(yè)務(wù)安全接入?yún)^(qū)、運(yùn)維管理區(qū)、安全服務(wù)區(qū)、帶外管理區(qū)、大數(shù)據(jù)平臺(tái)核心區(qū)、云平臺(tái)核心區(qū)、大數(shù)據(jù)平臺(tái)和云平臺(tái)十個(gè)部分，通過(guò)核心交換區(qū)及在各區(qū)域邊界配置相應(yīng)策略，實(shí)現(xiàn)在各個(gè)區(qū)域之間的訪問(wèn)控制。安全域劃分示意圖如下所示：數(shù)據(jù)源區(qū)——與大數(shù)據(jù)平臺(tái)核心區(qū)連通，主要是及大流量和大數(shù)據(jù)的輸入?yún)^(qū)域，根據(jù)應(yīng)用需求設(shè)置相應(yīng)策略，允許大數(shù)據(jù)平臺(tái)區(qū)的安全訪問(wèn)，禁止其他安全區(qū)域的直接訪問(wèn)。運(yùn)維接入?yún)^(qū)——提供專屬的區(qū)域給運(yùn)維人員使用，根據(jù)訪問(wèn)的目標(biāo)類型設(shè)置不同安全策略。業(yè)務(wù)安全接入?yún)^(qū)——提供專屬的區(qū)域給進(jìn)行業(yè)務(wù)操作使用的人員，根據(jù)訪問(wèn)業(yè)務(wù)目標(biāo)的重要性，設(shè)置不同的安全策略。為內(nèi)部用戶提供業(yè)務(wù)接入服務(wù)，與其他區(qū)域進(jìn)行邊界隔離，允許本區(qū)域按照工作需要訪問(wèn)安全服務(wù)區(qū)，允許本區(qū)域按照運(yùn)維管理區(qū)的要求上報(bào)運(yùn)維管理信息，禁止本區(qū)域主動(dòng)訪問(wèn)其他區(qū)域。運(yùn)維管理區(qū)——負(fù)責(zé)管理與監(jiān)控整個(gè)網(wǎng)絡(luò)的安全與應(yīng)用系統(tǒng)的運(yùn)行，本安全域與與其他區(qū)域進(jìn)行邊界隔離，允許本區(qū)域主動(dòng)訪問(wèn)其他區(qū)域，并允許其他安全域按照安全管理要求上報(bào)信息。禁止其他區(qū)域主動(dòng)訪問(wèn)本區(qū)域。主要部署邊界訪問(wèn)控制、WEB應(yīng)用防護(hù)、統(tǒng)一用戶和側(cè)策略管理、PKI/CA體系、漏掃、惡意代碼防護(hù)管理端、安全管理中心等安全設(shè)備。大數(shù)據(jù)平臺(tái)核心區(qū)——作為整個(gè)大數(shù)據(jù)網(wǎng)絡(luò)的核心，負(fù)責(zé)轉(zhuǎn)發(fā)網(wǎng)絡(luò)中所有的大數(shù)據(jù)交互數(shù)據(jù)；同時(shí)對(duì)于網(wǎng)絡(luò)中各個(gè)區(qū)域之間的數(shù)據(jù)交換做合理的訪問(wèn)控制，允許云平臺(tái)核心區(qū)、業(yè)務(wù)接入?yún)^(qū)、數(shù)據(jù)源區(qū)、安全服務(wù)器、帶外管理區(qū)和運(yùn)維管理區(qū)的訪問(wèn)，禁止其他區(qū)域接入。云平臺(tái)核心區(qū)——作為整個(gè)云平臺(tái)網(wǎng)絡(luò)的核心，負(fù)責(zé)轉(zhuǎn)發(fā)網(wǎng)絡(luò)中所有的虛擬化環(huán)境和外部區(qū)域的交互數(shù)據(jù)；同時(shí)對(duì)于網(wǎng)絡(luò)中各個(gè)區(qū)域之間的數(shù)據(jù)交換做合理的訪問(wèn)控制，允許大數(shù)據(jù)平臺(tái)核心區(qū)、業(yè)務(wù)安全接入?yún)^(qū)、運(yùn)維接入?yún)^(qū)、帶外管理區(qū)和運(yùn)維管理區(qū)的訪問(wèn)，禁止其他區(qū)域接入。安全服務(wù)區(qū)——作為提供應(yīng)用服務(wù)的區(qū)域，將所有應(yīng)用系統(tǒng)中不直接對(duì)用戶提供服務(wù)的服務(wù)器都部署在本區(qū)域。安全服務(wù)區(qū)劃分子域，每一個(gè)應(yīng)用系統(tǒng)的應(yīng)用服務(wù)為一個(gè)子域，各子域之間通過(guò)網(wǎng)絡(luò)策略隔離。本安全域與與其他區(qū)域進(jìn)行邊界隔離，允許業(yè)務(wù)安全接入?yún)^(qū)根據(jù)應(yīng)用系統(tǒng)的業(yè)務(wù)需求訪問(wèn)本區(qū)域，允許本區(qū)域按照運(yùn)維管理區(qū)的要求上報(bào)運(yùn)維管理信息，禁止業(yè)務(wù)安全接入?yún)^(qū)和運(yùn)維管理區(qū)以外的安全域直接訪問(wèn)本區(qū)域。帶外管理區(qū)——作為獨(dú)立區(qū)域進(jìn)行相關(guān)網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備的單獨(dú)管理區(qū)域，允許運(yùn)維接入?yún)^(qū)、大數(shù)據(jù)平臺(tái)核心區(qū)和云平臺(tái)核心區(qū)的安全接入。禁止除該區(qū)域之外的安全域訪問(wèn)本區(qū)域。大數(shù)據(jù)平臺(tái)區(qū)——提供大數(shù)據(jù)平臺(tái)服務(wù)的業(yè)務(wù)區(qū)域，所有大數(shù)據(jù)應(yīng)用系統(tǒng)的大數(shù)據(jù)處理服務(wù)器和大數(shù)據(jù)展示都部署在本區(qū)域。本安全域與其他區(qū)域進(jìn)行邊界隔離，允許數(shù)據(jù)源區(qū)、業(yè)務(wù)安全接入?yún)^(qū)、運(yùn)維管理區(qū)、安全服務(wù)器、大數(shù)據(jù)核心區(qū)域和云平臺(tái)核心區(qū)根據(jù)業(yè)務(wù)需要訪問(wèn)本區(qū)域，允許本區(qū)域按照運(yùn)維管理區(qū)的要求上報(bào)運(yùn)維管理信息，禁止除此以外的安全域直接訪問(wèn)本區(qū)域。云平臺(tái)接入?yún)^(qū)——提供云平臺(tái)服務(wù)的業(yè)務(wù)區(qū)域，所有虛擬化環(huán)境、虛擬化主機(jī)和宿主機(jī)部署在本區(qū)域。本安全域與其他區(qū)域進(jìn)行邊界隔離，允許大數(shù)據(jù)平臺(tái)區(qū)、業(yè)務(wù)安全接入?yún)^(qū)、運(yùn)維管理區(qū)、安全服務(wù)器、大數(shù)據(jù)核心區(qū)域和云平臺(tái)核心區(qū)根據(jù)業(yè)務(wù)需要訪問(wèn)本區(qū)域，允許本區(qū)域按照運(yùn)維管理區(qū)的要求上報(bào)運(yùn)維管理信息，禁止除此以外的安全域直接訪問(wèn)本區(qū)域各區(qū)域之間的訪問(wèn)控制策略如下：區(qū)域訪問(wèn)控制關(guān)系大數(shù)據(jù)平臺(tái)區(qū)云平臺(tái)區(qū)大數(shù)據(jù)平臺(tái)核心區(qū)云平臺(tái)核心區(qū)數(shù)據(jù)源區(qū)運(yùn)維接入?yún)^(qū)業(yè)務(wù)安全接入?yún)^(qū)運(yùn)維管理區(qū)安全服務(wù)區(qū)帶外管理區(qū)大數(shù)據(jù)平臺(tái)區(qū)可達(dá)可達(dá)可達(dá)可達(dá)部分可達(dá)可達(dá)部分可達(dá)可達(dá)部分可達(dá)云平臺(tái)區(qū)域可達(dá)可達(dá)可達(dá)不可達(dá)部分可達(dá)可達(dá)部分可達(dá)可達(dá)部分可達(dá)大數(shù)據(jù)核心區(qū)部分可達(dá)部分可達(dá)部分可達(dá)不可達(dá)不可達(dá)可達(dá)可達(dá)不可達(dá)可達(dá)云平臺(tái)核心區(qū)部分可達(dá)部分可達(dá)部分可達(dá)不可達(dá)不可達(dá)可達(dá)可達(dá)不可達(dá)可達(dá)數(shù)據(jù)源區(qū)可達(dá)不可達(dá)可達(dá)不可達(dá)不可達(dá)不可達(dá)不可達(dá)不可達(dá)不可達(dá)運(yùn)維接入?yún)^(qū)部分可達(dá)部分可達(dá)不可達(dá)不可達(dá)不可達(dá)不可達(dá)可達(dá)不可達(dá)不可達(dá)業(yè)務(wù)安全接入?yún)^(qū)部分可達(dá)部分可達(dá)可達(dá)可達(dá)不可達(dá)不可達(dá)可達(dá)可達(dá)不可達(dá)運(yùn)維管理區(qū)部分可達(dá)部分可達(dá)可達(dá)可達(dá)不可達(dá)可達(dá)可達(dá)可達(dá)不可達(dá)安全服務(wù)區(qū)可達(dá)可達(dá)可達(dá)可達(dá)不可達(dá)可達(dá)可達(dá)可達(dá)不可達(dá)帶外管理區(qū)部分可達(dá)部分可達(dá)可達(dá)可達(dá)不可達(dá)不可達(dá)不可達(dá)不可達(dá)不可達(dá)防火墻與入侵檢測(cè)網(wǎng)神SecGate3600防火墻NSG系列在強(qiáng)勁性能與更先進(jìn)架構(gòu)的支撐下，集成訪問(wèn)控制、用戶授權(quán)訪問(wèn)、虛擬系統(tǒng)、行為管理、應(yīng)用層綜合安全防護(hù)等覆蓋IPv4網(wǎng)絡(luò)及IPv6網(wǎng)絡(luò)的功能，進(jìn)一步在網(wǎng)神SecGate3600防火墻NSG系列上完成了與360情報(bào)威脅、天擎、病毒云查殺、木馬云查殺、未知威脅感知分析等多項(xiàng)智能聯(lián)動(dòng)功能，內(nèi)置IPS入侵檢測(cè)和防御。是專門(mén)為政府、軍隊(duì)、教育、運(yùn)營(yíng)商、大型企業(yè)、中小型企業(yè)的互聯(lián)網(wǎng)出口打造的“云+端+邊界+聯(lián)動(dòng)”下一代安全體系。 網(wǎng)神SecGate3600防火墻NSG系列的主要功能如下：高性能隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，邊界防火墻需要支持對(duì)應(yīng)用層的過(guò)濾和威脅防護(hù)，如何保障開(kāi)啟應(yīng)用層過(guò)濾和威脅防護(hù)情況下能夠高效、快速、穩(wěn)定運(yùn)行是新一代防火墻必須面對(duì)的問(wèn)題。在區(qū)別于對(duì)稱的多核處理結(jié)構(gòu)，網(wǎng)神SecGate3600防火墻NSG系列采用自主研發(fā)且優(yōu)化后的異步處理結(jié)構(gòu)AMP+，突破前者處理數(shù)據(jù)的瓶頸，更大程度上提升了防火墻的性能。更高效的性能、更快速的轉(zhuǎn)發(fā)速度是SecGate3600防火墻NSG系列的基石，讓集成的多種安全防護(hù)功能，在全面啟用的情況下，仍然能輕松應(yīng)對(duì)，保證極快的整體轉(zhuǎn)發(fā)速度。應(yīng)用層轉(zhuǎn)發(fā)延遲有效降低網(wǎng)神SecGate3600防火墻NSG系列采用完全自主研發(fā)的單引擎一次性數(shù)據(jù)包拆分和物理多核下并行虛擬計(jì)算處理技術(shù)，使得整個(gè)數(shù)據(jù)的處理，包括應(yīng)用層數(shù)據(jù)的處理、入侵防護(hù)等高級(jí)功能，都在數(shù)據(jù)平面完成，不涉及數(shù)據(jù)包的拷貝，進(jìn)程切換等問(wèn)題，同時(shí)數(shù)據(jù)的處理在整個(gè)轉(zhuǎn)發(fā)階段都使用同一個(gè)會(huì)話，實(shí)現(xiàn)數(shù)據(jù)包在4-7層的高性能轉(zhuǎn)發(fā)，有效降低應(yīng)用層轉(zhuǎn)發(fā)延遲。管理員權(quán)限三權(quán)分立網(wǎng)神SecGate3600防火墻NSG系列針對(duì)管理員的角色建立三權(quán)分立的管理員帳號(hào)機(jī)制，將超級(jí)用戶特權(quán)集進(jìn)行劃分,分別授予配置管理員、安全管理員和審計(jì)管理員。實(shí)現(xiàn)配置管理、安全管理和審計(jì)管理功能的同時(shí),也保證管理員權(quán)限的隔離。防止因?yàn)楣芾韱T權(quán)限過(guò)大所引起的安全風(fēng)險(xiǎn)，也保證已經(jīng)配置完成的訪問(wèn)控制策略不會(huì)出現(xiàn)未授權(quán)的修改，及出現(xiàn)未授權(quán)修改時(shí)可以保留相關(guān)審計(jì)信息。安全隔離的虛擬系統(tǒng)網(wǎng)神SecGate3600防火墻NSG系列支持通過(guò)虛擬系統(tǒng)功能，將防火墻虛擬成多個(gè)相互隔離并獨(dú)立運(yùn)行的虛擬防火墻系統(tǒng)，每一個(gè)虛擬系統(tǒng)都可以為用戶提供定制化的安全防護(hù)功能，并可配備獨(dú)立的管理員賬號(hào)。在用戶網(wǎng)絡(luò)不斷擴(kuò)展時(shí)，通過(guò)虛擬系統(tǒng)功能不僅能有效降低用戶網(wǎng)絡(luò)的復(fù)雜度，還能提高網(wǎng)絡(luò)的靈活性。當(dāng)這些相互隔離并獨(dú)立運(yùn)行的虛擬防火墻系統(tǒng)需要通訊時(shí)，可以通過(guò)防火墻提供的虛擬接口實(shí)現(xiàn)，而不需要通過(guò)物理鏈路將它們進(jìn)行連接。高可用性功能支持多種網(wǎng)絡(luò)環(huán)境網(wǎng)神SecGate3600防火墻NSG系列支持路由模式的HA和橋模式的HA。路由模式，采用網(wǎng)神SGRP路由冗余備份協(xié)議，實(shí)現(xiàn)雙主的路由負(fù)載均衡和主備的路由冗余備份兩種模式。在一臺(tái)防火墻出現(xiàn)問(wèn)題時(shí)，另外一臺(tái)可以及時(shí)接管路由轉(zhuǎn)發(fā)工作，向用戶提供透明的切換，提高網(wǎng)絡(luò)服務(wù)質(zhì)量。透明模式下，支持通過(guò)STP和PVST+的生成樹(shù)協(xié)議完成橋模式的HA冗余備份和快速切換。對(duì)稱路由保證來(lái)回路徑一致網(wǎng)神SecGate3600防火墻NSG系列提供對(duì)稱路由功能。用戶可以通過(guò)啟用接口的對(duì)稱路由功能，實(shí)現(xiàn)用戶從哪里進(jìn)來(lái)訪問(wèn)的數(shù)據(jù)，從哪里再返回出去。例如：用戶內(nèi)網(wǎng)對(duì)外提供一個(gè)http服務(wù)，同時(shí)用戶申請(qǐng)了聯(lián)通和電信兩個(gè)出口。當(dāng)聯(lián)通的用戶從聯(lián)通出口進(jìn)來(lái)訪問(wèn)http服務(wù)時(shí)，對(duì)稱路由功能可以讓服務(wù)器返回給用戶的應(yīng)答數(shù)據(jù)也從聯(lián)通出口出去。當(dāng)電信的用戶從電信出口進(jìn)來(lái)訪問(wèn)http服務(wù)時(shí)，對(duì)稱路由功能可以讓服務(wù)器返回給用戶的應(yīng)答數(shù)據(jù)也從電信出口出去。保證數(shù)據(jù)來(lái)回路徑的一致性。高適應(yīng)性的路由負(fù)載均衡算法網(wǎng)神SecGate3600防火墻NSG系列支持在多出口的環(huán)境中根據(jù)用戶實(shí)際需求，匹配多種方式的負(fù)載均衡，包括備份、輪詢、源地址哈希、源地址目的地址哈希、目的地址哈希、源地址輪詢、最有鏈路帶寬負(fù)載、最優(yōu)鏈路帶寬備份、隨機(jī)、流量均衡、時(shí)延負(fù)載、跳數(shù)負(fù)載十二種?？梢詫?shí)現(xiàn)基于權(quán)重的路由負(fù)載、基于延遲的路由負(fù)載、基于會(huì)話的路由負(fù)載、基于流量的路由負(fù)載，滿足用戶各種場(chǎng)景。支持N元組的安全策略網(wǎng)神SecGate3600防火墻NSG系列的安全策略功能是防火墻的核心功能。提供基于狀態(tài)檢測(cè)、基于TCP、UDP、ICMP、其他協(xié)議的動(dòng)態(tài)包過(guò)濾技術(shù)，同時(shí)能夠控制不同安全域之間的數(shù)據(jù)轉(zhuǎn)發(fā)。網(wǎng)神SecGate3600防火墻NSG系列的安全策略規(guī)則可以實(shí)現(xiàn)基于源安全域、目的安全域、源地址、目的地址、地理位置、用戶、服務(wù)、應(yīng)用、時(shí)間等多種安全屬性的組合，將用戶感興趣、需要進(jìn)行控制的數(shù)據(jù)流分離出來(lái)，同時(shí)配合拒絕或允許的處理行為，實(shí)現(xiàn)對(duì)IPv4數(shù)據(jù)及IPv6數(shù)據(jù)通訊的管理。網(wǎng)神SecGate3600防火墻NSG系列將按順序?qū)Σ呗砸?guī)則進(jìn)行比較，特定性更強(qiáng)的規(guī)則必須位于一般性更強(qiáng)的規(guī)則前面。例如，如果所有其他與通信相關(guān)的設(shè)置均相同，則適用于單個(gè)應(yīng)用程序的規(guī)則必須位于適用于所有應(yīng)用程序的規(guī)則前面。如果通信不匹配任何規(guī)則，則該通信將遭到阻止。因此，用戶可以通過(guò)配置安全策略嚴(yán)格的制定訪問(wèn)控制規(guī)則及訪問(wèn)控制規(guī)則的匹配順序，達(dá)到對(duì)數(shù)據(jù)進(jìn)行控制的目的的同時(shí)，也在一定程度在滿足了用戶對(duì)安全策略靈活性的要求。根據(jù)安全策略的匹配順序，讓用戶網(wǎng)絡(luò)中進(jìn)出防火墻的數(shù)據(jù)實(shí)現(xiàn)針對(duì)性的控制。支持解密SSL協(xié)議并對(duì)其數(shù)據(jù)進(jìn)行應(yīng)用層防護(hù)網(wǎng)神SecGate3600防火墻NSG系列支持對(duì)穿過(guò)防火墻的SSL協(xié)議進(jìn)行解密，并對(duì)解密后的數(shù)據(jù)提供防護(hù)過(guò)濾，如攻擊防護(hù)、入侵檢測(cè)、病毒防護(hù)、內(nèi)容過(guò)濾等。同時(shí)，對(duì)于某些重要數(shù)據(jù)，不希望防火墻進(jìn)行解密，網(wǎng)神SecGate3600防火墻NSG系列也支持將指定的加密數(shù)據(jù)進(jìn)行排除不解密。對(duì)SSL協(xié)議解密并進(jìn)行過(guò)濾可以防止通過(guò)SSL協(xié)議加密的攻擊行為從防火墻繞過(guò)。防火墻解密后的數(shù)據(jù)在過(guò)濾完畢后會(huì)再次通過(guò)SSL協(xié)議加密并發(fā)送，保持?jǐn)?shù)據(jù)在傳輸?shù)倪^(guò)程中加密特性不變?；趹?yīng)用層的綜合攻擊防護(hù)功能網(wǎng)神SecGate3600防火墻NSG系列的攻擊防護(hù)模塊通過(guò)基于安全域的Flood防護(hù)和掃描欺騙防護(hù)、IP地址掃描攻擊、端口掃描以及異常包攻擊、應(yīng)用層攻擊、IP安全域關(guān)聯(lián)等防護(hù)手段，將包括SYNFlood、ICMPFlood、UDPFood、IPFood、pingofdeath、Teardrop、IP選項(xiàng)、TCP異常、Smurf、Fraggle、Land、Winnuke等常見(jiàn)的攻擊行為檢測(cè)集成在模塊中，使得用戶通過(guò)啟用并配置攻擊防護(hù)模塊，可以有效的過(guò)濾并采取相應(yīng)的措施阻止非正常報(bào)文流入用戶內(nèi)網(wǎng)，并對(duì)HTTP、DNS、DHCP協(xié)議提供應(yīng)用層防護(hù)。另一方面，針對(duì)局域網(wǎng)多播廣播、IP地址欺騙等也提供了專門(mén)的防護(hù)。安全聯(lián)動(dòng)配合動(dòng)態(tài)策略實(shí)現(xiàn)全網(wǎng)威脅攔截網(wǎng)神SecGate3600防火墻NSG系列支持與奇虎360公司的天擎系統(tǒng)、威脅情報(bào)系統(tǒng)進(jìn)行聯(lián)動(dòng)。實(shí)現(xiàn)全網(wǎng)木馬專項(xiàng)查殺及未知威脅攔截功能。天擎系統(tǒng)通過(guò)收集終端應(yīng)用程序特征，發(fā)送給防火墻進(jìn)行木馬專項(xiàng)查殺及云查殺，攔截木馬程序。威脅情報(bào)系統(tǒng)通過(guò)互聯(lián)網(wǎng)未知威脅分析，將分析出的威脅數(shù)據(jù)反饋給防火墻，由防火墻進(jìn)行阻斷。聯(lián)動(dòng)功能可以在防火墻生成動(dòng)態(tài)策略，當(dāng)相同攻擊再次進(jìn)入防火墻時(shí)，會(huì)直接被動(dòng)態(tài)策略攔截，而無(wú)需再次檢測(cè)，大大提高了防火墻的效率并節(jié)省出防火墻更多資源用于承載高級(jí)功能。更加靈活、精準(zhǔn)的入侵防御功能網(wǎng)神SecGate3600防火墻NSG系列，基于第三代SecOS操作系統(tǒng)，依托先進(jìn)的多核全并行處理技術(shù)，大幅提高了IPS的處理性能，能夠輕松應(yīng)對(duì)多樣的混合型攻擊。超過(guò)3000種的特征庫(kù)可以檢測(cè)并防范針對(duì)HTTP、FTP、SMTP、IMAP、POP3、TELNET、DNS、RPC、MSSQL、ORACLE、NNTP、NETBOIS、TFTP等多種協(xié)議的攻擊，以保障網(wǎng)絡(luò)的安全。完善的日志系統(tǒng)及監(jiān)控系統(tǒng)提供了基于不同維度的入侵事件記錄分析，方便管理員掌握當(dāng)前網(wǎng)絡(luò)中的攻擊信息，及時(shí)做出正確的管理決策。同時(shí)，網(wǎng)神通過(guò)專業(yè)的特征庫(kù)團(tuán)隊(duì)，分析和跟蹤常用基礎(chǔ)軟件的漏洞，以及常用應(yīng)用系統(tǒng)的漏洞利用機(jī)理，定期生成攻擊特征庫(kù)下發(fā)到防火墻，保證IPS在防范已知漏洞的基礎(chǔ)上，也能對(duì)新出現(xiàn)的漏洞進(jìn)行防范，確保了入侵防御功能的有效性。IPS功能中針對(duì)每種攻擊特征設(shè)定的精細(xì)執(zhí)行動(dòng)作，極大的提高了入侵防御策略的自由度和靈活性，并且最大程度的降低了誤識(shí)別率，從而有效避免了因配置導(dǎo)致的單點(diǎn)故障。采用全新先進(jìn)的多維動(dòng)態(tài)特征異常檢測(cè)引擎網(wǎng)神SecGate3600防火墻NSG系列采用全新先進(jìn)的多維動(dòng)態(tài)特征異常檢測(cè)引擎，拋棄原有的異常行為特征碼靜態(tài)表達(dá)的方式，將異常行為、惡意行為特征碼通過(guò)多維度提煉，動(dòng)態(tài)進(jìn)行表達(dá)，使得特征表達(dá)更加全面、精準(zhǔn)、有效，極大提高了防火墻入侵防御系統(tǒng)的命中質(zhì)量，解決了傳統(tǒng)設(shè)備檢測(cè)命中率高，但是誤報(bào)率同樣高的問(wèn)題。多種認(rèn)證方式下的web認(rèn)證防護(hù)策略網(wǎng)神SecGate3600防火墻NSG系列的用戶認(rèn)證主要被設(shè)計(jì)用于增強(qiáng)從內(nèi)網(wǎng)訪問(wèn)外網(wǎng)時(shí)的控制。用戶認(rèn)證功能對(duì)用戶的訪問(wèn)采用多層控制，通過(guò)對(duì)用戶組的訪問(wèn)地址來(lái)源根據(jù)源安全域、目的安全域、源地址、目的地址，匹配決定是否進(jìn)行需要認(rèn)證，如需認(rèn)證根據(jù)認(rèn)證服務(wù)器反饋的結(jié)果，進(jìn)而來(lái)決定是否允許用戶的訪問(wèn)。為了認(rèn)證的安全，認(rèn)證模式支持http，https，默認(rèn)設(shè)置為關(guān)閉。為了用戶使用方便，支持認(rèn)證頁(yè)面端口的自定義和同一用戶單個(gè)客戶端登陸和多個(gè)客戶端同時(shí)登陸情景設(shè)置，以及證書(shū)設(shè)置，超時(shí)設(shè)置等?；谟脩粜袨榈牟呗怨芸赜脩艟W(wǎng)絡(luò)已經(jīng)搭建了成熟的認(rèn)證體系，并且業(yè)務(wù)賬號(hào)如郵件賬號(hào)、FTP服務(wù)器訪問(wèn)賬號(hào)等都與用戶認(rèn)證的賬號(hào)統(tǒng)一時(shí)，SecGate3600防火墻NSG系列可以提供基于用戶行為的策略管控，在認(rèn)證用戶通過(guò)認(rèn)證之后，防火墻會(huì)記錄用戶通過(guò)認(rèn)證時(shí)的IP地址與用戶名信息。勾選基于策略用戶管控功能，在SMTP、POP3、IMAP、FTP協(xié)議數(shù)據(jù)經(jīng)過(guò)防火墻時(shí)，防火墻會(huì)查看用戶是否為認(rèn)證過(guò)的用戶，如果已認(rèn)證，則檢查用戶名與用戶認(rèn)證時(shí)的用戶名是否相同，防止越權(quán)、異常訪問(wèn)的發(fā)生。動(dòng)態(tài)QoS流量分配動(dòng)態(tài)QoS由帶寬管理功能實(shí)現(xiàn)，可配置帶寬限制策略。策略類型包括共享型和獨(dú)享型，用戶優(yōu)先級(jí)分為高、中、低，服務(wù)類型包括了應(yīng)用層的多種協(xié)議。用戶優(yōu)先級(jí)可選高、中、低三級(jí)。在用戶都滿足保證帶寬情況下，高優(yōu)先級(jí)用戶將搶占中、低優(yōu)先級(jí)用戶帶寬，中優(yōu)先級(jí)用戶將搶占低優(yōu)先級(jí)用戶帶寬。當(dāng)網(wǎng)絡(luò)中存在空閑帶寬時(shí)，網(wǎng)神SecGate3600防火墻NSG系列會(huì)根據(jù)當(dāng)前網(wǎng)絡(luò)帶寬分配情況，自動(dòng)將空閑帶寬分配給重要業(yè)務(wù)，保證重要業(yè)務(wù)的正常訪問(wèn)?；趦?nèi)容過(guò)濾、URL過(guò)濾、網(wǎng)絡(luò)行為的行為管控網(wǎng)神SecGate3600防火墻NSG系列提供內(nèi)容過(guò)濾、URL過(guò)濾、網(wǎng)絡(luò)行為管理功能，從而實(shí)現(xiàn)對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行管控。行為管控策略不僅支持精確到IP地址，更可精確到用戶。網(wǎng)絡(luò)行為管理功能支持對(duì)HTTP、SMTP、POP3、IMAP、FTP、TELNET協(xié)議的關(guān)鍵命令、關(guān)鍵字內(nèi)容進(jìn)行管理，支持SMTP、POP3、IMAP郵件協(xié)議發(fā)件人、收件人的地址黑白名單設(shè)置。異常流量監(jiān)控異常流量監(jiān)控，實(shí)時(shí)采集監(jiān)控對(duì)象的流量指標(biāo)，并以可視化的曲線方式展現(xiàn)給防火墻管理員，幫助管理員定位網(wǎng)絡(luò)流量異常問(wèn)題。流量指標(biāo)包括：TCP、UDP、ICMP和組播（廣播）流量。通過(guò)長(zhǎng)時(shí)間對(duì)歷史數(shù)據(jù)的學(xué)習(xí)和計(jì)算，異常流量監(jiān)控功能可以計(jì)算出整個(gè)網(wǎng)絡(luò)或單個(gè)接口的正常范圍基線圖，與實(shí)際流量對(duì)比，即可查看到網(wǎng)絡(luò)中或單個(gè)接口上的異常流量，從而協(xié)助管理員管理網(wǎng)絡(luò)、定位問(wèn)題。全方位狀態(tài)信息展示網(wǎng)神SecGate3600防火墻NSG系列為用戶提供了全面的實(shí)時(shí)的狀態(tài)信息展示，包括網(wǎng)絡(luò)接口狀態(tài)、接口信息狀態(tài)、系統(tǒng)信息狀態(tài)、資源狀態(tài)、并發(fā)連接數(shù)、入侵防御狀態(tài)、應(yīng)用流量排行榜。第一時(shí)間為管理員修改防火墻配置策略，了解防火墻運(yùn)行狀態(tài)，掌握網(wǎng)絡(luò)當(dāng)前態(tài)勢(shì)提供實(shí)時(shí)報(bào)告。更加人性化和智能化的狀態(tài)展示同時(shí)大大提供了狀態(tài)信息的易用性。安全網(wǎng)閘網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)（簡(jiǎn)稱：網(wǎng)閘）是新一代網(wǎng)絡(luò)安全隔離產(chǎn)品。該產(chǎn)品采用專用硬件和模塊化的工作組件設(shè)計(jì)，集成安全隔離、實(shí)時(shí)信息交換、協(xié)議分析、內(nèi)容檢測(cè)、訪問(wèn)控制、安全決策等多種安全功能為一體，適合部署于不同安全等級(jí)的網(wǎng)絡(luò)間，在實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)安全隔離的同時(shí)，實(shí)現(xiàn)高速的、安全的數(shù)據(jù)交換，提供可靠的信息交換服務(wù)。網(wǎng)神SecSIS3600網(wǎng)閘可廣泛應(yīng)用于各級(jí)政府機(jī)關(guān)、軍隊(duì)、公安、科研院校及民航、電力、石油、金融、證券、交通等網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)信息的安全交換。尤其適合于電子政務(wù)、網(wǎng)上工商、網(wǎng)上報(bào)稅、網(wǎng)上報(bào)關(guān)、電子審批、政府信息系統(tǒng)管理等需要嚴(yán)格內(nèi)外網(wǎng)隔離的應(yīng)用環(huán)境。豐富的應(yīng)用模塊網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)采用模塊化的系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，根據(jù)不同的應(yīng)用環(huán)境，量身定制多個(gè)功能模塊，以滿足用戶的不同需求，主要包括：文件交換模塊：實(shí)現(xiàn)不同安全等級(jí)網(wǎng)絡(luò)間文件的安全交換。數(shù)據(jù)庫(kù)同步模塊：通過(guò)靈活的同步機(jī)制，保證安全等級(jí)不同的網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)同步更新。數(shù)據(jù)庫(kù)訪問(wèn)模塊：保證在內(nèi)外網(wǎng)隔離的環(huán)境下實(shí)現(xiàn)各種類型數(shù)據(jù)庫(kù)的訪問(wèn)應(yīng)用。FTP訪問(wèn)模塊：保證在內(nèi)外網(wǎng)隔離的環(huán)境下實(shí)現(xiàn)FTP的訪問(wèn)并上傳下載數(shù)據(jù)。郵件訪問(wèn)模塊：保證在內(nèi)外網(wǎng)隔離的環(huán)境下實(shí)現(xiàn)安全的郵件收發(fā)。安全瀏覽模塊：保證在內(nèi)外網(wǎng)隔離的環(huán)境下，內(nèi)網(wǎng)用戶安全瀏覽外網(wǎng)資源。定制模塊：支持IPV4和IPV6雙協(xié)議棧，保證在內(nèi)外網(wǎng)隔離的同時(shí)實(shí)現(xiàn)TCP/UDP協(xié)議的定制交換。SLL通道模塊：通過(guò)SSL通道模塊，能夠?qū)崿F(xiàn)認(rèn)證、加密、授權(quán)。認(rèn)證保證終端用戶訪問(wèn)身份的合法性、加密保證數(shù)據(jù)傳輸?shù)陌踩?、授?quán)保證終端用戶訪問(wèn)業(yè)務(wù)系統(tǒng)的合法性、加之網(wǎng)閘固有的協(xié)議轉(zhuǎn)換、雙通道結(jié)構(gòu)等眾多安全特性，最大程度保證高安全域網(wǎng)絡(luò)的安全性。Socks代理模塊：通過(guò)Socks代理模塊能夠?qū)崿F(xiàn)Socks4、Socks5等版本的代理，支持本地用戶認(rèn)證、radius等認(rèn)證方式?；跇?biāo)準(zhǔn)TCP/UDP的流媒體應(yīng)用模塊。訪問(wèn)控制系統(tǒng)支持強(qiáng)大的訪問(wèn)控制策略，支持通過(guò)源地址、目的地址、端口、協(xié)議等多種元素對(duì)允許通過(guò)網(wǎng)閘傳輸?shù)臄?shù)據(jù)進(jìn)行過(guò)濾，判斷是否符合組織安全策略。深度應(yīng)用層過(guò)濾網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)提供多種內(nèi)容安全過(guò)濾與內(nèi)容訪問(wèn)控制功能，既能有效的防止外部惡意代碼進(jìn)入內(nèi)網(wǎng)，也能控制內(nèi)網(wǎng)用戶對(duì)外部資源不良內(nèi)容的訪問(wèn)及敏感信息的泄漏。網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)的應(yīng)用層過(guò)濾機(jī)制主要針對(duì)HTTP、FTP、數(shù)據(jù)庫(kù)、郵件及文件交換等應(yīng)用，包括SQL過(guò)濾、URL過(guò)濾、關(guān)鍵字過(guò)濾、Cookie過(guò)濾、文件類型檢查、病毒查殺及入侵檢測(cè)等操作。SQL過(guò)濾網(wǎng)閘可對(duì)用戶訪問(wèn)的數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行SQL語(yǔ)句、數(shù)據(jù)庫(kù)名、數(shù)據(jù)庫(kù)表操作權(quán)限等進(jìn)行黑白名單過(guò)濾，禁止用戶針對(duì)數(shù)據(jù)庫(kù)進(jìn)行違規(guī)操作；URL/域名過(guò)濾網(wǎng)閘可對(duì)用戶訪問(wèn)的Web站點(diǎn)的域名及URL等進(jìn)行基于正則表達(dá)式的過(guò)濾，禁止用戶訪問(wèn)暴力、色情、反動(dòng)的主頁(yè)或站點(diǎn)中的特定目錄或文件。黑/白名單關(guān)鍵字過(guò)濾網(wǎng)閘可對(duì)郵件標(biāo)題和內(nèi)容以及傳輸?shù)奈募冗M(jìn)行黑/白名單關(guān)鍵字過(guò)濾，進(jìn)行單詞及短句的智能匹配，禁止包含特定關(guān)鍵字的敏感信息泄漏，或只允許包含相應(yīng)關(guān)鍵字的文件通過(guò)網(wǎng)閘傳遞。COOKIE過(guò)濾網(wǎng)閘可對(duì)COOKIE進(jìn)行過(guò)濾。通過(guò)對(duì)COOKIE進(jìn)行過(guò)濾，可以防止敏感信息的泄漏。同時(shí)還可以防止用戶進(jìn)行瀏覽論壇、上網(wǎng)聊天等違反安全策略的操作。文件類型檢查網(wǎng)閘可對(duì)傳輸?shù)奈募M(jìn)行類型檢查，只允許符合安全策略的文件通過(guò)網(wǎng)閘傳遞。避免傳輸二進(jìn)制文件可能帶來(lái)的病毒和敏感信息泄露等問(wèn)題。病毒及惡意代碼檢查系統(tǒng)可內(nèi)嵌殺病毒引擎，針對(duì)文件交換模塊、FTP訪問(wèn)模塊、安全瀏覽模塊、郵件訪問(wèn)模塊防病毒功能。對(duì)允許傳輸?shù)奈募M(jìn)行病毒的檢查，確保進(jìn)入可信網(wǎng)絡(luò)的文件不包含病毒及Java/JavaScript/ActiveX等惡意代碼，支持本地升級(jí)及遠(yuǎn)程升級(jí)。入侵檢測(cè)可對(duì)網(wǎng)頁(yè)攻擊、緩沖區(qū)溢出攻擊、后門(mén)/木馬、P2P、病毒/蠕蟲(chóng)、拒絕服務(wù)攻擊、掃描類攻擊等多種攻擊類型進(jìn)行實(shí)時(shí)檢測(cè)并記錄日志。高安全文件交換網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)提供基于純文件的交換方式，內(nèi)網(wǎng)和外網(wǎng)的數(shù)據(jù)傳輸模塊各自對(duì)文件進(jìn)行病毒掃描、簽名校驗(yàn)、文件類型校驗(yàn)、文件內(nèi)容過(guò)濾，對(duì)符合要求的文件進(jìn)行轉(zhuǎn)發(fā)。不借助任何第三方軟件，完全通過(guò)文件的拷貝、粘貼方式實(shí)現(xiàn)，為了避免網(wǎng)絡(luò)漏洞，網(wǎng)閘不開(kāi)放任何連通兩側(cè)的網(wǎng)絡(luò)通道，在保證絕對(duì)安全的前提下，通過(guò)數(shù)據(jù)擺渡實(shí)現(xiàn)文件交換。內(nèi)置數(shù)據(jù)同步模塊網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)的數(shù)據(jù)庫(kù)同步模塊，獨(dú)立自主開(kāi)發(fā)完成，完全內(nèi)置于網(wǎng)閘內(nèi)部，所有的同步操作由網(wǎng)閘自己獨(dú)立完成。不在用戶數(shù)據(jù)庫(kù)中安裝任何客戶端軟件，不需要在用戶網(wǎng)絡(luò)中部署專用服務(wù)器，對(duì)用戶數(shù)據(jù)庫(kù)不作任何改變。該模塊支持Oracle和SqlServer等流行數(shù)據(jù)庫(kù)版本，同時(shí)預(yù)留開(kāi)發(fā)接口，定制支持各種數(shù)據(jù)庫(kù)系統(tǒng)。在高速運(yùn)行的基礎(chǔ)上解決了字段級(jí)數(shù)據(jù)同步、雙向數(shù)據(jù)同步、大字段同步等技術(shù)難題，適合于各種數(shù)據(jù)庫(kù)同步工作的需要。由于是網(wǎng)閘自身發(fā)起的動(dòng)作，所以網(wǎng)閘兩側(cè)不開(kāi)放任何基于數(shù)據(jù)庫(kù)訪問(wèn)或者定制TCP的網(wǎng)絡(luò)服務(wù)端口，避免網(wǎng)絡(luò)安全漏洞。傳輸方向可控網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)采用雙通道通信機(jī)制，從可信網(wǎng)到非可信網(wǎng)的數(shù)據(jù)流與從非可信網(wǎng)到可信網(wǎng)的數(shù)據(jù)流采用不同的數(shù)據(jù)通道，對(duì)通道的分離控制保證各通道的傳輸方向可控。在特殊應(yīng)用環(huán)境中可實(shí)現(xiàn)數(shù)據(jù)的單向傳送，以避免信息的泄漏。完善的審計(jì)能力網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)提供管理員多種手段了解網(wǎng)絡(luò)運(yùn)行狀況及可疑事件的發(fā)生。用戶可根據(jù)特定的需要進(jìn)行日志審計(jì)（包括系統(tǒng)日志、訪問(wèn)控制策略日志、應(yīng)用層協(xié)議分析日志、應(yīng)用層內(nèi)容檢查日志等）。系統(tǒng)支持本地日志緩存,可實(shí)現(xiàn)本地日志的瀏覽查詢等操作。日志依據(jù)事件的重要程度分為錯(cuò)誤/警告/通知三級(jí)，支持Syslog日志存儲(chǔ)，可實(shí)現(xiàn)日志的分級(jí)發(fā)送。多樣化身份認(rèn)證網(wǎng)神SecSIS3600安全隔離與信息交換系統(tǒng)支持多樣靈活的身份認(rèn)證方式，包括：本地用戶名及口令認(rèn)證、U-Key認(rèn)證、基于數(shù)字證書(shū)的認(rèn)證、RADIUS遠(yuǎn)程訪問(wèn)認(rèn)證及LDAP認(rèn)證以及多方式結(jié)合的雙因子認(rèn)證?？笵DoS攻擊網(wǎng)神SecGate3600安全網(wǎng)關(guān)抗拒絕服務(wù)系統(tǒng)（又名抗DDoS系統(tǒng)、流量清洗系統(tǒng)），以下簡(jiǎn)稱網(wǎng)神抗DDoS系統(tǒng)，是自主知識(shí)產(chǎn)權(quán)的新一代安全產(chǎn)品，作為網(wǎng)關(guān)類安全產(chǎn)品，防護(hù)對(duì)象主要為業(yè)務(wù)系統(tǒng)、Web服務(wù)器、企業(yè)內(nèi)網(wǎng)。其設(shè)計(jì)目標(biāo)位：針對(duì)DoS/DDoS、應(yīng)用層CC攻擊、非TCP/IP協(xié)議層攻擊等多種未知攻擊進(jìn)行安全防御。保證網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)，清洗攻擊流量。網(wǎng)神抗DDoS系統(tǒng)是基于嵌入式系統(tǒng)開(kāi)發(fā)的，其在系統(tǒng)核心實(shí)現(xiàn)了防御DoS/DDoS攻擊的算法，創(chuàng)造性地將算法實(shí)現(xiàn)在協(xié)議棧的最底層，避開(kāi)了IP/TCP/UDP等高層系統(tǒng)網(wǎng)絡(luò)堆棧的處理，使整個(gè)運(yùn)算代價(jià)大大降低。網(wǎng)神抗DDoS系統(tǒng)具備如下功能：攻擊檢測(cè)：利用了多種技術(shù)手段對(duì)DoS/DDoS攻擊進(jìn)行有效的檢測(cè)，在針對(duì)不同的流量觸發(fā)不同的保護(hù)機(jī)制，提高效率的同時(shí)確保準(zhǔn)確度。主機(jī)識(shí)別：網(wǎng)神抗DDoS系統(tǒng)可自動(dòng)識(shí)別其保護(hù)的各個(gè)主機(jī)及其地址，某些主機(jī)受到攻擊不會(huì)影響其它主機(jī)的正常服務(wù)。指紋識(shí)別：用來(lái)識(shí)別整個(gè)連接過(guò)程，其中包括：源、目的、協(xié)議、端口等情況的識(shí)別。協(xié)議分析：網(wǎng)神抗DDoS系統(tǒng)采用了協(xié)議獨(dú)立的處理方法，對(duì)于TCP協(xié)議報(bào)文，通過(guò)連接跟蹤模塊來(lái)防護(hù)攻擊；而對(duì)于UDP及ICMP協(xié)議報(bào)文，主要采用流量控制模塊來(lái)防護(hù)攻擊。攻擊過(guò)濾：攻擊過(guò)濾為網(wǎng)神抗DDoS設(shè)備的默認(rèn)模式，此模式下，設(shè)備運(yùn)行完整的攻擊過(guò)濾流程，過(guò)濾攻擊使正常流量到達(dá)主機(jī)。流量控制：主要是針對(duì)一些攻擊流量做限制。緊急觸發(fā)狀態(tài)，針對(duì)攻擊頻率較高的攻擊防護(hù)模式，此模式將更為嚴(yán)格過(guò)濾攻擊；簡(jiǎn)單過(guò)濾流量限制，是針對(duì)某些顯見(jiàn)的攻擊報(bào)文做的一種過(guò)濾模式，目前可以過(guò)濾內(nèi)容完全相同的報(bào)文，及使用真實(shí)地址進(jìn)行攻擊的報(bào)文；忽略主機(jī)流量限制，用于限制忽略主機(jī)的流量，當(dāng)某個(gè)忽略主機(jī)的流量超過(guò)設(shè)置值，超過(guò)的流量將被丟棄；偽造源流量限制，用于限制內(nèi)網(wǎng)攻擊。當(dāng)某數(shù)據(jù)包的源MAC地址不同于網(wǎng)神抗DDoS設(shè)備記錄的MAC地址，該數(shù)據(jù)包將被認(rèn)為是偽造源流量，超過(guò)設(shè)置值的偽造源流量將被丟棄。連接控制：根據(jù)攻擊的流量和連接數(shù)閥值來(lái)設(shè)置觸發(fā)防護(hù)選項(xiàng)，連接數(shù)閥值可以根據(jù)不同情況來(lái)靈活控制。連接跟蹤：網(wǎng)神抗DDoS系統(tǒng)針對(duì)進(jìn)出的連接均進(jìn)行連接跟蹤，并在跟蹤的同時(shí)進(jìn)行防護(hù)，解決針對(duì)TCP協(xié)議的DDoS攻擊。日志審計(jì)：網(wǎng)神抗DDoS設(shè)備日志記錄可全面記錄產(chǎn)品系統(tǒng)運(yùn)行及防護(hù)狀態(tài)，并對(duì)不同操作權(quán)限的操作進(jìn)行記錄。安全接入網(wǎng)神SecSSL3600安全接入網(wǎng)關(guān)系統(tǒng)是以國(guó)際標(biāo)準(zhǔn)SSL協(xié)議為基礎(chǔ)的、自主研發(fā)的、專為企業(yè)定制的、基于應(yīng)用層設(shè)計(jì)的遠(yuǎn)程接入產(chǎn)品，網(wǎng)神SecSSL3600全面支持IPv6安全接入，滿足下一代互聯(lián)網(wǎng)安全接入需求，為企業(yè)遠(yuǎn)程接入提供了最好的解決方案，它使傳統(tǒng)的VPN解決方案得到了升華，能讓用戶無(wú)論在世界的任何地方，只要使用瀏覽器就能夠訪問(wèn)到公司總部的資源，如WINDOWS、LIUIX、UNIX、MAC等系統(tǒng)的商業(yè)文件和應(yīng)用程序。網(wǎng)神SecSSL3600可以集中管理企業(yè)內(nèi)部的應(yīng)用布置，配置細(xì)粒度的訪問(wèn)策略，可以更安全地實(shí)現(xiàn)權(quán)限控制，可以讓不同級(jí)別的用戶使用不同的應(yīng)用。網(wǎng)神安全接入網(wǎng)關(guān)為一款安全遠(yuǎn)程接入VPN的解決方案。它在允許遠(yuǎn)程訪問(wèn)的同時(shí)，實(shí)現(xiàn)了如下的功能：對(duì)PC/移動(dòng)用戶進(jìn)行統(tǒng)一的身份進(jìn)行認(rèn)證管理。根據(jù)管理員定義的安全策略和客戶端的安全狀況，對(duì)用戶進(jìn)行授權(quán)。檢測(cè)遠(yuǎn)端用戶接入設(shè)備的安全狀態(tài)。保證遠(yuǎn)端用戶同內(nèi)部網(wǎng)絡(luò)的通信安全。實(shí)時(shí)監(jiān)控遠(yuǎn)程接入的安全連接。移動(dòng)端APP安全封裝技術(shù)，無(wú)需企業(yè)二次開(kāi)發(fā)快速集成VPN功能。移動(dòng)端企業(yè)內(nèi)部安全應(yīng)用商店，保障合法白名單的應(yīng)用定向推送用戶。移動(dòng)端安卓設(shè)備安全殺毒功能，保障終端安全辦公環(huán)境。滿足國(guó)產(chǎn)信息安全的需要，完整支持國(guó)密辦算法，包括SM1、SM2、SM3、SM4。與此同時(shí)，考慮到網(wǎng)神安全接入網(wǎng)關(guān)系統(tǒng)作為一個(gè)網(wǎng)絡(luò)安全設(shè)備在網(wǎng)絡(luò)中部署的便利性，對(duì)各種不同的網(wǎng)絡(luò)環(huán)境的適應(yīng)性以及用戶使用的安全便利性，網(wǎng)神安全接入網(wǎng)關(guān)系統(tǒng)提供了雙機(jī)備份、多ISP接入、客戶端智能選路等網(wǎng)絡(luò)適應(yīng)能力。同時(shí)，為了便于管理和審計(jì)，網(wǎng)神安全接入網(wǎng)關(guān)系統(tǒng)提供了靈活的用戶管理方式和方便的日志管理功能。無(wú)線安全360天巡是一款輕部署、強(qiáng)安全、易管理的新一代企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)安全防御系統(tǒng)。360天巡基于無(wú)線入侵檢測(cè)、無(wú)線數(shù)據(jù)分析、惡意熱點(diǎn)阻斷等先進(jìn)技術(shù)，以守護(hù)無(wú)線網(wǎng)絡(luò)邊界為核心任務(wù)，構(gòu)建“事前全面監(jiān)測(cè)、事中精準(zhǔn)阻斷、事后全維追蹤”的無(wú)線入侵防護(hù)體系，圍繞無(wú)線網(wǎng)絡(luò)環(huán)境中的關(guān)鍵設(shè)備即熱點(diǎn)與終端，進(jìn)行相應(yīng)的安全措施增強(qiáng)，為用戶提供切實(shí)落地可執(zhí)行的無(wú)線網(wǎng)絡(luò)邊界安全解決方案。360天巡廣泛應(yīng)用于有內(nèi)網(wǎng)數(shù)據(jù)安全需求的軍隊(duì)、企業(yè)、黨政機(jī)關(guān)和其他領(lǐng)域有安全需求的客戶群。產(chǎn)品從無(wú)線攻擊者的角度進(jìn)行產(chǎn)品設(shè)計(jì)，以數(shù)據(jù)捕獲能力、協(xié)議分析能力為基礎(chǔ)，可以精準(zhǔn)識(shí)別攻擊行并快速對(duì)威脅進(jìn)行響應(yīng)，不間斷地對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)并將無(wú)線入侵拒之門(mén)外，保護(hù)企業(yè)無(wú)線網(wǎng)絡(luò)邊界安全；快捷、直觀、全面的管理方式提高管理效率、降低管理難度，可協(xié)助企業(yè)無(wú)線網(wǎng)絡(luò)管理員了解無(wú)線網(wǎng)絡(luò)狀況、為企業(yè)的無(wú)線網(wǎng)絡(luò)安全建設(shè)和防御提供決策依據(jù)；簡(jiǎn)易的部署方式不改變用戶原有網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省用戶投資，獨(dú)立的無(wú)線收發(fā)引擎設(shè)備為企業(yè)提供更專注更高效的安全保護(hù)。360天巡的主要功能如下：無(wú)線熱點(diǎn)阻斷WiFi熱點(diǎn)是無(wú)線網(wǎng)絡(luò)中轉(zhuǎn)發(fā)數(shù)據(jù)的重要設(shè)備，一旦熱點(diǎn)被劫持或其本身就是做為攻擊手段而被建立的，那么該熱點(diǎn)即為惡意熱點(diǎn)。對(duì)于惡意熱點(diǎn)的防范措施而言，有效而精準(zhǔn)的無(wú)線熱點(diǎn)阻斷方式作為抑制攻擊的防御手段，在無(wú)線入侵防御系統(tǒng)中是不可或缺的。360天巡的阻斷方式有別于其他無(wú)線入侵方式系統(tǒng)所使用的射頻干擾技術(shù)進(jìn)行范圍大、輻射強(qiáng)的阻斷，天巡使用技術(shù)領(lǐng)先的協(xié)議阻斷機(jī)制進(jìn)行精準(zhǔn)且智能的惡意熱點(diǎn)阻斷方式。通過(guò)熱點(diǎn)阻斷，可允許企業(yè)所在無(wú)線網(wǎng)絡(luò)區(qū)域內(nèi)某些特定的熱點(diǎn)可用，而其他無(wú)線熱點(diǎn)不可用，該阻斷策略分為手動(dòng)阻斷和自動(dòng)阻斷兩種模式，用戶可自定義設(shè)置。無(wú)線攻擊檢測(cè)保證無(wú)線網(wǎng)絡(luò)安全的關(guān)鍵任務(wù)是持續(xù)關(guān)注企業(yè)當(dāng)前無(wú)線網(wǎng)絡(luò)的安全狀況，天巡通過(guò)部署在企業(yè)內(nèi)部的高性能無(wú)線數(shù)據(jù)收發(fā)引擎裝置，持續(xù)捕獲當(dāng)前無(wú)線環(huán)境中所有的數(shù)據(jù)流量，并將數(shù)據(jù)流量實(shí)時(shí)傳輸?shù)街锌胤?wù)器進(jìn)行安全性分析。中控服務(wù)器內(nèi)置無(wú)線威脅感知引擎，可將接收到的數(shù)據(jù)與無(wú)線攻擊特征庫(kù)進(jìn)行智能比對(duì)，能夠針對(duì)無(wú)線網(wǎng)絡(luò)數(shù)據(jù)鏈路層的無(wú)線網(wǎng)絡(luò)攻擊行為進(jìn)行精準(zhǔn)識(shí)別。一旦發(fā)現(xiàn)惡意行為立即通知收發(fā)引擎采取相應(yīng)措施，將威脅抑制在攻擊發(fā)生之前，達(dá)到實(shí)時(shí)監(jiān)測(cè)的目的。同時(shí)，針對(duì)建立釣魚(yú)熱點(diǎn)進(jìn)行釣魚(yú)攻擊等惡意行為，無(wú)線威脅感知引擎通過(guò)熱點(diǎn)安全策略關(guān)聯(lián)性分析技術(shù)，也能進(jìn)行有效識(shí)別，使?jié)摲跓o(wú)線網(wǎng)絡(luò)中的各種威脅無(wú)處可藏。安全策略設(shè)置非白即黑策略，啟用該策略后，把本企業(yè)的合法熱點(diǎn)全部加入白名單，則所有白名單之外的熱點(diǎn)，都會(huì)被自動(dòng)阻斷。報(bào)警策略，可以定義安全事件的報(bào)警級(jí)別，報(bào)警方式等。無(wú)線安全評(píng)估天巡可以對(duì)企業(yè)的無(wú)線網(wǎng)絡(luò)安全情況進(jìn)行評(píng)估，主要有以下幾點(diǎn)依據(jù)。無(wú)線熱點(diǎn)的安全性設(shè)置。針對(duì)已經(jīng)添加在白名單中的熱點(diǎn)，熱點(diǎn)加密等級(jí)、鑒權(quán)方式、快速連接、是否為隱藏?zé)狳c(diǎn)等，都會(huì)影響到無(wú)線網(wǎng)絡(luò)的安全評(píng)分。覆蓋范圍內(nèi)熱點(diǎn)情況。如果在天巡的覆蓋范圍內(nèi)，出現(xiàn)有惡意熱點(diǎn)，或者未知熱點(diǎn)，也會(huì)影響到無(wú)線網(wǎng)絡(luò)的安全評(píng)分。無(wú)線攻擊情況。如果無(wú)線網(wǎng)絡(luò)收到諸如：泛洪攻擊、暴力破解密碼等攻擊時(shí)，都會(huì)影響到無(wú)線網(wǎng)絡(luò)的安全評(píng)分。平臺(tái)安全防護(hù)由于Hadoop、HBase、Spark等大數(shù)據(jù)系統(tǒng)在設(shè)計(jì)之初對(duì)安全問(wèn)題考慮不充分，需要對(duì)大數(shù)據(jù)平臺(tái)進(jìn)行安全加固，其中最重要的是建立大數(shù)據(jù)環(huán)境下的4A體系?；贚DAP和Kerberos建立統(tǒng)一賬號(hào)管理和身份認(rèn)證系統(tǒng)，保證使用大數(shù)據(jù)的人是他聲稱的賬號(hào)、且通過(guò)高強(qiáng)度的安全憑證認(rèn)證后登錄。統(tǒng)一賬號(hào)管理和身份認(rèn)證系統(tǒng)建立起第一道屏障，把非法或者無(wú)憑證的用戶拒絕。采用RBAC基于角色的訪問(wèn)控制建立統(tǒng)一授權(quán)系統(tǒng)，對(duì)已登錄的用戶遵循最小權(quán)限的原則進(jìn)行細(xì)粒度的訪問(wèn)授權(quán)，包括數(shù)據(jù)訪問(wèn)授權(quán)、作業(yè)提交授權(quán)、服務(wù)訪問(wèn)授權(quán)等。統(tǒng)一授權(quán)系統(tǒng)建立起第二道屏障，把合法用戶的未授權(quán)訪問(wèn)拒絕?；诖髷?shù)據(jù)平臺(tái)日志建立統(tǒng)一審計(jì)系統(tǒng)，對(duì)于大數(shù)據(jù)平臺(tái)各個(gè)系統(tǒng)和組件的日志進(jìn)行統(tǒng)一收集、解析、存儲(chǔ)、分析，提供審計(jì)日志檢索、告警、追溯等功能。統(tǒng)一審計(jì)系統(tǒng)建立起第三道屏障，對(duì)已經(jīng)發(fā)生的訪問(wèn)和操作進(jìn)行記錄，進(jìn)行實(shí)時(shí)告警和事后審查。統(tǒng)一賬號(hào)系統(tǒng)360安全大數(shù)據(jù)平臺(tái)基于LDAP實(shí)現(xiàn)大數(shù)據(jù)統(tǒng)一賬號(hào)系統(tǒng)，對(duì)大數(shù)據(jù)平臺(tái)各個(gè)組件的系統(tǒng)賬號(hào)、用戶賬號(hào)進(jìn)行集中、安全的管理。統(tǒng)一賬號(hào)系統(tǒng)基于LDAP實(shí)現(xiàn)下面的賬號(hào)管理功能：系統(tǒng)管理員增、刪、改、查用戶和組賬號(hào)系統(tǒng)管理員設(shè)置組的組管理員系統(tǒng)管理員設(shè)置密碼安全策略組管理員增、刪、改、查對(duì)應(yīng)組的用戶賬號(hào)審計(jì)日志與統(tǒng)一審計(jì)系統(tǒng)對(duì)接，實(shí)現(xiàn)賬號(hào)管理的集中審計(jì)統(tǒng)一賬號(hào)系統(tǒng)提供Web界面方便管理員進(jìn)行日常操作，并提供RESTfulhttps接口與大數(shù)據(jù)平臺(tái)或者第三方組件與進(jìn)行對(duì)接和賬號(hào)打通，實(shí)現(xiàn)安全、集中的統(tǒng)一賬號(hào)管理。統(tǒng)一認(rèn)證系統(tǒng)360安全大數(shù)據(jù)平臺(tái)基于Kerberos和IP白名單實(shí)現(xiàn)大數(shù)據(jù)統(tǒng)一認(rèn)證系統(tǒng)，從安全證書(shū)和網(wǎng)絡(luò)IP兩個(gè)維度交叉對(duì)平臺(tái)用戶進(jìn)行身份認(rèn)證，合法的用戶可以進(jìn)行操作，非法的用戶會(huì)被拒絕不能進(jìn)行操作。平臺(tái)實(shí)現(xiàn)了HDFS、HBase、Hive、YARN、MapReduce、YARN、Kafka、TransferX、BigManager、BigPlorer等組件的Kerberos認(rèn)證機(jī)制。為了防止Kerberos證書(shū)被泄露或者誤用，360安全大數(shù)據(jù)平臺(tái)還在Kerberos基礎(chǔ)上進(jìn)行認(rèn)證加固，基于IP白名單對(duì)訪問(wèn)者的IP進(jìn)行認(rèn)證，被授權(quán)合法的IP+用戶組合才能訪問(wèn)平臺(tái)，未授權(quán)的IP即使有Kerberos證書(shū)也無(wú)法正常訪問(wèn)平臺(tái)，從而降低Kerberos證書(shū)被泄露的安全風(fēng)險(xiǎn)。統(tǒng)一授權(quán)系統(tǒng)360安全大數(shù)據(jù)平臺(tái)實(shí)現(xiàn)基于RBAC模型的大數(shù)據(jù)統(tǒng)一授權(quán)系統(tǒng)，通過(guò)角色和權(quán)限兩個(gè)維度對(duì)平臺(tái)用戶進(jìn)行身份授權(quán)，具有合法權(quán)限的用戶可以進(jìn)行操作，不具備權(quán)限的用戶會(huì)被拒絕不能進(jìn)行操作。基于角色的訪問(wèn)控制RBAC授權(quán)系統(tǒng)實(shí)現(xiàn)如下的功能：基于角色進(jìn)行訪問(wèn)控制和授權(quán)，對(duì)角色進(jìn)行的授權(quán)會(huì)對(duì)這個(gè)角色的所有用戶生效，可以方便的對(duì)一組用戶進(jìn)行批量授權(quán)和回收。用戶默認(rèn)屬于自己和所屬組兩個(gè)角色，可以根據(jù)授權(quán)的需要?jiǎng)?chuàng)建新的角色并賦予相應(yīng)的權(quán)限，然后在角色中增加和刪除用戶實(shí)現(xiàn)授權(quán)和回收。訪問(wèn)控制和授權(quán)的粒度可以根據(jù)需要細(xì)化，包括授權(quán)的主體、客體、權(quán)限等各個(gè)維度。提供可視化Web頁(yè)面對(duì)統(tǒng)一授權(quán)系統(tǒng)進(jìn)行操作。普通用戶可以在Web頁(yè)面上查看自己的角色和權(quán)限，申請(qǐng)新的權(quán)限。組管理員和管理員可以審批普通用戶的權(quán)限申請(qǐng)，對(duì)已有的角色和權(quán)限進(jìn)行修改?？蓴U(kuò)展的插件化機(jī)制，提供統(tǒng)一的服務(wù)端和RBAC客戶端插件機(jī)制支持不同組件的集中授權(quán)管理，目前已經(jīng)實(shí)現(xiàn)HDFS、HBase、Hive、YARN、Kafka等組件的RBAC授權(quán)管理，新的組件和系統(tǒng)可以通過(guò)調(diào)用RBAC客戶端插件或RESTfulAPI很方便的與授權(quán)系統(tǒng)進(jìn)行對(duì)接。安全可靠的授權(quán)機(jī)制，一方面RBAC服務(wù)端和客戶端之間通過(guò)https進(jìn)行通信，避免授權(quán)信息在網(wǎng)絡(luò)中被監(jiān)聽(tīng)或篡改，另一方面RBAC客戶端將服務(wù)端的訪問(wèn)控制列表緩存到內(nèi)存中，不讀寫(xiě)本地文件，避免主機(jī)被攻破后修改配置文件繞過(guò)授權(quán)系統(tǒng)。統(tǒng)一授權(quán)系統(tǒng)的架構(gòu)如下：權(quán)限服務(wù)中心權(quán)限服務(wù)中心權(quán)限數(shù)據(jù)庫(kù)HDFS插件HBase插件Hive插件Yarn插件Kafka插件HDFS/HBase/Hive/Yarn/Kafka插件運(yùn)行在各相應(yīng)集群中，用戶的每個(gè)操作都需經(jīng)過(guò)插件來(lái)驗(yàn)證授權(quán)信息；各插件會(huì)定時(shí)的跟權(quán)限服務(wù)中心同步權(quán)限權(quán)限數(shù)據(jù)；統(tǒng)一授權(quán)系統(tǒng)的主要界面如下：查看個(gè)人信息及詳細(xì)信息，展示用戶的賬號(hào)、所屬組以及角色，角色的權(quán)限，點(diǎn)擊用戶角色，可以查看該角色的所有權(quán)限詳情。申請(qǐng)權(quán)限，用戶可以申請(qǐng)HDFS/HBase/Hive/YARN/Kafka的權(quán)限。查看、創(chuàng)建、刪除角色及修改角色權(quán)限，對(duì)于已經(jīng)存在的用戶，管理員可以查看完整的用戶列表，并對(duì)用戶的權(quán)限和角色進(jìn)行修改。審批及查看審批歷史，管理員可以對(duì)用戶提交的權(quán)限申請(qǐng)進(jìn)行審批。360安全大數(shù)據(jù)平臺(tái)實(shí)現(xiàn)RBAC基于角色的訪問(wèn)控制授權(quán)系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格的訪問(wèn)控制，用戶默認(rèn)只對(duì)自己的數(shù)據(jù)有訪問(wèn)權(quán)限，需要訪問(wèn)其他用戶的數(shù)據(jù)首先要獲得訪問(wèn)控制授權(quán)。為了實(shí)現(xiàn)最小化授權(quán)和訪問(wèn)控制，360安全大數(shù)據(jù)平臺(tái)的訪問(wèn)控制授權(quán)系統(tǒng)從多個(gè)方面進(jìn)行細(xì)粒度的權(quán)限控制，包括：訪問(wèn)的主體：細(xì)化到用戶或者用戶+程序。普通數(shù)據(jù)訪問(wèn)授權(quán)細(xì)化到用戶，高密級(jí)數(shù)據(jù)訪問(wèn)授權(quán)細(xì)化到某個(gè)用戶的某個(gè)程序，授權(quán)的程序需要進(jìn)行代碼審查和備案，可以有效防止通過(guò)拷貝數(shù)據(jù)轉(zhuǎn)儲(chǔ)等方式濫用授權(quán)的數(shù)據(jù)。訪問(wèn)的客體：細(xì)化到結(jié)構(gòu)化數(shù)據(jù)的表、字段，非結(jié)構(gòu)化數(shù)據(jù)的目錄、文件、對(duì)象、文檔。訪問(wèn)的權(quán)限：細(xì)化到結(jié)構(gòu)化數(shù)據(jù)show/desc/select/update/delete/insert等，非結(jié)構(gòu)數(shù)據(jù)的讀、寫(xiě)、查找等。訪問(wèn)的有效期：可細(xì)化指定授權(quán)的截止時(shí)間，在截止時(shí)間之前的有效期內(nèi)訪問(wèn)授權(quán)有效，有效期過(guò)后授權(quán)自動(dòng)失效權(quán)限自動(dòng)收回。訪問(wèn)的時(shí)間段：可細(xì)化指定授權(quán)允許的時(shí)間段，比如工作日的工作時(shí)間段，防止在非預(yù)期的時(shí)間數(shù)據(jù)被訪問(wèn)。訪問(wèn)的來(lái)源：可細(xì)化指定授權(quán)訪問(wèn)的來(lái)源IP，限定只能通過(guò)某個(gè)/某些IP來(lái)源的請(qǐng)求才能訪問(wèn)授權(quán)數(shù)據(jù)，防止被授權(quán)賬號(hào)被竊取或故意在非預(yù)期的設(shè)備/主機(jī)上使用。統(tǒng)一審計(jì)系統(tǒng)360安全大數(shù)據(jù)平臺(tái)基于審計(jì)日志實(shí)現(xiàn)大數(shù)據(jù)統(tǒng)一審計(jì)系統(tǒng)，支持通用的日志收集模塊和高危操作實(shí)時(shí)告警功能，允許審計(jì)員對(duì)日志設(shè)置多樣化多維度的過(guò)濾規(guī)則，在海量數(shù)據(jù)中實(shí)時(shí)、精準(zhǔn)的識(shí)別高危操作。同時(shí)審計(jì)系統(tǒng)對(duì)收集的日志支持全文檢索，方便審計(jì)員快速回溯用戶行為。平臺(tái)目前支持HDFS、HBase、Hive、Yarn組件的審計(jì)，且支持多樣性的告警方式。統(tǒng)一審計(jì)平臺(tái)實(shí)現(xiàn)如下功能：基于日志進(jìn)行統(tǒng)一的審計(jì)，收集各個(gè)組件的審計(jì)日志，進(jìn)行集中存儲(chǔ)，檢索，分析，告警。審計(jì)日志存儲(chǔ)采用經(jīng)過(guò)加固的ElasticSearch，數(shù)據(jù)只能新增和按照日期淘汰清理，不能手動(dòng)修改或刪除，保護(hù)審計(jì)日志不會(huì)被惡意篡改和清除。提取審計(jì)日志中結(jié)構(gòu)化信息，包括集群，用戶，IP，操作，對(duì)象，時(shí)間等，對(duì)不同的審計(jì)日志做統(tǒng)一的結(jié)構(gòu)化處理，展示，分析等。交互式的審計(jì)日志檢索，可以對(duì)結(jié)構(gòu)化的集群，用戶，IP，操作，對(duì)象，時(shí)間等字段進(jìn)行精確檢索，也可以對(duì)原始日志做模糊檢索。自定義的告警策略，支持等值，包含，正則等多種日志匹配規(guī)則，支持郵件，短信等告警方式?？蓴U(kuò)展的統(tǒng)一審計(jì)架構(gòu)，新的組件或系統(tǒng)可以方便地整合到統(tǒng)一審計(jì)系統(tǒng)中，只需要采集審計(jì)日志，配置/開(kāi)發(fā)日志解析，定義告警策略，就可以實(shí)現(xiàn)集中的審計(jì)管理。統(tǒng)一審計(jì)系統(tǒng)的架構(gòu)如下：日志收集日志收集日志收集日志收集日志收集實(shí)時(shí)過(guò)濾告警模塊日志存儲(chǔ)檢索模塊消息隊(duì)列『日志收集』模塊負(fù)責(zé)實(shí)時(shí)收集各集群的日志，該模塊支持自動(dòng)識(shí)別按日期切割的日志；『日志收集』模塊收集的日志會(huì)發(fā)到『消息隊(duì)列』中；『實(shí)時(shí)過(guò)濾報(bào)警』模塊會(huì)實(shí)時(shí)的從『消息隊(duì)列』中讀取原始日志，并根據(jù)用戶設(shè)定的告警過(guò)濾規(guī)則過(guò)濾日志；同時(shí)會(huì)將日志存儲(chǔ)進(jìn)『日志存儲(chǔ)』集群中；『檢索模塊』提供了豐富的條件檢索功能，高效的對(duì)『日志存儲(chǔ)』集群中的日志進(jìn)行檢索。統(tǒng)一審計(jì)系統(tǒng)的主要界面如下：審計(jì)日志展示：默認(rèn)分頁(yè)展示所有經(jīng)過(guò)解析成標(biāo)準(zhǔn)字段的日志，每條日志后面都支持查看原始日志，點(diǎn)擊之后會(huì)顯示該條日志的原始內(nèi)容。審計(jì)日志搜索，搜索字段定為集群類型、集群名