1、.wd.wd.wd.數據中心與大數據安全方案數據中心與大數據安全概述隨著信息技術的迅猛開展，大數據技術在各行各業的逐步落地，越來越多的單位和組織建設數據中心、部署大數據平臺，進展海量數據的采集、存儲、計算和分析，開發多種大數據應用解決業務問題。在大數據為業務帶來巨大價值的同時，也帶來了潛在的安全風險。一方面，傳統數據中心面臨的安全風險如網絡攻擊、系統漏洞等依然存在；另一方面，針對大數據的數據集中、數據量大、數據價值大等新特點的安全風險更加凸顯，一旦數據被非法訪問甚至泄漏損失非常巨大。數據中心與大數據安全風險分析數據中心和大數據環境下的安全風險分析如下：合規性風險：數據中心的建設需滿足等級保護或

2、分級保護的標準，即需要建設安全技術、管理、運維體系，到達可信、可控、可管的目標。為了滿足合規性需求，需要在安全技術、運維、管理等方面進展更加靈活、冗余的建設。根基設施物理安全風險：物理層指的是整個網絡中存在的所有的信息機房、通信線路、硬件設備等，保證計算機信息系統根基設施的物理安全是保障整個大數據平臺安全的前提。邊界安全風險：數據中心的邊界包括接入終端、服務器主機、網絡等，終端包括固定和移動終端都存在被感染和控制的風險，服務器主機存在被入侵和篡改的風險，數據中心網絡存在入侵、攻擊、非法訪問等風險。平臺安全風險：大數據平臺大多在設計之初對安全因素考慮較少，在身份認證、訪問控制授權、審計、數據安全

3、方面較為薄弱，存在冒名、越權訪問等風險，需要進展全方位的安全加固。業務安全風險：大數據的應用和業務是全新的模式，在代碼安全、系統漏洞、Web安全、訪問和審計等多個方面存在安全風險。數據安全風險：由于數據集中、數據量大、數據價值大，在大數據環境下數據的安全尤為重要，數據的訪問控制、保密性、完整性、可用性方面都存在嚴峻的安全風險。運營管理風險：安全技術和策略最終要通過安全運營管理來落實，安全運營管理非常重要，面臨管理疏漏、響應不及時或力度不夠、安全監控和分析復雜等風險。數據中心與大數據安全解決方案設計原那么本方案需要充分考慮長遠開展需求，統一規劃、統一布局、統一設計、標準標準，并根據實際需要及投資

4、金額，突出重點、分步實施，保證系統建設的完整性和投資的有效性。在方案設計和工程建設中應當遵循以下的原那么：合規性和標準化原那么安全規劃和建設應嚴格遵循國家信息安全等級保護或分級保護標準和行業有關法律法規和技術標準的要求，同時兼顧參考國際上較為成熟的ISO27000、CSA的成熟范例，從技術、運行管理等方面對工程的整體建設和實施進展設計，充分表達標準化和標準化。國產自主化原那么大數據中心信息的安全，關乎整個上層應用的信息系統平穩運轉和工作正常開展，采用國產化自主可控的硬件和軟件進展數據中心和大數據安全，防止國外技術封鎖和后面帶來的 基本性安全風險。適度安全原那么任何信息系統都不能做到絕對的安全，

5、在安全規劃過程中，要在安全需求、安全風險和安全成本之間進展平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。適度安全也是等級保護建設的初衷，因此該安全規劃在進展設計的過程中，一方面要嚴格遵循 基本要求，從物理、網絡、主機、應用、數據、虛擬化、虛擬網絡等層面加強防護措施，保障信息系統的機密性、完整性和可用性，另外也要綜合考慮業務和成本的因素，針對信息系統的實際風險，提出對應的保護強度，并按照保護強度進展安全防護系統的設計和建設，從而有效控制成本。技術管理并重原那么信息安全問題從來就不是單純的技術問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的，僅僅通過部署安全產品

6、很難完全覆蓋所有的信息安全問題，因此必須要把技術措施和管理措施結合起來，更有效的保障信息系統的整體安全性。先進性和成熟性原那么所建設的安全體系應當在設計理念、技術體系、產品選型等方面實現先進性和成熟性的統一。首先，云產品必須成熟，更加遵守標準。第二，云供應商必須與用戶簽署相關合同協議，這有助于客戶滿足云合規性的需求。并且，選擇目前和未來一定時期內有代表性和先進性的成熟的安全技術，既保證當前系統的高安全可靠，又滿足系統在很長生命周期內有持續的可維護和可擴展性。動態調整原那么信息安全問題不是靜態的。信息系統安全保障體系的設計和建設，必須遵循動態性原那么。必須適應不斷開展的信息技術和不斷改變的脆弱性

7、，必須能夠及時地、不斷地改進和完善系統的安全保障措施。保密原那么工程的整體過程和結果應嚴格保密，涉及工程的所有人員均需簽署保密協議，未經授權，對工程涉及的任何信息不得泄露?？傮w架構針對數據中心與大數據安全的安全分析，基于上述設計原那么，數據中心與大數據安全的總體架構如下：針對數據中心與大數據安全威脅的多樣化、體系化，防御體系利用先發優勢，在各個層面進展縱深覆蓋，實現風險分化、協同互補，構建一套環環相扣的威脅感知、邊界安全防護、平臺安全防護、業務安全防護、數據安全防護多重縱深防御體系。從云端到終端、從業務到數據、從事前到事后，為數據中心提供無所不在的全方位保護，在大數據環境中為用戶提供多層次、多

8、維度、體系化縱深防御的解決方案，綜合提升應對新型安全威脅的能力，真正做到看得見的安全和有效安全。威脅感知：360建設了基于大數據安全分析和威脅情報的云計算中心，形成有效對抗新型威脅的防御和檢測體系，通過該體系，可以挖掘未知威脅、預知風險，全面、快速、準確地感知過去、現在、為了的威脅態勢，同時經過提煉后的情報信息會實時同步到邊界、業務、數據安全防護體系中，大幅提升邊界、平臺、業務、數據的整體安全防護能力。邊界安全防護：基于業務的風險和控制需求，劃分不同的物理/邏輯安全區域，在安全區域邊界、網絡出口邊界、無線接入邊界、終端接入邊界建設健全的邊界立體防控體系，基于天擎終端安全、天堤網關安全等產品實現

9、邊界協同防御，同時通過與威脅情報中心的情報交互，以及流量的上下文情景感知分析，實現動態策略自動下發與阻斷，將或未知威脅阻斷在邊界之外，有效保護各邊界區域的網絡信息安全。平臺安全防護：通過建設大數據分布式環境中的4A體系賬號Account、認證Authentication、授權Authorization、審計Audit，保證只有具備合法賬號、通過身份認證、經過訪問授權的人才能使用大數據平臺，且具備平臺各個系統使用和訪問的集中統一審計與監控。業務安全防護：通過對業務和應用的深入分析，從業務系統的代碼缺陷、自身加固缺乏入手，再對用戶數據業務訪問的行為詳細審計分析，進展源代碼安全檢測、分析、溯源、缺陷

10、管理，建設系統漏洞管理和響應機制；對Web系統進展安全掃描、監測、防護；進展日志、數據庫、大數據方面的審計。數據安全防護：對大數據平臺中的數據進展加密和數據密級管理，基于分布式數據復制、校驗等技術實現數據的完整性、可用性，通過網關敏感信息檢查、終端敏感信息檢查、終端數據加密實現數據的安全可控和防泄漏。數據中心和大數據安全體系的設計理念是在整體安全攻防體系下考慮大數據平臺和數據安全，主要特點如下：安全體系是一個整體：大數據安全不是孤立的，要基于整體安全攻防體系來構建大數據安全。整體安全攻防體系包括威脅感知、邊界安全、平臺安全、業務安全、數據安全等。大數據環境的4A體系：在分布式、海量數據的大數據

11、環境中，構建用于大數據平臺內所有系統的統一賬號Account、認證Authentication、授權Authorization、審計Audit4A體系。大數據加密體系：所有數據加密存儲、加密傳輸，實現數據密級管理體系，根據不同密級的數據選擇不同強度加密算法、數據多層加密。差異化多級防御：不同安全產品基于不同安全技術從不同角度保護系統的安全，防止單點被突破后整體安全淪陷。安全威脅感知基于360云端大數據中心和企業本地大數據中心以及數據中心流量分析，安全威脅感知體系可以及時洞察展現數據中心的安全威脅和安全態勢。360態勢感知與安全運營平臺NGSOC及時發現本地的威脅和異常，同時通過圖形化、可視化的

12、技術將這些威脅和異常的總體安全態勢進展展現。360天眼能夠對未知威脅的惡意行為實現早期的快速發現，并可對受害目標及攻擊源頭進展精準定位，最終到達對入侵途徑及攻擊者背景的研判與溯源。360 NGSOC和360天眼都基于云端威脅情報中心提供的可機讀威脅情報與本地流量數據相結合，威脅情況可以根據數據中心實際情況采取在線產線、云端推送、離線拷貝等多種靈活方式進入數據中心。威脅態勢感知360態勢感知與安全運營平臺NGSOC是基于360威脅情報和本地大數據技術的對用戶本地的安全數據進展快速、自動化的關聯分析，及時發現本地的威脅和異常，同時通過圖形化、可視化的技術將這些威脅和異常的總體安全態勢展現給用戶的系

13、統。360態勢感知與安全運營平臺一方面可基于360自有的多維度海量互聯網安全數據，進展情報挖掘與云端關聯分析，提前洞悉各種安全威脅，并將威脅情報以可機讀格式推送到本地系統，供本地威脅檢測和分析時使用，另一方面，360態勢感知與安全運營平臺可對本地全量數據進展采集和存儲，利用大數據技術在本地進展安全數據分析和威脅溯源。整個設計將遵循發現、阻斷、取證、溯源、研判、拓展的安全業務閉環設計，使得用戶能通過產品各個功能模塊完成威脅處置的全過程。360態勢感知與安全運營平臺NGSOC主要實現以下功能：日志檢索日志檢索APP的主要功能是對采集到的全量原始日志進展快速檢索，可實現千億條日志秒級檢索的性能。關聯

14、分析關聯分析APP是方便安全分析人員對多維度數據進展關聯并分析攻擊路徑、取得攻擊證據鏈的工具。在此APP上安全分析員可以將原始網絡流量日志、原始主機日志、安全設備告警、威脅情報、互聯網根基數據等多維度數據進展關聯，尋找攻擊者的在內網留下的痕跡，對攻擊進展溯源和研判，并按照時間維度形成攻擊證據鏈。威脅情報利用通過從360云端獲取在線查詢、云端推送或離線拷貝可機讀威脅情報，本地系統可自動創立分析規那么，對本地網絡中采集的數據進展實時比比照對，發現可疑的連接行為；同時，可利用威脅情報對歷史數據進展比對，以發現曾經發生過的APT攻擊行為或本地網絡中的Botnet主機，并可利用情報對安全事件進展溯源分析

15、。告警響應中心360態勢感知與安全運營平臺采集的數據維度較多，太多的日志和告警反而讓安全管理員無從下手。通過告警響應中心，安全管理員可將多個不同維度的數據進展關聯后再做研判，這樣可大大減少有效告警數量，提升安全管理效率。在告警響應中心，安全管理員可將潛在的威脅的判定邏輯做成關聯規那么，實時的發現符合威脅判定邏輯的內網行為，并產生告警。在發現關聯告警后，安全管理員可將告警內容和響應建議通過郵件、短信等方式發送給指定的安全事件處置人員，或者將其推送到下級處置中心，如：天擎終端管控中心。在下級處置中心完成事件處置后，告警響應中心會將告警事件標記為“已處置。報表中心提供豐富的報表管理功能；根據時間、數

16、據類型等定期自動生成報表，提供打印、導出以及郵件送達等服務；直觀地為管理員提供決策和分析的數據根基，幫助管理員掌握網絡及業務系統的狀況。報表可以保存為HTML、EXCEL、文本、PDF、WORD、PNG等多種格式，提供報表模版的導入、導出功能，用戶可根據需求自定義相關報表模版進展數據的導入、導出。網站監控網站監控APP是用于監測網站安全性與可用性的系統，與常見監控技術不同的是網站監控APP采用了云掃描、互聯網漏洞眾測平臺及云多點探測等新技術，解決了以往網站監測僅依靠本地漏洞掃描及人工值守存在的時效性和準確性等問題。網站監控系統能通過云掃描技術對大量網站同時進展漏洞掃描，并具備篡改、掛馬及暗鏈的

17、發現能力，通過互聯網漏洞眾測平臺保證漏洞包括WEB 0Day發現的準確性及時效性，通過云多點監測全天候對大量網站進展可用性監測。安全儀表板利用系統采集的海量數據，并根據用戶不同的安全分析應用場景，精心定義了四類不同的安全儀表板，分別為資產威脅視圖、互聯網威脅視圖、安全告警視圖、資產安全監控視圖。資產威脅視圖中定義了內網資產拓撲、資產安全事件告警及漏洞統計、資產風險統計、組件狀態等儀表板；互聯網威脅視圖中定義了外部威脅視圖、外聯安全事件告警統計、外聯安全事件告警詳情等儀表板；安全告警視圖中主要定義了安全事件告警詳情、安全事件告警處置、安全事件處置狀態等儀表板；資產安全監控視圖中主要定義了安全域資

18、產信息統計、安全域各維度告警及風險統計、安全域所包含資產的漏洞詳情等儀表板。通過這些儀表板的使用，極大提高了安全事件的可視化展現能力，同時幫助分析人員從視圖中快速發現異常，提供深入分析的線索?？梢暬氖录菰捶治鐾ㄟ^利用威脅情報發現APT攻擊或Botnet主機后，可進一步通過系統提供的可視化分析工具和海量的云端安全數據，對事件進展溯源分析，在互聯網范圍內發現類似的攻擊事件，找出攻擊事件背后的團伙和實際的攻擊者，提高分析人員對安全事件的溯源分析能力。態勢感知大屏態勢感知大屏APP提供4種面向不同安全場景的態勢監控界面：APT攻擊態勢、DDoS攻擊態勢、僵木蠕毒安全態勢和網站安全態勢。大數據安全分

19、析360天眼新一代威脅感知系統以下簡稱“天眼可基于360自有的多維度海量互聯網數據，進展自動化挖掘與云端關聯分析，提前洞悉各種安全威脅，并向客戶推送定制的專屬威脅情報。同時結合部署在客戶本地的大數據平臺，進展本地流量深度分析。360天眼能夠對未知威脅的惡意行為實現早期的快速發現，并可對受害目標及攻擊源頭進展精準定位，最終到達對入侵途徑及攻擊者背景的研判與溯源，幫助企業防患于未察。360天眼的功能如下：天眼分析平臺威脅感知能夠接收云端提供的威脅情報，對網絡中的威脅事件進展發現和告警威脅情報可支持在線和離線升級兩種方式對于重要的未知威脅告警，將告知客戶攻擊背景信息可提供未知威脅在本地發生的具體時間

20、和受害主機地址能夠對未知告警的受害IP進展搜索能夠對未知威脅告警進展處理，可設置已處理、未處理、忽略等狀態威脅詳情展示，以時間軸的方式展示日志分布，和螺旋圖形成兩套可選方案，用戶自行選擇點擊圖標切換兩種顯示方式。用戶點擊后可保存當前選擇為后續的默認選擇提供告警數據導出功能，以excel表格式導出告警數據日志檢索可對TB級日志做到快速搜索，搜索時間小于30s可將日志區分為普通流量日志和告警日志，并可按照不同的日志類型就行日志篩選網絡流量日志至少包含DNS、 、TCP、FTP、LDAP、SMTP、IMAP、POP3等網絡流量行為日志，并可按照以上應用協議的各個關鍵字段搜索日志流量日志記錄至少包含以

21、下字段：時間、IP、IP地理位置、端口、域名、 頭信息、SQL語句、郵件收件人和發件人、文件名、文件MD5、應用層payload前100字節?？蓪α髁咳罩镜年P鍵字段進展追加搜索，從上一次的搜索結果中重新按照新的規那么搜索日志可將IP地址的地理位置信息及AS號解析出來可展示日志的時間分布支持日志導出可篩選關鍵字段展示，隱藏不必要的日志信息所有日志均可以標準化接口形式提供可以搜索文件訪問行為，并展示復原流量中文件的MD5和文件名支持搜索歷史記錄，點擊后可重新搜索支持規那么搜藏，導入導出支持基于選擇字段的快速搜索支持lucence語法高級搜索支持搜索結果導出，以excel格式導出，導出條目數不超過5

22、000操作審計功能提供審計日志功能，能夠記錄所有對產品的配置修改、數據修改、數據檢索、登錄登出等操作。提供審計日志篩選搜索功能，能夠按照時間段、角色、用戶、操作類型篩選審計日志提供審計日志展示功能，可以展示操作日志的操作時間、角色、用戶、用戶登錄IP、操作類型和具體操作細節。提供審計日志統計功能，可以按照時間軸展示時間軸上操作數量的分布，時間軸可以圈選、拖動、同日志檢索系統的時間軸狀態顯示功能一周日志統計功能，當前時間向前7天的每日日志數量趨勢，統計本周日志總量。一周告警統計功能，包含APT和非APT的比例和條目數集群狀態展示，展示集群服務器數量，集群狀態，各服務器數據盤占用率以及主從情報信息

23、，展示情報總量，更新次數和最近更新日期系統信息，分析平臺當前節點的CPU、內存占用證書信息，當前系統的證書類型，服務起止時間，情報時間聯動設備狀態信息，聯動設備的連接狀態，設備以設備名，綠色連接正常，紅色鏈接異常。管理功能能夠支持時間同步，支持NTP V4.0協議能夠提供網絡管理功能，可進展靜態路由配置屢次登錄失敗將鎖定賬號5分鐘內不得登錄可支持在線升級和離線升級兩種升級方式，并支持定時自動升級可實時監控設備的CPU、內存、存儲空間使用情況?？尚略霾⒐芾碛脩?，可控制用戶使用權限。權限包含：管理權限、應用權限、設備權限、數據權限等?？芍С钟脩舫醮蔚顷憦娭菩薷拿艽a功能。部署情況可支持集群部署，可水

24、平擴展至多臺設備集群，以應對大量數據情況，可支持PB級數據檢索。天眼傳感器威脅檢測提供對常見掃描行為的檢測能力能夠檢測常見的遠控木馬行為提供對主要Web應用攻擊的檢測能力，包括：注入、跨站、webshell、命令執行、文件包含等；流量記錄能夠對網絡通信行為進展復原和記錄，以供安全人員進展取證分析，復原內容包括：TCP會話記錄、Web訪問記錄、SQL訪問記錄、DNS解析記錄、文件傳輸行為、LDAP登錄行為。支持對流量中出現文件傳輸行為進展發現和復原，將文件MD5發送至分析平臺可以支持MSSQL、MYSQL、ORACLE三種sql協議的分析和復原文件復原可分析的文件傳輸協議包括：郵件SMTP、PO

25、P3、IMAP、webmail、Web 、FTP、SMB支持對常見可執行文件的復原：EXE、DLL、OCX、SYS、COM、apk等支持對常見壓縮格式的復原：RAR、ZIP、GZ、7Z等支持常見的文檔類型的復原：word、excel、pdf、rtf、ppt等管理功能能夠支持時間同步，支持NTP V4.0協議能夠提供網絡管理功能，可進展靜態路由配置屢次登錄失敗將鎖定賬號5分鐘內不得登錄可支持在線升級和離線升級倆種升級方式，并支持定時自動升級可支持用戶初次登陸強制修改密碼功能?？蓪崟r監控設備的CPU、內存、存儲空間使用情況。能夠監控監聽接口的實時流量情況可以分析統計1天或1周時間內的文件復原數量情

26、況可以分析統計1天或1周時間內的各個應用流量的大小和分布情況。部署情況可支持旁路部署，對鏡像流量進展監聽可支持IPv4網絡和IPv6網絡兩種部署場景，可對兩種網絡流量均進展分析復原?？芍С址植际讲渴?，可以多臺采集器同時部署于客戶網絡不同位置并將數據傳輸到同一套分析平臺威脅情報中心360威脅情報中心是中國首個面向企業和機構的互聯網威脅情報整合專業機構。中心以業界領先的安全大數據資源為根基，基于360長期積累的核心安全技術，依托亞太地區頂級的安全人才團隊，通過強大的大數據能力，實現全網威脅情報的即時、全面、深入的整合與分析，為監管部門提供網絡威脅預警與情報。360威脅情報中心提供兩種使用方式，一是

27、通過訪問威脅情報中心網站查詢數據，二是調用威脅情報中心的API接口直接調用數據。用戶可通過威脅情報中心網站s:/ti.360 查看360公司最新發布的網絡安全事件報告，并可對360云端數據進展搜索和分析。360威脅情報中心遵循REST API標準提供接口訪問，實現如下功能： 域名分析：獲取域名對應的IP地址、IP地址相關地理位置信息、當前和歷史Whois信息、威脅類型、相關樣本信息、遞歸解析域名的客戶端ID、相關攻擊團伙或安全事件信息。IP分析：獲取IP所屬地、相關域名、AS域、威脅類型、相關樣本信息、相關攻擊團伙或安全事件信息。MD5分析：獲取樣本的首次發現時間、創立時間、文件大小，檢測結果

28、、上傳樣本客戶端MID信息。邊界安全防護邊界安全防護是在數據中心的各個邊界區域和點進展防護，阻止入侵者進入核心系統，邊界安全防護包括數據中心的終端安全、主機安全和網絡安全。終端安全保護接入大數據平臺的PC終端的安全，采用360天擎實現病毒/木馬防護、終端審計、合規管理、軟件管理、資產管理、邊界聯動等。主機安全保護數據中心物理服務器和云主機的安全，采用360天擎進展主機病毒/木馬防護和補丁管理，采用主機加固降低主機安全風險。網絡安全首先做好安全區域劃分，采用網神SecGate3600下一代防火墻進展網絡隔離，采用網閘實現單向網絡訪問，采用DDoS清理抵抗網絡攻擊，采用SSL VPN實現安全接入，

29、采用360天巡防控無線網絡安全風險。終端安全在終端上在部署360天擎終端安全管理系統，實現終端安全防護，包括Windows系統終端和Linux系統終端。360天擎終端安全管系統是360面向政府、企業、金融、軍隊、醫療、教育、制造業等大型企事業單位推出的集防病毒與終端安全管控于一體的解決方案。360天擎終端安全管理系統，以大數據技術為支撐、以可靠服務為保障，它能夠為用戶準確檢測病毒木馬、未知惡意代碼，有效防御APT攻擊，并提供終端資產管理、漏洞補丁管理、安全運維管控、網絡安全準入、移動存儲管理、終端安全審計、XP盾甲防護諸多功能。360天擎的主要功能如下：病毒/木馬防護天擎終端安全管理系統支持對

30、蠕蟲病毒、惡意軟件、廣告軟件、訛詐軟件、引導區病毒、BIOS病毒的查殺，這依賴于QVM人工智能引擎、云查殺引擎、AVE針對可執行文件的引擎、QEX針對非可執行文件的引擎等多引擎的協同工作。補丁管理在企業的數據中心和辦公網絡中存在各種不同類型的操作系統及不同版本的操作系統都需要管理員進展全面的補丁管理，管理員往往需要甄別不同的操作系統并根據各個系統的不同情況有選擇性的下發系統補丁，服務器系統尤為復雜，需要管理員將補丁與服務器應用進展兼容性測試后才能對相應的服務器進展補丁升級操作。天擎終端安全管理系統可以對全網計算機進展漏洞掃描把計算機與漏洞進展多維關聯，可以根據終端或漏洞進展分組管理，并且能夠根

31、據不同的計算機分組與操作系統類型將補丁錯峰下發，在保障企業網絡帶寬的前提下可以有效提升企業整體漏洞防護等級。資產管理天擎終端安全管理系統具有強大的終端發現功能，管理員可以通過定義網絡IP段分組，對指定的網絡分組進展周期性地發現采用多協議、多機制方式與統計網絡中的終端數量及類型。管理員通過此功能，了解全網終端數量和天擎終端的安裝量，為企業終端安全管理運維提供有效的參考。軟件管理天擎終端安全管理系統獨有的企業軟件管家功能不但能夠統計全網終端的軟件部署情況，還可以根據企業不同部門進展終端分組，并對不同分組分發不同軟件，實現遠程部署、遠程通知安裝等方式。天擎企業軟件管家集軟件下載、升級、卸載等功能于一

32、體，為企業提供必要的一站式軟件管理服務。通過使用企業軟件服務，可以防止來源不明的軟件的安裝和運行帶來的各種風險如含有惡意代碼或者木馬程序，又可能合理分配和控制企業購置的軟件許可證。終端安全管控終端安全運維管控包含對終端的流量管理、非法外聯、應用程序安全、網絡安全、外設、桌面安全加固等。移動存儲介質管理天擎終端安全管理系統，能夠實現對移動存儲設備的靈活管控，保證終端與移動存儲介質進展數據交換和共享過程中的信息安全要求。移動存儲管理包括移動存儲介質的身份注冊、網內終端授權管理、移動介質掛失管理、外出管理和終端設備例外等功能。綜合安全評估評估中心通過對內網終端的配置脆弱程度、終端數據價值和終端淪陷跡

33、象進展評估，實現對網內終端安全性、核心數據終端以及終端使用痕跡的實時掌握，支持不同分組執行不同任務，以及對任務的優先級進展排序。終端強制合規NAC天擎強制合規NAC組件主要為企事業單位解決入網安全合規性要求，實現用戶和設備的網絡實名制認證管理、網絡邊界安全防護管理、核心業務訪問準入等問題。用于防止企業網絡資源不受設備接入所引起的各種威脅，在有效管理用戶接入網絡行為的同時，也到達了標準化地管理計算機終端的目的。終端審計隨著信息安全技術和理念的開展，安全監控的關注點已經從設備轉向對于設備使用者的行為，用戶對于設備使用人行為審計和行為控制的需求越來越明顯，天擎終端安全管理系統通過技術手段使各種管理條

34、例落地，增強用戶的安全和保密意識，保護內部的信息不外泄。所審計的內容只是跟內網安全合規管理相關的信息，不對涉及終端用戶的個人隱私信息，到達合規管理的審計的要求。邊界聯動防御天擎終端安全管理系統可以與360的邊界防護設備天眼新一代未知威脅感知系統進展聯動，借助360天眼的深度檢測能力，結合天擎終端上的準確防御能力，實現對PC終端的攻擊防御。主機安全數據中心的主機包括物理服務器和虛擬化云主機，所有主機都面臨入侵和攻擊的風險。主機安全主要包括兩個方面：在主機上部署病毒/木馬查殺軟件360天擎，包括Linux和Windows系統，降低病毒/木馬入侵主機和蔓延的風險。對主機進展加固，降低主機遭受攻擊和入

35、侵的風險。對于數據中心的服務器和云主機，無論系統或應用本身安全與否，都可能存在漏洞，安全管理員應負責定期例如1月/次對包括物理服務器和云主機等進展安全加固。系統加固策略包括：使用GRUB的password參數對GRUB設置密碼，防止通過編輯GRUB啟動參數輕松的進入單用戶模式從而修改root密碼，從而造成安全隱患；對ssh服務進展加固，關閉root賬號遠程連接，不允許使用空密碼用戶遠程登錄，設置最大登錄嘗試次數為3；對xinetd服務進展加固，根據最少服務原那么,但凡不需要的服務一律禁用，減少系統所暴露攻擊面，從而提高系統的安全性；清理無主的文件，防止賬號刪除后系統殘留未知文件；刪除非授權文件

36、的全局可寫屬性，控制文件的可寫操作權限，防止任何人都具有寫權限的目錄或文件存在；設置守護進程umask值，控制守護進程訪問權限范圍；為指定分區設置nodev掛載項，限制訪問該文件系統上的文件；限制at、cron定時任務命令的使用權限虛擬化層防護；對于重要文件設置只有root可讀、寫和執行，主要檢查目錄為/etc/、/etc/rc.d/init.d/、/tmp、/etc/inetd.conf、/etc/passwd、/etc/shadow、/etc/group、/etc/group、/etc/services、/etc/security、/etc/rc*.d；檢查未授權SUID/SGID文件，可

37、通過比照SUID/SGID文件列表及時發現可疑后門程序；檢查異常隱藏的文件的存在；開啟TCP sync cookie保護；關閉系統core dump狀態；開啟syslog服務記錄用戶登錄、sudo操作等日志；網絡安全網絡安全是邊界安全防護的重要局部，保護數據中心的網絡與外界隔離、防止外部入侵和攻擊，同時實現安全遠程連接、數據安全導入。根據不通的系統功能、安全需求將數據中心網絡劃分為十個安全域，每個區域采取不同的網絡隔離策略和訪問控制，限制各個區之間的網絡通信，從而降低網絡整體失陷的風險。采用網神SecGate3600防火墻保護數據中心網絡邊界，同時具備網絡入侵檢測和防御的功能。采用網神SecS

38、IS 3600網閘實現數據中心與外界進展安全可控的數據交互，降低數據采集、交換過程中的風險。采用網神SecSSL 3600安全接入網關實現通過網絡安全接入數據中心，保證傳輸信道加密和審計可控，為運維、開發人員提供安全接入堡壘機。采用網神SecGate 3600安全網關抗拒絕服務系統抵御DDoS攻擊，保證數據中心網絡和服務的可用性。采用360天巡無線入侵防御系統，防止有人在數據中心通過私建wifi熱點等無線通信方式帶來網絡風險。安全區域劃分根據系統功能、安全需求不同進展網絡區域劃分，整個網絡劃分為數據源區、運維接入區、業務安全接入區、運維管理區、安全服務區、帶外管理區、大數據平臺核心區、云平臺核

39、心區、大數據平臺和云平臺十個局部，通過核心交換區及在各區域邊界配置相應策略，實現在各個區域之間的訪問控制。安全域劃分示意圖如下所示：數據源區與大數據平臺核心區連通，主要是及大流量和大數據的輸入區域，根據應用需求設置相應策略，允許大數據平臺區的安全訪問，制止其他安全區域的直接訪問。運維接入區提供專屬的區域給運維人員使用，根據訪問的目標類型設置不同安全策略。業務安全接入區提供專屬的區域給進展業務操作使用的人員，根據訪問業務目標的重要性，設置不同的安全策略。為內部用戶提供業務接入服務，與其他區域進展邊界隔離，允許本區域按照工作需要訪問安全服務區，允許本區域按照運維管理區的要求上報運維管理信息，制止本

40、區域主動訪問其他區域。運維管理區負責管理與監控整個網絡的安全與應用系統的運行，本安全域與與其他區域進展邊界隔離，允許本區域主動訪問其他區域，并允許其他安全域按照安全管理要求上報信息。制止其他區域主動訪問本區域。主要部署邊界訪問控制、WEB應用防護、統一用戶和側策略管理、PKI/CA體系、漏掃、惡意代碼防護管理端、安全管理中心等安全設備。大數據平臺核心區作為整個大數據網絡的核心，負責轉發網絡中所有的大數據交互數據；同時對于網絡中各個區域之間的數據交換做合理的訪問控制，允許云平臺核心區、業務接入區、數據源區、安全服務器、帶外管理區和運維管理區的訪問，制止其他區域接入。云平臺核心區作為整個云平臺網絡

41、的核心，負責轉發網絡中所有的虛擬化環境和外部區域的交互數據；同時對于網絡中各個區域之間的數據交換做合理的訪問控制，允許大數據平臺核心區、業務安全接入區、運維接入區、帶外管理區和運維管理區的訪問，制止其他區域接入。安全服務區作為提供應用服務的區域，將所有應用系統中不直接對用戶提供服務的服務器都部署在本區域。安全服務區劃分子域，每一個應用系統的應用服務為一個子域，各子域之間通過網絡策略隔離。本安全域與與其他區域進展邊界隔離，允許業務安全接入區根據應用系統的業務需求訪問本區域，允許本區域按照運維管理區的要求上報運維管理信息，制止業務安全接入區和運維管理區以外的安全域直接訪問本區域。帶外管理區作為獨立

42、區域進展相關網絡設備和服務器設備的單獨管理區域，允許運維接入區、大數據平臺核心區和云平臺核心區的安全接入。制止除該區域之外的安全域訪問本區域。大數據平臺區提供大數據平臺服務的業務區域，所有大數據應用系統的大數據處理服務器和大數據展示都部署在本區域。本安全域與其他區域進展邊界隔離，允許數據源區、業務安全接入區、運維管理區、安全服務器、大數據核心區域和云平臺核心區根據業務需要訪問本區域，允許本區域按照運維管理區的要求上報運維管理信息，制止除此以外的安全域直接訪問本區域。云平臺接入區提供云平臺服務的業務區域，所有虛擬化環境、虛擬化主機和宿主機部署在本區域。本安全域與其他區域進展邊界隔離，允許大數據平

43、臺區、業務安全接入區、運維管理區、安全服務器、大數據核心區域和云平臺核心區根據業務需要訪問本區域，允許本區域按照運維管理區的要求上報運維管理信息，制止除此以外的安全域直接訪問本區域各區域之間的訪問控制策略如下：區域訪問控制關系大數據平臺區云平臺區大數據平臺核心區云平臺核心區數據源區運維接入區業務安全接入區運維管理區安全服務區帶外管理區大數據平臺區可達可達可達可達局部可達可達局部可達可達局部可達云平臺區域可達可達可達不可達局部可達可達局部可達可達局部可達大數據核心區局部可達局部可達局部可達不可達不可達可達可達不可達可達云平臺核心區局部可達局部可達局部可達不可達不可達可達可達不可達可達數據源區可達

44、不可達可達不可達不可達不可達不可達不可達不可達運維接入區局部可達局部可達不可達不可達不可達不可達可達不可達不可達業務安全接入區局部可達局部可達可達可達不可達不可達可達可達不可達運維管理區局部可達局部可達可達可達不可達可達可達可達不可達安全服務區可達可達可達可達不可達可達可達可達不可達帶外管理區局部可達局部可達可達可達不可達不可達不可達不可達不可達防火墻與入侵檢測網神SecGate3600防火墻NSG系列在強勁性能與更先進架構的支撐下，集成訪問控制、用戶授權訪問、虛擬系統、行為管理、應用層綜合安全防護等覆蓋IPv4網絡及IPv6網絡的功能，進一步在網神SecGate3600防火墻NSG系列上完成

45、了與360情報威脅、天擎、病毒云查殺、木馬云查殺、未知威脅感知分析等多項智能聯動功能，內置IPS入侵檢測和防御。是專門為政府、軍隊、教育、運營商、大型企業、中小型企業的互聯網出口打造的“云+端+邊界+聯動下一代安全體系。網神SecGate3600防火墻NSG系列的主要功能如下：高性能隨著網絡技術的開展，邊界防火墻需要支持對應用層的過濾和威脅防護，如何保障開啟應用層過濾和威脅防護情況下能夠高效、快速、穩定運行是新一代防火墻必須面對的問題。在區別于對稱的多核處理構造，網神SecGate 3600防火墻NSG系列采用自主研發且優化后的異步處理構造AMP+，突破前者處理數據的瓶頸，更大程度上提升了防火

46、墻的性能。更高效的性能、更快速的轉發速度是SecGate 3600防火墻NSG系列的基石，讓集成的多種安全防護功能，在全面啟用的情況下，仍然能輕松應對，保證極快的整體轉發速度。應用層轉發延遲有效降低網神SecGate 3600防火墻NSG系列采用完全自主研發的單引擎一次性數據包拆分和物理多核下并行虛擬計算處理技術，使得整個數據的處理，包括應用層數據的處理、入侵防護等高級功能，都在數據平面完成，不涉及數據包的拷貝，進程切換等問題，同時數據的處理在整個轉發階段都使用同一個會話，實現數據包在4-7層的高性能轉發，有效降低應用層轉發延遲。管理員權限三權分立網神SecGate 3600防火墻NSG系列針

47、對管理員的角色建設三權分立的管理員帳號機制，將超級用戶特權集進展劃分,分別授予配置管理員、安全管理員和審計管理員。實現配置管理、安全管理和審計管理功能的同時,也保證管理員權限的隔離。防止因為管理員權限過大所引起的安全風險，也保證已經配置完成的訪問控制策略不會出現未授權的修改，及出現未授權修改時可以保存相關審計信息。安全隔離的虛擬系統網神SecGate 3600防火墻NSG系列支持通過虛擬系統功能，將防火墻虛擬成多個相互隔離并獨立運行的虛擬防火墻系統，每一個虛擬系統都可以為用戶提供定制化的安全防護功能，并可配備獨立的管理員賬號。在用戶網絡不斷擴展時，通過虛擬系統功能不僅能有效降低用戶網絡的復雜度

48、，還能提高網絡的靈活性。當這些相互隔離并獨立運行的虛擬防火墻系統需要通訊時，可以通過防火墻提供的虛擬接口實現，而不需要通過物理鏈路將它們進展連接。高可用性功能支持多種網絡環境網神SecGate 3600防火墻NSG系列支持路由模式的HA和橋模式的HA。路由模式，采用網神SGRP路由冗余備份協議，實現雙主的路由負載均衡和主備的路由冗余備份兩種模式。在一臺防火墻出現問題時，另外一臺可以及時接收路由轉發工作，向用戶提供透明的切換，提高網絡服務質量。透明模式下，支持通過STP和PVST+的生成樹協議完成橋模式的HA冗余備份和快速切換。對稱路由保證來回路徑一致網神SecGate 3600防火墻NSG系列

49、提供對稱路由功能。用戶可以通過啟用接口的對稱路由功能，實現用戶從哪里進來訪問的數據，從哪里再返回出去。例如：用戶內網對外提供一個 服務，同時用戶申請了聯通和電信兩個出口。當聯通的用戶從聯通出口進來訪問 服務時，對稱路由功能可以讓服務器返回給用戶的應答數據也從聯通出口出去。當電信的用戶從電信出口進來訪問 服務時，對稱路由功能可以讓服務器返回給用戶的應答數據也從電信出口出去。保證數據來回路徑的一致性。高適應性的路由負載均衡算法網神SecGate 3600防火墻NSG系列支持在多出口的環境中根據用戶實際需求，匹配多種方式的負載均衡，包括備份、輪詢、源地址哈希、源地址目的地址哈希、目的地址哈希、源地址

50、輪詢、最有鏈路帶寬負載、最優鏈路帶寬備份、隨機、流量均衡、時延負載、跳數負載十二種。可以實現基于權重的路由負載、基于延遲的路由負載、基于會話的路由負載、基于流量的路由負載，滿足用戶各種場景。支持N元組的安全策略網神SecGate 3600防火墻NSG系列的安全策略功能是防火墻的核心功能。提供基于狀態檢測、基于TCP、UDP、ICMP、其他協議的動態包過濾技術，同時能夠控制不同安全域之間的數據轉發。網神SecGate 3600防火墻NSG系列的安全策略規那么可以實現基于源安全域、目的安全域、源地址、目的地址、地理位置、用戶、服務、應用、時間等多種安全屬性的組合，將用戶感興趣、需要進展控制的數據流

51、別離出來，同時配合拒絕或允許的處理行為，實現對IPv4數據及IPv6數據通訊的管理。網神SecGate 3600防火墻NSG系列將按順序對策略規那么進展比較，特定性更強的規那么必須位于一般性更強的規那么前面。例如，如果所有其他與通信相關的設置均一樣，那么適用于單個應用程序的規那么必須位于適用于所有應用程序的規那么前面。如果通信不匹配任何規那么，那么該通信將遭到阻止。因此，用戶可以通過配置安全策略嚴格的制定訪問控制規那么及訪問控制規那么的匹配順序，到達對數據進展控制的目的的同時，也在一定程度在滿足了用戶對安全策略靈活性的要求。根據安全策略的匹配順序，讓用戶網絡中進出防火墻的數據實現針對性的控制。

52、支持解密SSL協議并對其數據進展應用層防護網神SecGate 3600防火墻NSG系列支持對穿過防火墻的SSL協議進展解密，并對解密后的數據提供防護過濾，如攻擊防護、入侵檢測、病毒防護、內容過濾等。同時，對于某些重要數據，不希望防火墻進展解密，網神SecGate 3600防火墻NSG系列也支持將指定的加密數據進展排除不解密。對SSL協議解密并進展過濾可以防止通過SSL協議加密的攻擊行為從防火墻繞過。防火墻解密后的數據在過濾完畢后會再次通過SSL協議加密并發送，保持數據在傳輸的過程中加密特性不變?；趹脤拥木C合攻擊防護功能網神SecGate 3600防火墻NSG系列的攻擊防護模塊通過基于安全域

53、的Flood防護和掃描欺騙防護、IP地址掃描攻擊、端口掃描以及異常包攻擊、應用層攻擊、IP安全域關聯等防護手段，將包括SYN Flood、ICMP Flood、UDP Food、IP Food、 ping of death、Teardrop、IP選項、TCP異常、Smurf、Fraggle、Land、Winnuke等常見的攻擊行為檢測集成在模塊中，使得用戶通過啟用并配置攻擊防護模塊，可以有效的過濾并采取相應的措施阻止非正常報文流入用戶內網，并對 、DNS、DHCP協議提供應用層防護。另一方面，針對局域網多播播送、IP地址欺騙等也提供了專門的防護。安全聯動配合動態策略實現全網威脅攔截網神SecG

54、ate 3600防火墻NSG系列支持與奇虎360公司的天擎系統、威脅情報系統進展聯動。實現全網木馬專項查殺及未知威脅攔截功能。天擎系統通過收集終端應用程序特征，發送給防火墻進展木馬專項查殺及云查殺，攔截木馬程序。威脅情報系統通過互聯網未知威脅分析，將分析出的威脅數據反響給防火墻，由防火墻進展阻斷。聯動功能可以在防火墻生成動態策略，當一樣攻擊再次進入防火墻時，會直接被動態策略攔截，而無需再次檢測，大大提高了防火墻的效率并節省出防火墻更多資源用于承載高級功能。更加靈活、精準的入侵防御功能網神SecGate 3600防火墻NSG系列，基于第三代SecOS操作系統，依托先進的多核全并行處理技術，大幅提

55、高了IPS的處理性能，能夠輕松應對多樣的混合型攻擊。超過3000種的特征庫可以檢測并防范針對 、FTP、SMTP、IMAP、POP3、TELNET、DNS、RPC、MSSQL、ORACLE、NNTP、NETBOIS、TFTP等多種協議的攻擊，以保障網絡的安全。完善的日志系統及監控系統提供了基于不同維度的入侵事件記錄分析，方便管理員掌握當前網絡中的攻擊信息，及時做出正確的管理決策。同時，網神通過專業的特征庫團隊，分析和跟蹤常用根基軟件的漏洞，以及常用應用系統的漏洞利用機理，定期生成攻擊特征庫下發到防火墻，保證IPS在防范漏洞的根基上，也能對新出現的漏洞進展防范，確保了入侵防御功能的有效性。IPS

56、功能中針對每種攻擊特征設定的精細執行動作，極大的提高了入侵防御策略的自由度和靈活性，并且最大程度的降低了誤識別率，從而有效防止了因配置導致的單點故障。采用全新先進的多維動態特征異常檢測引擎網神SecGate 3600防火墻NSG系列采用全新先進的多維動態特征異常檢測引擎，拋棄原有的異常行為特征碼靜態表達的方式，將異常行為、惡意行為特征碼通過多維度提煉，動態進展表達，使得特征表達更加全面、精準、有效，極大提高了防火墻入侵防御系統的命中質量，解決了傳統設備檢測命中率高，但是誤報率同樣高的問題。多種認證方式下的web認證防護策略網神SecGate 3600防火墻NSG系列的用戶認證主要被設計用于增強

57、從內網訪問外網時的控制。用戶認證功能對用戶的訪問采用多層控制，通過對用戶組的訪問地址來源根據源安全域、目的安全域、源地址、目的地址，匹配決定是否進展需要認證，如需認證根據認證服務器反響的結果，進而來決定是否允許用戶的訪問。為了認證的安全，認證模式支持 ， s，默認設置為關閉。為了用戶使用方便，支持認證頁面端口的自定義和同一用戶單個客戶端登陸和多個客戶端同時登陸情景設置，以及證書設置，超時設置等。基于用戶行為的策略管控用戶網絡已經搭建了成熟的認證體系，并且業務賬號如郵件賬號、FTP服務器訪問賬號等都與用戶認證的賬號統一時，SecGate 3600防火墻NSG系列可以提供基于用戶行為的策略管控，在

58、認證用戶通過認證之后，防火墻會記錄用戶通過認證時的IP地址與用戶名信息。勾選基于策略用戶管控功能，在SMTP、POP3、IMAP、FTP協議數據經過防火墻時，防火墻會查看用戶是否為認證過的用戶，如果已認證，那么檢查用戶名與用戶認證時的用戶名是否一樣，防止越權、異常訪問的發生。動態QoS流量分配動態QoS由帶寬管理功能實現，可配置帶寬限制策略。策略類型包括共享型和獨享型，用戶優先級分為高、中、低，服務類型包括了應用層的多種協議。用戶優先級可選高、中、低三級。在用戶都滿足保證帶寬情況下，高優先級用戶將搶占中、低優先級用戶帶寬，中優先級用戶將搶占低優先級用戶帶寬。當網絡中存在空閑帶寬時，網神SecG

59、ate 3600防火墻NSG系列會根據當前網絡帶寬分配情況，自動將空閑帶寬分配給重要業務，保證重要業務的正常訪問?；趦热葸^濾、URL過濾、網絡行為的行為管控網神SecGate 3600防火墻NSG系列提供內容過濾、URL過濾、網絡行為管理功能，從而實現對用戶的網絡行為進展管控。行為管控策略不僅支持準確到IP地址，更可準確到用戶。網絡行為管理功能支持對 、SMTP、POP3、IMAP、FTP、TELNET協議的關鍵命令、關鍵字內容進展管理，支持SMTP、POP3、IMAP郵件協議發件人、收件人的地址黑白名單設置。異常流量監控異常流量監控，實時采集監控對象的流量指標，并以可視化的曲線方式展現給防

60、火墻管理員，幫助管理員定位網絡流量異常問題。流量指標包括：TCP、UDP、ICMP和組播播送流量。通過長時間對歷史數據的學習和計算，異常流量監控功能可以計算出整個網絡或單個接口的正常范圍基線圖，與實際流量比照，即可查看到網絡中或單個接口上的異常流量，從而協助管理員管理網絡、定位問題。全方位狀態信息展示網神SecGate 3600防火墻NSG系列為用戶提供了全面的實時的狀態信息展示，包括網絡接口狀態、接口信息狀態、系統信息狀態、資源狀態、并發連接數、入侵防御狀態、應用流量排行榜。第一時間為管理員修改防火墻配置策略，了解防火墻運行狀態，掌握網絡當前態勢提供實時報告。更加人性化和智能化的狀態展示同時