文件加密系统
属于数据防泄密产品(Data Leak Prevention,简称DLP)
采用计算机、网络通讯、密码加密技术对各类需要加密的文件(红头文件、机要文件、会议纪要、图纸、技术资料、财务报表、商业数据等)进行加密,防止非法泄密的计算机加密控制软件
部署
服务端负责数字证书的生成、记录文件加密信息和解密日志,进行统一管理
防火墙
Firewall
它是一个信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过,主要是网络层的安全防护设备
防火墙是一个由软件和硬件设备组合而成,在内部网和外部网之间,专用网和公共网之间的界面上构成的保护屏障
下一代防火墙
Next Generation Firewall
是一款可以全面应对应用层威胁的高性能防火墙,提供网络层应用层一体化安全防护
统一威胁管理(UTM)
Unified Threat Management
在防火墙基础上发展起来,具备防火墙、IPS、防病毒、防垃圾邮件等综合功能
由于同时开启多项功能会大大降低UTM的处理性能,因此主要用于对性能要求不高的中低端领域
在高端应用领域,比如电信、金融等行业,仍然以专用的高性能防火墙、IPS为主流
部署于外网网络边界,除了具有防火墙的功能还能够起到IIDS、IPS、VPN、流量控制、身份认证和应用层防护
注:每次修改后都对UTM的策略进行备份,每隔一段时间备份一次
网闸(GAP)
安全隔离网闸
是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备
相比于防火墙,能够对应用数据进行过滤检查,防止泄密,进行病毒和木马检查
部署于不同区域之间物理隔离,不同网络之间物理隔离,网络边界物理隔离,也常用于数据同步、信息发布
抗DDOS墙
DDOS全名是Distribution Denial of service
分布式拒绝服务攻击
DoS的攻击方式有很多种,最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令
DDos防火墙其独特抗攻击算法,高效的主动防御系统可有效防御DoS/DDoS、SuperDDoS、DrDoS、代理CC、变异CC、僵尸集群CC、UDPFlood、变异UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击,传奇假人攻击、论坛假人攻击、非TCP/IP协议层攻击,等多种未知攻击
部署于外网边界前端,或将数据引流至过滤引擎,最终回流
负载均衡
建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性
将同一个任务分摊到多个操作单元上进行执行,例如:web服务器,FTP服务器,企业关键应用服务器和其它关键任务服务器等,从而共同完成工作任务
主要目的是实现资源的有效利用,分担共同压力,避免资源分布不均
部署在网络、应用、服务器前端,用于进行链路和应用负载
部署模式:路由模式(推荐)、桥接模式、服务直接返回模式
虚拟专用网络(VPN)
virtual private network
在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用
VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问
常用VPN类型有SSL VPN(以HTTPS为基础的VPN技术)和IPSec VPN(基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障)
上网行为管理
上网行为管理是指帮助互联网用户控制和管理对互联网的行为
专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄露的产品
并可实时监控、管理网络资源使用情况,提高整体工作效率
漏洞扫描系统
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为
如果把网络信息安全工作比作一场战争的话,漏洞扫描器就是这场战争中盘旋在终端设备、网络设备上空的“全球鹰”
它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。
漏洞扫描系统可以针对主机、web应用、数据库进行扫描,发现漏洞后提供漏洞说明、漏洞影响、漏洞验证和漏洞修复建议
部署在服务器区域或在核心网络区域进行接入,能够保证所有网络可达即可
网络分析系统
网络分析系统具有行业领先的专家分析技术,通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题
部署
硬件产品通过旁路方式接入在核心交换机的镜像端口上,不改变原有网络结构,对网络中所有事件进行分析
软件产品首先需要安装在终端上,然后终端旁路抓包即可获取所有数据包
入侵检测系统(IDS)
Intrusion Detection System
是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术
依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性
部署模式为旁路模式部署,在核心交换设备上开放镜像端口,分析镜像流量中的数据,判别攻击行为
入侵防御系统(IPS)
Intrusion-prevention system
位于防火墙和网络设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网)
能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为
防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力,IPS是对防火墙的补充
部署
不要部署在路由器和防火墙之间,这样会增加跳数,影响网络性能
Web应用防火墙(WAF)
Web Application Firewall
用以解决诸如防火墙一类传统设备束手无策的web应用安全问题
与传统的防火墙不同,WAF工作在应用层,因此对web应用防护具有先天的技术优势
WAF对来自WEB应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护
部署
不要部署在路由器和防火墙之间,这样会增加跳数,影响网络性能
网络防毒墙
主要用于防护网络层的病毒,包括邮件、网页、QQ、MSN等病毒的传播
据统计:通过磁盘传播的病毒仅占7%,通过网络传播的占93%
杀毒软件
也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件
通常集成监控识别、病毒扫描和清除、自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统的重要组成部分
杀毒软件服务端和控制台安装在服务器,客户端程序需要安装在被防护的系统上,控制台可以控制服务端升级和病毒策略下发到客户端等
堡垒机
又称运维审计系统,它综合了系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问
主要用于服务器、网络设备、安全设备的权限分离和安全管控
堡垒机部署的前提是必须切断用户直接访问资源的路径,否则部署将没有意义,一般部署在所有用户都能访问资源的核心网络端口下
审计系统
网络审计
针对于网络协议进行审计,如http、smtp,pop3、vnc、RDP、Rlogin、SSH、Telnet等
专门用于数据库操作审计,详细记录用户操作数据库的操作,并支持回放
综合审计
则将网络审计和数据库审计功能进行综合,进行综合审计
部署
一般部署在核心交换机的镜像端口下,用于整体流量分析和日志审计分析
DB防火墙
又称数据库防火墙、数据库防御系统,是一款基于数据库协议分析与控制技术的数据库安全防护系统
具有主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计
能够审计和阻断数据库操作行为,可以通过数据库操作分析进行建模和智能关联分析
部署
通过安全建模进行规则学习,能够对数据库异常行为和高风险操作行为进行智能分析和拦截
MAIL防火墙
帮助邮件系统抵御最新的垃圾邮件、病毒邮件、欺诈性邮件、钓鱼邮件、间谍程序邮件等各类邮件威胁
部署
可以串行部署在邮件服务器前端,进行邮件分析、过滤、拦截等
也可以部署成为服务器模式,即可以当做邮件服务器使用,也可以进行邮件过滤
终端安全管理系统
终端安全保护系统以“主动防御”理念为基础,结合准入控制,通过对代码、端口、网络连接、移动存储设备接入、数据文件加密、行为审计分级控制,实现操作系统加固及信息系统的自主、可控、可管理,保障终端系统及数据的安全
部署
首先进行准入控制,其次安装终端安全管理系统服务端、控制台、客户端,客户端需要安装到需要控制的信息终端上。并支持多级互联部署
安全运维平台(SOC)
SECURITY OPERATIONS CENTER
是将目前信息系统中各类数据孤立分析的形态转变为智能的关联分析,并借助整个平台,实现技术人员、操作过程和技术三者的融合
能够将多种网络设备、安全设备、系统日志进行整合,并结合ITIL流程进行规范化
部署
部署在服务器区域内,需要安装服务端、控制台、采集引擎,信息终端上需要安装插件,网络设备、安全设备和其他设备上需要配置SNMP协议用于接收日志和状态信息等
IT运维管理平台
是将以往对网络、服务器与业务应用、安全设备、客户端PC和机房基础环境等的分割管理进行了有效的整合,实现了全面监控与集中统一管理
并融入了基于ITIL理念的IT服务流程管理,实现了技术、功能、服务三方面的有机结合,从而提高了企业IT系统的运行管理水平和服务能力,为企业生产和日常办公提供高效、贴身的保障
部署
部署在服务器区域内,需要安装服务端、控制台、采集引擎,服务器上需要安装插件,网络设备、安全设备和其他设备上需要配置SNMP协议用于接收状态信息等
加密机
用在广域网或城域网的两个节点之间,实现点对点加密的信息技术设备
加密机和主机之间使用TCP/IP协议通信,所以加密机对主机的类型和主机操作系统无任何特殊的要求
根据加密协议的层次(OSI模型),可以分为链路加密机、网络加密机(IP层)、应用层加密机
部署
一般部署在外网或城域网两个需要加密的点之间,用于链路加密、网络加密、应用加密
三合一
全称涉密计算机移动存储介质保密管理系统(单向导入、涉密U盘、非法外联),由软、硬件两大部分组成
对受控主机可能的信息外泄渠道进行封堵,对信息通过USB移动存储设备向涉密计算机传输进行物理层的单向控制,有效防止泄密信息在信息传输过程中反向地流入USB移动存储设备,从根本上解决了“摆渡木马”等间谍软件对涉密信息的威胁
身份认证系统
主要用于实现身份认证、数据的机密性、数据的完整性、不可抵赖性等相关功能
广泛应用于金融、证券、税务、电信、邮政、政府办公、电子商务、电子政务等领域
