全面揭底：阿里巴巴大数据纵深安全防御体系_联商网资讯中心
全面揭底：阿里巴巴大数据纵深安全防御体系
消息：第二届“国家网络安全宣传周”公众体验展于6月1日-3日在北京举行。本次展会期间，阿里巴巴集团最低调神秘的安全部门——阿里神盾局首次公开亮相，向公众全面展示阿里的安全防护能力和产品，成为各界关注焦点。
阿里神盾局向公众揭开神秘面纱
“trust me，You are
safe!”“光明与黑暗，现实与网络。。。”阿里展台上神盾局炫目的开场，给现场的记者带来一种海外大片的即视感。
美剧《神盾局特工》里，“神盾局”是一个吸纳了各种神秘特工的无国界正义组织。那么阿里的“神盾局”是什么角色?主要做什么?
本次展会，阿里神盾局主动面向公众揭开了神秘面纱。据视频介绍，自2005年以来，阿里巴巴集团成立安全部，并逐步建立全面的账户安全、信息保护、反欺诈等管理机制，利用大数据构建强大的实时风险防御能力。时至今日，阿里集团安全部不但全面覆盖阿里旗下的各种复杂业务场景，而且与众多政府职能部门紧密合作，向商业伙伴输出安全风控能力。因为安全部小二们平时低调神秘，又各个身怀绝技，阿里安全部被集团内部誉为“神盾局”。
在阿里内部，“神盾局”也是“高能”“正义使者”的代名词，和电影里的超级英雄一样，他们职责范围很广，在阿里巴巴庞大的交易系统背后，为报障用户的权益做坚实护盾。主要包括以下几类：保护知识产权，即打假;保护账户安全，主要防止虚假注册;保护交易安全，主要防止交易欺诈、恶意差评、敲诈勒索和炒信;保护信息安全和禁限售排查;保护隐私防止信息泄露;保护数据安全;大数据风控等等。
本次亮相国家网络安全宣传周，对阿里神盾局来说，也是一次技术大阅兵。在“神盾局”飞船造型的展会现场，阿里巴巴打造应用层安全交易生态的阶段性成果悉数亮相，包括：阿里聚安全、阿里钱盾、阿里110、阿里云盾、YunOS智能系统、安全实验室、阿里巴巴网络安全监控中心等。阿里神盾局通过多种媒体介质和互动手段，全面展示了阿里的安全防护能力和产品，帮助公众了解如何利用大数据打造纵深防御体系，从云到端，从企业到个人，从交易到支付，为阿里平台的亿万用户提供无所不在的保护。
阿里安全部副总裁杜跃进表示：“阿里安全要做保护用户最关切的安全——包含购物、交易、支付、侵权、金融、防数据泄露、反欺诈、反假货等全交易链条;致力于打造应用层的安全生态环境，面向终端用户也面向行业企业、涵盖终端打通云端，通过多维度大数据构建诚信体系。”
阿里110上线 更直接受理网购欺诈案件
本次展会上，有别于其他公司的电脑安全、硬件安全，作为亚洲最大的电商平台，阿里安全聚焦在整个网络交易的安全链条，其本质就是如何更好地保护用户的网购和资金安全。除了炫酷的人脸识别、掌纹识别技术吸引人驻足之外，阿里钱盾和阿里110报案平台的功能引发了最多关注。
“你好，这里是阿里110受理中心……”面对近年多种多样的网络诈骗，阿里巴巴上线了阿里110(/
)在线报案平台。在阿里旗下所有平台遇到安全问题，都可以通过这个平台寻求帮助。
阿里110一站式举报区别于平日的淘宝***投诉，消费者在淘宝平台上遇到恶意卖家或被骗取财物，发现账号异常或被盗，遇到信息泄露或钓鱼网站，都可以通过这个平台快速举报并保护账号安全。对于很多用户担心的遗失电子设备后的账号安全问题，或是在公众场合登陆过淘宝，也可以通过这个平台同时让所有设备账号下线，取消登录记录。举报受理之后的每一步处理情况用户都可以直接在后台查看，信息更加透明公开;涉及金额较大情节恶劣的案件，由“神盾局”工作人员直接向公安机关举报并立案，大大缩短了投诉处理流程。
据现场的工作人员介绍，110平台在5月中旬低调上线后的“潜水”运营期间，已有很多用户自发通过此平台发起举报。
阿里钱盾新功能：可识别真假iphone手机以及翻新机
阿里钱盾是阿里安全推出的免费手机安全软件，除了提供病毒查杀、骚扰拦击、内存清理手机加速、wifi监测等基础功能之外，重点是向用户提供从淘宝交易到支付宝全流程的保护。
据工作人员透露，本月钱盾即将上线一项新功能：真假手机以及翻新机鉴定，目前的鉴别版本主要支持iphone手机，用于辨别真假手机以及是否为翻新机。日后也将推出针对安卓手机的真假识别功能。而钱盾的鉴别结果，也将和用户发起线上购物的售后维权等流程实现无缝对接。
聚焦移动端安全 发布移动安全报告
展会期间，阿里神盾局发布了2015年第一季度移动安全报告，报告以翔实数据披露了移动安全的病毒、漏洞和仿冒情况，显示移动互联网安全形势依然严峻。
报告显示，移动互联网病毒规模不断增长。2015年第一季度，阿里聚安全病毒样本库新增172万样本量，相对上一季度增加了173%。安卓设备的病毒感染量高达2406.6万，平均7.6台安卓设备就有1台被感染，风险形势不容乐观。
漏洞和仿冒也是移动互联网的主要安全隐患。报告显示，热门应用几乎百分之百存在漏洞，近八成存在仿冒，用户面临密码泄露、隐私泄露、恶意扣费等风险。2015年第一季度，阿里聚安全病毒扫描引擎共查杀病毒4514万个，帮助用户抵御了大量的手机病毒风险。
而对于企业与行业用户来说，一些开发并不完善的APP因为存在大量安全漏洞被攻击者利用而导致安全防范的门户洞开。聚安全就是阿里安全提供给与互联网相关的企业与行业用户的***安全服务，包括漏洞的发现、修复、安全开发组件、安全运营等。
杜跃进表示：“未来的安全是基于数据的安全，神盾局安全情报中心所展示的内容，是后台世界级科学家和强大的专业团队对购物、物流、交易、支付等大数据的分析结果，可以及时发现虚假注册、炒作信用、账户欺诈、知识产权侵犯等各类行为，用于支持保护用户的具体工作。可以为整个社会的诚信体系建设提供非常好的支撑，让我们的整个网络空间各类应用的安全生态环境得到重大改善。”
欢迎关注联商网，扫一扫关注【联商网微信订阅号】我们只为您推送最真实，最有价值的行业资讯
你可能感兴趣的内容
新闻关注榜
联商网版权所有 &中国领先的IT技术网站
51CTO旗下网站
浅析大规模生产网络的纵深防御架构
纵深防御这个在安全行业被用的很烂的词，乙方的顾问写方案时信手捏来，我想大家的理解可能并不一致。其实我比较赞同lake2用的“河防”以及数字公司用的“塔防”的概念，这些都是比较贴近实际的。
作者：ayazero来源：FreeBuf| 09:58
纵深防御这个在安全行业被用的很烂的词，乙方的顾问写方案时信手捏来，我想大家的理解可能并不一致。其实我比较赞同lake2用的&河防&以及数字公司用的&塔防&的概念，这些都是比较贴近实际的。下面的篇幅仅从自己的理解来展开，并且主题限定在大规模生产(服务)网络而不是办公网络。
互联网安全的核心
当下各安全公司都偏爱APT和大数据威胁情报之类的概念，在办公网络我想这些是他们圈地运动的战场，不过生产网络似乎仍然遥远。自动化运维的交互模型跟大幅度人机操作的办公网络完全不同，而且现在号称机器学习的方法在实操中表现的很一般，效果不如对攻防模型抽象后定义规则的方式。这里并不是在否定机器学习的方法，只是表达离成熟还尚有距离(我不是在说QVM，请不要对号入座)。
先说一下互联网安全的一些理念性的东西，首先没有漏洞是不可能的，互联网追求快速交付，把安全做的太厚重是&不满足业务需求的&，为追求极致的低缺陷率而大幅增加发布成本是不切实际的，但是互联网安全有几个比较核心的需求：快速检测、有限影响、快速溯源，快速恢复。
通俗解释一遍就是：允许带着一些问题上线，但是有bug或入侵我能快速检测到而不是无知无觉的状态，就算发生了攻击或入侵，我能做到入侵者所获取的权限和造成的影响尽可能的小，并且我有途径或快照还原入侵过程做根因分析，安全事件能在基本不响应不中断业务的情况下恢复到健康状态。当然这个话题也太大，这次只讨论其中关于&有限影响&的部分，在谈及防御之前先看一下攻击路径：
Plan-A：通常路径，从目标系统正面找漏洞，远程直接rootshell在现代基本没有了，大多数是从应用为入口，先获取上层应用的权限，然后通过上传webshell等方式间接获得系统shell，最后提权获得rootshell，后面继续扩大战果的事情就不提了，安全建设的思路自然是要反过来，阻止你扩大战果。
Plan-B：如果正面没有明显可利用的漏洞的话就需要曲折迂回，从周围信任域开始下手，这个信任域是广义上的，包括可arp重定向的，可嗅探的，可会话中间人的，可链路劫持的，相同内网的，口令满足同一规律的，互联互通信任关系的，灾备或镜像站点等，获取一个点后再折返，之后的路径与A类似。
Plan-C：直接针对生产网络不行的话，就需要考虑社会工程学了，针对管理员和办公网络的APT，水坑攻击，针对应用后台管理员的社会工程学技巧，搞定SA自然也就搞定了所有服务器。
纵深防御体系
安全建设是反入侵视角，针对攻击活动中的每一步&埋点&，埋点的寓意在于我假设攻击者到了这一步，我要阻止他进入下一步或者不能带着完全的火力进入下一步还能全身而退。当然这里只针对有限影响，入侵检测之类的部分这里先不展开，后续会有专门的话题。
第一层安全域划分，这个安全域是对业务的抽象，并不是对物理服务器的划分，在大规模分布式架构中，同一个安全域的机器可能并不一定位于同一个物理机房，但是他们对应相同的安全等级，共享一组相同的访问控制策略，只对其他安全域或Internet暴露有限的协议和接口，即使攻击者渗透了其他相邻的服务器，也只能扫描和访问这个安全域内有限的几个端口，没办法自由渗透，这个问题主要解决Plan-B曲线救国时被入侵者&误伤&，以及获得单点root后进一步渗透的扩散，希望能把安全事件爆发的最大范围抑制在一个安全域中，而不是直接扩散到全网。
第二层是基于数据链路层的隔离，只有2层隔离了才能算真正隔离，否则只在3层以上做ACL也是不行的，仍然会被ARP。2层使用VPC，vxlan，vlan等方法相当于在安全域的基础上对一组服务器以更细的粒度再画一道圈，进一步抑制单点沦陷后受害源扩大的问题。在不是特别大的网络中可以直接跳过安全域到这一步。当然安全域的概念在任何时候都是存在的，仅仅是在做划分的事情但不去套这个名词。
二层之上就是协议端口状态过滤，这是绝大多数&防火墙&的场景。解决的还是对黑客暴露的攻击面的问题，即使我的加固做的不到位，不必要的服务没有清理干净，开放了有问题的端口，甚至有些端口上跑着的服务还有漏洞，但是因为被防火墙过滤了，路由不可达，所以攻击者利用不了，他只能在对外或对信任域暴露的端口上去想办法。本质一点就是给攻击者提供&窄带&，有限的访问通道。不过在有复杂嵌套引用关系的大规模生产网络中，出于运维成本的考虑，有时候访问控制策略不会做的很细粒度，因为那样的话如果有台机器挂了换个ip都麻烦。这也是安全的妥协，我之后会有单独篇幅讲做安全是否需要妥协，应该如何妥协，底线是什么。
再往上一层是现在讨论的最多的一层，其实从图中也可以看出你平日的工作都是聚焦于哪层。这一层单独拆开都可以再建一个纵深防御的子体系。应用层通常是暴露在Internet上的攻击面，这一层主要是解决认证鉴权、注入跨站上传之类的应用层漏洞，尽可能把入侵者堵在第一人口之外。如果你在开发WAF，那你对应的也是这一层的工作。
应用层上方是容器、运行时环境。这里的目标是假设我的服务器上的应用程序有漏洞，且攻击者找到了漏洞，我不希望这个漏洞能被成功利用直接跳转到系统权限，而是希望能在这一步阻止他，办法就是通过容器加固，比如阻止一些危险函数的运行，比如上传了webshell但是不被解析执行，比如你想执行eval()并用种种方法变形编码字符窜拼接逃过了应用层的检测，但是到了运行时其实是相同的底层指令，那么无论你在上层多么努力的变形我都会希望在更底层把你揪出来，哪怕不直接阻断我也至少报个警。在绝大多数入侵活动中，上传或生成webshell是从应用权限向系统权限转化的关键一步，所以这一层的防御也是比较重要的。以后如果有时间单独篇幅讲如何对抗webshell。
如果不幸之前的都没阻止攻击者，对方已经得到了普通用户的shell&$&，那么我肯定不希望你继续得到rootshell，对抗的办法就是大家常见的那些系统加固项，那些文章洋洋洒洒写了一大堆主要就是用在这个场景的，不过最主要的还是对抗本地提权以及内核提权，攻击免疫或称攻击缓解机制例如SMEP、SMAP、DEP、各种ASLR，stack-canay，read-only .PLT .GOT等都是在这里&埋点&，其他的诸如umask=022等也是在这里埋点，似乎看上去这些不太需要安全team的介入，好像都是OS默认的机制?
其实不然，安全做到偏执的程度还是有自己出手的地方，Android出手比标准的Linux更快一点，也许以后就真的没太多需要自己出手的地方了。不过当下各种基于LXC的容器，越来越多的multi tenant的云环境，隔离的机制完全依赖于kernel的健壮性，这些场景下对抗这一层的攻击都显得尤为重要。
如果被拿走了root自然是很令人不爽的事，但还不是最令人不爽的。如果有一天当你的1万台服务器中有500台被人搞了，而且还不能推断是不是装了kernel rootkit的情况下，这种感觉是最要命的，你生了个肿瘤手术摘掉也就算了，那种情况就像你手术完都不确定摘了没，即便500台服务器备份数据重装系统都不彻底，而且近似于你某个子业务要处于离线状态这种极其影响可用性的事情业务部门会把你逼疯掉。
所以不是特别需求要干掉LKM，/dev/kmem，限制/dev/mem的全地址空间读写，另外kernel MAC内核强制访问控制也能限制root只能做有限的事情，尽管理论上内核提权还是能控制一切，不过要在没有开发环境的服务器上实现完整的kernel rootkit功能并保证不在用户态留下蛛丝马迹的概率还是比较低。这样做还有一个好处，把入侵检测聚焦于用户态，不要动不动就去装一堆内核级别的重量级玩意儿，大规模高并发的生产环境伤不起。
在云计算环境中，上面那步可能还不算是单点渗透的终结，更底层还有hypervisor，如果攻击者逃逸出VM那就比较狼狈了，每个厂商都需要考虑一下VMM的保护方案，现在hypervisor这一层很薄不会做的很重，似乎还没有特别成熟和通用的办法，不过肯定会发展起来，会有更多类似于XSM这样的方案。
在一个真正建立纵深防御的系统中，入侵者一般到不了root这一步就会被揪出来，只不过完整的纵深防御要以后的篇幅慢慢写了，这里只是选取了其中一个维度来试图解读这个概念。另一方面，完整的纵深防御体系只有大型互联网公司才可能全覆盖，因为跟安全建设成本有关，所以又涉及另外两个话题：不同规模企业的安全需求和同一公司在不同安全建设阶段的需求，以后再展开。【责任编辑： TEL：（010）】
大家都在看猜你喜欢
专题专题专题专题专题
24H热文一周话题本月最赞
讲师：50人学习过
讲师：85人学习过
讲师：850人学习过
精选博文论坛热帖下载排行
本书全面介绍了Windows Server 2003 R2中最常用的各种服务，包括域名服务、动态IP地址服务、Windows名称服务、活动目录服务、Web服务、FTP...
订阅51CTO邮刊工控系统安全防御不可小觑
查看: 308|
摘要: 　　工控系统安全与传统IT系统安全的差异性 　　工控系统安全与传统的信息安全不同，它通常更关注物理安全与功能安全;而且系统的安全运行由相关的生产部门负责，其安全防护重点考虑的是系统隔离和人员管理，而很少考 ...
　　系统安全与传统IT系统安全的差异性
　　工控系统安全与传统的信息安全不同，它通常更关注物理安全与功能安全;而且系统的安全运行由相关的生产部门负责，其安全防护重点考虑的是系统隔离和人员管理，而很少考虑信息安全以及网络入侵威胁。在传统的信息安全领域，通常认为保密性的优先级最高，完整性次之，可用性最低。而在考虑工控系统安全时，则需要首先考虑系统的可用性、其次是完整性，最后才是保密性。
　　绿盟科技研究院战略师李鸿培认为：由于工业控制系统作为企业的核心生产运营系统，其工作环境具有严格的管理，外人很难进入;同时，系统自身也多与企业的办公网络(普通IT)系统之间存在一定的隔离措施，与互联网也多处于物理隔离的状态。而且工业控制系统主要由基于嵌入式操作系统(如VxWorks、uCLinux、WinCE等)及专用通信协议或通信规约(如OPC、ModBus、DNP3等)的工业控制设备或系统(、RTU、、SCADA等)组成。
　 “也就是说，工业控制系统的相对封闭性以及其系统设备及通信规约的专有性，使得我们在考虑工业控制系统安全性及应对策略时将与传统IT信息系统存在较大的差异。”李鸿培说道。
　　而随着信息化与工业化的深度融合以及潜在网络战威胁的影响，工业控制系统也将从传统的仅关注物理安全、功能安全转向更为关注信息系统安全。
　　工控系统面临的威胁与攻击方式
　　那么，当前工控系统都面临哪些威胁与攻击呢？“近年来，针对工业控制系统的攻击，不论是规模宏大的网络战，还是在一般的网络犯罪，都可以发现APT攻击的影子。”李鸿培说道。
　　对此李鸿培进一步解释道：与针对传统IT系统的攻击方式相比，工控系统所面临的攻击多是有组织的团队出于一定的目的(政治、经济、意识形态等)、采用多种攻击手法相协同的持久性攻击;因其背后可能会有利益集团的支持，其攻击可能会采用基于0-day漏洞的多种新型攻击手法或攻击模式，以尽可能规避工控系统的防护机制。
　　“依据我们针对漏洞的趋势分析，自从2011年‘震网病毒’事件以后，公开漏洞库中的新增漏洞信息中，高风险漏洞的占比急剧减少，也可能据此推测，被雪藏的新增高风险漏洞极有可能被作为0-day漏洞被用在未来某个APT攻击工具中。”李鸿培说道。
　　而根据绿盟科技2013年针对典型用户的调研分析结果，用户当前最关心的具体安全威胁为业务中断、违规外联、违规操作及系统配置的不安全以及恶意代码(木马、病毒等)攻击。对工控系统来说，其业务中断可能会是因工控系统的功能失效(功能安全、可靠性问题)或是因入侵攻击或系统违规行为所造成的后果。
　　可以说，工控安全风险源自漏洞、人员、流程、物理安全缺陷等，但其中最核心的是漏洞、人员;主要表现为针对工控系统/设备漏洞的攻击行为、内外部人员的恶意/违规操作行为。
　　工控系统安全的研究和防护现状
　　工控系统的安全问题在国内许多信息安全相关的技术大会上作为重要的研讨议题频繁出现，已成为工控系统相关的各行业以及信息安全领域的研究机构、厂商所关注的热点方向之一。同时，国家在政策订、技术标准研制、科研基金支持、促进行业内合作等方面也在逐步加大推动的力度。
　　目前我国工业控制系统相关的安全标准正在制订过程中，、石化、制造、市政等重要行业的用户，已在国家主管部门的指导下进行安全检查、整改;强调人员管理和制度流程的规范性、系统网络的安全性以及系统操作的合规性。
　　“但在这一过程中，仍需要针对工控系统的安全防护产品的支持。”李鸿培强调道，这是因为：传统的信息及网络安全厂商以往对工控系统的安全关注不够;同时工控系统厂商则更关注工控系统的功能实现及可用性保障，而没有考虑来自信息网络的攻击威胁。信息安全厂商、工控系统厂商需要从各自擅长的领域着手，研究工控系统及通信协议的脆弱性和所面临的安全威胁与攻击手段，探索工控系统的防护措施。
　　而据李鸿培介绍，当前多数行业工控系统的安全防护能力也严重不足：人员安全意识不强，缺乏明确的安全管理制度及人员意识培训;缺乏系统有效的安全防护体系规划和安全风险评估机制;缺乏系统操作人员的角色定位、授权流程及操作规程;缺乏相应的操作行为审计机制;缺乏系统数据备份等。随着两化融合推进及工控系统的信息化程度的提高，工控系统的安全问题将更为突出。
　　传统信息安全厂商面对工控系统安全仍存瓶颈
　　目前，针对工控系统安全的主要防护方式是采用“安全域隔离及纵深防御”的体系化安全防护方案，已有相关的厂商推出“工控防火墙”、“安全隔离网关”、“工控审计系统”等产品。
　　然而，因工控环境与IT系统差异较大，参与工控安全研究、服务或产品开发的人员也需具备工控系统知识、需能够理解工控系统的业务逻辑，熟悉工控系统与各种工控设备。因此，对于传统的信息安全厂商而言，面对工控系统的安全防护，也存在一定的瓶颈问题。
　　“工控系统对传统信息安全厂商来说是一个相对陌生的研究领域，传统的安全厂商不能简单的用IT安全解决方案的思路去应对工控安全问题，需要对被保护对象(工控系统)及其所面临的威胁，有深入的研究和理解。因工控系统的多样性，仅凭一己之力，难以接触到工控环境中的各种系统、设备和协议，也难以做好工控安全。”李鸿培说道。
　　同样，工控系统厂商和用户也面临着信息系统攻防能力及经验不足的问题。所以，作为一个新的、战略性的安全领域，工业控制系统安全需要国家、行业主管部门、工业控制系统的企业(用户)、工业控制系统提供商、信息安全提供商等跨领域、跨行业的多方位的合作。
上一篇：下一篇：
Powered by &
这里是—这里可以学习 —这里是。
栏目导航：你现在的位置：
> 公司动态
站在攻击者的角度来做防护
作者：高防CDN　　来源：　　 更新时间：　　阅读数：
&&&&& 在做这几次防护的过程中，我一直在思考。我如果是攻击者，我会怎么来攻击？我会怎么去做？
&&&& A、第一步，针对目标做信息收集
&子域信息、Whois信息、Ip信息、端口信息、公司人员的信息、公司邮箱信息等等,一切与目标相关的信息。
&&&& B、针对拿到的信息，进行漏洞扫描及挖掘
&针对子域，我们可以去尝试获取其ip，及对其域名进行漏洞扫描。
&针对whois信息，我们可以去尝试，获取其注册邮箱，进一步进行社工拿到密码进行。
&针对ip信息，我们可以去获取ip对应的端口及服务，对相应的服务进行漏洞扫描及挖掘。（对于踢场子的来说，直接进行，直接让你玩不下去。）
&针对公司人员信息及公司邮箱信息，可以进行社工弱口令之类。看能否拿到某位员工的公司邮箱，通过敏感信息进一步深入。（如果碰到某位关键人物）
&&& 看我写起来貌似很简单似的，但实际上确是一个苦逼而漫长的过程。除了攻击者的技术水平、人的毅力及对事物的专注程度外，还与运气有点关系。（看你碰到的是sb管理还是nb管理）。做为防护者，这个时候你该怎么做了？？对方已经出招，得接住呀！不然这个看场子的任务就将失败了。
&&& 高防盾是这样来做防护的
&A、Find and fix（这个其实是很关键的）
&&& 从字面上理解就是”发现并修复“，简单的来说就是通过一些手段，去发现系统中的安全问题，然后解决问题。（医生的最高境界不是去治疗疾病，而是在疾病没有来，就拔除了，根源在代码）
&&& 带领团队成员对站点进行安全测试，发现安全问题，尽量减少外部安全隐患。（这里只能说是减少隐患，一个人的力量是有限的，一个团队的力量也是有限的，并且侧重点都不一样。）
&&& 上面也说了，只能是减少安全隐患，当漏了安全问题的时候，该怎么办了？？这就有了下面的了。
&B、Defend and Defer
&&& 从字面上来说是“捍卫和推迟”（这是翻译的啊！和我没关系），这里的防护难道仅仅是弄一些安全设备(防火墙、入侵检测系统、web应用防火墙)么？？？当然这些也是不可少的，但不是全部。合理的事物，放在合理的位置，才能产生好的效果。
&&& 纵深防护
&&& 这里主要涉及到，防火墙的HA，入侵检测系统、白名单的使用，。流量从外面到里面需要经过如下几层：第一层必须经过的过滤及隐藏真实ip；????第二层必须经过防火墙白名单过滤，只允许过来的流量；????第三层必须经过IDS或者IPS的过滤或者记录风险行为。
&&& 无论是做为防守者还是攻击者，都不能是想当然，要以理性的头脑去测试或者防护。如果要归根到底的话，问题的源头，都是人的问题。
&&& 个人认为做，还有一个原则就是“信任”。需要做的是，在不可信地方设防，到底那里不可信，外面不可信，里面就可信了么？同样你也不能完全信任，你需要明确谁可以访问谁，做好访问控制。
&&&& 本文转载于&&&&&&&&&&&&&&&&&
&&&& 本文关键词&&&&&比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
亚信安全：纵深防御落实等级保护服务
　　在“+”的发展大潮中，创新发展和保护是一体之两翼，遵循信息系统安全等级保护要求，实现关键系统与设备的自主可控对于维护国家信息主权，降低安全风险有着。目前，亚信安全通过对、APT治理、移动安全等新兴安全关键技术的自主掌控，立体化的安全纵深防御解决，在安全等级保护市场不断拓展。
　　安全威胁持续精进 &等级保护建设亟待推进
　　如今，我们进入了一个技术创新高速增长的时代，安全威胁的种类和数量不断刷新纪录。亚信安全发布的《2016年信息安全威胁预测报告》中认为，2016 将是网络勒索之年，网络勒索集团将会想出更多新的方法来针对个别受害者的心理，每一次的攻击会变得更“个人化”。而激进主义攻击、移动恶意程序在明年也将不断增长，网络不法分子将采取更先进、更具针对性的方式来进行网络攻击。互联网上的Web和，APT攻击等威胁变幻莫测，给政府、企事业组织的信息系统带来了严重的安全隐患。
　　据亚信安全研究院报告指出：“在网络攻防中，黑客并非总是会采取固定不变的攻击套路，而是会根据的安全防御措施而改变攻击方式。因此，尽管网络安全技术在不断进步、网络安全投入迅速提升，但重大的安全事件仍然时有发生。”
　　在当前安全威胁不断精进的环境下，加快推进信息安全等级保护工作就成为了当务之急，其面向政府、电力、石化、能源、金融等国内的信息敏感行业，要求不同安全等级的信息系统应具有不同的安全保护能力，为信息安全建设制定了一个明确的规范。通过进一步完善企业信息安全管理制度和技术措施，提高信息安全管理水平，增强安全防护能力，减少安全隐患。
　　为了形成信息系统的完整性可信链条，政府出台了大量引导政策，国家信息中心、公安部等单位也着手编订了《政务云安全技术要求与实施指南》、《信息系统安全等级保护基本要求安全技术要求》等相关标准，这推动着等级保护市场的迅速扩展。有专家预测，等级保护市场的规模将达到数百亿，增长潜力巨大。
　　亚信安全CEO张凡表示：“要满足等级保护的要求，不仅要实现信息设备的自主可控，还要将安全规划和建设整合到业务系统中，从结构安全、访问控制、安全审计、防范、防范、网络设备加固等方面同时着手。亚信安全的优势在于建立了非常完善的网络体系，可以从各种层面帮助用户防御网络安全威胁，让用户在系统上线的第一时间就能得到完整的安全防护。”
　　亚信安全为“等保”建设苦练“内功”
　　我国的信息安全等级保护制度在不断成熟的过程中，已经完善了网络安全顶层设计，加强了对国家级重要信息系统的安全保障。在自主可控的发展过程中，亚信安全不断修炼“内功”，体现出了在自主可控和安全技术两个层面的强大竞争优势，并不断拓展等级保护市场的能力和规模。
　　在自主可控层面，亚信安全通过收购全球最大的独立安全软件厂商趋势科技的中国业务后，迅速推动了关键技术与应用的本地化进程，不仅通过在南京、北京两个自主的研发中心来支撑完全本地化的安全服务，还与国家信息中心、成都市政府、哈尔滨工业大学等单位建立了的合作关系，在安全实验室以及基础研发层面进行了大量的落地工作，实现了核心技术的本土化，完全满足了自主可控的需求。
　　在安全技术与产品层面，作为中国领先的云与安全技术、产品、方案和服务供应商，亚信安全在网络安全领域沉淀了丰富的研发经验，并拥有全球领先的云安全产品。通过亚信安全防毒墙网络版(OfficeScan)、定制化智能防御(Custom Defense From Targeted Attacks)、深度威胁发现平台(Deep Discovery，DD)等领先的产品，可以与亚信安全其它的、、以及终端安全防护产品整合,帮助用户全面防御网络中流窜的各种威胁，打造立体化的威胁防御体系。
　　云安全技术为“等保”建设纵深防御体系
　　近年来，亚信安全在政府与行业市场的等级保护建设工作中取得了良好的进展。成功中标了中智集团、北医三院、广东移动等的等级保护项目，为用户的网络安全构建了纵深防御体系。
　　“亚信安全具备独有的云安全技术架构和旗下众多云安全集成产品，可以帮助我们建立最可靠的信息”，北医三院相关技术负责人表示，“我们采用了亚信安全的OfficeScan以及IWSA，其能够有效地在网络边界处对恶意代码进行检测和清除，维护恶意代码库的升级和检测系统的更新，产品的技术领先性、统一管理功能，以及相关人员的服务能力都得到了我们的认可。”
　　亚信安全还为国家信息中心等政府单位提供了亚信安全4A统一安全管理平台(融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计)，通过高度定制化的整体解决方案，涵盖单点登录(SSO)等安全功能，完成云管理系统和政务外网电子认证、密钥基础设施集成接口研制，既能够为实验室提供功能完善的、高安全级别的4A管理，也能够为各级电子政务外网用户提供符合信息安全等级保护的内控要求。
相关文章：
[ 责任编辑：包俊君 ]
HPE Octane为开发者和…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte