湖北武汉网络安全云安全资源池平台安全租户管理

1                      云安全资源平台功能介绍

云安全资源池作为一个云安全服务平台，云安全服务平台主要功能包括资源管理、网络部署管理、租户管理、安全管理等。

1.1   资源管理

l   一站式交付多种类型的安全虚拟机，集成各种安全能力

l  物理平台资源及主机状态监控，如集群计算资源、内存资源、存储资源、网络流量趋势及单主机CPU

和内存状态

l  集群管理

l  存储管理

l  安全虚拟机模板管理

l  升级管理

l 账号管理

l 日志管理

l  告警信息管理

l 第三方镜像自定义导入

l 授权管理

l 安全资源生命周期管理，包括创建、变更和注销

l安全虚拟机运行位置调度

l 北向接口与第三方管理平台集成

l应用市场：安全产品展示、介绍与试用

1.2   网络部署管理

l虚拟网络拓扑管理，支持网元拖拽添加，支持“所画即所得”

l 网络部署模板，提供单臂部署模板、网关部署模板、出口边界模板、等保合规模板等模板

l 抓包分析

l  租户引流配置

l  租户安全服务链配置

l 平台网络配置，可配置运维管理IP,应用通信IP，集群通信IP和聚合网口

l 对外服务IP地址管理（VPN、堡垒机等场景使用）；

1.3 租户管理

l 新建用户；

l 编辑用户；

l 删除用户；

l 用户分组

l密码重置（密码强度要求）；

l 用户列表；

l 分配应用；

l 租户自运维界面

l 添加业务系统；

管理员在为租户分配应用的同时，可以根据用户的安全需求，针对下一代防火墙和WAF组件实现安全策略的初始化，实现集中管控，简化管理员的运维工作，具体包括：

1）是否开启实时漏洞分析，实现对黑链、Webshell等威胁和漏洞、配置、弱口令账号等风险的检测

2）是否开启应用层防护策略，包括漏洞攻击防护、web应用防护和服务器内容安全防护

3） 是否开启失陷主机检测与响应，并可以开启日志记录

1.4   安全管理

运营中心包括事件中心、安全报表、大屏中心三个模块，平台管理员界面和租户管理员界面呈现上稍有不同。

云安全资源池支持在首页上展示租户风险、业务风险和安全事件信息，为云平台管理员和租户提供可视化的运维界面，从而直观了了解自身云上业务系统的安全风险状态。

云平台管理员事件中心：

分租户分业务系统展示安全事件列表，分为失陷事件、攻击事件、漏洞事件三类，从事件类型、危害等级、影响标签、影响服务器IP地址、发现时间等几个角度来展示事件的关键信息，用户可以快速了解事件的性质，并作为初步的判断，为后续处置提供思路。也可以进一步下钻查看事件详情，了解处置建议，或举证分析关联到详细的日志。

云平台管理员报表中心：

将所有租户的安全事件分析统计，自动生成PDF格式的报表文档，可以在线查看或下载导出。可按照周、月以及自定义周期生成报表，可按照租户名称和时间段进行报表查询。

报表内容包括：安全风险概况、安全服务概况、安全服务详情等。

云平台管理员大屏中心：

云平台管理员具备“平台安全大屏”，可进行大屏投放。能够展示所有租户的总体概况，安全资源池总体安全能力，大面积影响事件，安全事件处置进展，平台安全趋势和安全服务情况等。帮助平台管理员第一时间了解最重要的安全信息，从而为租户提供指导。

云租户管理员事件中心：

展示租户的业务系统风险概况，TOP5的风险业务，以及安全事件列表，分为失陷事件、攻击事件、漏洞事件三类，从事件类型、危害等级、影响标签、影响服务器IP地址、发现时间等几个角度来展示事件的关键信息，用户可以快速了解事件的性质，并作为初步的判断，为后续处置提供思路。也可以进一步下钻查看事件详情，了解处置建议，或举证分析关联到详细的日志。

云租户管理员报表中心：

将租户自身的安全事件分析统计，自动生成PDF格式的报表文档，可以在线查看或下载导出。可按照周、月以及自定义周期生成报表，可按照日期进行报表查询。

报表内容包括：安全风险概况、安全服务概况、安全服务详情等。

云租户管理员大屏中心：

云租户具备“态势感知大屏”，可进行大屏投放。能够展示所有业务系统的总体概况、事件处理总数、监测的安全事件总数、失陷事件TOP5、攻击趋势和漏洞分布情况扥。让租户在云上也可以直接地了解自身业务的安全状况，为安全事件应急响应工作提供直观支持。

1.5  安全组件介绍

组件名称	安全能力
云下一代防火墙（含IPS、WAF、网页防篡改、僵尸网络检测等全模块）	支持静态路由，ECMP等价路由，支持RIPv1/v2，OSPFv2/v3，BGP等动态路由协议，支持多播路由协议，支持路由异常告警功能；提供基本的安全防御，包括但不限于4-7层访问控制、入侵防御、病毒过滤、网页防篡改等安全功能；对所有应用系统进行漏洞的攻击防护，包括防跨站、防SQL注入、防篡改、防木马、防黑客攻击等；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；
云网络行为管理	支持细致的管理员权限划分，包括对不同用户组的管理权限、对各种主要功能界面的配置和查看权限；支持终端调用管理员指定脚本/程序以满足个性化检查要求，比如检测系统更新是否开启、开放端口、已安装程序列表、终端发通知等；支持基于访问行为的目标IP/IP组实现带宽划分与分配；支持多种事件进行邮件告警，包括攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web关键字过滤告警、杀毒告警、设备流量超限告警、磁盘/CPU/内存异常告警等；
云数据库审计	支持多种数据库类型的审计，支持Oracle数据库审计、SQL-Server数据库审计、DB2数据库审计、MySQL数据库审计、Informix数据库审计、达梦数据库审计、人大金仓数据库审计、postgresql数据库审计、sysbase数据库审计、cache数据库；支持白名单审计，系统使用审计白名单将非关注的内容进行过滤，不进行记录，降低了存储空间和无用信息的堆砌，白名单内容包括以下4个维度:SQL模板、业务系统、URL地址及数据库条件；支持基于SQL命令的webshell检测，提供webshell日志查询；可通过查看webshell攻击的时间、源IP、业务系统、webshell规则发现威胁；
云负载均衡	支持包括全局负载均衡和服务器负载均衡的功能；支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、UDP强行负载等算法。对于非HTTP协议的长连接应用，可通过分析议特征来识别消息的开始和截止，以消息为对象进行七层负载均衡，而非传统基于连接的四层负载均衡。支持主动探测方式与被动观测方式结合使用的服务器健康检查手段，以便适应各种复杂应用交互流程，保障业务系统的高可用性。
云VPN 安全接入	提供SSL VPN或IPSEC VPN接入服务
云运维审计	针对RDP、VNC、X11等图形终端操作的连接情况进行记录及审计；记录发生时间、发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端端口、服务器端口、运维用户帐号、运维用户姓名、审批用户帐号、审批用户姓名、服务器用户名等信息；
云日志审计	系统支持从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段；对安全事件重新定级。能根据统一的安全策略，按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义；
云配置安全评估	支持扫描器登录到目标系统中对特定应用进行深入扫描；数据库支持：Mysql、DB2、Oracle、Sqlserver、Sybase等，中间件：Tomcat、IIS、Webservices、Apache、Weblogic、Resin、Nginx等；支持对设备或系统配置基线的核查
终端安全	终端安全EDR由轻量级的端点安全软件(Agent)和管理平台软件两个关键部分组成。EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查，支持微隔离的访问控制策略统一管理，支持对安全事件的一键隔离处置，以及热点事件IOC的全网威胁定位，历史行为数据的溯源分析，远程协助取证调查分析。端点安全软件(Agent)支持服务器终端和PC终端的操作系统部署，与平台解耦，Vmware、OpenStack、Hyper-v、超融合等云平台都适合部署，支持防病毒功能、防勒索功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置、批量脚本的执行等。 的终端安全产品也支持与NGAF、SIP产品的联动协同响应，形成新一代的安全防护体系。
入侵防御	具备漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、暴力破解，网络层分析到应用层分析，实现了更精准的检测能力，并且更好地保障客户应用和业务安全。
Web防火墙	统一的应用安全防护，可以针对一个攻击行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、恶意代码等。

1.5.1 现有安全组件概览

1.5.1.1    下一代防火墙组件

下一代防火墙组件基于“融合安全，简单有效”的价值主张，为用户业务提供全生命周期（风险预知、深度安全防护、检测响应）的能力保护，真正实现全程可视和全程保护的融合安全体系。

1.5.1.2  入侵防御组件

入侵防御组件围绕精确识别，有效阻断的核心理念，通过对网络流量的深度解析，可及时准确发现各类非法入侵攻击行为，并执行实时精确阻断，主动而高效的保护用户网络安全。相比传统入侵防御系统，云安全服务平台入侵防御组件更加强调通过多维度的检测技术，包含基于AI和沙箱等技术实现识别的精确性，同时，通过简单的运维操作方式提升管理和运维的有效性。

入侵防御组件的灰度威胁关联分析引擎支持7,000多种攻击特征，能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；封堵主流的高级逃逸攻击；检测和防御主流的异常流量，含各类Flood攻击；提供用户自定义攻击特征码功能，可指定网络层到应用层的对比内容；提供虚拟补丁功能，让没有及时修补漏洞的客户，能够保障网络安全正常运行。

随着七层应用的丰富，针对应用层的攻击越来越多，而传统的网络攻击防御技术已经无法应付当今复杂多样的安全需求。将10余年应用层的研究成果应用于入侵防御组件，能够针对应用进行识别和管控，即使加密过的数据流也能应付自如，可识别超过5,000种以上应用，能准确识别IM、P2P下载、文件传输、游戏软件、流媒体等应用以及常见的移动应用，并利用P2P智能流控技术，实现对隧道与加密P2P应用的精确识别，最终实现对应用的安全管理和控制。

1.5.1.3   WEB应用防火墙组件

WAF组件专注于网站及Web应用系统的应用层专业安全防护，解决传统安全产品如网络防火墙、入侵防御系统等难以对应用层深度防御的问题。通过开通WAF组件可以有效地缓解网站及Web应用系统面临如0WASP TOP 10中定义的常见威胁，并且可以快速地应对恶意攻击者对Web业务带来的冲击，实现 Web 业务应用安全与可靠交付。

1.5.1.4 负载均衡组件

负载均衡组件能够为用户的应用发布提供服务器负载均衡解决方案。配合性能优化、单边加速以及多重智能管理等技术，实现对各个云服务器状态的实时监控，同时根据预设规则将用户的访问请求分配给相应的云服务器，进而实现数据流的合理分配，使所有的云服务器都得到充分的利用。不仅扩展应用系统的整体处理能力，提高其稳定性，更可切实改善用户的访问体验，降低组织的IT投资成本。

1.5.1.5 堡垒机组件

堡垒机组件是等级保护合规能力所需要的关键组件之一，能够为用户提供集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计为一体的运维安全审计服务。它能够对服务器、网络设备、安全设备、数据库等资产的运维操作过程进行有效的运维操作审计，使运维审计由事件审计提升为操作内容审计，通过内控管理平台的事前预防、事中控制和事后审计来全面解决运维安全问题。

1.5.1.6  漏洞扫描及基线核查组件

漏洞扫描及基线核查组件能够协助用户实现云上资产安全配置的集中采集、风险分析、处理的工作，它是云上日常信息安全工作的重要支撑。作为统一的安全配置核查和管理系统，能够准确、快速、及时地发现、汇总不同主机、数据库、中间件和网络及安全产品的安全配置问题、漏洞情况，它主要包括如下主要功能：

Ø任务制定：提供灵活的功能用于制定不同类型或周期的安全基线检查任务，任务中可以方便地设置检查对象和检查策略。

Ø采集分析：全面集中检查和分析各类系统存在的本地安全配置问题、漏洞脆弱性、弱口令等，减轻用户因对不同设备分散管理而带来的冗余工作。

Ø 违规报告：提供全面、详尽、清晰的扫描报告管理功能，并能对不同的检查结果进行比对。

Ø 系统加固：提供详尽的、可实际运用的系统加固方案，以指导用户对产生的安全问题进行解决。

1.5.1.7  数据库审计组件

数据库审计组件是针对业务环境下的数据库操作行为进行细粒度审计的合规性管理系统。它通过对业务人员访问系统的行为进行解析、分析、记录、汇报，用来帮助用户事前规划预防，事中实时监视、违规行为响应，事后合规报告、事故追踪溯源，促进核心资产的正常运营。数据库审计组件能够实时监控对数据库服务器的操作流量，智能解析出各种操作，并提供日志报表系统分析，为进行事后的分析、取证提供证据。

1.5.1.8   SSLVPN组件

SSL VPN组件从为客户创造价值的目标出发，在深入了解客户业务情况的基础上，运用最为创新性的方案，为客户有效地解决业务在互联网转化的过程中所遇到的问题。除了像移动办公方案和多方接入的权限分配方案这些传统SSL VPN应用之外，还能够使用SSL安全特性为客户解决原有关键系统安全保障问题；运用SSL加密和逻辑隔离的特性为客户的核心数据实现安全防泄密。

1.5.1.9  上网行为管理组件

1）优化带宽管理，提升用户上网体验

上网行为管理组件能帮助组织管理者透彻了解组织当前、历史带宽资源使用情况，并据此制定带宽管理策略，验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽，限制无关业务对资源的占用，亦可以在带宽空闲时实现动态分配，以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控，能有效保障用户的上网体验，保障网络的稳定性。

2）管控网络应用，提高员工工作效率

上网行为管理组件的数据中心模块能帮助组织管理者透彻了解员工的网络行为内容和行为分布情况。借助上网行为管理组件的管理功能，管理员能实现分时间段、基于用户、基于应用、基于行为内容的网络行为控制，据此限制员工上班时间的无关网络行为，减少员工因效率低下带来的加班、离职、薪金浪费、额外薪金支出等问题。管理员使用上网行为管理组件数据中心可自定义“员工工作效率报表”，作为员工工作效率考核的辅助依据。

3）管控上网权限，实现职位与权限匹配

使用上网行为管理组件，管理员能依据组织架构建立用户身份认证体系，并采用分时间段、基于用户、基于应用、基于行为内容的网络行为控制，从而实现员工职位职责与上网权限的匹配，如限制研发部门不得使用webmail外发邮件、上班时间不能使用IM聊天工具，限制财务人员不能访问不受信网站，等等。以此减少越权访问和权限滥用的现象，防止泄密和不良舆论风险。

4）防范信息泄露，保障组织信息安全

互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。使用上网行为管理组件，能帮助管理员实现基于内容的外发信息过滤，管控文件、邮件发送行为，对网络中的异常流量、用户异常行为及时发起告警，更有数据中心保留相关日志，风险智能报表发现潜在的泄密用户，实现“事前预防、事发拦截、事后追查”。

5）过滤不良信息，规避管理与法律风险

互联网资源极大丰富，亦良莠不齐。上网行为管理组件能帮助管理员过滤违法、违规不良网页、含有不良关键字的网络信息，防止用户不慎访问不受信的网站带来法律风险。对于内网用户的外发信息行为，上网行为管理组件基于内容的外发信息过滤能帮助管理员及时拦截不良言论，或者在特殊时期采用“允许看帖不允许发帖、允许收邮件不允许发邮件”的特殊管控手段，最大程度的减少舆论风险给组织形象声誉带来影响。

6）优化上网环境，提升上网安全

网络犯罪日益善用伪装：利用社交网络散播，仿冒可信网站，将访问合法网站的用户“重定向”到非法网站，假冒可信软件如防病毒软件、插入非法软件，通过恶意广告、垃圾博客、恶意点对点文件传播等等。对此，对于已中毒的终端，上网行为管理组件会检测网络中的异常流量如木马流量等并自动封锁并发起告警，提升局域网安全。

7）支撑IT管理，优化组织IT环境

“三分制度、七分管理”，缺乏技术手段支撑的管理制度就像一道没有装锁的门，只能依赖人工值守或被管理者的自觉遵守。越来越多的IT管理员意识到，必须选择适合组织IT环境的技术手段，才不会让管理制度流于形式，上网行为管理组件有效支撑组织的IT管理，帮助规范网络，减少IT管理员的无谓工作量，优化组织IT环境。

1.5.1.10日志审计组件

日志审计组件能够实时不间断地采集汇聚云租户主机、操作系统和业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及违规事件。

1.5.1.11终端安全（EDR）组件

终端安全（EDR）组件包括管理平台和端点软件两部分。管理平台支持统一的终端资产管理、终端安全体检、终端合规检查，支持微隔离的访问控制策略统一管理，支持对安全事件的一键隔离处置，以及热点事件 IOC 的全网威胁定位，历史行为数据的溯源分析，远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。除此以外，终端安全（EDR）组件也支持与下一代防火墙组件、上网行为管理组件以及深信的安全感知平台产品的联动协同响应，形成新一代的安全防护体系。