明御® 综合日志审计平台明御®综合日志审计平台(简称DAS-Logger)作为信息资产的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;产品概述明御®综合日志审计平台(简称DAS - Logger)作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;明御®综合日志审计平台通过基于国际标准化的关联分析引擎,为客户提供多维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。明御®综合日志审计平台旨在实现网络资产安全状况的统一管理,使企业的利益受损风险降低,广泛适用于政府、金融、运营商、公安、电力能源、税务、工商、社保、交通、卫生、教育、电子商务及各企事业单位等。产品组成明御®综合合日志审计平台由采集器、通信服务器、关联引擎及平台管理器组成。产品功能日志采集支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转发到其它网管平台等。大规模安全存储内置T级别存储设备,可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主...
1.产品介绍明御®攻防实验室平台是各行业用于培养信息安全人才的专业性实验室平台。基于国际先进的安恒安全团队多年的安全研究、攻防成功实践所积累的经验基础上汇聚而成。致力于呈现培训、教学、实验、研究、测试、比赛等综合性培养形式。为各行各业培养信息安全人才队伍建设提供专业性的人才培养平台支撑。(产品架构)(平台子系统组成)2.全面、丰富的知识资源库信息安全人才培养平台内置了课件、实验、题库三大资源体系,并提供了网络安全、主机安全、数据库安全、应用安全四大层面。在基于现有资源体系基础上,形成了多种学习路径模式:1、按照层面:网络安全、主机安全、应用安全、数据库安全2、按照部门:开发部门、测试测试、运维部门、安全管理部门3、按照岗位:开发岗位、测试岗位、运维管理、安全管理岗位4、按照难度:初级、中级、高级三级难易程度进行学习3.高危漏洞、可持续服务支撑能力安恒信息安全研究院具有一批业界先进的专职安全研究队伍,致力于对网络安全威胁、最新情报分析,对主流软硬件进行漏洞挖掘,近年来,在Web安全、数据库安全、大数据安全、工控安全、移动安全、智慧城市信息安全等方面输出了大量安全成果,信息安全人才培养平台与安恒安全研究院保持紧密同步,实时对于安恒安全研究院最新的研究成功及时同步,形成课件、实验、题库三大核心资源,便于客户在第一时间把握前沿网络安全技术。针对于Struts2、OPENSSL心脏出血等一系列互联网重大安全漏洞,可在一周内完成漏洞形成课件、实验资源包。4.向导式个性化自主扩展设计对于行业个性化需求,支持基于自身行业特点,自主设计、扩展课件、实验、题目、漏洞环境,满足行业自身扩展需求。5.完善的体系化人才模式形式日常学习、实训过程中,具有课件、实验作业指导书、语音视频、实验靶机一系列标准化配套体系,支持大批量同时进行学习、实训测试,能够引导初学者由浅入深的进行阶梯式学习。6....
明御®APT攻击(网络战)预警平台APT(Advanced Persistent Threat)--------高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。1.概述APT(Advanced Persistent Threat)--------高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。1.1.攻击特点1).极强的隐蔽性对此可这样理解,APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。例如,2012年最火的APT攻击“火焰(Flame)”就是利用了MD5的碰撞漏洞,伪造了合法的数字证书,冒充正规软件实现了欺骗攻击。2).潜伏期长,持续性强APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。所以这种攻击模式,本质上是一种“恶意的商业间谍威胁”,因此具有很长的潜伏期和持续性。3).目标性强不同于以往的常规病毒,APT制作者掌握高级漏洞发掘和超强的网络攻击技...
明御®数据库审计与风险控制系统明御®数据库审计与风险控制系统(简称:DAS-DBAuditor)是安恒信息在多年数据库安全理论研究与实践的基础上,结合各类法令法规(如等级保护、分级保护、企业内控、SOX、PCI等)对数据库安全的要求,自主研发的细粒度审计、双向审计、多方位风险控制的数据库安全审计产品。1.产品介绍1.2. 内部数据威胁相比位于机构外网的统一出口,机构内部访问数据库的途径和入口更多,访问账号和访问人员的数量也更为庞大,各种访问工具种类更多,因此更难以对行为进行定位和确认。在国内,由于传统安全意识的影响,信息安全的设计中往往更注重对外网边界的重点防范,而相对于外网的重点部署,内部的防护措施则较为薄弱,人员更疏于管理。内部数据泄密多种途径内部数据威胁典型原因:•安全域划分不合理。相比外网,内网中的数据库访问入口更多,包括业务系统/中间件,运维区域的多个IP地址,甚至在部分机构中由于没有对数据库区域进行边界保护和访问控制,从内网中的任何一个IP地址都可以直接访问到数据库; •人员/账号身份众多。在机构内部,系统/数据库管理员,外包/运维人员,业务人员都有访问数据库的需要,由此可能在数据库中存储了日益增多的各种账号,相应的授权很难以管理; •滥用数据库访问工具。由于访问地点分散,访问人员身份众多,私用、滥用各种数据库访问工具的现象众多,在工具中还有可能隐藏了木马和后门,关键数据很容易通过这些工具导致泄露; •缺乏管理规程。同一账号多地登录,同一地点多账号登录,非业务时间访问,各种不规范行为的发生都有可能形成数据库数据泄露的安全漏洞。机构中很难制定细化的操作规程或制定之后很难执行。2. 核心功能 明御®数据库审计与风险控制系统(DAS-DBAuditor)是专业级的...
明御®全流量深度威胁检测平台明御®全流量深度威胁分析系统是安恒信息积累多年应用层安全经验而研发的一款新一代深度威胁分析产品。该产品可以结合了安恒信息在安全审计分析领域多年积累的高性能抓包、协议解析、数据分析、大数据存储、行为建模等经验,是一个面向全流量安全分析、业务分析、审计分析的产品,可广泛适用于银行、公安、政府、运营商、电子商务、能源、企业等各行业的流量深度威胁监控与分析。产品概述明御全流量深度威胁检测平台由资深安全专家经历数年的时间研发而成,它能够轻松应对各种复杂的应用识别、威胁识别、全流量审计和流量深度检测,全面感知客户流量态势。该产品结合了安恒信息在安全审计分析领域多年积累的全流量审计、威胁深度识别、协议解析、应用识别、数据分析、行为还原以及流量趋势分析等经验,是一个面向全流量安全分析、业务分析、审计分析的产品,可广泛适用于银行、公安、政府、运营商、电子商务、能源、企业等各行业的流量深度威胁检测与审计分析。产品架构产品功能全流量审计全面审计网络流量协议的访问行为和深度威胁行为,通过审计信息为网络信息化与安全化管理提供重要依据。基于4000+的特征库和识别库对全流量行为审计并深度匹配,包括协议解析、应用会话行为、深度风险行为、合规行为等,对高消耗带宽流量、安全风险流量、信息泄露行为流量等实时可视化展现,支持全网双向流量、流向等行为的审计。通过对不同级别和不同类型的行为审计,感知2-7层流量中存在的协议应用行为、威胁风险行为、敏感信息访问等;应用协议识别对网络中用户行为分析和发掘,解析流量中协议内容和协议类型,从而对用户应用构成进行分析识别。产品支持对P2P应用、实时通讯软件、流媒体等2800多种的应用会话流量解析;采用应用层协议识别与特征识别技术深度结合,能够更精确的解析协议内容;并根据预定义规则检测报文负载行为特征,准确区分数据流传输的真实网络...
1.产品概述1.1 WEB安全背景随着互联网建设的飞速发展,用户在体验互联网带来的无尽的共享资源的同时,网络威胁也随之而来,病毒感染,木马入侵,黑客攻击等时时刻刻都在进行着,对于网站来说,也存在同样的问题。据专业调查机构研究,发现站点目前存在最大的威胁是应用层的WEB攻击和网页篡改问题,很多政府网站的站点安全也越来越紧急。在计算机网络应急技术处理协调中心(CNCERT/CC)每个月发布的《CNCERT互联网安全威胁报告》统计:2011年全年,中国大陆被篡改网站的数量为36612个、2011年全年,中国大陆被篡改网站的数量为35488个。且在2012年11月、12月,被篡改的网站数量大幅增加。图1 2011、2012年中国网站篡改大概情况互联网日益庞大的使用人群,渗透到世界各个角落。上网已成为人类生活密不可分的一部分,网站逐渐成为政府和企业对外形象的第一窗口。网页篡改事件的屡屡发生,不仅会给政府的公信力和企业的形象造成不良影响,也会给人民群众带去不安定的因素。另外一种篡改方式是网页挂马:网页内容表面上没有任何异常,却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害,但却会给浏览网站的用户带来损失。更重要的是,企业网站一旦被挂马,其权威性将会受到打击,最终给企业社会诚信度的带来重大影响。计算机网络应急技术处理协调中心(CNCERT/CC)每个月发布的《CNCERT互联网安全威胁报告》统计:2012年6月到12月,共计有47145个网站被植入后门。(CNCERT/CC 之前发布的安全威胁报告中,没有关于被植入后门的网站数据)。图2 2012年中国网站被植入后门和篡改情况1.2 网页防篡改系统设计理念网页防篡改系统在站点采用了两种防范方法,实现对静态区域文件和动态区域文件的保护。防攻击模块:动态区域文件保护主要是在站点嵌入web防攻击模块,通...