版权说明：本文档由用户更好的提供并上传，收益归属内容提供方，若内容存在侵权，请进行举报或认领

  1、Web应用防火墙（WAF） 为什么需要WAF? WAF （webapplicationfirewall）的出现是由于传统防火墙无法对应用层的攻 击进行相对有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护 Web应用安全的Web应用防火墙系统（简称WAF）。 什么是WAF? WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征 匹配，主要是针对HTTP访问的Web程序保护。 WAF部署在Web应用程序前面，在用户请求到达Web服务器前对用户请 求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有 效且安全，对无效或有攻击行为的请求进行阻断或隔离。 通过检

  2、查HTTP流量，可以有效的预防源自Web应用程序的安全漏洞（如SQL注 入，跨站脚本（XSS）,文件包含和安全配置错误）的攻击。 与传统防火墙的区别 WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容， 而常规防火墙则充当服务器之间的安全门。 WAF不是全能的 WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决 方案（如网络防火墙和入侵防御系统）一起使用，以提供全面的防御策略。 入侵检测系统（IDS） 什么是IDS? IDS是英文IntrusionDetectionSystems的缩写，中文意思是入侵检测系 统。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进

  3、行监视， 1/21 尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机 密性、完整性和可用性。 跟防火墙的比较 假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一 旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情 况并发出警告。 不同于防火墙，IDS入侵检测系统是一个，没有跨接在任何链路 上，无须网络流量流经它便可以工作。 部署位置选择 因此，对IDS的部署唯一的要求是：IDS应当挂接在所有所关注流量都必须 流经的链路上。在这里，所关注流量指的是来自高危网络区域的访问流量和 有必要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难

  4、找到以前的 HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换 式的网络结构。 因此，IDS在交换式网络中的位置一般选择在： 尽可能靠近攻击源； 这些位置通常是： 服务器区域的交换机上； Internet接入路由器之后的第一台交换机上； 重点保护网段的局域网交换机上 防火墙和IDS可以分开操作，IDS是个临控系统，能自行选择正真适合的，或 是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新 设置！ 主要组成部分 2/21 事件产生器，从计算环境中获得事件，并向系统的别的部分提供此事件; 事件分析器，分析数据； 响应单元，发出警报或采取主动反应措施； 事件数据

  5、库，存放各种数据。 主要任务 主要任务包括： 监视、分析用户及系统活动； 审计系统构造和弱点； 识别、反映已知进攻的活动模式，向有关人员报警； 统计分析异常行为模式； 评估重要系统和数据文件的完整性； 审计、跟踪管理操作系统，识别用户违反安全策略的行为。 工作流程 (1) 信息收集 信息收集的内容有系统、网络、数据及用户活动的状态和行为。入侵检 测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的 异常行为及物理形式的入侵信息4个方面。 (2) 数据分析 数据分析是入侵检测的核心。它首先构建分析器，把收集到的信息经过预 处理，建立一个行为分析引擎或模型，然后向模型中植入时间数

  6、据，在知识库 中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3 种手段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。 3/21 可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程 模型、时间序列分析。统计分析的最大优点是能学习用户的使用习惯。 （3）实时记录、报警或有限度反击 入侵检测系统在发现入侵后会及时做出响应，包括切断网络连接、记录事 件和报警等。响应大体上分为主动响应（阻止攻击或影响进而改变攻击的进程） 和被动响应（报告和记录所检测出的问题）两种类型。 主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动（如断开 连接）、修正

  7、系统环境或收集有用信息；被动响应则包括告警和通知、简单网 络管理协议（SNMP）陷阱和插件等。另外，还可以按策略配置响应，可分别采 取立即、紧急、适时、本地的长期和全局的长期等行动。缺点 （1）误报、漏报率高 （2）没有主动防御能力 （3）不能解析加密数据流 入侵预防系统（IPS） 什么是入侵预防系统 入侵预防系统（IntrusionPreventionSystem, IPS）,又称为入侵侦测与预防 系统（intrusiondetectionandpreventionsystems, IDPS）,是计算机网络安全设 施,是对防病毒软件（AntivirusSoftwares）和防火墙的补充。入侵

  8、预防系统是一 部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够 即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。 为什么在存在传统防火墙和IDS时，还会出现IPS? 虽然防火墙能够准确的通过英特网地址（IPAddresses）或服务端口（Ports）过滤 数据包。但是，它对于利用合法网址和端口而从事的破坏活动则无能为力。因 为，防火墙极少深入数据包检查内容。 4/21 在ISO/OSI网络层次模型（见OSI模型）中，防火墙主要在第二到第四层起 作用，它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七 层起作用。为了弥补防火墙和除病毒软件二者在第四到第

  9、五层之间留下的空 档，几年前，工业界已经有入侵检测系统投入到正常的使用中。入侵侦查系统在发现异常 情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已 经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成 之前先期起作用。随后应运而生的入侵反应系统（IRSJntrusion Response Systems）作为对入侵侦查系统的补充能够在发现入侵时，迅速做出一定的反应，并自 动采取阻止措施。而入侵预防系统则作为二者的逐步发展，汲取了二者的长 处。 IPS如何工作 入侵预防系统专门深入网络数据内部，查找它所认识的攻击代码特征，过 滤有害数据流，丢弃有害数据包，并进行记载，以便事

  10、后分析。除此之外，更 重要的是，大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情 况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在 不应该出现的时段出现、操作系统或应用程序弱点的空子正在被利用等等现 象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒 特征。 应用入侵预防系统的目的是及时识别攻击程序或有害代码及其克隆和变 种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降 低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入到正常的使用中。在必要 时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据（forensic）。 入侵预防

  11、技术 异常侦查。正如入侵侦查系统，入侵预防系统知道正常数据及数据之间 关系的通常的样子，可以对照识别异常。 在遇到动态代码（ActiveX, JavaApplet,各种指令语言script languages等 等）时，先把它们放在沙盘内，观察其行为动向，假如发现有可疑情况，则停 止传输，禁止执行。 5/21 有些入侵预防系统结合协议异常、传输异常和特征侦查，对通过网关或防 火墙进入网络内部的有害代码实行有效阻止。内核基础上的防护机制。用户程 序通过系统指令享用资源（如存储区、输入输出设备、中央处理器等）。 入侵预防系统能截获有害的系统请求。 对Library、Registry.重要文件和

  12、重要的文件夹进行防守和保护。 与IDS相比，IPS的优势 同时具备检测和防御功能IPS不仅能检测攻击还能阻止攻击，做到检测和防 御兼顾，而且是在入口处就开始检测，而不是等到进入内部网络后再检测，这 样，检测效率和内网的安全性都大幅度的提升。 可检测到IDS检测不到的攻击行为IPS是在应用层的内容检验测试基础上加上主 动响应和过滤功能，弥补了传统的防火墙+IDS方案不能完成更多详细的内容检查的不 足，填补了网络安全产品基于内容的安全检查的空白IPS是一种失效既阻断机制 当IPS被攻击失效后，它会阻断网络连接，就像防火墙一样，使被保护资源与外 界隔断。 安全运营中心（SOC） 什么是安全运营中心？ SOC,全称

  13、是SecurityOperationsCenter,是一个以IT资产为基础，以业务信 息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立 起来的一套可度量的统一业务支撑平台，使得各种用户能对业务信息系统进 行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评 估、安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续 安全运营。 本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品， 又有服务，还有运维（运营），SOC是技术、流程和人的有机结合。SOC产品是 SOC系统的技术支撑平台，这是SOC产品的价值所在。 为何会出现SOC? 6

  14、/21 过去我们都让安全专家来管理很多类型的防火墙、IDS和诸如此类的安全措 施，这还在于安全问题一般都发生在网络中很具体的某个地点。但是， 现在的情况已经变化，安全问题已不再像当年那么简单。安全是一个动态的 过程，因为敌方攻击手段在变，攻击方法在变，漏洞不断出现；我方业务在 变，软件在变，人员在变，妄图通过一个系统、一个方案解决所有的问题是不 现实的，也是不可能的，安全要一直地运营、持续地优化。安全措施应当被 实施在应用层、网络层和存储层上。它慢慢的变成了您的端对端应用服务中的一部 分，与网络性能的地位非常接近。 安全管理平台在未来安全建设中的地位尤其重要，它能够站在管理者的角 度去俯

  15、瞰整个安全体系建设，对其中每一层产品都能够直接进行全面、集中、统一 的监测、调度和指挥控制。可以说，未来的态势感知的根基就是安全管理平 台。 主要功能（以venustech公司的soc产品为例） 面向业务的统一安全管理 系统内置业务建模工具，用户可以构建业务拓扑，反映业务支撑系统的资 产构成，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱 性和业务的威胁三个维度计算业务的健康度，协助用户从业务的角度去分析业 务可用性、业务安全事件和业务告警。 全面的日志采集 可以通过多种方式来收集设备和业务系统的日志，例如Syslog、 SNMPTrap、FTP、OPSECLEA、NETBIOS、O

  16、DBC、WML Shell 脚本、Web Service 奇寺o 智能化安全事件关联分析 借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范式化 后的日志流进行安全事件关联分析。系统为安全分析师提供了三种事件关联分 析技术，分别是：基于规则的关联分析、基于情境的关联分析和基于行为的关 7/21 联分析，并提供了丰富的可视化安全事件分析视图，充分提升分析效率，结合 威胁情报，更好的帮助安全分析师发现安全问题。 全面的脆弱性管理 系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动，内置安 全配置核查功能，从技术和管理两个维度做全面的资产和业务脆弱性管控。 主动化的预警管理 用户可

  17、以通过预警管理功能发布内部及外部的早期预警信息，并与网络中 的IP资产进行关联，分析出可能受影响的资产，提前让用户了解业务系统可能 遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警；预警类型包括 安全通告、攻击预警、漏洞预警和病毒预警等；预警信息包括预备预警、正式 预警和归档预警三个状态。 主动化的网络威胁情报利用 系统提供主动化的威胁情报釆集，通过采集实时威胁情报，结合规则关联 和观察列表等分析方式，使安全管理人员及时发现来自己发现的外部攻击源的 威胁。 基于风险矩阵的量化安全风险评估 系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安 全风

  18、险管理，以及OWASP威胁建模项目中风险计算模型的要求，设计了一套实 用化的风险计算模型，实现了量化的安全风险估算和评估。 指标化宏观态势感知 针对系统收集到的海量安全事件，系统借助地址爛分析、热点分析、威胁 态势分析、KPI分析等数据挖掘技术，帮助管理员从宏观层面把握整体安全态 势，对重大威胁进行识别、定位、预测和跟踪。 多样的安全响应管理 8/21 系统具备完善的响应管理功能，能够根据用户设定的各种触发条件，通过 多种方式（例如邮件、短信、声音、SNMPTrap、即时消息、工单等）通知用 户，并触发响应处理流程，直至跟踪到问题处理完毕，从而实现安全事件的闭 环管理。 丰富灵活的报表报告 出

  19、具报表报告是安全管理平台的重要用途，系统内置了丰富的报表模板， 包括统计报表、明细报表、综合审计报告，审计人员可以根据需要生成不同的 报表。系统内置报表生成调度器，可以定时自动生成日报、周报、月报、季 报、年报，并支持以邮件等方式自动投递，支持以PDF、Excel. Word等格式导 出，支持打印。 系统还内置一套报表编辑器，用户都能够自行设计报表，包括报表的页面版 式、统计内容、显示风格等流安全分析 除了采集各类安全事件，系统还能够采集形如NetFlow的流量数据并进行 可视化展示。针对采集来的NetFlow流量数据的分析，系统能够建立网络流量 模型，通过泰合特有的基于流量基线、网络异常行为。 知识管理 系统具有国内完善的安全管理知识库系统，内容涵盖安全事件库、安全策 略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、案例 库、报表库等，并提供定期或者不定期的知识库升级服务。 用户管理 系统采用三权分立的管理体制，默认设置了用户管理员、系统管理员、审 计管理员分别管理。系统用户管理采用基于角色的访问控制策略，即依据对系 统中角色行为来限制对资源的访问。 自身系统管理 9/21 实现了系统自身安全及维护管理。最重要的包含组织管理、系统数据库及功能 组件运作时的状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和 配置功能。 一体化的安全管控界面 系统提供了强

  21、大的一体化安全管控功能界面，为不同层级的用户更好的提供了多 视角、多层次的管理视图。 信息安全和事件管理(SIEM) SIEM,信息安全和事件管理,全称是security information and event management,由SEM和SIM两部分构成。 什么是SIEM? SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记 录。 SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)一实时 分析日志和事件数据以提供威胁监视、事件关联和事件响应，与安全信息管理 M)一收集、分析并报告日志数据，结合了起来。 SIEM的运作机制是什么？ SIEM软件收集并聚合公司

  22、所有技术基础设施所产生的日志数据，数据来源 从主机系统及应用，到防火墙及杀软过滤器之类网络和安全设备都有。 收集到数据后，SIEM软件就开始识别并分类事件，对事件做多元化的分析。 该软件的主要目标有两个： 产出安全相关事件的报告，比如成功/失败的登录、恶意软件活动和其他可 能的恶意活动。 如果分析表明某活动违反了预定义的规则集，有潜在的安全问题，就发出 警报。 10 / 21 除了传统的日志数据，很多SIEM技术还引入了威胁情报馈送，更有多种 SIEM产品具备安全分析能力，不仅监视网络行为，还监测用户行为，可针对某 动作是否恶意活动给出更多情报。 如今，大规模的公司通常都将SIEM视为支撑安全运营中心(

  23、SOC)的基础。 如何最大化SIEM的价值？ 首先，SIEM技术是资源密集型工具，需要经验比较丰富的人员来实现、维护和 调整一一这种员工不是所有企业都能完全投入的。(团队) 想要最大化SIEM软件产出，就需要拥有高品质的数据。数据源越大，该工 具产出越好，越能识别出异常值。(数据) 软件的局限 在检测可接受活动和合法潜在威胁上，SIEM并非完全准确，正是这种差 异，导致了很多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和 有效规程，避免安全团队被警报过载拖垮。 漏洞扫描器(VulnerabilityScanner) 漏洞扫描是检查计算机或网络上可能利用的漏洞点，以识别安全漏洞。 什么是

  24、漏洞扫描器？ 漏洞扫描器是一类自动检验测试本地或远程主机安全弱点的程序，它能够快速 的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。 漏洞扫描器的工作原理 工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来 判断对方的操作系统类型、开发端口、提供的服务等敏感信息。 漏洞扫描器的作用 通过扫描器，提前探知到系统的漏洞，预先修复。 11 / 21 分类 端口扫描器(Portscanner) 例如Nmap 网络漏洞扫描器(Network vulnerability scanner) 例如 Nessus, Qualys, SAINT, OpenVAS, INFRA Security S

  27、ket inspection) Web 代理和内容过滤(Web Proxy 运维审计型堡 垒机即解决了运维人员权限难以控制混乱局面，又可对违规操作行为来控制 和审计，而且由于运维操作本身不会产生大规模的流量，堡垒机不会成为性能 的瓶颈，所以堡垒机作为运维操作审计的手段得到了加快速度进行发展。 最早将堡垒机用于运维操作审计的是金融、运营商等高端行业的用户，由 于这些用户的信息化水平相对较高发展也比较快，随信息系统安全建设发展 其对运维操作审计的需求表现也更为突出，而且这些用户更容易受到信息系统 18 / 21 等级保护、“萨班斯法案等法规政策的约束，因此基于堡垒机作为运维操作审 计手段的上述特点，这

  28、些高端行业用户率先将堡垒机应用于运维操作审计。 堡垒机运维操作审计的丄作原理 作为运维操作审计手段的堡垒机的核心功能是用于实现对运维操作人员的 权限控制与操作行为审计。 主要技术思路 怎么来实现对运维人员的权限控制与审计呢？堡垒机一定要能截获运维人员 的操作，并能够分析出其操作的内容。堡垒机的部署方式，确保它能够截获运 维人员的所有操作行为，分析出其中的操作内容以实现权限控制和行为审计的 目的，同时堡垒机还采用了应用代理的技术。运维审计型堡垒机对于运维操作 人员相当于一台代理服务器(Proxy Server) 1) 运维人员在操作的流程中首先连接到堡垒机，然后向堡垒机提交操作请求； 2) 该请求通

  29、过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连 接到目标设备完成该操作，之后目标设备将操作结果返回给堡垒机，最后堡垒 机再将操作结果返回给运维操作人员。 通过这一种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，建立了从 运维人员堡垒机用户账号授权目标设备账号目标设备的管理模式，解 决操作权限控制和行为审计问题的同时，也解决了加密协议和图形协议等无法 通过协议还原进行审计的问题。 工作原理简介 在实际使用场景中堡垒机的使用人员通常可分为管理人员、运维操作人 员、审计人员三类用户。 管理员最重要的职责是依据相应的安全策略和运维人员应有的操作权限来 配置堡垒机的安全策略。堡垒机管理员登录堡垒

  30、机后，在堡垒机内部，“策略管 理组件负责与管理员进行交互，并将管理员输入的安全策略存储到堡垒机内部 的策略配置库中。 19 / 21 应用代理组件是堡垒机的核心，负责中转运维操作用户的操作并与堡垒 机内部其他组件进行交互。应用代理组件收到运维人员的操作请求后调用策 略管理组件对该操作行为进行核查，核查依据便是管理员已经配置好的策略配 置库，如此次操作不符合安全策略“应用代理组件将拒绝该操作行为的执行。 运维人员的操作行为通过“策略管理组件的核查之后应用代理组件则代替 运维人员连接目标设备完成相应操作，并将操作返回结果返回给对应的运维操 作人员;同时此次操作的流程被提交给堡垒机内部的审计模块，然后

  31、此次操作过 程被记录到审计日志数据库中。 最后当需要调查运维人员的历史操作记录时，由审计员登录堡垒机进行查 询，然后“审计模块从审计日志数据库中读取相应日志记录并展示在审计员交 互界面上。 如何明智的选择一款好的堡垒机产品 对于信息系统的管理者来说除了工作原理以外可能更关心如何明智的选择一款好 的运维审计堡垒机产品。一个好的运维审计堡垒机产品应实现对服务器、网络 设备、安全设备等核心资产的运维管理账号的集中账号管理、集中认证和授 权，通过单点登录，提供对操作行为的精细化管理和审计，达到运维管理简 单、方便、可靠的目的。 管理方便 应提供一套简单直观的账号管理、授权管理策略，管理员可快速方便地查 找某个用户

  32、，查询修改访问权限;同时用户能方便的通过登录堡垒机对自己的 基础信息来管理，包括账号、口令等做修改更新。可扩展性 当进行新系统建设或扩容时，要增加新的设备到堡垒机时，系统应能方 便的增加设备数量和设备种类。 精细审计 针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审 计的缺陷，系统应能实现对RDP、VNC、X-Window SSH、SFTP、HTTPS等协议 进行集中审计，提供对各种操作的精细授权管理和实时监控审计。 20 / 21 审计可查 可实时监控和完整审计记录所有维护人员的操作行为;并能依据需求，方便 快速的查找到用户的操作行为日志，以便追查取证。 安全性 堡垒机自身需具备较高的安全性，须有冗余、备份措施，如日志自动备份 等。 部署方便 系统采用物理旁路，逻辑串联的模式，不需要改变网络拓扑结构，不需要 在终端安装客户端软件，不改变管理员、运维人员的操作习惯，也不影响正常 业务运行。 21 / 21

  1. 本站所有资源如无特殊说明，都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。

  2. 本站的文档不包含任何第三方提供的附件图纸等，若需要附件，请联系上传者。文件的所有权益归上传用户所有。

  3. 本站RAR压缩包中若带图纸，网页内容里面会有图纸预览，若没有图纸预览就没有图纸。

  5. 人人文库网仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对用户上传分享的文档内容本身不做任何修改或编辑，并不能对任何下载内容负责。

  7. 本站不保证下载相关资源的准确性、安全性和完整性, 同时也不承担用户因使用这一些下载相关资源对自己和他人造成任何形式的伤害或损失。

  国开作业《公共关系学》实训项目3：社区关系建设（六选一）-实训项目二社区关系建设方案-参考（含答案）98