2019深信服安全感知SIP四大场景v3
SCSA 6题库(60道)
SCSA 61、[AC]审计windows客户端版QQ聊天内容可以通过下列哪类策略实现?——[单选题]A 准入策略B 上网权限策略C 用户限额策略D 上网审计策略正确答案:A2、 [SSL]关于外置数据中心,下列说法正确的是?——[单选题]A 外置数据中心登录端口默认是443B 外置教据中心日志默认保存180天C 外置数据中心使用UDP514成端口通信D 外置数据中心可以使用Redha t系统安装Sangfor Certified securiy正确答案:B3、[AC]AC路由部署在公网出口,内网用户通过AC进行上网行为控制,客户要求审计内网用户的所有上网行为.结果发现内网有大部分的应用(包括邮件、QQ回天内容)没有审计到,下列说法错误的是?——[单选题]A 检查内网电脑的IF是否添加到了AC的全局排除地址列表中B 检查AC上多功能序列号是否开启了'SSL内容识别”功能,若未开启则审计不到邮件或QQ 聊天内容C 检查客户电脑是否通过加密方式发送的邮件,如果是需要在AC上开启SSL内容识别功能才可以审计到D 检查客户电脑是否是非windows系统的PC,例如MAC系统或Lirux系统,这些系统无法监控QQ的聊天内容信息。
正确答案:C4、 [AF]下列哪项不属于热点事件预警与处置功能带来的价值点——[单选题]A —键生成安全防护策略,帮忙用户实现快速防护B 推送当前的热点事件到设备,让用户感知当前的外部威胁C 主动扫描用户关注的业务段,是否存在相应的风险D 被动分析相关流量,确认内网是否已被入侵正确答案:D5、 [SSL]下列关于sSL VPN的用户描述,正确的是?——[单选题]A 一个用户只能关联一个角色B 一个用户可以关联多个虚拟IP地址C 一个用户可以关联多个策略组D —个用户只能关联一个组正确答案:D6、 [AF]客户反馈漏洞攻击防护策略将正常业务拦截了,下列选项中,哪种方法能够放通业务且不影响策略正常运行?——[单选题]A 将源目的ip加入全局排除B 删除漏洞攻击防护策略C 将拦截业务的规则id动作改成允许D 直接绕开设备正确答案:C7、 LSIP]下列关于EDR与SIP对接的说法错误的是?——[单选题]A 对接配置中,只需要配置EDRs或SIP一端即可B EDR客户端可以与SIP进行对接C 对接的配置中,EDR端不支持认证帐号和密码的配置D 对接的配置中,SIF端支持认证帐号和密码的配置正确答案:C8、 [EDR]微隔离功能属于哪个授权模块?——[单选题]A 智防B 智控C 服务端防护D 智响应正确答案:B9、标准IPSEC VPN建立过程中,正常情况下第一阶段主模式协商双方交互多少次消息?——[单选题]A 5B 6C 3D 4正确答案:B10、[AF]下列哪项不是目前AF可以支持的动态路由协议?——[单选题]A RIPB OSPFC BGPD EIGRP正确答案:D11、[SSL]关于SSL VPN的策略组,下列哪项功能不能实现?——[单选题]A 用户拨上SSL VPH后,设置其自动跳转到关联的某个资源B 用户拨上SSL VPN后,限制其访问互联网C 用户拨上SSL VPN后,限制其使用vpn的带宽D 用户拨上SSL VPN后,设置其在每天凌晨2:00自动断开vpn正确答案:D12、 [AC]关于深信服上网审计技术,下列选项中说法错误的是?——[单选题]A 应用审计动作会对客户端有感知B 审计的前置条件是数据经过AC设备或者境像数据给ANC设备C 全局排除功能添加并启用后,会审计不到访回百度网页行为D 审计的前置条件是内网用户先完成用户认证正确答案:A13、[AC]关于不需要认证,下列选项中说法错误的是?——[单选题]A 不需要认证方式适用于对管理要求不高的上网场景B 单位不允许呼叫中心的办公电脑私自修改IP地址,可以固定IP,做不需要认证,绑定IP 和MAC地址C 跨三层场景,做不需要认证想获取到真实MAC地址只能通过跨三层识别功能实现D 动态获取IP地址场景,不能使用不需要认证正确答案:D14、[SIP]下列哪个不能使用SIP解码小工具进行解码?——[单选题]A utf-8B base64编码C unicodeD ur1编码正确答案:C15、 [AF]以下哪类网络攻击不属于DoS攻击?——[单选题]A Tear Drop攻击B IP Spoofing攻击C SYN F1ood攻击D ICMP F1ood攻击正确答案:B16、 [SSL]某客户反馈SSL VPN接入后无法访问资源,下列排查方法错误的是?——[单选题]A 尝试使用关联了内网所有网段资源的SSLVPN账号接入,再访问该资源B 在控制台使用ping命令测试SSLVPN到该资源服务器连通性C 尝试更换电脑测试,确认是否是客户端的问题D 在终端上使用ping命令测试资源的连通性正确答案:D17、[EDR]客户希望通过EDR获取内网终端资产的“责任人”及资产“位置”信息,请问如何满足?——[单选题]A 可以满足,不需要在MGR管理端设置终端必须上报的资产信息,终端安装Agent后默认会自动识别终端“责任人”和“位置”上报给MR管B 可以满足,不需要在MGR管理端设置终端必须上报的资产信息,终端安装Agent后默认必须要填写“责任人”和“位置”才能完成安装C 可以满足,在MGR管理端设置终端必须上报的资产信息包括“责任人”和“位置”,则终端安装Agent后必须要填写“责任人"和“位置才能完成安装D 无法满足此需求正确答案:C18、 [AC]下列关于设备链路负载功能说法错误的是?——[单选题]A 高校场景,支持结合负载均衡设备,做网桥模式的链路负载B 前置设备做tos标签,AC网桥模式支持联动实现选路C 不需要做应用/用户等选路时,可以使用默认负载策略,对线路进行负载D 路由/网桥/旁路模式都支持链路负载功能正确答案:D19、 19AH使用下面哪个协议号?——[单选题]A 52B 51C 53D 50正确答案:B20、[AF]下列哪个不是AF的僵尸网络防护支持的功能——[单选题]A 邮件杀毒B 异常流量检测C 木马远控D 恶意域名重定向(蜜罐)正确答案:A21、[AC]办公网中存在非法移动终端,会给企业带来隐患。
信息安全-安全感知平台(SIP)主打PPT
传统安全体系的挑战之三:响应慢
安全产品众多
WAF UTM
安全审计
漏扫
数据库审计 上网行为管理
下一代防火墙
邮件网关
IDS 抗DDOS
VPN
身份认证 防火墙
IPS 防毒墙
人力运维难度大
根因:安全人才数量少,难培养,不能多精;
如何应对?
构建一个可感知、易运营的安全大脑
外部威胁情报
数据中心
广域网 局域网
在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。
全局可视能力:宏观辅助决策
脆弱性可视
全网安全态势可视
外部攻击态势可视
内部横向威胁可视
全局可视能力:微观精准运营
业务维度可视
攻击链可视
详细威胁举证 影响面分析
协同响应能力:三级响应机制
一键阻断 用户提醒
安全感知系统SIP
数
据
探针STA
脆弱性检测
大数据
检测算法
访问关系
业务识别
构建准确的检测模型
交付&可视
整体安全态势 业务安全风险 业务访问关系 横向威胁分析 Kill chain趋势 异常行为画像 安全失陷举证
为业务决策服务的可视化
处置&响应
NGAF联动封堵 EDR联动查杀 上网行为管理联动提醒 安全专家人工服务
协同联动+人工服务
海量数据采集能力
华东某三甲医院
项目背景&部署方式
该医院安全建设非常完善,且内外网隔离环境让客户认为安全 没有问题。只到2017年7月该医院被卫计委对对于其官方网站发生 的篡改事件进行了通报。
客户寻找到多家厂商进行测试,均未发现问题。于是客户找到 我们为其进行安全检测:潜伏威胁探针部署在医院内外网核心交 换机上,安全感知平台部署在内网核心交换机上。
深信服sip总结
深信服SIP总结1. 简介深信服(Sangfor)是一家领先的网络安全解决方案提供商,其产品和服务涵盖了网络安全、云计算和云服务、智能终端和安全可信数字身份等领域。
SIP (Session Initiation Protocol)是一种用于建立、修改和终止多媒体会话的通信协议,深信服SIP作为Sangfor产品线的一部分,提供了强大的SIP解决方案。
2. 深信服SIP的特性2.1 多媒体会话控制深信服SIP允许用户建立和管理多媒体会话,包括语音通话、视频通话和实时文本通信。
通过SIP协议,用户可以发起会话请求、应答请求、修改会话参数和结束会话。
2.2 信令安全性深信服SIP提供了一系列安全性措施来保护信令的机密性、完整性和可用性。
其支持TLS传输协议和S/MIME加密机制,可以保证信令在传输过程中的安全性。
2.3 灵活部署深信服SIP可以根据用户的需求进行灵活的部署。
它支持集中式部署和分布式部署两种模式,可以根据用户的网络拓扑结构和规模选择最适合的部署方式。
2.4 接口丰富深信服SIP提供了丰富的开放接口,可以与其他系统进行集成。
它支持标准的SIP接口、HTTP接口和Web服务接口,方便用户进行二次开发和扩展。
3. 深信服SIP的应用场景3.1 企业通信深信服SIP可以用于企业内部的语音通信、视频会议和实时文本通信。
通过部署SIP服务器和终端设备,企业可以实现统一的通信平台,提高通信效率和便捷性。
3.2 互联网电话深信服SIP可以作为互联网电话(VoIP)系统的核心协议。
通过使用SIP服务器和SIP终端,用户可以通过互联网实现低成本的电话通信,避免传统电话费用的支出。
3.3 语音网关深信服SIP可以作为语音网关的协议,将传统电话和互联网电话相连接。
通过使用SIP协议转换传统电话信号和IP信号,语音网关可以实现互通。
3.4 呼叫中心深信服SIP可以用于呼叫中心的语音服务。
通过部署SIP服务器和语音交换机,呼叫中心可以提供稳定可靠的语音通信服务,实现高效的客户服务。
【内部培训】安全感知平台+潜伏威胁探针
方案介绍– 对应的解决方案与产品
方案介绍---对应彩页4-8页:
1. 潜伏威胁探针 (Stealth Threat Analytics) STA 旁路在核心交换机以及核心业务区的接入交换区,抓取镜像流量
关键词:旁路,流量抓取
2. 安全感知平台 (Security Intelligent Platform)SIP 部署在内网,集中管理STA,收集STA抓取的日志,并且分析异常行 为,展示访问关系,可疑访问,攻击行为
关键词:业务资产可视,业务访问关系可视,安全感知
2、借由深信服/Gartner“防御,检测,响应”的理念, 向用户灌输防护被突破只是时间问题,不是是/否的问题。 需要持续检测和快速响应对抗快速迭代的攻防节奏。
关键词:持续检测
3、借由介绍黑客/攻击者的攻击路径与攻击向量,向用户灌输突破边 界以后,需要内网的安全设备起到安全纵深的作用。发现过去边界防 护忽略的内网攻击行为。
关键词: 集中管控,展示
2020/3/22
市场思路 – 销售模式
销售模式 ➢ 按探针需要支持的流量选型 ➢ 可视化平台为软件,目前搭配探针赠送,可配合超 融合一起安装销售
销售工具 http://200.200.1.200/cms/plus/list.php?tid=2353
➢ 报价 ➢ 彩页 ➢ PPT
2020/3/22
市场思路 – 整体解决方案
防御 ➢ AF ➢ WAF ➢ 云WAF
检测 ➢ 探针 ➢ 云检测/AF检测
响应 ➢ 安全服务 ➢ 微信告警
2020/3/22
• 引导预算 • 暂时不卖
2020/3/22
2020/3/22
网络安全等级保护:TOP客户案例分享
建立“持续、主动、动态、闭环”的 安全运营体系,持续地监测;主动地 服务;动态地调整,安全事件的闭环。
l 随需可得的高阶安全专家
云端高阶安全专家形成安全专家池,提出专家共享 模式。就安全问题的必要性自动介入更多的安全专 家或更高阶的安全专家,让用户在短时间内扩展出 专业安全团队,解决服务效果达不到预期问题。
数据中心 转运中心
数据中心 转运中心
分拨中心
分拨中心
分拨中心
分拨中心
配送站
配送站
配送站
配送站
配送站
安全接入多样化落地
补全组网短板 降低IT投入
组网最小单位从站点下 沉到人,安全传输更灵 活,管理更加集中,实 施成本更低
扩大使用规模 从驻外出差到全员推广
并发数量从千百级上升 到10万级,项目规模大 大提升
STAGE3技术认可
Ø 核心检测能力; Ø 安全可视能力; Ø 联动响应能力
STAGE2竞争测试
Ø 安恒:设备日志为主,流量为辅; Ø 360:威胁情报和设备日志为主,
流量为辅; Ø 深信服:全流量为主,威胁情报和
关键设备日志为辅
文广集团安全感知项目方案概览
Ø 核心检测能力:基于真实流量分析,使得大 数据分析、机器学习、人工智能技术实现真 正的安全检测能力落地,不存在第三方设备 日志分析的准确性问题;
Ø array无法依赖于自身做集群,只能主备模式部署,主备切换经常故障导致设备宕机,业务中断。 Ø 不支持多因素认证,仅支持双因素,身份认证手段单一。 Ø array日志审计不够完善,出问题后溯源能力匮乏。 Ø 与终端杀软等软件及最新版浏览器兼容性极差,增加大量的运维成本和压力。
组网方案延伸——SSL安全接入
安全感知平台(SIP)
中
心
EDR插件 EDR插件 EDR插件
探针STA
端点查杀
一键阻断:自动阻断木马与黑客通信 端点查杀:端点执行扫描、查杀等动作 高级人工服务:安全应急响应,解析网络
威胁现状和威胁,并给出安全建设建议
专家服务
办 公 区
协同响应能力
一键阻断
用户提醒
端点查杀
西南某电子政务外网
需求现状
1. 部署了大量的安全防护设备,仍然发生 网页被篡改的安全事件;
国内多个互联网公司数据泄露
就在2017年上半年,国内多个互联网企业的用 户隐私信息遭到泄露,甚至是售卖,影响恶劣。
根因:以防御为核心的安全体系无法应对各类高级攻击(APT攻击、钓鱼邮件等) 缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力
传统安全体系的挑战之二:看不懂
客户平均每天生成安全告警日志多达上万条 各类安全日志分散在各种安全设备上 安全日志以安全事件角度展示
背景介绍
419讲话---习主席
“谁进来了不知道、是敌 是友不知道、干了什么不 知道”,长期“潜伏”在 里面,一旦有事就发作了
《“十三五”国家信 息化规划》
全天候全方位感知网络安 全态势。加强网络安全态 势感知、监测预警和应急 处置能力建设
2016.4
2016.12
网络安全法开始实施
使得网络安全有法可依, 各行业更加重视网络安 全建设
等保2.0标准
对网络行为、潜伏未知 威胁进行持续检测和分 析
2017.6
即将发布
传统安全体系的挑战之一:看不见
WannaCry
2017年5月,WannaCry勒索病毒全球大爆发,至 少150个国家、30万名用户中招,造成损失达80亿 美元,已经影响到金融,能源,医疗等众多行业,造 成严重的危机管理问题
深信服安全业务快速选型报价一纸通
深信服安全业务渠道销售指导以下所有产品给客户的首次报价应不低于6折,具体成本请联系您的深信服接口人:XXX一、网关安全类:AF(下一代防火墙)、AC(上网行为管理)、SSL VPN(1)AC选型参考出口带宽和用户数,报价涉及网关杀毒、多线路、BA等模块以及URL库升级和服务;(2)AF选型主要参考带宽,报价涉及增强级模块、杀毒与未知威胁防护、VPN模块、多线路(2U设备)、最新威胁防御(URL库、安全规则库更新)和服务;(3)SSL选型主要参考并发用户数,报价涉及多线路模块、SSL 接入授权、远程应用发布模块、远程应用发布并发接入授权(必须先买)、短信认证模块、集群授权(第三台起免费)、动态令牌认证模块+加密狗、口袋助理验证码模块等。
二、旁路检测类:SIP(安全感知平台)SIP选型主要参考探针数量和模式选型,高级模式与标准模式的差别在于是否审计分析正常流量,对于安全威胁的检测分析能力相同,探针选型主要参考镜像交换机的流量大小。
报价涉及设备与软件的接入授权,包括深信服设备接入授权、第三方设备接入授权、第三方系统软件接入授权、主管单位版本授权。
三、终端安全类:EDR(端点检测响应系统)、EMM(1)EDR选型参考终端数量及操作系统类型,报价区分PC端操作系统、windows服务端与Linux服务端分别报价,PC端涉及智防(恶意文件检测)、智控(微隔离)、智响应(联动响应)模块,windows Server与Linux Server 报价默认包含全部模块(不可以分开购买);(2)EMM选型:四、分支组网类:SDWAN备注:aBOS里面的vAC/vAF/vWOC/vSSL需要按照带宽和并发授权选型五、解决方案类:等保合规、软件定义安全(1)等级保护备注:深信服提供全套的等级保护合规方案,请联系厂家BU提供等保方案咨询。
(2)软件定义安全等保一体机中各个组件选型跟对应硬件设备选型方法一致,网络串接的组件均按照流量选型,旁路部署的组件均按照授权数来选型;等保一体机中的各个组件默认免费开通该组件所有模块,无需考虑模块开通。
深信服VPN产品介绍(白皮书)
第1章SANGFOR SSL-VPN技术特点1.1更安全的SSL VPNSANGFOR SSL VPN身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系,由头至尾保证整个SSL VPN接入访问的安全性。
1.1.1身份认证安全1.1.1.1多种方式混合认证许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。
使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题,尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统,一旦遭遇用户名密码被盗窃,其后果所造成的威胁将是不可估量的。
SANGFOR SSL VPN支持多种认证方式的多因素组合认证,除了最基本的用户名密码认证之外,还支持LDAP/AD、Radius、CA等第三方认证,支持USB KEY、硬件特征码、短信认证(短信猫和短信网关)、动态令牌卡等加强认证方式。
单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,深信服创新性提出混合认证,针对以上认证方式可以进行多因素的“与”、“或”组合认证。
“与”组合认证可实现多达5种以上认证方式的捆绑,必须同时满足才能够接入SSL VPN系统。
“或”组合认证可对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到SSL VPN 系统中。
通过多因素组合认证大大加强认证安全的强度,确保接入SSL VPN的用户的身份的确认性。
1.1.1.2USB KEY认证SANGFOR SSL VPN支持基于数字证书的USB KEY认证,将CA中心生成的数字证书颁发给USB KEY,并为该USB KEY设置PIN码。
通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。
同时,SANGFOR SSL VPN支持无驱USB KEY认证,客户端无需安装驱动即可使用USB KEY进行登录认证,大大提高了客户端使用的易用性。
USB DKEY可同时支持SSL VPN、IPSec VPN移动客户端两套系统,安全方便。
SANGFOR_深信服科技公司介绍+全系列产品介绍
全面网络优化方案提升带宽价值深信服科技有限公司2010年5月目录全面网络优化方案,提升带宽价值 (1)深信服AC上网行为管理——实现内网有序管控 (2)深信服SSL VPN——全面的移动安全接入方案 (3)深信服IPSec VPN——异地网络安全、快速组网 (4)深信服广域网加速——让网络飞驰起来 (5)深信服BM流量管理——优化带宽资源 (6)深信服SG上网优化网关——提升上网效率 (7)深信服AD应用交付——链路、应用负载双优化 (9)招商局集团部署深信服产品解决网络性能问题 (10)更多成功客户: (12)全面网络优化方案,提升带宽价值——深信服科技深信服科技是中国规模最大、创新能力最强的前沿网络设备供应商,致力于通过创新、高品质的产品及卓越的服务,帮助用户提升互联网带宽的价值。
通过专业、创新、高性价比的产品,围绕商业用户Internet带宽资源,帮助用户降低成本(VPN实现网间互联、替代专线)、提高效率(广域网加速让应用更快捷)、产生效益(SSL VPN实现无处不在的移动办公)、防范风险(AC上网行为管理网关保证内、外网安全)、优化资源(BM流量控制实现带宽合理管控)、提高访问体验(AD应用交付实现链路及服务器双负载均衡),提供全面的网络优化解决方案!深信服科技现有AC上网行为管理、IPSec VPN、SSL VPN、广域网加速、BM流量控制、AD应用交付等全系列产品线。
丰富的产品系列给客户更大的选择空间。
不同层次、不同需求的客户都可以在深信服科技找到适合自己的网络连通、管理、优化产品。
截止到2010年5月,已有超过16,000家用户选择了同深信服合作并取得了显著收益。
这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业,也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。
在中国入选世界500强的企业中,超过一半的企业都是深信服的用户。
目前,深信服科技总人数已达900人,直属分支机构36个,销售网络遍布全国,并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。
信息安全-终端检测响应平台EDR解决方案
第一章概述二十一世纪以计算机和网络通信为代表的信息化技术迅速发展,现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖,信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。
组织机构的正常运行高度依赖于信息系统,而针对其所承载的服务和数据的安全保护就显得尤为重要,如数据的安全性、完整性,终端计算机的可靠性、可用性等方面出现缺陷,将会给组织机构带来不可计量的损失。
而如今,全球化的互联网使得组织机构不仅依赖信息系统,还不可避免地通过计算机与外部的信息系统建立密切联系。
面对来自外部以及内部的威胁,对信息系统及系统终端的保护需求则更为突出。
面对日益严峻的安全风险,大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系,并在一定程度上抵御来自外部的攻击,然而内部信息系统是不断变化发展的,系统环境在任何时刻都会呈现开放、共享等特点,不应以孤岛形式存在,外部威胁只是安全风险的一部分,作为办公环境的重要组成,开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。
正因如此,终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。
XX终端计算机具有点数多、覆盖面大、难管理等特点,加之XX信息安全人员人手有限,终端分布环境复杂,威胁风险事件较多,使信息安全人员对终端安全工作处于被动状态。
在终端安全方面,一旦出现病毒感染、恶意破坏传播、数据丢失等事件,将会给XX造成严重损失,后果不堪设想。
现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐,已严重影响到计算机信息系统安全性。
正因如此,全方位做好XX信息系统的终端安全防护工作,在XX建设一套终端安全检测与响应系统,以确保XX的日常办公安全、稳定、高效运行。
第二章应用场景与风险分析2.1防病毒应用概况信息化飞速发展,组织内部人员的正常办公,与计算机终端密不可分,它为使用者带来便利同时,亦产生了层出不穷的安全威胁。
网络安全主动防御一体化建设项目需求
1.9主机授权≥300。所投产品需支持与采购人现运行的智能网络流量预警监测平台(深信服SIP-1000-B400)联动防护(投标人承诺如若中标后,可实现所投产品支持与采购人现运行的智能网络流量预警监测平台(深信服SIP-1000-B400)联动防护。
1.10为保障运行稳定连续性,投标人需提供监测终端,要求如下:
1.10.1具有对设备工作状态如待机状态,运行工作状态、闲置暂停状态进行监测判断、同时可监测设备的待机状态的耗电量、工作状态的耗电量,通过监测数据自动计算设备待机时长,可判断设备通电次数并进行统计功能,符合《家用和类似用途插头插座GB/T 2099.1》相关标准。
1.3支持跳转链接至云端威胁情报中心,针对已发生的威胁提供分析结果,包含威胁分析、网络行为、静态分析、分析环境和影响分析。
1.4支持客户端的错峰升级,可根据实际情况控制客户端同时升级的最大数量,避免大量终端程序同时更新造成网络拥堵或I/O风暴
1.5支持展示最新公布的热点漏洞信息,并且梳理出其中的高可利用漏洞统一展示在热点漏洞页面,方便运维人员一键对当前已接入的终端进行漏洞检测,同时支持设置热点漏洞定时检测。
6.8支持配置系统日志管理,并可按照日志等级、时间区间等维度进行日志筛选,支持查看并下载日志。
6.9支持iptables查询,可根据链、表进行筛选,查看报文个数、报文大小、目标、协议、选项。
6.10支持资源视角的用户关联设置,支持在网络/WEB资源管理中设置该资源下的关联用户,并支持以标签的形式呈现关联的用户账户。
SANGFOR_SIP_2018初级能力成长-SIP目标场景及客户画像3
3、有 IDS 、APT检测等需求的客户(广义入侵检测,未知威胁检测需求)
4、行业属性:大企业、政府(自用型网络)、医院、教育、小金融等
部署位置建议
互联网
部署说明
1. 办公区探针:通过流量镜像的方式,负责
监测用户与互联网通信流量、用户与业务服务 器区通信流量,用户之间的流量;(失陷用户) 2.服务器区探针:旁挂在内网服务器区域的交
——安全感知平台产品销售能力建设课程-初级
Contents
1.本地安全大脑应用场景
2.潜伏威胁检测应用场景
3.全网威胁检测应用场景
场景1:本地“安全大脑”场景
打造深信服的本地“安全大脑”
1.安全是割裂的,信息也是割裂,对问题的处置和响应也是割裂的。因此,需
需求 驱动
要安全大脑。
2.安全大脑首先是将所有分区的网络信息进行全局汇总,其次是对所有信息进 行分析并给出决策建议。
4.主管单位对所管理单位的监测、预警、通报平台
目标客户画像
1、网络架构:总部多分支场景 2、总部对分支或所辖单位有安全建设有监督、管理职责 3、对安全建设的成果有展示需求(政绩工程)
4、行业属性:大企业、 主管单位、小金融、连锁企业、政府(省、市、区县两
级、三级纵向组网场景)如:卫计委、教育局、省工商局等
3.通过本地安全运营中心,激活老产品,创造新价值。
4.通过平台与设备间联动,告诉用户安全感知平台作为本地“安全大脑”的作 用。可指挥其他设备进行联动防御。(通过大脑控制“手”“脚”“眼”)
目标客户画像
1、原有深信服AC,AF,EDR,VSS等产品的客户 2、需要做整体安全体系化建设(可分阶段建设) 3、已经初步完成防御建设的客户
为什么需要潜伏威胁检测
精选-信息安全-深信服安全感知平台(SIP)解决方案模板
1. 目概况1.1 项目名称XXX单位安全态势感知项目、XXX单位内网安全监测、XXX单位全网安全可视化项目等等1.2 编制依据以下标准作为参考,根据项目实际情况进行增删1)国家信息安全法规与技术标准文档《中华人民共和国网络安全法》《“十三五”国家信息化规划》(国发〔2016〕73号)《信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息系统安全等级保护定级指南》(GB/T 22240-2008)《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006)《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》《国家信息化领导小组关于加强信息安全保障工作的意见》2)本省/集团公司政策文件《xx省电子政务发展规划(2014-2020)》《xx省电子政务信息安全管理暂行办法》……1.3 建设目标、建设内容和建设周期本项目的建设目标是:强化xx单位网络信息安全监测预警能力,主要解决当前xx网络的信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高xx网络突发安全事件监测和预警能力,实现整体网络的安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。
通过部署监测管理平台、网络安全监测探针等,实现有效发现未知威胁攻击,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。
本项目的主要建设内容有:安全感知系统建设;监测预警响应服务;其他计划整体打包交付的安全能力:本项目的建设周期x 个月,从xxx年xx月至xxx年xx月, 监测预警和响应服务将延续到项目实施并验收通过后的x年。
1.4 总投资估算本项目总投资估算xx万元,其中软硬件设备投资xx万,集成和服务费xx万。
政务外网终端“一机两用”安全管控难?零信任给出答案
政务外网终端“一机两用”安全管控难?零信任给出答案政务服务数字化早已不是新鲜事儿,小到日常出行、核酸采集、电子证照,大到社区服务、医疗健康、人事资源,“互联网+政务服务”已无形中深入百姓生活。
越来越多的政务人员需要接入政务外网进行办公,接入政务外网的终端与日俱增,从互联网跨网攻击到政务外网的攻击行为和事件时有发生。
如何在兼顾用户终端使用体验的同时,做好政务终端“一机两用”的安全管控?不少政务网络管理者感叹:难!一、政务外网终端安全隐患大1、大量政务外网终端存在“跨网访问”现象据调查显示,大量政务外网终端能够同时连接政务外网和互联网,意味着用户在访问政务外网时,也可以访问互联网。
这种情况下,用户终端极易成为网络攻击的跳板,将互联网威胁引入政务外网中,带来重重隐患。
2、传统解决方案难应对解决政务外网终端接入互联网过程中存在安全风险的关键,在于对政务外网终端的“一机两用”进行严格的安全管控,确保终端同一时间内不允许同时访问互联网和政务外网(分时上网),或者以安全隔离的方式访问互联网和政务外网。
现有的传统解决方案包括网络准入系统、违规外联检测设备、VPN及统一部署终端杀毒软件等,由于缺乏建设标准和建设依据,各单位政务外网终端类型、网络访问模式及建设方案不同,最终导致无法实现安全与用户易用性的平衡,甚至出现严重影响终端使用的问题。
传统解决方案很难在NAT场景下快速识别终端、阻断、溯源,更无法从根本上确保数据安全,因此十分被动。
二、政务外网终端+零信任:复杂难题,简单解决针对政务外网终端的安全隐患,通过零信任便可整体解决终端环境检测、权限管理等问题。
作为国内率先探索零信任应用的企业之一,深信服基于零信任技术,通过一套平台即可满足多场景安全建设,既轻松解决政务外网终端安全性问题,也解决了过去零信任难落地问题,全方位构建政务外网终端的认证准入、合规检查、跨网访问、违规外联、NAT终端溯源、终端数据保护等安全能力。
深信服终端安全检测响应平台-EDR
深信服终端安全检测响应平台彩页
应用场景
防病毒场景
风险场景:组织内部终端呈现覆盖面广、点数众多、网络化办公等特点,新 型未知病毒、勒索病毒出现,严重影响用户日常办公,无法保障内部核心数 据安全。 应用效果:
基于 AI 技术的查杀引擎,利用深度学习的技术,通过对海量样本数据的学习,提炼出 来的高维特征,具备有很强的泛化能力,从而可以应对更多的未知威胁。而这些高维特征数 量极少,并且不会随着病毒数同步增长,因此,AI 技术具有更好检出效果、更低资源消耗的
杀毒处置方式落后无法适应病毒新的传播方式与环境 采取基于文件隔离的处置方式相对落后,如文件隔离失败情况产生,单点威
深信服终端安全检测响应平台彩页
胁将快速辐射到面,因此传统防毒产品已经无法适应新的病毒传播方式及环 境。
深信服终端安全检测响应平台
围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细 致的隔离策略,更为精准的查杀能力、更为持续的检测能力、更为快速的处 置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多 层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响 应快的下一代终端安全系统-深信服终端检测响应平台EDR
深信服终端安全检测响应平台彩页
深信服终端安全检测响应平台-EDR
新时代下企业级终端安全面临严峻挑战
相较于个人终端而言,企业终端、数据等资产价值更高,由终端、服务器等 不同软硬件所组成办公局域网,带来更为复杂的病毒来源、感染、传播途 径,正因此企业用户面临更为严峻的终端安全挑战,对防护、管理、应用等 多方面提出更高要求。 人工运维加剧威胁防御成本 传统终端安全产品以策略、特征为基础,辅以组织规定以及人员操作制度驱 动威胁防御,高级威胁一旦产生,将会不可控的传播,势必带来人工成本的 几何增长,且对企业运维人员专业性要求极高,有效应对威胁难度大。
深信服SIP态势安全感知安全感知平台威胁检测探针STA
深信服SIP态势安全感知安全感知平台威胁检测探针STA安全感知平台解决⽅案让IT更简单、更安全、更有价值安全现状安全形势越来越紧迫2017年全球爆发WannaCry勒索病毒,国内⼤量⾼校、医院,甚⾄是认为⽹络隔离做得很好的单位也被病毒感染。
感受影响的组织和造成损失⽆法估量。
2013年Target被⿊客从与供应商对接的外联区⼊侵,如⼊⽆⼈之境,在内部迅速横向渗透⾄POS管理区,最终造成1.1亿⽤户信息泄露,各项损失⾼达10亿美元。
CEO由于⼊侵事件引咎辞职。
2011年,⽼牌安全公司RSA被⿊客通过钓鱼邮件⼊侵,轻易进⼊内⽹,并利⽤0Day漏洞进⼊服务区,获取数据后通过加密隧道进⾏回传,最终盗取了⼤批双因素认证SecureID私钥,直接经济损失6600万美元。
传统完全防护体系的问题:三个不知道问题1问题2问题3安不安全不知道我们是不是被⿊了?不知道啊!安全设备没说啊!安全设备没有警告,就没有问题了?“敌暗我明”,不是看不到问题就没有问题!产品概述⼴州铭冠信息科技深信服安全感知平台⽅案深信服安全感知平台定位为客户的安全⼤脑,是⼀个检测、预警、响应处置的⼤数据安全分析平台。
其以全流量分析为核⼼,结合威胁情报、⾏为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、⼤数据关联分析、可视化等技术,对全⽹流量实现全⽹业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在⾼级威胁⼊侵之后,损失发⽣之前及时发现威胁。
产品定位安全运营中⼼安全感知平台是深信服整个安全体系架构的核⼼组件,能够和NGAF、STA、AC、EDR、VSS、VPN等安全产品对接,是深信服在客户侧实现深度分析、威胁检测、防御联动和服务响应的安全运营中⼼核⼼能⼒⼀全局可视化深信服安全感知平台的全局可视化分为2种类型,⼀种是宏观领导视⾓,结合攻击趋势、有效攻击、业务资产脆弱性对全⽹安全态势进⾏整体评价,以业务系统的视⾓进⾏呈现,可有效的把握整体安全态势进⾏安全决策分析;⼀种是微观运维视⾓,通过失陷主机检测和访问关系可视等技术帮助运维⼈员快速发现安全风险,并提供处理建议,简化运维核⼼能⼒⼆内部威胁检测当前防御体系侧重于互联⽹出⼝和边界防护,⼀旦边界防御被绕过,攻击者将⼀马平川。
信息安全-终端检测响应平台EDR解决方案
第一章概述二十一世纪以计算机和网络通信为代表的信息化技术迅速发展,现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖,信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。
组织机构的正常运行高度依赖于信息系统,而针对其所承载的服务和数据的安全保护就显得尤为重要,如数据的安全性、完整性,终端计算机的可靠性、可用性等方面出现缺陷,将会给组织机构带来不可计量的损失。
而如今,全球化的互联网使得组织机构不仅依赖信息系统,还不可避免地通过计算机与外部的信息系统建立密切联系。
面对来自外部以及内部的威胁,对信息系统及系统终端的保护需求则更为突出。
面对日益严峻的安全风险,大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系,并在一定程度上抵御来自外部的攻击,然而内部信息系统是不断变化发展的,系统环境在任何时刻都会呈现开放、共享等特点,不应以孤岛形式存在,外部威胁只是安全风险的一部分,作为办公环境的重要组成,开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。
正因如此,终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。
XX终端计算机具有点数多、覆盖面大、难管理等特点,加之XX信息安全人员人手有限,终端分布环境复杂,威胁风险事件较多,使信息安全人员对终端安全工作处于被动状态。
在终端安全方面,一旦出现病毒感染、恶意破坏传播、数据丢失等事件,将会给XX造成严重损失,后果不堪设想。
现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐,已严重影响到计算机信息系统安全性。
正因如此,全方位做好XX信息系统的终端安全防护工作,在XX建设一套终端安全检测与响应系统,以确保XX的日常办公安全、稳定、高效运行。
第二章应用场景与风险分析2.1防病毒应用概况信息化飞速发展,组织内部人员的正常办公,与计算机终端密不可分,它为使用者带来便利同时,亦产生了层出不穷的安全威胁。
【内部培训】安全感知平台+潜伏威胁探针
方案介绍– 对应的解决方案与产品
方案介绍---对应彩页4-8页:
1. 潜伏威胁探针 (Stealth Threat Analytics) STA 旁路在核心交换机以及核心业务区的接入交换区,抓取镜像流量
关键词:旁路,流量抓取
2. 安全感知平台 (Security Intelligent Platform)SIP 部署在内网,集中管理STA,收集STA抓取的日志,并且分析异常行 为,展示访问关系,可疑访问,攻击行为
关键词:业务资产可视,业务访问关系可视,安全感知
2、借由深信服/Gartner“防御,检测,响应”的理念, 向用户灌输防护被突破只是时间问题,不是是/否的问题。 需要持续检测和快速响应对抗快速迭代的攻防节奏。
关键词:持续检测
3、借由介绍黑客/攻击者的攻击路径与攻击向量,向用户灌输突破边 界以后,需要内网的安全设备起到安全纵深的作用。发现过去边界防 护忽略的内网攻击行为。
2002005220adminadmin最新探针2002005221adminsinfor1232020820市场思路搭配销售的其他服务?发现的问题可以搭配安全即服务作为响应设备?2017q3版本搭配af联动?2017q3版本搭配eps联动2020820市场思路整体解决方案防御?af?waf?云云waf检测?探针?云检测af检测响应?安全服务?微信告警?引导预算?暂时不卖2020820
关键词: 集中管控,展示
2020/3/22
市场思路 – 销售模式
销售模式 ➢ 按探针需要支持的流量选型 ➢ 可视化平台为软件,目前搭配探针赠送,可配合超 融合一起安装销售
销售工具 http://200.200.1.200/cms/plus/list.php?tid=2353
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解决方案
加强事前防御和脆弱性检查 准确识别全网资产和脆弱性并进行有效管理,边界设备优化访问控制
规则,严格限制开放端口,升级各种病毒库和特征库。 多维度智能分析,有效发现高级威胁
实时监测专网内部流量,通过智能检测算法发现潜伏到专网的高级威 胁,通过UEBA检测并发现越权访问、数据外发等风险。 集中采集海量日志,多种工具利于时候追溯
Hale Waihona Puke 事后响应:针对已中毒主机,通过EDR阻止勒索病 毒扩散,一键微隔离,并将告警信息上送SIP;通过 SIP联动EDR定点查杀病毒和溯源分析;专业人工威 胁的响应服务MDR,修复文件,形成安全威胁闭环 管理。
专网安全监测场景
背景需求
专网防护力不足:如信息交换不合规、边界防护不到位、内部访问不设限; 缺乏监测措施:监测预警能力弱、审计不到位、缺乏集中管控; 高级威胁检测能力弱:病毒库/特征库滞后、缺乏内部横向检测、缺乏智能
解决方案
多维度智能分析,有效发现高级威胁
以全流量分析为基础,结合大数据分析、行为分析、机器学习、UEBA、
关联分析等技术,精准识别高级威胁,快速定位失陷主机 。
综合安全风险可视,深度洞察高级威胁
办 公
基于业务和攻击链角度,通过业务风险可视、攻击链可视、影响面可视、
区
访问关系可视、综合态势可视、横向威胁可视、业务外连可视、资产与脆弱
解决方案
事前防御:通过部署终端检测响应系统能够检测系 统漏,主动进行风险分析;通过人工智能SAVE引擎 预测入侵攻击;通过安全基线核查主机安全配置。
事中监测:通过SIP实时监测内网,快速发现入侵勒 索病毒,形成安全事件和安全状态可视化;通过SIP 和EDR实时监控文件和网络流量,检测安全事件; 通过SIP确认风险并按优先级划分威胁等级。
对接各类第三方设备,并收集日志,结合大数据关联技术,发现异常 风险点。一旦发现安全事件,能快速辅助定位和追溯问题。 网端协同联动,闭环处置安全风险
一旦发生安全事件,可通过平台一键下发安全策略,对主机的恶意程序 迅速隔离查杀,同时利用EDR客户端的微隔离功能,封堵主机的攻击行为 , 全面封锁威胁。
安全BU总部 SIP产品组
2018年7月
内网高级威胁防护场景
Internet
Internet
安全感知平台SIP 探针STA
数
据 中
探针STA
心
EDR插件 EDR插件 EDR插件
背景需求
新型威胁或病毒变种突破防御后,网络内部缺乏有效检测和响应能力; 一旦出现安全事件,处置过程复杂,难以高效处置问题; 整体网络缺乏有效的可视能力;
性可视等帮助客户简化运维、辅助决策。
网端协同联动,闭环处置安全风险
一旦发生安全事件,可通过平台一键下发安全策略,对主机的恶意程序
迅速隔离查杀,同时利用EDR客户端的微隔离功能,封堵主机的攻击行为 , 全面封锁威胁。
全网安全监测场景
背景需求
绕过防御的潜伏威胁缺乏有效检测手段 发生安全问题难以定位,看不到全网安全状况 通报预警机制缺失,问题通报困难,效果难以跟踪;
解决方案
网站实时监测:通过云眼实现网络7*24小时不间断 监测 ,一旦出现问题第一时间内告知,在该风险引 起危害之前及时处置,避免通报或带来损失。
全网安全态势感知:通过SIP对全网流量、攻击、安 全状况进行统一采集分析,结合攻击趋势、有效攻 击、业务资产脆弱性对全网安全态势进行整体评价, 以各个分支机构的视角进行呈现,并给每个分支的 安全状况评级,可有效的把握整体安全态势。
通报预警与工单处置:结合网站安全监测、全网态 势感知、通报预警平台进行网络安全通报,并以工 单的形式实时下发,通报方法结合邮件、短信等多 种方式,可为总部和下属单位提供实时告警,提升 安全响应速度
勒索病毒防护解决场景
背景需求
基于特征的检测机制难以有效应对新型勒索病毒; 一旦发生勒索病毒事件,难以快速定位,看清影响面; 病毒查杀和隔离处置不彻底,容易导致反复感染发作;