DBSec技术白皮书v3r2
终端安全配置管理系统技术白皮书
终端安全配置管理系统技术白皮书国家信息中心目录第一章终端安全配置管理系统简介 (1)1.1 为什么要做终端安全配置 (1)1.2 机构如何实现机构高效的终端安全配置管理 (2)1.3 终端安全配置管理系统技术优势 (3)第二章终端安全配置管理系统逻辑结构 (5)第三章终端安全配置管理系统功能 (7)第四章终端安全配置基线介绍 (9)4.1 基线概述 (9)4.2 终端硬件安全配置 (9)4.3 终端软件安全配置 (10)4.4 终端核心安全配置 (11)第五章系统应用方案 (14)5.1 应用架构 (14)5.2 实施流程 (16)5.3 运行环境要求 (16)第六章技术支持服务 (18)附录一W INDOW7操作系统安全配置清单(示例) (19)附录二国家信息中心简介 (24)i第一章终端安全配置管理系统简介1.1 为什么要做终端安全配置在构成信息系统的网络、服务器和终端三要素中,对终端的攻击和利用终端实施的窃密事件急剧增多,终端安全问题日益突显。
攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。
外因通过内因起作用,内因是决定因素。
据调查,针对系统核心的攻击中,5%是零日攻击,30%是没有打补丁,65%是由于错误的配置。
因此正确的安全配置才是保障终端安全性的必要条件。
计算机终端核心配置最早由美国联邦政府提出,称为联邦桌面核心配置计划(FDCC)。
该计划由美国联邦预算管理办公室(OMB)负责推动,旨在提高美国联邦政府计算机终端的安全性,并实现计算机管理的统一化和标准化。
美国空军最先实施桌面标准配置并取得了良好的应用效果。
2007年,美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。
近年来,我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用,对美国联邦政府实施的桌面核心配置进行了跟踪研究,并开展了我国终端安全配置标准的研制工作。
亿赛通磁盘全盘加密系统技术白皮书
亿赛通科技
终端数据安全:保障任意文件格式的核心信息(数据源头)在合法终端上的生成、 存储和使用安全,防止核心信息通过终端、网络、介质和其他途径非法泄露; 网络数据安全:保障核心信息在网络应用和数据传输时的安全,防止核心信息通 过旁路、上传/下载欺骗、仿冒、篡改、非法接入/外联等途径非法泄露; 存储数据安全:保障核心信息在大型存储设备和介质载体中的存储和使用安全, 防止集中化管理和存储的核心信息通过非法复制、篡改、盗窃、遗失等途径非法 泄露。
按需构建·安全可控
亿赛通数据防泄露 DLP 系统系列
磁盘全盘加密系统 DiskSEC 产品白皮书
北京亿赛通科技发展有限责任公司 2010 年 8 月
亿赛通科技
版权声明
DiskSEC 产品白皮书 V1.0
支持信息
本文的内容是亿赛通数据防泄漏 DLP 系统系列 DiskSec 产 品白皮书。文中的资料、说明等相关内容归北京亿赛通科技 发展有限责任公司所有。本文中的任何部分未经北京亿赛通 科技发展有限责任公司(以下简称“亿赛通”)许可,不得 转印、影印或复印。
公司电话:+86 1051282080 公司传真:+86 1051282080-1008 I
目录
第 1 章 亿赛通数据防泄漏 DLP 简介 ........................................................................1 第 2 章 DiskSEC 产品简介..........................................................................................2
2.2 产品应用需求
BES产品白皮书v3.0.2
高性能企业级系统及安全管理——BigFix统一管理平台目录1前言 (1)2IT部门的职责 (1)3BIGFIX平台 (2)3.1分布式可视及管理神经系统 (3)3.2B IG F IX代理 (4)3.3B IG F IX服务器和控制台 (6)3.4B IG F IX F IXLET消息 (7)3.5B IG F IX中继器 (7)4BIGFIX解决方案 (8)4.1B IG F IX系统生命周期管理 (8)4.1.1资产/License管理 (8)4.1.2软件分发 (9)4.1.3补丁管理 (10)4.1.4电源管理 (11)4.1.5远程协助 (11)4.2B IG F IX安全配置和漏洞管理 (12)4.2.1安全配置管理 (13)4.2.2漏洞评估 (14)4.3B IG F IX终端防护 (14)4.3.1防病毒 (15)4.3.2终端防火墙 (15)4.3.3反间谍软件 (16)4.3.4第三方防病毒软件客户端管理 (16)5部署与使用 (17)6BIGFIX产品特点及优势 (18)6.1实时可见及可控 (18)6.2整合与控制 (18)6.3单一可信来源 (19)6.4卓越的可扩展能力 (19)6.5最小客户端资源占用 (19)6.6可靠的系统安全性 (20)6.7可视化管理 (20)6.8全面的解决方案 (21)6.9强大的定制能力 (21)6.10先进的离线管理能力 (21)7公司介绍 (21)1 前言近年来,企业一直在以超乎想象的速度高速运转。
复杂和高分布环境的持续增长支撑着由合作伙伴、供应商,分销商和顾客组成的错综复杂的网络。
随着企业利用技术实现创新和提供新的服务的愿望越来越迫切,面向服务的架构和基于Web的应用发展已经从构想转化为真实世界的实际应用。
在这个全新的世界中,对于顾客、供应商、员工、监管机构,投资人和其它相关机构来说,IT部门提供的服务必须是7 x 24小时可用的。
DBCoffer产品技术白皮书_标准版
2.5. DBCoffer 产品性能优势................................................................................................. 11
2.5.1.
测试结论.......................................................................................................... 11
安华金和数据库保险箱系统— DBCoffer 技术白皮书
北 京 安 华 金 和 科 技 有 限 公 司.
版权所有(©2010)
北京公司:北京市海淀区百花科技苑 A 座 201 电 话:010-88571665 传 真:010-88571665 邮 编:100081
安华金和数据库保险箱系统—DBCoffer 技术白皮书
1.2.4.
系统安全............................................................................................................ 4
1.2.5.
维护管理功能.................................................................................................... 4
2.1. Oracle 加密产品基本状况............................................................................................... 6
深信服桌面云技术白皮书
4.4.2 用户数据盘加密.............................................................................. 11
第 5 章 深信服方案优势与价值..............................................................................12
6.2 桌面云一体机规格说明............................................................................14
深信服科技版权所有
ii
第 1 章 背景介绍
企业信息化建设过程中,到目前为止国内客户几乎还是采用传统 PC 的办公模式,而传 统 PC 属于独立计算模式,操作系统、应用程序及数据都与每台硬件设备紧密关联,即各组 件绑定于每台用户 PC 上,只要其中一个环节出现问题,桌面将无法正常使用。所以长期以 来,新桌面上线、软件的安装与管理、安全补丁的复杂部署、系统升级的版本冲突等问题已 然成为桌面 PC 面临的最大挑战。同时随着 PC 需求量不断增加,桌面管理复杂度将呈指数 级增长,还会引发更多的终端安全隐患,这就需要投入巨大的精力及成本加以解决。
第 6 章 硬件规格说明..............................................................................................13
6.1 瘦终端规格说明........................................................................................13
数据库加密系统技术白皮书
数据库加密存取及强权限控制系统技术白皮书Oracle版目录1.产品背景 (1)2.解决的问题 (3)3.系统结构 (6)4.部署方案 (7)5.功能与特点 (9)6.支持特性 (10)7.性能测试数据 (11)1.产品背景随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。
小则关系到企业兴衰、大则关系到国家安全。
在重要单位或者大型企业中,涉及大量的敏感信息。
比如行政涉密文件,领导批示、公文、视频和图片,或者企业的商业机密、设计图纸等。
为了保障这些敏感电子文件的安全,各单位广泛的实施了安全防护措施,包括:机房安全、物理隔离、防火墙、入侵检测、加密传输、身份认证等等。
但是数据库的安全问题却一直让管理员束手无策。
原因是目前市场上缺乏有效的数据库安全增强产品。
数据库及其应用系统普遍存在一些安全隐患。
其中比较严峻的几个方面表现在:(1)由于国外对高技术出口和安全产品出口的法律限制,国内市场上只能购买到C2安全级别的数据库安全系统。
该类系统只有最基本的安全防护能力。
并且采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。
这就使得获取DBA角色的权限成为攻击者的目标。
而一旦攻击者获得DBA角色的权限,数据库将对其彻底暴露,毫无任何安全性可言。
(2)由于DBA拥有至高无上的权利,其可以在不被人察觉的情况下查看和修改任何数据(包括敏感数据)。
因此DBA掌控着数据库中数据安全命脉,DBA的任何操作、行为无法在技术上实施监管。
而DBA往往只是数据的技术上的维护者,甚至可能是数据库厂商的服务人员,并没有对敏感数据的查看和控制权。
现阶段并没有很好的技术手段来约束DBA 对数据的访问权限,因此存在巨大安全隐患,特别是在DBA权限被非法获取的情况下,更是无法保证数据的安全。
(3)由于C2级的商业数据库对用户的访问权限的限制是在表级别的。
三未信安服务器密码机-技术白皮书v3.0(201301)
三未信安服务器密码机技术白皮书SANSEC HSM SJJ0930/SJJ1012 White Paper Version 3.0北京三未信安科技发展有限公司2013年1月1.产品简介三未信安服务器密码机(SJJ0930/SJJ1012)是由北京三未信安科技发展有限公司自主研发的高性能密码设备,能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算,可以满足应用系统数据的签名/验证、加密/解密的要求,保证传输信息的机密性、完整性和有效性,同时提供安全、完善的密钥管理机制。
密码应用系统通过调用密码机提供的标准API函数来使用密码机的服务,密码机API与密码机之间的调用过程对上层应用透明,应用开发商能够快速的使用密码机所提供的安全功能。
密码机API接口符合《公钥密码基础设施应用技术体系密码设备应用接口规范(试行)》标准接口规范,通用性好,能够平滑接入各种系统平台,满足大多数应用系统的要求,在应用系统安全方面具有广泛的应用前景。
2.功能描述⏹密钥生成与管理:可以生成1024/2048/3072/4096位RSA密钥对和256位ECC密钥对1,采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。
⏹密钥的安全存储:设备内可存储50对RSA密钥对(包括签名密钥对和加密密钥对)和50对ECC密钥对2,并且私钥部分受系统保护密钥的加密保护。
⏹数据加密和解密:支持SSF33算法3、SM1算法、SM4算法4、AES算法、3DES算法的ECB和CBC模式的数据加密和解密运算。
1仅SJJ1012型号支持ECC算法2同上3SSF33对称算法为可选算法4⏹消息鉴别码的产生和验证:支持基于SSF33算法5、SM1算法、SM4算法6、AES算法、3DES算法的MAC产生及验证。
⏹数据摘要的产生和验证:支持SM37、SHA-1、SHA224、SHA256、SHA384、SHA512等杂凑算法。
⏹数字签名的产生和验证:可以根据需要利用内部存储的RSA/ECC8私钥或外部导入RSA/ECC私钥对请求数据进行数字签名。
产品技术白皮书
产品技术白皮书1、数据服务平台概述大数据作为重要的战略资源已在全球范围内得到广泛认同。
数据作为一种资产已经达到共识,将数据当作核心资源的时代,数据呈现出战略化、资产化、社会化等特征。
企业和政府部门经历了IT系统的建设都存在了海量的数据,更多的企业已经完成或者开始准备着数据中心、数据集市等一系列的系统建设,已初步形成企业级的数据资源目录。
但各个企业的数据接口在管理上存在规范不统一、数据源多样、维护成本高、集成难度大,在技术上存在SQL注入、Dos攻击、安全性差、架构不能灵活扩展等风险。
数据共享服务的需求正变得愈发迫切数据服务平台用于对企业的数据服务资源进行统一管理的B/S应用平台,是数据使用和价值变现的基础平台,在数据消费者和数据提供者之间建立了有效的通道,并可管理不同类型格式的接口。
数据服务平台提供API服务创建功能,提供了多种方式生产API,创建方式非常灵活,能够支持服务代理、数据库查询、数据脱敏、参数转码等多种功能。
提供Restful风格的数据调用方式。
通过web界面即可完成数据服务接口的服务发布、审核、共享,无需编程人员开发代码。
基于微服务架构,提升服务开发效率,使服务注册,服务调用等工作变得简单,操作简洁易用;服务接入规范、简单,可灵活扩展,新的服务可以快速接入。
2、数据服务平台定位数据中心整体的功能架构及结合数据服务平台所具备的能力:数据服务平台主要包含数据服务开发、数据服务提供、数据服务管理功能。
数据服务开发:针对数据服务的开发者,系统提供多种方式生产API,包含服务代理、数据库插叙、数据脱敏、参数转码等。
通过流程化的操作步骤即可完成API的在线一体化的开发、发布、审核。
数据服务提供:基于服务目录的方式,数据服务提供者将服务发布到服务目录。
数据服务使用者即可对提供的服务进行在线申请。
数据服务管理:数据服务管理包含服务的申请、调用、授权、熔断、灰度加载、监控等。
3、数据服务平台特点与优势一键数据共享数据服务平台完美对接数据治理成果,借助治理后的数据资产目录可快捷实现数据一键开放。
安华金和数据库加密系统技术白皮书
安华金和数据库加密系统系统白皮书目录安华金和数据库加密系统 (1)白皮书 (1)一. 安华金和数据库加密系统产品简介 (3)二. 安华金和数据库加密系统应用背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2数据库层面的泄密事件频发 (4)2.3数据安全相关政策与法律法规 (5)三. 安华金和数据库加密系统客户价值 (5)3.2防止由于明文存储引起的泄密 (6)3.3防止外部非法入侵窃取敏感数据 (6)3.4防止内部高权限用户数据窃取 (6)3.5防止合法用户违规数据访问 (6)四. 安华金和数据库加密系统功能特点 (7)4.1透明数据加密 (7)4.2高效数据检索 (7)4.3身份鉴别增强 (7)4.4增强访问控制 (7)4.5真正应用安全 (8)4.6敏感数据审计 (8)4.7高可用性 (8)4.8可维护性 (9)一. 安华金和数据库加密系统产品简介安华金和数据库加密系统系统(简称DBCoffer)(以下称:安华金和数据库加密系统)是一款基于透明加密技术的数据库安全加固系统,该产品能够实现对数据库中对的加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。
安华金和数据库加密系统基于主动防御机制,可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题。
安华金和数据库加密系统利用数据库自身扩展机制,通过独创的、已获专利的三层视图技术和密文索引等核心技术,突破了传统数据库安全加固产品的技术瓶颈,真正实现了数据高度安全、应用完全透明、密文高效访问。
安华金和数据库加密系统当前支持Windows、AIX、Linux、Solaris等多个平台,提供基于加密硬件的企业版和纯软件的标准版,支持主、从、应急等自身高可用模式,可以满足用户的多种部署需求。
安华金和数据库加密系统兼容主流加密算法和国产加密设备,提供可扩展的加密设备和加密算法接口。
华御网闸技术白皮书V3
华御安全隔离与信息交换系统技术白皮书V3.0北京安盟信息技术有限公司2009年05月目录一、概述................................................... - 3 -1.1 产品背景............................................. - 3 -1.2 产品概述............................................. - 5 -1.3 产品定位............................................. - 5 -二、技术简介及参数......................................... - 6 -2.1 系统组成............................................. - 6 -2.2 硬件组成及参数....................................... - 6 -2.3 系统构架及工作原理................................... - 7 -三、产品功能.............................................. - 10 -3.1 业务功能............................................ - 10 -3.2 管理功能............................................ - 14 -3.3 高可用性功能........................................ - 15 -四、产品特点.............................................. - 16 -4.1 高安全性............................................ - 16 -4.2 高吞吐率............................................ - 16 -4.3 高可靠性............................................ - 16 -4.4 高便利性............................................ - 16 -五、产品型号及性能参数.................................... - 17 -六、典型应用部署.......................................... - 18 -6.1电子政务应用........................................ - 18 -6.2警务通应用.......................................... - 18 -6.3旅馆业报备系统应用.................................. - 19 -6.4远程协同办公应用.................................... - 19 -6.5生产系统隔离应用.................................... - 20 -七、产品资质与执行标准.................................... - 20 -7.1 产品资质............................................ - 20 -7.2 执行标准............................................ - 20 -- 2 -一、概述北京安盟信息技术有限公司是一家专业从事信息系统安全管理、网络安全产品研发和销售,并提供整体解决方案的北京市高新技术企业及北京市科学技术委员会认定的软件企业,是国内率先提供“可持续发展网络安全整体解决方案”的网络安全服务商。
宁盾终端及网络准入技术白皮书V3
宁盾终端及网络准入技术白皮书V3 EUNSOL°目录概述 (3)NDACE准入引擎介绍 (3)产品简介 (3)设计原理 (3)信息收集处理分析 (3)准入防护策略 (4)集中管理 (4)工作原理 (4)TCP Reset (4)终端识别 (4)HTTP Notification/HTTP Redirect (5)Switch VLAN (5)无客户端检查 (5)客户端检查 (5)技术原理 (5)产品架构 (6)准入控制平台 (6)客户端/无客户端 (7)产品优势 (7)部署模式 (7)端点精准识别定位 (7)面向业务的自动化 (7)无代理 (7)基于场景化(应用)的身份认证 (8)可定制化报表信息 (8)主要功能介绍 (8)网络发现,全网扫描 (8)终端安全检查 (8)认证管理 (9)动态的访问控制策略 (9)持续透明的安全检查 (9)与第三方整合 (9)终端报表信息 (9)终端准入场景及技术实现 (10)PC准入场景 (10)IOT设备准入场景 (10)摄像头准入 (10)其他智能终端准入 (10)产品应用部署 (10)网络组网拓扑示例 (10)产品价值 (12)注意事项 (12)总结 (12)概述在互联网技术日新月异发展的今天,随之也为企业内网管理带来了新的问题以及挑战。
一般中大型的企业网络中均会部署防火墙、VPN、IDS/IPS、上网行为管理等安全设备,但这些安全设备只对接入网络后的终端或者流量数据进行处理,对终端接入网络准入控制及安全审查没有要求。
对此,我们可以引入宁盾NDACE准入控制引擎,借助它,我们可以仅允许合法并且受信任的终端接入网络,对不合法、不受信任的终端不予接入。
NDACE可以自动发现、识别接入网络的设备,并对其进行诸如杀毒软件、补丁更新等安全检查,然后根据制定好的条件策略下发相应的准入策略:允许接入、受限接入、拒绝接入、重定向登录认证等。
NDACE准入引擎介绍产品简介NDACE是上海宁盾信息技术有限公司面向政府、金融、互联网、制造业、医疗、教育等中大型企业单位推出的以终端安全准入为核心的解决方案。
OSPFv2,v3技术
OSPFv3技术白皮书关键词:OSPF,OSPFv3,IPv4,IPv6摘要:OSPFv3是在OSPFv2基础上开发的用于IPv6网络的路由协议。
本文简要介绍了OSPFv2的实现机制,并详细描述了OSPFv3与OSPFv2的异同点及组网应用。
缩略语:缩略语英文全名中文解释OSPF Open Shortest Path First 开放最短路径优先OSPFv3 Open Shortest Path First version 3 开放最短路径优先版本3IGP Interior Gateway Protocol 内部网关协议System 自治系统AS AutonomousABR Area Border Router 区域边界路由器ASBR Autonomous System Border Router 自治系统边界路由器LSA Link Statement Advertisement 链路状态通告LSDB Link State Data Base 链路状态数据库Router 指定路由器DR DesignatedBDR Backup Designated Router 备份指定路由器Description 数据库描述DD DatabaseLSR Link State Request 链路状态请求LSU Link State Update 链路状态更新LSAck Link State Acknowledgment 链路状态确认Multi-Access 非广播多点可达网络NBMA Non-BroadcastP2MP Point-to-MultiPoint 点到多点P2P Point-to-Point 点到点目录1 概述 (3)2 OSPFv3技术实现 (3)2.1 OSPFv2简介 (3)2.1.1 OSPF基本概念 (3)2.1.2 OSPF路由计算过程 (5)2.2 OSPFv3与OSPFv2的相同点 (5)2.3 OSPFv3与OSPFv2的不同点 (6)2.3.1 基于链路的运行 (6)2.3.2 使用链路本地地址 (7)2.3.3 链路支持多实例复用 (7)2.3.4 通过Router ID唯一标识邻居 (8)2.3.5 认证的变化 (8)2.3.6 Stub区域的支持 (8)2.3.7 报文的不同 (8)2.3.8 Option字段不同 (9)2.3.9 LSA类型不同 (9)2.3.10 扩大了LSA的泛洪范围 (10)2.3.11 支持对未知类型LSA的处理 (10)2.3.12 LSA报文格式不同 (11)3 典型组网应用 (19)3.1 组网图 (19)3.2 组网需求 (19)4 参考文献 (20)1 概述OSPFv2是IETF组织开发的一个基于链路状态的内部网关协议,具有适应范围广、收敛迅速、无自环、便于层级化网络设计等特点,因此在IPv4网络中获得了广泛应用。
数据中心运维管理技术白皮书
数据中心运维管理技术白皮书1. 引言数据中心是现代企业不可或缺的重要部分,它承载着企业的关键应用、业务数据和信息系统。
数据中心运维管理技术的有效应用,可以提高数据中心的稳定性、可用性和安全性,从而保障企业的业务运营和数据安全。
本白皮书旨在介绍数据中心运维管理技术的相关概念、原则和实践,帮助企业更好地理解和应用这些技术。
2. 数据中心运维管理技术概述数据中心运维管理技术是指通过采用各种管理工具和技术手段,对数据中心资源进行有效监控、管理和维护的一系列操作。
其核心目标是提高数据中心的效率、可靠性和安全性。
数据中心运维管理技术包括但不限于以下几个方面:2.1 基础设施管理技术基础设施管理技术是指对数据中心的物理设备进行管理的技术,包括机房环境监控、设备巡检、机柜管理、电力管理等。
通过对基础设施的有效管理,可以提高数据中心的稳定性和可用性。
2.2 服务器管理技术服务器管理技术是指对数据中心的服务器进行管理的技术,包括服务器监控、性能管理、配置管理、容量规划等。
通过对服务器资源的合理配置和管理,可以提高数据中心的资源利用率和性能。
2.3 网络管理技术网络管理技术是指对数据中心的网络设备进行管理的技术,包括网络拓扑管理、流量监控、带宽管理、安全管理等。
通过对网络的有效管理,可以提高数据中心的网络带宽利用率和安全性。
2.4 存储管理技术存储管理技术是指对数据中心的存储设备进行管理的技术,包括存储管理、备份恢复、存储性能管理等。
通过对存储设备的有效管理,可以提高数据中心的数据备份和恢复能力。
3. 数据中心运维管理技术的原则在应用数据中心运维管理技术时,需要遵循以下几个原则:3.1 自动化数据中心运维管理技术应该借助自动化工具或脚本来实现对数据中心资源的自动化监控和管理。
这样可以减少人工干预和错误,提高运维效率和可靠性。
3.2 统一管理数据中心运维管理技术应该采用统一的管理平台或工具来管理数据中心的各类资源,包括物理设备、服务器、网络设备和存储设备等。
华为云安全技术白皮书
华为云安全技术白皮书目录导读 ........................................................................ i v 1云安全战略 . (1)2责任共担模型 (4)2.1华为云的安全责任 (5)2.2租户的安全责任 (6)3安全组织和人员 (8)3.1安全组织 (8)3.2安全与隐私保护人员 (9)3.3内部审计人员 (9)3.4人力资源管理 (10)3.5安全违规问责 (12)4基础设施安全 (13)4.1安全合规与标准遵从 (13)4.2物理与环境安全 (15)4.3网络安全 (17)4.4平台安全 (20)4.5API 应用安全 (21)4.6数据安全 (23)5租户服务与租户安全 (28)5.1计算服务 (28)5.2网络服务 (32)5.3存储服务 (38)5.4数据库服务 (41)5.5数据分析服务 (43)5.6应用服务 (44)5.7管理服务 (47)5.8安全服务 (49)6工程安全 (57)6.1DevOps 和DevSecOps 流程 (57)6.2安全设计 (59)6.3安全编码和测试 (59)6.4第三方软件管理 (60)6.5配置与变更管理 (60)6.6上线安全审批 (60)7运维运营安全 (62)7.1O&M 账号运营安全 (62)7.2漏洞管理 (64)7.3安全日志和事件管理 (66)7.4业务连续与灾难恢复 (68)8安全生态 (70)致谢 (72)导读过去几年中,华为云与所有云服务供应商(CSP – Cloud Service Provider)和客户一样,面临着层出不穷的云安全挑战,不断探索,收获颇多。
2017 年初,华为云部(CloudBusiness Unit, aka Cloud BU)正式成立,重新启程,开启华为云新世代。
华为云迎难而上,视挑战为机遇,恪守业务边界,携手生态伙伴,共同打造安全、可信的云服务,为客户业务赋能增值、保驾护航。
DBSec技术白皮书v3r2
DBSec 数据库安全管理系统技术白皮书目录1 概述 (3)2 基于等级化的核心数据资产的保护 (3)2.1 背景 (3)2.2 数据库安全的重要性 (4)2.3 数据库系统本身的复杂性,脆弱性 (4)2.4 一分钟足以毁灭公司、组织和系统 (4)2.4.1 数据高度集中的风险 (5)2.4.2 权限高度集中的风险 (5)2.4.3 审计不了的风险 (5)2.4.4 致命打击的风险 (5)2.6 国家信息安全等级保护管理办法 (6)2.7 基于数据资产实施等级保护安全所获得的收益 (6)3 DBSec 的系统结构 (7)3.1 DBSec 的主要功能 (9)3.2 DBSec 功能特点 (9)3.3 DBSec 的优点 (10)4 主要技术指标 (11)4.1 技术标准 (11)4.2 DBSec 主要技术 (12)4.3 性能指标 (12)5 应用举例 (13)5.1 单数据库系统 (13)5.2 多数据库系统的部署 (14)6 支持平台支持的数据库 (15)1 概述信息安全建设越来越重要,人们不断的投入信息安全建设。
但这些信息系统建设是否足够和完善?仅靠边界安全防护(防火墙、防病毒、入侵检测、漏洞扫描)是不可能阻止所有的安全问题。
在一个不安全的系统内保护裸露的数据,不如将数据保护好再放入到该系统中。
2 基于等级化的核心数据资产的保护2.1 背景信息高度发达的今天,存储在数据库中的数据日益重要,它们的安全与组织/企业的命脉息息相关;这些价值高昂的数据吸引了各种不安份的企图。
每一天我们都可能面对各种安全危机:黑客入侵、木马病毒、数据被篡改、资料失窃等等。
这些攻击或信息泄露可能是灾难性的,它会给组织/企业的财产和形象带来极大的损害,损失有可能是不可估量的。
DBSec 数据库安全管理系统,针对数据库中的敏感数据(您需要保护的数据)用密码技术进行加密保护和访问控制。
为你构建一个稳固的防线,使数据库安全管理变得可控,直观,一目了然。
技术白皮书 网神 SecFox 安全审计系统
技术白皮书网神SecFox安全审计系统本文档解释权归网神信息技术(北京)股份有限公司产品中心所有目录1产品概述 (1)2产品功能说明 (2)2.1系统架构 (2)2.2引入4A管理理念 (2)2.3SSO单点登录 (4)2.4集中账号管理 (4)2.5集中身份认证 (5)2.6统一资源授权 (6)2.7细粒度访问控制 (6)2.8运维操作审计 (7)3产品技术特色和优势 (9)3.1独有功能 (9)3.1.1智能运维脚本 (9)3.1.2管理多种运维操作方式 (9)3.1.3真正意义的智能负载均衡 (10)3.2优势功能 (11)3.2.1高成熟性和安全性 (11)3.2.2良好的扩展性 (12)3.2.3强大的审计功能 (13)3.2.4使用简单,适应各种应用 (13)3.2.5绿色部署、迅速上线 (13)3.2.6实现运维命令的实时审计和拦截控制 (14)3.2.7加密协议审计 (14)4关键技术 (14)4.1逻辑命令自动识别技术 (14)4.2智能负载均衡技术 (15)4.3Syslog日志处理 (16)4.4正则表达式匹配技术 (17)4.5图形协议代理 (17)4.6多进程/线程与同步技术 (17)4.7通信数据加密技术 (17)4.8审计查询检索功能 (17)4.9操作还原技术 (18)5为用户带来的收益 (18)5.1统一平台管理 (19)5.2全面操作审计 (19)5.3提高设备可用性,网络安全性 (19)5.4完善责任认定体系 (20)5.5规范操作管理 (20)5.6规避操作风险 (20)1产品概述网神SecFox安全审计系统(简称:安全审计系统)是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。
网神安全审计系统扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。
网神安全审计系统能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。
新版数据中心解决方案安全技术白皮书模板
数据中心处理方案安全技术白皮书1序言数据集中是管理集约化、精细化肯定要求,是企业优化业务步骤、管理步骤必需手段。
现在,数据集中已经成为中国电子政务、企业信息化建设发展趋势。
数据中心建设已成为数据大集中趋势下肯定要求。
做为网络中数据交换最频繁、资源最密集地方,数据中心无疑是个充满着巨大诱惑数字城堡,任何防护上疏漏必将会造成不可估量损失,所以构筑一道安全地防御体系将是这座数字城堡首先面正确问题。
2数据中心面正确安全挑战伴随Internet应用日益深化,数据中心运行环境正从传统用户机/服务器向网络连接中央服务器转型,受其影响,基础设施框架下多层应用程序和硬件、网络、操作系统关系变得愈加复杂。
这种复杂性也为数据中心安全体系引入很多不确定原因,部分未实施正确安全策略数据中心,黑客和蠕虫将顺势而入。
尽管大多数系统管理员已经认识到来自网络恶意行为对数据中心造成严重损害,而且很多数据中心已经布署了依靠访问控制防御来取得安全性设备,但对于日趋成熟和危险各类攻击手段,这些传统防御方法仍然显现力不从心。
以下是目前数据中心面正确部分关键安全挑战。
2.1 面向应用层攻击常见应用攻击包含恶意蠕虫、病毒、缓冲溢出代码、后门木马等,最经典应用攻击莫过于“蠕虫”。
蠕虫是指"经过计算机网络进行自我复制恶意程序,泛滥时能够造成网络阻塞和瘫痪"。
从本质上讲,蠕虫和病毒最大区分在于蠕虫是经过网络进行主动传输,而病毒需要人手工干预(如多种外部存放介质读写)。
蠕虫有多个形式,包含系统漏洞型蠕虫、群发邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。
其中最常见,变种最多蠕虫是群发邮件型蠕虫,它是经过EMAIL进行传输,著名例子包含"求职信"、"网络天空NetSky"、"雏鹰BBeagle"等,11月爆发"Sober"蠕虫,是一个很经典群发邮件型蠕虫。
宁盾终端及网络准入技术白皮书V3
宁盾终端及网络准入技术白皮书V3 EUNSOL°目录概述 (3)NDACE准入引擎介绍 (3)产品简介 (3)设计原理 (3)信息收集处理分析 (3)准入防护策略 (4)集中管理 (4)工作原理 (4)TCP Reset (4)终端识别 (4)HTTP Notification/HTTP Redirect (5)Switch VLAN (5)无客户端检查 (5)客户端检查 (5)技术原理 (5)产品架构 (6)准入控制平台 (6)客户端/无客户端 (7)产品优势 (7)部署模式 (7)端点精准识别定位 (7)面向业务的自动化 (7)无代理 (7)基于场景化(应用)的身份认证 (8)可定制化报表信息 (8)主要功能介绍 (8)网络发现,全网扫描 (8)终端安全检查 (8)认证管理 (9)动态的访问控制策略 (9)持续透明的安全检查 (9)与第三方整合 (9)终端报表信息 (9)终端准入场景及技术实现 (10)PC准入场景 (10)IOT设备准入场景 (10)摄像头准入 (10)其他智能终端准入 (10)产品应用部署 (10)网络组网拓扑示例 (10)产品价值 (12)注意事项 (12)总结 (12)概述在互联网技术日新月异发展的今天,随之也为企业内网管理带来了新的问题以及挑战。
一般中大型的企业网络中均会部署防火墙、VPN、IDS/IPS、上网行为管理等安全设备,但这些安全设备只对接入网络后的终端或者流量数据进行处理,对终端接入网络准入控制及安全审查没有要求。
对此,我们可以引入宁盾NDACE准入控制引擎,借助它,我们可以仅允许合法并且受信任的终端接入网络,对不合法、不受信任的终端不予接入。
NDACE可以自动发现、识别接入网络的设备,并对其进行诸如杀毒软件、补丁更新等安全检查,然后根据制定好的条件策略下发相应的准入策略:允许接入、受限接入、拒绝接入、重定向登录认证等。
NDACE准入引擎介绍产品简介NDACE是上海宁盾信息技术有限公司面向政府、金融、互联网、制造业、医疗、教育等中大型企业单位推出的以终端安全准入为核心的解决方案。
亚信Deep-Edge技术白皮书教学文稿
云边界防护网关产品方案目录1.网络安全威胁现况概述 (5)1.1.全球网络威胁概述 (5)1.2.中国网络威胁概述 (5)2.深度威胁安全网关需求 (8)2.1.高级内容防护功能 (8)2.1.1.APT侦测及防护 (8)2.1.2.恶意软件防护 (9)2.1.3.零日漏洞及虚拟补丁防护 (10)2.1.4.VPN 内容过滤 (10)2.1.5.邮件病毒过滤 (10)2.1.6.间谍软件/灰色软件 (10)2.1.7.网络钓鱼 (11)2.2.所有防护功能随时全开的性能 (12)2.3.中国威胁与应用支持 (12)2.4.高效率的终端与服务器防护 (12)2.5.完全自主可控的安全技术 (12)3.深度威胁安全网关防护方案 (13)3.1.深度威胁安全网关防护规划 (13)3.2.D EEP E DGE产品介绍 (15)3.3.D EEP E DGE 部署结构图与案例 (17)3.3.2.路由模式 (17)3.3.3.监控模式 (18)3.3.4.多ISP/WAN模式 (20)3.3.5.多网桥模式 (20)3.4.D EEP E DGE产品技术特征与优势 (21)3.4.1.全新的系统架构,功能和性能的全面提升 (21)3.4.2.全面集成业界领先SPN云端安全方案 (21)3.4.3.更全面更深入的内容安全防护技术 (22)3.4.4.确保所有防护功能随时全开的尖端性能 (22)3.4.5.跨物理架构、虚拟化架构及云架构的全方位部署能力 (22)3.4.6.业界No.1的APT侦测及防护技术 (22)3.4.7.业界首创并广泛使用的服务器与终端防护利器——虚拟补丁技术 (22)3.4.8.全球IPS核心技术的提供商 (23)4.1.1.高性能扫描引擎 (23)4.1.2.更先进的基于内容的防火墙策略 (23)4.1.3.业内领先技术提供双向的,深度的,全面的内容安全防护 (24)4.1.4.全球领先的防病毒技术 (24)4.1.5.领先的web信誉防护技术 (24)4.1.6.领先的URL过滤技术 (25)4.1.7.综合的邮件信誉防护及邮件隔离解决方案 (25)4.1.8.业界领先的僵尸网络防护技术 (25)4.1.10.全面支持VPN典型应用场景 (26)4.1.11.高度灵活便捷的部署场景 (26)4.1.12.简化的策略管理 (27)4.1.13.可扩展的无线安全防护 (27)4.1.14.强大的日志管理和报表功能 (27)4.1.15.全面的安全可视化及关注点分析 (27)4.1.16.高可靠性及冗余性设计 (27)4.1.17.优化平台,实现轻松管理 (28)4.1.18.不会过时的系统设计与技术 (28)4.1.19.最大程度降低防护成本 (28)4.1.20.全球唯一拥有所有核心技术的安全厂商,确保技术领先和自主可控 (28)1.网络安全威胁现况概述1.1.全球网络威胁概述全球恶意软件测试组织 的2012年纪录显示, 每年的全球病毒与恶意软件数量持续增长并有加速的趋势。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DBSec 数据库安全管理系统技术白皮书目录1 概述 (3)2 基于等级化的核心数据资产的保护 (3)2.1 背景 (3)2.2 数据库安全的重要性 (4)2.3 数据库系统本身的复杂性,脆弱性 (4)2.4 一分钟足以毁灭公司、组织和系统 (4)2.4.1 数据高度集中的风险 (5)2.4.2 权限高度集中的风险 (5)2.4.3 审计不了的风险 (5)2.4.4 致命打击的风险 (5)2.6 国家信息安全等级保护管理办法 (6)2.7 基于数据资产实施等级保护安全所获得的收益 (6)3 DBSec 的系统结构 (7)3.1 DBSec 的主要功能 (9)3.2 DBSec 功能特点 (9)3.3 DBSec 的优点 (10)4 主要技术指标 (11)4.1 技术标准 (11)4.2 DBSec 主要技术 (12)4.3 性能指标 (12)5 应用举例 (13)5.1 单数据库系统 (13)5.2 多数据库系统的部署 (14)6 支持平台支持的数据库 (15)1 概述信息安全建设越来越重要,人们不断的投入信息安全建设。
但这些信息系统建设是否足够和完善?仅靠边界安全防护(防火墙、防病毒、入侵检测、漏洞扫描)是不可能阻止所有的安全问题。
在一个不安全的系统内保护裸露的数据,不如将数据保护好再放入到该系统中。
2 基于等级化的核心数据资产的保护2.1 背景信息高度发达的今天,存储在数据库中的数据日益重要,它们的安全与组织/企业的命脉息息相关;这些价值高昂的数据吸引了各种不安份的企图。
每一天我们都可能面对各种安全危机:黑客入侵、木马病毒、数据被篡改、资料失窃等等。
这些攻击或信息泄露可能是灾难性的,它会给组织/企业的财产和形象带来极大的损害,损失有可能是不可估量的。
DBSec 数据库安全管理系统,针对数据库中的敏感数据(您需要保护的数据)用密码技术进行加密保护和访问控制。
为你构建一个稳固的防线,使数据库安全管理变得可控,直观,一目了然。
以简单的方式,解决信息系统本身安全日益复杂的问题。
最大的利益:构建最坚固的核心阵地。
防止致命打击。
2.2 数据库安全的重要性入侵动机是客观存在:信息数据会越来越多,越来越重要。
安全漏洞是固有的:信息系统越来越复杂,信息系统的安全是对策性的、动态性的、不断产生新内容的和似乎永远不能成熟的。
堡垒从内部突破:仅靠边界安全防护是不可能防止所有的安全问题。
2.3 数据库系统本身的复杂性,脆弱性数据库系统是一个复杂的系统,根据已经公布的资料,数据库存在许多漏洞,其中不少是致命的缺陷和漏洞。
全球最大数据库软件Oracle 公司在每年每季度都会发布其季度安全补丁包。
该补丁包修补了多个产品中的多个漏洞。
包括数据库软件、服务器软件的多个补丁。
据悉,部分漏洞的危险级别为甲骨文定义的最高级,这意味着这些漏洞可以非常容易地被黑客利用,一旦遭到攻击将给用户造成严重影响。
2.4 一分钟足以毁灭公司、组织和系统在以0.01、0.02决定胜负的商业时代,一个信息就可以左右企业的成败。
这些信息在自己手里是王牌,在对手手里是炸弹。
如此重要的信息,可能在总裁的大脑里、公司的IT 系统里。
随时都有泄漏的可能,泄漏的结果轻则使公司蒙受损失,重则毁灭公司。
你要怎么防备?信息安全“不就是安装杀毒软件,在电脑上设密码吗?”当你这样想,你就和全世界95%的人一样,都错估、低估了信息对公司的致命影响;好在全世界还有 5%的人,恐惧、震慑、急着应变于信息对商业世界爆炸性的影响力,他们是谁?——诺基亚、微软,还有可口可乐......2.4.1 数据高度集中的风险数据库系统是一个数据高度集中的系统。
包含了所有的基础资料,人员资料,后勤数据。
但所有数据是以明文方式存放。
生存和命运集中放在一个篮子里。
2.4.2 权限高度集中的风险数据的拥有者、使用者、业务管理者控制不了权限。
而操作系统管理员角色、数据库管理员角色具有至高的权限,但这些角色跟业务关系不大甚至无关。
非法人员利用这些角色的权限可以控制所有的业务数据。
篡改业务数据。
2.4.3 审计不了的风险传统的审计人员非专业IT 技术人员,难以真正进入操作系统、数据库系统进行审计。
没有合适的工具进行业务审计。
操作系统管理员角色、数据库管理员角色具有至高的权限,包括审计权限的赋予和回收。
利用这些角色可以控制所有的审计记录。
2.4.4 致命打击的风险数据库系统是信息系统的心脏。
突破边界安全防线的入侵是少数和个别的,但是一旦被突破,数据库系统的入侵和数据丢失是致命的。
从内部造成的敏感数据的窃取、篡改所带来的危害和严重性将是全范围,大规模的。
2.5 基于数据资产的安全等级保护对于数据资产而言,遵照计算机信息系统安全等级保护要求,划分的等级有五级。
五级安全保护的第一级最低,为基础保护级,第五级为最高保护级别。
安全保护能力从第一级到第五级访问验证保护级,逐级增强,保护级别逐级增高,保护强度越高,保护费用随之增高,保护范围缩小;级别逐级降低,保护强度减弱,保护费用随之减少,保护使用范围扩大。
在数据资产等级化确定过程中,可遵照以下原则:“确保重点、兼顾一般,适度安全、效费合理”的安全保护原则。
2.6 国家信息安全等级保护管理办法第二十二条:要充分运用密码技术对信息系统进行保护。
采用密码对涉及国家秘密的信息和信息系统进行保护的,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵照《商用密码管理条例》和密码分类分级保护有关规定与相关标准。
(公安部、国家保密局、国家密码管理局、国务院信息化工作办公室(公通字 2006 7 号)2.7 基于数据资产实施等级保护安全所获得的收益从根本上,让数据处于安全的状态。
●体系化,等级化的安全制度,符合国家安全法律法规的要求。
●有选择性地加密数据,简化了安全的复杂性。
●保护一个不安全的系统内的裸露数据,不如将已经保护好的数据放入到该系统中。
堵不如防。
●提高了安全部署的灵活性。
●使用开发的通信协议,互通性好,扩展性好。
●安全的部署不影响应用。
●安全与效能达到平衡。
3 DBSec 的系统结构DBSec 主要由四个组成部分,他们之间的关系如下图所示如图所示,DBSEC 由管理控制台(Navigator )、HUB、以及安装在每个数据库上的Agent Server,Agent 组成。
图2 DBSec 结构图DBSEC 可以很容易地嵌入到现有的大部分IT 基础设施。
DBSEC 在设计上就考虑了与广泛的商业数据库的结合应用,保护现有数据库和安全资产。
DBSEC 实现了数据库的细粒度访问和加密控制。
为加强安全控制,我们针对数据元素级进行访问和操作。
在大型企业中,多个管理员如DBA、安全性和一般IT 管理员都需要访问数据库;因此,DBSEC 又提供了基于角色的访问控制这一重要特性。
DBSEC 还引入了Agent 代理这一思想。
Agent 内驻在数据库中,添加新数据库的保护只需要远程配置一台为该数据库定制的新的保护对象即可。
利用Agent,DBSEC 支持分布式的部署和集中式管理。
DBSec Hub 充当访问策略、密码密钥和审计日志数据的存储中心。
访问策略是通过DBSec 导航器来修改的,而DBSec 代理服务器从DBSec Hub 检索它们各自的访问策略。
访问策略和审计日志数据存储在磁盘上经过加密和完整性检查的文件中。
DBSec Hub 也可单独/远程安装在内网或是外网中。
DBSec Navigator 提供了集配置、管理、调试和扩展于一体的管理界面,在提供策略设置平台的解决方案中占有非常重要的地位。
DBSec根据不同的数据库类型进行配置,由Navigator 远程调入目标数据库。
使用直观的界面,安全管理员控制敏感数据的访问策略和对敏感数据的审计。
Navigator 服务器可以安装在任何基于Windows 2000/XP/2003 的服务器上。
DBSec Agent 是一个安装在数据库服务器上的模块。
DBSec Agent通过加密来强制实施策略,确保仅有授权用户才能访问受保护的信息。
任何加密数据的安全级别依赖于加密密钥的安全性。
DBSec使用公共密钥加密,为策略管理提供最大的安全保障。
DBSec Agent Server 是DBSec Hub 在每一台服务器上的本地扩展。
它在运行时为DBSec 代理提供访问策略数据。
完整的访问策略存储在DBSec Hub 中,而DBSec Agent Server 仅存储所连接的DBSec 代理需要的访问策略。
如果必要的话,DBSec Agent Server 能够在没有和DBSec Hub 建立连续连接的情况下操作。
DBSEC Agent Server 将把日志发送到DBSEC Hub。
3.1 DBSec 的主要功能通过对上述功能介绍后,可以总结DBSec 的主要功能如下:1)敏感的数据资产进行列级的细颗粒级的加密;2)核对数据资产和用户的综合评估,制定出符合实际应用的安全管理策略;3)据事先确定的规则,详细记录敏感数据资产操作,并审计管理系统的信息;4)密钥,审计日志进行加密存储管理;5)提供简单、易懂、易操作的用户操作界面;6)把上述的功能实现安全角色分离,重点防止合法的非授权者对数据库的数据进行操作;3.2 DBSec 功能特点1)灵活的策略管理机制控制,基于用户级或角色级对数据的访问。
DBSec可以根据不同等级的用户和角色为其分配相对应的数据访问权限,对没有权限看到的数据以密文或是假数据的形式提供给用户,从而保证非法的数据操作对数据的窃取和更改。
2)支持本地操作系统和数据库环境的精细管理控制。
DBSec 的控制细度达到数据库中的某一列,并对列管理控制。
3)表列级的数据库加密。
DBSec 对数据的加密颗粒可以达到数据库的某一列,所以可以根据数据的重要性对重要的数据列运用不同强度的密钥算法进行加密。
4)实施第三方的访问控制。
对加密的信息,分配给不同的用户或是角色,用户/角色授到访问控制的严格管制,只有经过授权的用户/角色才能访问到相应的数据信息。
5)独立的访问审计。
对敏感数据的访问都可以通过DBSec 的审计功能记录下来,可以通过审计这个角色对审计记录进行总结分析。
6)分权控制,各行其职,权责分离。
对于应用系统而言,要求应用数据的内容与数据维护管理权限进行分离。
数据库管理员与安全管理员的权责划分清楚。
安全管理员负责数据库的安全规划,设定不同角色的数据存取权限和规则,而数据库管理员管理与维护数据库,利用权责分离与互相制衡的机制,即使是最高权限的数据库系统管理员末经安全管理员的授权亦无法读取数据库的机密信息。