启明星辰全产品线介绍资料
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
有危害的丢弃\没有危害的保留
攻击者
WEB&数据库
启明星辰VISD专利算法已应用于IPS产品
25
安全产品总体趋势与发展方向
• 安全目标更具体、产品定位更清晰、防御更有效
– 在不可信的网络世界中,建立纵深防御体系的需要
• 安全产品融入专业服务,逐渐由“冷”变“热”
– 安全变得简单,安全成为服务,服务成就安全
• 天镜产品定位
– 对企业主机、终端进行扫描,提供可视化的脆弱性评估报告; – 了解企业整体脆弱性状况,便于统一治理与加固; – 指导企业对终端安全状态进行改进,并提供参考依据; 未来发展:扫描器准确度提高,硬件化网站检测系统
17
从安全建设阶段看产品布局
利用各种措施形成闭环
安 全 工 具 服 务
天阗IDS 天镜
热产品 VS 威胁的动态性、不确定性
解决 威胁A
28
专业安全厂家的 “热产品”
IDS核心积累与技术应用的延伸 延伸产品类
违规 违规
II 入侵研究 入侵研究 入侵事件 入侵事件 延伸到 延伸到 威胁事件 威胁事件
异常 异常 漏洞 漏洞 入侵 入侵 扫描 扫描
各种信息库
安全工具 安全工具 应用监管 应用监管 威胁管理 威胁管理 安全网关 安全网关
15
天珣定位-终端合规 内网安全
定位于企业终端统一安全管理 策略网关
办公网络 策略服务器
实现终端合规,促进内网安全
满足大规模部署环境
终端安全控制
终端准入控制
桌面合规管理 终端泄密控制
终端审计
天珣客户端
• 天珣内网安全产品定位
– – – – – – –
16
部署于企业办公终端,实现企业终端统一管理。避免终端违规应用; 自动化推送式部署:满足大规模部署。具备数十万点部署经验; 多层准入控制机制:从源头上避免企业敏感信息被非法访问; 桌面合规管理:避免终端资产滥用,影响企业内网安全性; 终端泄密控制:解决终端数据泄密问题,保护关键信息资产。 终端审计:确保100%的终端接受监督,促进内网安全状况持续改善。 易用:对终端系统资源占用小,管理配置操作简单。
– 漏洞研究、威胁研究、法律法规研究的成果,成为产品适应环境的基础 – 产品通过动态信息库的不断更新,完成自我调整,以达到持续安全目的
29
天清IPS:一个“热”产品的背后
客户/其它厂家
CERT CNCERT/CC CVE CNCVE Microsoft
相关软件厂家
开 放 源 代 码
M2S-远程监控
• 向结构性安全演进,“跨界”组合成为必然
– 保障业务安全、实现主体防御、构建可信网络世界的必经阶段
20
威胁未知?防御目标未知?
你知道那杯是有害的吗? 看得出哪杯有害吗?
• 面对未知目标如何有效?
– 威胁源未知
– 保护目标未知
• 三杯液体,哪杯有害?
– 你能判断吗?
威胁源未知? 防御目标未知?
21
10
IDS与IPS的区别
11
IPS是深层防御、IDS是全面检测
检测与监控设施
入侵检测IDS 监 控 平 台 可以有可疑行为 需要人工分析 要求精确 对人工分析无要求 入侵防御IPS 防火墙 接入控制
防护与控制设施
漏洞扫描
审计系统
部署目标
• • • 强化风险管理能力 及时了解安全状况 为改善风险控制环境提 供决策依据
D D 检测技术 检测技术
检测技术 检测技术 应用延伸 应用延伸
审计 审计 管理 管理 防护 防护
产品 产品 基于 基于 通过专业后援支撑团队不断研究 用户价值 S 用户价值 S 系统 系统( (设备 设备) ) 延伸 延伸 使产品不断更新库信息,实现持续性的安全结合,共同应对动态性和不确定性
– 提供事件库持续的升级服务;
未来发展:性能提升,跨界组合
8
天清WIPS(NDP)产品定位-WEB业务防御
定位于WEB服务器前端 精确阻断SQL注入/跨站攻击 覆盖百兆、千兆应用环境
NDP2000 NDP1000 NDP200
Internet
WEB 服务器
NDP100
• 天清WIPS(天清IPS NDP系列)产品定位
支撑网络
数据库
• 天玥网络安全审计定位
– 旁路部署于关键业务路径服务侧,通过设定违规的审计策略匹配业务违规 行为,并进行记录行为过程和阻断,记录的结果可作为事后取证; – 促进业务内控管理效率,确保计算环境域关键业务安全合规运营; – 避免企业IT运营事故与法律风险; – 提供丰富的业务违规审计策略,可细粒度自定义策略匹配违规操作; – 提供高速T级大容量存储,满足电信级应用 未来发展:三层关联,看到结果,知道过程
9
天清NIPS定位-弥补防火墙防御能力
定位于防火墙网关前端
Internet
弥补防火墙入侵防御不足
覆盖百兆、千兆应用环境
天清NIPS
防火墙
办公网络
• 天清NIPS定位
– 部署于防火墙外联接口的前端,弥补以防火墙、安全路由器等作为边界网 关时入侵防御能力的不足,同事降低原有网关信息过滤的压力; – 对网络入侵提供阻断和过滤能力, – 提供应用级访问控制,降低原有防火墙访问控制方面压力; – 提供事件库持续的升级服务;
WEB 服务器
N-IPS (USG) Internet “门卫”
安星
天镜
天玥II
“纪检”
IDS
生产网络 安全域控制器
关键业务系统
“巡警”
办公网络
USG
天珣
“督查”
天珣
支撑域-合规
24
为什么WIPS能精确阻断SQL注入
难以防范的SQL注入如何解决: 语法攻击特征虽然千变万化,但天清IPS保护目标相对具体,可以模 拟被保护目标(WEB业务、数据库),实现SQL注入的精确阻断; 攻击过程 千变万化 模拟目标 校验结果
– 安全的动态性、不确定性
实时更新 出现 研究特征 明确应对 那就不需要“热产品”所包含的这部分 库信息 如果威胁是确定的、静态不变的 威胁A 和原理 方法
那么“冷产品”就可以解决问题…… 如果,威胁不存在动态性或不确定性 可是,事实并非如此!
安全服务支撑团队
非法入侵者/组织 演变出新 威胁B 躲避防御 而演变
定位于外联网络边界 实现应用级访问控制 型号覆中小企业至电信级
• 天清汉马USG的产品定位
– 为外联边界提供应用级安全访问控制,过滤网络病毒、网络入侵、 非法应用、非授权访问、恶意流量等;
– 解决企业级VPN接入服务、终端准入控制服务;
– USG产品系列型号,满足100M~4G边界处理性能,能适应小企业 级到电信级应用;
天镜、安星定位-脆弱性评估
定位于计算机系统脆弱性评估 WEB业务脆弱性/主机与终端脆弱性 满足大规模部署环境 WEB网站 远程在线检查 服务 漏洞扫描系统 天镜
Internet
安星
办公网络
互联网站
数据库
安星
天镜
终端
Server
• 安星产品定位
– 对WEB网站的脆弱性检测,提供WEB网站漏洞报告、被挂马报告等; – 及时预知WEB网站安全状况,利于安全加固与改造,避免网站漏洞被利 用导致敏感信息被窃取;
– 涵盖国内最权威的入侵事件库,支持深度事件自定义; – 基于分级管理的规模部署模式,实现对互联域的全局检测;
– 提供事件库持续的升级服务;
未来发展:安全基线的呈现效果,将事件数量减少
13
其它产品作用
14
天玥定位-业务合规审计
定位于关键业务操作行为审计 天玥网络安全审计 记录/阻断违规行为,事后取证 覆盖百兆、千兆应用环境
基础改进阶段→ 根据资产价值治理控制环境(威胁、弱点)
• 各产品应用定位
• 专业化安全产品发展之路
安全产品总体趋势与发展方向
• 安全目标更具体、产品定位更清晰、防御更有效
– 在不可信的网络世界中,建立纵深防御体系的需要
• 产品融入专业服务,逐渐由“冷”变“热”
– 安全变得简单,安全成为服务,服务成就安全
• 目标具体,防御才有效; • 目标明确,防御才明确;
• 目标不同,判断威胁的方式 也不同
– 如果保护目标是:植物
• 怎么检测有害?
– 如果保护目标是:伤口
• 怎么检测有害?
23
纵深防御中,产品目标明确、定位清晰
边界域-控制 W-IPS 互联域-管理
WEB服务器扫描
核心计算域-止损
服务器扫描
“保镖”
P.D.R 一个都不能少
部署目标
• • • 强化风险控制 降低风险 进一步优化风险 控制环境
部署目标决定了IPS、IDS各自的定位
12
天阗IDS定位-威胁态势量化分析
定位于关键威胁路径入侵检测
Internet
分析威胁态势,管理威胁
覆盖百兆、多千兆应用环境
NIDS
办公网络
网关
• 天阗IDS定位
– 旁路部署于互联网关口、威胁传播关键路径,用于分析威胁蔓延态势,定位 威胁,科学指导事件处理,衡量防御体系的效果;
安 全 网 关 / IPS
应 用 监 管 审 计
天玥
泰 合 平 台
泰合SOC
看问题
18
IDS / /
自行驱动/突发事件驱动…… 安全运营阶段→ IT风险集中管理与监控 建体系
天珣
天清IPS USG
定目标
自我认知阶段→ 了解面临的风险(威胁、弱点、价值)
/
促管理
合规管理阶段→ 定义业务内控流程,加强合规管理
准安全域控制器非指定程序不能访问xx安全域中的服务或业务生产终端安全网关天珣终端安全强准入控制外联业务服务生产网络内联业务服务数据中心生产终端办公终端办公网络外联网络运维终端dmz存储备份系统漏洞系统漏洞防web业务入侵防web业务入侵系统漏洞系统漏洞防系统入侵防系统入侵db违规操作db违规操作远程接入访问远程接入访问防病毒防病毒接入控制接入控制文档防护文档防护终端审计终端审计终端维护终端维护终端漏洞终端漏洞接入控制接入控制防违规操作防违规操作终端维护终端维护运维过程审计运维过程审计命令级控制命令级控制业务违规操作业务违规操作业务违规操作业务违规操作db防入侵db防入侵非法外联非法外联入侵检测入侵检测防网络入侵防网络入侵网络访问控制网络访问控制网络访问控制网络访问控制防资源滥用防资源滥用防资源滥用防资源滥用互联网行为监管互联网行为监管防网络病毒防网络病毒防系统入侵防系统入侵远程终端管理监控平台信息采集信息采集资产管理资产管理灾难备份灾难备份数据恢复数据恢复防web业务入侵防web业务入侵数据防盗数据防盗身份鉴别身份鉴别防网络入侵防网络入侵业务访问控制业务访问控制二次身份鉴别二次身份鉴别二次身份鉴别二次身份鉴别二次身份鉴别二次身份鉴别usgusgusgusgusgusgweb业务漏洞web业务漏洞usgusgusgusgusgusgusgusgusgusgusgusg账户管理账户管理db漏洞db漏洞it管理网络internet外部业务服务托管远程接入远程接入日志管理日志管理usgcusgc威胁管理威胁管理漏洞管理漏洞管理网元管理网元管理审计管理审计管理远程操作远程操作强认证强认证ssosso系统漏洞系统漏洞防系统入侵防系统入侵业务违规操作业务违规操作防web业务入侵防web业务入侵web业务漏洞web业务漏洞网络访问控制网络访问控制usgusg可信主体访问接入网络地址可信主体状态可信行为可信实现基于可信主体的访问控制网络地址可信主体状态可信行为可信实现基于可信主体的访问控制阻止不可信主体访网站安全360网站安全360m2sadlab网页篡改恢复网页安全修复应急响应服务120120基于结构性安全思想应用的一个体现跨产品界组合形式的演进以一个产品的web控制台为主集成其他产品的web控制界面面向用户业务独立的web控制台同时配臵多个产品上的策略产品a产品bweb控制台web控制台联动产品a产品bweb控制产品a产品bw
威胁已知,防御目标仍未知?
你知道那杯是有害的吗? 看得出哪杯有害吗?
• 面对未知目标如何有效?
– 威胁源已知
• 酒精 • 水 • 硫酸
– 但保护目标仍未知
• 哪杯有害?你能判断吗?
– 酒精、水、硫酸?
威胁源已知 防御目标仍未知?
22
目标明确,防御才更有效
你知道那杯是有害的吗? 看得出哪杯有害吗?
IDS
生产网络
关键业务系统
USG
天珣
安全域控制器 高端USG+天珣
天珣
支撑域-合规
5
UTM、IPS的区别
6
IPS市场需求划分与产品应对
网络入侵保护
天清汉马USG覆盖
聚焦 网络 入侵保护需求
服务器入侵保护
B/S服务器 C/S服务器
天清IPS覆盖
聚焦 基于WEB业务 入侵保护需求
保护需求不突出
7
天清汉马USG定位-全面访问控制
3
安全产品怎么定位?
不安全因素-分而治之
可确定 不可确定
可定义
不可定义
可定义
不可定义
控制
管理
合规
止损
以默认可信为出发点
以默认不可信为出发点
4
基于纵深防御,看安全产品应用定位
边界域-控制 WAG
安星
互联域-管理
核心计算域-止损
服务器扫描
天玥II
WEB 服务器
天镜
IDS
Internet
N-IPS
办公网络
CA300
CA500
CA2300
CA2800
CCE-AC
CCE-DM CCE-MS CCE-TM NS2200 NS2800
NS500
NS1500
强 化 威胁管理类 NDP100 NDP200 NDP800 NDP1000 NDP2000 天清 入侵防御系统 风 险 控 安全网关类 USG-300B USG-600 USG-800 USG-2000C USG-3600C 天清汉马 统一安全网关 制 低端 高端
导弹:动态打击
• 能随着环境或打击目标移动而自我调整
二者本质区别:能否应对目标的动态性和不确定性?
27
不确定性导致安全产品由“冷”变“热”
• 冷产品、热产品的定义
– 热产品:基于动态更新的环境信息,不断适应动态的安全需求 – 冷产品:只解决相对静态的需求,不能随环境变化而变化
• 安全产品由“冷”变“热”源动力
产品管理中心
1
• 各产品应用定位
• 专业化安全产品发展之路
引领安全趋势的产品家族
ZSOC 4ASOC ASOC TSOC MSOC
强 化 风 安全工具类 险 管 理 应用监管类
CCE-BM NS100 NS200
泰合平台
泰合 安全管理平台
软件版
便携版
硬件版
天镜 脆弱性评估系统
天玥 合规性审计系统 天珣 内网安全管理系统 天阗 入侵检测系统
• 向结构性安全演进,“跨界”组合成为必然
– 保障业务安全、实现主体防御、构建可信网络世界的必经阶段
26
两个例子的对比后的反思
• 安全是动态的,本身充满了众多不确定性因素?
– 两个例子的对比与反思……
炮弹 导弹 炮弹:静态打击
• • 发射后由风速、仰角等因素,决定落点 无法根据环境或目标的变化改变落点
披露信息安全事件
披露漏洞 研究安全的不确定性
攻击者
WEB&数据库
启明星辰VISD专利算法已应用于IPS产品
25
安全产品总体趋势与发展方向
• 安全目标更具体、产品定位更清晰、防御更有效
– 在不可信的网络世界中,建立纵深防御体系的需要
• 安全产品融入专业服务,逐渐由“冷”变“热”
– 安全变得简单,安全成为服务,服务成就安全
• 天镜产品定位
– 对企业主机、终端进行扫描,提供可视化的脆弱性评估报告; – 了解企业整体脆弱性状况,便于统一治理与加固; – 指导企业对终端安全状态进行改进,并提供参考依据; 未来发展:扫描器准确度提高,硬件化网站检测系统
17
从安全建设阶段看产品布局
利用各种措施形成闭环
安 全 工 具 服 务
天阗IDS 天镜
热产品 VS 威胁的动态性、不确定性
解决 威胁A
28
专业安全厂家的 “热产品”
IDS核心积累与技术应用的延伸 延伸产品类
违规 违规
II 入侵研究 入侵研究 入侵事件 入侵事件 延伸到 延伸到 威胁事件 威胁事件
异常 异常 漏洞 漏洞 入侵 入侵 扫描 扫描
各种信息库
安全工具 安全工具 应用监管 应用监管 威胁管理 威胁管理 安全网关 安全网关
15
天珣定位-终端合规 内网安全
定位于企业终端统一安全管理 策略网关
办公网络 策略服务器
实现终端合规,促进内网安全
满足大规模部署环境
终端安全控制
终端准入控制
桌面合规管理 终端泄密控制
终端审计
天珣客户端
• 天珣内网安全产品定位
– – – – – – –
16
部署于企业办公终端,实现企业终端统一管理。避免终端违规应用; 自动化推送式部署:满足大规模部署。具备数十万点部署经验; 多层准入控制机制:从源头上避免企业敏感信息被非法访问; 桌面合规管理:避免终端资产滥用,影响企业内网安全性; 终端泄密控制:解决终端数据泄密问题,保护关键信息资产。 终端审计:确保100%的终端接受监督,促进内网安全状况持续改善。 易用:对终端系统资源占用小,管理配置操作简单。
– 漏洞研究、威胁研究、法律法规研究的成果,成为产品适应环境的基础 – 产品通过动态信息库的不断更新,完成自我调整,以达到持续安全目的
29
天清IPS:一个“热”产品的背后
客户/其它厂家
CERT CNCERT/CC CVE CNCVE Microsoft
相关软件厂家
开 放 源 代 码
M2S-远程监控
• 向结构性安全演进,“跨界”组合成为必然
– 保障业务安全、实现主体防御、构建可信网络世界的必经阶段
20
威胁未知?防御目标未知?
你知道那杯是有害的吗? 看得出哪杯有害吗?
• 面对未知目标如何有效?
– 威胁源未知
– 保护目标未知
• 三杯液体,哪杯有害?
– 你能判断吗?
威胁源未知? 防御目标未知?
21
10
IDS与IPS的区别
11
IPS是深层防御、IDS是全面检测
检测与监控设施
入侵检测IDS 监 控 平 台 可以有可疑行为 需要人工分析 要求精确 对人工分析无要求 入侵防御IPS 防火墙 接入控制
防护与控制设施
漏洞扫描
审计系统
部署目标
• • • 强化风险管理能力 及时了解安全状况 为改善风险控制环境提 供决策依据
D D 检测技术 检测技术
检测技术 检测技术 应用延伸 应用延伸
审计 审计 管理 管理 防护 防护
产品 产品 基于 基于 通过专业后援支撑团队不断研究 用户价值 S 用户价值 S 系统 系统( (设备 设备) ) 延伸 延伸 使产品不断更新库信息,实现持续性的安全结合,共同应对动态性和不确定性
– 提供事件库持续的升级服务;
未来发展:性能提升,跨界组合
8
天清WIPS(NDP)产品定位-WEB业务防御
定位于WEB服务器前端 精确阻断SQL注入/跨站攻击 覆盖百兆、千兆应用环境
NDP2000 NDP1000 NDP200
Internet
WEB 服务器
NDP100
• 天清WIPS(天清IPS NDP系列)产品定位
支撑网络
数据库
• 天玥网络安全审计定位
– 旁路部署于关键业务路径服务侧,通过设定违规的审计策略匹配业务违规 行为,并进行记录行为过程和阻断,记录的结果可作为事后取证; – 促进业务内控管理效率,确保计算环境域关键业务安全合规运营; – 避免企业IT运营事故与法律风险; – 提供丰富的业务违规审计策略,可细粒度自定义策略匹配违规操作; – 提供高速T级大容量存储,满足电信级应用 未来发展:三层关联,看到结果,知道过程
9
天清NIPS定位-弥补防火墙防御能力
定位于防火墙网关前端
Internet
弥补防火墙入侵防御不足
覆盖百兆、千兆应用环境
天清NIPS
防火墙
办公网络
• 天清NIPS定位
– 部署于防火墙外联接口的前端,弥补以防火墙、安全路由器等作为边界网 关时入侵防御能力的不足,同事降低原有网关信息过滤的压力; – 对网络入侵提供阻断和过滤能力, – 提供应用级访问控制,降低原有防火墙访问控制方面压力; – 提供事件库持续的升级服务;
WEB 服务器
N-IPS (USG) Internet “门卫”
安星
天镜
天玥II
“纪检”
IDS
生产网络 安全域控制器
关键业务系统
“巡警”
办公网络
USG
天珣
“督查”
天珣
支撑域-合规
24
为什么WIPS能精确阻断SQL注入
难以防范的SQL注入如何解决: 语法攻击特征虽然千变万化,但天清IPS保护目标相对具体,可以模 拟被保护目标(WEB业务、数据库),实现SQL注入的精确阻断; 攻击过程 千变万化 模拟目标 校验结果
– 安全的动态性、不确定性
实时更新 出现 研究特征 明确应对 那就不需要“热产品”所包含的这部分 库信息 如果威胁是确定的、静态不变的 威胁A 和原理 方法
那么“冷产品”就可以解决问题…… 如果,威胁不存在动态性或不确定性 可是,事实并非如此!
安全服务支撑团队
非法入侵者/组织 演变出新 威胁B 躲避防御 而演变
定位于外联网络边界 实现应用级访问控制 型号覆中小企业至电信级
• 天清汉马USG的产品定位
– 为外联边界提供应用级安全访问控制,过滤网络病毒、网络入侵、 非法应用、非授权访问、恶意流量等;
– 解决企业级VPN接入服务、终端准入控制服务;
– USG产品系列型号,满足100M~4G边界处理性能,能适应小企业 级到电信级应用;
天镜、安星定位-脆弱性评估
定位于计算机系统脆弱性评估 WEB业务脆弱性/主机与终端脆弱性 满足大规模部署环境 WEB网站 远程在线检查 服务 漏洞扫描系统 天镜
Internet
安星
办公网络
互联网站
数据库
安星
天镜
终端
Server
• 安星产品定位
– 对WEB网站的脆弱性检测,提供WEB网站漏洞报告、被挂马报告等; – 及时预知WEB网站安全状况,利于安全加固与改造,避免网站漏洞被利 用导致敏感信息被窃取;
– 涵盖国内最权威的入侵事件库,支持深度事件自定义; – 基于分级管理的规模部署模式,实现对互联域的全局检测;
– 提供事件库持续的升级服务;
未来发展:安全基线的呈现效果,将事件数量减少
13
其它产品作用
14
天玥定位-业务合规审计
定位于关键业务操作行为审计 天玥网络安全审计 记录/阻断违规行为,事后取证 覆盖百兆、千兆应用环境
基础改进阶段→ 根据资产价值治理控制环境(威胁、弱点)
• 各产品应用定位
• 专业化安全产品发展之路
安全产品总体趋势与发展方向
• 安全目标更具体、产品定位更清晰、防御更有效
– 在不可信的网络世界中,建立纵深防御体系的需要
• 产品融入专业服务,逐渐由“冷”变“热”
– 安全变得简单,安全成为服务,服务成就安全
• 目标具体,防御才有效; • 目标明确,防御才明确;
• 目标不同,判断威胁的方式 也不同
– 如果保护目标是:植物
• 怎么检测有害?
– 如果保护目标是:伤口
• 怎么检测有害?
23
纵深防御中,产品目标明确、定位清晰
边界域-控制 W-IPS 互联域-管理
WEB服务器扫描
核心计算域-止损
服务器扫描
“保镖”
P.D.R 一个都不能少
部署目标
• • • 强化风险控制 降低风险 进一步优化风险 控制环境
部署目标决定了IPS、IDS各自的定位
12
天阗IDS定位-威胁态势量化分析
定位于关键威胁路径入侵检测
Internet
分析威胁态势,管理威胁
覆盖百兆、多千兆应用环境
NIDS
办公网络
网关
• 天阗IDS定位
– 旁路部署于互联网关口、威胁传播关键路径,用于分析威胁蔓延态势,定位 威胁,科学指导事件处理,衡量防御体系的效果;
安 全 网 关 / IPS
应 用 监 管 审 计
天玥
泰 合 平 台
泰合SOC
看问题
18
IDS / /
自行驱动/突发事件驱动…… 安全运营阶段→ IT风险集中管理与监控 建体系
天珣
天清IPS USG
定目标
自我认知阶段→ 了解面临的风险(威胁、弱点、价值)
/
促管理
合规管理阶段→ 定义业务内控流程,加强合规管理
准安全域控制器非指定程序不能访问xx安全域中的服务或业务生产终端安全网关天珣终端安全强准入控制外联业务服务生产网络内联业务服务数据中心生产终端办公终端办公网络外联网络运维终端dmz存储备份系统漏洞系统漏洞防web业务入侵防web业务入侵系统漏洞系统漏洞防系统入侵防系统入侵db违规操作db违规操作远程接入访问远程接入访问防病毒防病毒接入控制接入控制文档防护文档防护终端审计终端审计终端维护终端维护终端漏洞终端漏洞接入控制接入控制防违规操作防违规操作终端维护终端维护运维过程审计运维过程审计命令级控制命令级控制业务违规操作业务违规操作业务违规操作业务违规操作db防入侵db防入侵非法外联非法外联入侵检测入侵检测防网络入侵防网络入侵网络访问控制网络访问控制网络访问控制网络访问控制防资源滥用防资源滥用防资源滥用防资源滥用互联网行为监管互联网行为监管防网络病毒防网络病毒防系统入侵防系统入侵远程终端管理监控平台信息采集信息采集资产管理资产管理灾难备份灾难备份数据恢复数据恢复防web业务入侵防web业务入侵数据防盗数据防盗身份鉴别身份鉴别防网络入侵防网络入侵业务访问控制业务访问控制二次身份鉴别二次身份鉴别二次身份鉴别二次身份鉴别二次身份鉴别二次身份鉴别usgusgusgusgusgusgweb业务漏洞web业务漏洞usgusgusgusgusgusgusgusgusgusgusgusg账户管理账户管理db漏洞db漏洞it管理网络internet外部业务服务托管远程接入远程接入日志管理日志管理usgcusgc威胁管理威胁管理漏洞管理漏洞管理网元管理网元管理审计管理审计管理远程操作远程操作强认证强认证ssosso系统漏洞系统漏洞防系统入侵防系统入侵业务违规操作业务违规操作防web业务入侵防web业务入侵web业务漏洞web业务漏洞网络访问控制网络访问控制usgusg可信主体访问接入网络地址可信主体状态可信行为可信实现基于可信主体的访问控制网络地址可信主体状态可信行为可信实现基于可信主体的访问控制阻止不可信主体访网站安全360网站安全360m2sadlab网页篡改恢复网页安全修复应急响应服务120120基于结构性安全思想应用的一个体现跨产品界组合形式的演进以一个产品的web控制台为主集成其他产品的web控制界面面向用户业务独立的web控制台同时配臵多个产品上的策略产品a产品bweb控制台web控制台联动产品a产品bweb控制产品a产品bw
威胁已知,防御目标仍未知?
你知道那杯是有害的吗? 看得出哪杯有害吗?
• 面对未知目标如何有效?
– 威胁源已知
• 酒精 • 水 • 硫酸
– 但保护目标仍未知
• 哪杯有害?你能判断吗?
– 酒精、水、硫酸?
威胁源已知 防御目标仍未知?
22
目标明确,防御才更有效
你知道那杯是有害的吗? 看得出哪杯有害吗?
IDS
生产网络
关键业务系统
USG
天珣
安全域控制器 高端USG+天珣
天珣
支撑域-合规
5
UTM、IPS的区别
6
IPS市场需求划分与产品应对
网络入侵保护
天清汉马USG覆盖
聚焦 网络 入侵保护需求
服务器入侵保护
B/S服务器 C/S服务器
天清IPS覆盖
聚焦 基于WEB业务 入侵保护需求
保护需求不突出
7
天清汉马USG定位-全面访问控制
3
安全产品怎么定位?
不安全因素-分而治之
可确定 不可确定
可定义
不可定义
可定义
不可定义
控制
管理
合规
止损
以默认可信为出发点
以默认不可信为出发点
4
基于纵深防御,看安全产品应用定位
边界域-控制 WAG
安星
互联域-管理
核心计算域-止损
服务器扫描
天玥II
WEB 服务器
天镜
IDS
Internet
N-IPS
办公网络
CA300
CA500
CA2300
CA2800
CCE-AC
CCE-DM CCE-MS CCE-TM NS2200 NS2800
NS500
NS1500
强 化 威胁管理类 NDP100 NDP200 NDP800 NDP1000 NDP2000 天清 入侵防御系统 风 险 控 安全网关类 USG-300B USG-600 USG-800 USG-2000C USG-3600C 天清汉马 统一安全网关 制 低端 高端
导弹:动态打击
• 能随着环境或打击目标移动而自我调整
二者本质区别:能否应对目标的动态性和不确定性?
27
不确定性导致安全产品由“冷”变“热”
• 冷产品、热产品的定义
– 热产品:基于动态更新的环境信息,不断适应动态的安全需求 – 冷产品:只解决相对静态的需求,不能随环境变化而变化
• 安全产品由“冷”变“热”源动力
产品管理中心
1
• 各产品应用定位
• 专业化安全产品发展之路
引领安全趋势的产品家族
ZSOC 4ASOC ASOC TSOC MSOC
强 化 风 安全工具类 险 管 理 应用监管类
CCE-BM NS100 NS200
泰合平台
泰合 安全管理平台
软件版
便携版
硬件版
天镜 脆弱性评估系统
天玥 合规性审计系统 天珣 内网安全管理系统 天阗 入侵检测系统
• 向结构性安全演进,“跨界”组合成为必然
– 保障业务安全、实现主体防御、构建可信网络世界的必经阶段
26
两个例子的对比后的反思
• 安全是动态的,本身充满了众多不确定性因素?
– 两个例子的对比与反思……
炮弹 导弹 炮弹:静态打击
• • 发射后由风速、仰角等因素,决定落点 无法根据环境或目标的变化改变落点
披露信息安全事件
披露漏洞 研究安全的不确定性