云安全管理中心
安全管理中心具有集中管控云環境整體安全態勢的功能,具備以下功能:
(1)部署方式:與云平臺緊耦合,可實現云平臺一鍵下單,自動交付。
(2)安全態勢總覽:集中展示云上業務系統的風險狀態,包括業務風險分布、風險級威脅趨勢、安全事件列表、安全評分、已具備的安全能力列表等。安全管理員通過安全態勢總覽可監管所有資產受保護狀態、安全防御能力部署情況、云環境整體安全評分、實時風險/威脅趨勢分析。平臺識別云用戶所有資產,并自動收集資產的安全監測數據,提供每個資產詳細的安全數據分析評估能力。云用戶通過資產安全管理功能對所有資產的安全配置狀態、審計狀態、漏洞數據、基線數據、補丁數據、告警數據安全級別進行統一管控;對應具體的資產及應用,平臺提供資產安全分析、時間軸分析及資產安全報告功能。
(3)組件集中管理:組織架構統一管理,安全組件統一認證,云平臺用戶可通過控制臺單點登錄安全專區平臺及所有安全組件。安全組件集中授權,集中監控、集中管理。從安全管理中心可管理所有安全組件。
(4)資產管理:可識別租戶用戶資產,可對資產進行分組管理,結合安全組件數據進行風險分析。
(5)安全漏洞掃描:安全管理中心集成主機漏洞及應用漏洞掃描功能,能夠幫助用戶高效、全方位的檢測出服務環境中的各類脆弱風險,并提供專業、有效的安全分析和修補建議。
(6)安全運營:威脅分析中心對全網資產的安全事件及告警進行分類,至少按照風險等級、事件類型、影響標簽、來源、狀態等維度來分類。
(7)安全風險分析::匯總全網安全專區實時防御產生的風險數據,為云用戶提供集中查詢分析、統計溯源、全局監測資產風險項目的管理手段。風險分析覆蓋全網主機漏洞、應用漏洞、基線檢查、系統補丁、病毒查殺五項詳細安全數據,安全管理員可按時間、類別、級別、資產、風險項、修復狀態等多維度進行查詢及趨勢分析。
(8)威脅告警分析:匯總全網安全專區實時防御產生的威脅告警數據,為云用戶提供集中查詢分析、統計溯源、全局監測網絡威脅項目的管理手段。威脅告警數據全面覆蓋防火墻/WAF/IPS等網絡告警、終端安全EDR系統終端側告警、日志/數據庫審計行為類告警,安全管理員可按時間、類別、級別、資產、威脅告警項、處理狀態等多維度進行查詢及趨勢分析。
(9)安全運維報告:根據用戶云環境的安全態勢及風險威脅處置數據生成安全運營報告。
云防火墻
天翼云云防火墻整合了防火墻,WEB應用防火墻,入侵檢測,網頁防篡改、主動和被動漏洞檢測、流量攻擊防護、防掃描等能力,為用戶提供L2-L7層的全面安全防御能力具備以下功能:
(1)支持基于對象、區域和地域維度設置安全訪問控制策略,允許或拒絕特定國家或者地區的對象訪問內部網絡,保障業務重大時期安全可靠性。
(2)具備基于國家/地區的流量管理功能,提供具備CNAS(中國合格評定國家認可委員會)資質的第三方權威機構關于“國家/地區的流量管理”產品功能檢測報告。
(3)支持對HTTP、HTTPS、FTP、SMB、SMTP、POP3、IMAP協議進行病毒檢測和查殺,支持最大16層的壓縮文件查殺。
(4)具備勒索軟件通信防護功能,提供具備CNAS(中國合格評定國家認可委員會)資質的第三方權威機構關于“勒索軟件通信防護”產品功能檢測報告。
(5)具備僵尸網絡檢測功能,可基于僵尸網絡檢測引擎發現主機的異常外聯行為,并提供威脅等級和非法外聯次數作為舉證。
(6)產品內置Web應用攻擊檢測引擎,支持文件包含攻擊、抵御注入式攻擊(包含SQL注入、系統命令注入)、信息泄露攻擊、跨站腳本(XSS)、網站掃描、WEBSHELL后門攻擊、跨站請求偽造、目錄遍歷攻擊、WEB整站系統漏洞等應用層攻擊行為,支持超過3000種Web服務器漏洞特征規則。
(7)支持網站防篡改功能,可防止攻擊者非授權修改網站目錄文件。
(8)支持網頁惡意鏈接檢測功能,有效識別網頁盜鏈/黑鏈的行為,避免用戶網頁資源被濫用。
終端安全管理EDR
終端安全管理EDR系統,提供集中管理手段對各客戶端系統進行安全事件分析、殺毒、基線核查等功能,圍繞終端資產安全生命周期,通過預防、防御、檢測、響應賦予終端更為細致的隔離策略、更為精準的查殺能力、更為持續的檢測能力、更為快速的處置能力。具備以下功能:
(1)支持全網風險展示,顯示當前未處理的勒索病毒數量、暴力破解數量、僵尸網絡、WebShell后門數量、高危漏洞及其各自影響的終端數量
(2)支持以安全策略模板方式對指定終端組快速部署安全策略,安全策略模板支持默認模板和自定義模板
(3)支持對安裝了指定版本操作系統、特定應用軟件、開放了高危端口的風險主機進行統計,具備對風險主機進行漏洞掃描、安裝高危軟件的主機列表信息統計導出、高危端口一鍵封堵的能力
(4)可實時監控文件的狀態,在文件讀、寫、執行或者進入主機時主動進行掃描,支持根據用戶性能偏好設置高、中、低3種防護級別
(5)提供基于可信鑒定方式的進程防護方式,通過人工智能自學習機制,自動建立信任進程名單,阻斷非可信進程的運行并提供配置指引,同時支持通過模板和手動的方式添加信任進程
(6)管理平臺界面提供勒索病毒防護專區,提供針對勒索病毒的多維度防護機制
(7)支持監控誘餌文件,誘餌文件可被實時監控,當勒索病毒對該文件進行修改或加密操作時進行攔截
(8)支持對勒索病毒的家族名、病毒名、加密文件后綴名的鏈接查詢,或者通過直接上傳加密文件的方式確定勒索病毒類型,如果能解密可以提供必要的解密工具
(9)提供挖礦病毒巡檢工具,支持通過內存、進程和啟動項來檢索病毒相關信息
(10)一鍵式操作對指定終端/終端組進行合規性檢查,包括身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范,對不合規的檢查項提供設置建議,并可視化展示終端的基線合規檢查結果
(11)一鍵式操作對指定終端/終端組進行合規性檢查,包括身份鑒別、訪問控制、安全審計、 SSH策略檢測、入侵防范、惡意代碼防范,對不合規的檢查項提供設置建議,并可視化展示終端的基線合規檢查結果
(12)支持圖形化顯示業務系統、服務器及流量詳情
(13)業務系統詳情支持展示流量分布Top5、業務流量排行Top5(發送,接收)、業務訪問趨勢(發送流速、接收流速和用戶數)
堡壘機為用戶提供運維審計解決方案,運維人員可通過云堡壘機遠程訪問云主機,實現統一賬號管理、雙因子、認證管理、權限管理、審計管理,解決系統賬號復用、運維權限混亂、運維過程不透明等問題,具備以下功能:
(1)支持定期變更目標設備真實口令,支持自定義口令變更周期和口令強度。口令變更方式至少支持手動指定固定口令、通過密碼表生成口令、依照設備掛載的口令策略生成隨機口令、依照密碼策略生成同一口令等方式
(2)支持自定義多級審批流程,可設置一級或多級審批人,每級審批流程可以指定通過投票數,用戶訪問關鍵設備需相關審批人逐級審批通過才允許訪問
(3)支持通過動作流配置提供廣泛的應用接入支持,無論被接入的資源如何設計登錄動作,通過動作流配置都可以實現單點登陸和審計接入
(4)支持在授權基礎上自定義訪問審批流程,可設置一級或多級審批人,每級審批可指定通過投票數,需逐級審批通過才可最終發起運維操作
(5)全面支持IPV6,設備自身可以配置IPV6地址供客戶端訪問,并且支持目標設備配置IPV6地址實現單點登陸和審計
(6)支持緊急運維流程,當運維人員需對目標設備進行緊急運維時,可通過緊急運維流程直接訪問目標設備,同時記錄為緊急運維工單,便于相關審批人事后對該流程進行確認以及審計員事后查看
(7)支持雙人復核登陸,登錄時必須經過第二人授權后才能登錄,第二人可通過遠程授權或同終端授權兩種方式實現授權
(8)支持運維審計自查詢功能,用戶可查看自身的運維審計歷史
云日志審計
云日志審計支持從不同設備或系統中所獲得的各類日志、事件中抽取相關片段準確和完整地映射至安全事件的標準字段。可通過對用戶的網絡、安全、應用等系統日志進行全面的標準化處理,幫助用戶及時發現各種安全威脅、異常行為事件,滿足網絡安全法對日志數據留存6個月以上的要求。可對安全事件重新定級。能根據統一的安全策略,按照安全設備識別名、事件類別、事件級別等所有可能的條件及各種條件的組合對事件嚴重級別進行重定義。同時支持以下功能:
(1)支持拓撲管理,并能夠支持拓撲維度展示整體安全、事件分布、告警分布等
(2)系統支持對IP對象的自動發現功能,支持IPv6,對自動發現的設備可以轉資產或刪除
(3)標準化自動識別系統類型至少達到200種
(4)系統支持從不同設備或系統中所獲得的各類日志、事件中抽取相關片段準確和完整地映射至安全事件的標準字段
(5)系統支持完全收集采集對象上的日志信息,也支持在安全事件收集引擎上設置過濾條件,可過濾出無關安全事件,滿足根據實際業務需求減少采集對象發送到核心服務器的安全事件數,從而減少對網絡帶寬和數據庫存儲空間的占用
(6)可通過自定義聚合規則修改日志的聚合歸并邏輯規則,提高日志分析效率
(7)支持根據設備類型,按日期展示日志的接入情況,包含不同級別日志數量統計
支持挖掘不同類型、來源于不同設備或系統的日志或安全事件之間可能存在的關聯關系,系統支持GUI方式的關聯規則設置功能
(8)支持顯示審計事件分類統計列表,根據審計策略名稱、審計事件類型、被審計人員、目標設備地址四個維度展現
(9)支持審計對象的定義,包括:審計目標對象、審計行為對象、審計行為執行者對象、審計來源對象、審計時間段對象等
(10)支持預置審計策略模板,包括:Windows主機類審計策略模板、Linux/Unix主機類審計策略模板、防火墻類審計策略模板、掃描器類審計策略模板、IDS/IPS類審計策略模板、防病毒類審計策略模板、數據庫系統類審計策略模板、薩班斯審計策略模版、等級保護審計模板等
(11)支持HTTP網頁標題、BBS、威脅情報、DGA、搜索關鍵詞的網絡會話分類展現
(12)支持DNS、DGA、解碼錯誤、解碼失敗、解碼超時的網絡會話分類展現
(13)支持TLS會話、數據庫會話、郵件會話、FTP會話、Telnet會話,即時通訊會話的展現
