云安全管理中心
安全管理中心具有集中管控云环境整体安全态势的功能,具备以下功能:
(1)部署方式:与云平台紧耦合,可实现云平台一键下单,自动交付。
(2)安全态势总览:集中展示云上业务系统的风险状态,包括业务风险分布、风险级威胁趋势、安全事件列表、安全评分、已具备的安全能力列表等。安全管理员通过安全态势总览可监管所有资产受保护状态、安全防御能力部署情况、云环境整体安全评分、实时风险/威胁趋势分析。平台识别云用户所有资产,并自动收集资产的安全监测数据,提供每个资产详细的安全数据分析评估能力。云用户通过资产安全管理功能对所有资产的安全配置状态、审计状态、漏洞数据、基线数据、补丁数据、告警数据安全级别进行统一管控;对应具体的资产及应用,平台提供资产安全分析、时间轴分析及资产安全报告功能。
(3)组件集中管理:组织架构统一管理,安全组件统一认证,云平台用户可通过控制台单点登录安全专区平台及所有安全组件。安全组件集中授权,集中监控、集中管理。从安全管理中心可管理所有安全组件。
(4)资产管理:可识别租户用户资产,可对资产进行分组管理,结合安全组件数据进行风险分析。
(5)安全漏洞扫描:安全管理中心集成主机漏洞及应用漏洞扫描功能,能够帮助用户高效、全方位的检测出服务环境中的各类脆弱风险,并提供专业、有效的安全分析和修补建议。
(6)安全运营:威胁分析中心对全网资产的安全事件及告警进行分类,至少按照风险等级、事件类型、影响标签、来源、状态等维度来分类。
(7)安全风险分析::汇总全网安全专区实时防御产生的风险数据,为云用户提供集中查询分析、统计溯源、全局监测资产风险项目的管理手段。风险分析覆盖全网主机漏洞、应用漏洞、基线检查、系统补丁、病毒查杀五项详细安全数据,安全管理员可按时间、类别、级别、资产、风险项、修复状态等多维度进行查询及趋势分析。
(8)威胁告警分析:汇总全网安全专区实时防御产生的威胁告警数据,为云用户提供集中查询分析、统计溯源、全局监测网络威胁项目的管理手段。威胁告警数据全面覆盖防火墙/WAF/IPS等网络告警、终端安全EDR系统终端侧告警、日志/数据库审计行为类告警,安全管理员可按时间、类别、级别、资产、威胁告警项、处理状态等多维度进行查询及趋势分析。
(9)安全运维报告:根据用户云环境的安全态势及风险威胁处置数据生成安全运营报告。
云防火墙
天翼云云防火墙整合了防火墙,WEB应用防火墙,入侵检测,网页防篡改、主动和被动漏洞检测、流量攻击防护、防扫描等能力,为用户提供L2-L7层的全面安全防御能力具备以下功能:
(1)支持基于对象、区域和地域维度设置安全访问控制策略,允许或拒绝特定国家或者地区的对象访问内部网络,保障业务重大时期安全可靠性。
(2)具备基于国家/地区的流量管理功能,提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威机构关于“国家/地区的流量管理”产品功能检测报告。
(3)支持对HTTP、HTTPS、FTP、SMB、SMTP、POP3、IMAP协议进行病毒检测和查杀,支持最大16层的压缩文件查杀。
(4)具备勒索软件通信防护功能,提供具备CNAS(中国合格评定国家认可委员会)资质的第三方权威机构关于“勒索软件通信防护”产品功能检测报告。
(5)具备僵尸网络检测功能,可基于僵尸网络检测引擎发现主机的异常外联行为,并提供威胁等级和非法外联次数作为举证。
(6)产品内置Web应用攻击检测引擎,支持文件包含攻击、抵御注入式攻击(包含SQL注入、系统命令注入)、信息泄露攻击、跨站脚本(XSS)、网站扫描、WEBSHELL后门攻击、跨站请求伪造、目录遍历攻击、WEB整站系统漏洞等应用层攻击行为,支持超过3000种Web服务器漏洞特征规则。
(7)支持网站防篡改功能,可防止攻击者非授权修改网站目录文件。
(8)支持网页恶意链接检测功能,有效识别网页盗链/黑链的行为,避免用户网页资源被滥用。
终端安全管理EDR
终端安全管理EDR系统,提供集中管理手段对各客户端系统进行安全事件分析、杀毒、基线核查等功能,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。具备以下功能:
(1)支持全网风险展示,显示当前未处理的勒索病毒数量、暴力破解数量、僵尸网络、WebShell后门数量、高危漏洞及其各自影响的终端数量
(2)支持以安全策略模板方式对指定终端组快速部署安全策略,安全策略模板支持默认模板和自定义模板
(3)支持对安装了指定版本操作系统、特定应用软件、开放了高危端口的风险主机进行统计,具备对风险主机进行漏洞扫描、安装高危软件的主机列表信息统计导出、高危端口一键封堵的能力
(4)可实时监控文件的状态,在文件读、写、执行或者进入主机时主动进行扫描,支持根据用户性能偏好设置高、中、低3种防护级别
(5)提供基于可信鉴定方式的进程防护方式,通过人工智能自学习机制,自动建立信任进程名单,阻断非可信进程的运行并提供配置指引,同时支持通过模板和手动的方式添加信任进程
(6)管理平台界面提供勒索病毒防护专区,提供针对勒索病毒的多维度防护机制
(7)支持监控诱饵文件,诱饵文件可被实时监控,当勒索病毒对该文件进行修改或加密操作时进行拦截
(8)支持对勒索病毒的家族名、病毒名、加密文件后缀名的链接查询,或者通过直接上传加密文件的方式确定勒索病毒类型,如果能解密可以提供必要的解密工具
(9)提供挖矿病毒巡检工具,支持通过内存、进程和启动项来检索病毒相关信息
(10)一键式操作对指定终端/终端组进行合规性检查,包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范,对不合规的检查项提供设置建议,并可视化展示终端的基线合规检查结果
(11)一键式操作对指定终端/终端组进行合规性检查,包括身份鉴别、访问控制、安全审计、 SSH策略检测、入侵防范、恶意代码防范,对不合规的检查项提供设置建议,并可视化展示终端的基线合规检查结果
(12)支持图形化显示业务系统、服务器及流量详情
(13)业务系统详情支持展示流量分布Top5、业务流量排行Top5(发送,接收)、业务访问趋势(发送流速、接收流速和用户数)
堡垒机为用户提供运维审计解决方案,运维人员可通过云堡垒机远程访问云主机,实现统一账号管理、双因子、认证管理、权限管理、审计管理,解决系统账号复用、运维权限混乱、运维过程不透明等问题,具备以下功能:
(1)支持定期变更目标设备真实口令,支持自定义口令变更周期和口令强度。口令变更方式至少支持手动指定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等方式
(2)支持自定义多级审批流程,可设置一级或多级审批人,每级审批流程可以指定通过投票数,用户访问关键设备需相关审批人逐级审批通过才允许访问
(3)支持通过动作流配置提供广泛的应用接入支持,无论被接入的资源如何设计登录动作,通过动作流配置都可以实现单点登陆和审计接入
(4)支持在授权基础上自定义访问审批流程,可设置一级或多级审批人,每级审批可指定通过投票数,需逐级审批通过才可最终发起运维操作
(5)全面支持IPV6,设备自身可以配置IPV6地址供客户端访问,并且支持目标设备配置IPV6地址实现单点登陆和审计
(6)支持紧急运维流程,当运维人员需对目标设备进行紧急运维时,可通过紧急运维流程直接访问目标设备,同时记录为紧急运维工单,便于相关审批人事后对该流程进行确认以及审计员事后查看
(7)支持双人复核登陆,登录时必须经过第二人授权后才能登录,第二人可通过远程授权或同终端授权两种方式实现授权
(8)支持运维审计自查询功能,用户可查看自身的运维审计历史
云日志审计
云日志审计支持从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段。可通过对用户的网络、安全、应用等系统日志进行全面的标准化处理,帮助用户及时发现各种安全威胁、异常行为事件,满足网络安全法对日志数据留存6个月以上的要求。可对安全事件重新定级。能根据统一的安全策略,按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义。同时支持以下功能:
(1)支持拓扑管理,并能够支持拓扑维度展示整体安全、事件分布、告警分布等
(2)系统支持对IP对象的自动发现功能,支持IPv6,对自动发现的设备可以转资产或删除
(3)标准化自动识别系统类型至少达到200种
(4)系统支持从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段
(5)系统支持完全收集采集对象上的日志信息,也支持在安全事件收集引擎上设置过滤条件,可过滤出无关安全事件,满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数,从而减少对网络带宽和数据库存储空间的占用
(6)可通过自定义聚合规则修改日志的聚合归并逻辑规则,提高日志分析效率
(7)支持根据设备类型,按日期展示日志的接入情况,包含不同级别日志数量统计
支持挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系,系统支持GUI方式的关联规则设置功能
(8)支持显示审计事件分类统计列表,根据审计策略名称、审计事件类型、被审计人员、目标设备地址四个维度展现
(9)支持审计对象的定义,包括:审计目标对象、审计行为对象、审计行为执行者对象、审计来源对象、审计时间段对象等
(10)支持预置审计策略模板,包括:Windows主机类审计策略模板、Linux/Unix主机类审计策略模板、防火墙类审计策略模板、扫描器类审计策略模板、IDS/IPS类审计策略模板、防病毒类审计策略模板、数据库系统类审计策略模板、萨班斯审计策略模版、等级保护审计模板等
(11)支持HTTP网页标题、BBS、威胁情报、DGA、搜索关键词的网络会话分类展现
(12)支持DNS、DGA、解码错误、解码失败、解码超时的网络会话分类展现
(13)支持TLS会话、数据库会话、邮件会话、FTP会话、Telnet会话,即时通讯会话的展现