什麼是套用安全監測系統
套用安全監測系統定義
ASM功能:
1). 全網流量統計與對比分析
持續統計並保存全網流量、最高流量、平均流量等。根據需要查看當前和歷史統計數據。
2). 套用系統流量監測
針對關鍵套用系統進行流量重點監測。包括流量累計、流量階躍、連線數、連線持續時間和訪問數五大類監測項目。
3). 套用系統網路行為監測
針對關鍵套用系統進行網路行為重點監測。包括資料庫操作行為監測和指定協定操作行為監測兩大類。
4). 異常行為追蹤審計
針對可疑或異常的網路行為,系統對其進行解析、重現和記錄,形成
安全審計,供取證和備查。記錄並重現資料庫訪問、郵件傳送接收、檔案傳輸以及WEB訪問等網路行為。
5). 報警和處理
針對異常流量和異常網路行為,系統產生報警,並提供報警的審核、歸類、處理和記錄工具。緊急情況下的報警,系統通過郵件和簡訊實時傳送給管理員。
通過擴展入侵監測模組,系統可以根據策略庫對網路上的數據模式和行為模式進行實時報警;通過與“基礎信息庫”和“終端管理系統”等聯動處理,進行節點定位、連線阻斷、控制可疑主機等高級功能。
傳統的流量分析產品
Topwalk-ASM與當前市場上的流量分析產品不一樣,主要區別在於Topwalk-ASM是專注套用安全的,而其他流量分析產品定位為網路安全。具體的區別如下:
a)採用的技術不一樣,ASM採用的是
連線埠鏡像技術(SPAN),該技術可以收集網路上2-7層數據信息,而其他廠家採用的是
netflow、netscream、
sflow、snmp等技術採集信息,上述技術採集的多為2-4層信息,無法做套用層的分析,無法實現對業務安全的監測。
b)ASM關注的是業務系統的安全性問題,而其他產品關注的是網路上的安全問題,如網路中是否有DDOS攻擊、FLOOD工具、P2P大量下載、蠕蟲攻擊等問題,關注點不一樣導致產品的用途不一樣。
c)ASM收集信息來源於
三層交換機的鏡像連線埠,而其他產品多數採集信息來自
路由器設備,且需要支持專門的技術如(netflow),對
網路設備有要求。相比之下,ASM有更好的適用性。
d)其他產品只分析
數據包包頭信息,很少對數據包的內容進行聚合分析,而ASM不僅分析包頭,更能用先進的數據挖掘技術和
協定分析技術對內容進行深入分析。
e)ASM產品關注的是業務對象,而不是其他流量產品的網路對象。通過特有的技術將網路對象和業務系統進行映射實現業務系統的定義和監控。
套用安全監測系統的典型套用
ASM應當掛接在所有關注流量都必須流經的鏈路上。在這裡,“所關注流量”指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路
報文。在交換式網路中的位置一般選擇伺服器區域的
交換機上或重點保護網段的
區域網路交換機上。基本部署方式如下:
實際套用中,根據用戶使用需求不同,ASM設備可部署於不同的節點位置:
l 如需對網路內部所有用戶的外網訪問行為以及伺服器的對外提供服務情況進行監控,可將ASM部署在網路出口處的防火牆設備鏡像連線埠上,以此對所有網路出口流量進行監控分析;
l 如需對內部網路中套用系統的服務情況進行監控,可將ASM部署在伺服器區前端的交換機鏡像連線埠上,對所有外部用戶與伺服器之間的數據通信進行監控分析;
l 如需對內部網路所有用戶以及伺服器的數據訪問行為進行監控,可將ASM部署在內部網路
核心交換機鏡像連線埠上,實現對所有內外網網路通信的監控分析。
部署ASM後起到的作用有:
● 監測核心資源系統的
頻寬使用情況。通過ASM設備的流量識別,對套用系統的流量信息進行分類歸併,使流量頻寬使用情況一目了然。
● 通過對核心資源系統進行持續性訪問統計和對比分析,描繪出核心資源系統的正常流量輪廓,快速發現流量異常變化情況。其中包括:各業務套用的流量細節;連線數、吞吐量、連線時間等按客戶端節點排名情況;各業務套用系統的協定分布、節點分布、時間分布等。
● 通過對網路訪問行為進行針對性監測,及時發現網路中的對核心資源庫的異常訪問和攻擊行為,確保針對業務系統的網路使用和訪問操作的合規性。如針對資料庫操作、WEB訪問、檔案傳輸等行為進行檢測。
● 追蹤和記錄異常網路行為,提供報警處理、報表等功能,對異常事件進行深入分析。如異常數據操作的時間、節點位置、負責人等情況的追蹤和報警,當月套用系統的總體運行情況報告和健康狀況評估報告等。
產品特點
1.高性能
具有海量事件處理和存儲的能力。高端設備可實時處理1.4Gbps的流量,能夠線上存儲2.5T事件記錄
2.節省IT投入
ASM能夠實行7*24小時的實時監測,自動分析各種套用安全異常情況。通過該智慧型的功能減少了人員方面的投入,節省了IT的安全投入成本
3.低擁有成本
得益於對
數據存儲算法進行了充分最佳化,使用內置的小型資料庫滿足處理需求。用戶在使用ASM時,無需購買額外的
資料庫管理系統和許可,也不必花費專門的精力去維護資料庫,大大降低了用戶的總擁有成本。
4.零風險部署
ASM可在不改變現有的網路體系結構(包括:
路由器、
防火牆、套用層
負載均衡設備、套用伺服器等)的情況下快速部署,不影響現有的業務套用系統,無法造成單點故障,實現零風險部署。
5.完備的自身安全
物理保護:關鍵部件採用
冗餘配置(如:
冗餘電源、內置硬碟RAID等)。
系統故障保護:內置監測模組準實時地監測設備自身的健康狀況。
不丟包:基於
硬體加速的接口卡,在高速環境下實現100%數據包捕獲。
6.全方位、細粒度監測分析
實時監測來自各個層面的所有網路行為,包括資料庫操作、WEB操作、FTP操作、連線埠操作;提供對潛在危險活動(如:數據盜取、批量查詢等)的快速檢測分析;其中資料庫可精細到表、欄位、記錄內容的細粒度監測策略,實現對敏感信息的精細監控.
從
安全隔離網閘、
邊界接入平台、到ASM都是為了提高用戶的業務安全,保障業務系統高效、安全、穩定的運行。ASM繼承
網閘、接入平台產品積累的良好口碑,為各行業用戶提供更好的套用服務。