启明星辰信息安全实验室建设方案

启明星辰信息安全实验室建设方案内容摘要：

全操作系统）面向网络处理和安全处理的要求，集中主要资源用于网络处理和安全处理，使系统具有极强的实时处理、网络吞吐和安全防护能力。 天清汉马 USG 防火墙为客户提供前瞻的安全能力，在业界率先通过了 IPv6 Ready Phase II 认证，支持 IPv6 环境下的状态包过滤、静态路由、 OSPF 动态路由、 FTP、 ALG 等基本安全控制，支持 IPv6/v4 双协议栈部署，为用户提供过渡网络的安全解决方案。 主要功能  智能内容过滤 169。 启明星辰 第 页 共 47 页 14 内容分析子系统要充分 发挥当前处理器所具备的多核能力。 一个大的原则就是数据交换过程中尽量避免核间和核内的临界锁以及字符串拷贝，所以数据的生产者和消费者应该使用一个大的缓冲区来交换数据。 传统的做法就是把这个缓冲区变成一个环形队列，捕包程序和协议栈程序分别持有一个写指针和读指针，只要两个指针不互相超越就可以。 在协议栈单线程的情况下这种方法没有问题，但是在多核以及 SMP 情况下，为了充分发挥硬件的计算能力，必须把内容分析过滤子系统多线程化（并行化）。 但是上述数据交换方式在内容分析多线程的情况下就出现了问题。 当协议栈多线程的时候，必须使 用专门的线程实现捕包程序捕获的数据包的分发，也就是把数据包分发到相应的线程进行处理。 这样问题也就出现了：那个环形缓冲区的读指针不再正确。 这是因为，为了避免拷贝操作，分发线程并没有将捕包程序捕获的数据进行拷贝以后再分发，而是直接对其指针进行操作，在这种情况下，分发程序是不知道协议栈什么时候能够分析完成并释放缓冲区的，因而分发程序不可以直接简单增加环形队列的读指针来申明当前缓冲区以消费完成，可以写入新的数据。 又由于协议栈分析时多线程同时进行，没有办法确定每一数据包分析完成的时间，这样很难确定环形缓冲区的读指针了。 为此，天清汉马 USG 防火墙 采用了如下的解决方法：依然遵循数据交换的大原则，依然采用大的缓冲区来交换数据，但是对缓冲区的形式作一个变换。 最初定义的是直接在缓冲区上定义读写指针将缓冲区当成环形队列使用，现在不同是缓冲区不再是一个环形队列，而被分成了独立的两部分：空闲缓冲区队列和已使用缓冲区队列。 注意这里提到的两个缓冲区不是具体的数据缓冲区，而是保存数据缓冲区数据单元指针的指针列表。 捕包程序在捕获一个数据包之前，从空闲缓冲区队列的头部取下一个空的存储单元（为了提高访问速度，采用内存边界对齐的数据单元，比如说 2k 字节一个单元），将从网卡读入的数据拷贝到这个缓冲区以后，捕包程序将这个缓冲单元挂到已使用缓冲队列的尾部。 分析线程在从缓冲区取数据的时候从已使用缓冲队列的头部取下一个数据单元进行消费，消费完成以后直接将这个数据单元挂到待发送缓冲区队列就可以了，这样既避免的锁定，也避免了内存拷贝。 而且可以充分利用缓冲区的空间。 上述过程构成了本方案的多目标分发机制。 169。 启明星辰 第 页 共 47 页 15  一体化引擎设计 同传统防火墙不同，天清汉马 USG 防火墙涵盖了防火墙、 VPN、 入侵检测、防病毒 等多种安全能力，因此在软件中也 包含 了 多项的分析处理引擎。 如何融合 这些 分析处理引擎， 降低 关键业务单元 的 性能消耗成为软件结构设计首要考虑的问题。 启明星辰在天清汉马 USG 防火墙 的软件结构设计上引入了一体化的设计理念。 即将入侵检测、防病毒、防垃圾邮件、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。 普通叠加式 UTM 采用叠加式分析处理引擎 因为模式匹配是分析处理引擎的关键性能消耗单元，因此，分析处理引擎的一体化首先是模式匹配单元的融合。 对于不同的功能模块，模式匹配是基于不同特征库的，因此模式匹配的融合主要是特征库的统一。  非法连接过滤 将系统获 取的网络数据按标准的以太数据结构、 IP 数据结构、 TCP/UDP 数据结构，并进行 TCP 的会话查找，每条会话相对应源和目的 MAC 地址、源和目的 IP 地址、源和目的端口地址、连接次数等。 将上述所获的网络连接信息放入网络连接知识库中，该缓冲区按照索引标识、源和目的地址进行合并存放，即相同的源和目的地址将该连接的发生次数进行累计计算。 当某一连接被释放，主动要求释放连接的一端发送 TCP FIN 数据包，监视整个连接的释放过程，如释放正常完成，在知识库中找到相对应的 TCP 会话，将连接发生的次数减 1。 这样可以始终保证知识库 中存放的是发生频率最高的连169。 启明星辰 第 页 共 47 页 16 接。 该算法会以 1 秒钟为单位时间，进行流量的统计，如果上 1 秒钟的流量大于事先约定的阀值，那么立即进入流量识别模式，如果连接请求可以在知识库搜索到，则直接放行，并记录放行的数据包数，否则以上 1 秒钟的流量作为样本，计算放行的概率。 作为拒绝服务攻击的主要手段 SYN Flood 攻击效果尤为显著，通常 SYN Flood 的防范方式为应用 SYN Cookie 机制。 它的原理是 :在 TCP 服务器收到 TCP SYN 包时，不分配一个专门的数据区，而是根据这个 SYN 包计算出一个 cookie值，并加载在所回 应的 SYN/ACK 包中，在收到 TCP ACK 包时， TCP 服务器在根据那个 cookie 值检查这个 TCP ACK 包的合法性。 如果合法，再分配专门的数据区进行处理未来的 TCP 连接。 入侵检测系统 产品综述 天阗入侵检测系统 是启明星辰自主研发的 新一代威胁检测、分析与管理产品 ，该 产品 在总结 传统入侵检测产品 （包括：入侵检测系统、异常流量监测设备、病毒类检测设备等）不足的基础上，结合大量用户（尤其是行业用户，如政府、金融、军队、能源、教育、媒体等）的实际使用效果和反馈，进行了大规模的改进和创新，在保证全面威胁检测的同时， 强调用户使用的体验，实用、易用、在检测威胁的同时方便用户对威胁进行有效分析和处理、实现对威胁的闭环处理、降低 使 用人员的使用难度、降低实用人员的使用成本、提高使用人员的工作效率是本品的特色。 主要功能  全面威胁检测 天阗入侵检测系统 对于病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、 DDoS、扫描探测、欺骗劫持、 SQL 注入、 XSS、网站挂马、异常流量等恶性攻击行169。 启明星辰 第 页 共 47 页 17 为有非常准确高效的检测效果，并通过简单易懂的去技术化语言帮助用户分析威胁，对威胁进行有效处理。  智能威胁分析 天阗入侵检测系统 内置的智能分析引擎能够对 上报的事件进行关联分析，识别出重要报警，提醒用户关注，同时，对不重要的报警进行智能过滤，解决了传统监控设备（如 IDS）大量报警导致对威胁分析和处理 难 的问题。 此外，分析报表采用对比分析的方法，让使用者对近期的安全状况一目了然，不再需要使用者在海量的日志数据中进行人工分析，减轻了使用者的工作量和难度，提 高 使用者的工作效率。 169。 启明星辰 第 页 共 47 页 18  简单威胁管理 天阗入侵检测系统 强调使用的简单，主要是指对威胁管理的简单。 威胁管理涉及到：威胁发现、威胁展示、威胁分析、威胁处理这四个部分，这四个部分组成了闭环的威胁管理。 天阗入侵检测系统 采用全面的检测技术保证威胁发现 的准确 性 ；采用多维度图 、 表 、数据 结合的方法保证威胁展示的简单 性 、充分 性； 同时通过智能分析过滤的方法过滤掉无需关注的事件，保证威胁展示的质量；采用去技术化的向导帮助使用者对威胁进行分析和处理，此外，自动处理的机制也最大程度地降低了使用者的维护工作量。 漏洞 扫描 系统 产品 综述 天镜遵循启明星辰在总结多年市场经验和客户需求基础上提出的“发现 — 扫描 — 定性 — 修复 — 审核”的安全体系构建法则，综合运用多种国际最新的漏洞扫描与检测技术，能够快速发现网络资产，准确识别资产属性、全面扫描安 全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而帮助用户在弱点全面评估的基础上实现安全自主掌控。 169。 启明星辰 第 页 共 47 页 19 产品系统结构 天镜基于安全的 Web 方式（ HTTPS： HTTP + SSL）进行管理和控制。 天镜的主要系统结构以及系统各模块与用户、硬件平台的交互关系如下图所示： 169。 启明星辰 第 页 共 47 页 20 产品主要特点 以启明星辰积极防御实验室（ ADLABTM）为依托 ADLABTM 成立于 1999 年，是国内规模最大、成立最早的网络安全攻防实169。 启明星辰 第 页 共 47 页 21 验室，也是启明星辰核心专业技术队伍之一。 截止 2020 年 6 月， ADLABTM 共通过国际漏洞公布组织（ CVE）发布了 86 个安全漏洞，遥遥领先于国内其他安全研究机构。 ADLABTM 专注于网络安全深层攻防技术和信息安全技术的研究，其漏洞研究成果积累和前瞻性的漏洞跟踪能力，为天镜产品的持续发展提供了核心动力，保证了天镜产品漏洞库的全面性、准确性、权威性和更新的及时性，能够对网络安全突发事件进行应急。 对微软漏洞的持续跟进和检查能力 启明星辰是国内唯一的被授权查看微软原代码的漏洞扫描产品厂商；并与微软建立 MAPP（ Microsoft Active Protections Program）合作伙伴关系。 保持与国际、国内标准的统一 天镜是国内第一个获得 CVE1兼容性认证（ CVECompatible）的漏洞扫描产品，标志天镜产品的技术实力和研发成果 得到了国际权威组织的充分认可。 2020年，天镜产品又引入 CVSS2标准，使得天镜产品在漏洞评价上更加客观并方便交流，与国际标准进一步接轨。 2020 年，天镜产品兼容中国国家信息安全漏洞库（ CNNVD），是国内第一家支持国家漏洞库的扫描器产品厂商。 获得国内权威机构认证 天镜已获得了公安部颁发的《计算机信息系统安全专用产品销售许可证》（增强型）、中国 信息安全测评中心颁发的《信息技术产品安全测评证书》（ EAL3）、中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》、国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》以及中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》，标志着天镜产品已获得国内各权威机构的认可，各行业的用户均可放心选用。 经过多年市场验证的成熟产品 “天镜”漏洞扫描类产品自 2020 年推出以来，已经在政府、金融、电信、军队、教育、企业、能源等各个行业得到了成功应用，获得了最广泛的用户认可。 得益 于天镜广泛的用户群，天镜产品在不断接受用户反馈和需求研究的基础上， 1 Common Vulnerabilities and Exposures，国际漏洞公布组织，网站： 2 Common Vulnerability Scoring System，是由 FIRST 维护的一个开放、免费的标准，它提供了一个统一的、开放式、标准化的 IT 安全漏洞评分方法，方便关注漏洞特性和评价的个人和组织进行有效沟通，网站： 169。 启明星辰 第 页 共 47 页 22 得到了长足的发展，这种积累也使得天镜在同类产品中一直处于市场和技术的领先位置。 169。 启明星辰 第 页 共 47 页 23 主要 功能 资产发现与管理 天镜能够通过综合运用多种手段（主机存活探测，智能端口检测，操作系统指纹识别等）全面、快速、准确的发现被扫描网络中的存活主机，准确识别其属性，包括主机名称、设备类型、端口情况、操作系统以及开放的服务等，为进一步脆弱性扫描做好准备。 同时，天镜的资产管理功能能够为用户管理被扫。