全流量回溯、数据脱敏与防勒索系统详解

申请免费试用、咨询电话：400-8352-114

 　　全流量回溯威胁研判系统部件

　　能够实时捕获网络中的通讯数据包，并可提取网络元数据，对元数据和通讯数据包可分别独立存储;可根据用户实际需求，配置相应的存储空间，无软件授权限制;系统支持自动提取网络元数据，以及数据包载荷、HTTP body MD5等指标，并支持基于时间、标签、元数据等维度搜索，并且可以在过滤条件下进行二次检索。搜索条件支持与、或、非逻辑表达式，可以自定义展示列，方便对特定元数据进行展示对比。

　　支持其他安全线索的溯源分析，可通过FW、IPS、WAF等安全设备的告警，按照时间、源IP、目的IP、源端口、目的端口等维度进行数据包级的溯源分析;数据回查具备梳理展示访问连接关系功能，连接端点不局限于源目IP、源目端口，能够从网络元数据中任意选择连接端点关系。

　　支持4Gbps吞吐，2U机架式设备，交流双电源，≥4个USB口，≥1个RJ45串口，≥4个GE电口，≥2个SFP+插槽(含模块)，≥2个网络扩展槽，≥2颗CPU，≥32G内存，≥32T机械硬盘，≥480G的SSD系统盘。

　　安全产品质保期三年，服务内容包括：定期升级产品版本、特征库(病毒库)等。

　　数据脱敏

　　1、机架式设备，国产化硬件平台，双电源，≥6个电口，≥2扩展槽位，可按需扩板卡，≥64G内存，≥8T存储空间，脱敏速度≥10GB/h。

　　2、支持包括但不限于：Oracle、DB2、Sql Server、Mysql、PostgreSQL、人大金仓、达梦、Cache等数据脱敏、支持包括但不限于：hive、Hbase、星环TDH、ADS、RDS、巨杉大数据平台脱敏;支持直接读取txt、csv、excel、xml、json文件、DICOM医疗影像等文件类型。

　　3、支持通过时间戳方式进行增量脱敏。支持数据库、文件的增量脱敏，及文件夹类型的定时/实时增量脱敏。

　　4、支持混合类型的敏感数据发现：一个字段多种敏感类型、一个数据单元内包含多种敏感类型。

　　5、支持拥有一定规律的半结构化文本敏感发现，自动发现文本中的相关敏感信息。

　　6、可自定义增加脱敏规则，提供SHA1加密、MD5加密、AES加密、RSA加密、随机映射、固定映射、替换、截断、截取，以及保留、取整、范围内浮动、比例内浮动等各种脱敏算法。

　　7、支持组合脱敏，选择多个敏感类型形成组合，组合内所有敏感类型都存在时才进行脱敏。

　　8、系统自动检测源数据库DDL变动，自动同步变化的对象。

　　9、核心敏感数据可通过黑名单过滤，不脱敏或不迁移到目标端，提供独立管理页面。

　　10、支持在脱敏前对脱敏结果进行预览，确定脱敏效果。

　　11、支持第三方系统调用API脱敏接口对JSON、XML文本进行敏感数据脱敏。

　　12、支持对已设置为数据源的库信息做强阻断性保护，防止操作不当导致的源数据被删除。

　　安全产品质保期三年，服务内容包括：定期升级产品版本、特征库(病毒库)等。

　　防勒索系统

　　1、精确识别保护文档的操作者，防止敏感信息文档被加密，保护终端上文档、服务器上数据库文件。包含管理平台一套，数据库服务器授权≥6套，应用服务器≥6套。

　　2、终端客户端至少支持Windows、CentOS、Linux操作系统，银河麒麟、统信等国产操作系统。

　　3、系统不依赖于特征库识别方式防御勒索病毒攻击，要求基于内核级管控技术原理实现对数据库、文档等防护对象的非法篡改、非法删除、勒索加密等攻击进行防护，实现对已知及未知勒索病毒的防御能力。

　　4、支持智能化添加保护策略，客户端自动采集程序名、程序签名、安全标签，管理中心可一键配置保护策略。

　　5、支持客户端强安全保护模式，启用强安全保护模式后所有未授权软件启动时均被隔离，包括勒索软件、已知勒索病毒、未知勒索病毒、挖矿病毒等恶意攻击程序以及非授权应用运行。

　　6、支持引导区保护模式，通过锁住系统引导区，防止恶意指令或代码修改操作系统系统引导区。

　　7、支持诱饵文件对勒索病毒的诱捕，精确识别勒索病毒，并记录受影响的设备名、IP地址、进程名、访问时间等。

　　8、支持信任应用保护策略，信任验证机制至少通过识别程序名、程序签名及安全标签(程序哈希值)三种方式对应用进行保护。

　　9、支持根据独立文件名、后缀和目录提供应用数据文件保护配置;通过目录保护的方式实现关键应用的运行保护。

　　10、支持挖矿病毒防护，通过匹配挖矿病毒程序运行、矿池链接规则，对恶意挖矿行为进行告警。

　　11、支持资产访问可视化分析，可描绘进程访问资产关系图，分析恶意进程运行方式，及监控恶意进程主机入侵生命周期。

　　安全产品质保期三年，服务内容包括：定期升级产品版本、特征库(病毒库)等。