9
天清NIPS定位－弥补防火墙防御能力
定位于防火墙网关前端
Internet
弥补防火墙入侵防御不足
覆盖百兆、千兆应用环境
天清NIPS
防火墙
办公网络
• 天清NIPS定位
– 部署于防火墙外联接口的前端，弥补以防火墙、安全路由器等作为边界网 关时入侵防御能力的不足，同事降低原有网关信息过滤的压力； – 对网络入侵提供阻断和过滤能力， – 提供应用级访问控制，降低原有防火墙访问控制方面压力； – 提供事件库持续的升级服务；
WEB 服务器
N-IPS (USG) Internet “门卫”
安星
天镜
天玥II
“纪检”
IDS
生产网络 安全域控制器
关键业务系统
“巡警”
办公网络
USG
天珣
“督查”
天珣
支撑域－合规
24
为什么WIPS能精确阻断SQL注入
难以防范的SQL注入如何解决： 语法攻击特征虽然千变万化，但天清IPS保护目标相对具体，可以模 拟被保护目标（WEB业务、数据库），实现SQL注入的精确阻断； 攻击过程 千变万化 模拟目标 校验结果
安 全 网 关 / IPS
应 用 监 管 审 计
天玥
泰 合 平 台
泰合SOC
看问题
18
IDS / /

自行驱动/突发事件驱动…… 安全运营阶段→ IT风险集中管理与监控 建体系
天珣
天清IPS USG
定目标
自我认知阶段→ 了解面临的风险（威胁、弱点、价值）
/
促管理
合规管理阶段→ 定义业务内控流程，加强合规管理
天镜、安星定位－脆弱性评估
定位于计算机系统脆弱性评估 WEB业务脆弱性/主机与终端脆弱性 满足大规模部署环境 WEB网站 远程在线检查 服务 漏洞扫描系统 天镜
Internet
安星
办公网络
互联网站
数据库
安星
天镜
终端
Server
• 安星产品定位
– 对WEB网站的脆弱性检测，提供WEB网站漏洞报告、被挂马报告等； – 及时预知WEB网站安全状况，利于安全加固与改造，避免网站漏洞被利 用导致敏感信息被窃取；
CA300
CA500
CA2300
CA2800
CCE-AC
CCE-DM CCE-MS CCE-TM NS2200 NS2800
NS500
NS1500
强 化 威胁管理类 NDP100 NDP200 NDP800 NDP1000 NDP2000 天清 入侵防御系统 风 险 控 安全网关类 USG-300B USG-600 USG-800 USG-2000C USG-3600C 天清汉马 统一安全网关 制 低端 高端
– 部署于WEB服务器前，精确阻断SQL注入、跨站脚本等基于WEB语法构建
的入侵行为，降低WEB网站语法漏洞被利用的风险； – 为入侵过程提供告警，提供入侵事件的分析依据，并实时阻断 – 天清IPS产品性能，可以覆盖100M～1000M环境下的WEB服务器前端。 – 提供事件库持续的升级服务； 未来发展：扩展DDOS\XPATH\SHELLCODE
热产品 VS 威胁的动态性、不确定性
解决 威胁A
28
专业安全厂家的 “热产品”
IDS核心积累与技术应用的延伸 延伸产品类
违规 违规
II 入侵研究 入侵研究 入侵事件 入侵事件 延伸到 延伸到 威胁事件 威胁事件
异常 异常 漏洞 漏洞 入侵 入侵 扫描 扫描
各种信息库
安全工具 安全工具 应用监管 应用监管 威胁管理 威胁管理 安全网关 安全网关
• 目标具体，防御才有效； • 目标明确，防御才明确；
• 目标不同，判断威胁的方式 也不同
– 如果保护目标是：植物
• 怎么检测有害？
– 如果保护目标是：伤口
• 怎么检测有害？
23
纵深防御中，产品目标明确、定位清晰
边界域－控制 W-IPS 互联域－管理
WEB服务器扫描
核心计算域－止损
服务器扫描
“保镖”
支撑网络
数据库
• 天玥网络安全审计定位
– 旁路部署于关键业务路径服务侧，通过设定违规的审计策略匹配业务违规 行为，并进行记录行为过程和阻断，记录的结果可作为事后取证； – 促进业务内控管理效率，确保计算环境域关键业务安全合规运营； – 避免企业IT运营事故与法律风险； – 提供丰富的业务违规审计策略，可细粒度自定义策略匹配违规操作； – 提供高速T级大容量存储，满足电信级应用 未来发展：三层关联，看到结果，知道过程
• 天镜产品定位
– 对企业主机、终端进行扫描，提供可视化的脆弱性评估报告； – 了解企业整体脆弱性状况，便于统一治理与加固； – 指导企业对终端安全状态进行改进，并提供参考依据； 未来发展：扫描器准确度提高，硬件化网站检测系统
17
从安全建设阶段看产品布局
利用各种措施形成闭环
安 全 工 具 服 务
天阗IDS 天镜
基础改进阶段→ 根据资产价值治理控制环境（威胁、弱点）
• 各产品应用定位
• 专业化安全产品发展之路
安全产品总体趋势与发展方向
• 安全目标更具体、产品定位更清晰、防御更有效
– 在不可信的网络世界中，建立纵深防御体系的需要
• 产品融入专业服务，逐渐由“冷”变“热”
– 安全变得简单，安全成为服务，服务成就安全
– 涵盖国内最权威的入侵事件库，支持深度事件自定义； – 基于分级管理的规模部署模式，实现对互联域的全局检测；
– 提供事件库持续的升级服务；
未来发展：安全基线的呈现效果，将事件数量减少
13
其它产品作用
14
天玥定位－业务合规审计
定位于关键业务操作行为审计 天玥网络安全审计 记录/阻断违规行为，事后取证 覆盖百兆、千兆应用环境
– 安全的动态性、不确定性
实时更新 出现 研究特征 明确应对 那就不需要“热产品”所包含的这部分 库信息 如果威胁是确定的、静态不变的 威胁A 和原理 方法
那么“冷产品”就可以解决问题…… 如果，威胁不存在动态性或不确定性 可是，事实并非如此！
安全服务支撑团队
非法入侵者/组织 演变出新 威胁B 躲避防御 而演变
– 提供事件库持续的升级服务；
未来发展：性能提升，跨界组合
8
天清WIPS(NDP)产品定位－WEB业务防御
定位于WEB服务器前端 精确阻断SQL注入/跨站攻击 覆盖百兆、千兆应用环境
NDP2000 NDP1000 NDP200
Internet
WEB 服务器
NDP100
• 天清WIPS(天清IPS NDP系列)产品定位
IDS
生产网络
关键业务系统
USG
天珣
安全域控制器 高端USG＋天珣
天珣
支撑域－合规
5
UTM、IPS的区别
6
IPS市场需求划分与产品应对
网络入侵保护
天清汉马USG覆盖
聚焦 网络 入侵保护需求
服务器入侵保护
B/S服务器 C/S服务器
天清IPS覆盖
聚焦 基于WEB业务 入侵保护需求
保护需求不突出
7
天清汉马USG定位－全面访问控制
– 漏洞研究、威胁研究、法律法规研究的成果，成为产品适应环境的基础 – 产品通过动态信息库的不断更新，完成自我调整，以达到持续安全目的
29
天清IPS：一个“热”产品的背后
客户/其它厂家
CERT CNCERT/CC CVE CNCVE Microsoft
相关软件厂家
开 放 源 代 码
M2S-远程监控
产品管理中心
1
• 各产品应用定位
• 专业化安全产品发展之路
引领安全趋势的产品家族
ZSOC 4ASOC ASOC TSOC MSOC
强 化 风 安全工具类 险 管 理 应用监管类
CCE-BM NS100 NS200
泰合平台
泰合 安全管理平台
软件版
便携版
硬件版
天镜 脆弱性评估系统
天玥 合规性审计系统 天珣 内网安全管理系统 天阗 入侵检测系统
披露信息安全事件
披露漏洞 研究安全的不确定性
研究漏洞机理 研究新攻击特征
信息安全 博士后工作站
找出环境信息的变化的要素和规律
研究攻击躲避机理 设计抗躲避机制/算法
ADLABTM
攻击特征 无法精确定义
P.D.R 一个都不能少
部署目标
• • • 强化风险控制 降低风险 进一步优化风险 控制环境
部署目标决定了IPS、IDS各自的定位
12
天阗IDS定位－威胁态势量化分析
定位于关键威胁路径入侵检测
Internet
分析威胁态势，管理威胁
覆盖百兆、多千兆应用环境
NIDS
办公网络
网关
• 天阗IDS定位
– 旁路部署于互联网关口、威胁传播关键路径，用于分析威胁蔓延态势，定位 威胁，科学指导事件处理，衡量防御体系的效果；
威胁已知，防御目标仍未知？
你知道那杯是有害的吗？ 看得出哪杯有害吗？
• 面对未知目标如何有效？
– 威胁源已知
• 酒精 • 水 • 硫酸
– 但保护目标仍未知
• 哪杯有害？你能判断吗？
– 酒精、水、硫酸？
威胁源已知 防御目标仍未知？
22
目标明确，防御才更有效
你知道那杯是有害的吗？ 看得出哪杯有害吗？
15
天珣定位－终端合规 内网安全
定位于企业终端统一安全管理 策略网关
办公网络 策略服务器
实现终端合规，促进内网安全
满足大规模部署环境
终端安全控制
终端准入控制
桌面合规管理 终端泄密控制