等保三级安全要求之开源软件实现

等保三级安全要求之开源软件实现

十月 24, 2018

等级划分

《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

本文目的主要是调研等保三级的硬件可以使用哪些软件来替换(有些有硬性要求另说),整理一版放在这里,以后的项目中如果有使用到,就不用在一一查找了。

安全管理中心系统

OSSIM

OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。OSSIM由数据收集、监视、检测、审计以及控制台这五个模块构成。这5个模块包含了目前安全领域从事件预防到事件处理一个完整的过程,在目前的安全架构 中,OSSIM是最为完备的。这五个功能模块又被划分为三个层次,分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控,各个层次提供不同功能,共同保证系统的安全运转。

开源堡垒机/运维审计系统

Jumpserver

Jumpserver是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统。支持支持RDP和SSH协议的跳转,支持命令,会话记录,支持资产管理,日志审计;

GateOne

Gateone是一个基于tornado和html5技术的开源web ssh项目,功能很强大, 支持多个账户多个终端窗口连接远程机器, 支持多种认证登陆方式, 支持嵌入到各种web应用,支持多种插件等等。暂不支持windows

Teleport

Teleport是触维软件推出的一款简单易用的堡垒机系统,具有小巧、易用、易于集成的特点,支持RDP和SSH协议的跳转。

麒麟开源堡垒机

麒麟堡垒机全协议支持、网管功能、3A系统功能、动态口令功能、SSL VPN功能、CA证书功能,支持RDP和SSH协议的跳转。

开源入侵检测系统(IDS/IPS)

Snort

Snort是最好的入侵检测系统(IDS)工具。它所需要的是一些在上面运行的硬件以及安装、配置和维护的时间。Snort可以在任何操作系统上运行,包括Windows和Linux。
Snort 一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年 来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支 持,Snort很可能会继续保持其领导地位。
虽然Snort“称霸”这个市场,但也有其他供应商提供类似的免费工具。很多这些入侵检测系统(IDS)供应商(即使不是大多数)结合Snort或其他开源软件的引擎来创建强大的免费入侵检测服务。

Security Onion

Security Onion是用于网络监控和入侵检测的基于Ubuntu的Linux发行版。该镜像可以作为传感器分布在网络中,以监控多个VLAN和子网,这很适用于 VMware和虚拟环境。该配置只能用作IDS,目前不能当作IPS运行。然而,你可以选择把它作为网络和主机入侵检测部署,以及利用Squil、Bro IDS和OSSEC等服务来执行该服务的IDS功能。该工具的wiki信息和文档信息很丰富,漏洞和错误也有记录和审查。虽然Security Onion很强大,但它仍然需要不断发展,当然这需要时间。

OSSEC

OSSEC是一个开源主机入侵检测系统(HIDS),它的功能不只是入侵检测。与大多数开源IDS产品一样,有多种附加模块可以结合该 IDS的核心功能。除了网络入侵检测外,OSSEC客户端能够执行文件完整性监控和rootkit检测,并有实时报警,这些功能都是集中管理,并能根据企 业的需求创建不同政策。OSSEC客户端在大多数操作系统上本地运行,包括Linux各版本、Mac OSX和Windows。它还通过趋势科技的全球支持团队提供商业支持,这是一个非常成熟的产品。

OpenWIPS-NG

OpenWIPS-NG是一个免费的无线IDS / IPS,它依赖于服务器、传感器和接口。它可以在普通硬件上运行。其创建者是Aircrack-NG的开发者,该系统使用Aircrack-NG内置的很 多功能和服务来进行扫描、检测和入侵防御。OpenWIPS-NG是模块化的,允许管理员下载插件来增加功能。其文件并不像某些系统一样详细,但它允许公司在预算紧张的情况下执行WIPS。

Suricata

在所有目前可用的IDS/IPS系统中,Suricata最能够与Snort相抗衡。该系统有一个类似Snort的架构,依赖于像 Snort等的签名,甚至可以使用VRT Snort规则和Snort本身使用的相同的Emerging Threat规则集。Suricata比Snort更新,它将有机会赶超Snort。如果Snort不是你企业的选择,这个免费的工具最适合运行在你的企 业网络中。

Bro IDS

Bro IDS类似于Security Onion,它使用更多IDS规则来确定攻击来源。Bro IDS使用工具组合,曾经它使用基于Snort的签名转换成Bro签名,不过现在不再是如此,现在用户能够为Bro IDS编写自定义签名。该系统有很多详细文档信息,并已有超过15年的历史。

Prelude IDS

从设计的方式来看定位于适应大型网络的需求, 实现了网络探测器、日志分析器、告警信息集中查看分析工具。其网络探测器部分基本上翻版了Snort的功能,完全兼容Snort的规则集。

Firestorm

是一个非常高性能的网络入侵检测系统(NIDS)。目前它仅实现了探测器部分,完全兼容Snort的规则集,但计划包括对分析、报告、远程控制台和实时传感器配置的真正支持。它完全可插拔,因此非常灵活,,可以把告警信息记录到Prelude IDS的管理器, 自称性能上比Snort强很多。

NetSTAT

基于STAT(State Transition Analysis Technique,状态迁移分析技术)描述攻击的研究成果,使用特有的STATL语言描述攻击,攻击描述文本被STATL解释工具转换为C++代码编译进检测引擎来实现检测功能,目前已经发布了STATL语言解释转换工具及一个基本的示例网络探测器部分(很少的几个检测功能例子)。要熟练使用这个IDS工具需要比较强的编程功底,但用此IDS可以实现很复杂的检测功能。

Bro

是一个Vern Paxson实现的实时网络入侵检测软件,于98年对外发布,BSD license,它的最初设计目标是实现一个在100M网络下实时告警、机制与策略分离、高可扩展性的入侵检测及网络监视审计系统。

开源的web应用防火墙

Web应用防火墙提供应用层的安全。从本质上讲,WAF提供全面的web应用安全解决方案,确保数据和Web应用程序是安全的。
Web应用防火墙,适用于跨站点脚本,SQL注入等,可以为Web应用程序提供安全的Web应用程序框架。Web应用防火墙允许您配置规则,通过识别阻止恶意内容。下面给出了10个最流行和广泛使用的开源的Web应用防火墙:

ModSecurity的(Trustwave公司SpiderLabs)

ModSecurity是一个最古老的和广泛使用的开放源码的Web应用程序防火墙能够检测应用层威胁在互联网上,并针对一系列Web应用程序的安全问题提供了安全保障。它提供非病毒的开放来源执照,它可以集成到Apache程序。近日,ModSecurity的发布2.6.0版提供的功能安全浏览API集成,敏感数据的跟踪和数据修改功能。

AQTRONIX WebKnight

AQTRONIX WebKnight是一个开源应用程序专为Web服务器和IIS防火墙,它是通过GNU - 通用公共许可证授权。它提供了缓冲区溢出,目录遍历编码和SQL注入攻击识别/限制功能。

ESAPI WAF

ESAPI WAF是Aspect安全开发的,它被设计为提供保护,而不是在应用层网络层。它是基于Java的WAF提供完整的安全性,从网上攻击。一些解决方案的独特功能包括出站过滤功能,降低信息泄漏。配置驱动的,而不是代码的基础,它使安装方便,只需添加在文本文件中的配置细节。

[WebCastellum

WebCastellum是一个基于Java的Web应用防火墙,可以保护应用程序对跨站脚本,SQL注入,命令注入,参数操纵,它可以轻松地集成到一个基于Java的应用程序。它是基于新技术和提供保护,它可以使用现有的代码。

Binarysec

Binarysec为Apache是​​Web应用程序防火墙软件,它可以保护应用程序免受非法HTTP和阻止可疑的请求以及。它提供保护,防止跨站点脚本,赞扬注射,参数篡改,缓冲区溢出,目录遍历,SQL注入攻击阻塞。这需要不超过10分钟来安装软件,在一台机器上,其用户界面可以管理Apache服务器和许多网站。

Guardian@JUMPERZ.NET

Guardian@JUMPERZ.NET HTTPS / HTTP是一个开源应用层防火墙,HTTP / HTTPS流量评估保护Web应用程序免受外部攻击。Guardian@JUMPERZ.NET立即断开TCP连接,当应用程序来接触与恶意/未经授权的请求。

OpenWAF

Art of defense是一个总部设在旧金山的Web应用程序的安全性提供者上开源OpenWAF的2011年2月启动了一个项目。这也是第一家提供Apache服务器的分布式Web应用防火墙。

Ironbee

Qualys公司创建基于云的开源Web应用程序防火墙 - Ironbee代替了传统的IP数据包检查的HTTP评估数据。它甚至可以跟踪跨站点脚本代码的攻击。Ironbee出版通过Apache许可证版本2,它提供无版权转让。它具有模块化结构,是相当容易使用。

Profense

ZION安全提供了一个开放源码的Web应用防火墙类似ModSecurity的,被称为Profense。Zion所提供的Web应用防火墙本质上是一个7层防火墙(也被称为“代理防火墙”),并检查交通封锁内容。

Smoothwall

Smoothwall提供了强大的网络安全工具来管理电子邮件。开放源码的网页过滤引擎被称为Smoothwall DansGuardian的。它具有灵活的用户规则和一个完全集成的网页过滤和安全组件。更重要的是,它提供了身份验证的网络访问和 traffic blocking。Smoothwall免费防火墙安全加固Linux的GNU操作系统。

X-WAF

X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。

负载均衡

Nginx

工作在网络的7层之上,可以针对http应用做一些分流的策略,比如针对域名、目录结构,它的正则规则比HAProxy更为强大和灵活,这也是它目前广泛流行的主要原因之一,Nginx单凭这点可利用的场合就远多于LVS了。

HAProxy

HAProxy 是一款提供高可用性、负载均衡以及基于TCP(第四层)和HTTP(第七层)应用的代理软件,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。 HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在时下的硬件上,完全可以支持数以万计的 并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中, 同时可以保护你的web服务器不被暴露到网络上。

LVS

LVS 使用Linux内核集群实现一个高性能、高可用的负载均衡服务器,它具有很好的可伸缩性(Scalability)、可靠性(Reliability)和可管理性(Manageability)。抗负载能力强、是工作在网络4层之上仅作分发之用,没有流量的产生,这个特点也决定了它在负载均衡软件里的性能最强的,对内存和cpu资源消耗比较低。

病毒过滤

ClamaV

ClamAV 杀毒是Linux平台最受欢迎的杀毒软件,ClamAV属于免费开源产品,支持多种平台,如:Linux/Unix、MAC OS X、Windows、OpenVMS。ClamAV是基于病毒扫描的命令行工具,但同时也有支持图形界面的ClamTK工具。ClamAV主要用于邮件服务器扫描邮件。它有多种接口从邮件服务器扫描邮件,支持文件格式有如:ZIP、RAR、TAR、GZIP、BZIP2、HTML、DOC、PDF,、SIS CHM、RTF等等。ClamAV有自动的数据库更新器,还可以从共享库中运行。命令行的界面让ClamAV运行流畅。

Avria

另一个Linux下最好的杀毒软件是Avria免费杀毒版,Avria提供可扩展配置,控制你的计算机成为可能。它有一些很强大的特性,例如:简单的脚本安装方式、命令行扫描器、自动更新(产品、引擎、VDF)、自我完整性程序检查等等。

AVG 免费版杀毒

现在有超过10亿用户使用AVG杀毒,同样是Linux机器中不错的杀毒专家,免费版提供的特性比高级版要少。AVG目前还不支持图形界面。提供防病毒和防间谍工具,AVG运行速度很快,占用系统资源很少,支持主流Linux版本如:Debian、Ubuntu、Red hat、Cent OS、FreeBSD等等

VPN

OpenVPN

OpenVPN 是一个基于 OpenSSL 库的应用层 VPN 实现。和传统 VPN 相比,它的优点是简单易用。

参考链接:

https://blog.csdn.net/chinajust/article/details/78663972

http://www.aqniu.com/tools-tech/667.html

http://www.cnnetsec.com/1006.html

https://blog.csdn.net/chengxuyuanyonghu/article/details/60468470

https://klionsec.github.io/2017/09/22/snortpentest/