網(wǎng)絡(luò)信息安全加固方案
發(fā)布時(shí)間:2020-07-26 來(lái)源: 演講稿 點(diǎn)擊:
X XXXX 業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)信息安全加固項(xiàng)目案例介紹
一、 概述 隨著信息化技術(shù)的深入和互聯(lián)網(wǎng)的迅速發(fā)展,整個(gè)世界正在迅速地融為一體,IT 系統(tǒng)已經(jīng)成為 XXX 整合、共享內(nèi)部資源的核心平臺(tái),同時(shí),隨著 XXX 經(jīng)營(yíng)理念的不斷深化,利用各種各樣的業(yè)務(wù)平臺(tái)來(lái)為 XXX 提供更多的增值業(yè)務(wù)服務(wù)的情況越來(lái)越多,因此 IT 系統(tǒng)及各種各樣的業(yè)務(wù)平臺(tái)在 XXX 系統(tǒng)內(nèi)的地位越來(lái)越重要,更為 XXX 提供的新業(yè)務(wù)利潤(rùn)增長(zhǎng)做出了不可磨滅的貢獻(xiàn)。
伴隨著網(wǎng)絡(luò)的發(fā)展,也產(chǎn)生了各種各樣的安全風(fēng)險(xiǎn)和威脅,網(wǎng)絡(luò)中蠕蟲(chóng)、病毒及垃圾郵件肆意泛濫,木馬無(wú)孔不入,DDOS 攻擊越來(lái)越常見(jiàn)、WEB 應(yīng)用安全事件層出不窮、,黑客攻擊行為幾乎每時(shí)每刻都在發(fā)生,而伴隨著上級(jí)主管部門對(duì)于信息安全的重視及審查工作愈加深化,所有這些風(fēng)險(xiǎn)防范及安全審查工作極大的困擾著 XXX 運(yùn)維人員,能否及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)黑客的入侵,有效地檢測(cè)出網(wǎng)絡(luò)中的異常流量,并同時(shí)在“事前”、“事中”及“事后”都能主動(dòng)協(xié)助 XXX 完成自身信息安全體系的建設(shè)以及滿足上級(jí)部門審查規(guī)范,已成為 XXX運(yùn)維人員所面臨的一個(gè)重要問(wèn)題。
本方案針對(duì) XXXX 公司業(yè)務(wù)平臺(tái)的安全現(xiàn)狀進(jìn)行分析,并依據(jù)我公司安全體系建設(shè)的總體思路來(lái)指導(dǎo)業(yè)務(wù)平臺(tái)信息安全體系建設(shè)解決方案的制作,從安全技術(shù)體系建設(shè)的角度給出詳細(xì)的產(chǎn)品及服務(wù)解決方案。
二、 網(wǎng)絡(luò)現(xiàn)狀及風(fēng)險(xiǎn)分析 2.1 網(wǎng)絡(luò)現(xiàn)狀
業(yè)務(wù)平臺(tái)拓?fù)鋱D XXXX 公司業(yè)務(wù)平臺(tái)網(wǎng)絡(luò)共有包括 XXX、 XXX、 XXX 平臺(tái)等四十余個(gè)業(yè)務(wù)系統(tǒng),(因涉及客戶信息,整體網(wǎng)絡(luò)架構(gòu)詳述略)業(yè)務(wù)平臺(tái)內(nèi)部根據(jù)業(yè)務(wù)種類的不同,分別部署有數(shù)據(jù)庫(kù)、報(bào)表、日志等相應(yīng)業(yè)務(wù)系統(tǒng)服務(wù)器。
2.2 風(fēng)險(xiǎn)及威脅分析
根據(jù)上述網(wǎng)絡(luò)架構(gòu)進(jìn)行分析,我們認(rèn)為該業(yè)務(wù)平臺(tái)存在如下安全隱患:
1. 隨著攻擊者知識(shí)的日趨成熟,攻擊工具與手法的日趨復(fù)雜多樣,單純 XX 的已經(jīng)無(wú)法滿足信息安全防護(hù)的需要,部署了×XX 的安全保障體系仍需要進(jìn)一步完善,防火墻系統(tǒng)的不足主要有以下幾個(gè)方面(略)
2. 當(dāng)前網(wǎng)絡(luò)不具備針對(duì) X 攻擊專項(xiàng)的檢測(cè)及防護(hù)能力。(略)
3. 對(duì)正常網(wǎng)絡(luò)訪問(wèn)行為導(dǎo)致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為等方面難以實(shí)現(xiàn)針對(duì)內(nèi)容、行為的監(jiān)控管理及安全事件的追查取證。
4. 當(dāng)前 XX 業(yè)務(wù)平臺(tái)仍缺乏針對(duì)網(wǎng)絡(luò)內(nèi)容及已經(jīng)授權(quán)的正常內(nèi)部網(wǎng)絡(luò)訪問(wèn)行為的有效監(jiān)控技術(shù)手段,因此對(duì)正常網(wǎng)絡(luò)訪問(wèn)行為導(dǎo)致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為等方面難以實(shí)現(xiàn)針對(duì)內(nèi)容、行為的監(jiān)控管理及安全事件的追查取證。
5. 隨著 XX 業(yè)務(wù)平臺(tái)自有門戶網(wǎng)站的建設(shè),Web 應(yīng)用已經(jīng)為最普遍的信息展示和業(yè)務(wù)管理的接入方式和技術(shù)手段,正因?yàn)榭涨暗牧餍,致?75%以上的攻擊都瞄準(zhǔn)了網(wǎng)站 Web 應(yīng)用。這些攻擊可能導(dǎo)致 XXX 遭受聲譽(yù)和經(jīng)濟(jì)損失,可能造成惡劣的社會(huì)影響。當(dāng)前增值業(yè)務(wù)平臺(tái)主要面對(duì)如下 WEB 應(yīng)用方面的風(fēng)險(xiǎn)和威脅:
1) 防火墻在阻止 Web 應(yīng)用攻擊時(shí)能力不足,無(wú)法檢測(cè)及阻斷隱藏在正常訪問(wèn)流量?jī)?nèi)的 WEB 應(yīng)用層攻擊; 2) 對(duì)于已經(jīng)上線運(yùn)行的網(wǎng)站,用簡(jiǎn)單的方法修補(bǔ)漏洞需要付出過(guò)高的代價(jià); 3) 面對(duì)集團(tuán)對(duì)于 WEB 應(yīng)用安全方面的的“合規(guī)檢查”的壓力。
6. 隨著信息安全的發(fā)展,XXXX 集團(tuán)在信息安全領(lǐng)域的管理制度也愈加規(guī)范和細(xì)化,在網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等多方面提出了相應(yīng)的安全要求、檢查細(xì)項(xiàng)及考核辦法,并已將信息安全工作納入到日常運(yùn)維工作中去。在近期發(fā)布的《XXXXX 平臺(tái)安全管理辦法(試行)》、《XXXX 新建業(yè)務(wù)平臺(tái)安全驗(yàn)收指引(試行)》等管理規(guī)范中,明確說(shuō)明了增值業(yè)務(wù)平臺(tái)需要建設(shè) XXXX 系統(tǒng)、XXXX 系統(tǒng)對(duì)業(yè)務(wù)平臺(tái)網(wǎng)絡(luò)邊界進(jìn)行防護(hù),另外亦需要對(duì)系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、WEB 應(yīng)用等方面提供安全防護(hù)。由此可見(jiàn),業(yè)務(wù)平臺(tái)當(dāng)前缺乏相應(yīng)的整體的安全監(jiān)測(cè)及防護(hù)手段,無(wú)法滿足上級(jí)主管部門的管理要求。
2.3 信息安全形勢(shì)分析
1. 系統(tǒng)漏洞仍舊是 XXX 網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)之一。據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄的漏洞統(tǒng)計(jì),2011 年發(fā)現(xiàn)涉及電信運(yùn)營(yíng)企業(yè)網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)等)的漏洞 203 個(gè),其中高危漏洞 73 個(gè);發(fā)現(xiàn)直接面向公眾服務(wù)的零日 DNS 漏洞23 個(gè), 應(yīng)用廣泛的域名解析服務(wù)器軟件 Bind9 漏洞 7 個(gè)。
2. 拒絕服務(wù)攻擊對(duì) XXX 業(yè)務(wù)運(yùn)營(yíng)造成較大損害及破壞企業(yè)形象,2011 年發(fā)生的分布式拒絕服務(wù)攻擊(DDoS)事件中平均約有 7%的事件涉及到基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的域名系統(tǒng)或服務(wù)。
?
2011 年 7 月域名注冊(cè)服務(wù)機(jī)構(gòu) XXXX 的 DNS 服務(wù)器遭受 DDoS 攻擊,導(dǎo)致其負(fù)責(zé)解析的域名在部分地區(qū)無(wú)法解析。
?
2011 年 8 月,某 XXXDNS 服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊,造成局部用戶無(wú)法正常使用互聯(lián)網(wǎng)。
3. 網(wǎng)站安全事件層出不窮,黑客利用 SQL 注入、XSS 腳本攻擊等工具和技術(shù)手段進(jìn)行網(wǎng)頁(yè)篡改及信息竊取以非法獲利,造成較大社會(huì)影響。在 CNCERT 接收的網(wǎng)絡(luò)安全事件(不含漏洞)中,網(wǎng)站安全類事件占到 61.7%;境內(nèi)被篡改網(wǎng)站數(shù)量為 36612 個(gè),較2010 年增加 5.1%;4 月-12 月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為 12513 個(gè)。
4. 受控僵尸主機(jī)數(shù)目有增無(wú)減,黑客利用受控主機(jī)進(jìn)行信息竊取、跳板類攻擊等現(xiàn)象逐步增多。據(jù)抽樣檢測(cè)表明,2011 年境外有近 4.7 萬(wàn)個(gè) IP 地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國(guó)境內(nèi)主機(jī),其控制的境內(nèi)主機(jī)數(shù)量由 2010 年的近 500 萬(wàn)增加至近 890 萬(wàn),呈現(xiàn)大規(guī);瘮U(kuò)散趨勢(shì)。
2.4 XXX 安全事件 1. 系統(tǒng)及主機(jī)漏洞利用類:
? XX 網(wǎng)相冊(cè)漏洞利用:X 網(wǎng)相冊(cè)存在上傳漏洞,被國(guó)家安全人員上傳惡意文件獲取系統(tǒng) root 權(quán)限,該事件曾上報(bào)至副總理及政治局常委處,影響程度深、影響范圍廣; ? 充值系統(tǒng)漏洞利用:某黑客組織利用 XXX 充值卡系統(tǒng)漏洞,使用網(wǎng)絡(luò)滲透手段、黑客工具等方法計(jì)算出充值卡號(hào)進(jìn)行出售,造成未售出的充值卡已被充值
使用或手機(jī)免費(fèi)充值的情況; ? 話費(fèi)系統(tǒng)漏洞利用:利用系統(tǒng)漏洞入侵話費(fèi)系統(tǒng),篡改話費(fèi)信息; ? 網(wǎng)廳、積分商城 WEB 應(yīng)用漏洞攻擊:利用網(wǎng)站漏洞入侵 XXX 網(wǎng)站,獲取客戶信息、冒充客戶進(jìn)行業(yè)務(wù)訂閱或修改客戶積分,達(dá)到非法獲利的目的。
2. 木馬及病毒傳播類:內(nèi)部辦公主機(jī)被控:某 XXX 被發(fā)現(xiàn)其內(nèi)部計(jì)算機(jī)被境外人員通過(guò)木馬方式控制,同時(shí)該計(jì)算機(jī)向內(nèi)部網(wǎng)絡(luò)擴(kuò)散蠕蟲(chóng)病毒,可竊取計(jì)算機(jī)硬盤文件、重要賬號(hào)等關(guān)鍵數(shù)據(jù)。
3. 網(wǎng)頁(yè)篡改類:XXXX 網(wǎng)站曾多次發(fā)現(xiàn)主頁(yè)被篡改,植入廣告及其他惡意內(nèi)容,使其變成非法信息傳播的平臺(tái),影響企業(yè)形象,并對(duì)業(yè)務(wù)平臺(tái)運(yùn)行帶來(lái)安全隱患。
4. 分布式拒絕服務(wù)(DDoS)攻擊類:XX 網(wǎng)站曾發(fā)現(xiàn)遭受 DDoS 拒絕服務(wù)攻擊,造成其視頻業(yè)務(wù)受損,客戶反響強(qiáng)烈。
三、 安全解決方案 隨著 XX 業(yè)務(wù)平臺(tái)提供的服務(wù)不斷增加,IT 架構(gòu)與系統(tǒng)也變得更復(fù)雜,安全體系也應(yīng)隨需而變。在多年不斷研究和實(shí)踐的基礎(chǔ)上,我們提出了全新的安全體系框架。
安全體系為安全戰(zhàn)略服務(wù),我們?cè)O(shè)計(jì)的安全體系包含安全組織體系、安全管理體系、安全技術(shù)體系。
? 在安全組織體系中,要建立組織、明確職責(zé)、提高人員安全技能、重視雇用期間的
安全、要與績(jī)效結(jié)合; ? 在安全管理體系中,以安全策略為主線,落實(shí)安全制度和流程,對(duì)記錄存檔。我們從最佳安全實(shí)踐出發(fā),將安全管理體系中的過(guò)程動(dòng)態(tài)化、持續(xù)化,包含風(fēng)險(xiǎn)評(píng)估程序、安全工作計(jì)劃、安全項(xiàng)目管理、運(yùn)行維護(hù)監(jiān)控、安全審計(jì)程序、持續(xù)改進(jìn)計(jì)劃等,真正與 XXX 增值業(yè)務(wù)平臺(tái)安全建設(shè)和安全保障過(guò)程結(jié)合起來(lái); ? 在安全技術(shù)體系中,將多種安全技術(shù)相結(jié)合,包含準(zhǔn)備、預(yù)防、檢測(cè)、保護(hù)、響應(yīng)、監(jiān)控、評(píng)價(jià)等。面對(duì)不斷出現(xiàn)的新興威脅,需要多種安全技術(shù)的協(xié)調(diào)與融合。
安全體系像是企業(yè)/組織的免疫系統(tǒng),體系的不斷完善、組織/人員的盡職盡責(zé)、全員的風(fēng)險(xiǎn)預(yù)警意識(shí),才能真正做到主動(dòng)管理風(fēng)險(xiǎn)。
針對(duì)業(yè)務(wù)平臺(tái)存在的種種安全風(fēng)險(xiǎn)及威脅的現(xiàn)狀,我們提出如下解決方案:
? 從安全技術(shù)體系角度出發(fā),建立起運(yùn)維審計(jì)管理體系和安全檢測(cè)及防護(hù)體系,利用“預(yù)警、檢測(cè)、防護(hù)、響應(yīng)”的風(fēng)險(xiǎn)管理安全方法,指導(dǎo)業(yè)務(wù)平臺(tái)系統(tǒng)完成安全技術(shù)體系的建設(shè)。
? 從安全組織體系和安全管理體系角度出發(fā),建立起完善的組織架構(gòu)、管理辦法以及工作計(jì)劃,根據(jù) PDCA 流程的管理要求,完善業(yè)務(wù)平臺(tái)安全管理體系和組織體系的建設(shè)和優(yōu)化。
3.1 安全運(yùn)維管理及審計(jì)體系 安全運(yùn)維管理及審計(jì)體系主要面對(duì)上級(jí)主管部門要求的周期性主動(dòng)安全檢查工作和內(nèi)網(wǎng)安全審計(jì)兩方面工作內(nèi)容,從事前預(yù)防和事后審計(jì)兩個(gè)角度實(shí)現(xiàn)安全運(yùn)維工作計(jì)劃和安全管理規(guī)范的落地。
? 在“事前”階段,對(duì)各業(yè)務(wù)平臺(tái)系統(tǒng)配置規(guī)范、自身漏洞管理兩個(gè)方面提供相應(yīng)檢查的技術(shù)手段,避免由于配置不規(guī)范或漏洞存在而被惡意利用的風(fēng)險(xiǎn),同時(shí)滿足上級(jí)單位對(duì)于基線安全達(dá)標(biāo)的規(guī)范要求; ? 在“事后”階段,對(duì)各業(yè)務(wù)系統(tǒng)運(yùn)維行為、數(shù)據(jù)庫(kù)操作行為、第三方人員網(wǎng)絡(luò)應(yīng)用行為進(jìn)行安全審計(jì),全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會(huì)話和事件,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評(píng)估及安全事件的準(zhǔn)確定位,為事后追查及整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持,同時(shí)滿足上級(jí)單位對(duì)于安全審計(jì)方面的規(guī)范要求。
3.2 安全檢測(cè)及防護(hù)體系
安全檢測(cè)及防護(hù)體系主要面對(duì)業(yè)務(wù)系統(tǒng)當(dāng)前存在的風(fēng)險(xiǎn)和威脅,完成“事中”階段業(yè)務(wù)系統(tǒng)被動(dòng)安全檢測(cè)及防護(hù)的工作內(nèi)容,主要包括以下幾方面內(nèi)容:
? 骨干層網(wǎng)絡(luò) XXXX 系統(tǒng)的建設(shè),對(duì)由外部網(wǎng)絡(luò)向內(nèi)部業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)入侵行為實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè),為后續(xù)防護(hù)策略細(xì)粒度的制定及安全事件應(yīng)急處理給出準(zhǔn)確的指導(dǎo)意
見(jiàn); ? 各業(yè)務(wù)平臺(tái)內(nèi)部入侵防護(hù)系統(tǒng)建設(shè),對(duì)內(nèi)部各業(yè)務(wù)系統(tǒng)之間的網(wǎng)絡(luò)入侵、蠕蟲(chóng)病毒、木馬等方面進(jìn)行實(shí)時(shí)監(jiān)測(cè)及防護(hù),實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)內(nèi)部信息安全防護(hù); ? 針對(duì)已部署 Portal 門戶服務(wù)器,可對(duì)外提供 WEB 應(yīng)用服務(wù)的業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)專項(xiàng)WEB 應(yīng)用安全防護(hù)。
3.3 安全技術(shù)體系整體建設(shè)方案 根據(jù)當(dāng)前安全形勢(shì)、上級(jí)單位的管理要求及網(wǎng)絡(luò)現(xiàn)狀的分析,我們提出如下整體安全建設(shè)方案,主要關(guān)注安全運(yùn)維管理及審計(jì)體系建設(shè)及安全檢測(cè)機(jī)防護(hù)體系建設(shè)兩個(gè)方面的內(nèi)容,以滿足前文所述的“事前”、“事中”、“事后”的全周期整體網(wǎng)絡(luò)安全防護(hù)需求。
安全產(chǎn)品整體部署示意圖 3.3.1 安全運(yùn)維管理及審計(jì)體系建設(shè) 3.3.1.1 安全運(yùn)維管理體系 針對(duì)增值業(yè)務(wù)平臺(tái)整體平面提供安全運(yùn)維管理的技術(shù)手段,在骨干層匯聚交換機(jī)處部署遠(yuǎn)程安全評(píng)估系統(tǒng)和配置核查系統(tǒng),在保證 IP 可達(dá)的前提條件下,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端進(jìn)行漏洞管理和配置規(guī)范檢查的工作,在業(yè)務(wù)系統(tǒng)上線之前或日常運(yùn)維過(guò)程中,提前發(fā)現(xiàn)系統(tǒng)內(nèi)存在的配置錯(cuò)誤或系統(tǒng)漏洞,避免網(wǎng)絡(luò)存在可供利用的安全隱患,滿足上級(jí)單位文提出的基線達(dá)標(biāo)的技術(shù)要求以及實(shí)現(xiàn)新業(yè)務(wù)系統(tǒng)上線安全驗(yàn)收標(biāo)準(zhǔn)的落實(shí)。
3.3.1.2 安全審計(jì)體系 針對(duì)各增值業(yè)務(wù)平臺(tái)分別提供細(xì)粒度的安全審計(jì)技術(shù)手段,在各業(yè)務(wù)平臺(tái)內(nèi)部組網(wǎng)交換機(jī)處,利用流量鏡像方式將網(wǎng)絡(luò)流量發(fā)送到安全審計(jì)設(shè)備處,安全審計(jì)設(shè)備完成包括數(shù)據(jù)庫(kù)操作行為、第三方人員網(wǎng)絡(luò)應(yīng)用行為等在內(nèi)的常見(jiàn)內(nèi)網(wǎng)應(yīng)用進(jìn)行檢測(cè)、記錄及告警上報(bào)的工作,滿足上級(jí)單位安全管理規(guī)范中對(duì)安全審計(jì)方面的具體要求。
3.3.2 安全檢測(cè)及防護(hù)體系建設(shè) 3.3.2.1 骨干層安全檢測(cè)及防護(hù)體系 ? 在骨干層部署入侵檢測(cè)系統(tǒng),對(duì)緩沖區(qū)溢出、SQL 注入、暴力猜測(cè)、DDoS 攻擊、掃描探測(cè)等常見(jiàn)外網(wǎng)惡意入侵行為進(jìn)行檢測(cè)及上報(bào),滿足上級(jí)單位對(duì)于邊界防護(hù)的具體技術(shù)要求; ? 在骨干層核心交換機(jī)處旁路部署抗拒絕服務(wù)攻擊產(chǎn)品,針對(duì)當(dāng)前常見(jiàn)的 SYN FLOOD、UDP FLOOD、ICMP FLOOD、CC、HTTP GET 等常見(jiàn)鏈路帶寬型、資源耗盡型和應(yīng)用層 DDoS 攻擊實(shí)現(xiàn)專項(xiàng)防護(hù),保護(hù)應(yīng)用系統(tǒng)正在運(yùn)行的安全。
3.3.2.2 各業(yè)務(wù)系統(tǒng)細(xì)粒度安全檢測(cè)及防護(hù)體系 ? 在部署有 Web 應(yīng)用服務(wù)器的業(yè)務(wù)系統(tǒng)內(nèi)部,串聯(lián)透明部署 Web 防火墻系統(tǒng),實(shí)現(xiàn)
對(duì) Web 應(yīng)用服務(wù)器的貼身式安全防護(hù),有效阻止惡意人員通過(guò) SQL 注入、XSS 腳本、CSRF 等等常見(jiàn)的 WEB 應(yīng)用攻擊手段來(lái)獲取系統(tǒng)權(quán)限、竊取機(jī)密信息、傳播木馬病毒等行為; ? 對(duì)于存在內(nèi)部信息交互需求的業(yè)務(wù)系統(tǒng)之間,通過(guò)串聯(lián)方式部署入侵防護(hù)系統(tǒng),提供細(xì)粒度的內(nèi)網(wǎng)入侵檢測(cè)及防護(hù)能力,解決當(dāng)前面臨的對(duì)于例如內(nèi)網(wǎng)蠕蟲(chóng)爆發(fā)、木馬傳播等安全事件缺乏有效檢測(cè)手段的安全隱患。
3.4 本期項(xiàng)目建設(shè)建議方案 根據(jù)上級(jí)單位管理規(guī)范要求、當(dāng)前信息安全形勢(shì)以及業(yè)務(wù)平臺(tái)當(dāng)前安全風(fēng)險(xiǎn)及事件的分析,結(jié)合我們?cè)诎踩夹g(shù)體系建設(shè)的研究經(jīng)驗(yàn),建議本期項(xiàng)目完成如下工作內(nèi)容:
? 為了實(shí)現(xiàn)系統(tǒng)對(duì)網(wǎng)絡(luò)惡意入侵、端口掃描、內(nèi)網(wǎng)病毒等攻擊進(jìn)行實(shí)時(shí)監(jiān)測(cè)及上報(bào)的功能,本期建議部署入侵檢測(cè)系統(tǒng)。
? 為了解決當(dāng)前常見(jiàn)的大流量 DDoS 拒絕服務(wù)攻擊的安全問(wèn)題,保障業(yè)務(wù)平臺(tái)持續(xù)、穩(wěn)定的提供服務(wù),本期建議部署 DDoS 拒絕服務(wù)攻擊專項(xiàng)防護(hù)系統(tǒng)。
? 為了實(shí)現(xiàn)針對(duì) WEB 應(yīng)用常見(jiàn)的類似 SQL 注入、XSS 跨站腳本等攻擊手段進(jìn)行實(shí)時(shí)防護(hù)的功能,本期建議部署 WEB 應(yīng)用防護(hù)系統(tǒng)。
3.4.1 安全產(chǎn)品部署拓?fù)鋱D
安全產(chǎn)品部署示意圖 ? 本期項(xiàng)目在 XX 交換機(jī)與 XX、XX、XX 網(wǎng)絡(luò)間新增入侵檢測(cè)系統(tǒng)一套。首先需將原有業(yè)務(wù)鏈路按比例進(jìn)行分光放大,然后接入入侵檢測(cè)系統(tǒng)中,從增值業(yè)務(wù)平臺(tái)整體角度對(duì)安全威脅進(jìn)行實(shí)時(shí)監(jiān)控及檢測(cè)上報(bào)。
? 本期項(xiàng)目在 XX 交換機(jī)處新增流量清洗系統(tǒng)一套,通過(guò)旁路部署方式接入至網(wǎng)絡(luò)中,規(guī)避單點(diǎn)故障引入的安全風(fēng)險(xiǎn)。當(dāng)檢測(cè)到 DDoS 拒絕服務(wù)攻擊時(shí),利用流量清洗系統(tǒng)內(nèi)置的專業(yè)檢測(cè)及處理模塊,在增值業(yè)務(wù)平臺(tái)整體匯聚層面上即完成 DDoS 拒絕服務(wù)攻擊流量的清洗工作,避免攻擊流量傳遞到各平臺(tái)內(nèi)部,保障增值業(yè)務(wù)平臺(tái)系統(tǒng)所承載的業(yè)務(wù)免受 DDoS 拒絕服務(wù)攻擊所影響。
? 本期項(xiàng)目在 XX 和 XX 匯聚交換機(jī)之間新建兩套 Web 應(yīng)用防護(hù)系統(tǒng),通過(guò) Bypass光交換機(jī)透明串聯(lián)部署在網(wǎng)絡(luò)中,針對(duì)增值業(yè)務(wù)平臺(tái)中提供 Web 應(yīng)用服務(wù)的平臺(tái)提供專項(xiàng)安全防護(hù)。既滿足了業(yè)務(wù)平臺(tái)整體 WEB 應(yīng)用安全防護(hù)的需求,同時(shí)通過(guò)
光路 Bypass 功能也規(guī)避了串聯(lián)安全防護(hù)設(shè)備所面臨的單點(diǎn)故障引入的安全風(fēng)險(xiǎn)。
3.4.2 信號(hào)流程 ? 入侵檢測(cè)信號(hào)流 ? 將網(wǎng)絡(luò)流量通過(guò)分光方式傳送到入侵檢測(cè)系統(tǒng),完成包括應(yīng)用層漏洞攻擊、緩沖區(qū)溢出、端口掃描等網(wǎng)絡(luò)入侵攻擊行為的實(shí)時(shí)檢測(cè)及上報(bào)工作。
? 抗拒絕服務(wù)信號(hào)流 ? 在檢測(cè)到 DDoS 攻擊后,并非采取簡(jiǎn)單的阻斷手段進(jìn)行處理,而是將正常網(wǎng)絡(luò)流量與 DDoS 攻擊流量通過(guò) BGP、OSPF、靜態(tài)路由等相應(yīng)路由協(xié)議共同牽引至抗拒絕服務(wù)攻擊系統(tǒng)進(jìn)行專項(xiàng)流量清洗處理工作,再將處理后的正常網(wǎng)絡(luò)流量回注至增值業(yè)務(wù)平臺(tái)網(wǎng)絡(luò)內(nèi)部,在保障 DDoS 攻擊流量被清洗掉的同時(shí),亦可滿足正常網(wǎng)絡(luò)流量的通過(guò)要求。
? WEB 應(yīng)用攻擊防護(hù)信號(hào)流 ? 隨著 WEB 應(yīng)用的愈加廣泛與復(fù)雜,正常 WEB 應(yīng)用行為與利用 WEB 進(jìn)行的惡意攻擊行為混雜在一起,傳統(tǒng)防火墻等防護(hù)手段對(duì)此束手無(wú)策。而當(dāng)信號(hào)流經(jīng)過(guò)串聯(lián)部署的 WEB 應(yīng)用防護(hù)系統(tǒng)處理后,正常 WEB 應(yīng)用流被允許通過(guò),WEB應(yīng)用惡意攻擊行為被實(shí)時(shí)攔截,可有效保護(hù) WEB 應(yīng)用服務(wù)器的安全。
3.5 產(chǎn)品列表 產(chǎn)品名稱 產(chǎn)品功能 型號(hào) 數(shù)目 入侵檢測(cè)系統(tǒng) 對(duì)網(wǎng)絡(luò)惡意入侵、端口掃描、內(nèi)網(wǎng)病毒等攻擊進(jìn)行實(shí)時(shí)監(jiān)測(cè)
1 異常流量清洗系統(tǒng)
對(duì)常見(jiàn)網(wǎng)絡(luò)層 DDoS 和應(yīng)用層 DDoS攻擊進(jìn)行實(shí)時(shí)防護(hù),清洗異常流量,保障正常流量通過(guò)。
1 WEB 應(yīng)用防火墻 通過(guò)行為模式分析,協(xié)議還原等手段對(duì) WEB 應(yīng)用常見(jiàn)的類似 SQL 注入、XSS 跨站腳本攻擊等 OWASP TOP10攻擊手段進(jìn)行實(shí)時(shí)防護(hù)
2 3.6 方案總結(jié) 經(jīng)過(guò)以上本期信息安全防護(hù)體系的部署及實(shí)施,XXX 公司增值業(yè)務(wù)平臺(tái)整體安全性得到全面的提升,完成了核心骨干層及 WEB 應(yīng)用層網(wǎng)絡(luò)的安全檢測(cè)及防護(hù)體系的建設(shè)工作,包括如防 DDoS 攻擊、入侵檢測(cè)、Web 應(yīng)用安全防護(hù)等方面的具體工作內(nèi)容,有效抵御當(dāng)前業(yè)務(wù)平臺(tái)面臨的安全風(fēng)險(xiǎn)及威脅,同時(shí)滿足是上級(jí)主管部門對(duì)于業(yè)務(wù)平臺(tái)的相關(guān)安全管理
規(guī)范和檢查要求,為業(yè)務(wù)平臺(tái)安全穩(wěn)定的運(yùn)行保駕護(hù)航。
四、 XXXX 產(chǎn)品功能簡(jiǎn)介 4.1 產(chǎn)品簡(jiǎn)介 4.1.1
XXXX 入侵檢測(cè)產(chǎn)品 4.1.2
XXX WEB 應(yīng)用防火墻 4.1.3 XXXX 抗拒絕服務(wù)攻擊系統(tǒng) 4.2 產(chǎn)品優(yōu)勢(shì) 五、 附錄:
公司 介紹
熱點(diǎn)文章閱讀