网络信息安全加固方案

XXXX 业 务 网 网 络 信 息 安 全 加 固 项 目 案 例 介 绍一、 概述随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，IT系统已经成为XXX整合、共享内部资源的核心平台， 同时，随着XXX经营理念的不断深化，利用各种各样的业务平台来为 XXX提供更多的增值业务服务的情况越来越多，因此 IT系统及各种 各样的业务平台在XXX系统内的地位越来越重要，更为XXX提供的新 业务利润增长做出了不可磨灭的贡献。伴随着网络的发展，也产生了各种各样的安全风险和威胁，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS击越来越常见、WEB应用安全事件层出不穷、，黑客攻击行为几乎每时每刻 都在发生， 而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化，所有这些风险防范及安全审查工作极大的困扰着XXX运维人员， 能否及时发现网络黑客的入侵， 有效地检测出网络中的异常流量，并同时在“事前”、“事中”及“事后”都能主动协助 XXX完成自身信 息安全体系的建设以及满足上级部门审查规范， 已成为XXX运维人员 所面临的一个重要问题。本方案针对XXX延司业务平台的安全现状进行分析，并依据我公 司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作， 从安全技术体系建设的角度给出详细的产品及服务解决方案。网络现状及风险分析2.1 网络现状XXX业务平台拓扑图XXXX司业务平台网络共有包括 XXX XXX XXX平台等四十余 个业务系统，（因涉及客户信息，整体网络架构详述略）业务平台内 部根据业务种类的不同，分别部署有数据库、报表、日志等相应业务 系统服务器。2.2 风险及威胁分析根据上述网络架构进行分析，我们认为该业务平台存在如下安全隐患：1. 随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯XX的已经无法满足信息安全防护的需要， 部署了 XXX的安全保障体系仍需要进一步完善，防火墙系统的不足主要有以下几个方面（略）2. 当前网络不具备针对X 攻击专项的检测及防护能力。 （略）3. 对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。4. 当前 XX 业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有效监控技术手段，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。5. 随着XX业务平台自有门户网站的建设，Web应用已经为最普遍的信息展示和业务管理的接入方式和技术手段，正因为空前的流行，致使75犯上的攻击都瞄准了网站 Web应用。这 些攻击可能导致XXX!受声誉和经济损失，可能造成恶劣的社会影响。当前增值业务平台主要面对如下WEB5用方面的风险和威胁：1）防火墙在阻止 WebS用攻击时能力不足，无法检测及阻断 隐藏在正常访问流量内的 WEB5用层攻击；2） 对于已经上线运行的网站， 用简单的方法修补漏洞需要付出过高的代价；3）面对集团对于 WE戚用安全方面的的“合规检查”的压力,6.随着信息安全的发展，XXXX团在信息安全领域的管理制度 也愈加规范和细化，在网络、系统、应用等多方面提出了相应的安全要求、检查细项及考核办法，并已将信息安全工作纳入到日常运维工作中去。在近期发布的XXXX评台安全 管理办法（试行）、XXX渐建业务平台安全验收指引（试行） 等管理规范中，明确说明了增值业务平台需要建设 XXX惊统、 XXX粽统对业务平台网络边界进行防护，另外亦需要对系统 漏洞、数据库漏洞、WEB5用等方面提供安全防护。由此可 见，业务平台当前缺乏相应的整体的安全监测及防护手段， 无法满足上级主管部门的管理要求。2.3 信息安全形势分析1 .系统漏洞仍旧是XXX网络面临的安全风险之一。据国家信息安 全漏洞共享平台（CNVD收录的漏洞统计，2011年发现涉及电信 运营企业网络设备（如路由器、交换机等）的漏洞 203 个，其中高危漏洞73个；发现直接面向公众服务的零日DNSS洞23个，应用广泛的域名解析服务器软件 Bind9 漏洞 7 个。2 .拒绝服务攻击对XXX务运营造成较大损害及破坏企业形象， 2011年发生的分布式拒绝服务攻击（DDoS事件中平均约有7% 的事件涉及到基础电信运营企业的域名系统或服务。2011年7月域名注册服务机构XXXX勺DNS艮务器遭受DDoS 攻击，导致其负责解析的域名在部分地区无法解析。2011年8月，某XXXDN服务器也连续两次遭到拒绝服务攻击，造成局部用户无法正常使用互联网。3 .网站安全事件层出不穷，黑客利用 SQL注入、XSS脚本攻击等工具和技术手段进行网页篡改及信息窃取以非法获利，造成较大社会影响。在CNCERT收的网络安全事件（不含漏洞）中，网站安全类事件占到61.7%；境内被篡改网站数量为36612个，较 2010年增加 5.1%；4月-12 月被植入网站后门的境内网站为 12513个。4 . 受控僵尸主机数目有增无减， 黑客利用受控主机进行信息窃取、跳板类攻击等现象逐步增多。据抽样检测表明， 2011 年境外有近4.7 万个 IP 地址作为木马或僵尸网络控制服务器参与控制我国境内主机，其控制的境内主机数量由 2010 年的近 500 万增加至近890 万，呈现大规模化扩散趋势。2.4 XXX 安全事件1. 系统及主机漏洞利用类：XX 网相册漏洞利用：X 网相册存在上传漏洞，被国家安全人员上传恶意文件获取系统root 权限， 该事件曾上报至副总理及政治局常委处，影响程度深、影响范围广；充值系统漏洞利用：某黑客组织利用XXX充值卡系统漏洞，使用网络渗透手段、黑客工具等方法计算出充值卡号进行出售，造成未售出的充值卡已被充值使用或手机免费充值的情况； 话费系统漏洞利用：利用系统漏洞入侵话费系统，篡改话费信息； 网厅、积分商城 WEB5用漏洞攻击：利用网站漏洞入侵XXX 网站，获取客户信息、冒充客户进行业务订阅或修改客户积分，达到非法获利的目的。2 .木马及病毒传播类：内部办公主机被控：某XXX被发现其内部计算机被境外人员通过木马方式控制， 同时该计算机向内部网络扩散蠕虫病毒， 可窃取计算机硬盘文件、 重要账号等关键数据。3 . 网页篡改类：XXXX 网站曾多次发现主页被篡改，植入广告及其他恶意内容， 使其变成非法信息传播的平台，影响企业形象，并对业务平台运行带来安全隐患。4 .分布式拒绝服务（DDoS攻击类：XX网站曾发现遭受DDoS巨 绝服务攻击，造成其视频业务受损，客户反响强烈。三、 安全解决方案随着XX业务平台提供的服务不断增加，IT架构与系统也变得更复杂，安全体系也应随需而变。在多年不断研究和实践的基础上，我们提出了全新的安全体系框架。安全体系为安全战略服务，我们设计的安全体系包含安全组织体系、安全管理体系、安全技术体系。在安全组织体系中，要建立组织、明确职责、提高人员安全技能、重视雇用期间的安全、要与绩效结合；在安全管理体系中， 以安全策略为主线， 落实安全制度和流程，对记录存档。 我们从最佳安全实践出发， 将安全管理体系中的过程动态化、持续化，包含风险评估程序、安全工作计划、安全项目管理、 运行维护监控、 安全审计程序、 持续改进计划等，真正与XXX增值业务平台安全建设和安全保障过程结合起来；在安全技术体系中， 将多种安全技术相结合， 包含准备、 预防、检测、 保护、 响应、 监控、 评价等。 面对不断出现的新兴威胁，需要多种安全技术的协调与融合。安全体系像是企业/ 组织的免疫系统，体系的不断完善、组织 / 人员的尽职尽责、全员的风险预警意识，才能真正做到主动管理风险。针对业务平台存在的种种安全风险及威胁的现状，我们提出如下解决方案：从安全技术体系角度出发， 建立起运维审计管理体系和安全检测及防护体系，利用“预警、检测、防护、响应”的风险管理安全方法，指导业务平台系统完成安全技术体系的建设。从安全组织体系和安全管理体系角度出发， 建立起完善的组织架构、管理办法以及工作计划，根据PDC航程的管理要求，完善业务平台安全管理体系和组织体系的建设和优化。3.1 安全运维管理及审计体系安全运维管理及审计体系主要面对上级主管部门要求的周期性主动安全检查工作和内网安全审计两方面工作内容， 从事前预防和事后审计两个角度实现安全运维工作计划和安全管理规范的落地。在“事前”阶段，对各业务平台系统配置规范、自身漏洞管理两个方面提供相应检查的技术手段，避免由于配置不规范或漏 洞存在而被恶意利用的风险，同时满足上级单位对于基线安全 达标的规范要求；在“事后”阶段，对各业务系统运维行为、数据库操作行为、 第三方人员网络应用行为进行安全审计， 全面记录网络系统中 的各种会话和事件，实现对网络信息的智能关联分析、 评估及 安全事件的准确定位，为事后追查及整体网络安全策略的制定 提供权威可靠的支持，同时满足上级单位对于安全审计方面的 规范要求。3.2 安全检测及防护体系安全检测及防护体系主要面对业务系统当前存在的风险和威胁，完成“事中”阶段业务系统被动安全检测及防护的工作内容，主要包括以下几方面内容：骨干层网络XXXX统的建设，对由外部网络向内部业务系统 的网络入侵行为实现实时监测，为后续防护策略细粒度的制定 及安全事件应急处理给出准确的指导意见；各业务平台内部入侵防护系统建设，对内部各业务系统之间的 网络入侵、蠕虫病毒、木马等方面进行实时监测及防护，实现 各业务系统内部信息安全防护；针对已部署Portal门户服务器，可对外提供 WEBS用服务的 业务系统实现专项WEBE用安全防护。3.3 安全技术体系整体建设方案根据当前安全形势、 上级单位的管理要求及网络现状的分析， 我们提出如下整体安全建设方案， 主要关注安全运维管理及审计体系建设及安全检测机防护体系建设两个方面的内容，以满足前文所述的“事前” 、 “事中” 、 “事后”的全周期整体网络安全防护需求。安全产品整体部署示意图3.3.1 安全运维管理及审计体系建设3.3.1.1 安全运维管理体系针对增值业务平台整体平面提供安全运维管理的技术手段，在骨干层汇聚交换机处部署远程安全评估系统和配置核查系统，在保证IP 可达的前提条件下，实现对网络中各服务器、网络设备、终端进行漏洞管理和配置规范检查的工作， 在业务系统上线之前或日常运维过程中， 提前发现系统内存在的配置错误或系统漏洞， 避免网络存在可供利用的安全隐患， 满足上级单位文提出的基线达标的技术要求以及实现新业务系统上线安全验收标准的落实。3.3.1.2 安全审计体系针对各增值业务平台分别提供细粒度的安全审计技术手段，在各业务平台内部组网交换机处， 利用流量镜像方式将网络流量发送到安全审计设备处， 安全审计设备完成包括数据库操作行为、 第三方人员网络应用行为等在内的常见内网应用进行检测、 记录及告警上报的工作，满足上级单位安全管理规范中对安全审计方面的具体要求。3.3.2 安全检测及防护体系建设3.3.2.1 骨干层安全检测及防护体系在骨干层部署入侵检测系统，对缓冲区溢出、SQL注入、暴力猜测、DDoS攻击、扫描探测等常见外网恶意入侵行为进行检 测及上报，满足上级单位对于边界防护的具体技术要求；在骨干层核心交换机处旁路部署抗拒绝服务攻击产品， 针对当前常见的SYNFLOO、D UDPFLOO、D ICMPFLOO、D CC、 HTTPGET等常见链路带宽型、资源耗尽型和应用层 DDoS击实现专项 防护，保护应用系统正在运行的安全。3.3.2.2 各业务系统细粒度安全检测及防护体系在部署有Web应用服务器的业务系统内部，串联透明部署 Web 防火墙系统，实现对WebS用服务器的贴身式安全防护，有效 阻止恶意人员通过SQL注入、XSS脚本、CSR曾等常见的 WEB 应用攻击手段来获取系统权限、 窃取机密信息、 传播木马病毒等行为；对于存在内部信息交互需求的业务系统之间， 通过串联方式部署入侵防护系统， 提供细粒度的内网入侵检测及防护能力， 解 决当前面临的对于例如内网蠕虫爆发、 木马传播等安全事件缺乏有效检测手段的安全隐患。3.4 本期项目建设建议方案根据上级单位管理规范要求、当前信息安全形势以及业务平台当前安全风险及事件的分析， 结合我们在安全技术体系建设的研究经验，建议本期项目完成如下工作内容：为了实现系统对网络恶意入侵、 端口扫描、 内网病毒等攻击进 行实时监测及上报的功能，本期建议部署入侵检测系统。为了解决当前常见的大流量 DDoS巨绝服务攻击的安全问题， 保障业务平台持续、稳定的提供服务，本期建议部署DDoS巨绝服务攻击专项防护系统。为了实现针对 WEB5用常见的类似SQL注入、XSS跨站脚本等 攻击手段进行实时防护的功能，本期建议部署WE限用防护系 统。3.4.1 安全产品部署拓扑图安全产品部署示意图本期项目在XX交换机与XX、XX XX网络间新增入侵检测系统一套。 首先需将原有业务链路按比例进行分光放大， 然后接入入侵检测系统中， 从增值业务平台整体角度对安全威胁进行实时监控及检测上报。本期项目在XX交换机处新增流量清洗系统一套，通过旁路部署方式接入至网络中， 规避单点故障引入的安全风险。 当检测到DDoS巨绝服务攻击时，利用流量清洗系统内置的专业检测 及处理模块，在增值业务平台整体汇聚层面上即完成DDoS巨绝服务攻击流量的清洗工作， 避免攻击流量传递到各平台内部，保障增值业务平台系统所承载的业务免受DDoS巨绝服务攻击所影响。本期项目在XX和XX汇聚交换机之间新建两套 WebS用防护系统，通过Bypass 光交换机透明串联部署在网络中，针对增值业务平台中提供Web应用服务的平台提供专项安全防护。既满足了业务平台整体 WEBE用安全防护的需求，同时通过光路 Bypass 功能也规避了串联安全防护设备所面临的单点故障引入的安全风险。3.4.2 信号流程入侵检测信号流将网络流量通过分光方式传送到入侵检测系统，完成包括应用层漏洞攻击、缓冲区溢出、端口扫描等网络入侵攻击行为的实时检测及上报工作。抗拒绝服务信号流在检测到DDo破击后，并非采取简单的阻断手段进行处理，而是将正常网络流量与 DDoS击流量通过BGP OSPF静 态路由等相应路由协议共同牵引至抗拒绝服务攻击系统进行专项流量清洗处理工作，再将处理后的正常网络流量回注至增值业务平台网络内部，在保障DDoS击流量被清洗 掉的同时，亦可满足正常网络流量的通过要求。WEB5用攻击防护信号流随着WEB5用的愈加广泛与复杂，正常 WEBS用行为与利 用WEBt行的恶意攻击行为混杂在一起，传统防火墙等防护手段对此束手无策。而当信号流经过串联部署的 WE应 用防护系统处理后，正常 WE应用流被允许通过，WEBS 用恶意攻击行为被实时拦截，可有效保护 WE应用服务器的安全。3.5 产品列表产品名称产品功能型号数目入侵检测系统对网络恶意入侵、端口扫描、 内网病毒等攻击进行实时监 测1异常流量清洗系统对常见网络层 DDoS和应用 层DDo敢击进行实时防护， 清洗异常流量，保障正常流 量通过。1WEB应用防火墙通过行为模式分析，协议还原等手段对 WEB也用常见的类似SQL注入、XSS跨站脚本攻击等 OWASP TOP10击手段进行实时防护23.6方案总结经过以上本期信息安全防护体系的部署及实施，XXX公司增值业务平台整体安全性得到全面的提升，完成了核心骨干层及WEB5用层 网络的安全检测及防护体系的建设工作，包括如防 DDo皿击、入侵 检测、Web应用安全防护等方面的具体工作内容，有效抵御当前业务 平台面临的安全风险及威胁，同时满足是上级主管部门对于业务平台 的相关安全管理规范和检查要求，为业务平台安全稳定的运行保驾护XXXX 产品功能简介4.1 产品简介4.1.1 XXX队侵检测产品4.1.2 XXX WE眩用防火墙4.1.3 XXXX；拒绝服务攻击系统4.2 产品优势五、 附录：公司介绍六、