防火墙立项理由Word文档格式.docx
《防火墙立项理由Word文档格式.docx》由会员分享,可在线阅读,更多相关《防火墙立项理由Word文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
b)XX上网终端安全防护
参考话术
⏹僵尸主机来说,木马程序在后台悄悄的外发流量,防火墙、IPS不能察觉
⏹果是领导和系统管理员的终端被控制,向外发送敏感信息影响很严重
⏹被控制的僵尸机向外发起攻击,可能导致法律风险
工具索引
⏹《XX互联网出口僵尸网络检测立项建议书》
a)上网终端安全防护
业务场景
1、互联网出口只有传统防火墙,必须进行应用安全加固;
2、互联网出口部署了NGAF,没有开启IPS、僵尸网络、防病毒等功能;
立项理由
75%的攻击来自于应用层,而传统防火墙只能够进行网络层的访问控制和安全防护,无法抵御应用层攻击。
存在应用层短板的互联网出口是存在很大风险的,所以必须进行应用安全加固。
可以采用NGAF进行异构,实现应用层安全加固,一方面可以防止应用层的攻击,另一方面可以防止电脑、服务器中了病毒木马向外发起恶意流量。
立项名称
XX单位互联网出口应用安全加固项目
立项效益
可通过部署安全设备提升应用安全风险防护能力,防护75%的攻击,同时可以避免因为成为僵尸网络危害其他单位网络而被问责。
⏹互联网出口只有传统防火墙是不够的,大部分攻击来自于应用层
⏹很多病毒木马都是利用应用和系统的漏洞来进行传播的,比如IE极光漏洞、PDF的漏洞、OPENSSL、XP的漏洞(停止更新)可能会导致终端电脑被控制
⏹一方面可以防止应用层的攻击,另一方面可以防止电脑、服务器中了病毒木马向外发起恶意流量从而规避风险
《AF_方案模板_通用_互联网出口安全建设方案(AF+AC)V1.0》
二.对外发布业务
a)XX系统(含网站)安全加固/改造
1、系统或者网站开放到互联网上而没有部署waf的客户
2、在网站前购买了NGAF没有开启IPS/Waf模块的客户
虽然采用了防火墙进行安全隔离,但基于网络层协议访问控制的ACL规则,却无法隔离Web漏洞的入侵,其本质却无法达到安全隔离的作用。
而来自Gartner报告显示,75%的攻来来自于应用层,需要加强XX系统Web安全防护能力。
Xx系统(网站)安全加固/改造项目
有效的弥补了传统安全解决方案在Web业务安全防护能力的不足,保障对外web系统或网站的安全。
保障业务运营连续性、保护个人隐私提升企业声誉、隔离僵尸网络使内网告别危险
⏹XX系统发布到互联网上存在web安全威胁,Web安全威胁传统安全设备无法防御
⏹传统安全设备难以防范新型的攻击,万一黑客成功获取了服务器的权限,造成信息泄露、网页篡改后果比较严重
⏹通过L2-L7层的安全防护体系构架,实现完整的安全防护打造“安全”、“可靠”、“高效”的“一站式
《XX互联网业务系统安全防护项目预算立项建议书》
《AF_方案彩页_Web安全解决方案V1.0》
《AF_方案彩页_业务系统应用安全加固解决方案V1.0》
b)业务系统数据防泄露
存在用户信息等敏感信息的对外业务系统
互联网敏感信息泄露事件频发,引起关注,传统的DLP数据防泄密解决方案显然很难起到有效的防护效果,此类重大安全事件的产生多是通过正常的web业务访问,通过数据库认为合法的操作语句产生“拖库”、“暴库”的安全问题。
XX业务系统信息防泄露项目
对外,防止web攻击(如注入类攻击)对后端数据库、FTP等服务器的操作带来的安全问题;
对内,有效检测交互过程中内容的合法性,具有向外发送的数据内容是否为非法窃取、是否符合正常访问安全逻辑的判断能力。
⏹对外的业务有很多重要数据,黑客通常会采取web攻击的方式来入侵服务器
⏹DLP解决方案大多是防护终端泄密通道的,无法针对服务器因为被拖库暴库导致的信息泄露
⏹NGAF实现对外防攻击,对内检测外发流量防止服务器端得信息泄露
《AF_方案彩页_业务系统敏感信息防泄漏解决方案V1.0》
c)网页防篡改
政府电子政务网站或企业门户网站
网站是网络中被访问最多的一种服务,也是最容易遭受攻击的。
网站直接代表着政府、企业的形象,一旦页面被篡改,将导致企业、政府形象和无形资产的巨大损失。
网页篡改防护需要能够提供动态防护L2-L7层的攻击,被攻击了也有篡改判定机制做到事后补偿的保护手段,确保网页不被篡改;
同时需要具备篡改后应急响应的机制,即使网页内容被篡改了也不会发布与众。
XX网站网页防篡改项目
防护动态攻击,同时提供被动响应机制即使被篡改也不会发布出去
⏹这今年网站篡改事件比较多,一旦被篡改形象、经济都会受到损失
⏹光防护攻击是不够的,因为攻击没有100%的防护
⏹采用事前防攻击,事后防篡改的双效手段来规避网页篡改的风险
《AF_方案彩页_网页篡改防护解决方案V1.0》
d)业务系统实时安全自检
1、中型互联网电商企业或小金融客户
2、需要对安全日志进行一一分析的客户
3、定期进行渗透扫描的客户
由于基于特征防护的防火墙、入侵防御系统呈现的日志是攻击数据,其可视性比较差,让管理员日志分析的工作量加大,需要更多更专业的安全管理人员进行分析。
现有检测机制难以让清晰的分析系统的漏洞,同时业务系统更新频率比较快,随时可能出现新的漏洞,采用定期渗透扫描的方式可能会影响业务系统正常运行,并且无法满足实时进行漏洞预警的要求。
XX业务系统实时安全自检项目、XX业务系统实时安全威胁预警项目
实时监测漏洞与遭受攻击的情况,从用户访问业务系统的正常流量中获取服务器漏洞的信息并告知管理员,同时不会给服务器造成业务中断的风险、也不会占据服务器的带宽资源
将漏洞与攻击日志进行关联,提升管理员的安全管理效率,快速定位有效攻击
⏹系统一更新变化产生新的漏洞,通过扫描的方式是周期性的,无法实时发现漏洞,并且可能会影响业务系统运行
⏹攻击日志并不等于业务系统的风险,网络可能存在大量的攻击源自于黑客或监管机构的探测性扫描,这些扫描可能并不针对服务器的漏洞,也就是说服务器可能并不会被这些攻击所影响。
⏹一旦真的出现安全事故,管理员可能忙于分析各类攻击日志而错失了正确做出应急响应的时机
⏹《XX业务系统实时安全威胁预警项目预算立项建议书》
e)互联网业务系统防扫描
有监管单位对业务系统进行检查的客户,如交通行业、广电行业、金融行业以及政府的网站;
来自互联网上的嗅探扫描越来越频繁,一方面会产生不必要的攻击流量影响业务系统的正常访问;
另一方面会将业务系统存在的漏洞暴露在外,让攻击者能够快速的找到入侵的方式。
XX互联网业务系统防扫描攻击项目
1、可有效防止外部扫描对业务系统造成的影响;
2、可防止业务系统存在的漏洞暴露在互联网上;
3、防止监管单位扫描到业务系统的漏洞并进行通报;
⏹监管单位定期会采用扫描软件对互联网的系统进行扫描,发现严重漏洞会进行通报对单位影响不好;
⏹来自互联网上的嗅探扫描攻击比较多,可能会影响业务系统的正常访问;
⏹漏洞信息被黑客获取到会降低黑客攻击成本,提升入侵的成功率,这样的风险比较大。
⏹《XX互联网业务系统防嗅探攻击项目立项建议书》
三.广域网(主要涉及产品AF、WOC、AC、VPN)
a)边界安全隔离与威胁过滤
省市县三级平台边界安全建设
省市县三级组网的网络需要有边界访问控制对区域和网络进行划分,以区分网络的安全级别,划分安全域。
在广域网中任何一处发生攻击,威胁会在广域网的通道里进行快速的传播,不仅仅威胁到广域网上其他的单位,还有可能威胁到总部数据中心的敏感数据。
XX广域网边界安全隔离与威胁过滤项目
即可以实现安全隔离,也可以进行流量清洗:
一台搞定,性价比高,威胁隔离,防止扩散,保护数据,防止泄密
⏹分三级组网每个阶段都会有部署防火墙进行安全隔离
⏹安全隔离仅仅是为了划分安全域避免不了攻击扩散
⏹AF一方面提供安全隔离,同时也可以清洗广域网的流量,防止威胁扩散,保护数据防止信息泄露
《XX广域网安全改造项目预算立项建议书》
《AF_方案彩页_广域网边界安全方案V1.0》
b)全网安全监测项目
1、教育局、大型制造型企业、政府垂管性较强的单位
2、购买了NGAF没有使用全网安全监测的外置数据中心和集中管理平台的客户
广域网不断扩张和新的各类应用系统的快速上线,广域网运行效率和稳定性与现有业务关联更加紧密,网络安全、数据安全变得尤为重要。
同时广域网的运维和管理的要求也在不断的提升,从网络安全、应用安全到业务数据安全的要求都在不断的提高。
就目前建设的情况来看还存在很多安全风险:
分支机构安全建设薄弱,容易成为入侵的短板;
分支机构的安全现无法统一管理,风险不可控;
安全要求落地困难,各分支机构安全状况层次不齐;
总部无法了解分支端的风险,分支机构引起的安全事件难以追溯
XX全网安全监测项目
实现各分支机构安全状况实时上报监控,及时了解全网安全动态,减少安全运维人员成本;
各级分支节点安全状况详情分析,多维度信息找到风险来源点和防护薄弱点,优化安全运维;
安全日志统一管理,对有效攻击事件进行分析,了解攻击过程利用哪些漏洞发起攻击,实现攻击可追溯;
安全设备统一管理,实现集中特征更新与推送,快速实现安全同步;
⏹广域网的终端用户安全状况难以统一管理,soc平台应用效果不好;
⏹采用多设备进行防护成本比较高;
⏹分支机构被入侵了容易将风险扩散到全网;
《XX全网安全监测项目预算立项建议书》
《AF_方案彩页_全网安全监测平台解决方案》
四.数据中心(主要涉及产品AF、AD、APM)
a)等保整改建设
1、进行过等保评估存在技术差距的客户;
2、重点等保改造的行业,如医院、卫生、国土、央企、金融单位
XX信息安全测评中心,对XX业务系统进行等保测评。
根据等保测评差距分析,目前整体信息安全防护能力一般,抵御相应威胁的能力还需进一步提高。
XX等保整改建设项目预算立项建议书
最小成本的满足满足等保整改的技术要求
⏹数据中心是最具吸引力的目标
《XX等保整改建设项目预算立项建议书》
b)重要业务系统安全加固
数据中心已经有传统防火墙
重要系统仍需要应用层防护,如政府数据中心区域有等保3级的系统需要单独针对该系统做安全防护;
如企业ERP等重要系统,单独进行应用安全防护;
XX业务系统安全加固项目
提升重要业务系统应用安全防护能力,同时满足整体数据中心对性能的要求
参