网络信息安全加固方案Word文件下载.docx
《网络信息安全加固方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《网络信息安全加固方案Word文件下载.docx(12页珍藏版)》请在冰豆网上搜索。
防火墙系统的不足主要有以下几个方面(略)
2.当前网络不具备针对X攻击专项的检测及防护能力。
(略)
3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。
4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有效监控技术手段,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。
5.随着XX业务平台自有门户网站的建设,Web应用已经为最普遍的信息展示和业务
管理的接入方式和技术手段,正因为空前的流行,致使75%以上的攻击都瞄准了
网站Web应用。
这些攻击可能导致XXX遭受声誉和经济损失,可能造成恶劣的社会影响。
当前增值业务平台主要面对如下WEB应用方面的风险和威胁:
1)防火墙在阻止Web应用攻击时能力不足,无法检测及阻断隐藏在正常访问流量内的WE应用层攻击;
2)对于已经上线运行的网站,用简单的方法修补漏洞需要付出过高的代价;
3)面对集团对于WEBS用安全方面的的“合规检查”的压力。
6.随着信息安全的发展,XXXX集团在信息安全领域的管理制度也愈加规范和细化,在网络、系统、应用等多方面提出了相应的安全要求、检查细项及考核办法,并
已将信息安全工作纳入到日常运维工作中去。
在近期发布的《XXXXX平台安全管
理办法(试行)》、《XXXX新建业务平台安全验收指引(试行)》等管理规范中,明
确说明了增值业务平台需要建设XXXX系统、XXXX系统对业务平台网络边界进行防护,另外亦需要对系统漏洞、数据库漏洞、WEBS用等方面提供安全防护。
由
此可见,业务平台当前缺乏相应的整体的安全监测及防护手段,无法满足上级主管部门的管理要求。
2.3信息安全形势分析
1.系统漏洞仍旧是XXX网络面临的安全风险之一。
据国家信息安全漏洞共享平台(CNVD收录的漏洞统计,2011年发现涉及电信运营企业网络设备(如路由器、交换
机等)的漏洞203个,其中高危漏洞73个;
发现直接面向公众服务的零日DNS漏洞23
个,应用广泛的域名解析服务器软件Bind9漏洞7个。
2.拒绝服务攻击对XXX业务运营造成较大损害及破坏企业形象,2011年发生的分布
式拒绝服务攻击(DDoS事件中平均约有7%勺事件涉及到基础电信运营企业的域名系统或服务。
2011年7月域名注册服务机构XXXX的DNS服务器遭受DDoS攻击,导致其负责解析的域名在部分地区无法解析。
2011年8月,某XXXDNS艮务器也连续两次遭到拒绝服务攻击,造成局部用户无
法正常使用互联网。
3.网站安全事件层出不穷,黑客利用SQL注入、XSS脚本攻击等工具和技术手段进行
网页篡改及信息窃取以非法获利,造成较大社会影响。
在CNCER接收的网络安全事件
(不含漏洞)中,网站安全类事件占到61.7%;
境内被篡改网站数量为36612个,较2010年增加5.1%;
4月-12月被植入网站后门的境内网站为12513个。
4.受控僵尸主机数目有增无减,黑客利用受控主机进行信息窃取、跳板类攻击等现象
逐步增多。
据抽样检测表明,2011年境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机,其控制的境内主机数量由2010年的近500万增加至
近890万,呈现大规模化扩散趋势。
2.4XXX安全事件
1.系统及主机漏洞利用类:
XX网相册漏洞利用:
X网相册存在上传漏洞,被国家安全人员上传恶意文件获
取系统root权限,该事件曾上报至副总理及政治局常委处,影响程度深、影响范围广;
充值系统漏洞利用:
某黑客组织利用XXX充值卡系统漏洞,使用网络渗透手段、黑客工具等方法计算出充值卡号进行出售,造成未售出的充值卡已被充值使用或手机免费充值的情况;
话费系统漏洞利用:
利用系统漏洞入侵话费系统,篡改话费信息;
网厅、积分商城WEB^用漏洞攻击:
利用网站漏洞入侵XXX网站,获取客户信息、冒充客户进行业务订阅或修改客户积分,达到非法获利的目的。
2.木马及病毒传播类:
内部办公主机被控:
某XXX被发现其内部计算机被境外人员通过木马方式控制,同时该计算机向内部网络扩散蠕虫病毒,可窃取计算机硬盘文件、重要账号等关键数据。
3.网页篡改类:
XXXX网站曾多次发现主页被篡改,植入广告及其他恶意内容,使其变成非法信息传播的平台,影响企业形象,并对业务平台运行带来安全隐患。
4.分布式拒绝服务(DDoS攻击类:
XX网站曾发现遭受DDoS拒绝服务攻击,造成其视频业务受损,客户反响强烈。
三、安全解决方案
随着XX业务平台提供的服务不断增加,IT架构与系统也变得更复杂,安全体系也应随需而变。
在多年不断研究和实践的基础上,我们提出了全新的安全体系框架。
关诞康功国索
砂层批准环门缺3协淌沟通
定期梅育独立审计内咅师若外:
M5U
安全体系为安全战略服务,我们设计的安全体系包含安全组织体系、安全管理体系、安
全技术体系。
在安全组织体系中,要建立组织、明确职责、提高人员安全技能、重视雇用期间的安全、要与绩效结合;
在安全管理体系中,以安全策略为主线,落实安全制度和流程,对记录存档。
我们从最佳安全实践出发,将安全管理体系中的过程动态化、持续化,包含风险评估程
序、安全工作计划、安全项目管理、运行维护监控、安全审计程序、持续改进计划等,真正与XXX增值业务平台安全建设和安全保障过程结合起来;
在安全技术体系中,将多种安全技术相结合,包含准备、预防、检测、保护、响应、监控、评价等。
面对不断出现的新兴威胁,需要多种安全技术的协调与融合。
安全体系像是企业/组织的免疫系统,体系的不断完善、组织/人员的尽职尽责、全员的
风险预警意识,才能真正做到主动管理风险。
针对业务平台存在的种种安全风险及威胁的现状,我们提出如下解决方案:
从安全技术体系角度出发,建立起运维审计管理体系和安全检测及防护体系,利用
“预警、检测、防护、响应”的风险管理安全方法,指导业务平台系统完成安全技
术体系的建设。
从安全组织体系和安全管理体系角度出发,建立起完善的组织架构、管理办法以及工作计划,根据PDCA流程的管理要求,完善业务平台安全管理体系和组织体系的建设和优化。
3.1安全运维管理及审计体系
安全运维管理及审计体系主要面对上级主管部门要求的周期性主动安全检查工作和内
网安全审计两方面工作内容,从事前预防和事后审计两个角度实现安全运维工作计划和安全管理规范的落地。
在“事前”阶段,对各业务平台系统配置规范、自身漏洞管理两个方面提供相应检
查的技术手段,避免由于配置不规范或漏洞存在而被恶意利用的风险,同时满足上
级单位对于基线安全达标的规范要求;
在“事后”阶段,对各业务系统运维行为、数据库操作行为、第三方人员网络应用
行为进行安全审计,全面记录网络系统中的各种会话和事件,实现对网络信息的智
能关联分析、评估及安全事件的准确定位,为事后追查及整体网络安全策略的制定提供权威可靠的支持,同时满足上级单位对于安全审计方面的规范要求。
3.2安全检测及防护体系
安全检测及防护体系主要面对业务系统当前存在的风险和威胁,完成“事中”阶段业务
系统被动安全检测及防护的工作内容,主要包括以下几方面内容:
骨干层网络XXXX系统的建设,对由外部网络向内部业务系统的网络入侵行为实现实时监测,为后续防护策略细粒度的制定及安全事件应急处理给出准确的指导意见;
各业务平台内部入侵防护系统建设,对内部各业务系统之间的网络入侵、蠕虫病毒、
木马等方面进行实时监测及防护,实现各业务系统内部信息安全防护;
针对已部署Portal门户服务器,可对外提供WEE应用服务的业务系统实现专项WEB
应用安全防护。
3.3安全技术体系整体建设方案
根据当前安全形势、上级单位的管理要求及网络现状的分析,我们提出如下整体安全建
设方案,主要关注安全运维管理及审计体系建设及安全检测机防护体系建设两个方面的内容,
以满足前文所述的“事前”、“事中”、“事后”的全周期整体网络安全防护需求。
安全产品整体部署示意图
3.3.1安全运维管理及审计体系建设
3.3.1.1安全运维管理体系
针对增值业务平台整体平面提供安全运维管理的技术手段,在骨干层汇聚交换机处部署
远程安全评估系统和配置核查系统,在保证IP可达的前提条件下,实现对网络中各服务器、网络设备、终端进行漏洞管理和配置规范检查的工作,在业务系统上线之前或日常运维过程
中,提前发现系统内存在的配置错误或系统漏洞,避免网络存在可供利用的安全隐患,满足
上级单位文提出的基线达标的技术要求以及实现新业务系统上线安全验收标准的落实。
3.3.1.2安全审计体系
针对各增值业务平台分别提供细粒度的安全审计技术手段,在各业务平台内部组网交换
机处,利用流量镜像方式将网络流量发送到安全审计设备处,安全审计设备完成包括数据库
操作行为、第三方人员网络应用行为等在内的常见内网应用进行检测、记录及告警上报的工
作,满足上级单位安全管理规范中对安全审计方面的具体要求。
3.3.2安全检测及防护体系建设
3.3.2.1骨干层安全检测及防护体系
在骨干层部署入侵检测系统,对缓冲区溢出、SQL注入、暴力猜测、DDoS攻击、扫
描探测等常见外网恶意入侵行为进行检测及上报,满足上级单位对于边界防护的具
体技术要求;
UDPFLOODICMPFLOODCGHTTPGET等常见链路带宽型、资源耗尽型和应用层
DDoS攻击实现专项防护,保护应用系统正在运行的安全。
3.3.2.2各业务系统细粒度安全检测及防护体系
在部署有Web应用服务器的业务系统内部,串联透明部署Web防火墙系统,实现对Web应用服务器的贴身式安全防护,有效阻止恶意人员通过SQL注入、XSS脚本、
CSRF等等常见的WEB^用攻击手段来获取系统权限、窃取机密信息、传播木马病毒等行为;
对于存在内部信息交互需求的业务系统之间,通过串联方式部署入侵防护系统,提供细粒度的内网入侵检测及防护能力,解决当前面临的对于例如内网蠕虫爆发、木马传播等安全事件缺乏有效检测手段的安全隐患。
3.4本期项目建设建议方案
根据上级单位管理规范要求、当前信息安全形势以及业务平台当前安全风险及事件的分析,结合我们在安全技术体系建设的研究经验,建议本期项目完成如下工作内容:
为了实现系统对网络恶意入侵、端口扫描、内网病毒等攻击进行实时监测及上报的功能,本期建议部署入侵检测系统。
为了解决当前常见的大流量DDoS拒绝服务攻击的安全问题,保障业务平台持续、稳定的提供服务,本期建议部署DDoS拒绝服务攻击专项防护系统。
为了实现针对WEB^用常见的类似SQL注入、XSS跨站脚本等攻击手段进行实时防护的功能,本期建议部署WE应用防护系统。
3.4.1安全产品部署拓扑图
0Q
日志
X:
Wet应用防护系统
XX
咬扌
Q
管理
志
t..
数据库
应用防护系统-2
fit
日志管理
流量清洗系统
安全产品部署示意图
本期项目在XX交换机与XXXXXX网络间新增入侵检测系统一套。
首先需将原有
业务链路按比例进行分光放大,然后接入入侵检测系统中,从增值业务平台整体角
度对安全威胁进行实时监控及检测上报。
本期项目在XX交换机处新增流量清洗系统一套,通过旁路部署方式接入至网络中,
规避单点故障引入的安全风险。
当检测到DDoS拒绝服务攻击时,利用流量清洗系
统内置的专业检测及处理模块,在增值业务平台整体汇聚层面上即完成DDoS巨绝
服务攻击流量的清洗工作,避免攻击流量传递到各平台内部,保障增值业务平台系
统所承载的业务免受DDoS拒绝服务攻击所影响。
本期项目在XX和XX汇聚交换机之间新建两套Web应用防护系统,通过Bypass光交换机透明串联部署在网络中,针对增值业务平台中提供Web应用服务的平台提供
专项安全防护。
既满足了业务平台整体WEE应用安全防护的需求,同时通过光路
Bypass功能也规避了串联安全防护设备所面临的单点故障引入的安全风险。
342信号流程
入侵检测信号流
将网络流量通过分光方式传送到入侵检测系统,完成包括应用层漏洞攻击、缓
冲区溢出、端口扫描等网络入侵攻击行为的实时检测及上报工作。
抗拒绝服务信号流
在检测到DDoS攻击后,并非采取简单的阻断手段进行处理,而是将正常网络流量与DDoS攻击流量通过BGPOSPF静态路由等相应路由协议共同牵引至抗拒绝服务攻击系统进行专项流量清洗处理工作,再将处理后的正常网络流量
回注至增值业务平台网络内部,在保障DDoS攻击流量被清洗掉的同时,亦可
满足正常网络流量的通过要求。
WE应用攻击防护信号流
随着WE应用的愈加广泛与复杂,正常WE应用行为与利用WEB进行的恶意攻击行为混杂在一起,传统防火墙等防护手段对此束手无策。
而当信号流经过串
联部署的WEB^用防护系统处理后,正常WEB^用流被允许通过,WEB^用恶意攻击行为被实时拦截,可有效保护WE呢用服务器的安全。
3.5产品列表
产品名称
产品功能
型号
数目
入侵检测系统
对网络恶意入侵、端口扫描、内网病毒等攻击进行实时监测
1
异常流量清洗系统
对常见网络层DDoS和应用层DDoS攻击进行实时防护,清洗异常流量,保障正常流量通过。
WE应用防火墙
通过行为模式分析,协议还原等手段
对WEB^用常见的类似SQL注入、XSS跨站脚本攻击等OWASPTOP1攻击手段进行实时防护
2
3.6方案总结
经过以上本期信息安全防护体系的部署及实施,XXX公司增值业务平台整体安全性得到
全面的提升,完成了核心骨干层及WEB^用层网络的安全检测及防护体系的建设工作,包括
如防DDoS攻击、入侵检测、Web应用安全防护等方面的具体工作内容,有效抵御当前业务平台面临的安全风险及威胁,同时满足是上级主管部门对于业务平台的相关安全管理规范和检查要求,为业务平台安全稳定的运行保驾护航。
四、XXXX产品功能简介
4.1产品简介
4.1.1
XXXX入侵检测产品
4.1.2
XXXWEB应用防火墙
4.1.3
XXXX%拒绝服务攻击系统
4.2
产品优势
五、附录:
公司介绍
欢迎您的下载,
资料仅供参考!
致力为企业和个人提供合同协议,策划案计划书,学习资料等等
打造全网一站式需求