业务系统应用安全加固解决方案Word文档格式.docx

1、2.3风险可能导致的问题 业务系统包含Web服务器、存储服务器、数据库服务器等多种类型的业务服务器，向internet、intranet等多个区域提供服务，业务系统要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而一期网络安全建设中防火墙仅仅是通过vlan、ACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段，从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成众多泄露事件的原因之一。风险造成的结果有以下几种：业务系统篡改问题 业务系统的架构是B/S架构，大量的web应用可能存在被攻击的风险。业务系统的篡改是指攻击者利用Web应用程序漏洞将正常的网页替

2、换为攻击者提供的网页/文字/图片等内容。一般来说篡改的问题对计算机系统本身不会产生直接的影响，但对于业务系统，需要与用户通过业务系统进行沟通的应用而言，就意味着业务系统的服务将被迫停止服务，对单位形象及信誉会造成严重的损害。业务系统挂马问题 业务系统网页被挂马也是利用Web攻击造成的一种网页篡改的安全问题，相对而言这种问题会比较隐蔽，但本质上这种方式也破坏了业务系统的完整性。挂马会导致Web业务的最终用户成为受害者，成为攻击者的帮凶或者造成自身的损失。这种问题出现在业务系统中也严重影响业务的正常运作并影响到单位的公信度。无法响应正常服务的问题 黑客通过网络层DOS/DDOS拒绝服务攻击使业务系

3、统无法响应正常请求。这种攻击行为使得服务器充斥大量要求回复的信息，严重消耗网络系统资源，导致业务系统无法响应正常的服务请求。对于业务系统可用性而言是巨大的威胁。业务系统服务器被控制 黑客通过系统漏洞攻击、应用程序漏洞攻击可以使造成缓冲区溢出等安全问题，通过这些问题可以使得黑客可以肆意的在出现溢出的过程中添加具有权限获取能力的代码，并通过这些手段最终获取业务系统服务器的权限。服务器的系统权限一旦被黑客获取，就意味着黑客可以完全控制业务系统的服务器并为所欲为，其危害不言而喻。敏感信息泄漏问题 这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的用户资料、身份证信息、

4、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于业务系统而言是致命的打击，可产生巨大的不良影响。 2.4业务系统脆弱性分析 结合一期业务系统网络安全建设现状分析，现业务系统脆弱性在各层面主要体现在：网络层面 业务系统一期网络安全建设部署了防火墙通过访问控制实现边界接入区、应用服务区、数据库服务器区等区域的安全隔离，能够从网络层面有效的对逻辑区域进行隔离。但由于防火墙的局限性，对于利用网络协议漏洞的DOS/DDOS攻击仍然没有很好的防护效果，利用网络协议的攻击可能导致网络瘫痪而无法响应正常业务请求及访问。系统层面 系统层面上主要是不断发现的各种安全漏洞，包括本地溢出，远程溢出等脆弱性

5、问题。由于操作系统都不可避免的存在bug，包括安全方面的bug，因此系统本身的脆弱性是不可能完全避免的，只能在一定时间内减少和降低危害。而当前业务系统一期网络安全建设并没有对系统层面的攻击提供有效的防护措施，安全维护人员仅仅通过在互联网上下载最新的操作系统补丁来保证系统漏洞不被轻易利用，而服务器逻辑隔离于互联网、或者业务系统运行于内网，使得补丁无法及时更新，业务系统系统层面的安全风险十分严重。且服务器往往由于更新不及时也可能带来新的“0”日攻击的威胁。通过安全评估发现系统层面的漏洞广泛存在于应用服务器区、数据库服务器区大量应用服务器和数据服务器之上。利用系统漏洞攻击可以使攻击者获得系统级的权限

6、而为所欲为，危害严重。系统层面的安全风险需要进行统一防护。应用层面 应用层面的脆弱性最为复杂，包括了常见应用，B/S业务服务程序中可能存在的安全漏洞，WEB开发中的安全隐患以及目前用的网站管理系统都可能成为被攻击者所利用。而业务系统基于ASP、PHP、JSP开发，不可避免的存在软件开发本身的漏洞、造成黑客的SQL注入，致使业务系统数据库和网页文件被篡改或者被窃取。把业务系统主页修改使得大你问名义受损，造成不良的影响。应用层面的攻击没有办法完全修改业务系统构架来避免，在业务系统更新修改后还有可能存在新的漏洞。同时用于承载业务的各类应用软件本身也存在大量的漏洞，包括业务发布应用程序（如IIS、Ap

7、ach等），数据库软件（如，oracle、mssql等），中间件（如weblogic等），利用他们也可以对业务系统本身造成严重的危害。所以应用层面的安全威胁需要严格防护，并作为本次业务系统安全加固的重点。数据层面 由于安全的建设的基本原则是保证安全防护最大化，并没有办法实现100%的安全防护，安全设备仍有可能存在被绕过的风险。而在数据层面的脆弱性也就因此产生，主要表现在数据的传输是否安全，获取方式是否合法，是否有非法窃取的风险，是否存在“拖库”、“暴库”的风险。为了保证整个业务系统最核心的数据部分，本次安全加固需要包含对于数据是否被非法窃取的防护措施。2.5业务安全加固建设目标 从本次网络安全

8、规划的主要目的分网络层次考虑，利用各种应用安全加固技术和手段应用到实际网络环境中，将业务系统建设成一个支持各级别用户或用户群的纵深安全防御体系，在保证业务系统高可用的同时，保证业务系统应用安全。 1、最大限度的控制网络系统，加强边界访问控制权限的建立，降低安全风险； 2、消除网络系统、操作系统、应用系统本身存在的大量弱点漏洞和认为操作或配置产生的与安全策略相违背的系统配置，减少入侵者成功入侵的可能； 3、加强网络系统入侵行为的检测和防御能力，有效阻止来自外部的攻击行为，同时也防止来自内部的违规操作行为； 4、通过加固手段切实提高操作系统的安全级别，保证系统安全； 5、针对业务系统本身可能面临的

9、应用安全风险有针对性的进行安全加固，防止应用安全威胁危害业务系统正常安全使用； 6、增强事后防御的措施，控制、保障业务系统内部的敏感信息、保密信息、涉密信息在网络协议中传输，针对业务系统本身制定严格的合规性策略，控制不法份子绕过防御体系进行信息窃取的行为； 7、加强业务系统被非法修改的能力，实现防止业务系统web界面被非法修改的根本目的。3方案设计 在业务系统脆弱性分析的基础上，我们对网络层面、系统层面、应用层面、数据层面进行详细的方案设计，对设计到的产品/子系统和技术，进行详细的阐述。3.1网络安全加固方案 网络层面的安全加固主要针对业务系统网络层可能面临DOS/DDOS攻击进行强化的防护，

10、对于进入网络中的病毒/木马/蠕虫进行过滤和清洗。 因此本次应用安全加固的安全建设中，采用一体化安全网关部署于原防火墙后与一期业务系统网络安全建设的防火墙形成异构，实现出口网络安全加固，同时实现简化组网、简化运维、最优投资的价值。3.1.1防病毒子系统 蠕虫病毒是对网络的重大危害，蠕虫病毒在爆发时将使路由器、3层交换机、防火墙等网关设备性能急速下降，并且占用整个网络带宽。针对病毒的风险，应通过终端与网关相结合的方式，以用户终端控制加网络防病毒网关进行综合控制。重点是将病毒消灭或封堵在终端这个源头上。在广域网出口及互联网出口上部署网关防病毒子系统，在网络边界对数据流进行集中监测和过滤控制，可以在一

11、定程度上避免蠕虫病毒爆发时的大流量冲击。 防病毒子系统提供先进的病毒防护功能，可从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，也可查杀压缩包（zip，rar，gzip等）中的病毒。同时采用高效的流式扫描技术，可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈。 防病毒子系统的具有大容量病毒库，能够查杀10万种以上种病毒。为了更有效地过滤网络病毒，除了特征码识别、广谱特征码、启发式扫描技术等几种常见的检测方法以外， NGAF还采用了多种先进的新一代病毒扫描引擎技术，以巧妙而精确的算法保证在检测大量病毒时，仍然保持高速而准确的检测结果，其中包括:病毒脱壳技术:对加壳的病毒先

12、进行脱壳，然后再进行检测。OLE分离技术:宏扫描从Office文件中提取宏，根据已知的宏病毒字符串对宏进行检测，并对宏中的代码行为进行分析，识别宏病毒。压缩格式病毒检测技术:轻松查杀多种压缩格式的病毒，如ZIP、GZIP、RAR、ARJ、ARC、LZH、CAB、ZOO、TAR和CHM等。木马、黑客程序检测技术:针对网络上流行的木马、黑客程序， NGAF扫描引擎采用了独特的特征&行为双重检测技术，可以对其进行有效的阻断。高速的协议分析、还原和内容检测技术:通过精心设计的算法保证了在检测大量病毒时仍然保持高速而准确的检测结果。3.1.2DOS/DDOS防护子系统 常见的DDOS攻击方法有SYN F

13、lood、Established Connection Flood和Connection Per Second Flood。已发现的DOS攻击程序有ICMP Smurf、UDP 反弹，而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo 和 Stacheldraht。 DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络的正常业务无法进行，严重损害单位的声誉并造成极大的经济损失，使IT部门承受极大的压力。 DOS/DDOS防护子系统采用自主研发的DOS攻击算法，可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DO

14、S攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，实现L2-L7层的异常流量清洗。3.2系统安全加固方案 系统安全层面的加固主要针对承载业务系统本身的各类服务器底层的操作系统进行安全防护实现系统安全加固的目的。 通过入侵防御子系统在业务系统核心交换前形成“虚拟补丁”的防御体系，全面提升web应用服务区、数据库服务器区、服务器区、DMZ区服务器操作系统安全防护能力。采用入侵防御子系统形成“虚拟补丁”的防御体系可切实减少系统管理员服务器群的安全维护成本，借助厂商强大的安全研究能力可以防御“0”日攻击的风险。 网络核心交换前采用开启入侵防御子系统，监视、记录并阻断网络中的所有非法的访

15、问行为和操作，有效防止非法操作和恶意攻击。同时，入侵防御子系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。 需要说明的是，入侵防御子系统是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵防御子系统作为网络安全体系的第二道防线，对在防火墙系统阻断攻击失败时，可以最大限度地减少相应的损失。入侵防御子系统也可以与防火墙子系统等安全产品实现联动，纵深防御APT攻击，简化管理员管理实现动态的安全维护。 入侵防御子系统是防火墙技术的有效补充，利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，利用操作

16、系统本身的漏洞轻易绕过防火墙。 基于应用的深度入侵防御子系统采用六大威胁检测机制：攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析能够有效的防止各类已知未知攻击，实时阻断黑客攻击。如，缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。 入侵防御子系统融合多种应用威胁检测方式，提升威胁检测的精度。检测方式主要包含6种检测方式：1.攻击特征检测2.特殊攻击检测3.威胁关联分析4.异常流量检测5.协议异常检测6.深度内容分析 入侵防御子系统的漏洞防护策略的设计思路是，防御服务器和客户端的各

17、种漏洞，以保护服务器和客户端不受攻击。管理员在配置策略时可根据具体的应用场景，配置针对性的策略，便于维护与管理。 利用入侵防御子系统可防护的服务器漏洞包含：协议脆弱性保护DDoS攻击保护DNS服务器保护其他exploit保护finger服务保护ftp服务器保护imap服务器保护mysql服务器保护netbios服务保护nntp服务保护oracle服务器保护Pop2服务器保护Pop3服务器保护RPC服务保护remote service保护 远程探测防护shellcode防护smtp服务器保护snmp服务器保护SQL server服务器保护telnet服务保护tftp类服务保护voip防护fron

18、tpage扩展安全性保护iis服务器保护X11服务器保护3.3应用安全加固方案 应用层面的安全加固主要针对本次业务系统应用安全建设中web应用程序基于ASP、PHP、JSP等开发的B/S业务，本身不可避免的存在软件开发本身的漏洞、造成黑客的SQL注入，致使业务系统数据库和网页文件被篡改或者被窃取的问题进行有针对性的应用安全加固。 通过Web安全子系统部署于web服务器区核心交换前实现双向内容的检测，针对HTTP协议的深入解析，精确识别出协议中的各种要素，如cookie、Get参数、Post表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，精确的检测其是否包含

19、威胁内容。Web安全子系统作为web客户端与服务器请求与响应的中间人，能够有效的避免web服务器直接暴露在互联网之上，采用双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤，防止web安全风险。 Web安全子系统有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。3.4数

20、据安全加固方案 数据层面的安全加固主要为了应对攻击手段越来越先进的黑客攻击和目的性和持续性很强的高级持续性威胁（APT）等类似的高级攻击。因为安全防御体系并不能达到100%的防御效果，通常采用这种攻击方式的攻击带有明确的攻击意图和不达目的不休止的特点，黑客往往应用先进的攻击手段绕过防御体系，从而给业务系统造成不可挽回的损失。有针对性的对数据、内容进行保护，采取事后的防御技术手段可以有效的降低系统被破坏、窃取、篡改的风险，将安全损失降到最低。 本方案中采用防篡改子系统和信息泄漏防护子系统部署于服务器区核心交换前进行针对行的数据安全加固，可有效避免网页被篡改/挂马，敏感信息被窃取的风险。3.4.1

21、防篡改子系统 当业务系统网页被数据篡改后，用户看到的页面变成了非法页面或者损害企事业单位形象的网页，这种事故往往会给单位造成很严重的影响，甚至造成严重的经济损失。防篡改子系统的应用可有效降低此类风险，当内部网站数据被篡改之后，设备可以重定向到备用网站服务器或者指定的其他页面，并且及时地通过短信或者邮件方式通知管理员。 防篡改子系统使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安装第三方软件，易于使用和维护，在防篡改部分基于网络字节流的检测与恢复，对服务器性能没有影响。3.4.2信息泄漏防护子系统 信息泄漏防护子系统提供可定义的敏感信息防泄漏功能

22、，根据储存的数据内容可根据其特征清晰定义，通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。 敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止大量敏感信息被非法泄露。邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码 通过深度内容检测技术的应用，信息泄漏防护子系统具备深度内容检测的能力。能够检测出通过文件、数据流、标准协议等通过网关的内容。因此具备针对敏感信息，如186、139等有特征的11位的手机号码、18位身份证号，有标准特征的邮箱等有特征数据进行识别。并通过分离平面设计的软件构架，实现控制平面与内容平面检测联动，通过控制平面向

23、底层数据转发平面发送操作指令来阻断敏感信息的泄漏。有防护了业务系统的敏感泄漏的风险。4产品部署示方案（根据实际情况选择部署方案）4.1方案一：一站式应用安全加固部署方案4.1.1产品部署方案 为XX单位提供针XX业务系统服务器集群完整的应用安全加固安全解决方案。 通过在服务器集群汇聚交换前双机部署两台 下一代应用防火墙NGAF，可实现业务系统服务器的逻辑隔离，防止来自网络层面、系统层面、应用层面以及数据层面的安全威胁在业务系统数据中心各区域内扩散。 二期建设采用业务系统一站式应用安全加固部署方案，通过 下一代防火墙NGAF的部署可以从从攻击源头上帮助XX单位防护导致业务系统服务器区内业务各类网

24、络、系统、应用、数据层面的安全威胁；同时 下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。 1、 下一代防火墙AF-8020双机部署于核心交换前可实现业务系统服务器区一站式整体安全防护； 2、通过防火墙子系统模块的访问控制策略ACL可实现网络安全域划分，阻断各个区域间的网络通信，防止威胁扩散，防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题； 3、通过DDOS/DOS子系统功能模块进行网络层面的安全加固，可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等

25、问题； 4、通过防病毒子系统功能模块可实现各个安全域的流量清洗功能，清洗来自其他安全域的病毒、木马、蠕虫，防止各区域进行交叉感染； 5、利用入侵防御子系统功能模块可实现对服务器集群操作系统漏洞（如：winserver2003、linux、unix等）、应用程序漏洞（IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等）的防护，防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题； 6、通过web安全子系统功能模块的开启，可实现对各个区域（尤其是DMZ区）的web服务器、数据

26、库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利，使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题； 7、通过信息泄漏防护子系统功能模块的开启，可自定义业务系统的敏感信息防止黑客绕过防御体系窃取业务系统的敏感信息； 8、通过防篡改子系统功能模块的开启，可防止黑客利用各层面安全漏洞非法篡改业务系统合法界面，防止被篡改界面发布于众； 9、通过风险评估子系统模块的启用对服务器集群进行安全体检，通过一键策略部署的功能开启入侵防御子系统模块、web安全子系统模块的对应策略，可帮助管理员的实现针对性的策略配置。 10、通过智能联动模块的应

27、用，可形成防火墙子系统功能模块、入侵防御子系统功能模块、web安全子系统功能模块的智能联动，有效的防止工具型、自动化的黑客攻击，提高攻击成本，可抑制APT攻击的发生。4.1.2拓扑图4.1.3产品选型序号设备名称描述数量单价（万）1 下一代防火墙NGAF型号：AF-8020（功能参数）2总预算（万元）：4.2方案二：节点纵深防御应用安全加固部署方案4.2.1产品部署方案 网络安全加固方案部署：通过在总核心交换前双机部署网关部署两台 下一代应用防火墙NGAF，可实现业务系统服务器、DMZ区域、办公区域的逻辑隔离，防止来自网络层面、系统层面、应用层面以及数据层面的安全威胁在业务系统数据中心各区域内扩散。 系统安全加固方案部署：通过在服务器集群核心交换前透明部署两台 入侵防御子系统，在业务系统核心交换前形成“虚拟补丁”的防御体系，全面提升web应用服务区、数据库服务器区、服务器区操作系统安全防护能力。 应用安全加固方案部署：通过在服务器集群汇聚交换前透明部