政府网站群及外网服务平台安全加固项目投标书东方数据.docx
《政府网站群及外网服务平台安全加固项目投标书东方数据.docx》由会员分享,可在线阅读,更多相关《政府网站群及外网服务平台安全加固项目投标书东方数据.docx(22页珍藏版)》请在冰点文库上搜索。
政府网站群及外网服务平台安全加固项目投标书东方数据
X区政府网站群及外网服务平台安全加固项目投标书
上海X数据广播有限公司
X年11月
文档信息
文档名称
X区政府网站群及外网服务平台安全加固项目投标书
保密级别
商密
文档版本编号
2.0
文档管理编号
文档细节编号
制作人
制作日期
X-11-07
复审人
复审日期
一、X区政府网站群及外网应用现状概述
随着网络技术的高速发展,政府网络建设也一直走在网络发展的前端。
而随着网络技术的发展,网络的安全问题日益突出。
近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。
在政府网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,政府网的管理者已经将安全因素看作网络建设、改造的关键环节。
国内政府行业网站的安全问题有其历史原因:
在旧网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。
而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。
随着网络规模的急剧膨胀,网络用户的快速增长,一方面政府网已从早先政府、科研的试验网的角色已经转变成政府、科研和服务并重的带有运营性质的网络,政府网在政府的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证政府网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫问题;因此,解决网络安全问题刻不容缓。
二、X区政府网站应用安全风险分析
1.1网站面临的主要威胁
目前X区的门户网站以及其网站群,用来宣传和介绍政府的基本状况,部分网站还具有视频、论坛、博客等多个子频道。
网站系统都一般基于ASP、PHP、JSP开发,这样就不可避免的存在软件开发本身的漏洞、造成黑客的SQL注入,致使网站数据库和网页文件被篡改,把门户网站主页改为不健康网站,让政府的名义受损,造成严重的社会影响。
另外一种方式——由于部分X区的网站安全性比较弱,网络安全是漏洞百出,没有较好的网络管理员进行管理和维护,一些很不专业的黑客专门攻击和入侵这些政府网站,使用较简单的入侵和攻击工具就可以屡屡得手。
我们将安全威胁按照攻击方式划分如下类别:
Ø主动攻击:
企图破坏和攻击保护设施,引入恶意代码或窃取和修改信息数据。
常见的黑客入侵和病毒均属于这一类;
Ø被动攻击:
主要包括流量分析,监视未保护数据,解密数据,获取密钥和密码等;
Ø内部人员攻击:
包括恶意的窃听,破坏,偷窃信息以及非恶意的违反安全策略等类型;
1.2X区网站主要脆弱性
我们将安全脆弱性分为如下层次进行分析:
Ø网络层次:
网络层面的攻击主要集中在网络设备的漏洞方面,对于整个网站所连接的交换路由以及防火墙会存在一定的脆弱性。
Ø系统层次:
系统层次上主要是不断发现的各种安全漏洞,包括本地溢出,远程溢出等脆弱性问题。
由于操作系统都不可避免的存在bug,包括安全方面的bug,因此系统本身的脆弱性是不可能完全避免的,只能在一定时间内减少和降低危害。
Ø应用层次:
应用层次的脆弱性最为复杂,包括了常见应用,如WWW服务程序中可能存在的安全漏洞,WEB开发中的安全隐患以及目前政府用的动易网站管理系统都可能成为被攻击者所利用。
Ø管理安全风险:
企业员工的安全意识薄弱,企业的安全管理体制不健全也是网络存在安全风险的重要因素之一,健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。
1.3风险可能导致的结果
安全威胁可能引发的结果有非法使用资源、恶意破坏数据、数据窃取、数据篡改、假冒、欺骗、敲诈勒索等。
种种结果对与我们政府行业来说,其损失和影响都是不可估量的。
必须将风险防患于未然。
三、安全需求分析
通过以上对X区网站应用安全风险分析,我们提出政府网站系统的防范网络安全危险的安全需求:
Ø综合安全WEB应用防火墙,针对目前网络的主要攻击方式和攻击手段发展起来的一种全新防护技术,需要有效阻止来自互联网的各种网络和应用攻击。
包括阻止SQL注入攻击,挂马攻击,跨站攻击,DdoS攻击等。
通过WAF应用防火墙的部署,能够有效阻止Web应用自身漏洞带来的安全风险。
Ø网络日志审计系统:
作为一个统一日志监控与审计平台,能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库、中间件、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。
对一段时间内的网络流量或者网络连接数进行统计,并描绘趋势曲线。
通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型,进而对异常流量和行为进行审计。
Ø数据库审计系统:
采用旁路侦听的方式对通过网络连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者可疑行为。
产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。
能够对业务环境下的网络操作行为进行细粒度审计。
系统通过制定符合业务网的审计策略,对符合策略的网络操作行为进行解析、分析、记录、汇报,以帮助用户事前规划预防,事中实时监控、违规行为响应,事后合规报告、事故追踪回放,帮助用户加强内外部网络行为监管、避免核心资产(数据库、网络服务器等)损失、保障业务系统的正常运营。
Ø智能网络监控系统:
网络监控平台,主要针对内网设备服务进行监控。
当出现问题时通知用户,重新恢复后可以再次通知用户。
可以设定相应阈值,在主机或系统状态变差前得到告警。
通过网络监测预警平台的建设,将做到IT系统故障早发现、早解决,确保计算机系统、网络和应用的连续、可靠、安全运行,降低发生故障的可能性,提高IT系统运行管理水平和服务保障能力。
实现对各业务系统、应用程序、服务器、存储设备、网络系统、网络设备以及安全系统等的监测和管理,直接提供与应用相关的集中监测的能力、手段和工具。
四、解决方案
根据政府行业网站安全的现状及安全风险分析,X数据应用安全团队通过对政府行业网站安全多年的研究、调研,针对政府行业网站安全提出了全新的安全防护方式,采用综合安全WEB应用防火墙+网络日志审计系统+后端库审计系统+智能网络监控系统完美的解决政府网站安全防护问题免遭黑客攻击篡改,防患于未然,可以从根本上解决X区网站所面临的安全隐患,保障X区网站以及前端应用安全、稳定的运行。
1.4WEB应用防火墙
1.1.1应用防火墙介绍
在“应用为王”的时代,WEB应用成为攻击的首选目标,WEB应用安全问题愈演愈烈。
本次项目中采用的设备是国内第一款集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。
X数据全新的安全理念与先进的创新架构,保障用户核心应用与业务持续稳定的运行。
事前主动防御,智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击,全方位保护WEB应用。
事中智能响应,快速P2DR建模、模糊归纳和定位攻击,阻止风险扩散,消除“安全事故”于萌芽之中。
事后行为审计,深度挖掘访问行为、分析攻击数据、提升应用价值,为评估安全状况提供详尽报表。
面向客户的应用加速,提升系统性能,改善WEB访问体验。
面向过程的应用控制,细化访问行为,强化应用服务能力。
面向服务的负载均衡,扩展服务能力,适应业务规模的快速壮大。
1.1.2产品特色
Ø全面的协议分析
完全的HTTP/1.1协议和事务解析,数据流双向深度检查。
对URI表单参数进行Base64,URLEncoded等格式解码,防止编码逃避。
支持Cookie保护。
防范http flood攻击。
Ø强大的特征库
内置600余条典型攻击特征,针对穿山甲等常用工具进行优化,阻止SQL注入、跨站脚本、目录和服务器信息泄露、HTTP参数污染(HPP)等常见攻击,涵盖OWASPTOP10威胁,并可自动升级。
支持自定义防护规则,对URI,参数等所有HTTP服务元素进行防护。
Ø智能应用感知
智能分析双向HTTP流量,自动学习WEB服务器和站点信息。
自动分析站点目录结构、页面、HTTP方法、表单参数,多次采样参数值,智能分析参数类型。
基于URI、表单参数、参数类型、取值范围等信息分析形成应用访问知识库,防止未知攻击。
Ø防信息泄露和滥用
网页防盗链,防止信息滥用。
身份证、银行帐号等敏感内容过滤和替换,防止敏感信息泄漏。
随机生成HTTPServer头,自定义WEB错误页面,防止服务器信息泄露。
阻断攻击探测,防止WEB应用信息被恶意获取。
Ø防篡改
实时检测页面篡改,支持数字水印、相似度、内容取样等多种算法。
可检测针对大(超过50M)文件的篡改行为,防止用户下载被病毒感染或捆绑恶意软件的文件。
针对篡改页面访问,支持发送镜像内容、阻断请求或页面重定向等响应动作。
ØWEB漏洞扫描
支持主动扫描,提供SQL注入、跨站脚本(XSS)、XML/XPATH注入等漏洞的扫描与分析。
支持静默扫描,为上线的应用系统提供实时安全评估。
Ø自动响应与告警
自动阻止攻击源,防范持续攻击试探。
邮件告警,可对攻击、威胁、篡改、应用DOS等进行实时告警。
支持SNMP/SYSLOG,接入安管平台。
ØWEB诱捕
内置WEB诱捕系统,快速识别、定位和阻断自动攻击。
支持外部WEB诱捕系统,吸引攻击者的注意力,降低应用系统被攻击的风险。
Ø应用交付
高性能的负载均衡,支持多种均衡算法和会话保持。
实时WEB服务健康检查,迅速反馈应用服务活动状态。
WEB服务不可用时,自动分发请求至备用服务器,防止请求失败,并可对外告警。
实时压缩WEB应用数据、高速缓存静态应用内容,改善终端用户性能,提高带宽利用率,显著减少服务器负载。
连接保持、双向TCP连接池和高效复用算法优化服务器连接,改善服务器性能提高响应速度,加快用户访问速度。
支持SSL加速,支持设备内颁发电子证书。
Ø应用控制
时空限制,对特定URL路径访问源的区域、时间和IP地址进行控制,防止非法授权访问。
URL访问认证,基于IP范围、用户组等权限进行授权。
URL级别WebQoS,最大限度缓解WEB服务器因访问量大而造成的DOS攻击。
可定义WEB服务器最大服务能力,防止请求浪涌导致服务器异常。
访问过载保护,自动保护已建立连接,将后续连接放入连接队列。
URI映射和虚拟主机,将相同站点的不同路径(URI)映射至不同WEB服务器,统一域名,节省资源。
HTTP头管理,支持增加、删除、替换HTTP头和值。
Ø高可用性
VRRP双机冗余。
硬件或者环境故障时,硬件BYPASS防止网络和应用出现中断。
产品故障或用户特殊需要时,软件BYPASS支持软件停止服务而不中断正常应用。
Ø多样的部署模式
支持透明网桥、路由器、单臂路由方式接入网络,适应各种复杂的网络拓扑。
支持反向代理、应用透明、应用旁路工作模式,适应各种规模和特性的WEB应用系统。
链路聚合,提升链路带宽和可靠性。
策略路由,支持多链路接入。
Ø丰富审计分析与报表
基于用户访问的行为分析与审计,对页面点击率、客户端地址、访问流量和时间等维度进行有效行为跟踪和呈现。
对攻击来源、数据、时间、处理结果提供灵活查询和过滤。
可自定义各种审计查询分析图表,支持饼图、柱状图、折线图和摘要表,内置60个常用查询分析,为WEB安全审计提供丰富的审计报告。
可导出站点访问和审计日志,为外部日志分析系统提供原始数据。
统提供原始数据。
1.1.3 产品部署
此防火墙系统做到了真正的透明,即无论使用任何功能,对正常使用网络的合法用户来说防火墙系统是不可感知的。
很显然系统具有这样的功能有两个好处:
(1)防火墙系统的安装和卸载都不会影响网络的任何一部分,管理人员可以平滑地安装和卸下此防火墙系统,而无需更改网络中其它设备的设置或参数,既可以节省网络管理员宝贵的工作时间,又不会影响到网络用户的正常工作。
(2)减少了用户的操作。
一般情况下,用户为了使用代理服务器要在客户端的应用程序(如浏览器、FTP程序)上设置代理的IP地址和端口,而且还要有一个前提,就是客户端应用程序必须支持代理(有很多种客户端应用程序是不支持代理的,如TELNET程序)。
而使用此防火墙系统的用户不必再做任何设置,就可以直接使用代理服务,极大的方便了网络用户。
1.5网络日志审计系统
1.
1.1.
1.2.
1.2.1日志审计系统介绍
泰合信息安全运营中心系统V3.0日志审计子系统日志审计平台是一个面向全网IT资源的集中安全管理平台。
她通过对网络中各类IT资源的安全域划分,以及海量异构网络与安全事件的采集、处理和分析,面向业务信息系统建立一套可度量的风险模型,使得各级管理员能够实现全网的资产运行监控、事件分析与审计、风险评估与度量、预警与响应、态势分析,并借助标准化的流程管理实现持续的安全运营。
基于网络、实时、无代理的事件日志和应用日志监控和管理系统。
它能对分布式Windows主机的事件日志;Unix主机、路由器、交换机和其他支持syslog的设备的系统日志;以及IIS网络服务器、IISFTP服务器、MSSQL服务器Oracle数据库服务器、DHCP-Windows和DHCP-Linux服务器的应用日志,进行收集、分析、报告和归档。
通过丰富的图表和报表,帮助管理员全面分析系统问题。
1.2.2产品功能
产品集集中事件日志管理、合规性报表、自动告警、历史趋势、安全分析、主机分组、预置事件报表、自定义报表文件、计划报表,以及多种报表格式。
泰合信息安全运营中心系统基于开放式的软件平台设计架构,由多个功能模块组成,用户可以自由选择搭配,后续还能够无缝升级。
系统的主要功能包括:
1.2.2.1事件及流量管理
系统能够采集全网中各类网络设备、安全设备、主机、数据库、应用系统等的日志、告警和事件,并对这些信息进行范式化、过滤、归并,形成统一的事件格式,包括统一事件严重等级、统一事件类型和名称等,使得管理员能够在系统的管理控制台上方便地浏览所有安全事件,并确保信息的一致性。
针对所有安全事件,系统能够借助泰合独有的事件关联分析引擎进行多种事件关联分析,包括规则关联、漏洞管理、统计关联,等等。
除了采集各类安全事件,系统还能够采集形如NetFlow的流量日志。
针对采集来的NetFlow流量日志的分析,系统能够建立网络流量模型,通过泰合特有的基于流量基线的分析算法,发现网络异常行为。
1.2.2.2脆弱性管理
系统支持将各类第三方漏洞扫描、应用扫描和人工评估的漏洞信息整合到一起,形成基于资产和业务的漏洞信息库,并计算资产和业务的脆弱性。
系统能够对新发现的漏洞信息进行预警通告。
1.2.2.3安全预警与风险管理
系统可以遵循《GB-T20984-2007信息安全技术信息安全风险评估规范》标准的推荐要求对用户业务信息系统进行风险评估与分析,结合资产及业务的价值、脆弱性和威胁信息,计算资产或业务的风险等级,并进行预警和展示。
系统还能对重要的威胁事件、漏洞信息进行预警和展示。
Ø态势分析
泰合安全运营中心系统是国内首个具备态势宏观分析能力的安全管理平台。
针对系统收集到的海量安全事件,系统借助地址熵分析、三元组分析、热点验证分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,对重大威胁进行识别、定位、预测和跟踪。
Ø响应管理
系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式(例如邮件、短信、声音、SNMPTrap等)通知用户,并触发可以自定义的响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。
系统支持设备控制脚本,允许管理员自动对设备进行操作控制,及时阻断攻击源。
系统内置工作流引擎,能够进行响应处理流程的自定义。
系统具备开放式接口,能够与第三方运维管理系统实现对接。
Ø知识管理
系统具有国内最完善的安全管理知识库系统,内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、工作流程库、案例库、报表库等,并提供定期或者不定期的知识库升级服务。
Ø用户管理
系统采用三权分立的管理体制,默认设置了用户管理系统管理员、安全运营中心管理员、审计管理员分别管理。
系统用户管理采用基于角色的访问控制策略,即依据对系统中角色行为来限制对资源的访问。
Ø自身系统管理
实现了系统自身安全及维护管理。
主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。
Ø信息展示
系统为客户提供了多样化的信息展示方式。
包括:
整合网络的可视化视图、具体应用服务的运行细粒度视图、基于规则的安全事件交叉视图、基于资产及安全域的风险视图,等等。
Ø报表报告
系统具备实时和调度报表功能,能够根据各种统计条件实时动态地产生丰富的统计报表,也可以根据客户自定义的调度计划定期自动生成报表报告。
系统支持客户自定义报表功能,能够生成各类客户化的报表报告。
1.2.3支持的平台和设备
能够收集和报告以下的操作系统、设备和应用的事件日志:
WindowsTNT/2000/2003/XP、Linux-RedHat,Debian、UNIX-Solaris、HP-UX、Cisco交换机和路由器,WindowsSNARE、IISWeb服务器、FTP服务器、MSSQL服务器、Oracle数据库服务器、DHCP-Windows和DHCP-Linux等。
1.6数据库审计系统
1.
1.1.
1.2.
1.3.
1.3.
1.4.
1.3.1数据库审计介绍
数据库设计是指对审计和事务日志进行审查,从而跟踪各种对数据库操作的行为。
一般审计主要记录对数据库的操作、对数据库的改变、执行该项目操作的人以及其他的属性。
这些数据库一般被记录到独立的平台中,并且具备较高的准确性和完整性。
针对数据库活动或状态进行取证检查时,审计可以准确的反馈数据库的各种变化,对我们分析数据库的各类正常、异常、违规操作提供证据。
本次项目中使用的X引擎,是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。
它通过对业务人员访问系统的行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
对于业务系统的核心——数据库的审计能力表现尤其出色,是国内审计数据库类型最全,解析粒度最细的审计产品。
1.3.2数据库审计法规要求
法规控制在一些领域起了关键性的作用,例如在业务变更、业务流程验证、系统故障、人为违规操作等方面。
因为数据库作为各项资产或者业务的核心,所以数据库审计在各类标准法规中非常重要
《萨班斯法案》强调加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制是紧密围绕信息安全审计这一核心的。
巴赛尔新资本协定(BaselII)要求全球银行必须做好风险控管(riskmanagement),而这项“金融作业风险”的防范正需要业务信息安全审计为依托。
《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。
《ISO15408-2安全功能要求》明确要求数据库安全审计应包括:
识别、记录、存储和分析那些与安全相关活动(即由TSP控制的活动)有关的信息;检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。
《等级保护数据库管理技术要求》第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应:
建立独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。
1.3.3主要功能:
1.3.3.1深层监测
Ø强大的协议解析能力:
X系统融合了语义检测技术和特征检测技术,实现三到七层的协议分析,特别是在数据库SQL语句的语义解析领域处于国内领先地位。
系统通过对审计事件、会话信息、会话数据的完整记录和回放,方便管理员进行全局管理。
Ø 全面的协议覆盖能力:
X系统提供了对不同类别数据库系统的审计,支持包括,Oracle、DB2、Sybase、Informix、SQLServer、Teradata、MySQL、PostgreSQL、Cache等多个版本的数据库系统,能够实现绑定变量、SQL命令和字段级的审计;针对运维操作审计,支持包括,Telnet、FTP、Rlogin、X11、Radius等协议,能够实现命令级和过程级的内容审计;针对OA操作审计,支持包括Netbios、SMTP、POP3、HTTP等协议,能够实现URL、邮件内容的审计。
Ø多码环境的适应能力:
X系统具备识别多种编码的能力,支持包括ASCII、Unicode、UTF-8、UTF-16、GB2312、EBCDIC等编码格式,避免因编码格式不同而导致审计记录出现乱码的情况,保证了审计记录的可读性。
Ø灵活的规则定义能力:
X系统预置了业界最全面的审计规则集,涵盖了用户常用的网络操作行为。
同时为用户提供了便捷的规则自定义功能,能够根据时间、IP、端口、协议、帐号、操作命令、数据库名、数据库表名、字段名、字段值、返回值等多种条件的规则组合,制定符合用户自身业务环境的审计规则。
Ø高速的事件入库能力:
X系统采用了固化硬件架构设计,超大容量数据存储空间,优化的数据存储引擎,在审计策略全部开启环境下,审计事件每秒入库速率达到万条以上,达到国内最高水平,从而避免用户在事后追踪溯源过程中,出现审计事件漏报的问题。
1.3.3.2精确溯源
Ø 独特的端口认证功能:
系统提供了USB硬件令牌、静态口令、Radius三种认证方式,实现网络TCP端口访问的强制认证,用户可灵活选择。
实现对自然人的绑定,当自然人在进行网络操作时,其真实身份与其网络行为进行关联,从而实现对自然人的追踪和稽查。
Ø高效的源头跟踪能力:
系统能够针对用户网络环境中出现的指定帐号(比如Root、DBA)、指定应用程序(比如SQLPLUS、PL/SQL),进行随时触发、随时跟踪,减少审计事件过多带来的管理负担。
Ø及时多样的响应方式:
系统提供了多种响应方式,支持包括记录、忽略、定级、界面告警、RST阻断、Syslog、SNMPTrap、邮件发送等技术手段,并可与第三方管理平台进行联动(如SOC平台、4A平台等),帮助用户实时掌握审计信息。
Ø易于扩展的分析条件:
系统提供了多达20余种的查询条件,条件之间可任意组合,支持与、或、非逻辑运算规则,系统还提供特有的审计取证功能,简化了分析条件的操作,减少了维护工作量,促进了用户内审经验的传递。
Ø
升级会员 