网络信息安全加固专项方案Word格式.docx
《网络信息安全加固专项方案Word格式.docx》由会员分享,可在线阅读,更多相关《网络信息安全加固专项方案Word格式.docx(12页珍藏版)》请在冰点文库上搜索。
XX安全保障体系仍需要深入完善,防火墙系统不足关键有以下多个方面(略)
2.目前网络不含有针对X攻击专题检测及防护能力。
(略)
3.对正常网络访问行为造成信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为监控管理及安全事件追查取证。
4.目前XX业务平台仍缺乏针对网络内容及已经授权正常内部网络访问行为有效监控技术手段,所以对正常网络访问行为造成信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为监控管理及安全事件追查取证。
5.伴随XX业务平台自有门户网站建设,Web应用已经为最普遍信息展示和业务管理接入方法和技术手段,正因为空前流行,致使75%以上攻击全部瞄准了网站Web应用。
这些攻击可能造成XXX遭受声誉和经济损失,可能造成恶劣社会影响。
目前增值业务平台关键面对以下WEB应用方面风险和威胁:
1)防火墙在阻止Web应用攻击时能力不足,无法检测及阻断隐藏在正常访问流量内WEB应用层攻击;
2)对于已经上线运行网站,用简单方法修补漏洞需要付出过高代价;
3)面对集团对于WEB应用安全方面“合规检验”压力。
6.伴随信息安全发展,XXXX集团在信息安全领域管理制度也愈加规范和细化,在网络、系统、应用等多方面提出了对应安全要求、检验细项及考评措施,并已将信息安全工作纳入到日常运维工作中去。
在近期公布《XXXXX平台安全管理措施(试行)》、《XXXX新建业务平台安全验收指导(试行)》等管理规范中,明确说明了增值业务平台需要建设XXXX系统、XXXX系统对业务平台网络边界进行防护,另外亦需要对系统漏洞、数据库漏洞、WEB应用等方面提供安全防护。
由此可见,业务平台目前缺乏对应整体安全监测及防护手段,无法满足上级主管部门管理要求。
2.3信息安全形势分析
1.系统漏洞依旧是XXX网络面临安全风险之一。
据国家信息安全漏洞共享平台(CNVD)收录漏洞统计,发觉包含电信运行企业网络设备(如路由器、交换机等)漏洞203个,其中高危漏洞73个;
发觉直接面向公众服务零日DNS漏洞23个,应用广泛域名解析服务器软件Bind9漏洞7个。
2.拒绝服务攻击对XXX业务运行造成较大损害及破坏企业形象,发生分布式拒绝服务攻击(DDoS)事件中平均约有7%事件包含到基础电信运行企业域名系统或服务。
✧7月域名注册服务机构XXXXDNS服务器遭受DDoS攻击,造成其负责解析域名在部分地域无法解析。
✧8月,某XXXDNS服务器也连续两次遭到拒绝服务攻击,造成局部用户无法正常使用互联网。
3.网站安全事件层出不穷,黑客利用SQL注入、XSS脚本攻击等工具和技术手段进行网页篡改及信息窃取以非法赢利,造成较大社会影响。
在CNCERT接收网络安全事件(不含漏洞)中,网站安全类事件占到61.7%;
境内被篡改网站数量为36612个,较增加5.1%;
4月-12月被植入网站后门境内网站为12513个。
4.受控僵尸主机数目有增无减,黑客利用受控主机进行信息窃取、跳板类攻击等现象逐步增多。
据抽样检测表明,境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制中国境内主机,其控制境内主机数量由近500万增加至近890万,展现大规模化扩散趋势。
2.4XXX安全事件
1.系统及主机漏洞利用类:
✧XX网相册漏洞利用:
X网相册存在上传漏洞,被国家安全人员上传恶意文件获取系统root权限,该事件曾上报至副总理及政治局常委处,影响程度深、影响范围广;
✧充值系统漏洞利用:
某黑客组织利用XXX充值卡系统漏洞,使用网络渗透手段、黑客工具等方法计算出充值卡号进行出售,造成未售出充值卡已被充值使用或手机无偿充值情况;
✧话费系统漏洞利用:
利用系统漏洞入侵话费系统,篡改话费信息;
✧网厅、积分商城WEB应用漏洞攻击:
利用网站漏洞入侵XXX网站,获取用户信息、冒充用户进行业务订阅或修改用户积分,达成非法赢利目标。
2.木马及病毒传输类:
内部办公主机被控:
某XXX被发觉其内部计算机被境外人员经过木马方法控制,同时该计算机向内部网络扩散蠕虫病毒,可窃取计算机硬盘文件、关键账号等关键数据。
3.网页篡改类:
XXXX网站曾数次发觉主页被篡改,植入广告及其它恶意内容,使其变成非法信息传输平台,影响企业形象,并对业务平台运行带来安全隐患。
4.分布式拒绝服务(DDoS)攻击类:
XX网站曾发觉遭受DDoS拒绝服务攻击,造成其视频业务受损,用户反响强烈。
三、安全处理方案
伴随XX业务平台提供服务不停增加,IT架构和系统也变得更复杂,安全体系也应随需而变。
在多年不停研究和实践基础上,我们提出了全新安全体系框架。
安全体系为安全战略服务,我们设计安全体系包含安全组织体系、安全管理体系、安全技术体系。
◆在安全组织体系中,要建立组织、明确职责、提升人员安全技能、重视雇用期间安全、要和绩效结合;
◆在安全管理体系中,以安全策略为根本,落实安全制度和步骤,对统计存档。
我们从最好安全实践出发,将安全管理体系中过程动态化、连续化,包含风险评定程序、安全工作计划、安全项目管理、运行维护监控、安全审计程序、连续改善计划等,真正和XXX增值业务平台安全建设和安全保障过程结合起来;
◆在安全技术体系中,将多个安全技术相结合,包含准备、预防、检测、保护、响应、监控、评价等。
面对不停出现新兴威胁,需要多个安全技术协调和融合。
安全体系像是企业/组织免疫系统,体系不停完善、组织/人员尽职尽责、全员风险预警意识,才能真正做到主动管理风险。
针对业务平台存在种种安全风险及威胁现实状况,我们提出以下处理方案:
◆从安全技术体系角度出发,建立起运维审计管理体系和安全检测及防护体系,利用“预警、检测、防护、响应”风险管理安全方法,指导业务平台系统完成安全技术体系建设。
◆从安全组织体系和安全管理体系角度出发,建立起完善组织架构、管理措施和工作计划,依据PDCA步骤管理要求,完善业务平台安全管理体系和组织体系建设和优化。
3.1安全运维管理及审计体系
安全运维管理及审计体系关键面对上级主管部门要求周期性主动安全检验工作和内网安全审计两方面工作内容,从事前预防和事后审计两个角度实现安全运维工作计划和安全管理规范落地。
◆在“事前”阶段,对各业务平台系统配置规范、本身漏洞管理两个方面提供对应检验技术手段,避免因为配置不规范或漏洞存在而被恶意利用风险,同时满足上级单位对于基线安全达标规范要求;
◆在“事后”阶段,对各业务系统运维行为、数据库操作行为、第三方人员网络应用行为进行安全审计,全方面统计网络系统中多种会话和事件,实现对网络信息智能关联分析、评定及安全事件正确定位,为事后追查及整体网络安全策略制订提供权威可靠支持,同时满足上级单位对于安全审计方面规范要求。
3.2安全检测及防护体系
u安全检测及防护体系关键面对业务系统目前存在风险和威胁,完成“事中”阶段业务系统被动安全检测及防护工作内容,关键包含以下几方面内容:
◆骨干层网络XXXX系统建设,对由外部网络向内部业务系统网络入侵行为实现实时监测,为后续防护策略细粒度制订及安全事件应急处理给出正确指导意见;
◆各业务平台内部入侵防护系统建设,对内部各业务系统之间网络入侵、蠕虫病毒、木马等方面进行实时监测及防护,实现各业务系统内部信息安全防护;
◆针对已布署Portal门户服务器,可对外提供WEB应用服务业务系统实现专题WEB应用安全防护。
3.3安全技术体系整体建设方案
依据目前安全形势、上级单位管理要求及网络现实状况分析,我们提出以下整体安全建设方案,关键关注安全运维管理及审计体系建设及安全检测机防护体系建设两个方面内容,以满足前文所述“事前”、“事中”、“事后”全周期整体网络安全防护需求。
安全产品整体布署示意图
3.3.1安全运维管理及审计体系建设
3.3.1.1安全运维管理体系
针对增值业务平台整体平面提供安全运维管理技术手段,在骨干层汇聚交换机处布署远程安全评定系统和配置核查系统,在确保IP可达前提条件下,实现对网络中各服务器、网络设备、终端进行漏洞管理和配置规范检验工作,在业务系统上线之前或日常运维过程中,提前发觉系统内存在配置错误或系统漏洞,避免网络存在可供利用安全隐患,满足上级单位文提出基线达标技术要求和实现新业务系统上线安全验收标准落实。
3.3.1.2安全审计体系
针对各增值业务平台分别提供细粒度安全审计技术手段,在各业务平台内部组网交换机处,利用流量镜像方法将网络流量发送到安全审计设备处,安全审计设备完成包含数据库操作行为、第三方人员网络应用行为等在内常见内网应用进行检测、统计及告警上报工作,满足上级单位安全管理规范中对安全审计方面具体要求。
3.3.2安全检测及防护体系建设
3.3.2.1骨干层安全检测及防护体系
◆在骨干层布署入侵检测系统,对缓冲区溢出、SQL注入、暴力猜测、DDoS攻击、扫描探测等常见外网恶意入侵行为进行检测及上报,满足上级单位对于边界防护具体技术要求;
◆在骨干层关键交换机处旁路布署抗拒绝服务攻击产品,针对目前常见SYNFLOOD、UDPFLOOD、ICMPFLOOD、CC、HTTPGET等常见链路带宽型、资源耗尽型和应用层DDoS攻击实现专题防护,保护应用系统正在运行安全。
3.3.2.2各业务系统细粒度安全检测及防护体系
◆在布署有Web应用服务器业务系统内部,串联透明布署Web防火墙系统,实现对Web应用服务器贴身式安全防护,有效阻止恶意人员经过SQL注入、XSS脚本、CSRF等等常见WEB应用攻击手段来获取系统权限、窃取机密信息、传输木马病毒等行为;
◆对于存在内部信息交互需求业务系统之间,经过串联方法布署入侵防护系统,提供细粒度内网入侵检测及防护能力,处理目前面临对于比如内网蠕虫爆发、木马传输等安全事件缺乏有效检测手段安全隐患。
3.4本期项目建设提议方案
依据上级单位管理规范要求、目前信息安全形势和业务平台目前安全风险及事件分析,结合我们在安全技术体系建设研究经验,提议本期项目完成以下工作内容:
◆为了实现系统对网络恶意入侵、端口扫描、内网病毒等攻击进行实时监测及上报功效,本期提议布署入侵检测系统。
◆为了处理目前常见大流量DDoS拒绝服务攻击安全问题,保障业务平台连续、稳定提供服务,本期提议布署DDoS拒绝服务攻击专题防护系统。
◆为了实现针对WEB应用常见类似SQL注入、XSS跨站脚本等攻击手段进行实时防护功效,本期提议布署WEB应用防护系统。
3.4.1安全产品布署拓扑图
安全产品布署示意图
◆本期项目在XX交换机和XX、XX、XX网络间新增入侵检测系统一套。
首先需将原有业务链路按百分比进行分光放大,然后接入入侵检测系统中,从增值业务平台整体角度对安全威胁进行实时监控及检测上报。
◆本期项目在XX交换机处新增流量清洗系统一套,经过旁路布署方法接入至网络中,规避单点故障引入安全风险。
当检测到DDoS拒绝服务攻击时,利用流量清洗系统内置专业检测及处理模块,在增值业务平台整体汇聚层面上即完成DDoS拒绝服务攻击流量清洗工作,避免攻击流量传输到各平台内部,保障增值业务平台系统所承载业务免受DDoS拒绝服务攻击所影响。
◆本期项目在XX和XX汇聚交换机之间新建两套Web应用防护系统,经过Bypass光交换机透明串联布署在网络中,针对增值业务平台中提供Web应用服务平台提供专题安全防护。
既满足了业务平台整体WEB应用安全防护需求,同时经过光路Bypass功效也规避了串联安全防护设备所面临单点故障引入安全风险。
3.4.2信号步骤
◆入侵检测信号流
✧将网络流量经过分光方法传送到入侵检测系统,完成包含应用层漏洞攻击、缓冲区溢出、端口扫描等网络入侵攻击行为实时检测及上报工作。
◆抗拒绝服务信号流
✧在检测到DDoS攻击后,并非采取简单阻断手段进行处理,而是将正常网络流量和DDoS攻击流量经过BGP、OSPF、静态路由等对应路由协议共同牵引至抗拒绝服务攻击系统进行专题流量清洗处理工作,再将处理后正常网络流量回注至增值业务平台网络内部,在保障DDoS攻击流量被清洗掉同时,亦可满足正常网络流量经过要求。
◆WEB应用攻击防护信号流
✧伴随WEB应用愈加广泛和复杂,正常WEB应用行为和利用WEB进行恶意攻击行为混杂在一起,传统防火墙等防护手段对此束手无策。
而当信号流经过串联布署WEB应用防护系统处理后,正常WEB应用流被许可经过,WEB应用恶意攻击行为被实时拦截,可有效保护WEB应用服务器安全。
3.5产品列表
产品名称
产品功效
型号
数目
入侵检测系统
对网络恶意入侵、端口扫描、内网病毒等攻击进行实时监测
1
异常流量清洗系统
对常见网络层DDoS和应用层DDoS攻击进行实时防护,清洗异常流量,保障正常流量经过。
WEB应用防火墙
经过行为模式分析,协议还原等手段对WEB应用常见类似SQL注入、XSS跨站脚本攻击等OWASPTOP10攻击手段进行实时防护
2
3.6方案总结
经过以上本期信息安全防护体系布署及实施,XXX企业增值业务平台整体安全性得到全方面提升,完成了关键骨干层及WEB应用层网络安全检测及防护体系建设工作,包含如防DDoS攻击、入侵检测、Web应用安全防护等方面具体工作内容,有效抵御目前业务平台面临安全风险及威胁,同时满足是上级主管部门对于业务平台相关安全管理规范和检验要求,为业务平台安全稳定运行保驾护航。
四、
XXXX产品功效介绍
4.1产品介绍
4.1.1XXXX入侵检测产品
4.1.2XXXWEB应用防火墙
4.1.3XXXX抗拒绝服务攻击系统
4.2产品优势
五、附录:
企业介绍
升级会员 