數(shù)據(jù)防護(hù)泄漏和防攻擊方案

數(shù)據(jù)防護(hù)泄漏和防攻擊方案

1項目概述

1.1項目背景

網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問題越來越復(fù)雜，安全威脅正在飛速增長，尤其是基于應(yīng)用的新型威脅，極大地困擾著用戶，給單位的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞，嚴(yán)重影響了信息化的進(jìn)一步發(fā)展。不僅如此，安全威脅也使得數(shù)據(jù)泄漏問題更加嚴(yán)重和突出。

1.2項目目標(biāo)

防止服務(wù)器的數(shù)據(jù)泄漏和網(wǎng)絡(luò)攻擊。

2建設(shè)方案

2.1設(shè)計原則

2.1.1體系化原則

遵循科學(xué)的平臺架構(gòu)體系和安全框架，滿足后期各種服務(wù)器應(yīng)用資源的接入要求，提供統(tǒng)一平臺的應(yīng)用。

2.1.2系統(tǒng)擴(kuò)展性原則

系統(tǒng)具備良好的可擴(kuò)展性，支持未來設(shè)備數(shù)量的增加。

2.1.3開放性，兼容性原則

方案滿足各種設(shè)計規(guī)范、技術(shù)指標(biāo)及產(chǎn)品均要符合國際和工業(yè)標(biāo)準(zhǔn)，并可提供多廠家產(chǎn)品的支持能力。系統(tǒng)中所采用的所有產(chǎn)品都要滿足相關(guān)的國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，是開放的可兼容系統(tǒng)，能與不同廠商的產(chǎn)品兼容，可以有效保護(hù)投資。

2.1.4安全性原則

在數(shù)據(jù)保密、系統(tǒng)安全防護(hù)措施上采取較嚴(yán)格的措施，進(jìn)行縝密的權(quán)限、身份、帳號與信息加密管理，接受其他安全系統(tǒng)如統(tǒng)一身份認(rèn)證系統(tǒng)的管理，以保證系統(tǒng)和數(shù)據(jù)的安全。

2.2設(shè)計思路

2.2.1整體方案拓?fù)?/p>

2.3方案說明

2.3.1威脅來源

感染病毒，病毒、惡意代碼的傳播，并導(dǎo)致系統(tǒng)遭到破壞；

口令管理不善會造成來自內(nèi)部用戶的對服務(wù)器的入侵和破壞；

3，數(shù)據(jù)庫的安全隱患使內(nèi)部用戶有機(jī)會篡改或破壞數(shù)據(jù)，或在數(shù)據(jù)庫系統(tǒng)中隱藏邏輯炸彈，構(gòu)成對企業(yè)核心業(yè)務(wù)的重大威脅；

4，重要數(shù)據(jù)在傳輸過程中可能被泄密或被篡改；

2.3.2邊界防護(hù)：下一代防火墻

傳統(tǒng)防火墻無法有效分辨和檢測出當(dāng)今網(wǎng)絡(luò)中出現(xiàn)的各種復(fù)雜應(yīng)用，其中包括低風(fēng)險應(yīng)用（如WebEx,ERP,Oracle等），也包括高風(fēng)險應(yīng)用（如Bit，QQ、電驢下載等），因而更無法準(zhǔn)確的識別和攔截各類應(yīng)用中的安全風(fēng)險。

下一代防火墻能精確分類與辨識出包括低風(fēng)險、高風(fēng)險在內(nèi)的1000+種應(yīng)用，根據(jù)應(yīng)用不同風(fēng)險等級分別進(jìn)行不同級別的安全掃描，從而及時準(zhǔn)確的識別和攔截各種威脅攻擊，保障用戶網(wǎng)絡(luò)應(yīng)用的安全性。

同時，下一代防火墻將當(dāng)前網(wǎng)絡(luò)中發(fā)生的一切安全威脅狀況都及時清晰、可視直觀的展現(xiàn)給用戶，如當(dāng)前網(wǎng)絡(luò)中的應(yīng)用流量分布，用戶訪問分布，以及在應(yīng)用的安全防護(hù)中發(fā)現(xiàn)或攔截了哪些安全威脅等。

功能作用

應(yīng)用識別與控制

在實際使用環(huán)境中，用戶仍可以以其他方式將應(yīng)用進(jìn)行歸類，并在一體化應(yīng)用配置策略中進(jìn)行引用。應(yīng)用識別與控制功能就是為滿足用戶上述需求而產(chǎn)生。用戶可先在應(yīng)用過濾器中根據(jù)需求對應(yīng)用進(jìn)行多維查詢，當(dāng)確認(rèn)過濾出的應(yīng)用正是所需時，即可對此過濾器進(jìn)行冠名保存。在之后的一體化應(yīng)用策略配置中，用戶可任意選擇多個冠名過濾器，設(shè)備將會對過濾器中的歸類應(yīng)用，執(zhí)行一致的識

別和控制策略，極大的方便了用戶的應(yīng)用策略管理和使用。

?用戶身份識別

用戶可對不同的安全區(qū)域指定不同的認(rèn)證策略，并可根據(jù)不同場景選擇不同的身份識別方案，例如，可從域控服務(wù)器直接獲取身份信息，與第三方認(rèn)證服務(wù)器（Radius、AD、LDAP）認(rèn)證，本地帳號庫認(rèn)證，證書認(rèn)證，以及結(jié)合以上多鐘認(rèn)證方式于一體的多因素認(rèn)證。

?流量管理與分析

基于強(qiáng)大細(xì)致的用戶、應(yīng)用識別能力，支持用戶以安全區(qū)、IP地址（網(wǎng)段）、時間、用戶、應(yīng)用多維度的對流量進(jìn)行管理和控制，包括限制應(yīng)用上下行最大帶寬、保證應(yīng)用上下行最小帶寬、保證帶寬下的優(yōu)先級排序以及每IP的進(jìn)行應(yīng)用流量控制，從而做到合理分配網(wǎng)絡(luò)帶寬，保證重要業(yè)務(wù)的正常優(yōu)質(zhì)運(yùn)行，限制或防范非法濫用網(wǎng)絡(luò)資源的應(yīng)用對流量的過度占用等。

?入侵防護(hù)

防護(hù)遠(yuǎn)程掃描、暴力破解、緩存區(qū)溢出、蠕蟲病毒、木馬后門、SQL注入、跨站腳本等各種網(wǎng)絡(luò)及應(yīng)用攻擊。同時支持用戶自定義規(guī)則，建立規(guī)則組等功能。并能夠?qū)z測到的入侵事件實時告警、阻斷、記錄和提供統(tǒng)計報表。

?防病毒

采用流模式和啟發(fā)式文件掃描技術(shù)，對利用HTTP、SMTP、POP3、FTP、IM等多種協(xié)議進(jìn)行傳播的病毒進(jìn)行掃描，完成對木馬病毒、蠕蟲病毒、宏病毒、腳本病毒等的查殺，同時支持多線程并發(fā)控制、深層次壓縮文件殺毒、病毒白名單等功能。

2.3.3DMZ區(qū)防護(hù)

防火墻保護(hù)

應(yīng)用識別與控制，用戶身份識別，日志記錄和統(tǒng)計報表，流量管理和分析，防病毒，內(nèi)容過濾，以及其他傳統(tǒng)防火墻功能。保護(hù)DMZ區(qū)的服務(wù)器不被攻擊。

WAF保護(hù)

WEB服務(wù)器漏洞防護(hù)，插件漏洞防護(hù)，爬蟲防護(hù)，跨站腳本防護(hù)，SQL,LDAP注入防護(hù)，命令行注入防護(hù)，遠(yuǎn)程文件包含防護(hù)。

實現(xiàn)網(wǎng)站訪問控制，敏感信息泄漏防護(hù)，網(wǎng)頁篡改在線防護(hù)，DDOS聯(lián)合防護(hù)，虛擬站點(diǎn)防護(hù)。

SSL-VPN訪問控制

提升黑客仿冒身份成本，提供身份認(rèn)證，防止黑客控制終端；

提供PC端安全檢查機(jī)制，PC不符合安全規(guī)定則禁止接入網(wǎng)絡(luò)；提供企業(yè)移動管理解決方案，檢查終端的安全狀態(tài)，并根據(jù)判定的結(jié)果對移動終端進(jìn)行遠(yuǎn)程鎖定或者數(shù)據(jù)擦除。

訪問權(quán)限最小化：提供基于URL授權(quán)的細(xì)粒度訪問權(quán)限控制，讓用戶只能訪問同一臺Web服務(wù)器上的有限頁面，防止非法接入用戶找到SQL注入漏洞頁面；同時深信服提供主從賬號綁定功能，將SSLVPN與業(yè)務(wù)系統(tǒng)的帳號做唯一綁定，防止內(nèi)部用戶主越權(quán)訪問。

行為記錄、展示及回溯：詳細(xì)記錄接入用戶的訪問行為，確保用戶的訪問過程可追溯。

數(shù)據(jù)庫審計

對進(jìn)出核心數(shù)據(jù)庫的訪問流量進(jìn)行數(shù)據(jù)報文字段級的解析操作，完全還原出操作的細(xì)節(jié)，并給出詳盡的操作返回結(jié)果，以可視化的方式將所有的訪問都呈現(xiàn)在管理者的面前，數(shù)據(jù)庫不再處于不可知、不可控的情況，數(shù)據(jù)威脅將被迅速發(fā)現(xiàn)和響應(yīng)。

事前安全風(fēng)險評估

風(fēng)險趨勢管理：通過基線創(chuàng)建生成數(shù)據(jù)庫結(jié)構(gòu)的指紋文件，通過基線掃描發(fā)現(xiàn)數(shù)據(jù)庫結(jié)構(gòu)的變化，從而實現(xiàn)基于基線的風(fēng)險趨勢分析；

弱點(diǎn)檢測與弱點(diǎn)分析：根據(jù)內(nèi)置自動更新的弱點(diǎn)規(guī)則完成對數(shù)據(jù)庫配置信息

的安全檢測及數(shù)據(jù)庫對象的安全檢測；

弱口令檢測：依據(jù)內(nèi)嵌的弱口令字典完成對口令強(qiáng)弱的檢測；

補(bǔ)丁檢測：根據(jù)補(bǔ)丁信息庫及被掃描數(shù)據(jù)庫的當(dāng)前配置，完成補(bǔ)丁安裝檢測；存儲過程檢測：根據(jù)內(nèi)嵌的安全規(guī)則，對存儲過程進(jìn)行安全檢測，如：是否存在SQL注入漏洞。

?實時行為檢測

防止受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當(dāng)用戶與數(shù)據(jù)庫進(jìn)行交互時，自動根據(jù)預(yù)設(shè)置的風(fēng)險控制策略，結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息，進(jìn)行特征檢測及審計規(guī)則檢測，任何嘗試的攻擊或違反審計規(guī)則的操作都會被檢測到并實時阻斷或告警。

?web業(yè)務(wù)審計

用戶只需要將web服務(wù)器的流量鏡像到DBAuditor，就能夠?qū)λ谢趙eb的應(yīng)用的訪問行為進(jìn)行解析還原，形成數(shù)據(jù)庫審計和web審計的雙重審計模式。DBAuditor能夠提取出URL、POST/GET值、cookie、操作系統(tǒng)類型、瀏覽器類型、原始客戶端IP、MAC地址、提交參數(shù)、返回碼等字段，并形成詳盡的web審計記錄。

?提供靈活的審計規(guī)則

提供細(xì)粒度的審計規(guī)則，如精細(xì)到表、字段、具體報文內(nèi)容的細(xì)粒度審計規(guī)則，實現(xiàn)對敏感信息的精細(xì)監(jiān)控；基于IP地址、MAC地址和端口號審計；提供可定義作用數(shù)量動作門限、可設(shè)定關(guān)聯(lián)表數(shù)目動作門限、根據(jù)SQL執(zhí)行時間長短、根據(jù)SQL執(zhí)行回應(yīng)以及具體報文內(nèi)容等設(shè)定規(guī)則。

3總結(jié)

通過部署網(wǎng)絡(luò)邊界下一代防火墻系統(tǒng)，可以保護(hù)內(nèi)網(wǎng)整體安全，在DMZ區(qū)部署防火墻，可以確保不受到內(nèi)網(wǎng)的常規(guī)攻擊，部署web防火墻，可以提升web服務(wù)器的安全，通過sslvpn，讓用戶在遠(yuǎn)程辦公中，信息不被泄漏，數(shù)據(jù)庫審計，可以確保最核心的數(shù)據(jù)安全，被篡改或者其他操作后，也有跡可尋。

整體來