業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案

XX業(yè)務(wù)系統(tǒng)應(yīng)用安全I解決方案目錄TOC\o"1-5"\h\zXX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案1\o"CurrentDocument"目錄2\o"CurrentDocument"應(yīng)用背景.4\o"CurrentDocument"需求分析5\o"CurrentDocument"一期建設(shè)拓撲圖5\o"CurrentDocument"業(yè)務(wù)系統(tǒng)安全現(xiàn)狀5\o"CurrentDocument"2.3業(yè)務(wù)系統(tǒng)脆弱性分析6\o"CurrentDocument"風(fēng)險可能導(dǎo)致的問題7\o"CurrentDocument"業(yè)務(wù)安全加固建設(shè)目標9\o"CurrentDocument"3方案設(shè)計9\o"CurrentDocument"3.1網(wǎng)絡(luò)安全加固方案9\o"CurrentDocument"DOS/DDOS防護子系統(tǒng)10防病毒子系統(tǒng)10\o"CurrentDocument"3.2系統(tǒng)安全加固方案113.2.1入侵防御子系統(tǒng)11\o"CurrentDocument"3.3應(yīng)用安全加固方案13\o"CurrentDocument"Web安全子系統(tǒng)13\o"CurrentDocument"3.4數(shù)據(jù)安全加固方案143.4.1信息泄漏防護子系統(tǒng)14防篡改子系統(tǒng)15\o"CurrentDocument"4產(chǎn)品部署示方案15\o"CurrentDocument"4.1方案一：一站式應(yīng)用安全加固部署方案16\o"CurrentDocument"拓撲圖16產(chǎn)品部署方案16產(chǎn)品選型18\o"CurrentDocument"4.2方案二：節(jié)點縱深防御應(yīng)用安全加固部署方案18拓撲圖184.2.2產(chǎn)品部署方案194.2.3產(chǎn)品選型195關(guān)于錯誤!未定義書簽。1應(yīng)用背景網(wǎng)絡(luò)的飛速發(fā)展促進了各行業(yè)的信息化建設(shè)，近幾年來XX單位走過了不斷發(fā)展、完善的信息化歷程，現(xiàn)已擁有技術(shù)先進、種類繁多的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)，構(gòu)成了一個配置多樣的綜合性網(wǎng)絡(luò)平臺。隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的不斷完善，有針對性作用的業(yè)務(wù)系統(tǒng)也不斷增加，XX單位已于20XX年底完成建設(shè)XX業(yè)務(wù)系統(tǒng)，提供開放的綜合業(yè)務(wù)平臺為用戶提供便捷的服務(wù)。為了保證用戶能夠更安全，更便捷的使用業(yè)務(wù)系統(tǒng)，在XX業(yè)務(wù)系統(tǒng)建設(shè)時便設(shè)計并建設(shè)完成了第一期網(wǎng)絡(luò)安全建設(shè)規(guī)劃。在第一期的網(wǎng)絡(luò)安全建設(shè)規(guī)劃方案中，防火墻被用作主要的網(wǎng)絡(luò)安全設(shè)備保證業(yè)務(wù)系統(tǒng)的正常穩(wěn)定運行。使用防火墻將服務(wù)器區(qū)域分割成為應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、邊界接入?yún)^(qū)、運維管理區(qū)域等多個網(wǎng)絡(luò)層相互邏輯隔離的區(qū)域，防止內(nèi)、外部安全風(fēng)險危害各個業(yè)務(wù)區(qū)域。然而隨著互聯(lián)網(wǎng)的飛速發(fā)展，外部網(wǎng)絡(luò)安全日趨嚴重，面對業(yè)務(wù)系統(tǒng)的信息安全攻擊逐漸從網(wǎng)絡(luò)層向應(yīng)用層和系統(tǒng)層遷移。各類新型的黑客技術(shù)手段、計算機病毒、系統(tǒng)漏洞、應(yīng)用程序漏洞以及網(wǎng)絡(luò)中的不規(guī)范操作對XX單位業(yè)務(wù)系統(tǒng)均有可能造成嚴重的威脅。在給內(nèi)、外網(wǎng)用戶提供優(yōu)質(zhì)服務(wù)的同時，也面臨著各類的應(yīng)用安全風(fēng)險，為了加強業(yè)務(wù)系統(tǒng)的防護能力，提高業(yè)務(wù)系統(tǒng)安全性，并且滿足等保三級的要求，XX單位將啟動二期XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固的安全建設(shè)。

2需求分析2.1一期建設(shè)拓撲圖XX業(yè)務(wù)系一期統(tǒng)法設(shè)拓J卜圖2.2業(yè)務(wù)系統(tǒng)安全現(xiàn)狀XX業(yè)務(wù)系統(tǒng)是整個業(yè)務(wù)的支撐，應(yīng)對業(yè)務(wù)系統(tǒng)進行重點防護，如果業(yè)務(wù)系統(tǒng)的訪問行為控制不利，非授權(quán)用戶可能竊取機密數(shù)據(jù)、刪除和修改業(yè)務(wù)數(shù)據(jù)、甚至植入病毒，引起系統(tǒng)中斷服務(wù)或癱瘓。同時，如果不對日益猖獗的病毒問題進行防御，有可能從外部或內(nèi)部其他區(qū)域引入病毒，影響業(yè)務(wù)系統(tǒng)的正常運行。同時，垃圾郵件的泛濫將阻礙業(yè)務(wù)的正常開展，同時可能引入注入病毒、木馬、釣魚攻擊等眾多的安全風(fēng)險。最后，操作系統(tǒng)漏洞、業(yè)務(wù)系統(tǒng)漏洞、應(yīng)用軟件漏洞不斷被發(fā)現(xiàn)，如果不重視業(yè)務(wù)系統(tǒng)日常的安全運維，業(yè)務(wù)系統(tǒng)將可能由于安全漏洞的發(fā)現(xiàn)、由于缺乏及時的響應(yīng)，而引入風(fēng)險、造成破壞。目前XX單位正在著手進行二期XX業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)建設(shè)，本次規(guī)劃內(nèi)容主要涉及針對業(yè)務(wù)系統(tǒng)的應(yīng)用安全加固的內(nèi)容。通過對該業(yè)務(wù)系統(tǒng)目前的安全狀況以及二期建設(shè)目標分析，XX業(yè)務(wù)系統(tǒng)目前還存在以下幾個方面的問題：1、業(yè)務(wù)系統(tǒng)與內(nèi)外網(wǎng)對接沒有實現(xiàn)有效的邊界訪問控制，無法界定用戶訪問是否為合法請求；2、對于流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有有效的流量清洗的能力，無法識別流量是正常的訪問請求還是DOS/DDOS拒絕服務(wù)類的攻擊；3、對于夾雜在數(shù)據(jù)流中的病毒、木馬、蠕蟲沒有良好的檢測能力，很難避免在業(yè)務(wù)交互過程中由于數(shù)據(jù)中包含病毒、木馬、蠕蟲等威脅對業(yè)務(wù)系統(tǒng)造成的危害；4、服務(wù)器系統(tǒng)底層漏洞攻擊防護僅依靠時效性不強的手動補丁更新，缺乏有效的防護手段，尤其缺乏零日漏洞攻擊的防護能力；5、流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有應(yīng)用層攻擊（如web攻擊）的檢測能力，難以保證業(yè)務(wù)系統(tǒng)Web應(yīng)用程序以及后臺數(shù)據(jù)庫不被攻擊；2.3業(yè)務(wù)系統(tǒng)脆弱性分析結(jié)合一期業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀分析，現(xiàn)業(yè)務(wù)系統(tǒng)脆弱性在各層面主要體現(xiàn)在：?網(wǎng)絡(luò)層面業(yè)務(wù)系統(tǒng)一期網(wǎng)絡(luò)安全建設(shè)部署了防火墻通過訪問控制實現(xiàn)邊界接入?yún)^(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)等區(qū)域的安全隔離，能夠從網(wǎng)絡(luò)層面有效的對邏輯區(qū)域進行隔離。但由于防火墻的局限性，對于利用網(wǎng)絡(luò)協(xié)議漏洞的DOS/DDOS攻擊仍然沒有很好的防護效果，利用網(wǎng)絡(luò)協(xié)議的攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓而無法響應(yīng)正常業(yè)務(wù)請求及訪問。?系統(tǒng)層面系統(tǒng)層面上主要是不斷發(fā)現(xiàn)的各種安全漏洞，包括本地溢出，遠程溢出等脆弱性問題。由于操作系統(tǒng)都不可避免的存在bug，包括安全方面的bug，因此系統(tǒng)本身的脆弱性是不可能完全避免的，只能在一定時間內(nèi)減少和降低危害。而當前業(yè)務(wù)系統(tǒng)一期網(wǎng)絡(luò)安全建設(shè)并沒有對系統(tǒng)層面的攻擊提供有效的防護措施，安全維護人員僅僅通過在互聯(lián)網(wǎng)上下載最新的操作系統(tǒng)補丁來保證系統(tǒng)漏洞不被輕易利用，而服務(wù)器邏輯隔離于互聯(lián)網(wǎng)、或者業(yè)務(wù)系統(tǒng)運行于內(nèi)網(wǎng)，使得補丁無法及時更新，業(yè)務(wù)系統(tǒng)系統(tǒng)層面的安全風(fēng)險十分嚴重。且服務(wù)器往往由于更新不及時也可能帶來新的“0”日攻擊的威脅。通過安全評估發(fā)現(xiàn)系統(tǒng)層面的漏洞廣泛存在于應(yīng)用服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)大量應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器之上。利用系統(tǒng)漏洞攻擊可以使攻擊者獲得系統(tǒng)級的權(quán)限而為所欲為，危害嚴重。系統(tǒng)層面的安全風(fēng)險需要進行統(tǒng)一防護。?應(yīng)用層面應(yīng)用層面的脆弱性最為復(fù)雜，包括了常見應(yīng)用，B/S業(yè)務(wù)服務(wù)程序中可能存在的安全漏洞，WEB開發(fā)中的安全隱患以及目前用的網(wǎng)站管理系統(tǒng)都可能成為被攻擊者所利用。而業(yè)務(wù)系統(tǒng)基于ASP、PHP、JSP開發(fā)，不可避免的存在軟件開發(fā)本身的漏洞、造成黑客的SQL注入，致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫和網(wǎng)頁文件被篡改或者被竊取。把業(yè)務(wù)系統(tǒng)主頁修改使得大你問名義受損，造成不良的影響。應(yīng)用層面的攻擊沒有辦法完全修改業(yè)務(wù)系統(tǒng)構(gòu)架來避免，在業(yè)務(wù)系統(tǒng)更新修改后還有可能存在新的漏洞。同時用于承載業(yè)務(wù)的各類應(yīng)用軟件本身也存在大量的漏洞，包括業(yè)務(wù)發(fā)布應(yīng)用程序（如IIS、Apach等），數(shù)據(jù)庫軟件（如，oracle、mssql等），中間件（如weblogic等），利用他們也可以對業(yè)務(wù)系統(tǒng)本身造成嚴重的危害。所以應(yīng)用層面的安全威脅需要嚴格防護，并作為本次業(yè)務(wù)系統(tǒng)安全加固的重點。?數(shù)據(jù)層面由于安全的建設(shè)的基本原則是保證安全防護最大化，并沒有辦法實現(xiàn)100%的安全防護，安全設(shè)備仍有可能存在被繞過的風(fēng)險。而在數(shù)據(jù)層面的脆弱性也就因此產(chǎn)生，主要表現(xiàn)在數(shù)據(jù)的傳輸是否安全，獲取方式是否合法，是否有非法竊取的風(fēng)險，是否存在“拖庫”、“暴庫”的風(fēng)險。為了保證整個業(yè)務(wù)系統(tǒng)最核心的數(shù)據(jù)部分，本次安全加固需要包含對于數(shù)據(jù)是否被非法竊取的防護措施。2.4風(fēng)險可能導(dǎo)致的問題業(yè)務(wù)系統(tǒng)包含Web服務(wù)器、存儲服務(wù)器、數(shù)據(jù)庫服務(wù)器等多種類型的業(yè)務(wù)服務(wù)器，向internet、intranet等多個區(qū)域提供服務(wù)，業(yè)務(wù)系統(tǒng)要面臨來自內(nèi)外網(wǎng)多個區(qū)域的安全威脅。其安全保障意義重大。而一期網(wǎng)絡(luò)安全建設(shè)中防火墻僅僅是通過vlan、ACL訪問控制對其進行安全隔離。應(yīng)用層攻擊仍然能夠穿透這些安全隔離的手段，從外向內(nèi)部進行滲透。同時帶有目的性的內(nèi)網(wǎng)用戶的攻擊滲透行為也是造成眾多泄露事件的原因之一。風(fēng)險造成的結(jié)果有以下幾種：?業(yè)務(wù)系統(tǒng)篡改問題業(yè)務(wù)系統(tǒng)的架構(gòu)是B/S架構(gòu)，大量的web應(yīng)用可能存在被攻擊的風(fēng)險。業(yè)務(wù)系統(tǒng)的篡改是指攻擊者利用Web應(yīng)用程序漏洞將正常的網(wǎng)頁替換為攻擊者提供的網(wǎng)頁/文字/圖片等內(nèi)容。一般來說篡改的問題對計算機系統(tǒng)本身不會產(chǎn)生直接的影響，但對于業(yè)務(wù)系統(tǒng)，需要與用戶通過業(yè)務(wù)系統(tǒng)進行溝通的應(yīng)用而言，就意味著業(yè)務(wù)系統(tǒng)的服務(wù)將被迫停止服務(wù)，對單位形象及信譽會造成嚴重的損害。?業(yè)務(wù)系統(tǒng)掛馬問題業(yè)務(wù)系統(tǒng)網(wǎng)頁被掛馬也是利用Web攻擊造成的一種網(wǎng)頁篡改的安全問題，相對而言這種問題會比較隱蔽，但本質(zhì)上這種方式也破壞了業(yè)務(wù)系統(tǒng)的完整性。掛馬會導(dǎo)致Web業(yè)務(wù)的最終用戶成為受害者，成為攻擊者的幫兇或者造成自身的損失。這種問題出現(xiàn)在業(yè)務(wù)系統(tǒng)中也嚴重影響業(yè)務(wù)的正常運作并影響到單位的公信度。?無法響應(yīng)正常服務(wù)的問題黑客通過網(wǎng)絡(luò)層DOS/DDOS拒絕服務(wù)攻擊使業(yè)務(wù)系統(tǒng)無法響應(yīng)正常請求。這種攻擊行為使得服務(wù)器充斥大量要求回復(fù)的信息，嚴重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致業(yè)務(wù)系統(tǒng)無法響應(yīng)正常的服務(wù)請求。對于業(yè)務(wù)系統(tǒng)可用性而言是巨大的威脅。?業(yè)務(wù)系統(tǒng)服務(wù)器被控制黑客通過系統(tǒng)漏洞攻擊、應(yīng)用程序漏洞攻擊可以使造成緩沖區(qū)溢出等安全問題，通過這些問題可以使得黑客可以肆意的在出現(xiàn)溢出的過程中添加具有權(quán)限獲取能力的代碼，并通過這些手段最終獲取業(yè)務(wù)系統(tǒng)服務(wù)器的權(quán)限。服務(wù)器的系統(tǒng)權(quán)限一旦被黑客獲取，就意味著黑客可以完全控制業(yè)務(wù)系統(tǒng)的服務(wù)器并為所欲為，其危害不言而喻。?敏感信息泄漏問題這類安全問題主要web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺數(shù)據(jù)庫，導(dǎo)致數(shù)據(jù)庫中儲存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯(lián)系方式等敏感信息被攻擊者獲取。這對于業(yè)務(wù)系統(tǒng)而言是致命的打擊，可產(chǎn)生巨大的不良影響。2.5業(yè)務(wù)安全加固建設(shè)目標從本次網(wǎng)絡(luò)安全規(guī)劃的主要目的分網(wǎng)絡(luò)層次考慮，利用各種應(yīng)用安全加固技術(shù)和手段應(yīng)用到實際網(wǎng)絡(luò)環(huán)境中，將業(yè)務(wù)系統(tǒng)建設(shè)成一個支持各級別用戶或用戶群的縱深安全防御體系，在保證業(yè)務(wù)系統(tǒng)高可用的同時，保證業(yè)務(wù)系統(tǒng)應(yīng)用安全。1、最大限度的控制網(wǎng)絡(luò)系統(tǒng)，加強邊界訪問控制權(quán)限的建立，降低安全風(fēng)險；2、消除網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)本身存在的大量弱點漏洞和認為操作或配置產(chǎn)生的與安全策略相違背的系統(tǒng)配置，減少入侵者成功入侵的可能；3、加強網(wǎng)絡(luò)系統(tǒng)入侵行為的檢測和防御能力，有效阻止來自外部的攻擊行為，同時也防止來自內(nèi)部的違規(guī)操作行為；4、通過加固手段切實提高操作系統(tǒng)的安全級別，保證系統(tǒng)安全；5、針對業(yè)務(wù)系統(tǒng)本身可能面臨的應(yīng)用安全風(fēng)險有針對性的進行安全加固，防止應(yīng)用安全威脅危害業(yè)務(wù)系統(tǒng)正常安全使用；6、增強事后防御的措施，控制、保障業(yè)務(wù)系統(tǒng)內(nèi)部的敏感信息、保密信息、涉密信息在網(wǎng)絡(luò)協(xié)議中傳輸，針對業(yè)務(wù)系統(tǒng)本身制定嚴格的合規(guī)性策略，控制不法份子繞過防御體系進行信息竊取的行為；7、加強業(yè)務(wù)系統(tǒng)被非法修改的能力，實現(xiàn)防止業(yè)務(wù)系統(tǒng)web界面被非法修改的根本目的。3方案設(shè)計在業(yè)務(wù)系統(tǒng)脆弱性分析的基礎(chǔ)上，我們對網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面、數(shù)據(jù)層面進行詳細的方案設(shè)計，對設(shè)計到的產(chǎn)品/子系統(tǒng)和技術(shù)，進行詳細的闡述。3.1網(wǎng)絡(luò)安全加固方案網(wǎng)絡(luò)層面的安全加固主要針對業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)層可能面臨DOS/DDOS攻擊進行強化的防護，對于進入網(wǎng)絡(luò)中的病毒/木馬/蠕蟲進行過濾和清洗。因此本次應(yīng)用安全加固的安全建設(shè)中，采用一體化安全網(wǎng)關(guān)部署于原防火墻后與一期業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的防火墻形成異構(gòu)，實現(xiàn)出口網(wǎng)絡(luò)安全加固，同時實現(xiàn)簡化組網(wǎng)、簡化運維、最優(yōu)投資的價值。DOS/DDOS防護子系統(tǒng)常見的DDOS攻擊方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已發(fā)現(xiàn)的DOS攻擊程序有ICMPSmurf、UDP反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo和Stacheldraht。DOS和DDOS攻擊會耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計算機網(wǎng)絡(luò)的正常業(yè)務(wù)無法進行，嚴重損害單位的聲譽并造成極大的經(jīng)濟損失，使IT部門承受極大的壓力。DOS/DDOS防護子系統(tǒng)采用自主研發(fā)的DOS攻擊算法，可防護基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報文的DOS攻擊、TCP協(xié)議報文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實現(xiàn)對網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護，實現(xiàn)L2-L7層的異常流量清洗。3.1.2防病毒子系統(tǒng)蠕蟲病毒是對網(wǎng)絡(luò)的重大危害，蠕蟲病毒在爆發(fā)時將使路由器、3層交換機、防火墻等網(wǎng)關(guān)設(shè)備性能急速下降，并且占用整個網(wǎng)絡(luò)帶寬。針對病毒的風(fēng)險，應(yīng)通過終端與網(wǎng)關(guān)相結(jié)合的方式，以用戶終端控制加網(wǎng)絡(luò)防病毒網(wǎng)關(guān)進行綜合控制。重點是將病毒消滅或封堵在終端這個源頭上。在廣域網(wǎng)出口及互聯(lián)網(wǎng)出口上部署網(wǎng)關(guān)防病毒子系統(tǒng)，在網(wǎng)絡(luò)邊界對數(shù)據(jù)流進行集中監(jiān)測和過濾控制，可以在一定程度上避免蠕蟲病毒爆發(fā)時的大流量沖擊。防病毒子系統(tǒng)提供先進的病毒防護功能，可從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺，也可查殺壓縮包（zip，rar，gzip等）中的病毒。同時采用高效的流式掃描技術(shù)，可大幅提升病毒檢測效率避免防病毒成為網(wǎng)絡(luò)安全的瓶頸。防病毒子系統(tǒng)的具有大容量病毒庫，能夠查殺10萬種以上種病毒。為了更有效地過濾網(wǎng)絡(luò)病毒，除了特征碼識別、廣譜特征碼、啟發(fā)式掃描技術(shù)等幾種常見的檢測方法以外，NGAF還采用了多種先進的新一代病毒掃描引擎技術(shù)，以巧妙而精確的算法保證在檢測大量病毒時，仍然保持高速而準確的檢測結(jié)果，其中包括：/病毒脫殼技術(shù):對加殼的病毒先進行脫殼，然后再進行檢測。/OLE分離技術(shù):宏掃描從Office文件中提取宏，根據(jù)已知的宏病毒字符串對宏進行檢測，并對宏中的代碼行為進行分析，識別宏病毒。/壓縮格式病毒檢測技術(shù):輕松查殺多種壓縮格式的病毒，如ZIP、GZIP、RAR、ARJ、ARC、LZH、CAB、ZOO、TAR和CHM等。/木馬、黑客程序檢測技術(shù):針對網(wǎng)絡(luò)上流行的木馬、黑客程序，NGAF掃描引擎采用了獨特的特征&行為雙重檢測技術(shù)，可以對其進行有效的阻斷。/高速的協(xié)議分析、還原和內(nèi)容檢測技術(shù):通過精心設(shè)計的算法保證了在檢測大量病毒時仍然保持高速而準確的檢測結(jié)果。3.2系統(tǒng)安全加固方案系統(tǒng)安全層面的加固主要針對承載業(yè)務(wù)系統(tǒng)本身的各類服務(wù)器底層的操作系統(tǒng)進行安全防護實現(xiàn)系統(tǒng)安全加固的目的。通過入侵防御子系統(tǒng)在業(yè)務(wù)系統(tǒng)核心交換前形成“虛擬補丁”的防御體系，全面提升web應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、服務(wù)器區(qū)、DMZ區(qū)服務(wù)器操作系統(tǒng)安全防護能力。采用入侵防御子系統(tǒng)形成“虛擬補丁”的防御體系可切實減少系統(tǒng)管理員服務(wù)器群的安全維護成本，借助廠商強大的安全研究能力可以防御“0”日攻擊的風(fēng)險。3.2.1入侵防御子系統(tǒng)網(wǎng)絡(luò)核心交換前采用開啟入侵防御子系統(tǒng)，監(jiān)視、記錄并阻斷網(wǎng)絡(luò)中的所有非法的訪問行為和操作，有效防止非法操作和惡意攻擊。同時，入侵防御子系統(tǒng)還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。需要說明的是，入侵防御子系統(tǒng)是對防火墻的非常有必要的附加而不僅僅是簡單的補充。入侵防御子系統(tǒng)作為網(wǎng)絡(luò)安全體系的第二道防線，對在防火墻系統(tǒng)阻斷攻擊失敗時，可以最大限度地減少相應(yīng)的損失。入侵防御子系統(tǒng)也可以與防火墻子系統(tǒng)等安全產(chǎn)品實現(xiàn)聯(lián)動，縱深防御APT攻擊，簡化管理員管理實現(xiàn)動態(tài)的安全維護。入侵防御子系統(tǒng)是防火墻技術(shù)的有效補充，利用防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低了網(wǎng)絡(luò)安全風(fēng)險，但是入侵者可尋找防火墻背后可能敞開的后門，利用操作系統(tǒng)本身的漏洞輕易繞過防火墻?；趹?yīng)用的深度入侵防御子系統(tǒng)采用六大威脅檢測機制：攻擊特征檢測、特殊攻擊檢測、威脅關(guān)聯(lián)分析、異常流量檢測、協(xié)議異常檢測、深度內(nèi)容分析能夠有效的防止各類已知未知攻擊，實時阻斷黑客攻擊。如，緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。入侵防御子系統(tǒng)融合多種應(yīng)用威脅檢測方式，提升威脅檢測的精度。檢測方式主要包含6種檢測方式：攻擊特征檢測特殊攻擊檢測威脅關(guān)聯(lián)分析異常流量檢測協(xié)議異常檢測深度內(nèi)容分析入侵防御子系統(tǒng)的漏洞防護策略的設(shè)計思路是，防御服務(wù)器和客戶端的各種漏洞，以保護服務(wù)器和客戶端不受攻擊。管理員在配置策略時可根據(jù)具體的應(yīng)用場景，配置針對性的策略，便于維護與管理。利用入侵防御子系統(tǒng)可防護的服務(wù)器漏洞包含：?協(xié)議脆弱性保護DDoS攻擊保護DNS服務(wù)器保護其他exploit保護finger服務(wù)保護ftp服務(wù)器保護imap服務(wù)器保護mysql服務(wù)器保護netbios服務(wù)保護nntp服務(wù)保護oracle服務(wù)器保護Pop2服務(wù)器保護Pop3服務(wù)器保護RPC服務(wù)保護/remoteservice保護/遠程探測防護/shellcode防護/smtp服務(wù)器保護/snmp服務(wù)器保護SQLserver服務(wù)器保護telnet服務(wù)保護tftp類服務(wù)保護voip防護frontpage擴展安全性保護iis服務(wù)器保護X11服務(wù)器保護?……3.3應(yīng)用安全加固方案應(yīng)用層面的安全加固主要針對本次業(yè)務(wù)系統(tǒng)應(yīng)用安全建設(shè)中web應(yīng)用程序基于ASP、PHP、JSP等開發(fā)的B/S業(yè)務(wù)，本身不可避免的存在軟件開發(fā)本身的漏洞、造成黑客的SQL注入，致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫和網(wǎng)頁文件被篡改或者被竊取的問題進行有針對性的應(yīng)用安全加固。通過Web安全子系統(tǒng)部署于web服務(wù)器區(qū)核心交換前實現(xiàn)雙向內(nèi)容的檢測，針對HTTP協(xié)議的深入解析，精確識別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對這些數(shù)據(jù)進行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，精確的檢測其是否包含威脅內(nèi)容。Web安全子系統(tǒng)作為web客戶端與服務(wù)器請求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)之上，采用雙向內(nèi)容檢測技術(shù)可檢測過濾HTTP雙向交互的數(shù)據(jù)流包括response報文，對惡意流量，以及服務(wù)器外發(fā)的有風(fēng)險信息進行實時的清洗與過濾，防止web安全風(fēng)險。3.3.1Web安全子系統(tǒng)Web安全子系統(tǒng)有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機制，實現(xiàn)雙向的內(nèi)容檢測，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊。（如，，。1注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟損失、名譽損失等問題。3.4數(shù)據(jù)安全加固方案數(shù)據(jù)層面的安全加固主要為了應(yīng)對攻擊手段越來越先進的黑客攻擊和目的性和持續(xù)性很強的高級持續(xù)性威脅（APT）等類似的高級攻擊。因為安全防御體系并不能達到100%的防御效果，通常采用這種攻擊方式的攻擊帶有明確的攻擊意圖和不達目的不休止的特點，黑客往往應(yīng)用先進的攻擊手段繞過防御體系，從而給業(yè)務(wù)系統(tǒng)造成不可挽回的損失。有針對性的對數(shù)據(jù)、內(nèi)容進行保護，采取事后的防御技術(shù)手段可以有效的降低系統(tǒng)被破壞、竊取、篡改的風(fēng)險，將安全損失降到最低。本方案中采用防篡改子系統(tǒng)和信息泄漏防護子系統(tǒng)部署于服務(wù)器區(qū)核心交換前進行針對行的數(shù)據(jù)安全加固，可有效避免網(wǎng)頁被篡改/掛馬，敏感信息被竊取的風(fēng)險。3.4.1信息泄漏防護子系統(tǒng)信息泄漏防護子系統(tǒng)提供可定義的敏感信息防泄漏功能，根據(jù)儲存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進行有效識別、報警并阻斷，防止大量敏感信息被非法泄露。郵箱賬戶信息＞MD5加密密碼＞銀行卡號＞身份證號碼＞社保賬號＞信用卡號＞手機號碼通過深度內(nèi)容檢測技術(shù)的應(yīng)用，信息泄漏防護子系統(tǒng)具備深度內(nèi)容檢測的能力。能夠檢測出通過文件、數(shù)據(jù)流、標準協(xié)議等通過網(wǎng)關(guān)的內(nèi)容。因此具備針對敏感信息，如186、139等有特征的11位的手機號碼、18位身份證號，有標準特征的@郵箱等有特征數(shù)據(jù)進行識別。并通過分離平面設(shè)計的軟件構(gòu)架，實現(xiàn)控制平面與內(nèi)容平面檢測聯(lián)動，通過控制平面向底層數(shù)據(jù)轉(zhuǎn)發(fā)平面發(fā)送操作指令來阻斷敏感信息的泄漏。有防護了業(yè)務(wù)系統(tǒng)的敏感泄漏的風(fēng)險。3.4.2防篡改子系統(tǒng)當業(yè)務(wù)系統(tǒng)網(wǎng)頁被數(shù)據(jù)篡改后，用戶看到的頁面變成了非法頁面或者損害企事業(yè)單位形象的網(wǎng)頁，這種事故往往會給單位造成很嚴重的影響，甚至造成嚴重的經(jīng)濟損失。防篡改子系統(tǒng)的應(yīng)用可有效降低此類風(fēng)險，當內(nèi)部網(wǎng)站數(shù)據(jù)被篡改之后，設(shè)備可以重定向到備用網(wǎng)站服務(wù)器或者指定的其他頁面，并且及時地通過短信或者郵件方式通知管理員。防篡改子系統(tǒng)使用網(wǎng)關(guān)實現(xiàn)動靜態(tài)網(wǎng)頁防篡改功能。這種實現(xiàn)方式相對于主機部署類防篡改軟件而言，客戶無需在服務(wù)器上安裝第三方軟件，易于使用和維護，在防篡改部分基于網(wǎng)絡(luò)字節(jié)流的檢測與恢復(fù)，對服務(wù)器性能沒有影響。4產(chǎn)品部署示方案（根據(jù)實際情況選擇部署方案）

4.1方案一：一站式應(yīng)用安全加固部署方案4.1.1拓撲圖XX業(yè)務(wù)系統(tǒng)二朗應(yīng)用安全加固建設(shè)拓撲圖4.1.2產(chǎn)品部署方案為XX單位提供針XX業(yè)務(wù)系統(tǒng)服務(wù)器集群完整的應(yīng)用安全加固安全解決方案。通過在服務(wù)器集群匯聚交換前雙機部署兩臺下一代應(yīng)用防火墻NGAF，可實現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器的邏輯隔離，防止來自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴散。二期建設(shè)采用業(yè)務(wù)系統(tǒng)一站式應(yīng)用安全加固部署方案，通過下一代防火墻NGAF的部署可以從從攻擊源頭上幫助XX單位防護導(dǎo)致業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)內(nèi)業(yè)務(wù)各類網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)層面的安全威脅；同時下一代防火墻NGAF提供的雙向內(nèi)容檢測的技術(shù)幫助用戶解決攻擊被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息泄露的問題，實現(xiàn)防攻擊、防篡改、防泄密的效果。1、下一代防火墻AF-8020雙機部署于核心交換前可實現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)一站式整體安全防護；2、通過防火墻子系統(tǒng)模塊的訪問控制策略ACL可實現(xiàn)網(wǎng)絡(luò)安全域劃分，阻斷各個區(qū)域間的網(wǎng)絡(luò)通信，防止威脅擴散，防止訪問控制權(quán)限不當、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問題；3、通過DDOS/DOS子系統(tǒng)功能模塊進行網(wǎng)絡(luò)層面的安全加固，可以防止利用協(xié)議漏洞對服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問題；4、通過防病毒子系統(tǒng)功能模塊可實現(xiàn)各個安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進行交叉感染；5、利用入侵防御子系統(tǒng)功能模塊可實現(xiàn)對服務(wù)器集群操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應(yīng)用程序漏洞（IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護，防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲等資源被攻擊的問題；6、通過web安全子系統(tǒng)功能模塊的開啟，可實現(xiàn)對各個區(qū)域（尤其是DMZ區(qū)）的web服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護。防止黑客利用業(yè)務(wù)代碼開發(fā)安全保障不利，使得系統(tǒng)可輕易通過web攻擊實現(xiàn)對web服務(wù)器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題；7、通過信息泄漏防護子系統(tǒng)功能模塊的開啟，可自定義業(yè)務(wù)系統(tǒng)的敏感信息防止黑客繞過防御體系竊取業(yè)務(wù)系統(tǒng)的敏感信息；8、通過防篡改子系統(tǒng)功能模塊的開啟，可防止黑客利用各層面安全漏洞非法篡改業(yè)務(wù)系統(tǒng)合法界面，防止被篡改界面發(fā)布于眾；9、通過風(fēng)險評估子系統(tǒng)模塊的啟用對服務(wù)器集群進