內網安全整體解決方案

內網安全整體解決方案內網安全整體解決方案第第頁雄沖區(qū)溢出漏洞?拒絕服務漏洞枚限提升漏洞3389a程臬面SQLSERVER漏洞掃描系統(tǒng)洞掃描品「川FT?雄沖區(qū)溢出漏洞?拒絕服務漏洞枚限提升漏洞3389a程臬面SQLSERVER漏洞掃描系統(tǒng)洞掃描品「川FT?SQL注入漏洞跨站腳本漏洞Vmware.1漏洞檢測范圍操作系統(tǒng)：MicrosoftWindows2003/2008/7/8/10/2012、MacOS、SunSolaris、UNIX、IBMAIX、IRIX、Linux、BSD；數據庫：MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAPMaxDB、solidDB、Firebird；網絡設備：支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、CheckPoint、趨勢科技、Websense、3COM、F5、SonicWALL、MikroTikRouteOS、DD-WRT、D-Link、NETGEAR。應用系統(tǒng)：各種Web服務器應用系統(tǒng)(IIS、ApacheTomcat、IBMlotus……)、各種DNS服務器應用系統(tǒng)、各種FTP/TFTP服務器應用系統(tǒng)、虛擬化系統(tǒng)(Vmware、VirtualBox、KVM、OpenStack等等)、郵件服務器應用系統(tǒng)(MSExchange、IMAP、IpswitchImail、Postfix ).2識別漏洞類型＞系統(tǒng)漏洞類型Windows漏洞大于1946種、MacOS漏洞大于192種、UNIX漏洞大于959種、數據庫服務器漏洞大于357種、CGI漏洞大于2301種、DNS漏洞大于76種、

FTP/TFTP漏洞大于278種、虛擬化漏洞大于613種、網絡設備漏洞大于516種、Mail漏洞大于251種、雜項漏洞（含RPC、NFS、主機后門、NIS、SNMP、守護進程、PROXY、強力攻擊……）>web漏洞類型微軟IIS漏洞檢測、Apache漏洞檢測、IBMWebSphere漏洞檢測、ApacheTomcat漏洞檢測、SSL模塊漏洞檢測、Nginx漏洞檢測、IBMLotus漏洞檢測、Resin漏洞檢測、Weblogic漏洞檢測、Squid漏洞檢測、lighttpd漏洞檢測、NetscapeEnterprise漏洞檢測、SuniPlanetWeb漏洞檢測、OracleHTTPServer漏洞檢測、Zope漏洞檢測、HPSystemManagementHomepage漏洞檢測、Cherokee漏洞檢測、RaidenHTTPD漏洞檢測、Zeus漏洞檢測、AbyssWebServer漏洞檢測、以及其他Web漏洞檢測等Web服務器的掃描，尤其對于IIS具有最多的漏洞檢測能力，IIS漏洞大于155種>數據庫漏洞類型MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAPMaxDB、solidDB、Firebird……等，可以掃描數據庫大于三百五十多種漏洞，包含了有關空口令、弱口令、用戶權限漏洞、用戶訪問認證漏洞、系統(tǒng)完整性檢查、存儲過程漏洞和與數據庫相關的應用程序漏洞等方面的漏洞，基本上覆蓋了數據庫常被用做后門進行攻擊的漏洞，并提出相應的修補建議.3內部主動防御根據漏洞掃描結果，給予定制化安全加固方案，結合漏洞級別、漏洞類型、漏洞波及范圍、修復風險、加固后復測等人工服務，配合用戶第一時間完成修復工作，我們將從信息安全專業(yè)技術層面為您說明每一條漏洞可能導致的安全事件可能性，從用戶安全運維、業(yè)務系統(tǒng)穩(wěn)定運行的角度出發(fā)，給出可落地的安全加固方案。2.4.2內網統(tǒng)一身份認證與權限管理建議構建統(tǒng)一身份認證與權限管理系統(tǒng)，建立統(tǒng)一身份庫，業(yè)務操作人員、系統(tǒng)運維人員、IT基礎架構運維人員、業(yè)務應用管理員、IT基礎架構管理人員、

系統(tǒng)管理人員通過統(tǒng)一認證入口，進行統(tǒng)一的身份認證，并對不同人員設置不同的訪問權限，并實現所有用戶登錄及訪問行為分析和審計。日中?管百】T史哨,M日中?管百】T史哨,M全申.1鋌f證人口生認正WPKJ認證%充一用戶身份認證設計建立的統(tǒng)一身份庫，包括運營身份庫和業(yè)務人員身份庫，使用戶在統(tǒng)一身份庫中，只有唯一身份標識，用戶向統(tǒng)一認證平臺提交的證明是其本人的憑據，根據系統(tǒng)級別不同，采用的認證方式不同，每個應用系統(tǒng)都有自己的賬戶體系，這些賬戶被看做是訪問一個信息資產的權限，管理員可以在統(tǒng)一身份認證與權限管理系統(tǒng)中配置某個用戶在系統(tǒng)中對若干賬戶的訪問權限。實現各應用系統(tǒng)不再處理身份認證，而是通過統(tǒng)一的身份認證入口進行認證，通過后期的行為分析提供對異常行為的檢測及加強認證或阻斷操作。用戶分類具體如下圖所示：統(tǒng)一用戶權限管理設計一、外部用戶二、內部用戶1、運維人員的權限管理

2、業(yè)務人員的權限管理IE*A業(yè)務內容身份鑒別與訪問控制設計業(yè)務系統(tǒng)忖隋人員審此.比布計RIE*A業(yè)務內容身份鑒別與訪問控制設計業(yè)務系統(tǒng)忖隋人員審此.比布計R直尊。U戀人551AM周伸威.應用凈漏發(fā)布平臺覦證笫況判定內吊訪問證理暗判定外部訪TE、內部訪問設計導因素詛證遇原辿?電電電LinuKWindows5SH?院相?操作葡嶺淳也覦證笫況判定內吊訪問證理暗判定外部訪TE、內部訪問設計導因素詛證遇原辿?電電電LinuKWindows5SH?院相?操作葡嶺淳也內弧用營!Ik廳WAPP虛稱偌平臺,,一內部訪問設計主要面向內部用戶，通過驗證后會加入到統(tǒng)一用戶身份認證與權限管理平臺身份庫，經過認證策略判定，錄入認證策略庫，最后通過堡壘機實現內部訪問。二、外部訪問設計身份合法驗證，通過驗證后會加入到外部用戶統(tǒng)一用戶身份認證與權限管理平臺身份庫，經過認證策略判定并錄入認證策略庫，經過多因素認證資源池（包括指紋、二維碼、RSA令牌等）實現外部應用的系統(tǒng)資源訪問。2.4.1內網安全漏洞統(tǒng)一管理平臺建議部署安全漏洞統(tǒng)一管理平臺，按照組織架構或業(yè)務視圖建立資產管理目錄，快速感知不同資產層級的漏洞態(tài)勢，解決內部漏洞無法與業(yè)務系統(tǒng)自動關聯分析的問題，為監(jiān)管方提供宏觀分析視圖。將不同來源、不同廠商、不同語言、不同類型的漏洞數據自動標準化成符合國家標準的全中文漏洞數據，并去重合。形成某單位自身的漏洞信息庫，賦予漏洞數據空間、時間、狀態(tài)和威脅屬性，形成每個信息系統(tǒng)的漏洞信息庫，并對其生命周期狀態(tài)進行跟蹤。順應國家網絡安全和行業(yè)發(fā)展的需要，解決了漏洞檢測、漏洞驗證、漏洞處置和響應等環(huán)節(jié)中存在的多種問題，實現漏洞管理流程化、自動化、平臺化及可視化。第三章內網安全防護設備清單云防火墻硬件防火墻云wa