XXX教育廳網(wǎng)絡(luò)安全建設(shè)方案

教育廳網(wǎng)絡(luò)安全建設(shè)方案目錄一.現(xiàn)狀分析 11.1網(wǎng)絡(luò)現(xiàn)狀 11.2網(wǎng)絡(luò)拓?fù)?1二.需求與風(fēng)險(xiǎn)分析 2三.安全建設(shè)方案 33.1建設(shè)目標(biāo) 33.2改建后網(wǎng)絡(luò)拓?fù)?33.3安全產(chǎn)品選型 43.3.1xx專業(yè)抗拒絕服務(wù)系統(tǒng) 43.3.2xx安全審計(jì)系統(tǒng) 83.3.3xxWEB應(yīng)用防護(hù)系統(tǒng) 113.3.4xxSC安全中心 153.4產(chǎn)品性能參數(shù) 錯(cuò)誤!未定義書簽。3.4.1xx專業(yè)抗拒絕服務(wù)系統(tǒng) 錯(cuò)誤!未定義書簽。3.4.2xx安全審計(jì)系統(tǒng) 錯(cuò)誤!未定義書簽。3.4.3xxWEB應(yīng)用防護(hù)系統(tǒng) 錯(cuò)誤!未定義書簽。3.4.4xxSC安全中心 錯(cuò)誤!未定義書簽。3.5投資風(fēng)析 錯(cuò)誤!未定義書簽。- I -一. 現(xiàn)狀分析1.1 網(wǎng)絡(luò)現(xiàn)狀教育廳外網(wǎng)有3個(gè)出口與INTERNET相連，其中兩臺(tái)華為交換機(jī)分別與中國(guó)教育科研網(wǎng)和中國(guó)電信互聯(lián)網(wǎng)相連，并與核心交換機(jī)華為9303之間接有IPS和防火墻，以保證內(nèi)部網(wǎng)絡(luò)安全，各個(gè)樓層辦公終端通過接入交換連至核心交換。目前沒有部署針對(duì)于WEB站點(diǎn)的安全防護(hù)設(shè)備。1.2 網(wǎng)絡(luò)拓?fù)洚?dāng)前網(wǎng)絡(luò)現(xiàn)狀如下圖所示：說明：當(dāng)前網(wǎng)絡(luò)沒有針對(duì)于WEB站點(diǎn)的安全防護(hù)設(shè)備。- 1 -二. 需求與風(fēng)險(xiǎn)分析隨著XX教育廳信息化進(jìn)程的全面加快，WEB應(yīng)用所承載的信息和數(shù)據(jù)越來越重要，對(duì)其安全要求也越來越高，WEB應(yīng)用如果出現(xiàn)安全問題，將嚴(yán)重影響XX教育廳對(duì)外提供的各項(xiàng)工作，甚至關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定，關(guān)系到廣大人民群眾切身利益。根據(jù)前期的調(diào)研發(fā)現(xiàn)，當(dāng)前XX教育廳沒有針對(duì)WEB應(yīng)用的安全防護(hù)設(shè)備，所以面臨的安全形勢(shì)十分嚴(yán)峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)節(jié)，能否及時(shí)發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵和攻擊、保證Web應(yīng)用系統(tǒng)的安全和正常運(yùn)行成為XX教育廳WEB應(yīng)用所面臨的一個(gè)重要問題。而傳統(tǒng)的邊界安全設(shè)備，如防火墻，作為整體安全策略中不可缺少的重要模塊，針對(duì)Web應(yīng)用攻擊完善的防御能力還不十分有效。面對(duì)Web應(yīng)用層面這類給Internet可用性帶來極大損害的攻擊，必須采用專門的機(jī)制，綜合采用各種技術(shù)手段對(duì)攻擊進(jìn)行有效檢測(cè)，進(jìn)而遏制這類不斷增長(zhǎng)、日趨復(fù)雜的攻擊形式，因此符合國(guó)家合規(guī)性要求WEB應(yīng)用安全建設(shè)已經(jīng)變得刻不容緩。隨著WEB應(yīng)用的發(fā)展，WEB應(yīng)用發(fā)揮著越來越重要的作用。OA平臺(tái)基于WEB應(yīng)用的業(yè)務(wù)模式不斷成熟，應(yīng)用安全問題也正在凸顯，WEB應(yīng)用安全管理和防范措施薄弱，極易遭到黑客攻擊。近幾年關(guān)于網(wǎng)絡(luò)釣魚、SQL注入和跨站腳本等帶來嚴(yán)重后果的攻擊事件頻頻發(fā)生，嚴(yán)重影響了人們對(duì)WEB應(yīng)用的信心，根據(jù)Gartner的數(shù)據(jù)分析，80%基于WEB的應(yīng)用都存在安全問題，其中很大一部分是相當(dāng)嚴(yán)重的問題。WEB應(yīng)用系統(tǒng)的安全性越來越引起人們的高度關(guān)注。目前網(wǎng)絡(luò)中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷?duì)應(yīng)用自身弱點(diǎn)的攻擊。與此同時(shí)，WEB應(yīng)用也因安全隱患頻繁遭到各種攻擊，導(dǎo)致WEB應(yīng)用敏感數(shù)據(jù)丟失、網(wǎng)頁被篡改，甚至成為傳播木馬的傀儡。WEB應(yīng)用安全形勢(shì)日益嚴(yán)峻，而WEB應(yīng)用被攻擊后造成的巨大政治風(fēng)險(xiǎn)、名譽(yù)損失、經(jīng)濟(jì)損失已經(jīng)成為XX教育廳應(yīng)用平臺(tái)健康發(fā)展的一個(gè)巨大障礙。- 2 -三. 安全建設(shè)方案3.1 建設(shè)目標(biāo)教育廳WEB應(yīng)用系統(tǒng)的訪問人員通常是公眾用戶、科研機(jī)構(gòu)、政府等人員。結(jié)合WEB應(yīng)用系統(tǒng)的目前現(xiàn)狀，將安全理論轉(zhuǎn)化為具體安全需求，包括物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層以及管理層等各個(gè)層面的安全需求，再依據(jù)現(xiàn)有比較成熟的安全技術(shù)，將安全需求轉(zhuǎn)化為可以實(shí)現(xiàn)的技術(shù)和管理安全防護(hù)手段，為環(huán)境保護(hù)WEB應(yīng)用全面性、及時(shí)性、準(zhǔn)確性、完整性、保密性、無障礙性等業(yè)務(wù)要求提供安全保障。使WEB應(yīng)用能夠應(yīng)對(duì)威脅的能力構(gòu)成了系統(tǒng)的安全保護(hù)能力之一——對(duì)抗能力。對(duì)抗能力則形成了信息系統(tǒng)的安全保護(hù)能力。3.2 改建后網(wǎng)絡(luò)拓?fù)涓脑旌缶W(wǎng)絡(luò)拓?fù)淙缦拢赫f明：- 3 -教育廳現(xiàn)有3條互聯(lián)網(wǎng)鏈路接入INTERNET，抗拒絕服務(wù)系統(tǒng)ADS和安全審計(jì)系統(tǒng)以串聯(lián)方式部署在防火墻和核心交換之間，新增DMZ區(qū)防護(hù)鏈路由WEB應(yīng)用防護(hù)系統(tǒng)（WAF）組成。WEB服務(wù)器以及各應(yīng)用服務(wù)器群部署在DMZ區(qū)內(nèi)。WAF以串聯(lián)方式部署在防火墻和DMZ區(qū)交換機(jī)之間，而且WAF本身具有抗拒絕服務(wù)模塊。防火墻主要用來限制用戶的訪問，但對(duì)于WEB應(yīng)用的對(duì)抗能力沒有提升。而抗拒絕服務(wù)攻擊系統(tǒng)、WEB應(yīng)用防護(hù)系統(tǒng)則是專門針對(duì)WEB應(yīng)用安全的防護(hù)設(shè)備。ADS可防護(hù)各類基于網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的拒絕服務(wù)攻擊，如對(duì)SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及連接耗盡這些常見的攻擊行為能夠有效識(shí)別，并通過集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行阻斷。能夠大大增強(qiáng)WEB安全對(duì)抗能力。WAF提供Web應(yīng)用漏洞掃描功能，檢測(cè)Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中，對(duì)黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、有效檢測(cè)、阻斷及防護(hù)。事后，針對(duì)當(dāng)前的安全熱點(diǎn)問題，提供診斷功能，降低安全風(fēng)險(xiǎn)，維護(hù)網(wǎng)站的公信度。3.3 安全產(chǎn)品選型3.3.1 xx專業(yè)抗拒絕服務(wù)系統(tǒng) 選型依據(jù)DDoS防護(hù)一般包含兩個(gè)方面：其一是針對(duì)不斷發(fā)展的攻擊形式，尤其是采用多種欺騙技術(shù)的技術(shù)，能夠有效地進(jìn)行檢測(cè)；其二，也是最為重要的，就是如何降低對(duì)業(yè)務(wù)系統(tǒng)或者是網(wǎng)絡(luò)的影響，從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。完善的DDoS攻擊防護(hù)應(yīng)該從四個(gè)方面考慮：能夠從背景流量中精確的區(qū)分攻擊流量；降低攻擊對(duì)服務(wù)的影響，而不僅僅是檢測(cè)；能夠支持在各類網(wǎng)絡(luò)入口點(diǎn)進(jìn)行部署，包括性能和體系架構(gòu)等方面；系統(tǒng)具備很強(qiáng)的擴(kuò)展性和良好的可靠性；基于以上四點(diǎn)，抗拒絕服務(wù)攻擊的設(shè)備應(yīng)具有如下特性：通過集成的檢測(cè)和阻斷機(jī)制對(duì)DDoS攻擊實(shí)時(shí)響應(yīng)；4-采用基于行為模式的異常檢測(cè)，從背景流量中識(shí)別攻擊流量；提供針對(duì)海量DDoS攻擊的防護(hù)能力；提供靈活的部署方式保護(hù)現(xiàn)有投資，避免單點(diǎn)故障或者增加額外投資；對(duì)攻擊流量進(jìn)行智能處理，保證最大程度的可靠性和最低限度的投資；降低對(duì)網(wǎng)絡(luò)設(shè)備的依賴及對(duì)設(shè)備配置的修改；盡量采用標(biāo)準(zhǔn)協(xié)議進(jìn)行通訊，保證最大程度的互操作性和可靠性； 選型建議經(jīng)過對(duì)國(guó)內(nèi)外流行產(chǎn)品的分析，我們建議使用xx科技的抗拒絕服務(wù)攻擊系統(tǒng)----黑洞。 功能介紹針對(duì)目前流行的DDoS攻擊，包括未知的攻擊形式，xx科技提供了自主研發(fā)的抗拒絕服務(wù)產(chǎn)品——黑洞（Collapsar）。通過及時(shí)發(fā)現(xiàn)背景流量中各種類型的攻擊流量，黑洞可以迅速對(duì)攻擊流量進(jìn)行過濾或旁路，保證正常流量的通過。產(chǎn)品可以在多種網(wǎng)絡(luò)環(huán)境下輕松部署，不僅能夠避免單點(diǎn)故障的發(fā)生，同時(shí)也能保證網(wǎng)絡(luò)的整體性能和可靠性。系統(tǒng)特性:攻擊檢測(cè)和防護(hù)“黑洞”系列抗拒絕服務(wù)產(chǎn)品應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，可防護(hù)各類基于網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的拒絕服務(wù)攻擊，如對(duì)SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及連接耗盡這些常見的攻擊行為能夠有效識(shí)別，并通過集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行阻斷。系統(tǒng)還能夠針對(duì)最近出現(xiàn)的混合拒絕服務(wù)攻擊、ACKFlood/DRDoS等危害更大的拒絕服務(wù)攻擊進(jìn)行防護(hù)。海量DDoS防護(hù)xx科技抗拒絕服務(wù)系統(tǒng)采用專用硬件架構(gòu)，同時(shí)結(jié)合業(yè)界獨(dú)創(chuàng)的攻擊檢測(cè)算法，所以能夠針對(duì)海量DDoS進(jìn)行防護(hù)。由于系統(tǒng)支持旁路部署方式，可對(duì)DDoS攻擊流量進(jìn)行牽引，同時(shí)通過部署若干臺(tái)黑洞設(shè)備形成集群，更加增強(qiáng)了系統(tǒng)抵御巨大規(guī)模的DDoS攻擊的能力，保證了正常流量的順暢通過。- 5 -強(qiáng)大的部署能力由于客戶類型不同，所以抗拒絕服務(wù)所面臨的網(wǎng)絡(luò)環(huán)境也非常復(fù)雜，給抗拒絕服務(wù)系統(tǒng)的部署帶來了不同的挑戰(zhàn)。xx科技的抗拒絕服務(wù)系統(tǒng)具備了多種環(huán)境下的部署能力，支持多種網(wǎng)絡(luò)協(xié)議，諸如OSPF、RIP、BGPv4、VLAN等，加之其基于應(yīng)用的負(fù)載均衡能力，幫助整個(gè)產(chǎn)品成為多種客戶環(huán)境下抗拒絕服務(wù)攻擊的首選。支持抓包取證隨著DDoS攻擊規(guī)模和頻率的上升，相應(yīng)帶來的損失越來越為嚴(yán)重，客戶對(duì)于追蹤攻擊源的需求也日益強(qiáng)烈。作為受害者之一的運(yùn)營(yíng)商自身有著溯源的需求；另一方面，電子取證可以作為運(yùn)營(yíng)商新的增值業(yè)務(wù)點(diǎn)。黑洞設(shè)備支持現(xiàn)場(chǎng)取證，通過抓包分析進(jìn)行深度防范，為電子取證提供依據(jù)，對(duì)DDoS攻擊產(chǎn)生威懾。防護(hù)群組針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)中客戶眾多、且對(duì)DDoS防護(hù)需求不同的特點(diǎn)，黑洞Anti-DDoS系統(tǒng)提供防護(hù)群組功能，對(duì)用戶加以區(qū)分，并對(duì)不同的用戶組提供細(xì)粒度的防護(hù)策略。對(duì)于相同類型攻擊，可針對(duì)具體攻擊方式設(shè)置最為有效的防護(hù)算法。豐富的管理功能- 6 -科技抗拒絕服務(wù)系統(tǒng)具備強(qiáng)大的設(shè)備管理能力，提供基于Web和串口的管理方式，支持本地或遠(yuǎn)程的升級(jí)。同時(shí)，其豐富的日志和審計(jì)功能也極大地增強(qiáng)了設(shè)備的可用性，不僅能夠針對(duì)攻擊進(jìn)行實(shí)時(shí)監(jiān)測(cè)，還能對(duì)攻擊的歷史日志進(jìn)行方便的查詢和統(tǒng)計(jì)分析，便于對(duì)攻擊事件進(jìn)行有效的跟蹤和追查。當(dāng)網(wǎng)絡(luò)中部署多臺(tái)黑洞設(shè)備時(shí)，設(shè)備的集中管理、集中監(jiān)控以及集中維護(hù)可以通過取證和管理系統(tǒng)（CollapsarDataCenter）實(shí)現(xiàn)。核心防護(hù)技術(shù):抗拒絕服務(wù)產(chǎn)品在系統(tǒng)核心實(shí)現(xiàn)了防御拒絕服務(wù)攻擊的算法，創(chuàng)造性地將算法實(shí)現(xiàn)在協(xié)議棧的最底層，避免了TCP/UDP/IP等高層系統(tǒng)網(wǎng)絡(luò)堆棧的處理，使整個(gè)運(yùn)算代價(jià)大大降低，并結(jié)合特有硬件加速運(yùn)算，因此系統(tǒng)效率極高。流量建?！诙吹姆烙粤髁拷y(tǒng)計(jì)建模為基礎(chǔ)，某些DDoS攻擊發(fā)生時(shí)往往會(huì)造成網(wǎng)絡(luò)流量突增，流量曲線遠(yuǎn)遠(yuǎn)偏離正常業(yè)務(wù)流量行為趨勢(shì)。黑洞可以在部署時(shí)動(dòng)態(tài)學(xué)習(xí)網(wǎng)絡(luò)流量的特征，通過統(tǒng)計(jì)學(xué)的方法建立網(wǎng)絡(luò)流量模型，作為分析網(wǎng)絡(luò)監(jiān)控狀況的基線。在網(wǎng)絡(luò)流量變化的過程中，黑洞可以智能化的動(dòng)態(tài)調(diào)整流量模型，以適應(yīng)正常業(yè)務(wù)增長(zhǎng)造成的網(wǎng)絡(luò)流量變化規(guī)律。反欺騙——xxAnti-DoS技術(shù)將會(huì)對(duì)數(shù)據(jù)包源地址和端口的正確性進(jìn)行驗(yàn)證，同時(shí)還對(duì)流量在統(tǒng)計(jì)和分析的基礎(chǔ)上提供針對(duì)性的反向探測(cè)。協(xié)議棧行為模式分析——根據(jù)協(xié)議包類型判斷其是否符合RFC規(guī)定，若發(fā)現(xiàn)異常，則立即啟動(dòng)統(tǒng)計(jì)分析機(jī)制；隨后針對(duì)不同的協(xié)議，采用xx專有的協(xié)議棧行為模式分析算法決定是否對(duì)數(shù)據(jù)包進(jìn)行過濾、限制或放行。- 7 -特定應(yīng)用防護(hù)——黑洞產(chǎn)品還會(huì)根據(jù)某些特殊協(xié)議類型，諸如DNS、HTTP、VOIPSIP等，啟用分析模式算法機(jī)制，進(jìn)一步對(duì)不同協(xié)議類型的DDoS攻擊進(jìn)行防護(hù)。用戶行為模式分析——黑洞系統(tǒng)還會(huì)根據(jù)某些特殊協(xié)議類型，諸如DNS、HTTP等，啟用用戶行為分析模式算法機(jī)制，進(jìn)一步對(duì)不同協(xié)議類型的DDoS攻擊進(jìn)行防護(hù)。動(dòng)態(tài)指紋識(shí)別——作為一種通用算法，指紋識(shí)別和協(xié)議無關(guān)，xxAnti-DoS技術(shù)采用滑動(dòng)窗口對(duì)數(shù)據(jù)包負(fù)載的特定字節(jié)范圍進(jìn)行統(tǒng)計(jì)，采用模式識(shí)別算法計(jì)算攻擊包的特征。對(duì)匹配指紋特征的攻擊包進(jìn)行帶寬限制和信譽(yù)懲罰。帶寬控制——對(duì)經(jīng)過系統(tǒng)凈化的流量進(jìn)行整形輸出，減輕對(duì)下游網(wǎng)絡(luò)系統(tǒng)的壓力。3.3.2 xx安全審計(jì)系統(tǒng) 選型依據(jù)網(wǎng)絡(luò)行為審計(jì)全面監(jiān)測(cè)各種上網(wǎng)行為，掌握企業(yè)網(wǎng)絡(luò)安全狀態(tài)。數(shù)據(jù)庫安全審計(jì)實(shí)時(shí)監(jiān)控各種帳戶的數(shù)據(jù)庫訪問操作，保障企業(yè)數(shù)據(jù)庫資產(chǎn)安全。信息外發(fā)審計(jì)提供細(xì)粒度的敏感信息審計(jì)解決方案，保證企業(yè)信息安全。 選型建議經(jīng)過對(duì)國(guó)內(nèi)外流行產(chǎn)品的分析，我們建議使用xx科技的安全審計(jì)產(chǎn)品（xx安全審計(jì)系統(tǒng)）。 功能介紹.1 多維度網(wǎng)絡(luò)行為審計(jì)xxSAS提供全面的網(wǎng)絡(luò)行為審計(jì)解決方案，系統(tǒng)通過基于業(yè)務(wù)運(yùn)維行為、上網(wǎng)行為和網(wǎng)絡(luò)應(yīng)用行為的審計(jì)，實(shí)現(xiàn)基于用戶的全面多維度網(wǎng)絡(luò)行為審計(jì)。業(yè)務(wù)運(yùn)維行為審計(jì)xxSAS支持對(duì)業(yè)務(wù)運(yùn)維操作（如TELNET、FTP、數(shù)據(jù)庫訪問等）的命令級(jí)審計(jì)和全過程記錄；對(duì)違反審計(jì)策略的操作行為實(shí)時(shí)報(bào)警、記錄；- 8 -上網(wǎng)行為審計(jì)xxSAS支持針對(duì)URL、網(wǎng)頁頁面內(nèi)容、搜索引擎的關(guān)鍵字審計(jì)功能，全面審計(jì)網(wǎng)站訪問行為；同時(shí)具有超過1000萬條的龐大中英文URL數(shù)據(jù)庫，多種精細(xì)分類，如不良言論、色情暴力等；可告警、過濾非法不良網(wǎng)站；實(shí)現(xiàn)全面、準(zhǔn)確、高效的網(wǎng)站訪問監(jiān)測(cè)；網(wǎng)絡(luò)應(yīng)用行為審計(jì)xxSAS支持對(duì)即時(shí)通訊、在線視頻、P2P下載、網(wǎng)絡(luò)游戲、炒股等互聯(lián)網(wǎng)應(yīng)用行為進(jìn)行全過程監(jiān)控。.2 全程數(shù)據(jù)庫操作審計(jì)xxSAS提供全面完整的數(shù)據(jù)庫審計(jì)解決方案，支持審計(jì)ORALCE、SQLSERVER、MYSQL、DB2、Sybase、Infomix、Postgresql等主流數(shù)據(jù)庫,可實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫各種帳戶的數(shù)據(jù)庫操作行為（如：插入、刪除、更新、用戶自定義操作等），準(zhǔn)確發(fā)現(xiàn)記錄各種非法、違規(guī)操作，并及時(shí)告警響應(yīng)處理，從而降低數(shù)據(jù)庫安全風(fēng)險(xiǎn)，保護(hù)企業(yè)數(shù)據(jù)庫資產(chǎn)安全。.3 全面精細(xì)的敏感信息審計(jì)xxSAS提供全面細(xì)粒度的敏感信息審計(jì)解決方案。系統(tǒng)支持基于時(shí)間、用戶、協(xié)議、內(nèi)容關(guān)鍵字等多種條件組合的信息審計(jì)策略，對(duì)郵件收發(fā)（WEBMAIL、SMTP、POP3）、文件上傳下載（HTTP、FTP）、論壇、即時(shí)通訊等進(jìn)行全面信息審計(jì)，提供實(shí)時(shí)告警、信息還原功能，對(duì)機(jī)密信息外泄、非法言論傳播等行為的及時(shí)響應(yīng)處理、事后追查取證提供有力支持-9-.4 高智能深度協(xié)議分析xxSAS采用業(yè)界領(lǐng)先的協(xié)議識(shí)別和智能關(guān)聯(lián)技術(shù)，提供全面深入的協(xié)議分析、解碼回放，能夠分析超過100種應(yīng)用層協(xié)議，包括HTTP、TELNET、FTP、SMTP、WEBMAIL、P2P、IM等，極大地提高內(nèi)容分析的準(zhǔn)確性，幫助管理員全面掌握網(wǎng)絡(luò)安全狀態(tài)。.5 業(yè)界首創(chuàng)“網(wǎng)站內(nèi)容安全”主動(dòng)審計(jì)xxSAS已獲得內(nèi)容安全審計(jì)方面的專利技術(shù)申請(qǐng)——主動(dòng)審計(jì)系統(tǒng)及方法，專利申請(qǐng)?zhí)枺?00810118759.4。xxSAS系統(tǒng)“主動(dòng)審計(jì)”采用具有高效智能的內(nèi)容識(shí)別引擎--NCRE（NCRE,NsfocusContentRecognitionEngine），準(zhǔn)確發(fā)現(xiàn)網(wǎng)站、論壇、博客中的非法敏感信息和網(wǎng)頁掛馬隱患。不良敏感信息掃描通過基于域名、關(guān)鍵字正則表達(dá)式等組合主動(dòng)內(nèi)容審計(jì)策略掃描指定網(wǎng)站，分析判斷網(wǎng)頁頁面是否含有非法敏感信息，有效防止不良信息擴(kuò)散，為追查取證提供有力支持。網(wǎng)站掛馬掃描系統(tǒng)通過掃描指定網(wǎng)站，分析檢測(cè)網(wǎng)頁是否被掛馬，并實(shí)時(shí)告警響應(yīng)，為網(wǎng)站安全提供及時(shí)有效支持。.6 強(qiáng)勁的病毒檢測(cè)能力xxSAS系統(tǒng)采用基于特征掃描和啟發(fā)式掃描病毒分析技術(shù)，可有效檢測(cè)通過HTTP、FTP、IM、SMTP、POP3、IMAP等協(xié)議傳輸?shù)牟《?，如網(wǎng)絡(luò)木馬病毒、蠕蟲病毒、宏病-10-毒、腳本病毒等。通過統(tǒng)一集中的網(wǎng)絡(luò)病毒檢測(cè)，SAS可快速發(fā)現(xiàn)病毒在企業(yè)內(nèi)部的傳播情況，幫助用戶及時(shí)全面掌握網(wǎng)絡(luò)安全狀態(tài)。.7 強(qiáng)大豐富的管理能力xxSAS支持多個(gè)硬件監(jiān)聽口，監(jiān)聽口即插即用，提供對(duì)多網(wǎng)段的同時(shí)審計(jì)能力；xxSAS安全中心與網(wǎng)絡(luò)引擎內(nèi)置了時(shí)鐘同步機(jī)制，所有連接同一安全中心的引擎均保持毫秒一級(jí)的精確度；xxSAS提供帶外管理（OOB）功能，解決遠(yuǎn)程應(yīng)急管理的需求，減少運(yùn)營(yíng)成本、提高運(yùn)營(yíng)效率、減少宕機(jī)時(shí)間、提高服務(wù)質(zhì)量；xxSAS支持實(shí)時(shí)在線升級(jí)、自動(dòng)在線升級(jí)、離線升級(jí)，使SAS提供最前沿的安全保障；xxSAS支持通過發(fā)送郵件、安全中心顯示、日志數(shù)據(jù)庫記錄、打印機(jī)輸出、運(yùn)行用戶自定義命令、TCPKiller等響應(yīng)方式及時(shí)報(bào)警。.8 審計(jì)信息“零管理”xxSAS完全支持“零管理”技術(shù),從實(shí)時(shí)升級(jí)系統(tǒng)到報(bào)表系統(tǒng)，從審計(jì)告警到日志備份，所有管理員需要日常進(jìn)行的操作均可由系統(tǒng)定時(shí)自動(dòng)后臺(tái)運(yùn)行。系統(tǒng)提供全面的事件日志信息的備份、恢復(fù)、清除等功能；并提供基于時(shí)間、IP地址、事件類別等條件的檢索功能。系統(tǒng)提供了詳細(xì)的綜合分析報(bào)表、自定義三種類型10多個(gè)類別的報(bào)表模板，報(bào)表支持MSWord、Html等格式導(dǎo)出。3.3.3 xxWEB應(yīng)用防護(hù)系統(tǒng) 選型依據(jù)完善的WEB攻擊防護(hù)應(yīng)該從四個(gè)方面考慮：具備事前、事中、事后完整的WEB應(yīng)用防護(hù)模型解決方案。集成領(lǐng)先WEB應(yīng)用漏洞掃描技術(shù)，提供預(yù)防解決方案應(yīng)用多維防護(hù)體系，有效應(yīng)對(duì)SQL注入、跨站腳本及其變形攻擊，提供掛馬主動(dòng)診斷功能，維護(hù)網(wǎng)站公信度提供HighAvailability（HA），有效避免網(wǎng)絡(luò)單點(diǎn)故障11- 選型建議經(jīng)過對(duì)國(guó)內(nèi)外流行產(chǎn)品的分析，我們建議使用xx科技的WAF產(chǎn)品（WEB應(yīng)用防護(hù)系統(tǒng)）。 功能介紹xxWeb應(yīng)用防火墻（又名xxWeb應(yīng)用防護(hù)系統(tǒng)），以下簡(jiǎn)稱xxWAF，是xx科技自主知識(shí)產(chǎn)權(quán)的新一代安全產(chǎn)品，作為網(wǎng)關(guān)設(shè)備，防護(hù)對(duì)象為Web服務(wù)器，其設(shè)計(jì)目標(biāo)為：針對(duì)安全事件發(fā)生時(shí)序進(jìn)行NPRS（NSFOCUSProactiveandReactiveSecurity）安全建模，分別針對(duì)安全漏洞、攻擊手段及最終攻擊結(jié)果進(jìn)行掃描、防護(hù)及診斷，提供綜合Web應(yīng)用安全解決方案。事前，xxWAF提供Web應(yīng)用漏洞掃描功能，檢測(cè)Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中，對(duì)黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進(jìn)行有效檢測(cè)、阻斷及防護(hù)。事后，針對(duì)當(dāng)前的安全熱點(diǎn)問題，網(wǎng)頁篡改及網(wǎng)頁掛馬，提供診斷功能，降低安全風(fēng)險(xiǎn)，維護(hù)網(wǎng)站的公信度。系統(tǒng)特性：-12-集成領(lǐng)先WEB應(yīng)用漏洞掃描技術(shù)Web應(yīng)用安全問題，成因在于Web應(yīng)用程序開發(fā)階段留下的安全隱患為攻擊者所利用。這主要由于Web發(fā)展過程前進(jìn)過于迅速，更多考慮如何快速提供服務(wù)，往往忽略了之前在傳統(tǒng)軟件工程開發(fā)中已經(jīng)面臨的安全問題。因此，Web上的很多應(yīng)用都沒有經(jīng)過傳統(tǒng)軟件開發(fā)所必需完成的細(xì)致檢查和完整處理過程。針對(duì)這種情況，xxWAF集成了業(yè)界領(lǐng)先的Web應(yīng)用掃描技術(shù)，檢測(cè)Web應(yīng)用自身的脆弱性，諸如SQL注入、跨站腳本（XSS）等頁面漏洞，提供預(yù)防類解決方案，為解決根本問題提供技術(shù)依據(jù)。多維防護(hù)體系WAF應(yīng)用了先進(jìn)的多維防護(hù)體系，對(duì)Web應(yīng)用攻擊進(jìn)行了廣泛且深入的研究，固化了一套針對(duì)Web應(yīng)用防護(hù)的專用特征規(guī)則庫，對(duì)當(dāng)前國(guó)內(nèi)主要的Web應(yīng)用攻擊手段實(shí)現(xiàn)了有效的防護(hù)機(jī)制，應(yīng)對(duì)黑客傳統(tǒng)攻擊（緩沖區(qū)溢出、CGI掃描、遍歷目錄等）以及新興的SQL注入和跨站腳本等攻擊手段。WAF應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，可防護(hù)各類帶寬及資源耗盡型拒絕服務(wù)攻擊。尤其是針對(duì)HTTPGetFlood以及CC攻擊，基于智能關(guān)聯(lián)分析技術(shù)能夠有效識(shí)別，提供應(yīng)用層細(xì)粒度的防護(hù)?；谔卣鳈z測(cè)和智能關(guān)聯(lián)分析技術(shù)，xxWAF提供針對(duì)傳奇游戲的攻擊防護(hù)，如常見的假人攻擊、創(chuàng)建帳號(hào)攻擊、數(shù)據(jù)庫攻擊等。對(duì)于蠕蟲變形，xxWAF基于關(guān)聯(lián)分析技術(shù)進(jìn)行有效識(shí)別和阻斷告警。對(duì)于混合型攻擊，WAF提供多重檢查機(jī)制和智能分析，確保對(duì)高安全風(fēng)險(xiǎn)級(jí)別攻擊事件的準(zhǔn)確識(shí)別率，同時(shí)也有效避免告警誤報(bào)率高為用戶帶來的告警風(fēng)暴。對(duì)于不符合RFC標(biāo)準(zhǔn)的畸形包，采用協(xié)議異常檢測(cè)技術(shù)，進(jìn)行識(shí)別和過濾。威脅描述xxWAF解決方案SQL注入利用SQL注入漏洞，攻擊者通過在xxWAF基于特征分析，針對(duì)SQLURL、表格域，或其他的輸入域中輸入注入--當(dāng)前國(guó)內(nèi)網(wǎng)頁篡改采用的自己的SQL命令，以此改變查詢屬性，最主要攻擊手段，提供了有效識(shí)騙過Web應(yīng)用程序，從而對(duì)數(shù)據(jù)庫進(jìn)別、阻斷并告警。xxWAF可有效行不受限的訪問。防護(hù)傳統(tǒng)注入手段，以及逃逸-13-跨站腳本緩沖區(qū)溢出目錄遍歷

（escape）檢測(cè)手段。利用XSS漏洞，通過虛假的Web頁面 xxWAF基于特征分析，檢查過濾內(nèi)容偽裝用戶的常用方法。惡意攻擊可 用戶的請(qǐng)求數(shù)據(jù)，可阻斷XSS攻以通過XSS來盜取用戶的cookie，將 擊。用戶引導(dǎo)至其他的惡意頁面，并且向其提供虛假的內(nèi)容。Web應(yīng)用程序無法檢查正在處理的xxWAF基于特征分析，檢查用戶數(shù)據(jù)輸入時(shí)就有可能發(fā)生緩沖區(qū)溢出問提交的參數(shù)數(shù)據(jù)，發(fā)現(xiàn)和阻斷緩題。多數(shù)情況，緩沖區(qū)溢出會(huì)導(dǎo)致軟件沖區(qū)溢出攻擊。崩潰。最為危險(xiǎn)的情形是輸入數(shù)據(jù)的溢出侵占了用于指示下一條執(zhí)行代碼的內(nèi)存，用戶輸入的數(shù)據(jù)會(huì)導(dǎo)致機(jī)器代碼執(zhí)行順序的改變，從而使得攻擊者能夠在服務(wù)器上運(yùn)行他們的攻擊代碼。利用緩沖區(qū)溢出可作為蠕蟲和非法代碼段的傳遞機(jī)制。惡意用戶找到受限文件的位置并且瀏覽xxWAF基于特征分析，檢查用戶或執(zhí)行它們。最為嚴(yán)重的情況就是執(zhí)行提交的參數(shù)數(shù)據(jù)，發(fā)現(xiàn)和阻斷攻受限的文件，攻擊者就可以根據(jù)自己的擊。意愿來控制或者修改Web站點(diǎn)。黑客攻擊技術(shù)是不斷發(fā)展的，安全產(chǎn)品面對(duì)的是充滿“智慧”的攻擊者，Web安全攻防是持續(xù)變化的過程。攻擊者可以調(diào)整攻擊力度、采用新的攻擊手段，突破攻擊防護(hù)設(shè)備的性能極值，這對(duì)安全廠商的研究能力提出了嚴(yán)峻的挑戰(zhàn)。xx科技擁有一支強(qiáng)大的安全技術(shù)研究隊(duì)伍，專職于安全攻擊及防護(hù)技術(shù)的研究，能夠及時(shí)跟蹤、發(fā)現(xiàn)互聯(lián)網(wǎng)上新出現(xiàn)的Web應(yīng)用攻擊類型，并最優(yōu)化防護(hù)技術(shù)，從而為客戶提供對(duì)抗最新攻擊的解決方案。HA（HighAvailability）- 14 -xxWAF支持雙機(jī)熱備，可根據(jù)網(wǎng)絡(luò)情況和用戶需求，部署Active/Active或Active/Standby的工作模式，提供loadbalance或者failover功能，避免傳統(tǒng)串聯(lián)設(shè)備存在單點(diǎn)故障的隱患，從而有力保障Web業(yè)務(wù)的高可用性。3.3.4 xxSC安全中心 選型依據(jù)為了更好的對(duì)xx網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)、WEB應(yīng)用防護(hù)系統(tǒng)等xx網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行實(shí)時(shí)安全事件的監(jiān)控、統(tǒng)一策略的制定與下發(fā)、統(tǒng)一的日子存儲(chǔ)、日志分析與報(bào)表生成。方便客戶對(duì)xx網(wǎng)絡(luò)安全產(chǎn)品的統(tǒng)一管理，及時(shí)的對(duì)企業(yè)網(wǎng)絡(luò)流量分布以及安全狀況的診斷和評(píng)估?？萍甲灾餮邪l(fā)了一套以B/S架構(gòu)為基礎(chǔ)的安全中心軟件。以實(shí)現(xiàn)跨平臺(tái)集中管理 選型建議為了更好的使XX教育廳的網(wǎng)管技術(shù)人員更好的對(duì)xx產(chǎn)品進(jìn)行管理，我們建議使用xx科技的SC安全中心產(chǎn)品。 功能介紹.1 首頁管理成功登錄NSFOCUSSC后，默認(rèn)進(jìn)入系統(tǒng)首頁，用戶可在該頁面查看NSFOCUSSC管理的設(shè)備上報(bào)的各類實(shí)時(shí)監(jiān)控告警信息、事件分布統(tǒng)計(jì)信息、事件趨勢(shì)統(tǒng)計(jì)信息和安全事件統(tǒng)計(jì)信息。具體可以看到如下內(nèi)容：? 系統(tǒng)管理的設(shè)備實(shí)時(shí)上報(bào)的綜合統(tǒng)計(jì)信息。? 系統(tǒng)所在主機(jī)和管理設(shè)備的硬件信息狀態(tài)。? 系統(tǒng)管理的設(shè)備實(shí)時(shí)上報(bào)的事件監(jiān)控信息。-15-.2 狀態(tài).2.1 查看安全中心狀態(tài)選擇菜單“首頁>狀態(tài)>安全中心狀態(tài)”，即可查看NSFO