深信服業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案模板

深信服業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案深信服科技版權(quán)所有深信服XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案深信服科技有限公司20XX年XX月XX日

目錄深信服XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案 1目錄 21 應(yīng)用背景 42 需求分析 52.1 一期建設(shè)拓?fù)鋱D 52.2 業(yè)務(wù)系統(tǒng)安全現(xiàn)狀 52.3 業(yè)務(wù)系統(tǒng)脆弱性分析 62.4 風(fēng)險(xiǎn)可能導(dǎo)致的問(wèn)題 82.5 業(yè)務(wù)安全加固建設(shè)目標(biāo) 93 方案設(shè)計(jì) 103.1 網(wǎng)絡(luò)安全加固方案 103.1.1 DOS/DDOS防護(hù)子系統(tǒng) 103.1.2 防病毒子系統(tǒng) 103.2 系統(tǒng)安全加固方案 113.2.1 入侵防御子系統(tǒng) 123.3 應(yīng)用安全加固方案 133.3.1 Web安全子系統(tǒng) 143.4 數(shù)據(jù)安全加固方案 143.4.1 信息泄漏防護(hù)子系統(tǒng) 153.4.2 防篡改子系統(tǒng) 154 產(chǎn)品部署示方案 164.1 方案一：一站式應(yīng)用安全加固部署方案 164.1.1 拓?fù)鋱D 164.1.2 產(chǎn)品部署方案 164.1.3 產(chǎn)品選型 184.2 方案二：節(jié)點(diǎn)縱深防御應(yīng)用安全加固部署方案 194.2.1 拓?fù)鋱D 194.2.2 產(chǎn)品部署方案 194.2.3 產(chǎn)品選型 205 關(guān)于深信服 21

應(yīng)用背景 網(wǎng)絡(luò)的飛速發(fā)展促進(jìn)了各行業(yè)的信息化建設(shè)，近幾年來(lái)XX單位走過(guò)了不斷發(fā)展、完善的信息化歷程，現(xiàn)已擁有技術(shù)先進(jìn)、種類(lèi)繁多的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)，構(gòu)成了一個(gè)配置多樣的綜合性網(wǎng)絡(luò)平臺(tái)。隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的不斷完善，有針對(duì)性作用的業(yè)務(wù)系統(tǒng)也不斷增加，XX單位已于2011年底完成建設(shè)XX業(yè)務(wù)系統(tǒng)，提供開(kāi)放的綜合業(yè)務(wù)平臺(tái)為用戶(hù)提供便捷的服務(wù)。為了保證用戶(hù)能夠更安全，更便捷的使用業(yè)務(wù)系統(tǒng)，在XX業(yè)務(wù)系統(tǒng)建設(shè)時(shí)便設(shè)計(jì)并建設(shè)完成了第一期網(wǎng)絡(luò)安全建設(shè)規(guī)劃。在第一期的網(wǎng)絡(luò)安全建設(shè)規(guī)劃方案中，防火墻被用作主要的網(wǎng)絡(luò)安全設(shè)備保證業(yè)務(wù)系統(tǒng)的正常穩(wěn)定運(yùn)行。使用防火墻將服務(wù)器區(qū)域分割成為應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫(kù)服務(wù)器區(qū)、邊界接入?yún)^(qū)、運(yùn)維管理區(qū)域等多個(gè)網(wǎng)絡(luò)層相互邏輯隔離的區(qū)域，防止內(nèi)、外部安全風(fēng)險(xiǎn)危害各個(gè)業(yè)務(wù)區(qū)域。 然而隨著互聯(lián)網(wǎng)的飛速發(fā)展，外部網(wǎng)絡(luò)安全日趨嚴(yán)重，面對(duì)業(yè)務(wù)系統(tǒng)的信息安全攻擊逐漸從網(wǎng)絡(luò)層向應(yīng)用層和系統(tǒng)層遷移。各類(lèi)新型的黑客技術(shù)手段、計(jì)算機(jī)病毒、系統(tǒng)漏洞、應(yīng)用程序漏洞以及網(wǎng)絡(luò)中的不規(guī)范操作對(duì)XX單位業(yè)務(wù)系統(tǒng)均有可能造成嚴(yán)重的威脅。在給內(nèi)、外網(wǎng)用戶(hù)提供優(yōu)質(zhì)服務(wù)的同時(shí)，也面臨著各類(lèi)的應(yīng)用安全風(fēng)險(xiǎn)，為了加強(qiáng)業(yè)務(wù)系統(tǒng)的防護(hù)能力，提高業(yè)務(wù)系統(tǒng)安全性，并且滿(mǎn)足等保三級(jí)的要求，XX單位將啟動(dòng)二期XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固的安全建設(shè)。需求分析一期建設(shè)拓?fù)鋱D業(yè)務(wù)系統(tǒng)安全現(xiàn)狀 XX業(yè)務(wù)系統(tǒng)是整個(gè)業(yè)務(wù)的支撐，應(yīng)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行重點(diǎn)防護(hù)，如果業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)行為控制不利，非授權(quán)用戶(hù)可能竊取機(jī)密數(shù)據(jù)、刪除和修改業(yè)務(wù)數(shù)據(jù)、甚至植入病毒，引起系統(tǒng)中斷服務(wù)或癱瘓。同時(shí)，如果不對(duì)日益猖獗的病毒問(wèn)題進(jìn)行防御，有可能從外部或內(nèi)部其他區(qū)域引入病毒，影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。同時(shí)，垃圾郵件的泛濫將阻礙業(yè)務(wù)的正常開(kāi)展，同時(shí)可能引入注入病毒、木馬、釣魚(yú)攻擊等眾多的安全風(fēng)險(xiǎn)。最后，操作系統(tǒng)漏洞、業(yè)務(wù)系統(tǒng)漏洞、應(yīng)用軟件漏洞不斷被發(fā)現(xiàn)，如果不重視業(yè)務(wù)系統(tǒng)日常的安全運(yùn)維，業(yè)務(wù)系統(tǒng)將可能由于安全漏洞的發(fā)現(xiàn)、由于缺乏及時(shí)的響應(yīng)，而引入風(fēng)險(xiǎn)、造成破壞。 目前XX單位正在著手進(jìn)行二期XX業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)建設(shè)，本次規(guī)劃內(nèi)容主要涉及針對(duì)業(yè)務(wù)系統(tǒng)的應(yīng)用安全加固的內(nèi)容。通過(guò)對(duì)該業(yè)務(wù)系統(tǒng)目前的安全狀況以及二期建設(shè)目標(biāo)分析，XX業(yè)務(wù)系統(tǒng)目前還存在以下幾個(gè)方面的問(wèn)題： 1、業(yè)務(wù)系統(tǒng)與內(nèi)外網(wǎng)對(duì)接沒(méi)有實(shí)現(xiàn)有效的邊界訪(fǎng)問(wèn)控制，無(wú)法界定用戶(hù)訪(fǎng)問(wèn)是否為合法請(qǐng)求； 2、對(duì)于流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒(méi)有有效的流量清洗的能力，無(wú)法識(shí)別流量是正常的訪(fǎng)問(wèn)請(qǐng)求還是DOS/DDOS拒絕服務(wù)類(lèi)的攻擊； 3、對(duì)于夾雜在數(shù)據(jù)流中的病毒、木馬、蠕蟲(chóng)沒(méi)有良好的檢測(cè)能力，很難避免在業(yè)務(wù)交互過(guò)程中由于數(shù)據(jù)中包含病毒、木馬、蠕蟲(chóng)等威脅對(duì)業(yè)務(wù)系統(tǒng)造成的危害； 4、服務(wù)器系統(tǒng)底層漏洞攻擊防護(hù)僅依靠時(shí)效性不強(qiáng)的手動(dòng)補(bǔ)丁更新，缺乏有效的防護(hù)手段，尤其缺乏零日漏洞攻擊的防護(hù)能力； 5、流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒(méi)有應(yīng)用層攻擊（如web攻擊）的檢測(cè)能力，難以保證業(yè)務(wù)系統(tǒng)Web應(yīng)用程序以及后臺(tái)數(shù)據(jù)庫(kù)不被攻擊；業(yè)務(wù)系統(tǒng)脆弱性分析 結(jié)合一期業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀分析，現(xiàn)業(yè)務(wù)系統(tǒng)脆弱性在各層面主要體現(xiàn)在：網(wǎng)絡(luò)層面 業(yè)務(wù)系統(tǒng)一期網(wǎng)絡(luò)安全建設(shè)部署了防火墻通過(guò)訪(fǎng)問(wèn)控制實(shí)現(xiàn)邊界接入?yún)^(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫(kù)服務(wù)器區(qū)等區(qū)域的安全隔離，能夠從網(wǎng)絡(luò)層面有效的對(duì)邏輯區(qū)域進(jìn)行隔離。但由于防火墻的局限性，對(duì)于利用網(wǎng)絡(luò)協(xié)議漏洞的DOS/DDOS攻擊仍然沒(méi)有很好的防護(hù)效果，利用網(wǎng)絡(luò)協(xié)議的攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓而無(wú)法響應(yīng)正常業(yè)務(wù)請(qǐng)求及訪(fǎng)問(wèn)。系統(tǒng)層面 系統(tǒng)層面上主要是不斷發(fā)現(xiàn)的各種安全漏洞，包括本地溢出，遠(yuǎn)程溢出等脆弱性問(wèn)題。由于操作系統(tǒng)都不可避免的存在bug，包括安全方面的bug，因此系統(tǒng)本身的脆弱性是不可能完全避免的，只能在一定時(shí)間內(nèi)減少和降低危害。而當(dāng)前業(yè)務(wù)系統(tǒng)一期網(wǎng)絡(luò)安全建設(shè)并沒(méi)有對(duì)系統(tǒng)層面的攻擊提供有效的防護(hù)措施，安全維護(hù)人員僅僅通過(guò)在互聯(lián)網(wǎng)上下載最新的操作系統(tǒng)補(bǔ)丁來(lái)保證系統(tǒng)漏洞不被輕易利用，而服務(wù)器邏輯隔離于互聯(lián)網(wǎng)、或者業(yè)務(wù)系統(tǒng)運(yùn)行于內(nèi)網(wǎng)，使得補(bǔ)丁無(wú)法及時(shí)更新，業(yè)務(wù)系統(tǒng)系統(tǒng)層面的安全風(fēng)險(xiǎn)十分嚴(yán)重。且服務(wù)器往往由于更新不及時(shí)也可能帶來(lái)新的“0”日攻擊的威脅。通過(guò)安全評(píng)估發(fā)現(xiàn)系統(tǒng)層面的漏洞廣泛存在于應(yīng)用服務(wù)器區(qū)、數(shù)據(jù)庫(kù)服務(wù)器區(qū)大量應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器之上。利用系統(tǒng)漏洞攻擊可以使攻擊者獲得系統(tǒng)級(jí)的權(quán)限而為所欲為，危害嚴(yán)重。系統(tǒng)層面的安全風(fēng)險(xiǎn)需要進(jìn)行統(tǒng)一防護(hù)。應(yīng)用層面 應(yīng)用層面的脆弱性最為復(fù)雜，包括了常見(jiàn)應(yīng)用，B/S業(yè)務(wù)服務(wù)程序中可能存在的安全漏洞，WEB開(kāi)發(fā)中的安全隱患以及目前用的網(wǎng)站管理系統(tǒng)都可能成為被攻擊者所利用。而業(yè)務(wù)系統(tǒng)基于ASP、PHP、JSP開(kāi)發(fā)，不可避免的存在軟件開(kāi)發(fā)本身的漏洞、造成黑客的SQL注入，致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)和網(wǎng)頁(yè)文件被篡改或者被竊取。把業(yè)務(wù)系統(tǒng)主頁(yè)修改使得大你問(wèn)名義受損，造成不良的影響。應(yīng)用層面的攻擊沒(méi)有辦法完全修改業(yè)務(wù)系統(tǒng)構(gòu)架來(lái)避免，在業(yè)務(wù)系統(tǒng)更新修改后還有可能存在新的漏洞。同時(shí)用于承載業(yè)務(wù)的各類(lèi)應(yīng)用軟件本身也存在大量的漏洞，包括業(yè)務(wù)發(fā)布應(yīng)用程序（如IIS、Apach等），數(shù)據(jù)庫(kù)軟件（如，oracle、mssql等），中間件（如weblogic等），利用他們也可以對(duì)業(yè)務(wù)系統(tǒng)本身造成嚴(yán)重的危害。所以應(yīng)用層面的安全威脅需要嚴(yán)格防護(hù)，并作為本次業(yè)務(wù)系統(tǒng)安全加固的重點(diǎn)。數(shù)據(jù)層面 由于安全的建設(shè)的基本原則是保證安全防護(hù)最大化，并沒(méi)有辦法實(shí)現(xiàn)100%的安全防護(hù)，安全設(shè)備仍有可能存在被繞過(guò)的風(fēng)險(xiǎn)。而在數(shù)據(jù)層面的脆弱性也就因此產(chǎn)生，主要表現(xiàn)在數(shù)據(jù)的傳輸是否安全，獲取方式是否合法，是否有非法竊取的風(fēng)險(xiǎn)，是否存在“拖庫(kù)”、“暴庫(kù)”的風(fēng)險(xiǎn)。為了保證整個(gè)業(yè)務(wù)系統(tǒng)最核心的數(shù)據(jù)部分，本次安全加固需要包含對(duì)于數(shù)據(jù)是否被非法竊取的防護(hù)措施。風(fēng)險(xiǎn)可能導(dǎo)致的問(wèn)題 業(yè)務(wù)系統(tǒng)包含Web服務(wù)器、存儲(chǔ)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等多種類(lèi)型的業(yè)務(wù)服務(wù)器，向internet、intranet等多個(gè)區(qū)域提供服務(wù)，業(yè)務(wù)系統(tǒng)要面臨來(lái)自?xún)?nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅。其安全保障意義重大。而一期網(wǎng)絡(luò)安全建設(shè)中防火墻僅僅是通過(guò)vlan、ACL訪(fǎng)問(wèn)控制對(duì)其進(jìn)行安全隔離。應(yīng)用層攻擊仍然能夠穿透這些安全隔離的手段，從外向內(nèi)部進(jìn)行滲透。同時(shí)帶有目的性的內(nèi)網(wǎng)用戶(hù)的攻擊滲透行為也是造成眾多泄露事件的原因之一。風(fēng)險(xiǎn)造成的結(jié)果有以下幾種：業(yè)務(wù)系統(tǒng)篡改問(wèn)題 業(yè)務(wù)系統(tǒng)的架構(gòu)是B/S架構(gòu)，大量的web應(yīng)用可能存在被攻擊的風(fēng)險(xiǎn)。業(yè)務(wù)系統(tǒng)的篡改是指攻擊者利用Web應(yīng)用程序漏洞將正常的網(wǎng)頁(yè)替換為攻擊者提供的網(wǎng)頁(yè)/文字/圖片等內(nèi)容。一般來(lái)說(shuō)篡改的問(wèn)題對(duì)計(jì)算機(jī)系統(tǒng)本身不會(huì)產(chǎn)生直接的影響，但對(duì)于業(yè)務(wù)系統(tǒng)，需要與用戶(hù)通過(guò)業(yè)務(wù)系統(tǒng)進(jìn)行溝通的應(yīng)用而言，就意味著業(yè)務(wù)系統(tǒng)的服務(wù)將被迫停止服務(wù)，對(duì)單位形象及信譽(yù)會(huì)造成嚴(yán)重的損害。業(yè)務(wù)系統(tǒng)掛馬問(wèn)題 業(yè)務(wù)系統(tǒng)網(wǎng)頁(yè)被掛馬也是利用Web攻擊造成的一種網(wǎng)頁(yè)篡改的安全問(wèn)題，相對(duì)而言這種問(wèn)題會(huì)比較隱蔽，但本質(zhì)上這種方式也破壞了業(yè)務(wù)系統(tǒng)的完整性。掛馬會(huì)導(dǎo)致Web業(yè)務(wù)的最終用戶(hù)成為受害者，成為攻擊者的幫兇或者造成自身的損失。這種問(wèn)題出現(xiàn)在業(yè)務(wù)系統(tǒng)中也嚴(yán)重影響業(yè)務(wù)的正常運(yùn)作并影響到單位的公信度。無(wú)法響應(yīng)正常服務(wù)的問(wèn)題 黑客通過(guò)網(wǎng)絡(luò)層DOS/DDOS拒絕服務(wù)攻擊使業(yè)務(wù)系統(tǒng)無(wú)法響應(yīng)正常請(qǐng)求。這種攻擊行為使得服務(wù)器充斥大量要求回復(fù)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致業(yè)務(wù)系統(tǒng)無(wú)法響應(yīng)正常的服務(wù)請(qǐng)求。對(duì)于業(yè)務(wù)系統(tǒng)可用性而言是巨大的威脅。業(yè)務(wù)系統(tǒng)服務(wù)器被控制 黑客通過(guò)系統(tǒng)漏洞攻擊、應(yīng)用程序漏洞攻擊可以使造成緩沖區(qū)溢出等安全問(wèn)題，通過(guò)這些問(wèn)題可以使得黑客可以肆意的在出現(xiàn)溢出的過(guò)程中添加具有權(quán)限獲取能力的代碼，并通過(guò)這些手段最終獲取業(yè)務(wù)系統(tǒng)服務(wù)器的權(quán)限。服務(wù)器的系統(tǒng)權(quán)限一旦被黑客獲取，就意味著黑客可以完全控制業(yè)務(wù)系統(tǒng)的服務(wù)器并為所欲為，其危害不言而喻。敏感信息泄漏問(wèn)題 這類(lèi)安全問(wèn)題主要web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺(tái)數(shù)據(jù)庫(kù)，導(dǎo)致數(shù)據(jù)庫(kù)中儲(chǔ)存的用戶(hù)資料、身份證信息、賬戶(hù)信息、信用卡信息、聯(lián)系方式等敏感信息被攻擊者獲取。這對(duì)于業(yè)務(wù)系統(tǒng)而言是致命的打擊，可產(chǎn)生巨大的不良影響。 ……業(yè)務(wù)安全加固建設(shè)目標(biāo) 從本次網(wǎng)絡(luò)安全規(guī)劃的主要目的分網(wǎng)絡(luò)層次考慮，利用各種應(yīng)用安全加固技術(shù)和手段應(yīng)用到實(shí)際網(wǎng)絡(luò)環(huán)境中，將業(yè)務(wù)系統(tǒng)建設(shè)成一個(gè)支持各級(jí)別用戶(hù)或用戶(hù)群的縱深安全防御體系，在保證業(yè)務(wù)系統(tǒng)高可用的同時(shí)，保證業(yè)務(wù)系統(tǒng)應(yīng)用安全。 1、最大限度的控制網(wǎng)絡(luò)系統(tǒng)，加強(qiáng)邊界訪(fǎng)問(wèn)控制權(quán)限的建立，降低安全風(fēng)險(xiǎn)； 2、消除網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)本身存在的大量弱點(diǎn)漏洞和認(rèn)為操作或配置產(chǎn)生的與安全策略相違背的系統(tǒng)配置，減少入侵者成功入侵的可能； 3、加強(qiáng)網(wǎng)絡(luò)系統(tǒng)入侵行為的檢測(cè)和防御能力，有效阻止來(lái)自外部的攻擊行為，同時(shí)也防止來(lái)自?xún)?nèi)部的違規(guī)操作行為； 4、通過(guò)加固手段切實(shí)提高操作系統(tǒng)的安全級(jí)別，保證系統(tǒng)安全； 5、針對(duì)業(yè)務(wù)系統(tǒng)本身可能面臨的應(yīng)用安全風(fēng)險(xiǎn)有針對(duì)性的進(jìn)行安全加固，防止應(yīng)用安全威脅危害業(yè)務(wù)系統(tǒng)正常安全使用； 6、增強(qiáng)事后防御的措施，控制、保障業(yè)務(wù)系統(tǒng)內(nèi)部的敏感信息、保密信息、涉密信息在網(wǎng)絡(luò)協(xié)議中傳輸，針對(duì)業(yè)務(wù)系統(tǒng)本身制定嚴(yán)格的合規(guī)性策略，控制不法份子繞過(guò)防御體系進(jìn)行信息竊取的行為； 7、加強(qiáng)業(yè)務(wù)系統(tǒng)被非法修改的能力，實(shí)現(xiàn)防止業(yè)務(wù)系統(tǒng)web界面被非法修改的根本目的。方案設(shè)計(jì) 在業(yè)務(wù)系統(tǒng)脆弱性分析的基礎(chǔ)上，我們對(duì)網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面、數(shù)據(jù)層面進(jìn)行詳細(xì)的方案設(shè)計(jì)，對(duì)設(shè)計(jì)到的產(chǎn)品/子系統(tǒng)和技術(shù)，進(jìn)行詳細(xì)的闡述。網(wǎng)絡(luò)安全加固方案 網(wǎng)絡(luò)層面的安全加固主要針對(duì)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)層可能面臨DOS/DDOS攻擊進(jìn)行強(qiáng)化的防護(hù)，對(duì)于進(jìn)入網(wǎng)絡(luò)中的病毒/木馬/蠕蟲(chóng)進(jìn)行過(guò)濾和清洗。 因此本次應(yīng)用安全加固的安全建設(shè)中，采用一體化安全網(wǎng)關(guān)部署于原防火墻后與一期業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的防火墻形成異構(gòu)，實(shí)現(xiàn)出口網(wǎng)絡(luò)安全加固，同時(shí)實(shí)現(xiàn)簡(jiǎn)化組網(wǎng)、簡(jiǎn)化運(yùn)維、最優(yōu)投資的價(jià)值。DOS/DDOS防護(hù)子系統(tǒng) 常見(jiàn)的DDOS攻擊方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已發(fā)現(xiàn)的DOS攻擊程序有ICMPSmurf、UDP反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo和Stacheldraht。 DOS和DDOS攻擊會(huì)耗盡用戶(hù)寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴(lài)計(jì)算機(jī)網(wǎng)絡(luò)的正常業(yè)務(wù)無(wú)法進(jìn)行，嚴(yán)重?fù)p害單位的聲譽(yù)并造成極大的經(jīng)濟(jì)損失，使IT部門(mén)承受極大的壓力。 DOS/DDOS防護(hù)子系統(tǒng)采用自主研發(fā)的DOS攻擊算法，可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類(lèi)資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實(shí)現(xiàn)L2-L7層的異常流量清洗。防病毒子系統(tǒng) 蠕蟲(chóng)病毒是對(duì)網(wǎng)絡(luò)的重大危害，蠕蟲(chóng)病毒在爆發(fā)時(shí)將使路由器、3層交換機(jī)、防火墻等網(wǎng)關(guān)設(shè)備性能急速下降，并且占用整個(gè)網(wǎng)絡(luò)帶寬。針對(duì)病毒的風(fēng)險(xiǎn)，應(yīng)通過(guò)終端與網(wǎng)關(guān)相結(jié)合的方式，以用戶(hù)終端控制加網(wǎng)絡(luò)防病毒網(wǎng)關(guān)進(jìn)行綜合控制。重點(diǎn)是將病毒消滅或封堵在終端這個(gè)源頭上。在廣域網(wǎng)出口及互聯(lián)網(wǎng)出口上部署網(wǎng)關(guān)防病毒子系統(tǒng)，在網(wǎng)絡(luò)邊界對(duì)數(shù)據(jù)流進(jìn)行集中監(jiān)測(cè)和過(guò)濾控制，可以在一定程度上避免蠕蟲(chóng)病毒爆發(fā)時(shí)的大流量沖擊。 防病毒子系統(tǒng)提供先進(jìn)的病毒防護(hù)功能，可從源頭對(duì)HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，也可查殺壓縮包（zip，rar，gzip等）中的病毒。同時(shí)采用高效的流式掃描技術(shù)，可大幅提升病毒檢測(cè)效率避免防病毒成為網(wǎng)絡(luò)安全的瓶頸。 防病毒子系統(tǒng)的具有大容量病毒庫(kù)，能夠查殺10萬(wàn)種以上種病毒。為了更有效地過(guò)濾網(wǎng)絡(luò)病毒，除了特征碼識(shí)別、廣譜特征碼、啟發(fā)式掃描技術(shù)等幾種常見(jiàn)的檢測(cè)方法以外，深信服NGAF還采用了多種先進(jìn)的新一代病毒掃描引擎技術(shù)，以巧妙而精確的算法保證在檢測(cè)大量病毒時(shí)，仍然保持高速而準(zhǔn)確的檢測(cè)結(jié)果，其中包括:病毒脫殼技術(shù):對(duì)加殼的病毒先進(jìn)行脫殼，然后再進(jìn)行檢測(cè)。OLE分離技術(shù):宏掃描從Office文件中提取宏，根據(jù)已知的宏病毒字符串對(duì)宏進(jìn)行檢測(cè)，并對(duì)宏中的代碼行為進(jìn)行分析，識(shí)別宏病毒。壓縮格式病毒檢測(cè)技術(shù):輕松查殺多種壓縮格式的病毒，如ZIP、GZIP、RAR、ARJ、ARC、LZH、CAB、ZOO、TAR和CHM等。木馬、黑客程序檢測(cè)技術(shù):針對(duì)網(wǎng)絡(luò)上流行的木馬、黑客程序，深信服NGAF掃描引擎采用了獨(dú)特的特征&行為雙重檢測(cè)技術(shù)，可以對(duì)其進(jìn)行有效的阻斷。高速的協(xié)議分析、還原和內(nèi)容檢測(cè)技術(shù):通過(guò)精心設(shè)計(jì)的算法保證了在檢測(cè)大量病毒時(shí)仍然保持高速而準(zhǔn)確的檢測(cè)結(jié)果。系統(tǒng)安全加固方案 系統(tǒng)安全層面的加固主要針對(duì)承載業(yè)務(wù)系統(tǒng)本身的各類(lèi)服務(wù)器底層的操作系統(tǒng)進(jìn)行安全防護(hù)實(shí)現(xiàn)系統(tǒng)安全加固的目的。 通過(guò)入侵防御子系統(tǒng)在業(yè)務(wù)系統(tǒng)核心交換前形成“虛擬補(bǔ)丁”的防御體系，全面提升web應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫(kù)服務(wù)器區(qū)、服務(wù)器區(qū)、DMZ區(qū)服務(wù)器操作系統(tǒng)安全防護(hù)能力。采用入侵防御子系統(tǒng)形成“虛擬補(bǔ)丁”的防御體系可切實(shí)減少系統(tǒng)管理員服務(wù)器群的安全維護(hù)成本，借助廠(chǎng)商強(qiáng)大的安全研究能力可以防御“0”日攻擊的風(fēng)險(xiǎn)。入侵防御子系統(tǒng) 網(wǎng)絡(luò)核心交換前采用開(kāi)啟入侵防御子系統(tǒng)，監(jiān)視、記錄并阻斷網(wǎng)絡(luò)中的所有非法的訪(fǎng)問(wèn)行為和操作，有效防止非法操作和惡意攻擊。同時(shí)，入侵防御子系統(tǒng)還可以形象地重現(xiàn)操作的過(guò)程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。 需要說(shuō)明的是，入侵防御子系統(tǒng)是對(duì)防火墻的非常有必要的附加而不僅僅是簡(jiǎn)單的補(bǔ)充。入侵防御子系統(tǒng)作為網(wǎng)絡(luò)安全體系的第二道防線(xiàn)，對(duì)在防火墻系統(tǒng)阻斷攻擊失敗時(shí)，可以最大限度地減少相應(yīng)的損失。入侵防御子系統(tǒng)也可以與防火墻子系統(tǒng)等安全產(chǎn)品實(shí)現(xiàn)聯(lián)動(dòng)，縱深防御APT攻擊，簡(jiǎn)化管理員管理實(shí)現(xiàn)動(dòng)態(tài)的安全維護(hù)。 入侵防御子系統(tǒng)是防火墻技術(shù)的有效補(bǔ)充，利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但是入侵者可尋找防火墻背后可能敞開(kāi)的后門(mén)，利用操作系統(tǒng)本身的漏洞輕易繞過(guò)防火墻。 基于應(yīng)用的深度入侵防御子系統(tǒng)采用六大威脅檢測(cè)機(jī)制：攻擊特征檢測(cè)、特殊攻擊檢測(cè)、威脅關(guān)聯(lián)分析、異常流量檢測(cè)、協(xié)議異常檢測(cè)、深度內(nèi)容分析能夠有效的防止各類(lèi)已知未知攻擊，實(shí)時(shí)阻斷黑客攻擊。如，緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲(chóng)、木馬、后門(mén)、DoS/DDoS攻擊探測(cè)、掃描、間諜軟件、以及各類(lèi)IPS逃逸攻擊等。 入侵防御子系統(tǒng)融合多種應(yīng)用威脅檢測(cè)方式，提升威脅檢測(cè)的精度。檢測(cè)方式主要包含6種檢測(cè)方式：攻擊特征檢測(cè)特殊攻擊檢測(cè)威脅關(guān)聯(lián)分析異常流量檢測(cè)協(xié)議異常檢測(cè)深度內(nèi)容分析 入侵防御子系統(tǒng)的漏洞防護(hù)策略的設(shè)計(jì)思路是，防御服務(wù)器和客戶(hù)端的各種漏洞，以保護(hù)服務(wù)器和客戶(hù)端不受攻擊。管理員在配置策略時(shí)可根據(jù)具體的應(yīng)用場(chǎng)景，配置針對(duì)性的策略，便于維護(hù)與管理。 利用入侵防御子系統(tǒng)可防護(hù)的服務(wù)器漏洞包含：協(xié)議脆弱性保護(hù)DDoS攻擊保護(hù)DNS服務(wù)器保護(hù)其他exploit保護(hù)finger服務(wù)保護(hù)ftp服務(wù)器保護(hù)imap服務(wù)器保護(hù)mysql服務(wù)器保護(hù)netbios服務(wù)保護(hù)nntp服務(wù)保護(hù)oracle服務(wù)器保護(hù)Pop2服務(wù)器保護(hù)Pop3服務(wù)器保護(hù)RPC服務(wù)保護(hù)remoteservice保護(hù)遠(yuǎn)程探測(cè)防護(hù)shellcode防護(hù)smtp服務(wù)器保護(hù)snmp服務(wù)器保護(hù)SQLserver服務(wù)器保護(hù)telnet服務(wù)保護(hù)tftp類(lèi)服務(wù)保護(hù)voip防護(hù)frontpage擴(kuò)展安全性保護(hù)iis服務(wù)器保護(hù)X11服務(wù)器保護(hù)……應(yīng)用安全加固方案 應(yīng)用層面的安全加固主要針對(duì)本次業(yè)務(wù)系統(tǒng)應(yīng)用安全建設(shè)中web應(yīng)用程序基于ASP、PHP、JSP等開(kāi)發(fā)的B/S業(yè)務(wù)，本身不可避免的存在軟件開(kāi)發(fā)本身的漏洞、造成黑客的SQL注入，致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)和網(wǎng)頁(yè)文件被篡改或者被竊取的問(wèn)題進(jìn)行有針對(duì)性的應(yīng)用安全加固。 通過(guò)Web安全子系統(tǒng)部署于web服務(wù)器區(qū)核心交換前實(shí)現(xiàn)雙向內(nèi)容的檢測(cè)，針對(duì)HTTP協(xié)議的深入解析，精確識(shí)別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對(duì)這些數(shù)據(jù)進(jìn)行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，精確的檢測(cè)其是否包含威脅內(nèi)容。Web安全子系統(tǒng)作為web客戶(hù)端與服務(wù)器請(qǐng)求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)之上，采用雙向內(nèi)容檢測(cè)技術(shù)可檢測(cè)過(guò)濾HTTP雙向交互的數(shù)據(jù)流包括response報(bào)文，對(duì)惡意流量，以及服務(wù)器外發(fā)的有風(fēng)險(xiǎn)信息進(jìn)行實(shí)時(shí)的清洗與過(guò)濾，防止web安全風(fēng)險(xiǎn)。Web安全子系統(tǒng) Web安全子系統(tǒng)有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測(cè)，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見(jiàn)的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造）從而保護(hù)網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁(yè)掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問(wèn)題。數(shù)據(jù)安全加固方案 數(shù)據(jù)層面的安全加固主要為了應(yīng)對(duì)攻擊手段越來(lái)越先進(jìn)的黑客攻擊和目的性和持續(xù)性很強(qiáng)的高級(jí)持續(xù)性威脅（APT）等類(lèi)似的高級(jí)攻擊。因?yàn)榘踩烙w系并不能達(dá)到100%的防御效果，通常采用這種攻擊方式的攻擊帶有明確的攻擊意圖和不達(dá)目的不休止的特點(diǎn)，黑客往往應(yīng)用先進(jìn)的攻擊手段繞過(guò)防御體系，從而給業(yè)務(wù)系統(tǒng)造成不可挽回的損失。有針對(duì)性的對(duì)數(shù)據(jù)、內(nèi)容進(jìn)行保護(hù)，采取事后的防御技術(shù)手段可以有效的降低系統(tǒng)被破壞、竊取、篡改的風(fēng)險(xiǎn)，將安全損失降到最低。 本方案中采用防篡改子系統(tǒng)和信息泄漏防護(hù)子系統(tǒng)部署于服務(wù)器區(qū)核心交換前進(jìn)行針對(duì)行的數(shù)據(jù)安全加固，可有效避免網(wǎng)頁(yè)被篡改/掛馬，敏感信息被竊取的風(fēng)險(xiǎn)。信息泄漏防護(hù)子系統(tǒng) 信息泄漏防護(hù)子系統(tǒng)提供可定義的敏感信息防泄漏功能，根據(jù)儲(chǔ)存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過(guò)短信、郵件報(bào)警及連接請(qǐng)求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進(jìn)行有效識(shí)別、報(bào)警并阻斷，防止大量敏感信息被非法泄露。郵箱賬戶(hù)信息MD5加密密碼銀行卡號(hào)身份證號(hào)碼社保賬號(hào)信用卡號(hào)手機(jī)號(hào)碼…… 通過(guò)深度內(nèi)容檢測(cè)技術(shù)的應(yīng)用，信息泄漏防護(hù)子系統(tǒng)具備深度內(nèi)容檢測(cè)的能力。能夠檢測(cè)出通過(guò)文件、數(shù)據(jù)流、標(biāo)準(zhǔn)協(xié)議等通過(guò)網(wǎng)關(guān)的內(nèi)容。因此具備針對(duì)敏感信息，如186、139等有特征的11位的手機(jī)號(hào)碼、18位身份證號(hào)，有標(biāo)準(zhǔn)特征的@郵箱等有特征數(shù)據(jù)進(jìn)行識(shí)別。并通過(guò)分離平面設(shè)計(jì)的軟件構(gòu)架，實(shí)現(xiàn)控制平面與內(nèi)容平面檢測(cè)聯(lián)動(dòng)，通過(guò)控制平面向底層數(shù)據(jù)轉(zhuǎn)發(fā)平面發(fā)送操作指令來(lái)阻斷敏感信息的泄漏。有防護(hù)了業(yè)務(wù)系統(tǒng)的敏感泄漏的風(fēng)險(xiǎn)。防篡改子系統(tǒng) 當(dāng)業(yè)務(wù)系統(tǒng)網(wǎng)頁(yè)被數(shù)據(jù)篡改后，用戶(hù)看到的頁(yè)面變成了非法頁(yè)面或者損害企事業(yè)單位形象的網(wǎng)頁(yè)，這種事故往往會(huì)給單位造成很?chē)?yán)重的影響，甚至造成嚴(yán)重的經(jīng)濟(jì)損失。防篡改子系統(tǒng)的應(yīng)用可有效降低此類(lèi)風(fēng)險(xiǎn)，當(dāng)內(nèi)部網(wǎng)站數(shù)據(jù)被篡改之后，設(shè)備可以重定向到備用網(wǎng)站服務(wù)器或者指定的其他頁(yè)面，并且及時(shí)地通過(guò)短信或者郵件方式通知管理員。 防篡改子系統(tǒng)使用網(wǎng)關(guān)實(shí)現(xiàn)動(dòng)靜態(tài)網(wǎng)頁(yè)防篡改功能。這種實(shí)現(xiàn)方式相對(duì)于主機(jī)部署類(lèi)防篡改軟件而言，客戶(hù)無(wú)需在服務(wù)器上安裝第三方軟件，易于使用和維護(hù)，在防篡改部分基于網(wǎng)絡(luò)字節(jié)流的檢測(cè)與恢復(fù)，對(duì)服務(wù)器性能沒(méi)有影響。產(chǎn)品部署示方案（根據(jù)實(shí)際情況選擇部署方案）方案一：一站式應(yīng)用安全加固部署方案拓?fù)鋱D產(chǎn)品部署方案 深信服為XX單位提供針XX業(yè)務(wù)系統(tǒng)服務(wù)器集群完整的應(yīng)用安全加固安全解決方案。 通過(guò)在服務(wù)器集群匯聚交換前雙機(jī)部署兩臺(tái)深信服下一代應(yīng)用防火墻NGAF，可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器的邏輯隔離，防止來(lái)自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴(kuò)散。 二期建設(shè)采用業(yè)務(wù)系統(tǒng)一站式應(yīng)用安全加固部署方案，通過(guò)深信服下一代防火墻NGAF的部署可以從從攻擊源頭上幫助XX單位防護(hù)導(dǎo)致業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)內(nèi)業(yè)務(wù)各類(lèi)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)層面的安全威脅；同時(shí)深信服下一代防火墻NGAF提供的雙向內(nèi)容檢測(cè)的技術(shù)幫助用戶(hù)解決攻擊被繞過(guò)后產(chǎn)生的網(wǎng)頁(yè)篡改、敏感信息泄露的問(wèn)題，實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。 1、深信服下一代防火墻AF-8020雙機(jī)部署于核心交換前可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)一站式整體安全防護(hù)； 2、通過(guò)防火墻子系統(tǒng)模塊的訪(fǎng)問(wèn)控制策略ACL可實(shí)現(xiàn)網(wǎng)絡(luò)安全域劃分，阻斷各個(gè)區(qū)域間的網(wǎng)絡(luò)通信，防止威脅擴(kuò)散，防止訪(fǎng)問(wèn)控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問(wèn)題； 3、通過(guò)DDOS/DOS子系統(tǒng)功能模塊進(jìn)行網(wǎng)絡(luò)層面的安全加固，可以防止利用協(xié)議漏洞對(duì)服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無(wú)法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問(wèn)題； 4、通過(guò)防病毒子系統(tǒng)功能模塊可實(shí)現(xiàn)各個(gè)安全域的流量清洗功能，清洗來(lái)自其他安全域的病毒、木馬、蠕蟲(chóng)，防止各區(qū)域進(jìn)行交叉感染； 5、利用入侵防御子系統(tǒng)功能模塊可實(shí)現(xiàn)對(duì)服務(wù)器集群操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應(yīng)用程序漏洞（IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫(kù)oracle、MSSQL、MySQL等）的防護(hù)，防止黑客利用該類(lèi)漏洞通過(guò)緩沖區(qū)溢出、惡意蠕蟲(chóng)、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問(wèn)題； 6、通過(guò)web安全子系統(tǒng)功能模塊的開(kāi)啟，可實(shí)現(xiàn)對(duì)各個(gè)區(qū)域（尤其是DMZ區(qū)）的web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護(hù)。防止黑客利用業(yè)務(wù)代碼開(kāi)發(fā)安全保障不利，使得系統(tǒng)可輕易通過(guò)web攻擊實(shí)現(xiàn)對(duì)web服務(wù)器、數(shù)據(jù)庫(kù)的攻擊造成數(shù)據(jù)庫(kù)信息被竊取的問(wèn)題； 7、通過(guò)信息泄漏防護(hù)子系統(tǒng)功能模塊的開(kāi)啟，可自定義業(yè)務(wù)系統(tǒng)的敏感信息防止黑客繞過(guò)防御體系竊取業(yè)務(wù)系統(tǒng)的敏感信息； 8、通過(guò)防篡改子系統(tǒng)功能模塊的開(kāi)啟，可防止黑客利用各層面安全漏洞非法篡改業(yè)務(wù)系統(tǒng)合法界面，防止被篡改界面發(fā)布于眾； 9、通過(guò)風(fēng)險(xiǎn)評(píng)估子系統(tǒng)模塊的啟用對(duì)服務(wù)器集群進(jìn)行安全體檢，通過(guò)一鍵策略部署的功能開(kāi)啟入侵防御子系統(tǒng)模塊、web安全子系統(tǒng)模塊的對(duì)應(yīng)策略，可幫助管理員的實(shí)現(xiàn)針對(duì)性的策略配置。 10、通過(guò)智能聯(lián)動(dòng)模塊的應(yīng)用，可形成防火墻子系統(tǒng)功能模塊、入侵防御子系統(tǒng)功能模塊、web安全子系統(tǒng)功能模塊的智能聯(lián)動(dòng)，有效的防止工具型、自動(dòng)化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。產(chǎn)品選型序號(hào)設(shè)備名稱(chēng)描述數(shù)量單價(jià)（萬(wàn)）1深信服下一代防火墻NGAF型號(hào)：AF-8020（功能參數(shù)）2總預(yù)算（萬(wàn)元）：方案二：節(jié)點(diǎn)縱深防御應(yīng)用安全加固部署方案拓?fù)鋱D產(chǎn)品部署方案 深信服為XX單位提供針XX業(yè)務(wù)系統(tǒng)服務(wù)器集群完整的應(yīng)用安全加固安全解決方案。 網(wǎng)絡(luò)安全加固方案部署：通過(guò)在總核心交換前雙機(jī)部署網(wǎng)關(guān)部署兩臺(tái)深信服下一代應(yīng)用防火墻NGAF，可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器、DMZ區(qū)域、辦公區(qū)域的邏輯隔離，防止來(lái)自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴(kuò)散。 系統(tǒng)安全加固方案部署：通過(guò)在服務(wù)器集群核心交換前透明部署兩臺(tái)深信服入侵防御子系統(tǒng)，在業(yè)務(wù)系統(tǒng)核心交換前形成“虛擬補(bǔ)丁”的防御體系，全面提升web應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫(kù)服務(wù)器區(qū)、服務(wù)器區(qū)操作系統(tǒng)安全防護(hù)能力。采用入侵防御子系統(tǒng)形成“虛擬補(bǔ)丁”的防御體系可切實(shí)減少系統(tǒng)管理員服務(wù)器群的安全維護(hù)成本，借助廠(chǎng)商強(qiáng)大的安全研究能力可以防御“0”日攻擊的風(fēng)險(xiǎn)。 應(yīng)用安全加固方案部署：通過(guò)在服務(wù)器集群匯聚交換前透明部署兩臺(tái)深信服