公司信息安全建設(shè)方案_第1頁
公司信息安全建設(shè)方案_第2頁
公司信息安全建設(shè)方案_第3頁
公司信息安全建設(shè)方案_第4頁
公司信息安全建設(shè)方案_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

XXXXXXX公司信息安全建設(shè)方案

目錄1 項(xiàng)目背景 22 建設(shè)需求 22.1 現(xiàn)狀分析 22.2 建設(shè)原則 32.2.1 等級(jí)保護(hù)建設(shè)原則 32.2.2 體系化的設(shè)計(jì)原則 32.2.3 產(chǎn)品的先進(jìn)性原則 32.2.4 服務(wù)細(xì)致化原則 32.3 建設(shè)思路 32.4 需求分析 42.4.1 外網(wǎng)平臺(tái)安全需求 42.4.2 計(jì)算環(huán)境安全需求 42.4.3 應(yīng)用系統(tǒng)安全需求 52.4.4 管理系統(tǒng)安全需求 52.4.5 運(yùn)維管理安全需求 53 安全技術(shù)體系方案 63.1 設(shè)計(jì)框架 63.2 建設(shè)標(biāo)準(zhǔn) 63.3 設(shè)計(jì)方案 73.4 網(wǎng)絡(luò)拓?fù)鋱D 84 安全技術(shù)詳細(xì)設(shè)計(jì) 84.1 防火墻設(shè)計(jì) 84.1.1 需求分析 84.1.2 解決方案 104.2 入侵檢測(cè)設(shè)計(jì) 114.2.1 需求分析 114.2.2 解決方案 114.3 WEB應(yīng)用防護(hù)設(shè)計(jì) 124.3.1 需求分析 124.3.2 解決方案 124.4 日志審計(jì)設(shè)計(jì) 144.4.1 需求分析 144.4.2 安全設(shè)計(jì) 15

項(xiàng)目背景在日新月異的現(xiàn)代化社會(huì)進(jìn)程中,計(jì)算機(jī)網(wǎng)絡(luò)幾乎延伸到了世界每一個(gè)角落,它不停的改變著我們的工作生活方式和思維方式,以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為核心的信息技術(shù)在社會(huì)經(jīng)濟(jì)發(fā)展中正發(fā)揮著越來越要的作用。信息化改變著我們的工作生活方式和思維方式,同時(shí)計(jì)算機(jī)及網(wǎng)絡(luò)信息系統(tǒng)的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管理體制上的不嚴(yán)密,都會(huì)使計(jì)算機(jī)網(wǎng)絡(luò)受到威脅。在信息化建設(shè)過程中,信息安全的建設(shè)雖然只是一個(gè)很小的部分,但其重要性不容忽視,便捷、開放的網(wǎng)絡(luò)環(huán)境,是信息化建設(shè)的基礎(chǔ),在數(shù)據(jù)傳遞和共享的過程當(dāng)中,數(shù)據(jù)的安全性要切實(shí)地得到保障,才能保障信息化業(yè)務(wù)的正常運(yùn)行。建設(shè)需求現(xiàn)狀分析XX公司信息系統(tǒng)是統(tǒng)一硬件平臺(tái),操作系統(tǒng)與數(shù)據(jù)庫平臺(tái),共享數(shù)據(jù)平臺(tái),基礎(chǔ)業(yè)務(wù)在線辦理與單位綜合應(yīng)用等內(nèi)容。整體網(wǎng)絡(luò)由客戶端和服務(wù)器組成,客戶端通過有線和無線兩種方式接入,服務(wù)器核心為OA系統(tǒng)和財(cái)務(wù)系統(tǒng),其中OA系統(tǒng)對(duì)互聯(lián)網(wǎng)發(fā)布。建設(shè)原則等級(jí)保護(hù)建設(shè)原則XX公司業(yè)務(wù)系統(tǒng)屬重要信息系統(tǒng),其安全建設(shè)可依據(jù)國家相關(guān)政策要求,在安全保障體系建設(shè)上最終所要達(dá)到的保護(hù)效果應(yīng)符合《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。體系化的設(shè)計(jì)原則XX公司的系統(tǒng)安全設(shè)計(jì)應(yīng)充分考慮到各個(gè)層面的安全風(fēng)險(xiǎn),構(gòu)建完整的安全防護(hù)體系,充分保證系統(tǒng)的安全性。同時(shí),應(yīng)確保方案中使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過程中有具體的措施來充分保證其安全性。產(chǎn)品的先進(jìn)性原則XX公司安全保障體系建設(shè)規(guī)模龐大,意義深遠(yuǎn)。對(duì)所需的各類安全產(chǎn)品提出了很高的要求。必須認(rèn)真考慮各安全產(chǎn)品的技術(shù)水平、合理性、先進(jìn)性、安全性和穩(wěn)定性等特點(diǎn),共同打好XX公司的技術(shù)基礎(chǔ)。服務(wù)細(xì)致化原則要使得安全保障體系發(fā)揮最大的功效,除安全產(chǎn)品的部署外還提供安全服務(wù),根據(jù)XX公司具體現(xiàn)狀及承載的重要業(yè)務(wù),全面而細(xì)致的安全服務(wù)會(huì)提升日常運(yùn)維及應(yīng)急處理風(fēng)險(xiǎn)的能力。安全服務(wù)就需要把安全服務(wù)商的專業(yè)技術(shù)經(jīng)驗(yàn)與行業(yè)經(jīng)驗(yàn)相結(jié)合,結(jié)合XX公司的實(shí)際信息系統(tǒng)量身定做才可以保障其信息系統(tǒng)安全穩(wěn)定的運(yùn)行。建設(shè)思路“等級(jí)保護(hù)安全體系”是依據(jù)國家信息安全等級(jí)保護(hù)制度,根據(jù)系統(tǒng)在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn),采用等級(jí)化與體系化相結(jié)合的安全體系設(shè)計(jì)方法,幫助構(gòu)建一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全防御體系。按照此次項(xiàng)目招標(biāo)要求,XX公司必須參照國家信息安全等級(jí)保護(hù)二級(jí)要求進(jìn)行建設(shè),XX公司的信息安全等級(jí)化保護(hù)需堅(jiān)持“積極防御、綜合防范”的方針,全面提高XX公司的信息安全防護(hù)能力,并適應(yīng)自身業(yè)務(wù)發(fā)展對(duì)安全保障的的需要,安全建設(shè)完成之后將全面提高防護(hù)能力,并支撐XX公司信息化以及未來業(yè)務(wù)的發(fā)展。需求分析外網(wǎng)平臺(tái)安全需求外部邊界防護(hù)主要指XX公司的所有外部網(wǎng)絡(luò)邊界,目前,XX公司有一條互聯(lián)網(wǎng)邊界接入主要用于提供對(duì)外WEB業(yè)務(wù)、各業(yè)務(wù)人員的接入,因此外部邊界直接面臨各界用戶,使用環(huán)境復(fù)雜面臨的安全風(fēng)險(xiǎn)極大,各類復(fù)合網(wǎng)絡(luò)攻擊手段以及針對(duì)網(wǎng)站的流量攻擊均是常見的安全威脅。應(yīng)予以嚴(yán)格的安全防護(hù)手段在此邊界進(jìn)行設(shè)防,維護(hù)整個(gè)XX公司不被外部侵入。計(jì)算環(huán)境安全需求保護(hù)計(jì)算環(huán)境關(guān)注的是采用信息保障技術(shù)確保用戶信息在進(jìn)入、離開或駐留客戶機(jī)與服務(wù)器時(shí)具有可用性、完整性和秘密性。主要是指主機(jī)硬件、OS,應(yīng)用軟件等的安全需求。包括:入侵防范主機(jī)操作系統(tǒng)面臨著各類具有針對(duì)性的入侵威脅,常見操作系統(tǒng)存在著各種安全漏洞,并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差變得越來越短,這就使得操作系統(tǒng)本身的安全性給整個(gè)系統(tǒng)帶來巨大的安全風(fēng)險(xiǎn),因此對(duì)于主機(jī)操作系統(tǒng)的安裝,使用、維護(hù)等提出了需求,防范針對(duì)系統(tǒng)的入侵行為。惡意代碼防范病毒、蠕蟲等惡意代碼是對(duì)計(jì)算環(huán)境造成危害最大的隱患,當(dāng)前病毒威脅非常嚴(yán)峻,特別是蠕蟲病毒的爆發(fā),會(huì)立刻向其他子網(wǎng)迅速蔓延,發(fā)動(dòng)網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬,造成網(wǎng)絡(luò)性能嚴(yán)重下降、服務(wù)器崩潰甚至網(wǎng)絡(luò)通信中斷,信息損壞或泄漏。嚴(yán)重影響正常業(yè)務(wù)開展。因此必須部署惡意代碼防范軟件進(jìn)行防御。同時(shí)保持惡意代碼庫的及時(shí)更新。應(yīng)用系統(tǒng)安全需求對(duì)于存在于XX公司的眾多應(yīng)用系統(tǒng),同樣存在著多種類型安全需求,包括:網(wǎng)絡(luò)行為審計(jì)由于用戶的計(jì)算機(jī)相關(guān)的知識(shí)水平參差不齊,一旦某些安全意識(shí)薄弱的管理用戶誤操作,將給信息系統(tǒng)帶來致命的破壞。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)。從而威懾那些心存僥幸、有惡意企圖的少部分用戶,以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。應(yīng)用安全管理從用戶角度看,其業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)是最關(guān)心的核心問題,而業(yè)務(wù)系統(tǒng)能否實(shí)施良好的監(jiān)控管理則是關(guān)鍵因素之一。因此需要技術(shù)手段對(duì)應(yīng)用系統(tǒng)的狀況進(jìn)行全面監(jiān)控,能夠全盤呈現(xiàn)業(yè)務(wù)環(huán)境,實(shí)施主動(dòng)監(jiān)控,進(jìn)行運(yùn)行趨勢(shì)分析,及時(shí)發(fā)現(xiàn)存在的問題。管理系統(tǒng)安全需求完整的安全技術(shù)體系的搭建需要眾多的安全設(shè)備和安全系統(tǒng),型號(hào)和品牌不一、物理部署位置分散、技術(shù)人員能力水平差異大。有限的管理人員難以對(duì)安全設(shè)備進(jìn)行集中管理、及時(shí)快捷的部署安全策略,全面掌握設(shè)備運(yùn)行和網(wǎng)絡(luò)運(yùn)行的風(fēng)險(xiǎn)狀況。如何用好安全設(shè)備和安全系統(tǒng)支撐業(yè)務(wù)安全穩(wěn)定運(yùn)行成了一個(gè)棘手的問題。運(yùn)維管理安全需求除了采用信息安全技術(shù)措施控制信息安全威脅外,安全管理措施也是必不可少的手段,所謂“三分技術(shù),七分管理”就是這個(gè)道理。健全的安全管理體系是各種安全防范措施得以有效實(shí)施、網(wǎng)絡(luò)系統(tǒng)安全實(shí)現(xiàn)和維系的保證,安全技術(shù)措施和安全管理措施可以相互補(bǔ)充,共同構(gòu)建全面、有效的信息安全保障體系。安全技術(shù)體系方案設(shè)計(jì)框架XX公司信息安全需參照“等級(jí)化”設(shè)計(jì)方法,是根據(jù)需要保護(hù)的信息系統(tǒng)確定不同的安全等級(jí),根據(jù)安全等級(jí)確定不同等級(jí)的安全目標(biāo),形成不同等級(jí)的安全措施進(jìn)行保護(hù),此次項(xiàng)目建設(shè),將參照等級(jí)保護(hù)二級(jí)要求進(jìn)行。根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,分為技術(shù)和管理兩大類要求,具體如下圖所示:為使得《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》能夠進(jìn)行落地實(shí)施建設(shè),通過對(duì)等級(jí)保護(hù)要求的整合分析,結(jié)合業(yè)界成熟的信息安全體系建設(shè)理論,提出了從安全管理、基礎(chǔ)設(shè)施、網(wǎng)絡(luò)平臺(tái)、計(jì)算區(qū)域、應(yīng)用系統(tǒng)幾個(gè)層面,進(jìn)行整體安全設(shè)計(jì)的思路。同時(shí)考慮以安全管理中心為管理建設(shè)重點(diǎn),形成長(zhǎng)治久安的管理核心,以安全運(yùn)維為長(zhǎng)期服務(wù),共同構(gòu)建起XX公司整體安全建設(shè)框架。建設(shè)標(biāo)準(zhǔn)GB/T21052-2007信息安全等級(jí)保護(hù)信息系統(tǒng)物理安全技術(shù)要求GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南信息安全技術(shù)信息安全等級(jí)保護(hù)實(shí)施指南信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)指南等。設(shè)計(jì)方案為了全面提高信息安全防護(hù)能力,XX公司參照國家信息安全等級(jí)保護(hù)相關(guān)要求,落實(shí)“堅(jiān)持積極防御、綜合防范”的方針,在保證XX公司業(yè)務(wù)系統(tǒng)運(yùn)行效率和投資收益比例恰當(dāng)?shù)那疤嵯?,通過技術(shù)和管理手段,最大程度地降低業(yè)務(wù)系統(tǒng)的信息安全風(fēng)險(xiǎn),全面提高XX公司業(yè)務(wù)系統(tǒng)的信息安全防護(hù)能力,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保護(hù)公眾以及國家的利益。信息安全建設(shè)包含了網(wǎng)絡(luò)安全防護(hù)、系統(tǒng)安全防護(hù)以及應(yīng)用安全防護(hù)等多個(gè)方面,為了解決XX公司整體安全問題,降低安全風(fēng)險(xiǎn)存在的可能性,我們建議采用多種安全技術(shù)結(jié)合,全面打造安全可靠的業(yè)務(wù)平臺(tái)。網(wǎng)絡(luò)拓?fù)鋱D安全技術(shù)詳細(xì)設(shè)計(jì)防火墻設(shè)計(jì)需求分析通過對(duì)XX公司的網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的分析,方案建議在網(wǎng)絡(luò)邊界進(jìn)行訪問控制。作為網(wǎng)絡(luò)安全的基礎(chǔ)防護(hù)要求,具體需求如下:防止非法用戶非法訪問非法用戶(黑客或間諜)對(duì)網(wǎng)絡(luò)的非法訪問將給網(wǎng)絡(luò)帶來巨大的安全風(fēng)險(xiǎn)。例如:竊取XX公司內(nèi)部資料、重要數(shù)據(jù)、非法刪除重要的資料、篡改網(wǎng)頁等等。然后非法用戶還會(huì)把木馬等程序拷到網(wǎng)絡(luò)內(nèi)的主機(jī)、服務(wù)器上,為下一次入侵打開一扇便利之門。同時(shí)黑客還會(huì)把已入侵過的主機(jī)作為跳板,通過它入侵其他地方的主機(jī)(例如:政府、證券等)。所以,必須要采取一定的訪問控制手段,防范來自非法用戶的非法訪問。防止合法用戶的非授權(quán)訪問合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源。一般來說,每個(gè)成員的主機(jī)系統(tǒng)中,有一部份信息對(duì)外開放,而有些信息是要求保密的,它的公開范圍是有限的。外部用戶被允許正常訪問的一定的信息,如他同時(shí)通過一些手段越權(quán)訪問了網(wǎng)絡(luò)上不允許他訪問的信息,因此而造成他人的信息泄漏。所以,必須加強(qiáng)訪問控制的機(jī)制,對(duì)服務(wù)及訪問權(quán)限需要進(jìn)行嚴(yán)格控制。防止假冒合法用戶的非法訪問從管理上及實(shí)際需求上是要求合法用戶可正常訪問被許可的資源。但是一些沒有獲得訪問權(quán)的人員可能會(huì)假冒合法用戶的IP地址或用戶名等資源進(jìn)行非法訪問。因此,必需從訪問控制上做到防止假冒的非法訪問。網(wǎng)絡(luò)病毒防護(hù)在現(xiàn)今的網(wǎng)絡(luò)時(shí)代,病毒的發(fā)展呈現(xiàn)出以下趨勢(shì):病毒與黑客程序相結(jié)合、蠕蟲病毒更加泛濫、病毒破壞性更大、制作病毒的方法更簡(jiǎn)單、病毒傳播速度更快,傳播渠道更多、病毒感染對(duì)象越來越廣。因此,一個(gè)完善的安全體系應(yīng)該包含了從桌面到服務(wù)器、從內(nèi)部用戶到網(wǎng)絡(luò)邊界的全面地解決方案,以抵御來自黑客和病毒的威脅。上網(wǎng)行為管控上網(wǎng)行為管理系統(tǒng)能夠全面詳實(shí)地記錄網(wǎng)絡(luò)內(nèi)流經(jīng)監(jiān)聽出口的各種網(wǎng)絡(luò)行為,并根據(jù)國家有關(guān)法規(guī)規(guī)定保存至少60天,以便進(jìn)行事后的審計(jì)和分析。日志以加密的方式存放,只有管理者才能調(diào)閱讀取。網(wǎng)絡(luò)行為日志全面地記錄了包括使用者、分組、訪問時(shí)間、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、訪問類型、訪問地址/標(biāo)識(shí)等關(guān)鍵數(shù)據(jù)項(xiàng)記錄和統(tǒng)計(jì)網(wǎng)絡(luò)日志記錄和統(tǒng)計(jì)通過邊界的網(wǎng)絡(luò)通訊,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)并對(duì)非法訪問作記錄日志,從設(shè)備或?qū)iT的日志服務(wù)器提供統(tǒng)計(jì)數(shù)據(jù),來判斷可能的攻擊和探測(cè)。解決方案對(duì)于XX公司的網(wǎng)絡(luò)邊界,首先要考慮采用防火墻進(jìn)行有效的隔離。部署說明網(wǎng)絡(luò)邊界防火墻采用路由模式部署,實(shí)現(xiàn)內(nèi)部和外網(wǎng)的隔離;方案效果XX公司網(wǎng)絡(luò)邊界部署防火墻,可以對(duì)所有流經(jīng)設(shè)備的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過濾,將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽,杜絕越權(quán)訪問,防止各類非法攻擊行為。防火墻將XX公司的內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)進(jìn)行邏輯隔離,可以實(shí)現(xiàn)基于數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時(shí)間等信息,執(zhí)行嚴(yán)格的訪問控制。防火墻通過安全策略實(shí)現(xiàn)以下的安全防護(hù):安全域隔離:網(wǎng)絡(luò)邊界部署防火墻,相當(dāng)于在邏輯上隔離了不同安全區(qū)域,對(duì)XX公司環(huán)境提供有效的保護(hù);訪問控制策略:防火墻工作在不同安全區(qū)域之間,對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行深度分析,依據(jù)數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時(shí)間等信息,進(jìn)行判斷,確定是否存在非法或違規(guī)的操作,并進(jìn)行阻斷,從而有效保障了重要的計(jì)算環(huán)境;應(yīng)用控制策略:在防火墻上執(zhí)行內(nèi)容過濾策略,實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制,從而提供給系統(tǒng)更精準(zhǔn)的安全性;會(huì)話監(jiān)控策略:在防火墻上配置會(huì)話監(jiān)控策略,當(dāng)會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后,設(shè)備自動(dòng)將會(huì)話丟棄,訪問來源必須重新建立會(huì)話才能繼續(xù)訪問資源;會(huì)話限制策略:對(duì)于重要的服務(wù)器應(yīng)用系統(tǒng),從維護(hù)系統(tǒng)可用性的角度可以考慮限制會(huì)話數(shù),來保障服務(wù)的有效性,防火墻可對(duì)保護(hù)的應(yīng)用服務(wù)器采取會(huì)話限制策略,當(dāng)服務(wù)器接受的連接數(shù)接近或達(dá)到閥值時(shí),設(shè)備自動(dòng)阻斷其他的訪問連接請(qǐng)求,避免服務(wù)器接到過多的訪問而崩潰;上網(wǎng)行為管控:通過加載上網(wǎng)行為管控模塊可以實(shí)現(xiàn)網(wǎng)絡(luò)行為審計(jì)、即時(shí)通訊工具管控、流媒體/網(wǎng)絡(luò)視頻直播控制、網(wǎng)絡(luò)下載控制、游樂游戲控制等。有效提高帶寬質(zhì)量日志審計(jì)策略:防火墻詳細(xì)記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包以及入侵日志,可提供給網(wǎng)絡(luò)管理人員進(jìn)行分析。入侵檢測(cè)設(shè)計(jì)需求分析防火墻是網(wǎng)絡(luò)邊界安全的重要網(wǎng)關(guān)設(shè)備,它主要工作在網(wǎng)絡(luò)層之下,通過對(duì)協(xié)議、地址和服務(wù)端口的識(shí)別和控制達(dá)到防范入侵的目的,可以有效的防范基于業(yè)務(wù)端口的攻擊。但是近年來,安全威脅呈現(xiàn)了“多、快、高”的發(fā)展趨勢(shì)?!岸唷笔侵赴踩录?shù)量多,據(jù)國際CERT組織統(tǒng)計(jì),2000年的安全事件數(shù)量不足2萬,而2007年的數(shù)量已經(jīng)逼近100萬;“快”是指安全威脅入侵的蔓延速度快、發(fā)現(xiàn)漏洞后攻擊出現(xiàn)的時(shí)間快,最新的蠕蟲病毒可以在幾分鐘之內(nèi)就蔓延到全球范圍,新的漏洞公布后幾個(gè)小時(shí)就出現(xiàn)針對(duì)漏洞的攻擊行為或工具;“高”是指安全威脅的層次越來越高,目前的威脅多數(shù)已經(jīng)從網(wǎng)絡(luò)層發(fā)展到應(yīng)用層,包括入侵、蠕蟲、P2P濫用等。面對(duì)安全威脅的發(fā)展趨勢(shì),防火墻已經(jīng)顯得無能為力,它無法檢測(cè)出封裝在有效數(shù)據(jù)內(nèi)的惡意威脅與攻擊,也無法檢測(cè)和控制對(duì)企業(yè)網(wǎng)絡(luò)資源進(jìn)行濫用的IM、P2P軟件。在這種情況下,能夠針對(duì)網(wǎng)絡(luò)自身與應(yīng)用系統(tǒng)進(jìn)行破壞、利用網(wǎng)絡(luò)進(jìn)行非法活動(dòng)、網(wǎng)絡(luò)資源濫用等威脅,實(shí)現(xiàn)深層檢測(cè)和阻斷的入侵檢測(cè)產(chǎn)品應(yīng)運(yùn)而生。解決方案方案建議出口邊界和財(cái)務(wù)服務(wù)器區(qū)邊界的部署入侵防護(hù)系統(tǒng),入侵防御系統(tǒng)通過對(duì)網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷,在判定為攻擊行為后立即予以阻斷,主動(dòng)而有效的保護(hù)網(wǎng)絡(luò)的安全。除了入侵防御功能以外,入侵防護(hù)系統(tǒng)還可以口中防病毒模塊,為網(wǎng)絡(luò)提供全面實(shí)時(shí)的安全防護(hù)。方案效果入侵防御:設(shè)備具備4000多條檢測(cè)特征庫,可防護(hù)CGI訪問、CGI攻擊、網(wǎng)絡(luò)數(shù)據(jù)庫攻擊、網(wǎng)絡(luò)設(shè)備攻擊、窮舉探測(cè)攻擊、木馬后門、間諜軟件等,攻擊特征庫全面。惡意代碼檢測(cè):系統(tǒng)應(yīng)提供擴(kuò)展靜態(tài)惡意代碼(APT)檢測(cè)引擎,針對(duì)http、ftp、SMTP等協(xié)議中包含的未知惡意文件進(jìn)行檢測(cè)。郵件過濾:設(shè)備支持基于IP、收發(fā)人、主題及內(nèi)容進(jìn)行郵件精確過濾;Web過濾:除了基礎(chǔ)的黑白名單及網(wǎng)頁惡意代碼過濾功能外,設(shè)備集成業(yè)界最先進(jìn)URL分類過濾技術(shù),采用創(chuàng)新的“數(shù)據(jù)云”模式,超過1億條相關(guān)URL,確保過濾的準(zhǔn)確性和覆蓋性,為用戶提供零時(shí)保障。敏感信息防護(hù):為加強(qiáng)對(duì)網(wǎng)絡(luò)內(nèi)部人員的敏感信息主動(dòng)泄漏行為,設(shè)備支持對(duì)郵件、微博、論壇、云盤等上傳信息進(jìn)行監(jiān)控,基于關(guān)鍵字、正則表達(dá)式和文件指紋識(shí)別技術(shù),對(duì)敏感信息進(jìn)行識(shí)別和防護(hù)。WEB應(yīng)用防護(hù)設(shè)計(jì)需求分析現(xiàn)在針對(duì)WEB服務(wù)器的攻擊越來越多,人們意識(shí)到僅僅靠防火墻、入侵檢測(cè)技術(shù)來保護(hù)網(wǎng)站安全是遠(yuǎn)遠(yuǎn)不夠的,防火墻、入侵檢測(cè)、網(wǎng)站保護(hù)系統(tǒng)配合使用,共同保障網(wǎng)絡(luò)安全,已經(jīng)成為網(wǎng)絡(luò)安全防護(hù)的趨勢(shì)。通過對(duì)防火墻、IDS、網(wǎng)頁防篡改技術(shù)的工作原理與防護(hù)定位的分析,我們可以看出:防火墻、IDS因主要是基于網(wǎng)絡(luò)層數(shù)據(jù)包的分析檢測(cè)機(jī)制,對(duì)應(yīng)用層的分析檢測(cè)能力非常有限,因而對(duì)Web應(yīng)用交互內(nèi)容以及Web頁面中代碼漏洞的檢測(cè)防御是防火墻、IDS類產(chǎn)品的盲區(qū);而對(duì)于目前Web2.0時(shí)代動(dòng)態(tài)網(wǎng)站的應(yīng)用防護(hù),單純的網(wǎng)頁備份防篡改產(chǎn)品也無能為力。因此,Web應(yīng)用技術(shù)的發(fā)展,需要的是一種完全基于Web交互內(nèi)容和Web頁面安全漏洞的安全防御產(chǎn)品,于是Web應(yīng)用安全網(wǎng)關(guān)誕生,工作在應(yīng)用層,提供專業(yè)的針對(duì)Web應(yīng)用的防護(hù)。解決方案WAF(WebApplicationFirewall)的出現(xiàn)解決了這方面的難題,通過執(zhí)行應(yīng)用會(huì)話內(nèi)部的請(qǐng)求來處理應(yīng)用層,它專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。WAF可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊,一些強(qiáng)大的應(yīng)用安全網(wǎng)關(guān)甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付,形象的來說相當(dāng)于給原網(wǎng)站加上了一個(gè)安全的絕緣外殼。方案建議使用WEB應(yīng)用防護(hù)系統(tǒng)(WAF)對(duì)OA服務(wù)器進(jìn)行安全防護(hù)。設(shè)備部署在OA服務(wù)器區(qū)域前端。由此,設(shè)備除可以對(duì)WEB應(yīng)用進(jìn)行防護(hù)之外,還具備網(wǎng)頁防篡改功能,針對(duì)重點(diǎn)URL,可定時(shí)備份正常頁面,一旦檢測(cè)出被保護(hù)URL頁面有被篡改,會(huì)將事先備份的正常頁面返回給訪問用戶。Web服務(wù)器無安裝Agent要求。方案效果WAF基于對(duì)HTTP及HTTPS流量?jī)?nèi)容的雙向檢測(cè)分析,為Web應(yīng)用提供實(shí)時(shí)的防護(hù),而且與傳統(tǒng)的產(chǎn)品及技術(shù)有本質(zhì)的差異,具體差異如下:支持HTTP協(xié)議解碼(支持多種常見的編碼類型)并對(duì)相關(guān)字段進(jìn)行檢查,包括方法、URI、版本、HTTP頭部各字段、Cookie、表單字段、常用的HTTP編碼類型等。針對(duì)Header里面的各項(xiàng)內(nèi)容(HTTPVersion,Refer,Hostname,User-Agent等等)進(jìn)行合法性驗(yàn)證。具有識(shí)別檢測(cè)HTTP及HTTPS協(xié)議內(nèi)容及具體數(shù)據(jù)的能力,支持各種Web編碼。具有檢測(cè)變形攻擊的能力,如檢測(cè)SSL加密流量中混雜的攻擊。檢測(cè)數(shù)據(jù)表單輸入的有效性,為Web應(yīng)用提供了一個(gè)外部輸入的過濾機(jī)制,做到事前的檢測(cè)過濾,安全性更為可靠。WEB應(yīng)用防護(hù)系統(tǒng)針對(duì)常見的Web業(yè)務(wù)系統(tǒng),提供綜合的Web應(yīng)用安全解決方案,確保用戶Web業(yè)務(wù)風(fēng)險(xiǎn)最小化。WEB防護(hù)通過對(duì)進(jìn)出Web服務(wù)器的http流量相關(guān)內(nèi)容的實(shí)時(shí)分析檢測(cè)、過濾,來精確判定并阻止各種Web應(yīng)用攻擊行為,阻斷對(duì)Web服務(wù)器的惡意訪問與非法操作,如SQL注入、XSS、Cookie篡改以及應(yīng)用層DoS攻擊等,有效應(yīng)對(duì)網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題。系統(tǒng)使用主動(dòng)實(shí)時(shí)監(jiān)測(cè)過濾技術(shù),將惡意代碼、非授權(quán)篡改、應(yīng)用攻擊等眾多威脅進(jìn)行綜合防范,從而做到對(duì)Web服務(wù)器的多重保護(hù),確保Web應(yīng)用安全的最大化,充分保障Web應(yīng)用的高可用性和可靠性。監(jiān)控與恢復(fù):實(shí)時(shí)監(jiān)控網(wǎng)站文件的變更,一旦發(fā)生篡改,可以自動(dòng)實(shí)時(shí)地進(jìn)行文件恢復(fù)。此外,對(duì)所有互聯(lián)網(wǎng)訪問進(jìn)行內(nèi)容過濾,以確保發(fā)布內(nèi)容的正確性、權(quán)威性。同步與備份:與各類網(wǎng)站發(fā)布方式(如ftp、CMS等)無縫集成,實(shí)現(xiàn)網(wǎng)站內(nèi)容正常更新維護(hù)的自動(dòng)化、實(shí)時(shí)性。配置網(wǎng)站備份功能,進(jìn)行網(wǎng)頁的備份。告警與審計(jì):實(shí)時(shí)的報(bào)警能力,針對(duì)網(wǎng)站進(jìn)行的各類篡改企圖或篡改操作,系統(tǒng)提供實(shí)時(shí)地報(bào)警處理,將相關(guān)詳細(xì)信息以告警的方式提交給網(wǎng)站管理人員。詳細(xì)的日志信息不僅可以用于篡改責(zé)任的追究和落實(shí),同時(shí)也為管理人員全面了解網(wǎng)站安全和系統(tǒng)運(yùn)行狀況提供了必須的資料。防SQL注入:防止黑客通過注入SQL語句的方式從網(wǎng)站關(guān)聯(lián)的數(shù)據(jù)庫中獲取、修改數(shù)據(jù)信息或攻擊數(shù)據(jù)庫。采用正則表達(dá)式描述規(guī)則,提高規(guī)則的可擴(kuò)展性和可維護(hù)性。應(yīng)用層DOS攻擊防護(hù):WEB防護(hù)可防護(hù)帶寬及資源耗盡型拒絕服務(wù)攻擊,如對(duì)SYNFlood等常見攻擊行為進(jìn)行有效識(shí)別,可以使服務(wù)器在受到Flood攻擊時(shí)仍然可以響應(yīng)正常請(qǐng)求,確保Web業(yè)務(wù)的可用性及連續(xù)性。XMLDoS攻擊防護(hù)是對(duì)HTTP請(qǐng)求中的XML數(shù)據(jù)流進(jìn)行合規(guī)檢查,防止非法用戶通過構(gòu)造異常的XML文檔對(duì)Web服務(wù)器進(jìn)行DoS攻擊。Web敏感信息防護(hù):WEB防護(hù)內(nèi)置敏感信息泄露防護(hù)策略,可以靈活定義HTTP錯(cuò)誤時(shí)返回的默認(rèn)頁面,避免因?yàn)閃eb服務(wù)異常,而導(dǎo)致的敏感信息(如:Web服務(wù)器操作系統(tǒng)類型、Web服務(wù)器類型、Web錯(cuò)誤頁面信息、銀行卡卡號(hào)等)的泄露。Cookie防篡改:WEB防護(hù)能夠針對(duì)Cookie進(jìn)行簽名保護(hù),避免Cookie在明文傳輸過程中被篡改

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論