【背景概述】
网络的飞速发展促进了各行业的信息化建设,近几年来大多数企业都走过了不断发展、完善的信息化历程,且已拥有了技术先进、种类繁多的网络设备和应用系统,从而构建了一个配置多样的综合性网络平台。但随着网络基础设施建设的不断完善,有针对性作用的业务系统也会不断增加,对外开放的综合业务平台会为用户提供便捷的服务。然而随着互联网的飞速发展,外部网络的安全日趋严重,面对业务系统的信息安全攻击逐渐从网络层向应用层和系统层迁移。各类新型的黑客技术手段、计算机病毒、系统漏洞、应用程序漏洞以及网络中的不规范操作对单位业务系统均有可能造成严重的威胁。在给内、外网用户提供优质服务的同时,也面临着各类的应用安全风险,为了加强业务系统的防护能力,提高业务系统安全性,保证用户能够更安全,更便捷的使用业务系统,并且满足等保三级应用安全加固的要求,建议在现有的网络安全架构中,加入深信服(NGAF)防火墙设备,主要用作网络安全防护,保证业务系统的正常稳定运行。使用防火墙将服务器区域分割成为应用服务区、数据库服务器区、边界接入区、运维管理区域等多个网络层相互逻辑隔离的区域,防止内、外部安全风险危害各个业务区域。
【解决方案】
在业务系统脆弱性分析的基础上,我们对网络层面、系统层面、应用层面、数据层面进行详细的方案设计,对设计到的产品/子系统和技术,进行详细的阐述。
(1)网络安全加固方案
网络层面的安全加固主要针对业务系统网络层可能面临DOS/DDOS攻击进行强化的防护,对于进入网络中的病毒/木马/蠕虫进行过滤和清洗。 因此本次应用安全加固的安全建设中,采用一体化安全网关部署于原防火墙后与一期业务系统网络安全建设的防火墙形成异构,实现出口网络安全加固,同时实现简化组网、简化运维、最优投资的价值。
(2)系统安全加固方案
系统安全层面的加固主要针对承载业务系统本身的各类服务器底层的操作系统进行安全防护实现系统安全加固的目的。
通过入侵防御子系统在业务系统核心交换前形成“虚拟补丁”的防御体系,全面提升web应用服务区、数据库服务器区、服务器区、DMZ区服务器操作系统安全防护能力。采用入侵防御子系统形成“虚拟补丁”的防御体系可切实减少系统管理员服务器群的安全维护成本,借助厂商强大的安全研究能力可以防御“0”日攻击的风险。
(3)应用安全加固方案
应用层面的安全加固主要针对本次业务系统应用安全建设中web应用程序基于ASP、PHP、JSP等开发的B/S业务,本身不可避免的存在软件开发本身的漏洞、造成黑客的SQL注入,致使业务系统数据库和网页文件被篡改或者被窃取的问题进行有针对性的应用安全加固。
通过Web安全子系统部署于web服务器区核心交换前实现双向内容的检测,针对HTTP协议的深入解析,精确识别出协议中的各种要素,如cookie、Get参数、Post表单等,并对这些数据进行快速的解析,以还原其原始通信的信息,根据这些解析后的原始信息,精确的检测其是否包含威胁内容。Web安全子系统作为web客户端与服务器请求与响应的中间人,能够有效的避免web服务器直接暴露在互联网之上,采用双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文,对恶意流量,以及服务器外发的有风险信息进行实时的清洗与过滤,防止web安全风险。
(4)数据安全加固方案
数据层面的安全加固主要为了应对攻击手段越来越先进的黑客攻击和目的性和持续性很强的高级持续性威胁(APT)等类似的高级攻击。因为安全防御体系并不能达到100%的防御效果,通常采用这种攻击方式的攻击带有明确的攻击意图和不达目的不休止的特点,黑客往往应用先进的攻击手段绕过防御体系,从而给业务系统造成不可挽回的损失。有针对性的对数据、内容进行保护,采取事后的防御技术手段可以有效的降低系统被破坏、窃取、篡改的风险,将安全损失降到最低。
本方案中采用防篡改子系统和信息泄漏防护子系统部署于服务器区核心交换前进行针对行的数据安全加固,可有效避免网页被篡改/挂马,敏感信息被窃取的风险。
(5)产品部署方案
一站式应用安全加固部署方案;提供针企业内部网络及业务系统服务器的应用安全加固安全解决方案。
通过在服务器汇聚交换前部署一台深信服下一代应用防火墙NGAF,可实现业务系统服务器的逻辑隔离,防止来自网络层面、系统层面、应用层面以及数据层面的安全威胁在业务系统数据中心各区域内扩散。采用业务系统一站式应用安全加固部署方案,通过下一代防火墙NGAF的部署可以从从攻击源头上帮助企业防护导致业务系统服务器区内业务各类网络、系统、应用、数据层面的安全威胁;同时防火墙提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题,实现防攻击、防篡改、防泄密的效果。
1)深信服下一代防火墙部署于核心交换前可实现业务系统服务器区一站式整体安全防护;
2)通过防火墙子系统模块的访问控制策略ACL可实现网络安全域划分,阻断各个区域间的网络通信,防止威胁扩散,防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题;
3)通过DDOS/DOS子系统功能模块进行网络层面的安全加固,可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题;
4)通过防病毒子系统功能模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;
5)利用入侵防御子系统功能模块可实现对服务器操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;
6)通过web安全子系统功能模块的开启,可实现对各个区域(尤其是DMZ区)的web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题;
7)通过信息泄漏防护子系统功能模块的开启,可自定义业务系统的敏感信息防止黑客绕过防御体系窃取业务系统的敏感信息;
8)通过防篡改子系统功能模块的开启,可防止黑客利用各层面安全漏洞非法篡改业务系统合法界面,防止被篡改界面发布于众;
9)通过风险评估子系统模块的启用对服务器进行安全体检,通过一键策略部署的功能开启入侵防御子系统模块、web安全子系统模块的对应策略,可帮助管理员的实现针对性的策略配置。
10)通过智能联动模块的应用,可形成防火墙子系统功能模块、入侵防御子系统功能模块、web安全子系统功能模块的智能联动,有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。
【成功案例】
东方电气核设备有限公司网络安全系统
光谷医院网络安全系统
良品铺子食品有限公司网络加固系统