深信服XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方 應(yīng)用背 需求分 一期建設(shè)拓?fù)?業(yè)務(wù)系統(tǒng)安全現(xiàn) 業(yè)務(wù)系統(tǒng)脆弱性分 風(fēng)險(xiǎn)可能導(dǎo)致的問 業(yè)務(wù)安全加固建設(shè)目 方案設(shè) 加固方 DOS/DDOS防護(hù)子系 防子系 系統(tǒng)安全加固方 防御子系 應(yīng)用安全加固方 Web安全子系 數(shù)據(jù)安全加固方 信息泄漏防護(hù)子系 防篡改子系 產(chǎn)品部署示方 方案一：一站式應(yīng)用安全加固部署方 拓?fù)?產(chǎn)品部署方 產(chǎn)品選 方案二：節(jié)點(diǎn)縱深防御應(yīng)用安全加固部署方 拓?fù)?產(chǎn)品部署方 產(chǎn)品選 關(guān)于深信 應(yīng)用背，網(wǎng)絡(luò)的飛速發(fā)展促進(jìn)了各行業(yè)的信息化建設(shè)，近幾年來XX單位走過了不斷針對性作用的業(yè)務(wù)系統(tǒng)也不斷增加，XX2011XX業(yè)務(wù)系XX業(yè)務(wù)系統(tǒng)建設(shè)時便設(shè)計(jì)并建設(shè)完成了第一期網(wǎng)絡(luò)安全建設(shè)規(guī)劃。在第一期的建設(shè)規(guī)劃方案中被用作主要的網(wǎng)絡(luò)保證業(yè)務(wù)系統(tǒng)的正常穩(wěn)定運(yùn)行使用將服務(wù)器區(qū)域分割成為應(yīng)用，、然而隨著互聯(lián)網(wǎng)的飛速發(fā)展，外部日趨嚴(yán)重，面對業(yè)務(wù)系統(tǒng)的信息安全逐漸從網(wǎng)絡(luò)層向應(yīng)用層和系統(tǒng)層遷移。各類新型的技術(shù)、計(jì)算機(jī)、系統(tǒng)、應(yīng)用程序以及網(wǎng)絡(luò)中的不規(guī)范操作對XX單位業(yè)務(wù)系統(tǒng)均有可能造成嚴(yán)重的。在給內(nèi)用戶提供優(yōu)質(zhì)服務(wù)的同時，也著各XX、需求分一期建設(shè)拓?fù)錁I(yè)務(wù)系統(tǒng)安全現(xiàn)XX魚等眾多的安全風(fēng)險(xiǎn)。最后，操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、應(yīng)用二期建設(shè)目標(biāo)分析，XX業(yè)務(wù)系統(tǒng)目前還存在以下幾個方面的問題：1、業(yè)務(wù)系統(tǒng)與內(nèi)對接沒有實(shí)現(xiàn)有效的邊界控制，無法界定用戶訪2、對于流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有有效的流量的能力，無法識別流量是正常的請求還是DOS/DDOS服務(wù)類的；3、對于夾雜在數(shù)據(jù)流中的、木馬、蠕蟲沒有良好的檢測能力，很難避4、服務(wù)器系統(tǒng)底層防護(hù)僅依靠時效性不強(qiáng)動補(bǔ)丁更新，缺乏有效的防護(hù)，尤其缺乏零日的防護(hù)能力；5、流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有應(yīng)用層（如web）的檢測能力，難以保證業(yè)務(wù)系統(tǒng)Web應(yīng)用程序以及數(shù)據(jù)庫不被；業(yè)務(wù)系統(tǒng)脆弱性分網(wǎng)絡(luò)層業(yè)務(wù)系期建設(shè)部署了通過控制實(shí)現(xiàn)邊界接入?yún)^(qū)、應(yīng)仍然沒有很好的防護(hù)效果利用網(wǎng)絡(luò)協(xié)議的可能導(dǎo)致網(wǎng)絡(luò)癱瘓而無法響應(yīng)正常業(yè)務(wù)請求及。系統(tǒng)層弱性問題。由于操作系統(tǒng)都不可避免的存在bug，包括安全方面的bug，因此系前業(yè)務(wù)系期建設(shè)并沒有對系統(tǒng)層面的提供有效的防護(hù)措施全僅僅通過在互聯(lián)網(wǎng)上的操作系統(tǒng)補(bǔ)丁來保證系統(tǒng)不被及時也可能帶來新的“0”日的。通過安全評估發(fā)現(xiàn)系統(tǒng)層面的廣面的安全風(fēng)險(xiǎn)需要進(jìn)行防護(hù)。應(yīng)用層應(yīng)用層面的脆弱性最為復(fù)雜，包括了常見應(yīng)用，B/S業(yè)務(wù)服務(wù)程序中可能存在的安全，WEB開發(fā)中的安全隱患以及目前用的管理系統(tǒng)都可能成為被者所利用。而業(yè)務(wù)系統(tǒng)基于ASP、PHP、JSP開發(fā)，不可避免的存在開發(fā)本身的造成的SQL注入致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫和網(wǎng)頁文件被篡改或面的沒有辦法完全修改業(yè)務(wù)系統(tǒng)構(gòu)架來避免在業(yè)務(wù)系統(tǒng)更新修改后還有可能存在新的。同時用于承載業(yè)務(wù)的各類應(yīng)用本身也存在大量的，包括業(yè)務(wù)發(fā)布應(yīng)用程序（如IIS、Apach等，數(shù)據(jù)庫（如，oracle、mssql等，中間件（weblogic等，利用他們也可以對業(yè)務(wù)系統(tǒng)本身造成嚴(yán)重的危害。所以應(yīng)用層面的安全需要嚴(yán)格防護(hù)，并作為本次業(yè)務(wù)系統(tǒng)安全加固的重點(diǎn)。數(shù)據(jù)層，100%的安全防護(hù)仍有可能存在被繞過的風(fēng)險(xiǎn)。而在數(shù)據(jù)層面的脆弱性也就數(shù)據(jù)部分，本次安全加固需要包含對于數(shù)據(jù)是否被竊取的防護(hù)措施。，風(fēng)險(xiǎn)可能導(dǎo)致的問業(yè)務(wù)系統(tǒng)包含Web服務(wù)器、服務(wù)器、數(shù)據(jù)庫服務(wù)器等多種類型的業(yè)務(wù)多個區(qū)域的安全。其安全保障意義重大。而一期建設(shè)中是通過vlan、ACL控制對其進(jìn)行安全。應(yīng)用層仍然能夠這些安為也是造成眾多事件的原因之一。風(fēng)險(xiǎn)造成的結(jié)果有以下幾種：業(yè)務(wù)系統(tǒng)篡改問系統(tǒng)的篡改是指者利用Web應(yīng)用程序?qū)⒄５木W(wǎng)頁替換為者提供業(yè)務(wù)系統(tǒng)掛馬問業(yè)務(wù)系統(tǒng)網(wǎng)頁被掛馬也是利用Web造成的一種網(wǎng)頁篡改的安全問題，掛導(dǎo)致Web業(yè)務(wù)的最終用戶成為受害者，成為者的或者造成自身的損失這種問題出現(xiàn)在業(yè)務(wù)系統(tǒng)中也嚴(yán)重影響業(yè)務(wù)的正常并影響到單位的無法響應(yīng)正常服務(wù)的問業(yè)務(wù)系統(tǒng)無法響應(yīng)正常的服務(wù)請求。對于業(yè)務(wù)系統(tǒng)可用性而言是巨大的。業(yè)務(wù)系統(tǒng)服務(wù)器被控題通過這些問題可以使得可以肆意的在出現(xiàn)溢出的過程中添加具限獲取能力的代碼，并通過這些最終獲取業(yè)務(wù)系統(tǒng)服務(wù)器的權(quán)限。服務(wù)器的系統(tǒng)權(quán)限一旦被獲取就意味著可以完全控制業(yè)務(wù)系統(tǒng)的服務(wù)器并，敏感信息泄漏問致數(shù)據(jù)庫 的用戶資料 信息 業(yè)務(wù)安全加固建設(shè)目從本次規(guī)劃的主要目的分網(wǎng)絡(luò)層次考慮，利用各種應(yīng)用安全加固技術(shù)和應(yīng)用到實(shí)際網(wǎng)絡(luò)環(huán)境中將業(yè)務(wù)系統(tǒng)建設(shè)成一個支持各級別用戶或用戶1、最大限度的控制網(wǎng)絡(luò)系統(tǒng)，加強(qiáng)邊界控制權(quán)限的建立，降低安全風(fēng)2、消除網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)本身存在的大量弱點(diǎn)和認(rèn)為操作或配置產(chǎn)生的與安全策略相違背的系統(tǒng)配置，減少者成功的可能；3、加強(qiáng)網(wǎng)絡(luò)系統(tǒng)行為的檢測和防御能力，有效來自外部的行為，同時也防止來自的操作行為；4、通過加固切實(shí)提高操作系統(tǒng)的安全級別，保證系統(tǒng)安全5、針對業(yè)務(wù)系統(tǒng)本身可能的應(yīng)用安全風(fēng)險(xiǎn)有針對性的進(jìn)行安全加固，防止應(yīng)用安全危害業(yè)務(wù)系統(tǒng)正常安全使用；、6、增強(qiáng)事后防御的措施，控制、保障業(yè)務(wù)系統(tǒng)的敏感信息信息、法繞過防御體系進(jìn)行信息竊取的行為；、7、加強(qiáng)業(yè)務(wù)系統(tǒng)被修改的能力，實(shí)現(xiàn)防止業(yè)務(wù)系統(tǒng)web界面被修方案設(shè)在業(yè)務(wù)系統(tǒng)脆弱性分析的基礎(chǔ)上，對網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面、數(shù)據(jù)層面進(jìn)行詳細(xì)的方案設(shè)計(jì)，對設(shè)計(jì)到的產(chǎn)品/子系統(tǒng)和技術(shù)，進(jìn)行詳細(xì)的闡述。加固方網(wǎng)絡(luò)層面的安全加固主要針對業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)層可能DOS/DDOS進(jìn)強(qiáng)化的防護(hù)，對于進(jìn)入網(wǎng)絡(luò)中的/木馬/蠕蟲進(jìn)行過濾和。因此本次應(yīng)用安全加固的安全建設(shè)中采用安全網(wǎng)關(guān)部署后與一期業(yè)務(wù)系統(tǒng)建設(shè)的形成異構(gòu)，實(shí)現(xiàn)出口加固，同時實(shí)現(xiàn)簡化組DOS/DDOS防護(hù)子系常見的DDOS方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood已發(fā)現(xiàn)的DOS程序有ICMPSmurfUDP反彈，而典型的DDOS程序有Zombie、TFN2K、Trinoo和Stacheldraht。DOS和DDOS會耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計(jì)算機(jī)網(wǎng)絡(luò)的IT部門承DOS、IP協(xié)議報(bào)文的DOS、TCP協(xié)議報(bào)文的DOS、基于HTTP協(xié)議的DOS等實(shí)現(xiàn)對網(wǎng)絡(luò)層應(yīng)用層的各類資源耗盡的服務(wù)的防護(hù)，實(shí)現(xiàn)L2-L7層的異常流量。防子系蠕蟲是對網(wǎng)絡(luò)的重大危害蠕蟲在爆發(fā)時將使路由器3層交換機(jī)、等網(wǎng)關(guān)設(shè)備性能急速下降，并且占用整個網(wǎng)絡(luò)帶寬。針對的風(fēng)險(xiǎn)，應(yīng)通過終端與網(wǎng)關(guān)相結(jié)合的方式以用戶終端控制加網(wǎng)絡(luò)防網(wǎng)關(guān)進(jìn)行綜合控制。重點(diǎn)是將消滅或封堵在終端這個上在廣域網(wǎng)出口及互聯(lián)網(wǎng)出口上部署網(wǎng)關(guān)防子系統(tǒng)，在網(wǎng)絡(luò)邊界對數(shù)據(jù)流進(jìn)行集中監(jiān)測和過濾控制，可以在一定程度上避免蠕蟲爆發(fā)時的大流量沖擊。防子系統(tǒng)提供先進(jìn)的防護(hù)功能可從對TTPPP3等協(xié)議流量中進(jìn)行查殺，也可查殺壓縮包（zip，ar，gzip等）中的。同時采用高效的流式掃描技術(shù)可大幅提升檢測效率避免防成為網(wǎng)絡(luò)全的瓶頸。防子系統(tǒng)的具有大容量庫，能夠查殺10萬種以上種。為了更有效地過濾網(wǎng)絡(luò)，除了特征碼識別、廣譜特征碼、啟發(fā)式掃描技術(shù)等幾種常見的檢測方法以外深信服NGAF還采用了多種先進(jìn)的新一代掃描引擎技術(shù)以巧妙而精確的算法保證在檢測大量時，仍然保持高速而準(zhǔn)確的檢測結(jié)果，脫殼技術(shù):對加殼的先進(jìn)行脫殼，然后再進(jìn)行檢測OLE分離技術(shù):宏掃描從Office文件中提取宏，根據(jù)已知的宏字符串對宏進(jìn)行檢測，并對宏中的代碼行為進(jìn)行分析，識別宏。壓縮格式檢測技術(shù):輕松查殺多種壓縮格式的，如ZIP、GZIP、RAR、ARJ、ARC、LZH、CAB、ZOO、TAR和 木馬、程序檢測技術(shù):針對網(wǎng)絡(luò)上流行的木馬、程序，深信服量時仍然保持高速而準(zhǔn)確的檢測結(jié)果。系統(tǒng)安全加固方系統(tǒng)安全層面的加固主要針對承載業(yè)務(wù)系統(tǒng)本身的各類服務(wù)器底層的操作系統(tǒng)進(jìn)行安全防護(hù)實(shí)現(xiàn)系統(tǒng)安全加固的目的。通過防御子系統(tǒng)在業(yè)務(wù)系統(tǒng)交換前形成“虛擬補(bǔ)丁”的防御體系，全面提升web應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、服務(wù)器區(qū)、DMZ區(qū)服務(wù)器操作系統(tǒng)安全防護(hù)能力。采用防御子系統(tǒng)形成“虛擬補(bǔ)丁”的防御體系可切實(shí)減少系統(tǒng)管理員服務(wù)器群的安全成本借助廠商強(qiáng)大的安全研究能力可以防“0”日的風(fēng)險(xiǎn)。防御子系，的行為和操作，有效防止操作和。同時防御子系統(tǒng)還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)的隱患。，，。。需要說明的是防御子系統(tǒng)是對的非常有必要的附加而不僅僅是簡單的補(bǔ)充防御子系統(tǒng)作為體系的第二道防線，對在系統(tǒng)阻斷失敗時，可以最大限度地減少相應(yīng)的損失防御子系統(tǒng)也可以與防火墻子系統(tǒng)等安全產(chǎn)品實(shí)現(xiàn)聯(lián)動縱深防御APT簡化管理員管理實(shí)現(xiàn)動態(tài)的安全。，。。防御子系統(tǒng) 侵者可尋找背后可能敞開的后門利用操作系統(tǒng)本身的輕易繞過防火的、協(xié)議異常、蠕蟲、木馬、后門、DoS/DDoS探測、掃描、、以及各類IPS逃逸等防御子系統(tǒng)融合多種應(yīng)用檢測方式，提升檢測的精度。檢測方6種檢測方式：特殊檢場景，配置針對性的策略，便于與管理。利用防御子系統(tǒng)可防護(hù)的服務(wù)器包含DDoS保DNSexploitfingerftpimapmysqlnetbiosnntporaclePop2Pop3RPCremoteservice codesmtpsnmpSQLservernettftpvoipfrontpageiisX11應(yīng)用安全加固方應(yīng)用層面的安全加固主要針對本次業(yè)務(wù)系統(tǒng)應(yīng)用安全建設(shè)中web應(yīng)用程序洞造成的SQL注入致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫和網(wǎng)頁文件被篡改或者被竊取的通過Web安全子系統(tǒng)部署于web服務(wù)器區(qū)交換前實(shí)現(xiàn)雙向內(nèi)容的檢測，針對HTTP協(xié)議的深入解析，精確識別出協(xié)議中的各種要素，如 、Get參數(shù)、Post表單等，并對這些數(shù)據(jù)進(jìn)行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，精確的檢測其是否包含內(nèi)容。Web安全子系統(tǒng)作為web客戶端與服務(wù)器請求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接在互聯(lián)網(wǎng)之上，采向內(nèi)容檢測技術(shù)可檢測過濾HTTP雙向交互的數(shù)據(jù)流包括response報(bào)文，對流量，以及服務(wù)器外發(fā)的有風(fēng)險(xiǎn)信息進(jìn)行實(shí)時的與過濾，防止web安全風(fēng)險(xiǎn)。Web安全子系Web安全子系統(tǒng)有效結(jié)合了web的靜態(tài)規(guī)則及基于過程的動態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測，提供OWASP定義的十大安全的防護(hù)能力，有效防止常見的web（如，SQL注入、XSS跨站、CSRF跨站請求）從而保護(hù)免受篡改、網(wǎng)頁掛馬、隱私、竊取、經(jīng)濟(jì)數(shù)據(jù)安全加固方，數(shù)據(jù)層面的安全加固主要為了應(yīng)對越來越先進(jìn)的和目的性和持續(xù)性很強(qiáng)的高級持續(xù)性（APT）等類似的高級。因?yàn)榘踩烙w系并不能達(dá)到100%的防御效果，通常采用這種方式的帶有明確的意圖和不達(dá)目的不休止的特點(diǎn)往往應(yīng)用先進(jìn)的繞過防御體系，從，本方案中采用防篡改子系統(tǒng)和信息泄漏防護(hù)子系統(tǒng)部署于服務(wù)器區(qū)交信息泄漏防護(hù)子系容進(jìn)行有效識別、并阻斷，防止大量敏感信息被。MD5加密號號敏感信息，如186、139等有特征的11位機(jī)號碼、18位號，有標(biāo)準(zhǔn)防篡改子系產(chǎn)品部署示方（根據(jù)實(shí)際情況選擇部署方案方案一：一站式應(yīng)用安全加固部署拓?fù)洚a(chǎn)品部署方深信服為XX單位提供針XX業(yè)務(wù)系統(tǒng)服務(wù)器集群完整的應(yīng)用安全加固安全解通過在服務(wù)器集群匯聚交換前雙機(jī)部署兩臺深信服下一代應(yīng)用NGAF，可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器的邏輯，防止來自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴(kuò)散。火墻NGAF的部署可以從從上幫助XX單位防護(hù)導(dǎo)致業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)NGAF提供的雙向內(nèi)容檢測的技術(shù)幫助用戶解決被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息的問題，實(shí)現(xiàn)防、防篡改、防泄密的效果。1、深信服下一代AF-8020雙機(jī)部署于交換前可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服2、通過子系統(tǒng)模塊的控制策略ACL可實(shí)現(xiàn)域劃分，阻導(dǎo)致的敏感信息跨區(qū)域的問題；3DDOS/DOS子系統(tǒng)功能模塊進(jìn)行網(wǎng)絡(luò)層面的安全加固，可以防止利用協(xié)議對服務(wù)器發(fā)起的服務(wù)使得服務(wù)器無法提供正常服務(wù)導(dǎo)致業(yè)4、通過防子系統(tǒng)功能模塊可實(shí)現(xiàn)各個安全域的流量功能，來自其他安全域的、木馬、蠕蟲，防止各區(qū)域進(jìn)行交叉；、、5、利用防御子系統(tǒng)功能模塊可實(shí)現(xiàn)對服務(wù)器集群操作系統(tǒng)（如：間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護(hù)，防止利用該類通過緩沖區(qū)溢出蠕蟲等應(yīng)用層獲取服務(wù)器權(quán)限、使服務(wù)器、、癱瘓導(dǎo)致服務(wù)器、等資源被的問題6、通過web安全子系統(tǒng)功能模塊的開啟，可實(shí)現(xiàn)對各個區(qū)域（尤其是DMZ利用業(yè)務(wù)代碼開發(fā)安全保障不利，使得系統(tǒng)可輕易通過web實(shí)現(xiàn)對web服務(wù)器、數(shù)據(jù)庫的造成數(shù)據(jù)庫信息被竊取的問題；息防止繞過防御體系竊取業(yè)務(wù)系統(tǒng)的敏感信息；8、通過防篡改子系統(tǒng)功能模塊的開啟，可防止利用各層面安全非化的，提高成本，可抑制APT的發(fā)生產(chǎn)品選序設(shè)備名描數(shù)單價（萬1深信服下一代防火NGAF型號：AF-（功能參數(shù)2總（萬元方案二：節(jié)點(diǎn)縱深防御應(yīng)用安全加固部署方拓?fù)洚a(chǎn)品部署方深信服為XX單位提供針XX業(yè)務(wù)系統(tǒng)服務(wù)器集群完整的應(yīng)用安全加固安全解下一代應(yīng)用NGAF，可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器、DMZ區(qū)域、辦公區(qū)域的邏輯web應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、服務(wù)器區(qū)操作系統(tǒng)安全防護(hù)能力。采用安全成本，借助廠商強(qiáng)大的安全研究能力可以防御“0”日的風(fēng)險(xiǎn)。應(yīng)用安全加固方案部署：通過在服務(wù)器集群匯聚/