網絡信息化安全方案
責編:admin |2015-02-09 14:53:24某單位雜志社網絡安全建設報告
一、項目背景
某單位雜志社門戶網站中國畜牧獸醫信息網www.cav.net.cn為全國群眾提供有關畜牧方面的各類技術支持以及相關法律法規的宣傳工作,對我國畜牧業的發展起著非常重要的意義。
目前某單位雜志社機房,放置了一臺對外發布的Web服務器,主要向因特網外網區域提供服務,所以面臨來自外網繁雜的安全威脅,作為國家畜牧技術及信息的門戶網站,其安全保障意義重大。
二、現狀分析
2.1 現網安全分析
某單位雜志社網站的對外發布的Web服務器位于某單位的總機房內,并直接連接到路由器,具有兩條網絡鏈路出口,一條為直接連接互聯網,一條為2M的專線連接到農業部總局。
圖1某單位雜志社網絡現狀
由于Web服務器前端缺乏網絡安全設備的防護,導致目前中國畜牧獸醫信息網經常遭到黑客的攻擊,比如網頁的篡改、網頁掛馬、甚至導致網絡用戶無法正常訪問網站的現狀,嚴重影響了某單位的形象以及日常工作的正常進行。由于安全防護的不足,必須要求網管運維人員頻繁對網站進行監督以及對攻擊的破壞行為進行及時修改,在很大程度上造成了管理人員的工作壓力。
2.2 現網安全威脅
面對現網防護能力不足的情況,主要會導致以下安全威脅:
1、網頁篡改問題
網頁篡改是指攻擊者利用Web應用程序漏洞將正常的Web網頁替換為攻擊者提供的網頁/文字/圖片等內容。一般來說網頁的篡改對計算機系統本身不會產生直接的影響,但對于重要的Web業務,需要與用戶通過Web業務進行溝通的應用而言,就意味著Web業務將被迫停止服務,對某單位雜志社的經濟利益、企業形象及信譽會造成嚴重的損害。
2、網頁掛馬問題
網頁掛馬也是利用Web攻擊造成的一種網頁篡改的安全問題,相對而言這種問題會比較隱蔽,但本質上這種方式也破壞了網頁的完整性。網頁掛馬會導致Web業務的最終用戶成為受害者,成為攻擊者的幫兇或者造成自身的經濟損失。這種問題出現在Web業務中也嚴重影響某單位雜志社的正常運作并影響到公司的公信度。
3、漏洞利用攻擊
利用web服務器、數據庫服務器、中間件服務器等網站服務器本身應用程序、操作系統、應用軟件的漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊,可造成使黑客獲取更高的服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題。
4、敏感信息泄漏問題
這類安全問題主要web攻擊、系統漏洞攻擊等攻擊手段操作后臺數據庫,導致數據庫中儲存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯系方式等敏感信息被攻擊者獲取。這對于承載多種Web業務而言是致命的打擊,可產生巨大的經濟損失。
5、無法響應正常服務的問題
黑客通過DOS/DDOS拒絕服務攻擊使WEB服務器無法響應正常請求。這種攻擊行為使得Web服務器充斥大量要求回復的信息,嚴重消耗網絡系統資源,導致Web業務無法響應正常的服務請求。對于Web業務而言是巨大的威脅。
為了防止網站及服務器遭到攻擊及破壞,我們急需建立一個安全的網絡環境以保證網站的正常訪問和降低網管人員的工作壓力。
三、解決方案
3.1 建議方案
通過對某單位雜志社網絡的綜合分析,保證業務的正常進行,現需要在Web服務器前增加一臺深信服防火墻來保證整個網絡的安全要求。如圖2所示。
3.2 方案價值
深信服下一代防火墻部署在服務器前端,避免了服務器遭受黑客的各種攻擊,防止了網頁篡改、網頁掛馬、系統癱瘓等威脅,有效的降低了網管人員的工作壓力。
其具體價值點表現為:
1. 全面的防護能力
下一代應用防火墻并不等同于傳統設備功能的疊加,而是智能的融合了傳統防火墻、系統漏洞入侵防護、web應用漏洞防護、網關病毒查殺、APT攻擊檢測和防護等多種安全功能,并且實現了多個安全模塊之間的智能聯動以及全模塊開啟高性能的特點,保證業務系統的高可靠性。
2.便捷的網絡管理
設計方案采用了目前安全系統通用的、成熟的架構設計方案,一體化的安全設備更易于用戶的管理和運維,大大提升了工作效率。
3.高可用性
產品已在市場上長期使用,不存在較難解決的新設備、新技術帶來的技術難點,廠家、代理商、集成商的技術人員基本都可以調試配置,一旦硬件損壞也有替換產品進行快速替換。
4.易延展性
當前服務器只作為Web網站系統的平臺,后期如有業務增加需求,比如郵箱服務、數據存儲等業務,深信服下一代防火墻可對其進行全面的防護,保證各類業務的正常進行。
四、設備功能詳解
4.1下一代防火墻安全防護
在Web服務器前端部署深信服下一代防火墻設備。提供L2-7層的防護,全面應對來自應用層的各種威脅攻擊
4.2全面的應用安全防護能力
深信服下一代防火墻,是面向應用層設計,能精確識別用戶、應用和內容、具備完整的安全防護能力,是國內唯一同時融合FW、IPS、WAF、AV功能并能智能聯動的L2-L7層一體化安全防護產品。
4.3基于應用的深度入侵防御
深信服下一代防火墻的灰度威脅關聯分析引擎具備4800+條漏洞特征庫、2500+We應用威脅特征庫,可以全面識別各種應用層和內容級別的單一安全威脅;圍繞“深層防御、精確阻斷”這個核心,通過對網絡中深層攻擊行為進行準確的分析判斷,在判定為攻擊行為后立即予以阻斷,主動而有效的保護網絡的安全, 可以對網絡蠕蟲、間諜軟件、溢出攻擊、數據庫攻擊等多種深層攻擊行為進行主動阻斷。另外,深信服憑借在應用層領域6年以上的技術積累,組建了專業的安全攻防團隊,可以為用戶定期提供最新的威脅特征庫更新,以確保防御的及時性。
4.4強化的WEB攻擊防護
深信服下一代防火墻能夠有效防護OWASP組織提出的10大web安全威脅的主要攻擊,并于2013年1月獲得了OWASP組織頒發的產品安全功能測試4星評級證書(最高評級為5星,深信服下一代防火墻為國內同類產品評分最高),防SQL注入攻擊、XSS跨站腳本攻擊、CSRF攻擊、主動防御技術(自動建模,防0-DAY攻擊)、應用信息隱藏、URL防護、弱口令防護、HTTP異常檢測、文件上傳過濾、用戶登陸權限防護,對Web登陸方式、非Web登陸方式(telnet、irc、ldap、mysql、pop3、RDP等)進行強化保護,提供登陸前短信動態口令認證功能,黑客即使成功獲取管理員賬戶口令,因無法獲取動態驗證口令,也無法完成對目標系統的訪問,從而杜絕賬戶盜用、非授權訪問等風險。
4.5完整的終端安全保護
病毒防護,深信服下一代防火墻提供基于終端的病毒防護功能,從源頭對HTTP、FTP、SMTP、POP3等協議流量中進行病毒查殺,亦可查殺壓縮包(zip,rar等)中的病毒。
基于終端的漏洞防護,內網終端仍然存在漏洞被利用的問題,多數傳統安全設備僅僅提供基于服務器的漏洞防護,對于終端漏洞的利用視而不見。深信服下一代防火墻同時提供基于終端的漏洞保護能防護如:后門程序預防、協議脆弱性保護、exploit保護、網絡共享服務保護、shellcode預防、間諜程序預防等基于終端的漏洞防護,有效防止了終端漏洞被利用而成為黑客攻擊的跳板。
僵尸網絡檢測,僵尸網絡是指采用一種或多種傳播手段,將大量主機感染bot程序(僵尸程序),從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。黑客控制的這些計算機所保存的信息也都可被黑客隨意“取用”。因此,不論是對網絡安全運行還是用戶數據安全的保護來說,僵尸網絡都是極具威脅的隱患。深信服下一代防火墻提供業界最大的僵尸網絡特征庫,能夠通過檢測服務器和終端外發流量的異常的特征,來判斷外發的流量是否存在威脅,是否成為僵尸網絡的一部分,可以解決長期被動利用和新型病毒木馬導致的惡意流量外發的問題。
4.6獨特的雙向內容檢測技術
網關型網頁防篡改,網頁防篡改是深信服下一代防火墻服務器防護中的一個子模塊,其設計目的在于提供的一種事后補償防護手段,即使黑客繞過安全防御體系修改了網站內容,其修改的內容也不會發布到最終用戶處,從而避免因網站內容被篡改給組織單位造成的形象破壞、經濟損失等問題
深信服下一代防火墻提供可定義的敏感信息防泄漏功能,根據儲存的數據內容可根據其特征清晰定義,通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內容進行有效識別、報警并阻斷,防止大量敏感信息被非法泄露。
4.7智能的網絡安全防御體系
安全風險評估與策略聯動,深信服下一代防火墻基于時間周期的安全防護設計提供事前風險評估及策略聯動的功能。通過端口、服務、應用掃描幫助用戶及時發現端口、服務及漏洞風險,并通過模塊間的智能策略聯動及時更新對應的安全風險的安全防護策略。幫助用戶快速診斷電子商務平臺中各個節點的安全漏洞問題,并做出有針對性的防護策略。
智能的防護模塊聯動,智能的主動防御技術可實現深信服下一代防火墻內部各個模塊之間形成智能的策略聯動,如一個IP/用戶持續向內網服務器發起各類攻擊則可通過防火墻策略暫時阻斷IP/用戶。智能防護體系的建立可有效的防止工具型、自動化的黑客攻擊,提高攻擊成本,可抑制APT攻擊的發生。同時也使得管理員維護變得更為簡單,可實現無網管的自動化安全管理。
4.8更高效的應用層處理能力
為了實現強勁的應用層處理能力,深信服下一代防火墻拋棄了傳統防火墻NP、ASIC等適合執行網絡層重復計算工作的硬件設計,采用了更加適合應用層靈活計算能力的多核并行處理技術;在系統架構上,深信服下一代防火墻也放棄了UTM多引擎,多次解析的架構,而采用了更為先進的一體化單次解析引擎,將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統一進行檢測匹配,從而提升了工作效率,實現了萬兆級的應用安全防護能力
五、建議設備型號
根據中國畜牧獸醫信息網的數據統計,目前每天的訪問量大約為2000人左右,同時在線人數為20~30人,考慮到后期擴容,人數可能發展到70~80人。
依此選擇型號為:AF-1520