網(wǎng)絡(luò)的飛速發(fā)展促進(jìn)了各行業(yè)的信息化建設(shè),近幾年來不少單位企業(yè)走過了不斷發(fā)展、完善的信息化歷程,現(xiàn)已擁有技術(shù)先進(jìn)、種類繁多的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng),構(gòu)成了一個(gè)配置多樣的綜合性網(wǎng)絡(luò)平臺。隨著互聯(lián)網(wǎng)的飛速發(fā)展,外部網(wǎng)絡(luò)安全日趨嚴(yán)重,面對業(yè)務(wù)系統(tǒng)的信息安全攻擊逐漸從網(wǎng)絡(luò)層向應(yīng)用層和系統(tǒng)層遷移。各類新型的黑客技術(shù)手段、計(jì)算機(jī)病毒、系統(tǒng)漏洞、應(yīng)用程序漏洞以及網(wǎng)絡(luò)中的不規(guī)范操作對單位業(yè)務(wù)系統(tǒng)均有可能造成嚴(yán)重的威脅。在給內(nèi)、外網(wǎng)用戶提供優(yōu)質(zhì)服務(wù)的同時(shí),也面臨著各類的應(yīng)用安全風(fēng)險(xiǎn)。
二、業(yè)務(wù)系統(tǒng)應(yīng)用安全加固需求分析
業(yè)務(wù)系統(tǒng)是整個(gè)業(yè)務(wù)的支撐,應(yīng)對業(yè)務(wù)系統(tǒng)進(jìn)行重點(diǎn)防護(hù),如果業(yè)務(wù)系統(tǒng)的訪問行為控制不利,非授權(quán)用戶可能竊取機(jī)密數(shù)據(jù)、刪除和修改業(yè)務(wù)數(shù)據(jù)、甚至植入病毒,引起系統(tǒng)中斷服務(wù)或癱瘓。同時(shí),如果不對日益猖獗的病毒問題進(jìn)行防御,有可能從外部或內(nèi)部其他區(qū)域引入病毒,影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。同時(shí),垃圾郵件的泛濫將阻礙業(yè)務(wù)的正常開展,同時(shí)可能引入注入病毒、木馬、釣魚攻擊等眾多的安全風(fēng)險(xiǎn)。最后,操作系統(tǒng)漏洞、業(yè)務(wù)系統(tǒng)漏洞、應(yīng)用軟件漏洞不斷被發(fā)現(xiàn),如果不重視業(yè)務(wù)系統(tǒng)日常的安全運(yùn)維,業(yè)務(wù)系統(tǒng)將可能由于安全漏洞的發(fā)現(xiàn)、由于缺乏及時(shí)的響應(yīng),而引入風(fēng)險(xiǎn)、造成破壞。
銘冠科技發(fā)現(xiàn),大部分的單位企業(yè)業(yè)務(wù)系統(tǒng)目前還存在以下幾個(gè)方面的問題:
1、業(yè)務(wù)系統(tǒng)與內(nèi)外網(wǎng)對接沒有實(shí)現(xiàn)有效的邊界訪問控制,無法界定用戶訪問是否為合法請求;
2、對于流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有有效的流量清洗的能力,無法識別流量是正常的訪問請求還是DOS/DDOS拒絕服務(wù)類的攻擊;
3、對于夾雜在數(shù)據(jù)流中的病毒、木馬、蠕蟲沒有良好的檢測能力,很難避免在業(yè)務(wù)交互過程中由于數(shù)據(jù)中包含病毒、木馬、蠕蟲等威脅對業(yè)務(wù)系統(tǒng)造成的危害;
4、服務(wù)器系統(tǒng)底層漏洞攻擊防護(hù)僅依靠時(shí)效性不強(qiáng)的手動補(bǔ)丁更新,缺乏有效的防護(hù)手段,尤其缺乏零日漏洞攻擊的防護(hù)能力;
5、流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有應(yīng)用層攻擊(如web攻擊)的檢測能力,難以保證業(yè)務(wù)系統(tǒng)Web應(yīng)用程序以及后臺數(shù)據(jù)庫不被攻擊;
三、業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案
銘冠科技為單位企業(yè)提供針業(yè)務(wù)系統(tǒng)服務(wù)器集群完整的應(yīng)用安全加固安全解決方案。
通過在服務(wù)器集群匯聚交換前雙機(jī)部署一臺或兩臺深信服下一代應(yīng)用防火墻NGAF,可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器的邏輯隔離,防止來自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴(kuò)散。
建設(shè)采用業(yè)務(wù)系統(tǒng)一站式應(yīng)用安全加固部署方案,通過深信服下一代防火墻NGAF的部署可以從從攻擊源頭上幫助單位企業(yè)防護(hù)導(dǎo)致業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)內(nèi)業(yè)務(wù)各類網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)層面的安全威脅;同時(shí)深信服下一代防火墻NGAF提供的雙向內(nèi)容檢測的技術(shù)幫助用戶解決攻擊被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息泄露的問題,實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。
1、深信服下一代防火墻AF雙機(jī)部署于核心交換前可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)一站式整體安全防護(hù);
2、通過防火墻子系統(tǒng)模塊的訪問控制策略ACL可實(shí)現(xiàn)網(wǎng)絡(luò)安全域劃分,阻斷各個(gè)區(qū)域間的網(wǎng)絡(luò)通信,防止威脅擴(kuò)散,防止訪問控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問題;
3、通過DDOS/DOS子系統(tǒng)功能模塊進(jìn)行網(wǎng)絡(luò)層面的安全加固,可以防止利用協(xié)議漏洞對服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù),導(dǎo)致業(yè)務(wù)中斷等問題;
4、通過防病毒子系統(tǒng)功能模塊可實(shí)現(xiàn)各個(gè)安全域的流量清洗功能,清洗來自其他安全域的病毒、木馬、蠕蟲,防止各區(qū)域進(jìn)行交叉感染;
5、利用入侵防御子系統(tǒng)功能模塊可實(shí)現(xiàn)對服務(wù)器集群操作系統(tǒng)漏洞(如:winserver2003、linux、unix等)、應(yīng)用程序漏洞(IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等)的防護(hù),防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲等資源被攻擊的問題;
6、通過web安全子系統(tǒng)功能模塊的開啟,可實(shí)現(xiàn)對各個(gè)區(qū)域(尤其是DMZ區(qū))的web服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護(hù)。防止黑客利用業(yè)務(wù)代碼開發(fā)安全保障不利,使得系統(tǒng)可輕易通過web攻擊實(shí)現(xiàn)對web服務(wù)器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題;
7、通過信息泄漏防護(hù)子系統(tǒng)功能模塊的開啟,可自定義業(yè)務(wù)系統(tǒng)的敏感信息防止黑客繞過防御體系竊取業(yè)務(wù)系統(tǒng)的敏感信息;
8、通過防篡改子系統(tǒng)功能模塊的開啟,可防止黑客利用各層面安全漏洞非法篡改業(yè)務(wù)系統(tǒng)合法界面,防止被篡改界面發(fā)布于眾;
9、通過風(fēng)險(xiǎn)評估子系統(tǒng)模塊的啟用對服務(wù)器集群進(jìn)行安全體檢,通過一鍵策略部署的功能開啟入侵防御子系統(tǒng)模塊、web安全子系統(tǒng)模塊的對應(yīng)策略,可幫助管理員的實(shí)現(xiàn)針對性的策略配置。
10、通過智能聯(lián)動模塊的應(yīng)用,可形成防火墻子系統(tǒng)功能模塊、入侵防御子系統(tǒng)功能模塊、web安全子系統(tǒng)功能模塊的智能聯(lián)動,有效的防止工具型、自動化的黑客攻擊,提高攻擊成本,可抑制APT攻擊的發(fā)生。