網絡的飛速發展促進了各行業的信息化建設,近幾年來不少單位企業走過了不斷發展、完善的信息化歷程,現已擁有技術*、種類繁多的網絡設備和應用系統,構成了一個配置多樣的綜合性網絡平臺。隨著互聯網的飛速發展,外部網絡安全日趨嚴重,面對業務系統的信息安全攻擊逐漸從網絡層向應用層和系統層遷移。各類新型的技術手段、計算機病毒、系統漏洞、應用程序漏洞以及網絡中的不規范操作對單位業務系統均有可能造成嚴重的威脅。在給內、外網用戶提供優質服務的同時,也面臨著各類的應用安全風險。
業務系統應用安全加固需求分析
業務系統是整個業務的支撐,應對業務系統進行重點防護,如果業務系統的訪問行為控制不利,非用戶可能竊取機密數據、刪除和修改業務數據、甚至植入病毒,引起系統中斷服務或癱瘓。同時,如果不對日益猖獗的病毒問題進行防御,有可能從外部或內部其他區域引入病毒,影響業務系統的正常運行。同時,垃圾郵件的泛濫將阻礙業務的正常開展,同時可能引入注入病毒、木馬、釣魚攻擊等眾多的安全風險。操作系統漏洞、業務系統漏洞、應用軟件漏洞不斷被發現,如果不重視業務系統日常的安全運維,業務系統將可能由于安全漏洞的發現、由于缺乏及時的響應,而引入風險、造成破壞。
易云科技發現,大部分的單位企業業務系統目前還存在以下幾個方面的問題:
1、業務系統與內外網對接沒有實現有效的邊界訪問控制,無法界定用戶訪問是否為合法請求;
2、對于流經業務系統的數據沒有有效的流量清洗的能力,無法識別流量是正常的訪問請求還是DOS/DDOS拒絕服務類的攻擊;
3、對于夾雜在數據流中的病毒、木馬、蠕蟲沒有良好的檢測能力,很難避免在業務交互過程中由于數據中包含病毒、木馬、蠕蟲等威脅對業務系統造成的危害;
4、服務器系統底層漏洞攻擊防護僅依靠時效性不強的手動補丁更新,缺乏有效的防護手段,尤其缺乏零日漏洞攻擊的防護能力;
5、流經業務系統的數據沒有應用層攻擊(如web攻擊)的檢測能力,難以保證業務系統Web應用程序以及后臺數據庫不被攻擊;
業務系統應用安全加固解決方案
易云科技為單位企業提供針業務系統服務器集群完整的應用安全加固安方案。
通過在服務器集群匯聚交換前雙機部署一臺或兩臺深信服下一代應用防火墻NGAF,可實現業務系統服務器的邏輯隔離,防止來自網絡層面、系統層面、應用層面以及數據層面的安全威脅在業務系統數據中心各區域內擴散。
建設采用業務系統一站式應用安全加固部署方案,通過深信服下一代防火墻NGAF的部署可以從從攻擊源頭上幫助單位企業防護導致業務系統服務器區內業務各類網絡、系統、應用、數據層面的安全威脅;同時深信服下一代防火墻NGAF提供的雙向內容檢測的技術幫助用戶解決攻擊被繞過后產生的網頁篡改、敏感信息泄露的問題,實現防攻擊、防篡改、防的效果。
1、深信服下一代防火墻AF雙機部署于核心交換前可實現業務系統服務器區一站式整體安全防護;
2、通過防火墻子系統模塊的訪問控制策略ACL可實現網絡安全域劃分,阻斷各個區域間的網絡通信,防止威脅擴散,防止訪問控制權限不當、系統誤配置導致的敏感信息跨區域傳播的問題;
3、通過DDOS/DOS子系統功能模塊進行網絡層面的安全加固,可以防止利用協議漏洞對服務器發起的拒絕服務攻擊使得服務器無法提供正常服務,導致業務中斷等問題;
4、通過防病毒子系統功能模塊可實現各個安全域的流量清洗功能,清洗來自其他安全域的病毒、木馬、蠕蟲,防止各區域進行交叉感染;
5、利用入侵防御子系統功能模塊可實現對服務器集群操作系統漏洞(如:winserver2003、linux、unix等)、應用程序漏洞(IIS服務器、Apache服務器、中間件weblogic、數據庫oracle、MSSQL、MySQL等)的防護,防止利用該類漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題;
6、通過web安全子系統功能模塊的開啟,可實現對各個區域(尤其是DMZ區)的web服務器、數據庫服務器、FTP服務器等服務器的安全防護。防止利用業務代碼開發安全保障不利,使得系統可輕易通過web攻擊實現對web服務器、數據庫的攻擊造成數據庫信息被竊取的問題;
7、通過信息泄漏防護子系統功能模塊的開啟,可自定義業務系統的敏感信息防止繞過防御體系竊取業務系統的敏感信息;
8、通過防篡改子系統功能模塊的開啟,可防止利用各層面安全漏洞非法篡改業務系統合法界面,防止被篡改界面發布于眾;
9、通過風險評估子系統模塊的啟用對服務器集群進行安全體檢,通過一鍵策略部署的功能開啟入侵防御子系統模塊、web安全子系統模塊的對應策略,可幫助管理員的實現針對性的策略配置。
10、通過智能聯動模塊的應用,可形成防火墻子系統功能模塊、入侵防御子系統功能模塊、web安全子系統功能模塊的智能聯動,有效的防止工具型、自動化的攻擊,提高攻擊成本,可抑制APT攻擊的發生。
