1、XXXX 业务网网络信息安全加固项目案例介绍一、 概述随着信息化技术的深入和互联网的迅速发展,整个世界正在迅速地融为一体,IT 系统已经成为 XXX 整合、共享内部资源的核心平台,同时,随着 XXX 经营理念的不断深化,利用各种各样的业务平台来为 XXX 提供更多的增值业务服务的情况越来越多,因此 IT 系统及各种各样的业务平台在 XXX 系统内的地位越来越重要,更为 XXX 提供的新业务利润增长做出了不可磨灭的贡献。伴随着网络的发展,也产生了各种各样的安全风险和威胁,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDOS 攻击越来越常见、 WEB 应用安全事件层出不穷、 ,黑客攻击行为几
2、乎每时每刻都在发生,而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化,所有这些风险防范及安全审查工作极大的困扰着 XXX 运维人员,能否及时发现网络黑客的入侵,有效地检测出网络中的异常流量,并同时在“事前” 、 “事中”及“事后”都能主动协助 XXX 完成自身信息安全体系的建设以及满足上级部门审查规范,已成为XXX 运维人员所面临的一个重要问题。本方案针对 XXXX 公司业务平台的安全现状进行分析,并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作,从安全技术体系建设的角度给出详细的产品及服务解决方案。二、 网络现状及风险分析2.1 网络现状X X X X
3、X XX X XP o r t a l 服务器 数据库服务器 日志服务器 管理服务器P o r t a l 服务器 数据库服务器 日志服务器 管理服务器P o r t a l 服务器 数据库服务器 日志服务器 管理服务器 业务平台服务器 数据库服务器 日志服务器 管理服务器 业务平台服务器 数据库服务器 日志服务器 管理服务器X X X XX X X XX X X XX X X X X业务平台拓扑图XXXX 公司业务平台网络共有包括 XXX、XXX、XXX 平台等四十余个业务系统, (因涉及客户信息,整体网络架构详述略)业务平台内部根据业务种类的不同,分别部署有数据库、报表、日志等相应业务系统
4、服务器。2.2 风险及威胁分析根据上述网络架构进行分析,我们认为该业务平台存在如下安全隐患:1. 随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯 XX 的已经无法满足信息安全防护的需要,部署了XX 的安全保障体系仍需要进一步完善,防火墙系统的不足主要有以下几个方面(略)2. 当前网络不具备针对 X 攻击专项的检测及防护能力。 (略)3. 对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。4. 当前 XX 业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有效监控技术手段,因此对正常网络访问行为导致的信息泄密
5、事件、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。5. 随着 XX 业务平台自有门户网站的建设,Web 应用已经为最普遍的信息展示和业务管理的接入方式和技术手段,正因为空前的流行,致使 75%以上的攻击都瞄准了网站 Web 应用。这些攻击可能导致 XXX 遭受声誉和经济损失,可能造成恶劣的社会影响。当前增值业务平台主要面对如下 WEB 应用方面的风险和威胁:1) 防火墙在阻止 Web 应用攻击时能力不足,无法检测及阻断隐藏在正常访问流量内的 WEB 应用层攻击;2) 对于已经上线运行的网站,用简单的方法修补漏洞需要付出过高的代价;3) 面对集团对于 WEB 应用
6、安全方面的的“合规检查”的压力。6. 随着信息安全的发展,XXXX 集团在信息安全领域的管理制度也愈加规范和细化,在网络、系统、应用等多方面提出了相应的安全要求、检查细项及考核办法,并已将信息安全工作纳入到日常运维工作中去。在近期发布的XXXXX 平台安全管理办法(试行) 、 XXXX 新建业务平台安全验收指引(试行) 等管理规范中,明确说明了增值业务平台需要建设 XXXX 系统、XXXX 系统对业务平台网络边界进行防护,另外亦需要对系统漏洞、数据库漏洞、WEB 应用等方面提供安全防护。由此可见,业务平台当前缺乏相应的整体的安全监测及防护手段,无法满足上级主管部门的管理要求。2.3 信息安全形
7、势分析1. 系统漏洞仍旧是 XXX 网络面临的安全风险之一。据国家信息安全漏洞共享平台(CNVD)收录的漏洞统计,2011 年发现涉及电信运营企业网络设备(如路由器、交换机等)的漏洞 203 个,其中高危漏洞 73 个;发现直接面向公众服务的零日 DNS 漏洞 23 个 , 应用广泛的域名解析服务器软件 Bind9 漏洞 7 个。2. 拒绝服务攻击对 XXX 业务运营造成较大损害及破坏企业形象,2011 年发生的分布式拒绝服务攻击(DDoS)事件中平均约有 7%的事件涉及到基础电信运营企业的域名系统或服务。 2011 年 7 月域名注册服务机构 XXXX 的 DNS 服务器遭受 DDoS 攻击
8、,导致其负责解析的域名在部分地区无法解析。 2011 年 8 月,某 XXXDNS 服务器也连续两次遭到拒绝服务攻击,造成局部用户无法正常使用互联网。3. 网站安全事件层出不穷,黑客利用 SQL 注入、XSS 脚本攻击等工具和技术手段进行网页篡改及信息窃取以非法获利,造成较大社会影响。在 CNCERT 接收的网络安全事件(不含漏洞)中,网站安全类事件占到 61.7%;境内被篡改网站数量为 36612 个,较2010 年增加 5.1%;4 月-12 月被植入网站后门的境内网站为 12513 个。4. 受控僵尸主机数目有增无减,黑客利用受控主机进行信息窃取、跳板类攻击等现象逐步增多。据抽样检测表明
9、,2011 年境外有近 4.7 万个 IP 地址作为木马或僵尸网络控制服务器参与控制我国境内主机,其控制的境内主机数量由 2010 年的近 500 万增加至近 890 万,呈现大规模化扩散趋势。2.4 XXX 安全事件1. 系统及主机漏洞利用类: XX 网相册漏洞利用:X 网相册存在上传漏洞,被国家安全人员上传恶意文件获取系统 root 权限,该事件曾上报至副总理及政治局常委处,影响程度深、影响范围广; 充值系统漏洞利用:某黑客组织利用 XXX 充值卡系统漏洞,使用网络渗透手段、黑客工具等方法计算出充值卡号进行出售,造成未售出的充值卡已被充值使用或手机免费充值的情况; 话费系统漏洞利用:利用系
10、统漏洞入侵话费系统,篡改话费信息; 网厅、积分商城 WEB 应用漏洞攻击:利用网站漏洞入侵 XXX 网站,获取客户信息、冒充客户进行业务订阅或修改客户积分,达到非法获利的目的。2. 木马及病毒传播类:内部办公主机被控:某 XXX 被发现其内部计算机被境外人员通过木马方式控制,同时该计算机向内部网络扩散蠕虫病毒,可窃取计算机硬盘文件、重要账号等关键数据。3. 网页篡改类:XXXX 网站曾多次发现主页被篡改,植入广告及其他恶意内容,使其变成非法信息传播的平台,影响企业形象,并对业务平台运行带来安全隐患。4. 分布式拒绝服务(DDoS)攻击类:XX 网站曾发现遭受 DDoS 拒绝服务攻击,造成其视频
11、业务受损,客户反响强烈。三、 安全解决方案随着 XX 业务平台提供的服务不断增加,IT 架构与系统也变得更复杂,安全体系也应随需而变。在多年不断研究和实践的基础上,我们提出了全新的安全体系框架。安全体系为安全战略服务,我们设计的安全体系包含安全组织体系、安全管理体系、安全技术体系。 在安全组织体系中,要建立组织、明确职责、提高人员安全技能、重视雇用期间的安全、要与绩效结合; 在安全管理体系中,以安全策略为主线,落实安全制度和流程,对记录存档。我们从最佳安全实践出发,将安全管理体系中的过程动态化、持续化,包含风险评估程序、安全工作计划、安全项目管理、运行维护监控、安全审计程序、持续改进计划等,真
12、正与 XXX 增值业务平台安全建设和安全保障过程结合起来; 在安全技术体系中,将多种安全技术相结合,包含准备、预防、检测、保护、响应、监控、评价等。面对不断出现的新兴威胁,需要多种安全技术的协调与融合。安全体系像是企业/组织的免疫系统,体系的不断完善、组织/人员的尽职尽责、全员的风险预警意识,才能真正做到主动管理风险。针对业务平台存在的种种安全风险及威胁的现状,我们提出如下解决方案: 从安全技术体系角度出发,建立起运维审计管理体系和安全检测及防护体系,利用“预警、检测、防护、响应”的风险管理安全方法,指导业务平台系统完成安全技术体系的建设。 从安全组织体系和安全管理体系角度出发,建立起完善的组
13、织架构、管理办法以及工作计划,根据 PDCA 流程的管理要求,完善业务平台安全管理体系和组织体系的建设和优化。3.1 安全运维管理及审计体系安全运维管理及审计体系主要面对上级主管部门要求的周期性主动安全检查工作和内网安全审计两方面工作内容,从事前预防和事后审计两个角度实现安全运维工作计划和安全管理规范的落地。 在“事前”阶段,对各业务平台系统配置规范、自身漏洞管理两个方面提供相应检查的技术手段,避免由于配置不规范或漏洞存在而被恶意利用的风险,同时满足上级单位对于基线安全达标的规范要求; 在“事后”阶段,对各业务系统运维行为、数据库操作行为、第三方人员网络应用行为进行安全审计,全面记录网络系统中
14、的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为事后追查及整体网络安全策略的制定提供权威可靠的支持,同时满足上级单位对于安全审计方面的规范要求。3.2 安全检测及防护体系 安全检测及防护体系主要面对业务系统当前存在的风险和威胁,完成“事中”阶段业务系统被动安全检测及防护的工作内容,主要包括以下几方面内容: 骨干层网络 XXXX 系统的建设,对由外部网络向内部业务系统的网络入侵行为实现实时监测,为后续防护策略细粒度的制定及安全事件应急处理给出准确的指导意见; 各业务平台内部入侵防护系统建设,对内部各业务系统之间的网络入侵、蠕虫病毒、木马等方面进行实时监测及防护,实现各
15、业务系统内部信息安全防护; 针对已部署 Portal 门户服务器,可对外提供 WEB 应用服务的业务系统实现专项WEB 应用安全防护。3.3 安全技术体系整体建设方案根据当前安全形势、上级单位的管理要求及网络现状的分析,我们提出如下整体安全建设方案,主要关注安全运维管理及审计体系建设及安全检测机防护体系建设两个方面的内容,以满足前文所述的“事前” 、 “事中” 、 “事后”的全周期整体网络安全防护需求。X X XX X XP o r t a l 服务器 日志服务器管理服务器统计服务器数据库服务器WAFW E B 应用防火墙RSAS BVS NIDS ADS 组网交换机组网交换机WAFW E B
16、 应用防火墙X X XNIPS 入侵防护系统NIPS 骨干层P o r t a l 服务器 日志服务器管理服务器统计服务器数据库服务器WAFW E B 应用防火墙SAS 安全审计系统组网交换机组网交换机WAFW E B 应用防火墙日志服务器管理服务器统计服务器数据库服务器SAS 安全审计系统组网交换机组网交换机NIP 入侵防护系统NIPS 入侵防护系统 X X 平台 X X 平台 其他平台汇聚交换机汇聚交换机安全产品整体部署示意图3.3.1 安全运维管理及审计体系建设3.3.1.1 安全运维管理体系针对增值业务平台整体平面提供安全运维管理的技术手段,在骨干层汇聚交换机处部署远程安全评估系统和配
17、置核查系统,在保证 IP 可达的前提条件下,实现对网络中各服务器、网络设备、终端进行漏洞管理和配置规范检查的工作,在业务系统上线之前或日常运维过程中,提前发现系统内存在的配置错误或系统漏洞,避免网络存在可供利用的安全隐患,满足上级单位文提出的基线达标的技术要求以及实现新业务系统上线安全验收标准的落实。3.3.1.2 安全审计体系针对各增值业务平台分别提供细粒度的安全审计技术手段,在各业务平台内部组网交换机处,利用流量镜像方式将网络流量发送到安全审计设备处,安全审计设备完成包括数据库操作行为、第三方人员网络应用行为等在内的常见内网应用进行检测、记录及告警上报的工作,满足上级单位安全管理规范中对安
18、全审计方面的具体要求。3.3.2 安全检测及防护体系建设3.3.2.1 骨干层安全检测及防护体系 在骨干层部署入侵检测系统,对缓冲区溢出、SQL 注入、暴力猜测、 DDoS 攻击、扫描探测等常见外网恶意入侵行为进行检测及上报,满足上级单位对于边界防护的具体技术要求; 在骨干层核心交换机处旁路部署抗拒绝服务攻击产品,针对当前常见的 SYN FLOOD、UDP FLOOD、ICMP FLOOD、CC 、HTTP GET 等常见链路带宽型、资源耗尽型和应用层 DDoS 攻击实现专项防护,保护应用系统正在运行的安全。3.3.2.2 各业务系统细粒度安全检测及防护体系 在部署有 Web 应用服务器的业务
19、系统内部,串联透明部署 Web 防火墙系统,实现对 Web 应用服务器的贴身式安全防护,有效阻止恶意人员通过 SQL 注入、XSS脚本、CSRF 等等常见的 WEB 应用攻击手段来获取系统权限、窃取机密信息、传播木马病毒等行为; 对于存在内部信息交互需求的业务系统之间,通过串联方式部署入侵防护系统,提供细粒度的内网入侵检测及防护能力,解决当前面临的对于例如内网蠕虫爆发、木马传播等安全事件缺乏有效检测手段的安全隐患。3.4 本期项目建设建议方案根据上级单位管理规范要求、当前信息安全形势以及业务平台当前安全风险及事件的分析,结合我们在安全技术体系建设的研究经验,建议本期项目完成如下工作内容: 为了
20、实现系统对网络恶意入侵、端口扫描、内网病毒等攻击进行实时监测及上报的功能,本期建议部署入侵检测系统。 为了解决当前常见的大流量 DDoS 拒绝服务攻击的安全问题,保障业务平台持续、稳定的提供服务,本期建议部署 DDoS 拒绝服务攻击专项防护系统。 为了实现针对 WEB 应用常见的类似 SQL 注入、XSS 跨站脚本等攻击手段进行实时防护的功能,本期建议部署 WEB 应用防护系统。3.4.1 安全产品部署拓扑图日志 管理X X组网交换机X XX XX X 2日志 日志日志 管理数据库 日志 管理日志 管理X X翼校通X XX XX X组网交换机 组网交换机组网交换机组网交换机组网交换机流量清洗系
21、统入侵检测系统NIDS W e b 应用防护系统 - 1W e b 应用防护系统 - 2. . . . .安全产品部署示意图 本期项目在 XX 交换机与 XX、XX、XX 网络间新增入侵检测系统一套。首先需将原有业务链路按比例进行分光放大,然后接入入侵检测系统中,从增值业务平台整体角度对安全威胁进行实时监控及检测上报。 本期项目在 XX 交换机处新增流量清洗系统一套,通过旁路部署方式接入至网络中,规避单点故障引入的安全风险。当检测到 DDoS 拒绝服务攻击时,利用流量清洗系统内置的专业检测及处理模块,在增值业务平台整体汇聚层面上即完成 DDoS拒绝服务攻击流量的清洗工作,避免攻击流量传递到各平
22、台内部,保障增值业务平台系统所承载的业务免受 DDoS 拒绝服务攻击所影响。 本期项目在 XX 和 XX 汇聚交换机之间新建两套 Web 应用防护系统,通过 Bypass光交换机透明串联部署在网络中,针对增值业务平台中提供 Web 应用服务的平台提供专项安全防护。既满足了业务平台整体 WEB 应用安全防护的需求,同时通过光路 Bypass 功能也规避了串联安全防护设备所面临的单点故障引入的安全风险。3.4.2 信号流程 入侵检测信号流 将网络流量通过分光方式传送到入侵检测系统,完成包括应用层漏洞攻击、缓冲区溢出、端口扫描等网络入侵攻击行为的实时检测及上报工作。 抗拒绝服务信号流 在检测到 DD
23、oS 攻击后,并非采取简单的阻断手段进行处理,而是将正常网络流量与 DDoS 攻击流量通过 BGP、OSPF、静态路由等相应路由协议共同牵引至抗拒绝服务攻击系统进行专项流量清洗处理工作,再将处理后的正常网络流量回注至增值业务平台网络内部,在保障 DDoS 攻击流量被清洗掉的同时,亦可满足正常网络流量的通过要求。 WEB 应用攻击防护信号流 随着 WEB 应用的愈加广泛与复杂,正常 WEB 应用行为与利用 WEB 进行的恶意攻击行为混杂在一起,传统防火墙等防护手段对此束手无策。而当信号流经过串联部署的 WEB 应用防护系统处理后,正常 WEB 应用流被允许通过,WEB 应用恶意攻击行为被实时拦截
24、,可有效保护 WEB 应用服务器的安全。3.5 产品列表产品名称 产品功能 型号 数目入侵检测系统 对网络恶意入侵、端口扫描、内网病毒等攻击进行实时监测1异常流量清洗系统 对常见网络层 DDoS 和应用层 DDoS攻击进行实时防护,清洗异常流量,保障正常流量通过。1WEB 应用防火墙 通过行为模式分析,协议还原等手段对 WEB 应用常见的类似 SQL 注入、XSS 跨站脚本攻击等 OWASP TOP10 攻击手段进行实时防护23.6 方案总结经过以上本期信息安全防护体系的部署及实施,XXX 公司增值业务平台整体安全性得到全面的提升,完成了核心骨干层及 WEB 应用层网络的安全检测及防护体系的建设工作,包括如防 DDoS 攻击、入侵检测、Web 应用安全防护等方面的具体工作内容,有效抵御当前业务平台面临的安全风险及威胁,同时满足是上级主管部门对于业务平台的相关安全管理规范和检查要求,为业务平台安全稳定的运行保驾护航。
