网站安全监测与防护方案
背景需求
近些年来,随着互联网技术∏的发展以及电子商务和电子政务的◥普及,各企事业单位、党政机关面临的网站安全问题也随之凸显出来。为了继续发挥互▲联网经济产生效益和优势,需要我们必须积极应对网站」安全问题。 目前,国内安全形势非常严峻,网站面临的安全问题大量涌现。首先,网站系〇统需要应对和处置的安全隐患持续Ψ增长,需要企业和机构进一步加强隐患的管理和控制。据CNCERT发布的《2015年中国互联网网络安全报告》显示,2015年CNVD共收录了々安全漏洞8080个,其中高危漏洞收录数量高达2909个,该数字较2014年增长21.5%。其次,网站安全事故频发,据CNCERT发布的《2015年中国互联网网络安全报告》显示,2015年,CNCERT/CC共接收境内/外报告的网络安全事件126916起,平均每天发︼生安全事件347起,数量非常惊人,其中有24550个网站被篡改,40782个境内主机被植入木马或僵尸程序。最后,与网站相关的重大安全事故也频频发生,国内外各知名企㊣ 业相继发生数起重大安全事故。其中,京东商城泄露12G用户数据、雅虎泄露5亿用户资料、LinkedIn旗下的在↘线学习网站Lynda.com被窃取950万账号信息等事件都直接导▓致公众个人信息的泄露。与此同时,国家对网站安全问题越来越重视,并且不断加大网站安全的∑ 监管力度。中央网络安全和信∏息化领导小组成立后,发布的第一个文件就是《关于加强党政机关网站安全管理的通知》,该文就各级党政机关及企事业单位开展●网站安全管理提出若干条指导意见。另一方面,国家各级主管部门加大检查力度,近几年多次开展重要保障活动及安全专项检查工作,并且每次重要保障任务和专█项检查工作的重点都包括对互联网网站检测和治理。
问题和困难
当前,各企★业在网站安全管理上存在的问题主要集中在网站的资产管理、漏洞管理、威胁管理、事件管理四个方面。 在资产管理方面,问题主要体现在√企业缺乏有效的手段对网站等资产的变更进行监测和管理,导致新上线的网站或变更的网站在未经安全检查和采取防护措施的前提『下直接暴露在互联网上。通常这些网站存△在大量安全隐患,非常容易被攻击者所利用。
在漏洞管理方面,企业所面临的困难主要是@未能对网站漏洞「及隐患进行定期排查和处置,导致未发现、未处置的漏洞数量越来越多。通常有两方面原因导致漏洞数量的增加,一方面是用户网▼站内容变更可能会引入的新漏洞,另一方面是先前网站建设过程中引入的第三方代码会被不断发现存在新漏洞。
在威胁管理方面,企业面临的主要问题在于缺乏专职人员对安全防护设备及其防护策略进行维护,使得◢安全设备检测效能逐步降低。效能降低主要体现在两个方面,一方面是监测和防护新威胁的安全策略不能及时得到应用;另外一方面是网站业务系统的不断变更〓导致原先的防护规则逐步失效。在事件管理方面,企业面临的主要问题是缺乏有效手段及时发现安全事故,使得安★全事故造成影响和损失不断增加。
?方案介绍
网站安全监测与防护解ξ 决方案能够通过事前漏洞分析与预防、事中威胁监测与防护、事后安全事件监测︼与响应,迎接国家合规检查、抵御外部威胁、降低安全风险。
?网站安全监测与防护解ξ 决方案,主要由网站安全管理系统、网站安全监测引擎以及网站安全防护引擎构成。网站安全管理系统能够为用户提供在线的、可视化的∮管理工具,帮助用户查看和处置网站安全相关的资产事件、漏洞事件、威胁事件和安全☉事故。网站安全监测引擎可以帮助用户监测网站变更的情况、网站存在安全漏洞以及发生的安全事故。网ζ站安全防护引擎采用Web应用防火墙产品,部署在用户侧,用于各类web应用攻击的检测和阻断。 网站安全监测〓与防护解决方案是通过以【下方式来帮助用户完成网站的资产管理、漏洞管理、威胁管理以及事件管理。 在资产管理方面,网站安全监测♀与防护解决方案主要通过监测引擎为指ω定的IP网段进行资产扫描,通过与现有资产比对发现新上线的网站及变更的网站系统,并◣及时向用户通告。在用户确认资产变更内容后,更新现有资产列表并将变更的资产纳入到安全监测与防护体系中,以便及时发现漏洞、威胁及事故。 在漏洞管理方面,主要通过网站安全监测♂引擎进行定期漏洞扫描,对暴露在公网上的所有网站进行Web漏洞及系统漏洞扫描工作。此后,由自动化验证系统对于扫描发现的高中危漏洞进行漏∴洞验证,将具有危害性的高中危漏洞信息通过网站安全管理系统和漏洞扫描报告直接推送用户,用户可以根据各类交付物ζ 中所罗列的漏洞详情以及解决方案进行漏洞的整改加固。如果Web漏洞修复周期ぷ较长,用户还可以通◢过网站安全管理系统委托进行漏洞预防工作。对于修复的漏洞,用户可以通过网站安全管理系统委托完成漏︼洞复验的工作,从而完成整个漏洞生命周期的闭环管理。 在威胁管理方面,网站安全监测与防护方案通过安全防护引擎进行威胁防护。防护引擎通过与云的对接,可以定期对告警日志进行分析判断,并提供筛除误报的策略优化建议。另外,云也会提醒用▓户对防护引擎的知识库进行升级,以确保防护引擎可以对新型威胁进行防护。 在事件管理方面,通过网站安全监测引擎Ψ对目标网站进行安全事故的日常监测,确保能够在第一时间发现网站挂马、篡改、黑链、敏感内容、可用性通断等多方面问题。在↑发现事件后,通过短信、网站安全管卐理系统及手机APP等多种方式第一时间向用户告警。另一方面用户可通过网站安全管理系统委托通过网站安全防护引擎消》》除安全事◆件造成的影响。最后,本地应急响应工程师上门协助用户分析事件原因,找到导致事件发生√的根源,并提供加固建议和支持,消除存在的安全隐患。
?方案优势
???????网站安全监测与防护解决方案的六大核心优势: 提供7*24小时的全天候服务,发现安全问题后确保30分钟内↘通知用户。 支持托管模式,0维护成本。 所有事件经过自动化技术和安全专家验证,准确率接近100%。 提供短信、邮件、网站安全管理系统、手机APP等多元化通告方式,确保及※时进行通告。 为用户提供漏洞智能补丁,对修复周期较长的漏洞提供预防措施。? 通过网站安全管理系统,提供漏【洞风险、威胁攻击、灾害事故可视化展示,让用户一目了然的洞悉全单位风险、攻击及⌒ 灾害分布。
门户网站安全解决方案
概述
门户网站、网厅等Web网站是运营商与客户沟通的便捷通道,也是客户办理/使用相关业务的前端平台,还有一些▃基于Web网站的业务平台,更是业务稳定运营的关键设施。这些Web网站一旦受到侵害将直接影响运营商的品牌★形象、信誉以及日常业务运营。 由于Web应用的开放性、用户的大众性▅,使其成为最佳的攻击和威胁目标。随着web应用中间件和应用平台的新漏洞/弱点被发现,针对性的病毒⌒「、木马、蠕虫及自动化的攻击工具往往会很快出现,进而出现一波又一波Web攻击浪潮,导致服务器被控制、Web服务中断、客户信息被∏窃取◥、业⊙务欺诈的事件的发生。同时,由于XSS、CSRF、Cookie窃取等攻击导致合法用户的客户端被控制、信息被窃取、被欺诈、被敲诈等事╱件发生,造成巨大的不良社会影响。 随着业务的发展,Web架构越来越复杂,使用的应用关键和技术越来越多,对其安全▽防护的难度越来越大,与此同时,行业监管越来越严,惩治力度不断加大,使运维、管理人员面临着严峻的挑战。
安全解决方案
方案组成
本方案针对Web威胁的特点,从Web应用生命周期的角度出㊣ 发,重点覆盖了系统开发、测试和运行等环节,从事前、事中、事后等风险管理角度出发,采用内、外的结合的防护手段,建立了主动〖、纵深、多层面的安全保障体系,可以有效保护web应用』的安全性,降低系统面临∑ 的风险▆▆。 安全防护方案组成如下:
方案价值
保障网站服务的安全、可靠运行,提高客户满意度; 及时感知Web运营状态,提升用户访↙问体验▓; 大幅提高防护效果,有效抵御各种攻击,从而解决安全成本; 满足来自监管部门的合规性◥要求; 提供安全攻击证据,震慑非法攻击者; 减少安全人员负担,提高安全运维效率; 维护和提升公司的品牌形象和商业㊣信誉。
方案特点和优势
对安全漏洞
弱点进行ω 管理,防患于未然,降至安全成本; 通过代码审计,最大限度的发现系统╲存在的安全漏洞/弱点,提早修补,降低成本。同时,通过传递安全开发知识, 减少开发实现中的漏洞。 通过Web漏洞〖扫描系统,实现已知∑漏洞的自动化检查,降低人员】投入。 通过安全设备的早期预警服务,及时对新发现漏洞的有效管理。
立体的『安全防护体系,高针对性的防护措施
有效抵御SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood等攻击,并实现对网络流量的清洗。 同时,通过Web应用防火墙,对各种web应用攻击进行防护,对HTTP/HTTPS访问流量进行清△洗; 通过集成了传统防火墙、入侵检测防护、防病毒功能的下一代↘防火墙,对已知的各种攻击、恶意代码进行防护,并通过防火墙测试,实现对Web访问的严∞格控制。
有效地监控、备份与恢复措施,彻底保障网站的完整性 在Web服务器上部署基于主机的Web防护系统,有效检○测和阻断各种web网页、图片、程序等资源的篡改攻击; 对网站内容进行备份,一旦检测到系统完整性〓受损,可以自动化进行ω 系统恢复。
7*24小时外部安全监控和一流的外部专家支持 7*24小时对系统进行漏洞检查、挂马检查、网页篡改检测、内容检查,及时洞㊣ 察系统的安全态势; 在全国范围内,模拟用户对系统进行访问平稳度、可用性检测,保障用户体验︽。 一流的安全专家支持,协助用户处理各种疑难杂症。
防护措施间的关联互动,大幅提升防护效果 网站安全检测⊙服务或Web漏洞扫描系统与Web应用防火墙进行联动,一旦︾发现问题,自动化启动相应的防护策略。 虚拟补丁技术提升了安全防护水平,规避了补丁管理中的各种问题。
全面的◆网站健康检查,防止带病〓上岗、带病投保; 上线前评估和渗透测试,发现系统存在的结构性问题、集成性问↓题、安全〗配置问题,以及各种潜在的业务逻辑错误,并进行全面的安全加固,防止带病〓上岗。 通过安全检查,评估系统是否已经受到了侵害,是否含有恶意代码,防止带病投保。 通过Web安全扫描系统,对新版系统进行检查,防止引入新漏洞。
可靠的安全审计措施,可供事件追溯和取证。 对Web网站的不良内容进行安全检测; 对各种用户的Web访问行为进行审※计,并通过行为基线,自动化发现各种潜在一场行为; 对重要的数据库操作行为进行审计,发现各种非法行为。 对各种攻击行为进行审¤计,便于进行事件追溯和定位,对事件处理提供有效支持。 支持法▲律取证。
统一︾安全管理 统一设备与日志管理平台,提供可视化的安全管理界面; 对安全◥设备的策略的统一管理和下发; 对日志数据的∞统一存储,便于进行各种统计分析; 提供丰富的报告分析; 降低企业安全运维成本.
内网准入解决方案
对企业而言最大的变革是企业经营和管理方式的变革,信息化革命深刻影响着企业的经营方式,任何一个企业都离不开这种变革,必须把信息化建设当成企业获取竞争优势的最终选择。因此,企业集团对信息技术的依赖▆程度越来越大,信息技术风险成为了企业集团运营中所要考虑的重要方面。
面临的挑战
用户信【息未知:企业集团办卐公、生产大多较为分散,人员复杂,随意或不受限制接入网络现象频发,内部用户信息缺☉乏有效登记手段,人员审计困难。
终端位置未知:企业内网终端数量、终端类型、终端↑分布情况复杂,管理者无法对时间进行事件定位;
资产信息未知:企业信息资产的数量随着企业不断发展大量增加,如何对这些大量的信息资产进◣行有效的管理,是企业集团安全管理面临的巨大挑战;
数据泄露风险:内网数据信息可通过移动介质外传,容易发生信息泄密事件。
终端安全风险:终端系统自身安全性会严重影响内网安全,如病毒∑ 传播、系统漏洞、弱口令破解等。
内网准入解决方案
用户信息登记:采用丰富的实↙名制入网模式,内部、外部、临时用户分别进行ㄨ人性化的入网注册登记,并结合管理员审核、审批,确保内网用户安全可靠。
网络安全透〒视:盈高科技产品提供※卫星地图般的设备搜索和定位方◤式,使网络中的各种设备状态不再是孤立的展现,而是作为一个整体进行把控。
资产∴安全管控:全面收集内网【软硬件资产,全方位监控、展示资产变动情况,提升管→理部门对信息设备相关信息资产的统计管理能力。
移动介质加密:人性化的移动介质注册、审核机制,硬件级的安全加密技术,灵活的策略控↘制,在不影响用户安全使用的前提下确保数据无从泄露。
终端№安全加固:通过对网内终端的安全状况量化,并提供“一键式”智能修复功能对有潜在安全风险的终端进行强制隔离和引导修复,从根本上杜△绝安全隐患。
方案价值
1、对外来人员进行有效的管理,防止其接入单位网络访问重要的服务器,窃取单位的重要资料;另外,内网」安全事件发生时,可追溯至责任人。
2、提高运维工作效率,精确定位故障点,及时排查问卐题,成为管理人员提高管理效率的有效手段;
3、规范移动存储设备的安全使用,明确工作U盘和私人U盘的使用界限,减少文档流失和病毒的进入;
4、提高终端设备的〇安全性和稳定性,减少漏洞攻击事件的发生,避免系统漏洞、恶意软件引发的安全事件;
5、有效地对公司终端的it资产和软件资产进行审计,当发生变化时及时进行报警;
超融合架构解决方※案
超融合架构解决方案概述
超融合架构解决方案,融合了:计算、网络、存储和安全四大模块,通过全虚拟化的方∩式构建IT架→构资源池。所有的模块资源均可以按需部署,灵活调度,动态扩展。通过超融合一体机或者超融合操作系统能够在◆最短的时间内,充分利←旧现有硬件基础架构,将业务系统安全、稳定、高效的迁移到超融合平台中,并且为后期迈向私有云平台奠定基础,从而能够实现多租户的管理∑ 及计费审计等功能。
超融合架构解决方案软件架构主要包含三大组件(服务器虚拟↙化aSV、网络虚拟↓化aNet、存储虚拟化aSAN)和一个管理平台(虚拟化管理平台VMP)。硬件架●构上,可以通过一体机的方式实现开机即用,也可以采用通用X86服务器实现基础架构↑的承载。配合传统的园区网交换机(背板带宽和交换容量够用即可)即可完成整个平台的搭建,无【需各种功能复杂、价格昂贵的数据中心级交换机。
超融合架构层
超融合架构层以服务器虚拟化为底层架构,扩展出网络虚拟↓化和存储△虚拟化,通过所画即所得的方式能够快速的构建出业务逻辑,实现虚拟资源的动态调度和灵活扩展,同时全网⌒流量可视,配置简易直观,运维灵活便捷
服务器虚拟化(aSV)
aSV虚拟化平台作为介于硬件和操作系统ξ之间的软件层,采用裸金属架构的X86虚拟化技术,实现对服务器物理资源的抽象,将CPU、内存、I/O等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源,并基于这些逻辑资源在单个物理服务器上构建多个同○时运行、相互隔离的虚拟机执行环境,实现更高的资源利用率,同时满足应用更加灵活的资源动态分配需求,譬如提ζ供热迁移、HA等高可用特々性,实现更低的运营成本、更高的灵活性和更快速的业务响应速度。
网络虚◎拟化(aNET)
网Ψ 络虚拟化aNet,通过提供全新的网络运营方式,解决了传统硬件网络的众多管理和运维难题,并且帮助数据中心操作员将敏捷性和经济性提〖高若干数量级。
深信服网Ψ 络虚拟化aNet方案通过和服务器虚拟化aSV相结合,在虚拟机和物理网络之间,提供了一整套㊣ 完整的逻辑网络设备、连接和服务,包括分布式虚拟交换机aSwitch、虚拟路由器aRouter、虚拟下一代防火墙vNGAF、虚拟应用交付vAD、虚拟vSSL VPN、虚拟广ぷ域网优化vWOC等虚拟网络、安全设备;然后,还可◥以支持VXLAN等增强网络协议,实现和物理网络的无缝对接,简化网络的配置管理;此外,还可以通过虚拟化管√理平台,实现网络拓扑部署、网络故障探测等网络管理功能。
从而,aNet虚拟网络可以快速完成不同应用系统ω 的网络部署,网络配置的自动化调整,网络故障排查等工作,提升网络的管理运维效率,提↓升网络就绪、扩展速度,降低数据中心物理网络的建设成本。
存储虚拟化(aSAN)
深信服存储虚拟化aSAN,基于集群设计,将服务器上的硬盘存储空间组织起来形成一个统一的虚拟共享存储资源池,即ServerSAN分布式存储系统,进行数据的高可靠、高性能存储。分布式存储系统在功能上与独立共享存储※完全一致;一份数据会同时存储在多个不同的物理服务器硬盘上,提升数据可靠性;此外,再通过SSD缓存,可々以大幅提升服务器硬盘的IO性能,实现高□性能存储。同时,由于存储与计算完全融合在一个硬件平台上,用户无需像以往那样购买连接计算服务器和存储∞设备的SAN网络设备(FC SAN或者iSCSI SAN)。
网络功能虚拟化(NFV)
当前软件定义◥网络成为了技术发展的趋势,深信服也率先在国内推出全系列的数据中心安全、优化产品(NGAF下一代防火墙、SSL VPN、AD应用交付、WOC广域网优化)软件虚拟化解决方案。这些过去需要以专用硬件方式部署的产品,不再需要依赖专用的硬件,可以以软件镜像的①方式,完美支持在Vmware、KVM、XEN等服务器虚拟化环境下的部署。从而极大的简化政务云数据中心网络的架构,为各个租户的虚拟︼应用按需、灵活的虚拟扩展出各种安全和优化方案,同时还便于划分清楚各方的运维职责。
深信服超融合架构的优势ㄨ
1、提供更加完整的IT基础架构虚拟化方案,涵盖网络、安全、存储、计算
2、管理运维更加便捷、简单,零■学习成本,让IT架构所画即所得
3、整体拥有成本更低,无需特殊、专用的网络、服卐务器设备即可实现
4、国产化,提供多样、丰富的L2-L7安全和优化功能,更好的满足合规要求
超融合架构最佳实践
超融合架构可以应用到☉数据中心涉及的众多业务系统的领域,尤其是应用开发测试环境、新业务系统上线和非关键业务系统改造是特别适合部署超融合架构。
以下为深信服超融合架构的三个实际应用案例分享
? 某汽车制造业
背景:应用开发部门每周至少要测试一套业务系统,给网络运维部门带来很大的工作量。每次测试都要改变网络架构和相应的部署环境
解决之道:在数据中心划分了一个独立的区①域,用5台超融合一体机,搭建了一套专用的测试环境。利用计算、网】络和存储虚拟化模拟出4个测试」拓扑模板,
超融合方案价值◣:其中模拟出一个在队列深度为1的情况下实现了IOPS高达2万的模板,测试上Ψ线周期缩短,运ㄨ维工作量减少,无需大量硬件支撑
?
等保三级整改一站式方案
等保整改方案五步走
1. 安全域划◤分
做等级保护的整改,第一步一定是要明确安全域。下面是经典安全域划◤分方案:
业务服∴务器域:客户的业务服务器和存储的安全区域
用户终端域:用户终端,一些完全不重要的服务器
安全管理域:安全管理中心,包括网管系统服务器啊,终端安全管理的服务器等用来做网络和安全运维管理↓的这些设备
互联网出口域:互联网出口的网络和安全设备
2. 互联网出口
在互联网出口部♂署防火墙、入侵防御、病毒过滤、上网行为管理、链路负载;
3. 安全域互访隔离
所有的安全域之间必须通过防火墙才能▆互联互通;
4. Web安全防护
web服务器前部署web防火墙;
5. 安全管理中心
在安全管理中心要有这些东西:漏洞扫描系统、数据库审计系统、终端安全管理系统、网管系统、应用性能管理系统、SSL VPN、防病毒系统、运维堡垒主机╱;
以上五个步骤完成,设备整改完成。
疑难问题解答
是不是上面这些设备都部署,才能通过三级等保? 回答:不是。上面是比较理想的情况,实际情况根据客户预◎算和客户实际需求来进行,部署70-80%的设备即可。
安全域隔离防火墙,很多客〖户利用交换机的ACL做,测评中』心也认可。 回答:对。等保要求进行访问控制,没要求必须用防火墙,交换机ACL也是访问控制手∩段,但用防火墙→是最专业的访问控制设备,其专业性智能型运维容易程度都远远强于交换机ACL,而且交换机ACL损耗交ㄨ换机性能严重,交换机是交换设备,不是专业的安全设备。
是不是做了这些就可以通过等保测评了?
回答:设备层面足够了∑ ∑ 。还需要做一些安全加固和管理制度文档整理。
安全加固指的是把服务器、数据库、网络设备、安全设备、业务系统的一些安全策略调整到符合等保的规定,比如你服务器密码都是666,现在开启服务器的密码强度要求这个策略,就是安全加固。文档整理⌒ 主要是安全管理制度,以及测评申请书。
了解到客户情况后,怎么给客户做整改方案? 回答:上面整〗改五步走,每一步都说明了需要什么,缺少的设备就是需要整改的。安全加固和安全制度是肯定需要整改的。
云计算】安全解决方案
业务挑战
目前,许多组织已经将业务系统迁移到云平台上,云平台已经成为组织重要的IT基础设施。云计算技术给传统的IT基础设施、应用、数据以及运营管理都☆带来了革命性改变,对于安全管理来说,既是挑战,也是机遇。首先,云计算引入了新的威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系;其次,云计算的资源弹性、按需调配、高可靠性及资源集中化等都间■接增强或有利于安全防护,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带√来了问题和挑战。 根据调研数据々,云计算安全风险是客户所关注的重点,云计算安全已经成为组织规划、设计、建设和使用云计算◆系统所急需解决的重大问题之○一。
解决方案
云计算安全防护方案设计遵循以▽业务为中心,风险为导向的,基于安全域的纵深ζ主动防护思想,综合考虑云平台安全威胁、需求特点和相关要♀求,对安全防护体系架构、内容、实现机制及相关产品组件进行了优化设计。 云计算安〓全方案主要由安全资源池、安全子◎平台、安全运营管理平台和安全应用等组成。 安全资源池:支持物理安全设备、虚拟化安〗全设备、SaaS安全服务等各种安全资源,接受各安全子平台的管理,对外提供相应的安全能力。 安全运营管理平台:与安全子平台配合,提供安全产品开通、调度、服务编排,以及安全运维功≡能,并实现与云管理平台和SDN控制器的对接。安全运营平台包含了云安全运营的一些共性功能模块和◥一些提供特定安全能力的子平■台。 安全子平台:管理安全资源,提供安全策¤略管理、配置管理、安全能力管〗理、安全日志管理等与特定安全应用密切相关的功能。根据应ω 用场景的不同,可灵活配置和扩展。 安全应用:基于安全子平台提供的安全能力,提供管理、控制、分析、呈现功能的组件。用户可根据需要灵活选配。
方案亮点
适应性广,安全功能多∏ 支持VMWare、OpenStack云平台,以及基于KVM、Xen的各种定制化云平台。同时,可以支持物理的、虚拟化、SaaS化的安全♂资源类型,提供多种安全能力。
模块化架构,可灵活扩展 系统采用模□块化架构,根据应用场景和需求的不同,可以选择和部署相应的安全资源、安全子平台、安全应用,满足经◤济性、合规性◥要求。
弹性资源,收放自如 通过资源池化技术、负载均衡技术、热※迁移技术,以及通过安全子∮平台的能力,可以对外提供安全、弹性的安全功能,自如的进行扩容、缩容。
全程々自动化,可快速部署 运用SDN、NFV技术,用户通过安全运营平台可以按需、自助的进行安全能力的开通、安全APP的下载、安装ぷ和使用。同时,可以根据业务需要,实现多种安全设备的协同防护,抵御各类安全攻击事件。
安全策略的动态跟随 对于云计算系统安全域边界的◣动态变化,通过区域子网划分、安全隔离、SDN、分布式交换等技术,可以做到▂边界防护策略的持续有效,保障云平台的安全。
应用场景 适用于私有云、公有云、混合云等各类云平台的安全防护。既适用于原生〇服务器虚拟化、云平台的场景,也可以应用于采纳SDN和NFV技术的软件定义数据中心场景。
私有云
构建■私有云
利用→软件定义的数据中心体系结构构建和运行基于虚拟化的私有云。交付虚拟化基础架构服务以及高度可用的应用和服【务。
超越服务器虚拟化
服务器虚拟化可在提高业务敏捷性的同时,使 CAPEX 和 OPEX 成本削减 50%* 以上。现在,您可以对数据中心的其余部分进行虚拟化,以使所有 IT 服务都能像虚拟机一样调配和管理起来既经济,又便捷。软件定义的数据中心体系结构可将抽象化、池化和自动化延展到其余的数据中心资源,包括计算、网络和存储。可以基于任意云计算基础架构部署您的虚拟化基础架构并实现跨平台管理。
高度可用的应用和服务
利用软件定义的数据】中心 (SDDC) 体系结构,基于 超融合架构的私有云可为通过标准化和整合的数据中心实现高度可用的应用和服务奠定基础。借助私有▼云,还可∩实现安全、合规的 IT,对 IT 运维进行智能控制,以及快速调配应用并实现持续监管。
网络信息安全整体解决方案
背景
随着◥近年来INTERNET接入的普及和宽带的增加,各行业分布全国乃至全球的用户群体,信息化应用系统对网络的依赖性也越来越强,业务对网络的依赖程度也越来≡越大,信息安全的重要性也在不断提升,用户所面临的各种问题也变得越来越复杂,来自不同层面的安全威胁也越来越多。如何确保网络和应用的连续◤高可用、网络安全防范、应用访问安全分权接入、智能终端无缝接入、内部网络高效管理、数据存储的完整和高可用、运维操作的管理,以及如何对数据库系统的№访问和管理进行合理的审计分析已经◥成为企业迫切需要关注的问题。
解决方案
通过互联网出口部署负载均衡设备解决链路流量分配不合理,对多条▲链路健康状况实时监控和智能负载;对所有应用系统实现持续监测健康状态合理调度,一旦服务系统集群内单台服务器故障实现智能切换到←其他正常服务器系统上,保证应用服务访问的持久稳定。
通过在互联网出口、内部专线网络入口、服务器区域等部█署应用层防火墙,不仅能够实现原有区域安全隔离的效果,还能够实现IPS入侵防御、AV病毒防护、DOS/DDOS等安全功能;针对WEB应用的WAF防护,能防止黑客利用web应用程序及各类B/S业务的应用程序漏洞进行的各种攻击,实现双向数♀据的访问过滤。桌面端部署网络版防护软件及数据加密管理系统,解决客户最后一公里的安全问题,确保企业内部数据的安全可控。
通过在服务器区『部署SSL VPN产品,将服务器与外界进行逻辑隔离,使所有来自外部的访问请求都经过SSL VPN的认证才能安全接入访问;在接入后进行严格的控制◎访问权限,使人员与资源相◆关联,防止越权访问。
通过部署专业的存储备份系统,对所ω有的应用服务器采用网络备份方式,通过局域网或专用』的备份局域网络,对应用服务器的数据进行备份,将数据通过备份服务器写入到磁带库或磁盘阵列中,确保数据的№安全和完整。
通过运维审计系统对企业内部的主要信息系统、网络系统等远程运维操作进行综合审计,针对核心数据资ㄨ产的违规访问和操作得到有效监管。 通过数据审计系统的旁路监听方式采集,分析处理,记录数据库服务器的所有操作,提供监测报警策略设置、数据库服务器负担状况统计分析、数据库客户端¤访问操作统计分析以及数据库客户︻端访问排名等功能,实现对数据库服务器应用(包括数据库系统操作,数据操作)的实时监测、报警、记录和@ 审计。
方案价值
?实现了多台服▓务器(服务器集群)合理利用,为企业业务的扩充和系统规模的提高创造有利的条件。 ? 实现↓了多条链路合理利用,另外丰富的报表功能,提供链路负载统计、商业决策分析、稳定□ 性统计报表等帮助企业了解链路使用情况,从而为企业提供网络优化和改造的依据,为企业业务运营计划,提供商业决策的依据。
?应用层防火墙多个安全功能模块,多核并行处理技术保障,不仅∮能替代原有传统防火墙的所有功能,且稳定性好;特别针对应用层安全风险提供完整的应用安全加固技术,帮助客户实∮现全面的安全防护,防护来自内外网的各个层面的安全风险。解决了用户网络安全管理难题,弥补了现有传统安全体系针对应用层々防护的不足,有效阻止了来√之应用层的各类攻击,实现了广域网流量清洗的效果。
?实现了“三合一”的WEB安全 事前,快速的进行风险扫描,帮助用户快速定位安全风◣险并智能更▽新防护策略; 事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法♀响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击; 事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系,对Web业务产生的网站篡改、数据泄漏问●题。
?实现了终端的“主动防御”,建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。 ? 实现了数据内部安全传输,确保数据外发的密级保护,建立一个可控的文件共享传输体系◥。 ? 实●现了精细的应用控制,有效阻止内部敏感信息外发,并能提高员工工作效率;全面的安全防护措施,过滤∮木马恶意链接网址,强化分支办公终端的安全;细致的上网行为审计,完全满足公安部门的监管要求;精♀确流量管控,合理的记性流量分配;实用的智能分析系统,为客户决策出谋划策。 ? 实现了应用的¤安全、快速、稳定的业务接入访问;便捷的用户体验,降低了管理工作量,应用程序图形化的方式呈现于智能终端之上,实现轻松⊙跨平台访问,为多元化的终端办公提供了快速安全的途径。 ? 实现了一体化的备份与恢复,可为各种复杂的环境提▲供最全面的备份与恢复,就保护公司最宝贵的资产数据而言,减少了其中的复杂性及恢复的时效性,确保了数据的安〇全和完整◥。 ? 满足IT运维合规性要求,顺利通过IT审计;实现了对企业IT资源的管理;实现了对IT用户的管□理、对IT用ξ户的授权管理;实现了对运维操作日志的完整记录;符合等级保护要求完善了国家法律法规√的要求。 ? 实现了针对所有帐户对数▲据库访问与操作的全面监测审计;加强了对数据库临时帐户的审计监测;加强了针对重要敏感数据的访问的审计监测;提供了详细的数据库审∮计记录及分类统计;实现了数据库异常操作监测报警;弥补了数据库系统内置日志审计的缺陷。
等级保护测评服务介绍
等级保♀护概述
等级保护政策背景
等级保护是国家信息安全保障的基本制度、基本策略、基本方针。开展信息安全等级保护ぷ工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。
国家信息安全等级保护坚╳持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活≡中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等▓因素确定。
为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003-27]号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)等文▓件的精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,自2007年开始,从国家层面开始推动我国的政府、金融、电力、电信、交通等基础行业在全』国范围内组织开展重要信息系统安全等级保护定级、备案、测评、整改工作。
等级保护涉及系统
根据等级保护相关政策要求,需要实施等级保护的信息系统包△括:
? 党政系统(党委、政府);
? 金融系统(银行、保险、证券)及财Ψ税系统(财政、税务、 工商);
? 经贸系统(商业贸易、海关);
? 电信系统(邮电、电信、广播、电视);
? 能源系统(电力、热力、燃气、煤炭、油料);
? 交通运输系统(航空、航天、铁路、公路、水运、海运);
? 供水系统(水利及水源供给);
? 社会应急服务系统▼▼(医疗、消防、紧急救援);
? 教育科々研系统(教育、科研、尖端科技);
? 国防建设系统;
? 国有大中型企业系统;
? 互联单位、接入单位、重点网站及向公众提供上网服务场所的计◥算机信息系统。
等级保护相关标准
我国现行等级保护工作主要相关标准如下:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息系统安全等级保护定级指南≡》(GB/T 22240-2008)
《信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息系统安全等级保护实施指南》(GB/T 25058-2010)
《信息系统@ 安全等级保护测评要求》(V2.0(送审稿))
《信息安∏全技术 网络基础安全技术要求》(GB/T 20270-2006)
《信息↘安全技术◥◥ 信息系统通用安全技术要↓求》(GB/T 20271-2006)
《信息安全㊣技术 操作系统安全技术要求》(GB/T 20272-2006)
《信息安全技术》⊙ 数据库管理系统安全技术要求》(GB/T 20273-2006)
《信息安全技术 服务器技术要求》(GB/T 21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006)
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术 信息系统安全工程管理要求》(GB/T 20282-2006)
《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)
《涉及国家秘密的计算机信息系统分级保护技术要求》 BMB 17-2006
《涉及国家秘密的信息系统分级保护管理规范》 BMB 20-2007
《涉及国家秘密的计算机信息系统分级保护测评指南》 BMB 22-2007
《涉及国家秘密的计算机信息系统㊣安全保密测评指南》 BMZ 3-2001
等级保护服务介绍
信息安全等级保护工作流程包括以下几个阶♀段:系统定级、系统备案、差距测评、系统整改、验收测评、定期测评等阶段▽。包含的工作内容如下:
系统定级:信息系统运营使用单位按照《信息系统信息安全等@级保护定级指南》,确定信息系统安全等级。有主管部门的「,报主管部门审核批准。
系统备案:已运营的第二级以】上信息系统,在安全保护等级确定后30天内,由其运营、使用单位到所在地区的市级以上◆安全机关办理备案手续。第三极以上信息系统,还需要提供相关附件材料。相应安全机关审〒核通过后,由公安机关颁发系统等级保护备案证书。
差距测评:选择有资质的等级保护测评机构,进行差距测评,形成等级保护测№评报告。
系统整改:根据测评结果,制订整改方︻案,按照国家的相关规◣范和技术标准,使用符合国家相关规定,满足系统等级需求产品,并调试及进行信息系★统安全整改工作。(备注:一般情况◣下,为保证系统整改的效果,差距测评及系统整改两个阶段由同一家公司完成)。
验收测评:选择第三方测评机构进行验收测∑评,验收合格后,系统运营、使用单位向地级以上市公安机关提交测评报告,审核通@ 过后,由公安机关颁发合格证书。
定期测评:定期选择第三方测评机构进行测评。三级系统每年至少一次,四级以上⊙系统每半年至少一次。
等级保护测评实施流程
信息系统安全等级测评分为四个过程阶段:测评准备↑过程、方案编制过程、测评◆实施过程、分析↘与报告编制过程。
具体测评实施流程图如下所示:
一、测评准备↑过程:主要是通过访谈的方式了解被测系统的基本情况,包括被测系统的物理环境,网络结构△和边界,网络设备,主机系统,应用系统等测评对象情况。
二、方案编制过程:根据被测系统的定级报告和系统自身的情况♀确定测评指标和对应的测评实施ζ内容、对测评实施中的测试和渗透测试项编制测试方案,细化∩测试点,测试工具,测试对象,测试方法,测试步骤,对现场测评的总体√计划作出安排,根据上述工作内容编制完成方案,然后测评双方对测评方案进行确认、审核,并进一步沟通和协调以确定现场测评计划。
三、测评◆实施过程:根据双方确认的测评方案到被测系统现场完成测评工作。现场测评工作涉及三类方法:访谈、检查和测试。访谈是我方测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论▂等活动,获取证据以证明信息系统安全防护措施是否有效。检查是我方测评人员通过对测评对象进行观察、查验、分析∞等活动,获取证据以证明信息系统安全防护措施是否有效。测试是我方测评人员使用预定的方法及工具使测评对象↑产生特定的行为,通过查看、分析这些行为的结果,获取证据以证明信息系统安全防护措施是否有效。
四、分析↘与报告编制过程:在完成测评实施过ω程之后,我方将根据现场测评的记录进行综合测评分析,包括单项测评结果汇总分★析,系统整体测评,系统风险分析和评价,并最终给出差距分析和整体建议。
等级保护测评内容
依据等级保护相□ 关标准要求,对信息系统安全等级保护状况进行测评评估,包括以下两个方面的内容:
一、安全☆技术测评,包括物理、网络、主机、数据及应用安全测评;
二、安全管理测评,包括安全管理机构、人员々安全管理、安全管理制度、系统建设管理、系统运维管理测评。
如下图所〇示:
等级』保护系统整改
东软将根据等级保护差距测评结果,制订等级保护整改方案,按照国家的相关规范和技术标准,采取符ξ合国家相关规定、满足系统等级需求的措施,进行信息系统安全整改工作。
3 等级保护服务客户收益
? 满足国家信息安全等级保护相▲关政策与标准要求。
? 实现信息系统等级化保护和等级化管理。
? 解决原有咨询服务重视问题发现和提要求而
解决方案实施落实较弱的模式。
? 提高企业业务系统信息安全防护能力。
? 缩短从体系设计到体系实现的过程,避免咨询服务成果与安全建◥设脱节的弊病。