午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、XXXX業務網網絡信息安全加固項目案例介紹一、 概述隨著信息化技術的深入和互聯網的迅速發展，整個世界正在迅速地融為一體，IT系統已經成為XXX整合、共享內部資源的核心平臺，同時，隨著XXX經營理念的不斷深化，利用各種各樣的業務平臺來為XXX提供更多的增值業務服務的情況越來越多，因此IT系統及各種各樣的業務平臺在XXX系統內的地位越來越重要，更為XXX提供的新業務利潤增長做出了不可磨滅的貢獻。伴隨著網絡的發展，也產生了各種各樣的安全風險和威脅，網絡中蠕蟲、病毒及垃圾郵件肆意泛濫，木馬無孔不入，DDOS攻擊越來越常見、WEB應用安全事件層出不窮、，黑客攻擊行為幾乎每時每刻都在發生，而伴隨著上級主管2、部門對于信息安全的重視及審查工作愈加深化，所有這些風險防范及安全審查工作極大的困擾著XXX運維人員，能否及時發現網絡黑客的入侵，有效地檢測出網絡中的異常流量，并同時在“事前”、“事中”及“事后”都能主動協助XXX完成自身信息安全體系的建設以及滿足上級部門審查規范，已成為XXX運維人員所面臨的一個重要問題。本方案針對XXXX公司業務平臺的安全現狀進行分析，并依據我公司安全體系建設的總體思路來指導業務平臺信息安全體系建設解決方案的制作，從安全技術體系建設的角度給出詳細的產品及服務解決方案。二、 網絡現狀及風險分析2.1 網絡現狀 業務平臺拓撲圖XXXX公司業務平臺網絡共有包括XXX、XXX、XXX3、平臺等四十余個業務系統，（因涉及客戶信息，整體網絡架構詳述略）業務平臺內部根據業務種類的不同，分別部署有數據庫、報表、日志等相應業務系統服務器。2.2 風險及威脅分析根據上述網絡架構進行分析，我們認為該業務平臺存在如下安全隱患：1. 隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純XX的已經無法滿足信息安全防護的需要，部署了XX的安全保障體系仍需要進一步完善，防火墻系統的不足主要有以下幾個方面（略）2. 當前網絡不具備針對X攻擊專項的檢測及防護能力。（略）3. 對正常網絡訪問行為導致的信息泄密事件、網絡資源濫用行為等方面難以實現針對內容、行為的監控管理及安全事件的追查取證。4. 當4、前XX業務平臺仍缺乏針對網絡內容及已經授權的正常內部網絡訪問行為的有效監控技術手段，因此對正常網絡訪問行為導致的信息泄密事件、網絡資源濫用行為等方面難以實現針對內容、行為的監控管理及安全事件的追查取證。5. 隨著XX業務平臺自有門戶網站的建設，Web應用已經為最普遍的信息展示和業務管理的接入方式和技術手段，正因為空前的流行，致使75%以上的攻擊都瞄準了網站Web應用。這些攻擊可能導致XXX遭受聲譽和經濟損失，可能造成惡劣的社會影響。當前增值業務平臺主要面對如下WEB應用方面的風險和威脅：1) 防火墻在阻止Web應用攻擊時能力不足，無法檢測及阻斷隱藏在正常訪問流量內的WEB應用層攻擊；2) 對于5、已經上線運行的網站，用簡單的方法修補漏洞需要付出過高的代價；3) 面對集團對于WEB應用安全方面的的“合規檢查”的壓力。6. 隨著信息安全的發展，XXXX集團在信息安全領域的管理制度也愈加規范和細化，在網絡、系統、應用等多方面提出了相應的安全要求、檢查細項及考核辦法，并已將信息安全工作納入到日常運維工作中去。在近期發布的XXXXX平臺安全管理辦法(試行)、XXXX新建業務平臺安全驗收指引（試行）等管理規范中，明確說明了增值業務平臺需要建設XXXX系統、XXXX系統對業務平臺網絡邊界進行防護，另外亦需要對系統漏洞、數據庫漏洞、WEB應用等方面提供安全防護。由此可見，業務平臺當前缺乏相應的整體的安6、全監測及防護手段，無法滿足上級主管部門的管理要求。2.3 信息安全形勢分析1. 系統漏洞仍舊是XXX網絡面臨的安全風險之一。據國家信息安全漏洞共享平臺（CNVD）收錄的漏洞統計，2011年發現涉及電信運營企業網絡設備（如路由器、交換機等）的漏洞203個，其中高危漏洞73個；發現直接面向公眾服務的零日DNS漏洞23個, 應用廣泛的域名解析服務器軟件Bind9漏洞7個。2. 拒絕服務攻擊對XXX業務運營造成較大損害及破壞企業形象，2011年發生的分布式拒絕服務攻擊（DDoS）事件中平均約有7%的事件涉及到基礎電信運營企業的域名系統或服務。 2011年7月域名注冊服務機構XXXX的DNS服務器遭受D7、DoS攻擊，導致其負責解析的域名在部分地區無法解析。 2011年8月，某XXXDNS服務器也連續兩次遭到拒絕服務攻擊，造成局部用戶無法正常使用互聯網。3. 網站安全事件層出不窮，黑客利用SQL注入、XSS腳本攻擊等工具和技術手段進行網頁篡改及信息竊取以非法獲利，造成較大社會影響。在CNCERT接收的網絡安全事件(不含漏洞)中，網站安全類事件占到61.7%；境內被篡改網站數量為36612個，較2010年增加5.1%；4月-12月被植入網站后門的境內網站為12513個。4. 受控僵尸主機數目有增無減，黑客利用受控主機進行信息竊取、跳板類攻擊等現象逐步增多。據抽樣檢測表明，2011年境外有近4.7萬8、個IP地址作為木馬或僵尸網絡控制服務器參與控制我國境內主機，其控制的境內主機數量由2010年的近500萬增加至近890萬，呈現大規模化擴散趨勢。2.4 XXX安全事件1. 系統及主機漏洞利用類： XX網相冊漏洞利用：X網相冊存在上傳漏洞，被國家安全人員上傳惡意文件獲取系統root權限，該事件曾上報至副總理及政治局常委處，影響程度深、影響范圍廣； 充值系統漏洞利用：某黑客組織利用XXX充值卡系統漏洞，使用網絡滲透手段、黑客工具等方法計算出充值卡號進行出售，造成未售出的充值卡已被充值使用或手機免費充值的情況； 話費系統漏洞利用：利用系統漏洞入侵話費系統，篡改話費信息； 網廳、積分商城WEB應用漏洞9、攻擊：利用網站漏洞入侵XXX網站，獲取客戶信息、冒充客戶進行業務訂閱或修改客戶積分，達到非法獲利的目的。2. 木馬及病毒傳播類：內部辦公主機被控：某XXX被發現其內部計算機被境外人員通過木馬方式控制，同時該計算機向內部網絡擴散蠕蟲病毒，可竊取計算機硬盤文件、重要賬號等關鍵數據。3. 網頁篡改類：XXXX網站曾多次發現主頁被篡改，植入廣告及其他惡意內容，使其變成非法信息傳播的平臺，影響企業形象，并對業務平臺運行帶來安全隱患。4. 分布式拒絕服務（DDoS）攻擊類：XX網站曾發現遭受DDoS拒絕服務攻擊，造成其視頻業務受損，客戶反響強烈。三、 安全解決方案隨著XX業務平臺提供的服務不斷增加，IT 10、架構與系統也變得更復雜，安全體系也應隨需而變。在多年不斷研究和實踐的基礎上，我們提出了全新的安全體系框架。安全體系為安全戰略服務，我們設計的安全體系包含安全組織體系、安全管理體系、安全技術體系。u 在安全組織體系中，要建立組織、明確職責、提高人員安全技能、重視雇用期間的安全、要與績效結合；u 在安全管理體系中，以安全策略為主線，落實安全制度和流程，對記錄存檔。我們從最佳安全實踐出發，將安全管理體系中的過程動態化、持續化，包含風險評估程序、安全工作計劃、安全項目管理、運行維護監控、安全審計程序、持續改進計劃等，真正與XXX增值業務平臺安全建設和安全保障過程結合起來；u 在安全技術體系中，將多種安11、全技術相結合，包含準備、預防、檢測、保護、響應、監控、評價等。面對不斷出現的新興威脅，需要多種安全技術的協調與融合。安全體系像是企業/組織的免疫系統，體系的不斷完善、組織/人員的盡職盡責、全員的風險預警意識，才能真正做到主動管理風險。針對業務平臺存在的種種安全風險及威脅的現狀，我們提出如下解決方案：u 從安全技術體系角度出發，建立起運維審計管理體系和安全檢測及防護體系，利用“預警、檢測、防護、響應”的風險管理安全方法，指導業務平臺系統完成安全技術體系的建設。u 從安全組織體系和安全管理體系角度出發，建立起完善的組織架構、管理辦法以及工作計劃，根據PDCA流程的管理要求，完善業務平臺安全管理體系12、和組織體系的建設和優化。3.1安全運維管理及審計體系安全運維管理及審計體系主要面對上級主管部門要求的周期性主動安全檢查工作和內網安全審計兩方面工作內容，從事前預防和事后審計兩個角度實現安全運維工作計劃和安全管理規范的落地。u 在“事前”階段，對各業務平臺系統配置規范、自身漏洞管理兩個方面提供相應檢查的技術手段，避免由于配置不規范或漏洞存在而被惡意利用的風險，同時滿足上級單位對于基線安全達標的規范要求；u 在“事后”階段，對各業務系統運維行為、數據庫操作行為、第三方人員網絡應用行為進行安全審計，全面記錄網絡系統中的各種會話和事件，實現對網絡信息的智能關聯分析、評估及安全事件的準確定位，為事后追查13、及整體網絡安全策略的制定提供權威可靠的支持，同時滿足上級單位對于安全審計方面的規范要求。3.2安全檢測及防護體系u安全檢測及防護體系主要面對業務系統當前存在的風險和威脅，完成“事中”階段業務系統被動安全檢測及防護的工作內容，主要包括以下幾方面內容：u 骨干層網絡XXXX系統的建設，對由外部網絡向內部業務系統的網絡入侵行為實現實時監測，為后續防護策略細粒度的制定及安全事件應急處理給出準確的指導意見；u 各業務平臺內部入侵防護系統建設，對內部各業務系統之間的網絡入侵、蠕蟲病毒、木馬等方面進行實時監測及防護，實現各業務系統內部信息安全防護；u 針對已部署Portal門戶服務器，可對外提供WEB應用服14、務的業務系統實現專項WEB應用安全防護。3.3安全技術體系整體建設方案根據當前安全形勢、上級單位的管理要求及網絡現狀的分析，我們提出如下整體安全建設方案，主要關注安全運維管理及審計體系建設及安全檢測機防護體系建設兩個方面的內容，以滿足前文所述的“事前”、“事中”、“事后”的全周期整體網絡安全防護需求。安全產品整體部署示意圖3.3.1安全運維管理及審計體系建設3.3.1.1安全運維管理體系針對增值業務平臺整體平面提供安全運維管理的技術手段，在骨干層匯聚交換機處部署遠程安全評估系統和配置核查系統，在保證IP可達的前提條件下，實現對網絡中各服務器、網絡設備、終端進行漏洞管理和配置規范檢查的工作，在業15、務系統上線之前或日常運維過程中，提前發現系統內存在的配置錯誤或系統漏洞，避免網絡存在可供利用的安全隱患，滿足上級單位文提出的基線達標的技術要求以及實現新業務系統上線安全驗收標準的落實。3.3.1.2安全審計體系針對各增值業務平臺分別提供細粒度的安全審計技術手段，在各業務平臺內部組網交換機處，利用流量鏡像方式將網絡流量發送到安全審計設備處，安全審計設備完成包括數據庫操作行為、第三方人員網絡應用行為等在內的常見內網應用進行檢測、記錄及告警上報的工作，滿足上級單位安全管理規范中對安全審計方面的具體要求。3.3.2安全檢測及防護體系建設3.3.2.1骨干層安全檢測及防護體系u 在骨干層部署入侵檢測系統16、，對緩沖區溢出、SQL注入、暴力猜測、DDoS攻擊、掃描探測等常見外網惡意入侵行為進行檢測及上報，滿足上級單位對于邊界防護的具體技術要求；u 在骨干層核心交換機處旁路部署抗拒絕服務攻擊產品，針對當前常見的SYN FLOOD、UDP FLOOD、ICMP FLOOD、CC、HTTP GET等常見鏈路帶寬型、資源耗盡型和應用層DDoS攻擊實現專項防護，保護應用系統正在運行的安全。3.3.2.2各業務系統細粒度安全檢測及防護體系u 在部署有Web應用服務器的業務系統內部，串聯透明部署Web防火墻系統，實現對Web應用服務器的貼身式安全防護，有效阻止惡意人員通過SQL注入、XSS腳本、CSRF等等常見17、的WEB應用攻擊手段來獲取系統權限、竊取機密信息、傳播木馬病毒等行為；u 對于存在內部信息交互需求的業務系統之間，通過串聯方式部署入侵防護系統，提供細粒度的內網入侵檢測及防護能力，解決當前面臨的對于例如內網蠕蟲爆發、木馬傳播等安全事件缺乏有效檢測手段的安全隱患。3.4本期項目建設建議方案根據上級單位管理規范要求、當前信息安全形勢以及業務平臺當前安全風險及事件的分析，結合我們在安全技術體系建設的研究經驗，建議本期項目完成如下工作內容：u 為了實現系統對網絡惡意入侵、端口掃描、內網病毒等攻擊進行實時監測及上報的功能，本期建議部署入侵檢測系統。u 為了解決當前常見的大流量DDoS拒絕服務攻擊的安全問18、題，保障業務平臺持續、穩定的提供服務，本期建議部署DDoS拒絕服務攻擊專項防護系統。u 為了實現針對WEB應用常見的類似SQL注入、XSS跨站腳本等攻擊手段進行實時防護的功能，本期建議部署WEB應用防護系統。3.4.1安全產品部署拓撲圖安全產品部署示意圖u 本期項目在XX交換機與XX、XX、XX網絡間新增入侵檢測系統一套。首先需將原有業務鏈路按比例進行分光放大，然后接入入侵檢測系統中，從增值業務平臺整體角度對安全威脅進行實時監控及檢測上報。u 本期項目在XX交換機處新增流量清洗系統一套，通過旁路部署方式接入至網絡中，規避單點故障引入的安全風險。當檢測到DDoS拒絕服務攻擊時，利用流量清洗系統內19、置的專業檢測及處理模塊，在增值業務平臺整體匯聚層面上即完成DDoS拒絕服務攻擊流量的清洗工作，避免攻擊流量傳遞到各平臺內部，保障增值業務平臺系統所承載的業務免受DDoS拒絕服務攻擊所影響。u 本期項目在XX和XX匯聚交換機之間新建兩套Web應用防護系統，通過Bypass光交換機透明串聯部署在網絡中，針對增值業務平臺中提供Web應用服務的平臺提供專項安全防護。既滿足了業務平臺整體WEB應用安全防護的需求，同時通過光路Bypass功能也規避了串聯安全防護設備所面臨的單點故障引入的安全風險。3.4.2信號流程u 入侵檢測信號流 將網絡流量通過分光方式傳送到入侵檢測系統，完成包括應用層漏洞攻擊、緩沖區20、溢出、端口掃描等網絡入侵攻擊行為的實時檢測及上報工作。u 抗拒絕服務信號流 在檢測到DDoS攻擊后，并非采取簡單的阻斷手段進行處理，而是將正常網絡流量與DDoS攻擊流量通過BGP、OSPF、靜態路由等相應路由協議共同牽引至抗拒絕服務攻擊系統進行專項流量清洗處理工作，再將處理后的正常網絡流量回注至增值業務平臺網絡內部，在保障DDoS攻擊流量被清洗掉的同時，亦可滿足正常網絡流量的通過要求。u WEB應用攻擊防護信號流 隨著WEB應用的愈加廣泛與復雜，正常WEB應用行為與利用WEB進行的惡意攻擊行為混雜在一起，傳統防火墻等防護手段對此束手無策。而當信號流經過串聯部署的WEB應用防護系統處理后，正常W21、EB應用流被允許通過，WEB應用惡意攻擊行為被實時攔截，可有效保護WEB應用服務器的安全。3.5產品列表產品名稱產品功能型號數目入侵檢測系統對網絡惡意入侵、端口掃描、內網病毒等攻擊進行實時監測1異常流量清洗系統對常見網絡層DDoS和應用層DDoS攻擊進行實時防護，清洗異常流量，保障正常流量通過。1WEB應用防火墻通過行為模式分析，協議還原等手段對WEB應用常見的類似SQL注入、XSS跨站腳本攻擊等OWASP TOP10攻擊手段進行實時防護23.6方案總結經過以上本期信息安全防護體系的部署及實施，XXX公司增值業務平臺整體安全性得到全面的提升，完成了核心骨干層及WEB應用層網絡的安全檢測及防護體系的建設工作，包括如防DDoS攻擊、入侵檢測、Web應用安全防護等方面的具體工作內容，有效抵御當前業務平臺面臨的安全風險及威脅，同時滿足是上級主管部門對于業務平臺的相關安全管理規范和檢查要求，為業務平臺安全穩定的運行保駕護航。四、 XXXX產品功能簡介4.1產品簡介4.1.1 XXXX入侵檢測產品4.1.2 XXX WEB應用防火墻4.1.3 XXXX抗拒絕服務攻擊系統4.2 產品優勢五、 附錄：公司介紹