安恒信息电信行业IDC安全增值服务解决方案

电信行业IDC安全增值服务解决方案方案概述安全现状分析随着互联网的发展，金融网上交易、政府电子政务、企业门户网站等各类基于HTML文件格式的信息共享平台越发完善，深入到人们生活中的点点滴滴。然而WEB服务方式在给用户提供方便快捷的同时，针对WEB业务的攻击亦在迅猛增长，类似网页被篡改或者网站被入侵等安全事件频繁发生，不但严重影响了组织的形象和信誉，有时甚至会造成巨大的经济损失，或者严重的社会问题，严重危及国家安全和人民利益。一般应用安全威胁分为信息篡改、拒绝服务攻击、信息泄露三类。1.信息篡改组织对外服务应用系统作为“组织形象”的标志之一，常常是一些不法分子的重点攻击对象。尤其是大型门户网站一旦被篡改（加入一些敏感的显性内容），常常会引发较大的影响，严重时甚至会造成政治事件。另外一种篡改方式是网页挂马：网页内容表面上没有任何异常，却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害，但却会给浏览网站的用户带来损失。更重要的是，政府网站一旦被挂马，其权威性和公信力将会受到打击，最终给电子政务的普及带来重大影响。1.拒绝服务攻击对企业、公众提供在线服务，已经成为组织对外服务应用系统的重要功能之一。这些服务一旦受到拒绝服务攻击而瘫痪、终止，对业务的正常运转必然造成极大的影响，可能会造成经济损失，严重时甚至会影响社会稳定。1.信息泄露在线业务系统中，总是需要保存一些企业、公众的相关资料，这些资料往往涉及到企业秘密和个人隐私，一旦泄露，会造成企业或个人的利益受损，可能会给单位带来严重的法律纠纷。除此之外，在IDC特定的环境中，数据在传输过程中存在被监听、被窃取、被破坏等风险，最终导致信息篡改、信息泄露等；也容易遭受ARP欺骗、IP欺骗等网络层的攻击，导致业务系统无法正常工作，可能造成严重的经济损失以及公众信誉度。由于中国IDC行业特有的业务模式，导致其网络安全需求不一致，这使得目前IDC机房网络安全出现以下情况：某些IDC用户没有任何的安全防护措施，最好的状态是部署了网络防火墙，同时在其服务器上安装了杀毒软件。但是，仅仅是网络防火墙和杀毒软件并不能对SQL注入、跨站脚本、网页篡改、信息泄露、拒绝服务攻击等网络层和应用层的安全风险进行防护。另外，IDC用户对于突发攻击事件没有做任何的应急措施，这导致当攻击事件发生时,IDC用户无法及时地阻断攻击，恢复系统，使系统能够正常运行。而有效的安全应急响应措施能够在恶意攻击事件发生时，及时地阻断攻击，恢复系统，事后追根溯源，发现安全弱点，并进行安全加固，提高IDC用户网络安全水平，以及用户信誉度。安全需求分析WEB应用系统直接面向Internet，以WEB应用系统为跳板入侵服务器甚至控制整个内网系统的攻击行为已成为最普遍的攻击手段。据Gartner的最新调查，目前75%以上的攻击行为都基于WEB应用层面而非网络层面；同时数据显示，三分之二的WEB站点都相当脆弱，易受攻击。不少电信行业网站接入客户（IDC用户和专线用户）已经意识到，针对WEB应用系统进行相应的安全评估、安全防护在保障网站的正常运行方面不可或缺。一般来说，对于网站运行稳定性和安全性要求较高、本身具有一定经济实力的网站接入客户通常会选择以下三种方式，保证对外服务网站的正常运营：1.技术型用户投入大量财力，自行购买和部署权威有效的安全评估和防护产品；投入大量人力，建立专门的安全部门和机构，建立完善的信息安全管理流程和策略，自行进行信息安全管理；1.支持型用户自行购买和部署部分权威有效的WEB应用安全防护产品；同时聘请第三方专业安全服务提供商，定期进行WEB应用安全评估、应急响应、安全培训等服务；1.外包型用户投入一定的财力聘请第三方专业安全服务提供商，将整个应用安全以完全外包的方式交由服务提供商全权负责。然而，对于大部分的中小型网站接入客户而言，由于其本身经济实力有限，且不具备专业的信息安全技术人员，在有限的成本和人力资源条件下，以上三种目前市面上通常采纳的安全解决方案，无法满足其安全建设成本要求，普通网站接入客户望而却步，安全产品和安全服务也无法得到全面的推广。因此，谁能够及早设计、提供一种具有低廉的安全建设成本，一体化外包式的安全保障业务，谁就能占领大部分经济实力有限的中小型网站接入客户；在解决客户应用安全燃眉之急的同时，将带来巨大的经济效益。技术方案方案设计原则安全可靠性：使用的安全产品能够稳定可靠的系统中运行。技术先进性：采用的安全技术必须有足够的先进性。技术成熟性：必须是已经经过实际应用的安全技术和产品。可管理性：安全产品应该宜于管理，非专业安全技术人员也能在指导下使用。可扩展性：在系统升级或扩容时，能保持一定的扩充性能。满足国家相关法律法规和国家标准。服务内容“安恒信息”提供的电信行业IDC安全增值服务方案中建议安全增值服务内容包括应用安全与数据库安全两个方面，其中应用安全方面包括WEB应用漏洞检测服务、网页木马检测服务、网页篡改监测服务、网页可用性监测服务、网页敏感信息监测服务、WEB应用攻击防护服务、安全响应服务等。数据库安全方面包括数据库脆弱性检测服务、数据库动态审计服务、安全响应服务等。应用安全1.WEB应用漏洞监测服务定期自动检测门户网站系统的漏洞，并跟踪漏洞的修复情况，从而使为网站的漏洞得以快速修复，降低网站被入侵的风险。2.网页木马监测服务采用特征分析和沙盒行为分析技术对网站进行木马监测，监测精度高达99%，从而实现快速、准确的发现和定位网页木马，确保用户在第一时间发现感染的木马并及时有效消除。3.网页篡改监测服务通过远程定时监测技术，可以有效的监测网页篡改行为，特别是一些越权篡改、暗链篡改等情形。并针对篡改方式提供篡改截图取证功能，极大的提升了事件处理效率。4.网页可用性监测服务基于远程监测技术可以解决IDC用户WEB应用的实时可用性要求。5.网页敏感信息监测服务采用中文关键词以及语义分析技术对网站进行敏感关键字监测，实现精确的敏感字识别，确保网站内容符合互联网相关规定，避免出现敏感信息以及被监管部门封杀。6.安全响应服务为客户提供全天候的技术咨询、技术支持热线。当客户遭遇突发安全事件而无法自行处理时，客户可与专业安全工程师直接沟通。专业安全工程师将远程协助客户进行安全加固，解决安全故障，提供应急咨询、处理跟踪等安全响应服务。7.自助服务平台将向客户提供基于WEB的自助系统，通过自助界面客户可以了解当前被监控应用系统捕获的的应用漏洞信息、重要应用系统的运行状态和网页访问效率等，并且可以下载安全月报、安全信息、系统漏洞扫描报告和模拟入侵报告等。自助系统登陆采用密码认证结合数字证书，确保系统的安全性，避免客户网络的敏感数据被泄露。当监控到网络安全威胁、客户WEB应用系统遭受到SQL注入攻击、XSS跨站攻击等恶意攻击事件时，将在自助系统产生实时告警信息。8.邮件告警服务在自助系统产生实时告警信息时，同步通过邮件向指定电子邮件账号发送邮件告警信息。9.短信告警服务在自助系统产生实时告警信息时，同步通过短信向指定移动终端发送短信告警信息。10.入侵分析及支持客户发生入侵事件时，对事件原因进行分析并且提供恢复服务。11.WEB应用攻击防护服务12.WEB攻击实时检测与阻断采用直连透明部署的方式实时检测和分析针对被保护应用系统的访问数据流。内置安全模型，能够分析异常访问行为，并采取实时阻断动作或其他预知的措施。内置攻击行为分析引擎，能够精准捕获各类应用攻击行为，并采取实时阻断动作或其他预知的措施。13.自定义策略支持开展业务访问行为分析；支持融合业务特性的策略自定义。14.安全审计详细记录攻击特征及攻击者IP地址、时间、攻击对象等信息，方便开展取证及后续追踪。支持业务审计，可以有效分析应用系统的访问情况，方便进行针对性的调整，提高服务质量。15.人工渗透测试服务提供专业安全工程师模拟黑客进行攻击，用于验证应用系统防护体系的健壮性及安全策略的有效性，并且提供针对性极强的加固措施。数据库安全1.数据库安全扫描服务扫描发现数据库不安全配置或者潜在漏洞，具备强大的发现弱口令及数据库潜藏木马的功能，保障数据库系统基础配置的安全水平。输出脆弱性检测报告并提供改进建议。2.数据库动态审计服务以独立硬件审计的工作模式，灵活的审计策略配置，解决核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规对数据库审计的要求。直接提升数据库和主机运行监控的透明度，降低人工审计成本，真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。3.安全响应服务为客户提供全天候的技术咨询、技术支持热线。当客户遭遇突发安全事件而无法自行处理时，客户可与专业安全工程师直接沟通。专业安全工程师将远程协助客户进行安全加固，解决安全故障，提供应急咨询、处理跟踪等安全响应服务。4.自助服务当监控到数据库安全威胁、客户数据库系统遭受到恶意攻击事件时，将在自助系统产生实时告警信息。5.邮件告警服务在自助系统产生实时告警信息时，同步通过邮件向指定电子邮件账号发送邮件告警信息。6.短信告警服务在自助系统产生实时告警信息时，同步通过短信向指定移动终端发送短信告警信息。业务实现电信行业IDC安全增值服务业务实现，如图：由图可知，电信行业IDC安全增值服务运营中心由核心运营平台云计算中心、客户服务支撑系统、专家团队三大部分组成，电信通过电信行业IDC安全增值服务运营中心实现向IDC用户提供安全增值服务（包括WEB应用漏洞检测服务、网页木马检测服务、网页篡改监测服务、网页可用性监测服务、网页敏感信息监测服务、WEB应用攻击防护服务、数据库安全扫描服务、数据库动态审计服务、安全响应服务）。技术架构“安恒信息”为电信行业IDC安全增值服务技术方案设计示意图如下：明御WEB应用防火墙（简称：WAF）是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如PCI、等级保护、企业内部控制规范等要求，以国内首创的全透明部署模式全面支持HTTPS，在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护，对WEB应用实施全面、深度防御，能够有效识别、阻止日益盛行的WEB应用恶意攻击（如SQL注入、命令注入、盲注、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、盗链攻击、恶意扫描、恶意爬虫、Cookie注入、CSRF攻击、目录遍历等等），为Web应用提供全方位的防护解决方案。明鉴应用安全综合监测平台是一套集成多种技术，满足应用安全需求的系统，包含有漏洞监测、篡改监测、可用性监测、关键字监测等功能。WEB漏洞监测：定期自动监测网站的漏洞，并跟踪漏洞的修复情况从而使网站的漏洞得以快速修复，降低网站被入侵的风险。网页木马监测：采用特征分析和沙盒行为分析技术对网站进行木马监测，监测精度高达99%，从而实现快速、准确的发现和定位网页木马，确保用户在第一时间发现感染的木马并及时消除。网页篡改监测：通过远程定时监测技术，可以有效的监测网页篡改行为，特别是一些越权篡改、暗链篡改等情形。并针对篡改方式提供篡改截图取证功能，极大的提升了事件处理效率。网站可用性监测：基于远程监测技术可以有效的监测到域名劫持、DNS中毒、ISP线路等原因导致的网站可用性问题。提供多线路监测技术，使用户对网站的可用性获得更为全面详细的数据，如业务中断、访问延时、不同ISP服务质量等。网页关键字监测：采用中文关键词以及语义分析技术对网站进行敏感关键字监测，实现精确的敏感字识别，确保网站内容符合互联网相关规定，避免出现敏感信息以及被监管部门封杀。明御数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现：对数据库的对象（包括用户（数据库）、表、字段、视图、索引、存储过程、包等）进行审计规则定制；制定细粒度的审计规则，如精细到表、字段、具体报文内容的细粒度审计规则，实现对敏感信息的精细监控；基于IP地址、MAC地址和端口号审计；根据SQL执行时间长短、根