中国联通互联网增值业务安全措施方案

1、一、业务维护堡垒机:1、堡垒机架构示意图 2、堡垒机功能2.1 集中管理，实现单点登录 所有用户对后台设备的操作，都要先登录堡垒机的WEB管理界面（堡垒机作为后台设备访问的唯一入口，实现单点登录），然后再根据堡垒机管理员预先设置好的访问控制规则，自动登录到后台目标设备上去。具体方式如下： 普通用户按照登录流程，首先登录到堡垒机的WEB页面，然后可以在“设备访问”项里面，看到可访问的设备列表。选择好系统账号，并点击相应设备后面的“图形”服务，即可自动登录到图形管理界面上去进行任何操作，同理，点击“字符”服务，即可自动登录到字符管理界面上去进行任何操作。 2.2 账号管理，实现用户实名制 堡垒机为

2、每个用户分配了独一无二的用户账号，设备上的系统账号不变，通过把多个用户账号和单个系统账号做关联(用户账号完成身份认证，系统账号完成系统授权)，可以在不同的用户使用相同的系统帐号访问目标设备的时候，堡垒机依然可以准确识别用户的身份，让用户的身份和具体的操作一一对应起来，从而实现用户实名制管理。 2.3 访问控制，防止非授权访问堡垒机可以根据用户/用户组、设备/设备组、系统帐号和时间来设置详细的访问控制规则，设置完成后，用户只能按照规则设置来访问相应资源，彻底杜绝了非授权访问所带来的问题。 2.4 权限控制，实现主动预防 对于Unix设备来说，权限的多少取决于用户可以执行的命令。所以，针对操作指令

3、的控制才是核心。堡垒机可以针对超级用户（root）做操作权限的控制，当多人同时使用一个系统账号时，堡垒机可以对同一个系统账号进行权限再分配，保证使用同一个系统账号的不同用户拥有不同的权限，这就彻底解决了共享账号和root用户权限 的问题，真正实现细粒度的操作权限控制。对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。对于用户的操作可以有3种状态：允许，拒绝，禁止。对于高危命令（删除，重起，关机等）可以实时告警，一旦高危操作触发，会立即给相关人员发送告警邮件，保证用户在第一时间内知道高危操作是否对系统有影响。 2.5 密码托管，实现自动登录 对于目标设备的访问账号密码，可以由堡垒机进行

4、集中托管，只要配置管理员在相应设备的密码管理中将目标设备的账号密码添加上去即可； 使用了密码托管功能后，用户以后访问目标设备时，只需要记住自己的堡垒机上的账号和密码，即可通过堡垒机自动登录目标设备。 2.6 自动改密，实现密码集中管理 堡垒机可以灵活配置目标设备密码的修改策略，实现密码的批量定期自动修改，修改后的结果可以以加密邮件方式发送给密码保管员，从而实现密码的集中管理，同时密码保管员也可以随时在系统的WEB界面打包备份设备的密码到本地，提高改密功能可用性。 2.7 实时监控，实现操作透明 对于普通用户登录到目标设备上正在进行的操作，审计管理员可以再Shterm的WEB界面做到实时监控，做

5、到边操作边审计，真正实现实现操作透明； 同时对于用户的违规操作，审计管理员还可以做到实时切断。 2.8 操作审计，实现完整记录 Shterm可以完整记录用户的所有操作行为，具体体现在： 所见即所得：记录用户真实、原始的操作，而不是处理过的操作； 以人为本：基于用户身份和工作角色的双审计，保证操作审计到人； 关联分析：完整记录用户多次联系跳转的操作会话，准确分析关联操作； 支持基于Http/Https协议的操作审计； 深度审计 为了进一步增加运维操作的完善性，Shterm可以记录图形操作的鼠标点击情况和键盘输入情况，从而实现深度审计。 快速定位： 对历史字符操作会话，可以实现从任一命令点回放下面

6、的操作。对历史图形操作会话，还可以做到完整得在线回放和下载到本地回放，回放方式支持拖拉定位、倍速回放和自动过滤静止会话。 2.9 操作搜索，实现快速定位 对于历史操作记录，都可以按照时间、用户账号、目标设备、系统账号、命令关键字进行搜索，在最短的时间内找到相关日志内容，实现快速定位。二、业务安全： 软件WAF安全狗网络中服务器均配置安装安全狗安全套件，用软件的形势达到硬件waf功能的需求。所有web业务服务器均部署网站安全狗+服务器安全狗双重防护模式，从web及系统层对业务及服务器系统进行安全保护，从而实现整体业务高安全性的要求。1、网站安全狗网站安全狗其主要功能涵盖网马查杀、主动防御、.Ne

7、t 设置、流量保护、资源保护、网站监控、IP 黑白名单管理以及防护日志查询等模块，能够为用户提供实时的网站安全防护，避免各类针对网站的攻击所带来的危害。1.1网站木马查杀 木马扫描方式可以分为：（1）全站扫描：对 IIS 服务器上的所有站点，包括运行中和未运行的站点进行扫描。目前支持第一级的虚拟目录。（2）自定义网站扫描：扫描选择的本地网站。需选择扫描的网站域名。（3）自定义路径扫描：扫描选择的文件路径。需选择扫描的路径。 1.2 主动防御（1） 网站漏洞防护根据攻击特征库，对用户输入进行过滤，用于检测实时的 SQL 注入，主动防御引擎，并及时屏蔽恶意攻击，从而达到防护网站的目的。（2） 网马

8、防护主动拦截上传或浏览的网页木马，保护网站不受网络木马的攻击。（3）危险组件防护拦截恶意代码对组件的破坏，保护网站安全。禁止对外发送数据包，可以有效的防止网站被挂马后，利用 PHP 程序、ASP 程序以及网站上的其他组件对外进行发包占用机器带宽，导致正常业务无法运行的情况出现。（4）禁止 IIS 执行程序v 提供设置应用程序和应用程序池白名单：白名单中的应用程序和应用程序池不受禁止 IIS 执行程序的限制。v 支持限制命令行最大长度，长度范围：300-800。1.3 .Net 设置安全模式设置.Net 使用代码访问安全性策略将权限授予程序集。权限可准确界定哪些程序集类型能访问。用户可以根据网站

9、的的资源类型设置对应的权限级别。（1）完整模式：没有任何权限限制，容易产生一些安全问题（系统默认为此模式）；（2）高级模式：屏蔽大部分的危险功能（部分网站会受到影响），保证网站安全运行（强烈建议您使用高级模式）；厦门服云信息科技有限公司 25（3）中级模式：屏蔽了一些常用功能，部分网站无法正常运行（不推荐您使用此模式）；（4）低级模式：屏蔽了大部分常用功能，大部分网站无法正常运行（不推荐您使用此模式）；（5）初级模式：屏蔽了绝大部分常用功能，绝大部分网站无法正常运行（不推荐您使用此模式）。v 提供禁止第三方非法修改.Net 配置的功能，保护.Net 网站安全。1.4流量保护（1）保护网站不受到

10、 CC 工具发起的 DDoS 攻击；（2）能够限制单个访问用户下载服务器某个特定资源的线程数目；（3）能够根据 IP 黑白名单，禁止某个 IP 或者 IP 段的访问网站。1.5资源保护保护网站资源，防止特定文件被非法下载，拒绝防盗链。1.6 IP 黑白名单通过设置一些 IP 地址为黑名单地址或者白名单地址，从而控制它们访问网站。1.7防护日志提供系统日志查看和删除功能。（1）提供按指定时间段来查看日志的功能。（2）能够查询及删除所选日期的日志。（3）能够设置日志保存天数。（3）支持日志内容右键，将日志内容的 IP 添加到白名单或者黑名单中。2、服务器安全狗功能涵盖了服务器系统优化（包括服务器漏

11、洞补丁修复等）、服务器程序守护、远程桌面监控、文件目录守护、系统帐号监控、DDOS 防火墙、ARP 防火墙、Web 防火墙、安全策略设置以及邮件实时告警等多方面模块，为用户的服务器在运营过程中提供完善的保护，使其免受恶意的攻击和破坏。我司将根据业务及维护特性，对如下功能进行使用。2.1系统漏洞修复通过启用服务器安全狗系统漏洞扫描及修复功能，及时修复加固源自于系统侧的漏洞，减少或杜绝公开漏洞的被利用。2.2杀毒服务器安全狗，是一款专业杀毒和安全软件，能兼容服务器上多款软件，安全、杀毒集一身。2.3网络防火墙2.3.1通过设置三层防火墙保护，来实时保护服务器的网络安全。（1）防火墙：防护服务器 DDOS 攻击，ARP 攻击，WEB 防火墙攻击，实时拦截恶意攻击。（2）安全策略：设置安全策略，保护服务不会非法访问。（3）超级黑白名单：设置黑白名单，实时检测访问来源的合法性。2.3.2 web防火墙（1）访问规则：设置某段时间（11000 秒）内，允许单 IP 请求数（1