网络信息安全加固方案教学提纲

1、文档编码 : CO5R4R9I4A9 HY7T2J6J3X8 ZS3K5O10S7G3XXXX业务网网络信息安全加固项目案例介绍一、概述随着信息化技术的深化和互联网的快速进展,整个世界正在快速地融为一体,IT 系统已经成为 XXX 整合、共享内部资源的核心平台,同时,随着XXX经营理念的不断深化,利用各种各样的业务平台来为 XXX供应更多的增值业务服务的情形越来越多,因此 IT 系统及各种各样的业务平台在 XXX系统内的位置越来越重要,更为 XXX供应的新业务利润增长做出了不行磨灭的贡献；相伴着网络的进展,也产生了各种各样的安全风险和威逼,网络中蠕虫、 病毒及垃圾邮件肆意泛滥,木马无孔不入,D

2、DOS 攻击越来越常见、WEB 应用安全大事层出不穷、,黑客攻击行为几乎每时每刻都在发生,而相伴着上级主管部门对于信息安全的重视及审查工作愈加深化,全部这些风险防范及安全审查工作极大的困扰着 XXX 运维人员,能否准时发觉网络黑客的入侵,有效地检测出网络中的反常流量,并同时在“ 事前”、“ 事中” 及“ 事后” 都能主动帮忙 XXX 完成自身信息安全体系的建设以及中意上级部门审查规范,已成为 XXX 运维人员所面临的一个重要问题；本方案针对 XXXX公司业务平台的安全现状进行分析,并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作,详细的产品及服务解决方案；从安全技

3、术体系建设的角度给出二、网络现状及风险分析2.1 网络现状XXXXXXXXXXXXXXXXXXXXXXXXXX业务平台拓扑图XXXX公司业务平台网络共有包括 XXX、XXX、XXX平台等四十余个业务系统,（因涉及客户信息,整体网络架构详述略）业务平台内部依据业务种类的不同,分别部署有数据库、报表、日志等相应业务系统服务器；2.2 风险及威逼分析依据上述网络架构进行分析,我们认为该业务平台存在如下安全隐患：1.随着攻击者学问的日趋成熟,攻击工具与手法的日趋复杂多样,单纯XX的已经无法中意信息安全防护的需要,部署了XX的安全保证体系仍需要进一步完善,防火墙系统的不足主要有以下几个方面（略）2. 当

4、前网络不具备针对 X 攻击专项的检测及防护才能；（略）3. 对正常网络拜望行为导致的信息泄密大事、网络资源滥用行为等方面难以实现针对内容、行为的监控治理及安全大事的追查取证；4. 当前 XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络拜望行为的有效监控技术手段,因此对正常网络拜望行为导致的信息泄密大事、网络资源滥用行为等方面难以实现针对内容、行为的监控治理及安全大事的追查取证；5.随着 XX业务平台自有门户网站的建设,Web应用已经为最普遍的信息呈现和业务治理的接入方式和技术手段,正由于空前的流行,致使75%以上的攻击都瞄准了网站 Web应用；这些攻击可能导致 XXX遭受声誉和经济缺失,

5、可能造成恶劣的社会影响；当前增值业务平台主要面对如下WEB应用方面的风险和威逼：1防火墙在阻挡Web应用攻击时才能不足,无法检测及阻断隐匿在正常拜望流量内的 WEB应用层攻击；2 对于已经上线运行的网站,用简洁的方法修补漏洞需要付出过高的代价；3 面对集团对于 WEB应用安全方面的的“ 合规检查” 的压力；6. 随着信息安全的进展,XXXX集团在信息安全领域的治理制度也愈加规范和细化,在网络、系统、应用等多方面提出了相应的安全要求、检查细项及考核方法,并已将信息安全工作纳入到日常运维工作中去；在近期发布的XXXXX平台安全管理方法 试行 、XXXX新建业务平台安全验收指引（试行）等治理规范中,

6、明确说明白增值业务平台需要建设XXXX系统、 XXXX系统对业务平台网络边界进行防护,另外亦需要对系统漏洞、数据库漏洞、WEB应用等方面供应安全防护；由此可见,业务平台当前缺乏相应的整体的安全监测及防护手段,无法中意上级主管部门的治理要求；2.3 信息安全形势分析1.系统漏洞仍旧是XXX网络面临的安全风险之一；据国家信息安全漏洞共享平台（CNVD）收录的漏洞统计,2022 年发觉涉及电信运营企业网络设备（如路由器、交换机等） 的漏洞 203 个,其中高危漏洞 73 个；发觉直接面对公众服务的零日 DNS漏洞 23个, 应用广泛的域名解析服务器软件 Bind9 漏洞 7 个；2. 拒绝服务攻击对

7、 XXX业务运营造成较大损害及破坏企业形象,2022 年发生的分布式拒绝服务攻击（DDoS）大事中平均约有 7%的大事涉及到基础电信运营企业的域名系统或服务；2022 年 7 月域名注册服务机构XXXX的 DNS服务器遭受DDoS攻击,导致其负责解析的域名在部分地区无法解析；2022 年 8 月,某 XXXDNS服务器也连续两次遭到拒绝服务攻击,造成局部用户无法正常使用互联网；3.网站安全大事层出不穷,黑客利用SQL注入、 XSS脚本攻击等工具和技术手段进行网页篡改及信息窃取以非法获利,造成较大社会影响；在CNCERT接收的网络安全大事不含漏洞 中,网站安全类大事占到 61.7%；境内被篡改网

8、站数量为 36612 个,较 2022年增加 5.1%；4 月-12 月被植入网站后门的境内网站为 12513 个；4. 受控僵尸主机数目有增无减,黑客利用受控主机进行信息窃取、跳板类攻击等现象逐步增多；据抽样检测说明,2022 年境外有近 4.7 万个 IP 地址作为木马或僵尸网络控降服务器参与把握我国境内主机,其把握的境内主机数量由 近 890 万,显现大规模化扩散趋势；2.4 XXX 安全大事1. 系统及主机漏洞利用类：2022 年的近 500 万增加至XX 网相册漏洞利用：X 网相册存在上传漏洞,被国家安全人员上传恶意文件猎取系统 root 权限,该大事曾上报至副总理及政治局常委处,影

9、响程度深、影响范畴广；充值系统漏洞利用：某黑客组织利用XXX 充值卡系统漏洞,使用网络渗透手段、黑客工具等方法运算出充值卡号进行出售,造成未售出的充值卡已被充值使用或手机免费充值的情形；话费系统漏洞利用：利用系统漏洞入侵话费系统,篡改话费信息；网厅、积分商城WEB应用漏洞攻击：利用网站漏洞入侵XXX网站,猎取客户信息、冒充客户进行业务订阅或修改客户积分,达到非法获利的目的；2. 木马及病毒传播类：内部办公主机被控：某 XXX 被发觉其内部运算机被境外人员通过木马方式把握,同时该运算机向内部网络扩散蠕虫病毒,可窃取运算机硬盘文件、重要账号等关键数据；3. 网页篡改类： XXXX 网站曾多次发觉主

10、页被篡改,植入广告及其他恶意内容,使其变成非法信息传播的平台,影响企业形象,并对业务平台运行带来安全隐患；4.分布式拒绝服务（DDoS）攻击类： XX 网站曾发觉遭受DDoS 拒绝服务攻击,造成其视频业务受损,客户反响猛烈；三、安全解决方案随着 XX 业务平台供应的服务不断增加,IT 架构与系统也变得更复杂,安全体系也应随需而变；在多年不断争论和实践的基础上,我们提出了全新的安全体系框架；安全体系为安全战略服务,我们设计的安全体系包含安全组织体系、安全治理体系、 安全技术体系；在安全组织体系中,要建立组织、明确职责、提高人员安全技能、重视雇用期间的安全、要与绩效结合；在安全治理体系中,以安全策

11、略为主线,落实安全制度和流程,对记录存档；我们从正确安全实践动身,将安全治理体系中的过程动态化、连续化, 包含风险评估程序、安全工作方案、安全项目治理、运行爱惜监控、安全审计程序、连续改进方案等,真正与 XXX增值业务平台安全建设和安全保证过程结合起来；在安全技术体系中,将多种安全技术相结合,包含预备、 预防、检测、爱惜、响应、监控、评判等；面对不断显现的新兴威逼,需要多种安全技术的和谐与融合；安全体系像是企业/组织的免疫系统,体系的不断完善、组织/ 人员的尽职尽责、全员的风险预警意识,才能真正做到主动治理风险；针对业务平台存在的种种安全风险及威逼的现状,我们提出如下解决方案：从安全技术体系角

12、度动身,建立起运维审计治理体系和安全检测及防护体系,利用“ 预警、检测、防护、响应” 的风险治理安全方法,指导业务平台系统完成安全技术体系的建设；从安全组织体系和安全治理体系角度动身,建立起完善的组织架构、治理方法以及工作方案,依据 PDCA流程的治理要求,完善业务平台安全治理体系和组织体系的建设和优化；3.1 安全运维治理及审计体系安全运维治理及审计体系主要面对上级主管部门要求的周期性主动安全检查工作和内网安全审计两方面工作内容,治理规范的落地；从事前预防和事后审计两个角度实现安全运维工作方案和安全在“ 事前”阶段, 对各业务平台系统配置规范、自身漏洞治理两个方面供应相应检查的技术手段, 防

13、止由于配置不规范或漏洞存在而被恶意利用的风险,同时中意上级单位对于基线安全达标的规范要求；在“ 事后” 阶段,对各业务系统运维行为、数据库操作行为、第三方人员网络应用行为进行安全审计,全面记录网络系统中的各种会话和大事,实现对网络信息的智能关联分析、 评估及安全大事的精确定位,为事后追查及整体网络安全策略的制定供应权威牢靠的支持,同时中意上级单位对于安全审计方面的规范要求；3.2 安全检测及防护体系安全检测及防护体系主要面对业务系统当前存在的风险和威逼,完成“ 事中”阶段业务系统被动安全检测及防护的工作内容,主要包括以下几方面内容：骨干层网络 XXXX系统的建设,对由外部网络向内部业务系统的网

14、络入侵行为实现实时监测,为后续防护策略细粒度的制定及安全大事应急处理给出精确的指导看法；各业务平台内部入侵防护系统建设,对内部各业务系统之间的网络入侵、蠕虫病毒、木马等方面进行实时监测及防护,实现各业务系统内部信息安全防护；针对已部署 Portal 门户服务器, 可对外供应 WEB应用服务的业务系统实现专项 WEB应用安全防护；3.3 安全技术体系整体建设方案依据当前安全形势、上级单位的治理要求及网络现状的分析,我们提出如下整体安全建设方案,主要关注安全运维治理及审计体系建设及安全检测机防护体系建设两个方面的内容,以中意前文所述的“ 事前”、“ 事中” 、“ 事后” 的全周期整体网络安全防护需

15、求；BVS XXXXXXXXXRSAS NIDS 汇聚交换机汇聚交换机ADS 骨干层 XX平台XX平台其他平台安全产品整体部署示意图 3.3.1 安全运维治理及审计体系建设 安全运维治理体系针对增值业务平台整体平面供应安全运维治理的技术手段,在骨干层汇聚交换机处部署远程安全评估系统和配置核查系统,在保证 IP 可达的前提条件下, 实现对网络中各服务器、网络设备、 终端进行漏洞治理和配置规范检查的工作,在业务系统上线之前或日常运维过程中,提前发觉系统内存在的配置错误或系统漏洞,防止网络存在可供利用的安全隐患,中意上级单位文提出的基线达标的技术要求以及实现新业务系统上线安全验收标准的落实； 安全审

16、计体系针对各增值业务平台分别供应细粒度的安全审计技术手段,机处,利用流量镜像方式将网络流量发送到安全审计设备处,在各业务平台内部组网交换 安全审计设备完成包括数据库操作行为、 第三方人员网络应用行为等在内的常见内网应用进行检测、记录及告警上报的工作,中意上级单位安全治理规范中对安全审计方面的详细要求；3.3.2 安全检测及防护体系建设 骨干层安全检测及防护体系在骨干层部署入侵检测系统,对缓冲区溢出、SQL注入、暴力估计、DDoS 攻击、扫描探测等常见外网恶意入侵行为进行检测及上报,详细技术要求；中意上级单位对于边界防护的在骨干层核心交换机处旁路部署抗拒绝服务攻击产品,针对当前常见的SYN FL

17、OOD、UDP FLOOD、ICMP FLOOD、CC、HTTP GET等常见链路带宽型、资源耗尽型和应用 层 DDoS攻击实现专项防护,爱惜应用系统正在运行的安全； 各业务系统细粒度安全检测及防护体系 在部署有 Web 应用服务器的业务系统内部,串联透亮部署 Web 防火墙系统,实现 对 Web 应用服务器的贴身式安全防护,有效阻挡恶意人员通过 SQL注入、 XSS脚本、CSRF等等常见的 马病毒等行为；WEB应用攻击手段来猎取系统权限、窃取隐秘信息、传播木对于存在内部信息交互需求的业务系统之间,通过串联方式部署入侵防护系统,提供细粒度的内网入侵检测及防护才能,解决当前面临的对于例如内网蠕虫

18、爆发、木马传播等安全大事缺乏有效检测手段的安全隐患；3.4 本期项目建设建议方案依据上级单位治理规范要求、当前信息安全形势以及业务平台当前安全风险及大事的分析,结合我们在安全技术体系建设的争论体会,建议本期项目完成如下工作内容：为了实现系统对网络恶意入侵、端口扫描、 内网病毒等攻击进行实时监测及上报的功能,本期建议部署入侵检测系统；为明白决当前常见的大流量DDoS 拒绝服务攻击的安全问题,保证业务平台连续、稳固的供应服务,本期建议部署 DDoS拒绝服务攻击专项防护系统；为了实现针对 WEB 应用常见的类似 SQL注入、 XSS跨站脚本等攻击手段进行实时防护的功能,本期建议部署 WEB应用防护系

19、统；3.4.1 安全产品部署拓扑图XXXX2XXNIDS 入侵检测系统-1Web应用防护系统-2流量清洗系统Web应用防护系统XX翼校通XXXXXXXX组网交换机组网交换机.组网交换机治理组网交换机治理组网交换机治理.组网交换机治理数据库 日志日志日志日志日志日志安全产品部署示意图本期项目在 XX交换机与 XX、 XX、XX网络间新增入侵检测系统一套；第一需将原有业务链路按比例进行分光放大,然后接入入侵检测系统中,从增值业务平台整体角度对安全威逼进行实时监控及检测上报；本期项目在XX交换机处新增流量清洗系统一套,通过旁路部署方式接入至网络中,规避单点故障引入的安全风险；当检测到DDoS拒绝服务

20、攻击时,利用流量清洗系统内置的专业检测及处理模块,在增值业务平台整体汇聚层面上即完成 DDoS拒绝服务攻击流量的清洗工作,防止攻击流量传递到各平台内部,保证增值业务平台系统所承载的业务免受DDoS拒绝服务攻击所影响；本期项目在XX和 XX汇聚交换机之间新建两套Web 应用防护系统, 通过 Bypass 光交换机透亮串联部署在网络中,针对增值业务平台中供应Web 应用服务的平台提供专项安全防护；既中意了业务平台整体 WEB应用安全防护的需求,同时通过光路 Bypass 功能也规避了串联安全防护设备所面临的单点故障引入的安全风险；3.4.2 信号流程入侵检测信号流将网络流量通过分光方式传送到入侵检测系统,完成包括应用层漏洞攻击、缓冲区溢出、端口扫描等网络入侵攻击行为的实时检测及上报工作；抗拒绝服务信号流 在检测到 DDoS攻击后,并非实行简洁的阻断手段进行处理,而是将正常网络流量与 DDoS攻击流量通过BGP、OSPF、静态路由等相应路由协议共同牵引至抗拒绝服务攻击系统进行专项流量清洗处理工作,再将处理后的正常网络流