数据防护泄漏和防攻击方案

数据防护泄漏和防攻击方案

1项目概述

1.1项目背景

网络信息系统所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其是基于应用的新型威胁，极大地困扰着用户，给单位的信息网络造成严重的破坏，严重影响了信息化的进一步发展。不仅如此，安全威胁也使得数据泄漏问题更加严重和突出。

1.2项目目标

防止服务器的数据泄漏和网络攻击。

2建设方案

2.1设计原则

2.1.1体系化原则

遵循科学的平台架构体系和安全框架，满足后期各种服务器应用资源的接入要求，提供统一平台的应用。

2.1.2系统扩展性原则

系统具备良好的可扩展性，支持未来设备数量的增加。

2.1.3开放性，兼容性原则

方案满足各种设计规范、技术指标及产品均要符合国际和工业标准，并可提供多厂家产品的支持能力。系统中所采用的所有产品都要满足相关的国际标准和国家标准，是开放的可兼容系统，能与不同厂商的产品兼容，可以有效保护投资。

2.1.4安全性原则

在数据保密、系统安全防护措施上采取较严格的措施，进行缜密的权限、身份、帐号与信息加密管理，接受其他安全系统如统一身份认证系统的管理，以保证系统和数据的安全。

2.2设计思路

2.2.1整体方案拓扑

2.3方案说明

2.3.1威胁来源

感染病毒，病毒、恶意代码的传播，并导致系统遭到破坏；

口令管理不善会造成来自内部用户的对服务器的入侵和破坏；

3，数据库的安全隐患使内部用户有机会篡改或破坏数据，或在数据库系统中隐藏逻辑炸弹，构成对企业核心业务的重大威胁；

4，重要数据在传输过程中可能被泄密或被篡改；

2.3.2边界防护：下一代防火墙

传统防火墙无法有效分辨和检测出当今网络中出现的各种复杂应用，其中包括低风险应用（如WebEx,ERP,Oracle等），也包括高风险应用（如Bit，QQ、电驴下载等），因而更无法准确的识别和拦截各类应用中的安全风险。

下一代防火墙能精确分类与辨识出包括低风险、高风险在内的1000+种应用，根据应用不同风险等级分别进行不同级别的安全扫描，从而及时准确的识别和拦截各种威胁攻击，保障用户网络应用的安全性。

同时，下一代防火墙将当前网络中发生的一切安全威胁状况都及时清晰、可视直观的展现给用户，如当前网络中的应用流量分布，用户访问分布，以及在应用的安全防护中发现或拦截了哪些安全威胁等。

功能作用

应用识别与控制

在实际使用环境中，用户仍可以以其他方式将应用进行归类，并在一体化应用配置策略中进行引用。应用识别与控制功能就是为满足用户上述需求而产生。用户可先在应用过滤器中根据需求对应用进行多维查询，当确认过滤出的应用正是所需时，即可对此过滤器进行冠名保存。在之后的一体化应用策略配置中，用户可任意选择多个冠名过滤器，设备将会对过滤器中的归类应用，执行一致的识

别和控制策略，极大的方便了用户的应用策略管理和使用。

•用户身份识别

用户可对不同的安全区域指定不同的认证策略，并可根据不同场景选择不同的身份识别方案，例如，可从域控服务器直接获取身份信息，与第三方认证服务器（Radius、AD、LDAP）认证，本地帐号库认证，证书认证，以及结合以上多钟认证方式于一体的多因素认证。

•流量管理与分析

基于强大细致的用户、应用识别能力，支持用户以安全区、IP地址（网段）、时间、用户、应用多维度的对流量进行管理和控制，包括限制应用上下行最大带宽、保证应用上下行最小带宽、保证带宽下的优先级排序以及每IP的进行应用流量控制，从而做到合理分配网络带宽，保证重要业务的正常优质运行，限制或防范非法滥用网络资源的应用对流量的过度占用等。

•入侵防护

防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种网络及应用攻击。同时支持用户自定义规则，建立规则组等功能。并能够对检测到的入侵事件实时告警、阻断、记录和提供统计报表。

•防病毒

采用流模式和启发式文件扫描技术，对利用HTTP、SMTP、POP3、FTP、IM等多种协议进行传播的病毒进行扫描，完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀，同时支持多线程并发控制、深层次压缩文件杀毒、病毒白名单等功能。

2.3.3DMZ区防护

防火墙保护

应用识别与控制，用户身份识别，日志记录和统计报表，流量管理和分析，防病毒，内容过滤，以及其他传统防火墙功能。保护DMZ区的服务器不被攻击。

WAF保护

WEB服务器漏洞防护，插件漏洞防护，爬虫防护，跨站脚本防护，SQL,LDAP注入防护，命令行注入防护，远程文件包含防护。

实现网站访问控制，敏感信息泄漏防护，网页篡改在线防护，DDOS联合防护，虚拟站点防护。

SSL-VPN访问控制

提升黑客仿冒身份成本，提供身份认证，防止黑客控制终端；

提供PC端安全检查机制，PC不符合安全规定则禁止接入网络；提供企业移动管理解决方案，检查终端的安全状态，并根据判定的结果对移动终端进行远程锁定或者数据擦除。

访问权限最小化：提供基于URL授权的细粒度访问权限控制，让用户只能访问同一台Web服务器上的有限页面，防止非法接入用户找到SQL注入漏洞页面；同时深信服提供主从账号绑定功能，将SSLVPN与业务系统的帐号做唯一绑定，防止内部用户主越权访问。

行为记录、展示及回溯：详细记录接入用户的访问行为，确保用户的访问过程可追溯。

数据库审计

对进出核心数据库的访问流量进行数据报文字段级的解析操作，完全还原出操作的细节，并给出详尽的操作返回结果，以可视化的方式将所有的访问都呈现在管理者的面前，数据库不再处于不可知、不可控的情况，数据威胁将被迅速发现和响应。

事前安全风险评估

风险趋势管理：通过基线创建生成数据库结构的指纹文件，通过基线扫描发现数据库结构的变化，从而实现基于基线的风险趋势分析；

弱点检测与弱点分析：根据内置自动更新的弱点规则完成对数据库配置信息

的安全检测及数据库对象的安全检测；

弱口令检测：依据内嵌的弱口令字典完成对口令强弱的检测；

补丁检测：根据补丁信息库及被扫描数据库的当前配置，完成补丁安装检测；存储过程检测：根据内嵌的安全规则，对存储过程进行安全检测，如：是否存在SQL注入漏洞。

•实时行为检测

防止受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时，自动根据预设置的风险控制策略，结合对数据库活动的实时监控信息，进行特征检测及审计规则检测，任何尝试的攻击或违反审计规则的操作都会被检测到并实时阻断或告警。

•web业务审计

用户只需要将web服务器的流量镜像到DBAuditor，就能够对所有基于web的应用的访问行为进行解析还原，形成数据库审计和web审计的双重审计模式。DBAuditor能够提取出URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数、返回码等字段，并形成详尽的web审计记录。

•提供灵活的审计规则

提供细粒度的审计规则，如精细到表、字段、具体报文内容的细粒度审计规则，实现对敏感信息的精细监控；基于IP地址、MAC地址和端口号审计；提供可定义作用数量动作门限、可设定关联表数目动作门限、根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则。

3总结

通过部署网络边界下一代防火墙系统，可以保护内网整体安全，在DMZ区部署防火墙，可以确保不受到内网的常规攻击，部署web防火墙，可以提升web服务器的安全，通过sslvpn，让用户在远程办公中，信息不被泄漏，数据库审计，可以确保最核心的数据安全，被篡改或者其他操作后，也有迹可寻。

整体来