电信行业IDC安全增值服务解决方案

方案概述


安全现状分析

随着互联网的发展,金融网上交易、政府电子政务、企业门户网站等各类基于HTML文件格式的信息共享平台越发完善,深入到人们生活中的点点滴滴。然而WEB服务方式在给用户提供方便快捷的同时,针对WEB业务的攻击亦在迅猛增长,类似网页被篡改或者网站被入侵等安全事件频繁发生,不但严重影响了组织的形象和信誉,有时甚至会造成巨大的经济损失,或者严重的社会问题,严重危及国家安全和人民利益。一般应用安全威胁分为信息篡改、拒绝服务攻击、信息泄露三类。



信息篡改

组织对外服务应用系统作为“组织形象”的标志之一,常常是一些不法分子的重点攻击对象。尤其是大型门户网站一旦被篡改(加入一些敏感的显性内容),常常会引发较大的影响,严重时甚至会造成政治事件。



另外一种篡改方式是网页挂马:网页内容表面上没有任何异常,却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害,但却会给浏览网站的用户带来损失。更重要的是,政府网站一旦被挂马,其权威性和公信力将会受到打击,最终给电子政务的普及带来重大影响。



拒绝服务攻击

对企业、公众提供在线服务,已经成为组织对外服务应用系统的重要功能之一。这些服务一旦受到拒绝服务攻击而瘫痪、终止,对业务的正常运转必然造成极大的影响,可能会造成经济损失,严重时甚至会影响社会稳定。

信息泄露

在线业务系统中,总是需要保存一些企业、公众的相关资料,这些资料往往涉及到企业秘密和个人隐私,一旦泄露,会造成企业或个人的利益受损,可能会给单位带来严重的法律纠纷。

除此之外,在IDC特定的环境中,数据在传输过程中存在被监听、被窃取、被破坏等风险,最终导致信息篡改、信息泄露等;也容易遭受ARP欺骗、IP欺骗等网络层的攻击,导致业务系统无法正常工作,可能造成严重的经济损失以及公众信誉度。

由于中国IDC行业特有的业务模式,导致其网络安全需求不一致,这使得目前IDC机房网络安全出现以下情况:某些IDC用户没有任何的安全防护措施,最好的状态是部署了网络防火墙,同时在其服务器上安装了杀毒软件。但是,仅仅是网络防火墙和杀毒软件并不能对SQL注入、跨站脚本、网页篡改、信息泄露、拒绝服务攻击等网络层和应用层的安全风险进行防护 。

另外,IDC用户对于突发攻击事件没有做任何的应急措施,这导致当攻击事件发生时,IDC用户无法及时地阻断攻击,恢复系统,使系统能够正常运行。而有效的安全应急响应措施能够在恶意攻击事件发生时,及时地阻断攻击,恢复系统,事后追根溯源,发现安全弱点,并进行安全加固,提高IDC用户网络安全水平,以及用户信誉度。

安全需求分析

WEB应用系统直接面向Internet,以WEB应用系统为跳板入侵服务器甚至控制整个内网系统的攻击行为已成为最普遍的攻击手段。据Gartner的最新调查,目前75%以上的攻击行为都基于WEB应用层面而非网络层面;同时数据显示,三分之二的WEB站点都相当脆弱,易受攻击。

不少电信行业网站接入客户(IDC用户和专线用户)已经意识到,针对WEB应用系统进行相应的安全评估、安全防护在保障网站的正常运行方面不可或缺。一般来说,对于网站运行稳定性和安全性要求较高、本身具有一定经济实力的网站接入客户通常会选择以下三种方式,保证对外服务网站的正常运营:

技术型用户

投入大量财力,自行购买和部署权威有效的安全评估和防护产品;投入大量人力,建立专门的安全部门和机构,建立完善的信息安全管理流程和策略,自行进行信息安全管理;

支持型用户

自行购买和部署部分权威有效的WEB应用安全防护产品;同时聘请第三方专业安全服务提供商,定期进行WEB应用安全评估、应急响应、安全培训等服务;

外包型用户

投入一定的财力聘请第三方专业安全服务提供商,将整个应用安全以完全外包的方式交由服务提供商全权负责。

然而,对于大部分的中小型网站接入客户而言,由于其本身经济实力有限,且不具备专业的信息安全技术人员,在有限的成本和人力资源条件下,以上三种目前市面上通常采纳的安全解决方案,无法满足其安全建设成本要求,普通网站接入客户望而却步,安全产品和安全服务也无法得到全面的推广。

因此,谁能够及早设计、提供一种具有低廉的安全建设成本,一体化外包式的安全保障业务,谁就能占领大部分经济实力有限的中小型网站接入客户;在解决客户应用安全燃眉之急的同时,将带来巨大的经济效益。

技术方案


方案设计原则


 ● 安全可靠性:使用的安全产品能够稳定可靠的系统中运行。
 ● 技术先进性:采用的安全技术必须有足够的先进性。
 ● 技术成熟性:必须是已经经过实际应用的安全技术和产品。
 ● 可管理性:安全产品应该宜于管理,非专业安全技术人员也能在指导下使用。
 ● 可扩展性:在系统升级或扩容时,能保持一定的扩充性能。
 ● 满足国家相关法律法规和国家标准。

服务内容

“安恒信息”提供的电信行业IDC安全增值服务方案中建议安全增值服务内容包括应用安全与数据库安全两个方面,其中应用安全方面包括WEB应用漏洞检测服务、网页木马检测服务、网页篡改监测服务、网页可用性监测服务、网页敏感信息监测服务、WEB应用攻击防护服务、安全响应服务等。数据库安全方面包括数据库脆弱性检测服务、数据库动态审计服务、安全响应服务等。

应用安全

 ● WEB应用漏洞监测服务

定期自动检测门户网站系统的漏洞,并跟踪漏洞的修复情况,从而使为网站的漏洞得以快速修复,降低网站被入侵的风险。

 ● 网页木马监测服务

采用特征分析和沙盒行为分析技术对网站进行木马监测,监测精度高达99%,从而实现快速、准确的发现和定位网页木马,确保用户在第一时间发现感染的木马并及时有效消除。

 ● 网页篡改监测服务

通过远程定时监测技术,可以有效的监测网页篡改行为,特别是一些越权篡改、暗链篡改等情形。并针对篡改方式提供篡改截图取证功能,极大的提升了事件处理效率。

 ● 网页可用性监测服务

基于远程监测技术可以解决IDC用户WEB应用的实时可用性要求。

 ● 网页敏感信息监测服务

采用中文关键词以及语义分析技术对网站进行敏感关键字监测,实现精确的敏感字识别,确保网站内容符合互联网相关规定,避免出现敏感信息以及被监管部门封杀。

 ● 安全响应服务


为客户提供全天候的技术咨询、技术支持热线。当客户遭遇突发安全事件而无法自行处理时,客户可与专业安全工程师直接沟通。专业安全工程师将远程协助客户进行安全加固,解决安全故障,提供应急咨询、处理跟踪等安全响应服务。

 ● 自助服务
      

平台将向客户提供基于WEB的自助系统,通过自助界面客户可以了解当前被监控应用系统捕获的的应用漏洞信息、重要应用系统的运行状态和网页访问效率等,并且可以下载安全月报、安全信息、系统漏洞扫描报告和模拟入侵报告等。 自助系统登陆采用密码认证结合数字证书,确保系统的安全性,避免客户网络的敏感数据被泄露。 当监控到网络安全威胁、客户WEB 应用系统遭受到SQL 注入攻击、XSS 跨站攻击等恶意攻击事件时,将在自助系统产生实时告警信息。

 ● 邮件告警服务

在自助系统产生实时告警信息时,同步通过邮件向指定电子邮件账号发送邮件告警信息。

 ● 短信告警服务

在自助系统产生实时告警信息时,同步通过短信向指定移动终端发送短信告警信息。

 ● 入侵分析及支持

客户发生入侵事件时,对事件原因进行分析并且提供恢复服务。

 ● WEB应用攻击防护服务

 ● WEB攻击实时检测与阻断

采用直连透明部署的方式实时检测和分析针对被保护应用系统的访问数据流。 内置安全模型,能够分析异常访问行为,并采取实时阻断动作或其他预知的措施。 内置攻击行为分析引擎,能够精准捕获各类应用攻击行为,并采取实时阻断动作或其他预知的措施。

 ● 自定义策略


支持开展业务访问行为分析;

支持融合业务特性的策略自定义。

 ● 安全审计


详细记录攻击特征及攻击者IP地址、时间、攻击对象等信息,方便开展取证及后续追踪。
支持业务审计,可以有效分析应用系统的访问情况,方便进行针对性的调整,提高服务质量。


 ● 人工渗透测试服务


提供专业安全工程师模拟黑客进行攻击,用于验证应用系统防护体系的健壮性及安全策略的有效性,并且提供针对性极强的加固措施。


数据库安全

 ● 数据库安全扫描服务


扫描发现数据库不安全配置或者潜在漏洞,具备强大的发现弱口令及数据库潜藏木马的功能,保障数据库系统基础配置的安全水平。
输出脆弱性检测报告并提供改进建议。

 ● 数据库动态审计服务

以独立硬件审计的工作模式,灵活的审计策略配置,解决核心数据库面临的“越权使用、权限滥用、权限 盗用”等安全威胁,满足各类法令法规对数据库审计的要求。

直接提升数据库和主机运行监控的透明度,降低人工审计成本,真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

 ● 安全响应服务


为客户提供全天候的技术咨询、技术支持热线。当客户遭遇突发安全事件而无法自行处理时,客户可与专业安全工程师直接沟通。专业安全工程师将远程协助客户进行安全加固,解决安全故障,提供应急咨询、处理跟踪等安全响应服务。

 ● 自助服务

当监控到数据库安全威胁、客户数据库系统遭受到恶意攻击事件时,将在自助系统产生实时告警信息。

 ● 邮件告警服务

在自助系统产生实时告警信息时,同步通过邮件向指定电子邮件账号发送邮件告警信息。

 ● 短信告警服务

在自助系统产生实时告警信息时,同步通过短信向指定移动终端发送短信告警信息。

业务实现 电信行业IDC安全增值服务业务实现,如图:



由图可知,电信行业IDC安全增值服务运营中心由核心运营平台云计算中心、客户服务支撑系统、专家团队三大部分组成,电信通过电信行业IDC安全增值服务运营中心实现向IDC用户提供安全增值服务(包括WEB应用漏洞检测服务、网页木马检测服务、网页篡改监测服务、网页可用性监测服务、网页敏感信息监测服务、WEB应用攻击防护服务、数据库安全扫描服务、数据库动态审计服务、安全响应服务)。

技术架构

“安恒信息”为电信行业IDC安全增值服务技术方案设计示意图如下:



明御WEB应用防火墙(简称:WAF)是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内首创的全透明部署模式全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用恶意攻击(如SQL注入、命令注入、盲注、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、盗链攻击、恶意扫描、恶意爬虫、Cookie注入、CSRF攻击、目录遍历等等),为Web应用提供全方位的防护解决方案。

明鉴应用安全综合监测平台是一套集成多种技术,满足应用安全需求的系统,包含有漏洞监测、篡改监测、可用性监测、关键字监测等功能。

WEB漏洞监测:定期自动监测网站的漏洞,并跟踪漏洞的修复情况从而使网站的漏洞得以快速修复,降低网站被入侵的风险。

网页木马监测:采用特征分析和沙盒行为分析技术对网站进行木马监测,监测精度高达99%,从而实现快速、准确的发现和定位网页木马,确保用户在第一时间发现感染的木马并及时消除。

网页篡改监测:通过远程定时监测技术,可以有效的监测网页篡改行为,特别是一些越权篡改、暗链篡改等情形。并针对篡改方式提供篡改截图取证功能,极大的提升了事件处理效率。

网站可用性监测:基于远程监测技术可以有效的监测到域名劫持、DNS中毒、ISP线路等原因导致的网站可用性问题。提供多线路监测技术,使用户对网站的可用性获得更为全面详细的数据,如业务中断、访问延时、不同ISP服务质量等。

网页关键字监测:采用中文关键词以及语义分析技术对网站进行敏感关键字监测,实现精确的敏感字识别,确保网站内容符合互联网相关规定,避免出现敏感信息以及被监管部门封杀。

明御数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现:

 ● 对数据库的对象(包括用户(数据库)、表、字段、视图、索引、存储过程、包等)进行审计规则定制;
 ● 制定细粒度的审计规则,如精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控;
 ● 基于IP地址、MAC地址和端口号审计;
 ● 根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则等。
 ● 通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求,可以追溯到应用层的原始访问者及请求信息(如:操作发生的URL、客户端的IP等信息),产品主要根据时间片、关键字等要素进行信息筛选,以确定符合数据库操作请求的WEB访问。

明鉴数据库弱点扫描系统是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具。DBSCAN主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库,执行前端提交的扫描请求,并将扫描结果返回前端。前端功能是与用户交互,主要功能模块包含:项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行,它们之间一般采用自定义的网络协议通信。通过扫描,检测数据库存在的弱点,做出相应的评估报告,然后可有效进行针对性的安全加固防护。

安全增值服务收益分析


安全增值服务目标

通过建立电信行业IDC安全增值服务,根据用户的网络安全需求,将安全增值服务作为电信的一种业务,按服务等级进行划分,使其成为电信的一种经济收益来源,从而来达到增加电信的经济收益。另外,通过相应的安全技术和安全产品建立IDC安全增值服务,从而提高整个IDC安全防护水平和用户对IDC服务的满意度。

增值服务类别设计

按照服务等级区分,电信行业IDC安全增值服务业务可划分为高级服务套餐和基础服务套餐,并在套餐基础上提供可选功能包。

高级服务套餐、基础服务套餐和可选功能包所涵盖的服务内容如下:

应用安全部分:


安恒优势

 ● 实现事先扫描评估+事中防护+事后追溯的全面安全解决方案。
 ● 全面满足电信行业相关安全要求和业务自身安全需求。
 ● 公安部、浙江省信息安全等级保护专用应用安全测评工具。
 ● 国内首创的全透明部署WAF,全面支持HPPTS和应用加速。
 ● 业界领先的WEB漏洞发现功能,以及独有的取证式、被动扫描和木马检测功能。
 ● 提供低廉、一体化的安全增值服务,通过建立电信行业增值运营平台和安全团队实现电信行业IDC信息安全的防护。
 ● 一支专业的安全团队全候天的支持服务,提供现场技术支持和服务。
 ● 实现安全产品、安全团队、安全服务相结合的全方位实施安全防护。
 ● 安恒在信息安全领域拥有一支强大技术实力和攻防经验的专家和研发团队。

公司的主要创始人都是国际知名的WEB应用与数据库安全专家,对信息安全技术研究极具创新能力。

范渊:杭州安恒信息技术有限公司CEO&CTO,毕业于美国加州州立大学,计算机科学硕士。国际著名安全公司十多年的技术研发和项目管理经验。对在线安全,数据库安全和审计,Compliance(如SOX,PCI,ISO17799/27001)有极其深刻的研究。由于他在信息安全领域的技术创新的成功实践,成为第一个登上全球顶级安全大会BLACKHAT(黑帽子)大会进行演讲的中国人。目前拥有CISSP、CISSA、GCIH、GCIA等证书

国外案例参考

日本NTT信息安全增值业务的开展

NTT是日本最大的电信运营商,NTT Data是其数据业务公司,目前拥有2700万用户。在其主营业务中,服务是主要部分。提供的服务中,安全服务占有较高的市场份额。NTT所提供的安全服务主要包括定期的安全检查和安全维护。



返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |