2022年安恒信息电信行业IDC安全增值服务解决措施.docx

电信行业 IDC安全增值服务解决方案方案概述安全现状分析随着互联网的进展，金融网上交易、政府电子政务、企业门户网站等各类基于HTML 文件格式的信息共享平台更加完善，深化到人们生活中的点点滴滴；然而WEB 服务方式在给用户供应便利快捷的同时，针对 WEB 业务的攻击亦在迅猛增长，类似网页被篡改或者网站被入侵等安全大事频繁发生，不但严重影响了组织的形象和信誉，有时甚至会造成庞大的经济缺失，或者严峻的社会问题，严峻危及国家安全和人民利益；一般应用安全威逼分为信息篡改、拒绝服务攻击、信息泄露三类；1.信息篡改组织对外服务应用系统作为“组织形象 ”的标志之一，经常是一些不法分子的重点攻击对象；特殊是大型门户网站一旦被篡改 < 加入一些敏锐的显性内容），经常会引发较大的影响，严峻时甚至会造成政治大事；另外一种篡改方式是网页挂马：网页内容表面上没有任何反常，却可能被偷偷的挂上了木马程序；网页挂马虽然未必会给网站带来直接损害，但却会给浏览网站的用户带来缺失；更重要的是，政府网站一旦被挂马，其权威性和公信力将会受到打击，最终给电子政务的普及带来重大影响；9 / 91.拒绝服务攻击对企业、公众供应在线服务，已经成为组织对外服务应用系统的重要功能之一；这些服务一旦受到拒绝服务攻击而瘫痪、终止，对业务的正常运转必定造成极大的影响，可能会造成经济缺失，严峻时甚至会影响社会稳固；1.信息泄露在线业务系统中，总是需要储存一些企业、公众的相关资料，这些资料往往涉及到企业隐秘和个人隐私，一旦泄露，会造成企业或个人的利益受损，可能会给单位带来严峻的法律纠纷；除此之外，在 IDC 特定的环境中，数据在传输过程中存在被监听、被窃取、被破坏等风险，最终导致信息篡改、信息泄露等；也简单遭受ARP 欺诈、 IP 欺诈等网络层的攻击，导致业务系统无法正常工作，可能造成严峻的经济缺失以及公众信誉度；由于中国 IDC 行业特有的业务模式，导致其网络安全需求不一样，这使得目前IDC 机房网络安全显现以下情形：某些 IDC 用户没有任何的安全防护措施，最好的状态是部署了网络防火墙，同时在其服务器上安装了杀毒软件；但是，仅仅是网络防火墙和杀毒软件并不能对SQL 注入、跨站脚本、网页篡改、信息泄露、拒绝服务攻击等网络层和应用层的安全风险进行防护；另外， IDC 用户对于突发攻击大事没有做任何的应急措施，这导致当攻击大事发生时,IDC 用户无法准时地阻断攻击，复原系统，使系统能够正常运行；而有效的安全应急响应措施能够在恶意攻击大事发生时，准时地阻断攻击，复原系统，事后追根溯源，发觉安全弱点，并进行安全加固，提高IDC 用户网络安全水平，以及用户信誉度；安全需求分析WEB 应用系统直接面对 Internet，以 WEB 应用系统为跳板入侵服务器甚至掌握整个内网系统的攻击行为已成为最普遍的攻击手段；据Gartner的最新调查，目前 75% 以上的攻击行为都基于WEB 应用层面而非网络层面；同时数据显示，三分之二的WEB 站点都相当脆弱，易受攻击；不少电信行业网站接入客户<IDC用户和专线用户）已经意识到，针对WEB 应用系统进行相应的安全评估、安全防护在保证网站的正常运行方面不行或缺；一般来说，对于网站运行稳固性和安全性要求较高、本身具有肯定经济实力的网站接入客户通常会挑选以下三种方式，保证对外服务网站的正常运营：1.技术型用户投入大量财力，自行购买和部署权威有效的安全评估和防护产品；投入大量人力，建立特地的安全部门和机构，建立完善的信息安全治理流程和策略，自行进行信息安全治理；1.支持型用户自行购买和部署部分权威有效的WEB 应用安全防护产品；同时聘请第三方专业安全服务供应商，定期进行 WEB 应用安全评估、应急响应、安全培训等服务；1.外包型用户投入肯定的财力聘请第三方专业安全服务供应商，将整个应用安全以完全外包的方式交由服务供应商全权负责；然而，对于大部分的中小型网站接入客户而言，由于其本身经济实力有限，且不具备专业的信息安全技术人员，在有限的成本和人力资源条件下，以上三种目前市面上通常接受的安全解决方案，无法满意其安全建设成本要求，一般网站接入客户望而却步，安全产品和安全服务也无法得到全面的推广；因此，谁能够及早设计、供应一种具有低廉的安全建设成本，一体化外包式的安全保证业务，谁就能占据大部分经济实力有限的中小型网站接入客户；在解决客户应用安全燃眉之急的同时，将带来庞大的经济效益；技术方案方案设计原就安全牢靠性：使用的安全产品能够稳固牢靠的系统中运行；技术先进性：接受的安全技术必需有足够的先进性；技术成熟性：必需是已经经过实际应用的安全技术和产品；可治理性：安全产品应当宜于治理，非专业安全技术人员也能在指导下使用；可扩展性：在系统升级或扩容时，能保持肯定的扩充性能；满意国家相关法律法规和国家标准；服务内容“安恒信息 ”供应的电信行业 IDC 安全增值服务方案中建议安全增值服务内容包括应用安全与数据库安全两个方面，其中应用安全方面包括WEB 应用漏洞检测服务、网页木马检测服务、网页篡改监测服务、网页可用性监测服务、网页敏锐信息监测服务、WEB 应用攻击防护服务、安全响应服务等；数据库安全方面包括数据库脆弱性检测服务、数据库动态审计服务、安全响应服务等；应用安全1. WEB 应用漏洞监测服务定期自动检测门户网站系统的漏洞，并跟踪漏洞的修复情形，从而使为网站的漏洞得以快速修复，降低网站被入侵的风险；2. 网页木马监测服务接受特点分析和沙盒行为分析技术对网站进行木马监测，监测精度高达99% ，从而实现快速、精确的发觉和定位网页木马，确保用户在第一时间发觉感染的木马并准时有效排除；3. 网页篡改监测服务通过远程定时监测技术，可以有效的监测网页篡改行为，特殊是一些越权篡改、暗链篡改等情形；并针对篡改方式供应篡改截图取证功能，极大的提升了大事处理效率；4. 网页可用性监测服务基于远程监测技术可以解决IDC 用户 WEB 应用的实时可用性要求；5. 网页敏锐信息监测服务接受中文关键词以及语义分析技术对网站进行敏锐关键字监测，实现精确的敏锐字识别，确保网站内容符合互联网相关规定，防止显现敏锐信息以及被监管部门封杀；6. 安全响应服务为客户供应全天候的技术询问、技术支持热线；当客户遭受突发安全大事而无法自行处理时，客户可与专业安全工程师直接沟通；专业安全工程师将远程帮助客户进行安全加固，解决安全故障，供应应急询问、处理跟踪等安全响应服务；7. 自助服务平台将向客户供应基于WEB 的自助系统，通过自助界面客户可以明白当前被监控应用系统捕捉的的应用漏洞信息、重要应用系统的运行状态和网页拜访效率等，并且可以下载安全月报、安全信息、系统漏 洞扫描报告和模拟入侵报告等；自助系统登陆接受密码认证结合数字证书，确保系统的安全性，防止客户网络的敏锐数据被泄露；当监控到网络安全威逼、客户WEB 应用系统遭受到 SQL 注入攻击、 XSS 跨站攻击等恶意攻击大事时， 将在自助系统产生实时告警信息；8. 邮件告警服务在自助系统产生实时告警信息时，同步通过邮件向指定电子邮件账号发送邮件告警信息；9. 短信告警服务在自助系统产生实时告警信息时，同步通过短信向指定移动终端发送短信告警信息；10. 入侵分析及支持客户发生入侵大事时，对大事缘由进行分析并且供应复原服务；11. WEB 应用攻击防护服务12. WEB 攻击实时检测与阻断接受直连透亮部署的方式实时检测和分析针对被爱护应用系统的拜访数据流；内置安全模型，能够分析反常拜访行为，并实行实时阻断动作或其他预知的措施；内置攻击行为分析引擎，能够精准捕捉各类应用攻击行为，并实行实时阻断动作或其他预知的措施；13. 自定义策略支持开展业务拜访行为分析； 支持融合业务特性的策略自定义；14. 安全审计具体记录攻击特点及攻击者IP 地址、时间、攻击对象等信息，便利开展取证及后续追踪；支持业务审计，可以有效分析应用系统的拜访情形，便利进行针对性的调整，提高服务质量；15. 人工渗透测试服务供应专业安全工程师模拟黑客进行攻击，用于验证应用系统防护体系的健壮性及安全策略的有效性， 并且供应针对性极强的加固措施；数据库安全1. 数据库安全扫描服务扫描发觉数据库担心全配置或者潜在漏洞，具备强大的发觉弱口令及数据库潜藏木马的功能，保证数据库系统基础配置的安全水平；输出脆弱性检测报告并供应改进建议；2. 数据库动态审计服务以独立硬件审计的工作模式，敏捷的审计策略配置，解决核心数据库面临的“越权使用、权限滥用、权限 盗用 ”等安全威逼，满意各类法令法规对数据库审计的要求；直接提升数据库和主机运行监控的透亮度，降低人工审计成本，真正实现数据库全业务运行可视化、日常操作可监控、危急操作可掌握、全部行为可审计、安全大事可追溯；3. 安全响应服务为客户供应全天候的技术询问、技术支持热线；当客户遭受突发安全大事而无法自行处理时，客户可与专业安全工程师直接沟通；专业安全工程师将远程帮助客户进行安全加固，解决安全故障，供应应急询问、处理跟踪等安全响应服务；4. 自助服务当监控到数据库安全威逼、客户数据库系统遭受到恶意攻击大事时，将在自助系统产生实时告警信息；5. 邮件告警服务在自助系统产生实时告警信息时，同步通过邮件向指定电子邮件账号发送邮件告警信息；6. 短信告警服务在自助系统产生实时告警信息时，同步通过短信向指定移动终端发送短信告警信息；业务实现电信行业 IDC 安全增值服务业务实现，如图：由图可知，电信行业 IDC 安全增值服务运营中心由核心运营平台云运算中心、客户服务支撑系统、专家团队三大部分组成，电信通过电信行业IDC 安全增值服务运营中心实现向IDC 用户供应安全增值服务< 包括 WEB 应用漏洞检测服务、网页木马检测服务、网页篡改监测服务、网页可用性监测服务、网页敏锐信息监测服务、WEB 应用攻击防护服务、数据库安全扫描服务、数据库动态审计服务、安全响应服务）； 技术架构“安恒信息 ”为电信行业 IDC 安全增值服务技术方案设计示意图如下：明御 WEB应用防火墙 < 简称： WAF ） 是安恒结合多年应用安全的攻防理论和应急响应实践体会积存的基础上自主研发完成，满意各类法律法规如PCI 、等级爱护、企业内部掌握规范等要求，以国内首创的全透亮部署模式全面支持HTTPS ，在供应 WEB 应用实时深度防备的同时实现WEB 应用加速及敏锐信息泄露防护，对WEB 应用实施全面、深度防备，能够有效识别、阻挡日益盛行的WEB 应用恶意攻击 < 如 SQL 注入、命令注入、盲注、钓鱼攻击、表单绕过、缓冲区溢出、CGI 扫描、盗链攻击、恶意扫描、恶意爬虫、 Cookie注入、 CSRF 攻击、目录遍历等等），为Web 应用供应全方位的防护解决方案；明鉴应用安全综合监测平台是一套集成多种技术，满意应用安全需求的系统，包含有漏洞监测、篡改监测、可用性监测、关键字监测等功能；WEB 漏洞监测：定期自动监测网站的漏洞，并跟踪漏洞的修复情形从而使网站的漏洞得以快速修复，降低网站被入侵的风险；网页木马监测：接受特点分析和沙盒行为分析技术对网站进行木马监测，监测精度高达99% ，从而实现快速、精确的发觉和定位网页木马，确保用户在第一时间发觉感染的木马并准时排除；网页篡改监测：通过远程定时监测技术，可以有效的监测网页篡改行为，特殊是一些越权篡改、暗链篡改等情形；并针对篡改方式供应篡改截图取证功能，极大的提升了大事处理效率；网站可用性监测：基于远程监测技术可以有效的监测到域名劫持、DNS 中毒、 ISP 线路等缘由导致的网站可用性问题；供应多线路监测技术，使用户对网站的可用性获得更为全面具体的数据，如业务中断、拜访延时、不同 ISP 服务质量等；网页关键字监测：接受中文关键词以及语义分析技术对网站进行敏锐关键字监测，实现精确的敏锐字识别，确保网站内容符合互联网相关规定，防止显现敏锐信息以及被监管部门封杀；明御数据库审计系统 是一种检测、响应、记录并分析对数据库操作的安全治理设备；通过部署数据库审计能够实现：对数据库的对象 < 包括用户 < 数据库）、表、字段、视图、索引、储备过程、包等）进行审计规就定制；制定细粒度的审计规章，如精细到表、字段、具体报文内容的细粒度审计规章，实现对敏锐信息的精细监控；基于 IP 地址、 MAC 地址和端口号审计；依据 SQL 执行时间长短、依据SQL 执行回应以及具体报文内容等设定规章等；通过三层审计更精确地定位大事发生前后全部层面的拜访及操作恳求，可以追溯到应用层的原始 拜访者及恳求信息 < 如：操作发生的URL 、客户端的 IP 等信息），产品主要依据时间片、关键字等要素进行信息挑选，以确定符合数据库操作恳求的WEB 拜访；明鉴数据库弱点扫描系统 是特地针对于数据库治理系统的脆弱性检测而开发的一种安全工具；DBSCAN 主要包含前端程序和扫描引擎两部分；引擎的功能是拜访要扫描的数据库，执行前端提交的扫描恳求，并将扫描结果返回前端；前端功能是与用户交互，主要功能模块包含：工程治理、扫描治理、报表治理、用户权限治理、策略治理、日志治理；引擎和前端程序可以分开运行，它们之间一般接受自定义的网络协议通信；通过扫描，检测数据库存在的弱点，做出相应的评估报告，然后可有效进行针对性的安全加固防护；安全增值服务收益分析安全增值服务目标通过建立电信行业 IDC 安全增值服务，依据用户的网络安全需求，将安全增值服务作为电信的一种业务，按服务等级进行划分，使其成为电信的一种经济收益来源，从而来达到增加电信的经济收益；另外，通过相应的安全技术和安全产品建立IDC 安全增值服务，从而提高整个IDC 安全防护水平和用户对IDC 服务的中意度；增值服务类别设计依据服务等级区分，电信行业IDC 安全增值服务业务可划分为高级服务套餐和基础服务套餐，并在套餐基础上供应可选功能包；高级服务套餐、基础服务套餐和可选功能包所涵盖的服务内容如下：应用安全部分：服务内容高级服务基础服务服务时间7×245× 8WEB 应用漏洞监测服务高危应用漏洞监测服务支持支持全面应用漏洞监测服务支持不支持安全云服务支持不支持漏洞风险分析支持支持套餐网页木马监测服务网页木马识别与发觉木马风险分析支持支持支持支持安全云服务支持不支持网页篡改监测服务首页篡改识别支持支持重要页面篡改识别支持不支持网页可用性监测服务重点应用系统监控1 台服务器1 台服务器网页可用性监控1 个页面1 个页面网页性能分析1 个页面不支持网页敏锐信息监测首页敏锐信息监测支持支持重要页面敏锐信息监测支持不支持安全响应服务响应时间不超过 5 分钟不超过 10 分钟自助服务支持支持邮件告警服务支持支持短信告警服务支持不支持安全报告每月 1 次每月 1 次WEB 应用攻击防护服务实时攻击检测与阻断支持可选服安全策略支持支持务包人工渗透测试服务支持不支持安全响应服务入侵分析及支持支持不支持数据库安全部分高级服务基础服务服务内容服务时间7×245× 8数据库安全扫描服务数据库系统脆弱性扫描支持不支持漏洞分析及加固指导支持不支持数据库动态审计服务数据库动态拜访审计服务支持支持套餐风险审计策略定义支持不支持风险统计分析支持不支持安全响应服务响应时间不超过5分钟不超过10分钟自助服务支持支持邮件告警服务支持支持短信告警服务支持不支持安恒优势实现事先扫描评估事中防护事后追溯的全面安全解决方案；全面满意电信行业相关安全要求和业务自身安全需求；公安部、浙江省信息安全等级爱护专用应用安全测评工具；国内首创的全透亮部署WAF ，全面支持 HPPTS 和应用加速；业界领先的 WEB 漏洞发觉功能，以及独有的取证式、被动扫描和木马检测功能；供应低廉、一体化的安全增值服务，通过建立电信行业增值运营平台和安全团队实现电信行业IDC 信息安全的防护；一支专业的安全团队全候天的支持服务，供应现场技术支持和服务；实现安全产品、安全团队、安全服务相结合的全方位实施安全防护；安恒在信息安全领域拥有一支强大技术实力和攻防体会的专家和研发团队；公司的主要创始人都是国际知名的WEB 应用与数据库安全专家，对信息安全技术讨论极具创新能力；范渊：杭州安恒信息技术有限公司CEO&CTO ，毕业于美国加州州立高校，运算机科学硕士；国际闻名安全公司十多年的技术研发和工程治理体会；对在线安全，数据库安全和审计，Compliance<如SOX,PCI,ISO17799/27001）有极其深刻的讨论；由于他在信息安全领域的技术创新的胜利实践，成为第一个登上全球顶级安全大会BLACKHAT<CISSA 、GCIH 、GCIA 等证书；国外案例参考日本 NTT信息安全增值业务的开展黑帽子）大会进行演讲的中国人；目前拥有CISSP 、NTT 是日本最大的电信运营商，NTT Data是其数据业务公司，目前拥有2700万用户；在其主营业务中，服务是主要部分；供应的服务中，安全服务占有较高的市场份额；NTT 所供应的安全服务主要包括定期的安全检查和安全爱护；