數(shù)據(jù)防護(hù)泄漏和防攻擊方案

數(shù)據(jù)防護(hù)泄漏和防攻擊方案

1項(xiàng)目概述

1.1項(xiàng)目背景

網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問(wèn)題越來(lái)越復(fù)雜，安全威脅正在飛速增長(zhǎng)，尤其是基于應(yīng)用的新型威脅，極大地困擾著用戶，給單位的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞，嚴(yán)重影響了信息化的進(jìn)一步發(fā)展。不僅如此，安全威脅也使得數(shù)據(jù)泄漏問(wèn)題更加嚴(yán)重和突出。

1.2項(xiàng)目目標(biāo)

防止服務(wù)器的數(shù)據(jù)泄漏和網(wǎng)絡(luò)攻擊。

2建設(shè)方案

2.1設(shè)計(jì)原則

2.1.1體系化原則

遵循科學(xué)的平臺(tái)架構(gòu)體系和安全框架，滿足后期各種服務(wù)器應(yīng)用資源的接入要求，提供統(tǒng)一平臺(tái)的應(yīng)用。

2.1.2系統(tǒng)擴(kuò)展性原則

系統(tǒng)具備良好的可擴(kuò)展性，支持未來(lái)設(shè)備數(shù)量的增加。

2.1.3開(kāi)放性，兼容性原則

方案滿足各種設(shè)計(jì)規(guī)范、技術(shù)指標(biāo)及產(chǎn)品均要符合國(guó)際和工業(yè)標(biāo)準(zhǔn)，并可提供多廠家產(chǎn)品的支持能力。系統(tǒng)中所采用的所有產(chǎn)品都要滿足相關(guān)的國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，是開(kāi)放的可兼容系統(tǒng)，能與不同廠商的產(chǎn)品兼容，可以有效保護(hù)投資。

2.1.4安全性原則

在數(shù)據(jù)保密、系統(tǒng)安全防護(hù)措施上采取較嚴(yán)格的措施，進(jìn)行縝密的權(quán)限、身份、帳號(hào)與信息加密管理，接受其他安全系統(tǒng)如統(tǒng)一身份認(rèn)證系統(tǒng)的管理，以保證系統(tǒng)和數(shù)據(jù)的安全。

2.2設(shè)計(jì)思路

2.2.1整體方案拓?fù)?/p>

2.3方案說(shuō)明

2.3.1威脅來(lái)源

感染病毒，病毒、惡意代碼的傳播，并導(dǎo)致系統(tǒng)遭到破壞；

口令管理不善會(huì)造成來(lái)自內(nèi)部用戶的對(duì)服務(wù)器的入侵和破壞；

3，數(shù)據(jù)庫(kù)的安全隱患使內(nèi)部用戶有機(jī)會(huì)篡改或破壞數(shù)據(jù)，或在數(shù)據(jù)庫(kù)系統(tǒng)中隱藏邏輯炸彈，構(gòu)成對(duì)企業(yè)核心業(yè)務(wù)的重大威脅；

4，重要數(shù)據(jù)在傳輸過(guò)程中可能被泄密或被篡改；

2.3.2邊界防護(hù)：下一代防火墻

傳統(tǒng)防火墻無(wú)法有效分辨和檢測(cè)出當(dāng)今網(wǎng)絡(luò)中出現(xiàn)的各種復(fù)雜應(yīng)用，其中包括低風(fēng)險(xiǎn)應(yīng)用（如WebEx,ERP,Oracle等），也包括高風(fēng)險(xiǎn)應(yīng)用（如Bit，QQ、電驢下載等），因而更無(wú)法準(zhǔn)確的識(shí)別和攔截各類應(yīng)用中的安全風(fēng)險(xiǎn)。

下一代防火墻能精確分類與辨識(shí)出包括低風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)在內(nèi)的1000+種應(yīng)用，根據(jù)應(yīng)用不同風(fēng)險(xiǎn)等級(jí)分別進(jìn)行不同級(jí)別的安全掃描，從而及時(shí)準(zhǔn)確的識(shí)別和攔截各種威脅攻擊，保障用戶網(wǎng)絡(luò)應(yīng)用的安全性。

同時(shí)，下一代防火墻將當(dāng)前網(wǎng)絡(luò)中發(fā)生的一切安全威脅狀況都及時(shí)清晰、可視直觀的展現(xiàn)給用戶，如當(dāng)前網(wǎng)絡(luò)中的應(yīng)用流量分布，用戶訪問(wèn)分布，以及在應(yīng)用的安全防護(hù)中發(fā)現(xiàn)或攔截了哪些安全威脅等。

功能作用

應(yīng)用識(shí)別與控制

在實(shí)際使用環(huán)境中，用戶仍可以以其他方式將應(yīng)用進(jìn)行歸類，并在一體化應(yīng)用配置策略中進(jìn)行引用。應(yīng)用識(shí)別與控制功能就是為滿足用戶上述需求而產(chǎn)生。用戶可先在應(yīng)用過(guò)濾器中根據(jù)需求對(duì)應(yīng)用進(jìn)行多維查詢，當(dāng)確認(rèn)過(guò)濾出的應(yīng)用正是所需時(shí)，即可對(duì)此過(guò)濾器進(jìn)行冠名保存。在之后的一體化應(yīng)用策略配置中，用戶可任意選擇多個(gè)冠名過(guò)濾器，設(shè)備將會(huì)對(duì)過(guò)濾器中的歸類應(yīng)用，執(zhí)行一致的識(shí)

別和控制策略，極大的方便了用戶的應(yīng)用策略管理和使用。

?用戶身份識(shí)別

用戶可對(duì)不同的安全區(qū)域指定不同的認(rèn)證策略，并可根據(jù)不同場(chǎng)景選擇不同的身份識(shí)別方案，例如，可從域控服務(wù)器直接獲取身份信息，與第三方認(rèn)證服務(wù)器（Radius、AD、LDAP）認(rèn)證，本地帳號(hào)庫(kù)認(rèn)證，證書(shū)認(rèn)證，以及結(jié)合以上多鐘認(rèn)證方式于一體的多因素認(rèn)證。

?流量管理與分析

基于強(qiáng)大細(xì)致的用戶、應(yīng)用識(shí)別能力，支持用戶以安全區(qū)、IP地址（網(wǎng)段）、時(shí)間、用戶、應(yīng)用多維度的對(duì)流量進(jìn)行管理和控制，包括限制應(yīng)用上下行最大帶寬、保證應(yīng)用上下行最小帶寬、保證帶寬下的優(yōu)先級(jí)排序以及每IP的進(jìn)行應(yīng)用流量控制，從而做到合理分配網(wǎng)絡(luò)帶寬，保證重要業(yè)務(wù)的正常優(yōu)質(zhì)運(yùn)行，限制或防范非法濫用網(wǎng)絡(luò)資源的應(yīng)用對(duì)流量的過(guò)度占用等。

?入侵防護(hù)

防護(hù)遠(yuǎn)程掃描、暴力破解、緩存區(qū)溢出、蠕蟲(chóng)病毒、木馬后門、SQL注入、跨站腳本等各種網(wǎng)絡(luò)及應(yīng)用攻擊。同時(shí)支持用戶自定義規(guī)則，建立規(guī)則組等功能。并能夠?qū)z測(cè)到的入侵事件實(shí)時(shí)告警、阻斷、記錄和提供統(tǒng)計(jì)報(bào)表。

?防病毒

采用流模式和啟發(fā)式文件掃描技術(shù)，對(duì)利用HTTP、SMTP、POP3、FTP、IM等多種協(xié)議進(jìn)行傳播的病毒進(jìn)行掃描，完成對(duì)木馬病毒、蠕蟲(chóng)病毒、宏病毒、腳本病毒等的查殺，同時(shí)支持多線程并發(fā)控制、深層次壓縮文件殺毒、病毒白名單等功能。

2.3.3DMZ區(qū)防護(hù)

防火墻保護(hù)

應(yīng)用識(shí)別與控制，用戶身份識(shí)別，日志記錄和統(tǒng)計(jì)報(bào)表，流量管理和分析，防病毒，內(nèi)容過(guò)濾，以及其他傳統(tǒng)防火墻功能。保護(hù)DMZ區(qū)的服務(wù)器不被攻擊。

WAF保護(hù)

WEB服務(wù)器漏洞防護(hù)，插件漏洞防護(hù)，爬蟲(chóng)防護(hù)，跨站腳本防護(hù)，SQL,LDAP注入防護(hù)，命令行注入防護(hù)，遠(yuǎn)程文件包含防護(hù)。

實(shí)現(xiàn)網(wǎng)站訪問(wèn)控制，敏感信息泄漏防護(hù)，網(wǎng)頁(yè)篡改在線防護(hù)，DDOS聯(lián)合防護(hù)，虛擬站點(diǎn)防護(hù)。

SSL-VPN訪問(wèn)控制

提升黑客仿冒身份成本，提供身份認(rèn)證，防止黑客控制終端；

提供PC端安全檢查機(jī)制，PC不符合安全規(guī)定則禁止接入網(wǎng)絡(luò)；提供企業(yè)移動(dòng)管理解決方案，檢查終端的安全狀態(tài)，并根據(jù)判定的結(jié)果對(duì)移動(dòng)終端進(jìn)行遠(yuǎn)程鎖定或者數(shù)據(jù)擦除。

訪問(wèn)權(quán)限最小化：提供基于URL授權(quán)的細(xì)粒度訪問(wèn)權(quán)限控制，讓用戶只能訪問(wèn)同一臺(tái)Web服務(wù)器上的有限頁(yè)面，防止非法接入用戶找到SQL注入漏洞頁(yè)面；同時(shí)深信服提供主從賬號(hào)綁定功能，將SSLVPN與業(yè)務(wù)系統(tǒng)的帳號(hào)做唯一綁定，防止內(nèi)部用戶主越權(quán)訪問(wèn)。

行為記錄、展示及回溯：詳細(xì)記錄接入用戶的訪問(wèn)行為，確保用戶的訪問(wèn)過(guò)程可追溯。

數(shù)據(jù)庫(kù)審計(jì)

對(duì)進(jìn)出核心數(shù)據(jù)庫(kù)的訪問(wèn)流量進(jìn)行數(shù)據(jù)報(bào)文字段級(jí)的解析操作，完全還原出操作的細(xì)節(jié)，并給出詳盡的操作返回結(jié)果，以可視化的方式將所有的訪問(wèn)都呈現(xiàn)在管理者的面前，數(shù)據(jù)庫(kù)不再處于不可知、不可控的情況，數(shù)據(jù)威脅將被迅速發(fā)現(xiàn)和響應(yīng)。

事前安全風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)趨勢(shì)管理：通過(guò)基線創(chuàng)建生成數(shù)據(jù)庫(kù)結(jié)構(gòu)的指紋文件，通過(guò)基線掃描發(fā)現(xiàn)數(shù)據(jù)庫(kù)結(jié)構(gòu)的變化，從而實(shí)現(xiàn)基于基線的風(fēng)險(xiǎn)趨勢(shì)分析；

弱點(diǎn)檢測(cè)與弱點(diǎn)分析：根據(jù)內(nèi)置自動(dòng)更新的弱點(diǎn)規(guī)則完成對(duì)數(shù)據(jù)庫(kù)配置信息

的安全檢測(cè)及數(shù)據(jù)庫(kù)對(duì)象的安全檢測(cè)；

弱口令檢測(cè)：依據(jù)內(nèi)嵌的弱口令字典完成對(duì)口令強(qiáng)弱的檢測(cè)；

補(bǔ)丁檢測(cè)：根據(jù)補(bǔ)丁信息庫(kù)及被掃描數(shù)據(jù)庫(kù)的當(dāng)前配置，完成補(bǔ)丁安裝檢測(cè)；存儲(chǔ)過(guò)程檢測(cè)：根據(jù)內(nèi)嵌的安全規(guī)則，對(duì)存儲(chǔ)過(guò)程進(jìn)行安全檢測(cè)，如：是否存在SQL注入漏洞。

?實(shí)時(shí)行為檢測(cè)

防止受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當(dāng)用戶與數(shù)據(jù)庫(kù)進(jìn)行交互時(shí)，自動(dòng)根據(jù)預(yù)設(shè)置的風(fēng)險(xiǎn)控制策略，結(jié)合對(duì)數(shù)據(jù)庫(kù)活動(dòng)的實(shí)時(shí)監(jiān)控信息，進(jìn)行特征檢測(cè)及審計(jì)規(guī)則檢測(cè)，任何嘗試的攻擊或違反審計(jì)規(guī)則的操作都會(huì)被檢測(cè)到并實(shí)時(shí)阻斷或告警。

?web業(yè)務(wù)審計(jì)

用戶只需要將web服務(wù)器的流量鏡像到DBAuditor，就能夠?qū)λ谢趙eb的應(yīng)用的訪問(wèn)行為進(jìn)行解析還原，形成數(shù)據(jù)庫(kù)審計(jì)和web審計(jì)的雙重審計(jì)模式。DBAuditor能夠提取出URL、POST/GET值、cookie、操作系統(tǒng)類型、瀏覽器類型、原始客戶端IP、MAC地址、提交參數(shù)、返回碼等字段，并形成詳盡的web審計(jì)記錄。

?提供靈活的審計(jì)規(guī)則

提供細(xì)粒度的審計(jì)規(guī)則，如精細(xì)到表、字段、具體報(bào)文內(nèi)容的細(xì)粒度審計(jì)規(guī)則，實(shí)現(xiàn)對(duì)敏感信息的精細(xì)監(jiān)控；基于IP地址、MAC地址和端口號(hào)審計(jì)；提供可定義作用數(shù)量動(dòng)作門限、可設(shè)定關(guān)聯(lián)表數(shù)目動(dòng)作門限、根據(jù)SQL執(zhí)行時(shí)間長(zhǎng)短、根據(jù)SQL執(zhí)行回應(yīng)以及具體報(bào)文內(nèi)容等設(shè)定規(guī)則。

3總結(jié)

通過(guò)部署網(wǎng)絡(luò)邊界下一代防火墻系統(tǒng)，可以保護(hù)內(nèi)網(wǎng)整體安全，在DMZ區(qū)部署防火墻，可以確保不受到內(nèi)網(wǎng)的常規(guī)攻擊，部署web防火墻，可以提升web服務(wù)器的安全，通過(guò)sslvpn，讓用戶在遠(yuǎn)程辦公中，信息不被泄漏，數(shù)據(jù)庫(kù)審計(jì)，可以確保最核心的數(shù)據(jù)安全，被篡改或者其他操作后，也有跡可尋。

整體來(lái)