網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告

網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告一、防守技戰(zhàn)法概述為了順利完成本次護(hù)網(wǎng)行動(dòng)任務(wù)，切實(shí)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力，XXXX設(shè)立HW2019領(lǐng)導(dǎo)組和工作組，工作組下設(shè)技術(shù)組和協(xié)調(diào)組。護(hù)網(wǎng)工作組由各部門及各二級(jí)單位信息化負(fù)責(zé)人組成，由股份公司副總裁擔(dān)任護(hù)網(wǎng)工作組的組長。為提高護(hù)網(wǎng)工作組人員的安全防護(hù)能力，對(duì)不同重要系統(tǒng)進(jìn)行分等級(jí)安全防護(hù)，從互聯(lián)網(wǎng)至目標(biāo)系統(tǒng)，依次設(shè)置如下三道安全防線：第一道防線：集團(tuán)總部互聯(lián)網(wǎng)邊界防護(hù)、二級(jí)單位企業(yè)互聯(lián)網(wǎng)邊界防護(hù)。第二道防線：廣域網(wǎng)邊界防護(hù)、DMZ區(qū)邊界防護(hù)。第三道防線：目標(biāo)系統(tǒng)安全域邊界防護(hù)、VPN。根據(jù)三道防線現(xiàn)狀，梳理出主要防護(hù)內(nèi)容，包括但不限于：梳理對(duì)外發(fā)布的互聯(lián)網(wǎng)應(yīng)用系統(tǒng),設(shè)備和安全措施，明確相關(guān)責(zé)任人，梳理網(wǎng)絡(luò)結(jié)構(gòu)，重要的或需要重點(diǎn)保護(hù)的信息系統(tǒng)、應(yīng)用系統(tǒng)與各服務(wù)器之間的拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)防護(hù)情況，SSLVPN和IPSECVPN接入情況。集團(tuán)廣域網(wǎng)、集團(tuán)專線邊界，加強(qiáng)各單位集團(tuán)廣域網(wǎng)、集團(tuán)專線邊界防護(hù)措施，無線網(wǎng)邊界，加強(qiáng)對(duì)無線WIFI、藍(lán)牙等無線通信方式的管控，關(guān)閉不具備安全條件及不必要開啟的無線功能。結(jié)合信息化資產(chǎn)梳理結(jié)果，攻防演習(xí)行動(dòng)安全保障小組對(duì)集團(tuán)信息化資產(chǎn)及重點(diǎn)下屬單位的網(wǎng)絡(luò)安全狀況進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和排查，確認(rèn)薄弱環(huán)節(jié)以便進(jìn)行整改加固。二、防守技戰(zhàn)法詳情2.1第一道防線--互聯(lián)網(wǎng)邊界及二級(jí)單位防護(hù)技戰(zhàn)法2.1.1安全感知防御、檢測(cè)及響應(yīng)構(gòu)建從“云端、邊界、端點(diǎn)”+“安全感知”的防御機(jī)制。相關(guān)防護(hù)思路如下：防御能力：是指一系列策略集、產(chǎn)品和服務(wù)可以用于防御攻擊。這個(gè)方面的關(guān)鍵目標(biāo)是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動(dòng)作。網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第1頁。檢測(cè)能力：用于發(fā)現(xiàn)那些逃過防御網(wǎng)絡(luò)的攻擊，該方面的關(guān)鍵目標(biāo)是降低威脅造成的“停擺時(shí)間”以及其他潛在的損失。檢測(cè)能力非常關(guān)鍵，因?yàn)槠髽I(yè)應(yīng)該假設(shè)自己已處在被攻擊狀態(tài)中。網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第1頁。響應(yīng)能力：系統(tǒng)一旦檢測(cè)到入侵，響應(yīng)系統(tǒng)就開始工作，進(jìn)行事件處理。響應(yīng)包括緊急響應(yīng)和恢復(fù)處理，恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)。2.1.2安全可視及治理l全網(wǎng)安全可視結(jié)合邊界防護(hù)、安全檢測(cè)、內(nèi)網(wǎng)檢測(cè)、管理中心、可視化平臺(tái)，基于行為和關(guān)聯(lián)分析技術(shù)，對(duì)全網(wǎng)的流量實(shí)現(xiàn)全網(wǎng)應(yīng)用可視化，業(yè)務(wù)可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。l動(dòng)態(tài)感知采用大數(shù)據(jù)、人工智能技術(shù)安全，建立了安全態(tài)勢(shì)感知平臺(tái)，為所有業(yè)務(wù)場(chǎng)景提供云端的威脅感知能力。通過對(duì)邊界網(wǎng)絡(luò)流量的全流量的感知和分析，來發(fā)現(xiàn)邊界威脅。通過潛伏威脅探針、安全邊界設(shè)備、上網(wǎng)行為感系統(tǒng)，對(duì)服務(wù)器或終端上面的文件、數(shù)據(jù)與通信進(jìn)行安全監(jiān)控，利用大數(shù)據(jù)技術(shù)感知數(shù)據(jù)來發(fā)現(xiàn)主動(dòng)發(fā)現(xiàn)威脅。2.1.3互聯(lián)網(wǎng)及二級(jí)單位的區(qū)域隔離在互聯(lián)網(wǎng)出口，部署入侵防御IPS、上網(wǎng)行為管理，提供網(wǎng)絡(luò)邊界隔離、訪問控制、入侵防護(hù)、僵尸網(wǎng)絡(luò)防護(hù)、木馬防護(hù)、病毒防護(hù)等。在廣域網(wǎng)接入?yún)^(qū)邊界透明模式部署入侵防御系統(tǒng)，針對(duì)專線接入流量進(jìn)行控制和過濾。辦公網(wǎng)區(qū)應(yīng)部署終端檢測(cè)和響應(yīng)/惡意代碼防護(hù)軟件，開啟病毒防護(hù)功能、文件監(jiān)測(cè)，并及時(shí)更新安全規(guī)則庫，保持最新狀態(tài)。服務(wù)器區(qū)部署防火墻和WEB應(yīng)用防火墻，對(duì)數(shù)據(jù)中心威脅進(jìn)行防護(hù)；匯聚交換機(jī)處旁路模式部署全流量探針，對(duì)流量進(jìn)行監(jiān)測(cè)并同步至態(tài)勢(shì)感知平臺(tái)；部署數(shù)據(jù)庫審計(jì)系統(tǒng)，進(jìn)行數(shù)據(jù)庫安全審計(jì)。在運(yùn)維管理區(qū)，部署堡壘機(jī)、日志審計(jì)、漏洞掃描設(shè)備，實(shí)現(xiàn)單位的集中運(yùn)維審計(jì)、日志審計(jì)和集中漏洞檢查功能。互聯(lián)網(wǎng)出口處安全加固網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第2頁?；ヂ?lián)網(wǎng)出口處雙機(jī)部署了因特網(wǎng)防火墻以及下一代防火墻進(jìn)行出口處的防護(hù)，在攻防演練期間，出口處防火墻通過對(duì)各類用戶權(quán)限的區(qū)分，不同訪問需求，可以進(jìn)行精確的訪問控制。通過對(duì)終端用戶、分支機(jī)構(gòu)不同的權(quán)限劃分保障網(wǎng)絡(luò)受控有序的運(yùn)行。網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第2頁。對(duì)能夠通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)的網(wǎng)絡(luò)對(duì)象IP地址進(jìn)行嚴(yán)格管控，將網(wǎng)段內(nèi)訪問IP地址段進(jìn)行細(xì)化，盡量落實(shí)到個(gè)人靜態(tài)IP。開啟精細(xì)化應(yīng)用控制策略，設(shè)置多條應(yīng)用控制策略，指定用戶才可以訪問目標(biāo)業(yè)務(wù)系統(tǒng)應(yīng)用，防止出現(xiàn)因?yàn)榇址趴刂撇呗詭淼幕ヂ?lián)網(wǎng)訪問風(fēng)險(xiǎn)。對(duì)所有通過聯(lián)網(wǎng)接入的用戶IP或IP地址段開啟全面安全防護(hù)策略，開啟防病毒、防僵尸網(wǎng)絡(luò)、防篡改等防護(hù)功能。通過對(duì)全網(wǎng)進(jìn)行訪問控制、明確權(quán)限劃分可以避免越權(quán)訪問、非法訪問等情況發(fā)生，減少安全事件發(fā)生概率。護(hù)網(wǎng)行動(dòng)開始之前，將防火墻所有安全規(guī)則庫更新到最新，能夠匹配近期發(fā)生的絕大部分已知威脅，并通過SAVE引擎對(duì)未知威脅進(jìn)行有效防護(hù)。攻防演練期間，通過互聯(lián)網(wǎng)訪問的用戶需要進(jìn)行嚴(yán)格的認(rèn)證策略和上網(wǎng)策略，對(duì)上網(wǎng)用戶進(jìn)行篩選放通合法用戶阻斷非法用戶，同時(shí)對(duì)于非法url網(wǎng)站、風(fēng)險(xiǎn)應(yīng)用做出有效管控。根據(jù)企業(yè)實(shí)際情況選擇合適流控策略，最后對(duì)于所有員工的上網(wǎng)行為進(jìn)行記錄審計(jì)。攻防演練期間，需要將上網(wǎng)行為管理設(shè)備的規(guī)則庫升級(jí)到最新，避免近期出現(xiàn)的具備威脅的URL、應(yīng)用等在訪問時(shí)對(duì)內(nèi)網(wǎng)造成危害。DMZ區(qū)應(yīng)用層安全加固當(dāng)前網(wǎng)絡(luò)內(nèi)，DMZ區(qū)部署了WEB應(yīng)用防火墻對(duì)應(yīng)用層威脅進(jìn)行防護(hù)，保證DMZ區(qū)域內(nèi)的網(wǎng)站系統(tǒng)、郵件網(wǎng)關(guān)、視頻會(huì)議系統(tǒng)的安全攻防演練期間，為了降低用從互聯(lián)網(wǎng)出口處訪問網(wǎng)站、郵件、視頻的風(fēng)險(xiǎn)，防止攻擊手通過互聯(lián)網(wǎng)出口訪問DMZ區(qū)，進(jìn)行頁面篡改、或通過DMZ區(qū)訪問承載系統(tǒng)數(shù)據(jù)的服務(wù)器區(qū)進(jìn)行破壞，需要設(shè)置嚴(yán)格的WEB應(yīng)用層防護(hù)策略，保證DMZ區(qū)安全。通過設(shè)置WEB用用防護(hù)策略，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造）從而保護(hù)網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問題。2.2第二道防線-數(shù)據(jù)中心防護(hù)技戰(zhàn)法網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第3頁?？偛繑?shù)據(jù)中心從防御層面、檢測(cè)層面、響應(yīng)層面及運(yùn)營層面構(gòu)建縱深防御體系。在現(xiàn)有設(shè)備的基礎(chǔ)上，解決通號(hào)在安全建設(shè)初期單純滿足合規(guī)性建設(shè)的安全能力，缺乏完善的主動(dòng)防御技術(shù)和持續(xù)檢測(cè)技術(shù)帶來的風(fēng)險(xiǎn)。主要解決思路如下：網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第3頁。1、基于安全風(fēng)險(xiǎn)評(píng)估情況，夯實(shí)基礎(chǔ)安全架構(gòu)通過持續(xù)性的風(fēng)險(xiǎn)評(píng)估，進(jìn)行安全架構(gòu)的升級(jí)改造，縮小攻擊面、減少風(fēng)險(xiǎn)暴露時(shí)間。包括：安全域改造、邊界加固、主機(jī)加固等內(nèi)容。2、加強(qiáng)持續(xù)檢測(cè)和快速響應(yīng)能力，進(jìn)一步形成安全體系閉環(huán)針對(duì)內(nèi)網(wǎng)的資產(chǎn)、威脅及風(fēng)險(xiǎn)，進(jìn)行持續(xù)性檢測(cè)；基于威脅情報(bào)驅(qū)動(dòng)，加強(qiáng)云端、邊界、端點(diǎn)的聯(lián)動(dòng)，實(shí)現(xiàn)防御、檢測(cè)、響應(yīng)閉環(huán)。3、提升企業(yè)安全可視與治理能力，讓安全了然于胸基于人工智能、大數(shù)據(jù)技術(shù)，提升全網(wǎng)安全風(fēng)險(xiǎn)、脆弱性的可視化能力，大幅度提升安全運(yùn)維能力，以及應(yīng)急響應(yīng)和事件追溯能力。2.2.1邊界防御層面原有的邊界防護(hù)已較完善，無需進(jìn)行架構(gòu)變動(dòng)，只需要確保防御設(shè)備的策略有效性和特征庫的及時(shí)更新。針對(duì)目標(biāo)系統(tǒng)，通過在目標(biāo)系統(tǒng)接入交換機(jī)和匯聚交換機(jī)之間透明部署一臺(tái)下一代防火墻，實(shí)現(xiàn)目標(biāo)系統(tǒng)的針對(duì)性防護(hù)，防止服務(wù)器群內(nèi)部的橫向威脅。下一代防火墻除基本的ACL訪問控制列表的方法予以隔離以外，針對(duì)用戶實(shí)施精細(xì)化的訪問控制、應(yīng)用限制、帶寬保證等管控手段。通號(hào)業(yè)務(wù)系統(tǒng)中存在對(duì)外發(fā)布的網(wǎng)站、業(yè)務(wù)等，因此需要對(duì)WEB應(yīng)用層進(jìn)行有效防護(hù)，通過下一代防火墻提供SQL注入、跨站腳本、CC攻擊等檢測(cè)與過濾，避免Web服務(wù)器遭受攻擊破壞；支持外鏈檢查和目錄訪問控制，防止WebShell和敏感信息泄露，避免網(wǎng)頁篡改與掛馬，滿足通號(hào)Web服務(wù)器深層次安全防護(hù)需求。根據(jù)現(xiàn)有網(wǎng)絡(luò)，核心交換區(qū)部署了應(yīng)用性能管理系統(tǒng)，攻防演練期間，需要對(duì)應(yīng)用性能管理系統(tǒng)進(jìn)行實(shí)時(shí)關(guān)注，應(yīng)用出現(xiàn)異常立即上報(bào)，并定位責(zé)任人進(jìn)行處置，保證網(wǎng)絡(luò)性能穩(wěn)定，流暢運(yùn)行。核心交換機(jī)雙機(jī)部署了兩臺(tái)防火墻，物理上旁路部署，邏輯上通過引流所有流量都經(jīng)過防火墻，通過防火墻對(duì)服務(wù)器區(qū)和運(yùn)維管理區(qū)提供邊界訪問控制能力，進(jìn)行安全防護(hù)。攻防演練期間，核心交換區(qū)防火墻進(jìn)行策略調(diào)優(yōu)，對(duì)訪問服務(wù)器區(qū)和運(yùn)維管理區(qū)的流量數(shù)據(jù)進(jìn)行嚴(yán)格管控，對(duì)訪問服務(wù)器區(qū)內(nèi)目標(biāo)系統(tǒng)請(qǐng)求進(jìn)行管控；防止安全威脅入侵運(yùn)維管理區(qū)，對(duì)整體網(wǎng)絡(luò)的安全及運(yùn)維進(jìn)行破壞，獲取運(yùn)維權(quán)限。網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第4頁。攻防演練期間，在各分支機(jī)構(gòu)的邊界，通過對(duì)各類用戶權(quán)限的區(qū)分，各分支機(jī)構(gòu)的不同訪問需求，可以進(jìn)行精確的訪問控制。通過對(duì)終端用戶、分支機(jī)構(gòu)不同的權(quán)限劃分保障網(wǎng)絡(luò)受控有序的運(yùn)行。網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第4頁。專線接入及直連接入分支通過廣域網(wǎng)接入?yún)^(qū)的路由器-下一代防火墻-上網(wǎng)行為管理-核心交換機(jī)-服務(wù)器區(qū)的路徑進(jìn)行訪問，因此通過完善下一代防火墻防護(hù)策略，達(dá)到安全加固的目的。通過對(duì)全網(wǎng)進(jìn)行訪問控制、明確權(quán)限劃分可以避免越權(quán)訪問、非法訪問等情況發(fā)生，減少安全事件發(fā)生概率。攻防演練前，需要對(duì)下一代防火墻的各類規(guī)則庫、防護(hù)策略進(jìn)行更新和調(diào)優(yōu)。2.2.2端點(diǎn)防御層面服務(wù)器主機(jī)部署終端檢測(cè)響應(yīng)平臺(tái)EDR，EDR基于多維度的智能檢測(cè)技術(shù)，通過人工智能引擎、行為引擎、云查引擎、全網(wǎng)信譽(yù)庫對(duì)威脅進(jìn)行防御。終端主機(jī)被入侵攻擊，導(dǎo)致感染勒索病毒或者挖礦病毒，其中大部分攻擊是通過暴力破解的弱口令攻擊產(chǎn)生的。EDR主動(dòng)檢測(cè)暴力破解行為，并對(duì)發(fā)現(xiàn)攻擊行為的IP進(jìn)行封堵響應(yīng)。針對(duì)Web安全攻擊行為，則主動(dòng)檢測(cè)Web后門的文件。針對(duì)僵尸網(wǎng)絡(luò)的攻擊，則根據(jù)僵尸網(wǎng)絡(luò)的活躍行為，快速定位僵尸網(wǎng)絡(luò)文件，并進(jìn)行一鍵查殺。進(jìn)行關(guān)聯(lián)檢測(cè)、取證、響應(yīng)、溯源等防護(hù)措施，與AC產(chǎn)品進(jìn)行合規(guī)認(rèn)證審查、安全事件響應(yīng)等防護(hù)措施，形成應(yīng)對(duì)威脅的云管端立體化縱深防護(hù)閉環(huán)體系。2.3第三道防線-目標(biāo)系統(tǒng)防護(hù)技戰(zhàn)法本次攻防演練目標(biāo)系統(tǒng)為資金管理系統(tǒng)及PLM系統(tǒng)，兩個(gè)系統(tǒng)安全防護(hù)思路及策略一致，通過APDRO模型及安全策略調(diào)優(yōu)達(dá)到目標(biāo)系統(tǒng)從技術(shù)上不被攻破的目的。2.3.1網(wǎng)絡(luò)層面在網(wǎng)絡(luò)層面為了防止來自服務(wù)器群的橫向攻擊，同時(shí)針對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行有針對(duì)性的防護(hù)，通過部署在目標(biāo)系統(tǒng)邊界的下一代防火墻對(duì)這些業(yè)務(wù)信息系統(tǒng)提供安全威脅識(shí)別及阻斷攻擊行為的能力。同時(shí)通過增加一臺(tái)VPN設(shè)備單獨(dú)發(fā)布目標(biāo)系統(tǒng)，確保對(duì)目標(biāo)系統(tǒng)的訪問達(dá)到最小權(quán)限原則。子公司及辦公樓訪問目標(biāo)系統(tǒng)，需要通過登錄新建的護(hù)網(wǎng)專用VPN系統(tǒng)，再進(jìn)行目標(biāo)系統(tǒng)訪問，并通過防火墻實(shí)現(xiàn)多重保障機(jī)制。網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第5頁。系統(tǒng)多因子認(rèn)證構(gòu)建網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第5頁。為了保證攻防演練期間管理人員接入資金管理系統(tǒng)的安全性，接入資金管理系統(tǒng)時(shí)，需要具備以下幾項(xiàng)安全能力：一是用戶身份的安全；二是接入終端的安全；三是數(shù)據(jù)傳輸?shù)陌踩?；四是?quán)限訪問安全；五是審計(jì)的安全；六是智能終端訪問業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全性。因此需要對(duì)能夠接入資金管理系統(tǒng)的用戶進(jìn)行統(tǒng)一管理，并且屏蔽有風(fēng)險(xiǎn)訪問以及不可信用戶；使用專用SSLVPN對(duì)資金管理系統(tǒng)進(jìn)行資源發(fā)布；為需要接入資金管理系統(tǒng)的用戶單獨(dú)創(chuàng)建SSLVPN賬號(hào)，并開啟短信認(rèn)證+硬件特征碼認(rèn)證+賬戶名密碼認(rèn)證，屏蔽所有不可信任用戶訪問，對(duì)可信用戶進(jìn)行強(qiáng)管控。對(duì)接入的可信用戶進(jìn)行強(qiáng)管控認(rèn)證仍會(huì)存在訪問風(fēng)險(xiǎn)，因此需要邊界安全設(shè)備進(jìn)行邊界安全加固。系統(tǒng)服務(wù)器主機(jī)正常運(yùn)行是業(yè)務(wù)系統(tǒng)正常工作的前提，服務(wù)器可能會(huì)面臨各類型的安全威脅，因此需要建設(shè)事前、事中、事后的全覆蓋防護(hù)體系：l事前，快速的進(jìn)行風(fēng)險(xiǎn)掃描，幫助用戶快速定位安全風(fēng)險(xiǎn)并智能更新防護(hù)策略；l事中，有效防止了引起網(wǎng)頁篡改問題、網(wǎng)頁掛馬問題、敏感信息泄漏問題、無法響應(yīng)正常服務(wù)問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統(tǒng)掃描等攻擊；l事后，對(duì)服務(wù)器外發(fā)內(nèi)容進(jìn)行安全檢測(cè)，防止攻擊繞過安全防護(hù)體系、數(shù)據(jù)泄漏問題。同時(shí)，為了保證安全威脅能夠及時(shí)被發(fā)現(xiàn)并處置，因此需要構(gòu)建一套快速聯(lián)動(dòng)的處理機(jī)制：本地防護(hù)與整體網(wǎng)絡(luò)聯(lián)動(dòng)、云端聯(lián)動(dòng)、終端聯(lián)動(dòng)，未知威脅預(yù)警與防護(hù)策略，實(shí)時(shí)調(diào)優(yōu)策略；深度解析內(nèi)網(wǎng)未知行為，全面安全防護(hù)；周期設(shè)備巡檢，保障設(shè)備穩(wěn)定健康運(yùn)行；云端工單跟蹤，專家復(fù)審，周期性安全匯報(bào)；通過關(guān)聯(lián)全網(wǎng)安全日志、黑客行為建模，精準(zhǔn)預(yù)測(cè)、定位網(wǎng)絡(luò)中存在的高級(jí)威脅、僵尸主機(jī)，做到實(shí)時(shí)主動(dòng)響應(yīng)。在業(yè)務(wù)系統(tǒng)交換機(jī)與匯聚交換機(jī)之間部署下一代防火墻，根據(jù)資產(chǎn)梳理中收集到的可信用戶IP、端口號(hào)、責(zé)任人等信息，在下一代防火墻的訪問控制策略中開啟白名單，將可信用戶名單添加到白名單中，白名單以外的任何用戶訪問業(yè)務(wù)系統(tǒng)都會(huì)被拒絕，保證了區(qū)域內(nèi)的服務(wù)器、設(shè)備安全。2.3.2應(yīng)用層面網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第6頁。下一代防火墻防病毒網(wǎng)關(guān)的模塊可實(shí)現(xiàn)各個(gè)安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進(jìn)行交叉感染；網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第6頁。下一代防火墻基于語義分析技術(shù)提供標(biāo)準(zhǔn)語義規(guī)范識(shí)別能力，進(jìn)一步還原異變的web攻擊；應(yīng)用AI人工智能，基于海量web攻擊特征有效識(shí)別未知的web威脅。基于AI構(gòu)建業(yè)務(wù)合規(guī)基線，基于廣泛的模式學(xué)習(xí)提取合規(guī)的業(yè)務(wù)操作邏輯，偏離基線行為的將會(huì)被判定為web威脅，提升web威脅識(shí)別的精準(zhǔn)度。下一代防火墻以人工智能SAVE引擎為WEB應(yīng)用防火墻的智能檢測(cè)核心，輔以云查引擎、行為分析等技術(shù)，使達(dá)到高檢出率效果并有效洞悉威脅本質(zhì)。威脅攻擊檢測(cè)、多維度處置快速響應(yīng)，有效解決現(xiàn)有信息系統(tǒng)安全問題。目前通號(hào)服務(wù)器區(qū)安全建設(shè)存在以下問題一是以邊界防護(hù)為核心，缺乏以整體業(yè)務(wù)鏈視角的端到端的整體動(dòng)態(tài)防護(hù)的思路；二以本地規(guī)則庫為核心，無法動(dòng)態(tài)有效檢測(cè)已知威脅；三是沒有智能化的大數(shù)據(jù)分析能力，無法感知未知威脅；四是全網(wǎng)安全設(shè)備之間的數(shù)據(jù)不能共享，做不到智能聯(lián)動(dòng)、協(xié)同防御。在保留傳統(tǒng)安全建設(shè)的能力基礎(chǔ)上，將基于人工智能、大數(shù)據(jù)等技術(shù)，按照“業(yè)務(wù)驅(qū)動(dòng)安全”的理念，采用全網(wǎng)安全可視、動(dòng)態(tài)感知、閉環(huán)聯(lián)動(dòng)、軟件定義安全等技術(shù)，建立涵蓋數(shù)據(jù)安全、應(yīng)用安全、終端安全等的“全業(yè)務(wù)鏈安全”。為了保證訪問資金管理系統(tǒng)訪問關(guān)系及時(shí)預(yù)警及安全可視化，需要將訪問目標(biāo)系統(tǒng)的所有流量進(jìn)行深度分析，及時(shí)發(fā)現(xiàn)攻擊行為。在在業(yè)務(wù)系統(tǒng)交換機(jī)旁路部署潛伏威脅探針，對(duì)訪問資金管理系統(tǒng)的所有流量進(jìn)行采集和初步分析，并實(shí)時(shí)同步到安全態(tài)勢(shì)感知平臺(tái)進(jìn)行深度分析，并將分析結(jié)果通過可視化界面呈現(xiàn)。2.3.3主機(jī)層面下一代防火墻通過服務(wù)器防護(hù)功能模塊的開啟，可實(shí)現(xiàn)對(duì)各個(gè)區(qū)域的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護(hù)。防止黑客利用業(yè)務(wù)代碼開發(fā)安全保障不利，使得系統(tǒng)可輕易通過Web攻擊實(shí)現(xiàn)對(duì)Web服務(wù)器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題；下一代防火墻通過風(fēng)險(xiǎn)評(píng)估模塊對(duì)服務(wù)器進(jìn)行安全體檢，通過一鍵策略部署的功能WAF模塊的對(duì)應(yīng)策略，可幫助管理員的實(shí)現(xiàn)針對(duì)性的策略配置；利用下一代防火墻入侵防御模塊可實(shí)現(xiàn)對(duì)各類服務(wù)器操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應(yīng)用程序漏洞（IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護(hù)，防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問題；網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第7頁。針對(duì)系統(tǒng)的服務(wù)器主機(jī)系統(tǒng)訪問控制策略需要對(duì)服務(wù)器及終端進(jìn)行安全加固，加固內(nèi)容包括但不限于：限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改帳戶的默認(rèn)口令，刪除操作系統(tǒng)和數(shù)據(jù)庫中過期或多余的賬戶，禁用無用帳戶或共享帳戶；根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問；加強(qiáng)終端主機(jī)的病毒防護(hù)能力并及時(shí)升級(jí)惡意代碼軟件版本以及惡意代碼庫。網(wǎng)絡(luò)安全防護(hù)技戰(zhàn)法報(bào)告全文共9頁，當(dāng)前為第7頁。通過終端檢測(cè)響應(yīng)平臺(tái)的部署，監(jiān)測(cè)服務(wù)器主機(jī)之間的東西向流量，開啟定時(shí)查殺和漏洞補(bǔ)丁、實(shí)時(shí)文件監(jiān)控功能，限制服務(wù)器主機(jī)之間互訪，及時(shí)進(jìn)行隔離防止服務(wù)器主機(jī)實(shí)現(xiàn)并橫向傳播威脅。并且通過攻擊鏈舉證進(jìn)行攻擊溯源。2.4攻防演練-檢測(cè)與響應(yīng)技戰(zhàn)法2.4.1預(yù)警分析通過7*24小時(shí)在線的安全專家團(tuán)隊(duì)和在線安全監(jiān)測(cè)與預(yù)