網(wǎng)絡(luò)信息安全加固方案

網(wǎng)絡(luò)信息安全加固方案-標(biāo)準(zhǔn)化文件發(fā)布號：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII-標(biāo)準(zhǔn)化文件發(fā)布號：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第1頁。網(wǎng)絡(luò)信息安全加固方案網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第1頁。XXXX業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)信息安全加固項目案例介紹概述隨著信息化技術(shù)的深入和互聯(lián)網(wǎng)的迅速發(fā)展，整個世界正在迅速地融為一體，IT系統(tǒng)已經(jīng)成為XXX整合、共享內(nèi)部資源的核心平臺，同時，隨著XXX經(jīng)營理念的不斷深化，利用各種各樣的業(yè)務(wù)平臺來為XXX提供更多的增值業(yè)務(wù)服務(wù)的情況越來越多，因此IT系統(tǒng)及各種各樣的業(yè)務(wù)平臺在XXX系統(tǒng)內(nèi)的地位越來越重要，更為XXX提供的新業(yè)務(wù)利潤增長做出了不可磨滅的貢獻(xiàn)。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的安全風(fēng)險和威脅，網(wǎng)絡(luò)中蠕蟲、病毒及垃圾郵件肆意泛濫，木馬無孔不入，DDOS攻擊越來越常見、WEB應(yīng)用安全事件層出不窮、，黑客攻擊行為幾乎每時每刻都在發(fā)生，而伴隨著上級主管部門對于信息安全的重視及審查工作愈加深化，所有這些風(fēng)險防范及安全審查工作極大的困擾著XXX運維人員，能否及時發(fā)現(xiàn)網(wǎng)絡(luò)黑客的入侵，有效地檢測出網(wǎng)絡(luò)中的異常流量，并同時在“事前”、“事中”及“事后”都能主動協(xié)助XXX完成自身信息安全體系的建設(shè)以及滿足上級部門審查規(guī)范，已成為XXX運維人員所面臨的一個重要問題。網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第2頁。本方案針對XXXX公司業(yè)務(wù)平臺的安全現(xiàn)狀進(jìn)行分析，并依據(jù)我公司安全體系建設(shè)的總體思路來指導(dǎo)業(yè)務(wù)平臺信息安全體系建設(shè)解決方案的制作，從安全技術(shù)體系建設(shè)的角度給出詳細(xì)的產(chǎn)品及服務(wù)解決方案。網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第2頁。網(wǎng)絡(luò)現(xiàn)狀及風(fēng)險分析網(wǎng)絡(luò)現(xiàn)狀業(yè)務(wù)平臺拓?fù)鋱DXXXX公司業(yè)務(wù)平臺網(wǎng)絡(luò)共有包括XXX、XXX、XXX平臺等四十余個業(yè)務(wù)系統(tǒng)，（因涉及客戶信息，整體網(wǎng)絡(luò)架構(gòu)詳述略）業(yè)務(wù)平臺內(nèi)部根據(jù)業(yè)務(wù)種類的不同，分別部署有數(shù)據(jù)庫、報表、日志等相應(yīng)業(yè)務(wù)系統(tǒng)服務(wù)器。風(fēng)險及威脅分析根據(jù)上述網(wǎng)絡(luò)架構(gòu)進(jìn)行分析，我們認(rèn)為該業(yè)務(wù)平臺存在如下安全隱患：隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純XX的已經(jīng)無法滿足信息安全防護(hù)的需要，部署了×XX的安全保障體系仍需要進(jìn)一步完善，防火墻系統(tǒng)的不足主要有以下幾個方面（略）當(dāng)前網(wǎng)絡(luò)不具備針對X攻擊專項的檢測及防護(hù)能力。（略）對正常網(wǎng)絡(luò)訪問行為導(dǎo)致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為等方面難以實現(xiàn)針對內(nèi)容、行為的監(jiān)控管理及安全事件的追查取證。網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第3頁。當(dāng)前XX業(yè)務(wù)平臺仍缺乏針對網(wǎng)絡(luò)內(nèi)容及已經(jīng)授權(quán)的正常內(nèi)部網(wǎng)絡(luò)訪問行為的有效監(jiān)控技術(shù)手段，因此對正常網(wǎng)絡(luò)訪問行為導(dǎo)致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為等方面難以實現(xiàn)針對內(nèi)容、行為的監(jiān)控管理及安全事件的追查取證。網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第3頁。隨著XX業(yè)務(wù)平臺自有門戶網(wǎng)站的建設(shè)，Web應(yīng)用已經(jīng)為最普遍的信息展示和業(yè)務(wù)管理的接入方式和技術(shù)手段，正因為空前的流行，致使75%以上的攻擊都瞄準(zhǔn)了網(wǎng)站W(wǎng)eb應(yīng)用。這些攻擊可能導(dǎo)致XXX遭受聲譽(yù)和經(jīng)濟(jì)損失，可能造成惡劣的社會影響。當(dāng)前增值業(yè)務(wù)平臺主要面對如下WEB應(yīng)用方面的風(fēng)險和威脅：防火墻在阻止Web應(yīng)用攻擊時能力不足，無法檢測及阻斷隱藏在正常訪問流量內(nèi)的WEB應(yīng)用層攻擊；對于已經(jīng)上線運行的網(wǎng)站，用簡單的方法修補(bǔ)漏洞需要付出過高的代價；面對集團(tuán)對于WEB應(yīng)用安全方面的的“合規(guī)檢查”的壓力。隨著信息安全的發(fā)展，XXXX集團(tuán)在信息安全領(lǐng)域的管理制度也愈加規(guī)范和細(xì)化，在網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等多方面提出了相應(yīng)的安全要求、檢查細(xì)項及考核辦法，并已將信息安全工作納入到日常運維工作中去。在近期發(fā)布的《XXXXX平臺安全管理辦法(試行)》、《XXXX新建業(yè)務(wù)平臺安全驗收指引（試行）》等管理規(guī)范中，明確說明了增值業(yè)務(wù)平臺需要建設(shè)XXXX系統(tǒng)、XXXX系統(tǒng)對業(yè)務(wù)平臺網(wǎng)絡(luò)邊界進(jìn)行防護(hù)，另外亦需要對系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、WEB應(yīng)用等方面提供安全防護(hù)。由此可見，業(yè)務(wù)平臺當(dāng)前缺乏相應(yīng)的整體的安全監(jiān)測及防護(hù)手段，無法滿足上級主管部門的管理要求。信息安全形勢分析網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第4頁。系統(tǒng)漏洞仍舊是XXX網(wǎng)絡(luò)面臨的安全風(fēng)險之一。據(jù)國家信息安全漏洞共享平臺（CNVD）收錄的漏洞統(tǒng)計，2011年發(fā)現(xiàn)涉及電信運營企業(yè)網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等）的漏洞203個，其中高危漏洞73個；發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個,應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個。網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第4頁。拒絕服務(wù)攻擊對XXX業(yè)務(wù)運營造成較大損害及破壞企業(yè)形象，2011年發(fā)生的分布式拒絕服務(wù)攻擊（DDoS）事件中平均約有7%的事件涉及到基礎(chǔ)電信運營企業(yè)的域名系統(tǒng)或服務(wù)。2011年7月域名注冊服務(wù)機(jī)構(gòu)XXXX的DNS服務(wù)器遭受DDoS攻擊，導(dǎo)致其負(fù)責(zé)解析的域名在部分地區(qū)無法解析。2011年8月，某XXXDNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊，造成局部用戶無法正常使用互聯(lián)網(wǎng)。網(wǎng)站安全事件層出不窮，黑客利用SQL注入、XSS腳本攻擊等工具和技術(shù)手段進(jìn)行網(wǎng)頁篡改及信息竊取以非法獲利，造成較大社會影響。在CNCERT接收的網(wǎng)絡(luò)安全事件(不含漏洞)中，網(wǎng)站安全類事件占到%；境內(nèi)被篡改網(wǎng)站數(shù)量為36612個，較2010年增加%；4月-12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個。受控僵尸主機(jī)數(shù)目有增無減，黑客利用受控主機(jī)進(jìn)行信息竊取、跳板類攻擊等現(xiàn)象逐步增多。據(jù)抽樣檢測表明，2011年境外有近萬個IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國境內(nèi)主機(jī)，其控制的境內(nèi)主機(jī)數(shù)量由2010年的近500萬增加至近890萬，呈現(xiàn)大規(guī)?；瘮U(kuò)散趨勢。XXX安全事件系統(tǒng)及主機(jī)漏洞利用類：XX網(wǎng)相冊漏洞利用：X網(wǎng)相冊存在上傳漏洞，被國家安全人員上傳惡意文件獲取系統(tǒng)root權(quán)限，該事件曾上報至副總理及政治局常委處，影響程度深、影響范圍廣；充值系統(tǒng)漏洞利用：某黑客組織利用XXX充值卡系統(tǒng)漏洞，使用網(wǎng)絡(luò)滲透手段、黑客工具等方法計算出充值卡號進(jìn)行出售，造成未售出的充值卡已被充值使用或手機(jī)免費充值的情況；話費系統(tǒng)漏洞利用：利用系統(tǒng)漏洞入侵話費系統(tǒng)，篡改話費信息；網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第5頁。網(wǎng)廳、積分商城WEB應(yīng)用漏洞攻擊：利用網(wǎng)站漏洞入侵XXX網(wǎng)站，獲取客戶信息、冒充客戶進(jìn)行業(yè)務(wù)訂閱或修改客戶積分，達(dá)到非法獲利的目的。網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第5頁。木馬及病毒傳播類：內(nèi)部辦公主機(jī)被控：某XXX被發(fā)現(xiàn)其內(nèi)部計算機(jī)被境外人員通過木馬方式控制，同時該計算機(jī)向內(nèi)部網(wǎng)絡(luò)擴(kuò)散蠕蟲病毒，可竊取計算機(jī)硬盤文件、重要賬號等關(guān)鍵數(shù)據(jù)。網(wǎng)頁篡改類：XXXX網(wǎng)站曾多次發(fā)現(xiàn)主頁被篡改，植入廣告及其他惡意內(nèi)容，使其變成非法信息傳播的平臺，影響企業(yè)形象，并對業(yè)務(wù)平臺運行帶來安全隱患。分布式拒絕服務(wù)（DDoS）攻擊類：XX網(wǎng)站曾發(fā)現(xiàn)遭受DDoS拒絕服務(wù)攻擊，造成其視頻業(yè)務(wù)受損，客戶反響強(qiáng)烈。安全解決方案隨著XX業(yè)務(wù)平臺提供的服務(wù)不斷增加，IT架構(gòu)與系統(tǒng)也變得更復(fù)雜，安全體系也應(yīng)隨需而變。在多年不斷研究和實踐的基礎(chǔ)上，我們提出了全新的安全體系框架。安全體系為安全戰(zhàn)略服務(wù)，我們設(shè)計的安全體系包含安全組織體系、安全管理體系、安全技術(shù)體系。在安全組織體系中，要建立組織、明確職責(zé)、提高人員安全技能、重視雇用期間的安全、要與績效結(jié)合；網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第6頁。在安全管理體系中，以安全策略為主線，落實安全制度和流程，對記錄存檔。我們從最佳安全實踐出發(fā)，將安全管理體系中的過程動態(tài)化、持續(xù)化，包含風(fēng)險評估程序、安全工作計劃、安全項目管理、運行維護(hù)監(jiān)控、安全審計程序、持續(xù)改進(jìn)計劃等，真正與XXX增值業(yè)務(wù)平臺安全建設(shè)和安全保障過程結(jié)合起來；網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第6頁。在安全技術(shù)體系中，將多種安全技術(shù)相結(jié)合，包含準(zhǔn)備、預(yù)防、檢測、保護(hù)、響應(yīng)、監(jiān)控、評價等。面對不斷出現(xiàn)的新興威脅，需要多種安全技術(shù)的協(xié)調(diào)與融合。安全體系像是企業(yè)/組織的免疫系統(tǒng)，體系的不斷完善、組織/人員的盡職盡責(zé)、全員的風(fēng)險預(yù)警意識，才能真正做到主動管理風(fēng)險。針對業(yè)務(wù)平臺存在的種種安全風(fēng)險及威脅的現(xiàn)狀，我們提出如下解決方案：從安全技術(shù)體系角度出發(fā)，建立起運維審計管理體系和安全檢測及防護(hù)體系，利用“預(yù)警、檢測、防護(hù)、響應(yīng)”的風(fēng)險管理安全方法，指導(dǎo)業(yè)務(wù)平臺系統(tǒng)完成安全技術(shù)體系的建設(shè)。從安全組織體系和安全管理體系角度出發(fā)，建立起完善的組織架構(gòu)、管理辦法以及工作計劃，根據(jù)PDCA流程的管理要求，完善業(yè)務(wù)平臺安全管理體系和組織體系的建設(shè)和優(yōu)化。安全運維管理及審計體系安全運維管理及審計體系主要面對上級主管部門要求的周期性主動安全檢查工作和內(nèi)網(wǎng)安全審計兩方面工作內(nèi)容，從事前預(yù)防和事后審計兩個角度實現(xiàn)安全運維工作計劃和安全管理規(guī)范的落地。在“事前”階段，對各業(yè)務(wù)平臺系統(tǒng)配置規(guī)范、自身漏洞管理兩個方面提供相應(yīng)檢查的技術(shù)手段，避免由于配置不規(guī)范或漏洞存在而被惡意利用的風(fēng)險，同時滿足上級單位對于基線安全達(dá)標(biāo)的規(guī)范要求；在“事后”階段，對各業(yè)務(wù)系統(tǒng)運維行為、數(shù)據(jù)庫操作行為、第三方人員網(wǎng)絡(luò)應(yīng)用行為進(jìn)行安全審計，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件，實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確定位，為事后追查及整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持，同時滿足上級單位對于安全審計方面的規(guī)范要求。安全檢測及防護(hù)體系網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第7頁。 安全檢測及防護(hù)體系主要面對業(yè)務(wù)系統(tǒng)當(dāng)前存在的風(fēng)險和威脅，完成“事中”階段業(yè)務(wù)系統(tǒng)被動安全檢測及防護(hù)的工作內(nèi)容，主要包括以下幾方面內(nèi)容：網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第7頁。骨干層網(wǎng)絡(luò)XXXX系統(tǒng)的建設(shè)，對由外部網(wǎng)絡(luò)向內(nèi)部業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)入侵行為實現(xiàn)實時監(jiān)測，為后續(xù)防護(hù)策略細(xì)粒度的制定及安全事件應(yīng)急處理給出準(zhǔn)確的指導(dǎo)意見；各業(yè)務(wù)平臺內(nèi)部入侵防護(hù)系統(tǒng)建設(shè)，對內(nèi)部各業(yè)務(wù)系統(tǒng)之間的網(wǎng)絡(luò)入侵、蠕蟲病毒、木馬等方面進(jìn)行實時監(jiān)測及防護(hù)，實現(xiàn)各業(yè)務(wù)系統(tǒng)內(nèi)部信息安全防護(hù)；針對已部署Portal門戶服務(wù)器，可對外提供WEB應(yīng)用服務(wù)的業(yè)務(wù)系統(tǒng)實現(xiàn)專項WEB應(yīng)用安全防護(hù)。安全技術(shù)體系整體建設(shè)方案根據(jù)當(dāng)前安全形勢、上級單位的管理要求及網(wǎng)絡(luò)現(xiàn)狀的分析，我們提出如下整體安全建設(shè)方案，主要關(guān)注安全運維管理及審計體系建設(shè)及安全檢測機(jī)防護(hù)體系建設(shè)兩個方面的內(nèi)容，以滿足前文所述的“事前”、“事中”、“事后”的全周期整體網(wǎng)絡(luò)安全防護(hù)需求。安全產(chǎn)品整體部署示意圖安全運維管理及審計體系建設(shè)安全運維管理體系網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第8頁。針對增值業(yè)務(wù)平臺整體平面提供安全運維管理的技術(shù)手段，在骨干層匯聚交換機(jī)處部署遠(yuǎn)程安全評估系統(tǒng)和配置核查系統(tǒng)，在保證IP可達(dá)的前提條件下，實現(xiàn)對網(wǎng)絡(luò)中各服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端進(jìn)行漏洞管理和配置規(guī)范檢查的工作，在業(yè)務(wù)系統(tǒng)上線之前或日常運維過程中，提前發(fā)現(xiàn)系統(tǒng)內(nèi)存在的配置錯誤或系統(tǒng)漏洞，避免網(wǎng)絡(luò)存在可供利用的安全隱患，滿足上級單位文提出的基線達(dá)標(biāo)的技術(shù)要求以及實現(xiàn)新業(yè)務(wù)系統(tǒng)上線安全驗收標(biāo)準(zhǔn)的落實。網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第8頁。安全審計體系針對各增值業(yè)務(wù)平臺分別提供細(xì)粒度的安全審計技術(shù)手段，在各業(yè)務(wù)平臺內(nèi)部組網(wǎng)交換機(jī)處，利用流量鏡像方式將網(wǎng)絡(luò)流量發(fā)送到安全審計設(shè)備處，安全審計設(shè)備完成包括數(shù)據(jù)庫操作行為、第三方人員網(wǎng)絡(luò)應(yīng)用行為等在內(nèi)的常見內(nèi)網(wǎng)應(yīng)用進(jìn)行檢測、記錄及告警上報的工作，滿足上級單位安全管理規(guī)范中對安全審計方面的具體要求。安全檢測及防護(hù)體系建設(shè)骨干層安全檢測及防護(hù)體系在骨干層部署入侵檢測系統(tǒng)，對緩沖區(qū)溢出、SQL注入、暴力猜測、DDoS攻擊、掃描探測等常見外網(wǎng)惡意入侵行為進(jìn)行檢測及上報，滿足上級單位對于邊界防護(hù)的具體技術(shù)要求；在骨干層核心交換機(jī)處旁路部署抗拒絕服務(wù)攻擊產(chǎn)品，針對當(dāng)前常見的SYNFLOOD、UDPFLOOD、ICMPFLOOD、CC、HTTPGET等常見鏈路帶寬型、資源耗盡型和應(yīng)用層DDoS攻擊實現(xiàn)專項防護(hù)，保護(hù)應(yīng)用系統(tǒng)正在運行的安全。各業(yè)務(wù)系統(tǒng)細(xì)粒度安全檢測及防護(hù)體系在部署有Web應(yīng)用服務(wù)器的業(yè)務(wù)系統(tǒng)內(nèi)部，串聯(lián)透明部署Web防火墻系統(tǒng)，實現(xiàn)對Web應(yīng)用服務(wù)器的貼身式安全防護(hù)，有效阻止惡意人員通過SQL注入、XSS腳本、CSRF等等常見的WEB應(yīng)用攻擊手段來獲取系統(tǒng)權(quán)限、竊取機(jī)密信息、傳播木馬病毒等行為；對于存在內(nèi)部信息交互需求的業(yè)務(wù)系統(tǒng)之間，通過串聯(lián)方式部署入侵防護(hù)系統(tǒng)，提供細(xì)粒度的內(nèi)網(wǎng)入侵檢測及防護(hù)能力，解決當(dāng)前面臨的對于例如內(nèi)網(wǎng)蠕蟲爆發(fā)、木馬傳播等安全事件缺乏有效檢測手段的安全隱患。本期項目建設(shè)建議方案網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第9頁。根據(jù)上級單位管理規(guī)范要求、當(dāng)前信息安全形勢以及業(yè)務(wù)平臺當(dāng)前安全風(fēng)險及事件的分析，結(jié)合我們在安全技術(shù)體系建設(shè)的研究經(jīng)驗，建議本期項目完成如下工作內(nèi)容：網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第9頁。為了實現(xiàn)系統(tǒng)對網(wǎng)絡(luò)惡意入侵、端口掃描、內(nèi)網(wǎng)病毒等攻擊進(jìn)行實時監(jiān)測及上報的功能，本期建議部署入侵檢測系統(tǒng)。為了解決當(dāng)前常見的大流量DDoS拒絕服務(wù)攻擊的安全問題，保障業(yè)務(wù)平臺持續(xù)、穩(wěn)定的提供服務(wù)，本期建議部署DDoS拒絕服務(wù)攻擊專項防護(hù)系統(tǒng)。為了實現(xiàn)針對WEB應(yīng)用常見的類似SQL注入、XSS跨站腳本等攻擊手段進(jìn)行實時防護(hù)的功能，本期建議部署WEB應(yīng)用防護(hù)系統(tǒng)。安全產(chǎn)品部署拓?fù)鋱D安全產(chǎn)品部署示意圖本期項目在XX交換機(jī)與XX、XX、XX網(wǎng)絡(luò)間新增入侵檢測系統(tǒng)一套。首先需將原有業(yè)務(wù)鏈路按比例進(jìn)行分光放大，然后接入入侵檢測系統(tǒng)中，從增值業(yè)務(wù)平臺整體角度對安全威脅進(jìn)行實時監(jiān)控及檢測上報。網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第10頁。本期項目在XX交換機(jī)處新增流量清洗系統(tǒng)一套，通過旁路部署方式接入至網(wǎng)絡(luò)中，規(guī)避單點故障引入的安全風(fēng)險。當(dāng)檢測到DDoS拒絕服務(wù)攻擊時，利用流量清洗系統(tǒng)內(nèi)置的專業(yè)檢測及處理模塊，在增值業(yè)務(wù)平臺整體匯聚層面上即完成DDoS拒絕服務(wù)攻擊流量的清洗工作，避免攻擊流量傳遞到各平臺內(nèi)部，保障增值業(yè)務(wù)平臺系統(tǒng)所承載的業(yè)務(wù)免受DDoS拒絕服務(wù)攻擊所影響。網(wǎng)絡(luò)信息安全加固方案全文共13頁，當(dāng)前為第10頁。本期項目在XX和XX匯聚交換機(jī)之間新建兩套Web應(yīng)用防護(hù)系統(tǒng)，通過Bypass光交換機(jī)透明串聯(lián)部署在網(wǎng)絡(luò)中，針對增值業(yè)務(wù)平臺中提供Web應(yīng)用服務(wù)的平臺提供專項安全防護(hù)。既滿足了業(yè)務(wù)平臺整體WEB應(yīng)用安全防護(hù)的需求，同時通過光路Bypass功能也規(guī)避了串聯(lián)安全防護(hù)設(shè)備所面臨的單點故障引入的安全風(fēng)險。信號流程入侵檢測信號流將網(wǎng)絡(luò)流量通過分光方式傳送到入侵檢測系統(tǒng)，完成包括應(yīng)用層漏洞攻擊、緩沖區(qū)溢出、端口掃描等網(wǎng)絡(luò)入侵攻擊行為的實時檢測及上報工作?？咕芙^服務(wù)信號流在檢測到DDoS攻擊后，并非采取簡單的阻斷手段進(jìn)行處理，而是將正常網(wǎng)絡(luò)流量與DDoS攻擊流量通過BGP、OSPF、靜態(tài)路由等相應(yīng)路由協(xié)議共同牽引至抗拒絕服務(wù)攻擊系統(tǒng)進(jìn)行專項流量清洗處理工作，再將處理后的正常網(wǎng)絡(luò)流量回注至增值業(yè)務(wù)平臺網(wǎng)絡(luò)內(nèi)部，在保障DDoS攻擊流量被清洗掉的同時，亦可滿足正常網(wǎng)絡(luò)流量的通過要求。WEB應(yīng)用攻擊防護(hù)信號流隨著WEB應(yīng)用的