互聯(lián)網(wǎng)公司一站式安全解決方案

互聯(lián)網(wǎng)公司一站式安全解決方案■文檔編號■密級公開■版本編號Ver1.0■日期?DATE\@"yyyy"2018綠盟科技■版本變更記錄時間版本說明修改人V1.0新建■適用性聲明本文檔用于安全項目交流。-綠盟科技密級：公開-PAGE17-互聯(lián)網(wǎng)行業(yè)現(xiàn)狀互聯(lián)網(wǎng)業(yè)務(wù)分析互聯(lián)網(wǎng)技術(shù)公司是基于Internet網(wǎng)絡(luò)，開發(fā)互聯(lián)網(wǎng)應(yīng)用，服務(wù)及其它技術(shù)方面的服務(wù)體系?；ヂ?lián)網(wǎng)技術(shù)公司提供的主要服務(wù)包括電子交易，搜索，郵件系統(tǒng)，網(wǎng)絡(luò)相冊，互動社區(qū)，網(wǎng)上購物平臺，網(wǎng)絡(luò)游戲，在線媒體，博客，影音流媒體等。DDoS攻擊對互聯(lián)網(wǎng)業(yè)務(wù)的影響由于國內(nèi)近幾年網(wǎng)絡(luò)建設(shè)的迅速發(fā)展，使得掌握較大的帶寬資源越來越容易。而從實際中所發(fā)生的一些能夠達到幾百兆，甚至千兆的攻擊實例表明，由于利益驅(qū)使，進行惡意競爭而產(chǎn)生的一些海量DDoS攻擊在今天發(fā)生的幾率已經(jīng)很高。威脅1：重要服務(wù)器遭受攻擊（造成核心客戶的流失）網(wǎng)游市場的興起，語音、視頻、媒體業(yè)務(wù)的增加，使得保證業(yè)務(wù)服務(wù)器正常運行成為了最基本的要求。這些類型的業(yè)務(wù)給互聯(lián)網(wǎng)公司帶來了最直接收入。這些類型的業(yè)務(wù)有一個特點就是對實時性要求很高，延遲的出現(xiàn)會直接影響這些業(yè)務(wù)的客戶群。因此在遭受DDoS攻擊的情況下，網(wǎng)絡(luò)反映的減緩甚至服務(wù)的中斷，會直接影響到最終客戶群的應(yīng)用，從而向上影響的到這些服務(wù)業(yè)務(wù)的提供商。威脅2：線路帶寬被占用（造成服務(wù)質(zhì)量下降）現(xiàn)在常見的DDoS攻擊以流量型為主，大規(guī)模的攻擊不僅對某些服務(wù)器有影響，也會影響到整個帶寬資源，影響其他業(yè)務(wù)?；ヂ?lián)網(wǎng)公司要保證客戶的有效帶寬可用性，雖然不同類網(wǎng)民對產(chǎn)生延遲時的忍耐程度不同。但網(wǎng)民當(dāng)然希望能夠保證應(yīng)得的服務(wù)質(zhì)量。如果互聯(lián)網(wǎng)公司遭受DDoS攻擊，勢必會造成其整體用戶的減少，而導(dǎo)致盈利的下降。威脅3：越來越多的應(yīng)用層攻擊（造成利潤客戶流失）由于互聯(lián)網(wǎng)公司運營著網(wǎng)游、聊天、視頻、論壇等越來越多的應(yīng)用服務(wù)器，因而對于應(yīng)用層DoS攻擊的防護就顯得非常重要。應(yīng)用層攻擊的特點是流量并不很大，但是卻常常能造成服務(wù)器特定資源（如對動態(tài)頁面的調(diào)用，對數(shù)據(jù)庫的操作等）的大量消耗，從而形成拒絕服務(wù)的效果。這類攻擊如HTTPGetFlood、DNSQueryFlood、以及CC等。其實，目前流行的CC攻擊就是一種HTTPGet攻擊與連接耗盡攻擊的結(jié)合。WEB攻擊對互聯(lián)網(wǎng)業(yè)務(wù)的影響WEB的開放性帶來豐富資源、高效率、新工作方式的同時，傳統(tǒng)網(wǎng)絡(luò)邊界正逐漸消失，機構(gòu)的重要資產(chǎn)暴露在越來越多的威脅中?，F(xiàn)今WEB安全問題對人們來說已屢見不鮮，以下是收錄于國際安全組織WASC，WHID項目中的幾起最新安全事件：2009年5月26日，法國移動運營商OrangeFrance提供照片管理的網(wǎng)站頻道被曝存在SQL注入漏洞，黑客利用此漏洞獲取到245,000條用戶記錄（包括E-mail、姓名及明文方式的密碼）。2009年1月26日，土耳其黑客采用SQL注入攻擊，篡改了美國軍方兩臺重要服務(wù)器的網(wǎng)頁。2009年1月26日，印度駐西班牙使館網(wǎng)站被掛馬（通過iFrame攻擊植入惡意代碼）。對去年網(wǎng)絡(luò)世界（NetworkWorld）的報導(dǎo)，人們也記憶猶新?！?008年5月13日，在中國大陸、香港及臺灣地區(qū)有數(shù)萬個網(wǎng)站遭遇新一輪SQL注入攻擊，并引發(fā)大規(guī)模掛馬。在過去的4個月中，之前已有3次大規(guī)模攻擊，受害者包括某知名防病毒軟件廠商網(wǎng)站、歐洲某政府網(wǎng)站和某國際機構(gòu)網(wǎng)站在內(nèi)的多家互聯(lián)網(wǎng)網(wǎng)站，感染頁面數(shù)最多超過10000頁面/天。”入侵行為對互聯(lián)網(wǎng)業(yè)務(wù)的影響黑客攻擊行為隨時都在發(fā)生，隨著越來越多的系統(tǒng)漏洞以及應(yīng)用系統(tǒng)的漏洞被發(fā)現(xiàn)，攻擊者的入侵方式更加隱蔽，包括木馬、遠程溢出等等，簡單的安全保護已經(jīng)無法完全防御入侵事件的發(fā)生。圖2009年網(wǎng)絡(luò)安全事件類型分布（國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）綠盟科技解決方案根據(jù)威脅與風(fēng)險分析，我們在充分利用現(xiàn)有資源、盡量在少投入、少改動的基礎(chǔ)上，建議使用產(chǎn)品與服務(wù)整合的解決方案。流量清洗解決方案綠盟科技長期專注于互聯(lián)網(wǎng)數(shù)據(jù)中心應(yīng)用環(huán)境中DDoS流量的防護，利用業(yè)界知名的黑洞抗拒絕服務(wù)系統(tǒng)，制定了綠盟黑洞流量清洗解決方案。該方案采用多層的攻擊流量檢測、防護、過濾機制，及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量，以串聯(lián)透明接入方式，或基于流量牽引技術(shù)的旁路方式，迅速對攻擊流量進行過濾，保證客戶業(yè)務(wù)的正常運行。部署方式單鏈路上聯(lián)方式在原有鏈路為單鏈路拓?fù)?，或是只需要保護部分網(wǎng)絡(luò)的情況下，可在單鏈路上部署黑洞抗拒絕服務(wù)系統(tǒng)。部署方式根據(jù)IDC需求不同，可采用透明接入的串聯(lián)部署方式，或是旁路部署方式。串聯(lián)部署方式部署簡單，無需做額外的配置，只需要將黑洞部署于IDC核心交換機之前即可，對整條鏈路及下聯(lián)網(wǎng)絡(luò)進行抗DDoS防護，部署如下圖所示。黑洞在IDC單鏈路環(huán)境中的串聯(lián)部署雙鏈路上聯(lián)方式針對典型的IDC雙鏈路方式，我們推薦抗拒絕服務(wù)系統(tǒng)采用黑洞的旁路部署方式，部署如下圖所示。黑洞在IDC雙鏈路環(huán)境中的旁路部署投入分析產(chǎn)品名稱產(chǎn)品描述數(shù)量黑洞抗拒絕服務(wù)系統(tǒng)ADS1600A型號，2U，1G防護能力，交流冗余電源，1*RJ45串口，4*GE電口（Bypass），2*SFP插槽1套WEB應(yīng)用防護解決方案綠盟WEB應(yīng)用防火墻（簡稱NSFOCUSWAF）產(chǎn)品針對各類機構(gòu)的WEB業(yè)務(wù)系統(tǒng)，提供WEB安全和WEB應(yīng)用交付融合的解決方案，確保WEB業(yè)務(wù)在安全和性能兩方面的收益最大化：緩解HTTP及HTTPS應(yīng)用下各類安全威脅，如SQL注入、XSS、跨站偽造（CSRF）、cookie篡改以及應(yīng)用層DDoS等，有效應(yīng)對網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障WEB應(yīng)用的高可用性和可靠性。WEB應(yīng)用交付方面，降低服務(wù)響應(yīng)時間、顯著改善終端用戶體驗，優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性，提高數(shù)據(jù)中心的效率和服務(wù)器的投資回報率(ROI)。部署方式通常情況，NSFOCUSWAF工作在DMZ區(qū)，無需修改網(wǎng)絡(luò)及服務(wù)器配置，透明部署在防火墻和WEB服務(wù)器群之間，對WEB服務(wù)器群的出入流量進行有效監(jiān)控，從而確保WEB應(yīng)用的安全，部署如下圖所示。WAF在IDC單鏈路環(huán)境中的部署投入分析產(chǎn)品名稱產(chǎn)品描述數(shù)量WAFP600AWAFP600A引擎模塊，1U，含交流單電源，1*RS232串口，1*FE管理口，4*FE電口（Bypass）。標(biāo)準(zhǔn)配置提供1路電口WAF防護，支持BYPASS1套網(wǎng)絡(luò)入侵防護解決方案部署IPS是非常有必要的，一方面，IPS檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內(nèi)部網(wǎng)絡(luò)；另一方面，IPS往往具有防火墻的功能，可以進一步增強對網(wǎng)絡(luò)的訪問控制。部署方式如圖所示，在網(wǎng)絡(luò)的邊界處位置部署一臺NIPS，檢測并阻斷由外網(wǎng)進來的入侵攻擊。如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內(nèi)網(wǎng)。投入分析產(chǎn)品名稱產(chǎn)品描述數(shù)量NIPS1200ANIPS1200A引擎模塊，2U，含交流冗余電源模塊，1*RJ45串口，1*FE管理口，4*GE電口（Bypass），4*SFP插槽。標(biāo)準(zhǔn)配置提供1路NIPS防護1套安全服務(wù)解決方案由于邊界防護技術(shù)僅提供依照策略的訪問控制，被“授權(quán)”的內(nèi)部和遠程用戶仍可以利用防火墻無法察覺的攻擊方式嘗試窺探、濫用以及其他惡意攻擊行為。防火墻并不會監(jiān)測被授權(quán)用戶的行為，它的側(cè)重點也不是對非常規(guī)的入侵威脅進行檢測。防火墻被允許一定程度的訪問，這就有可能為漏洞窺探和潛在的非常規(guī)攻擊打開大門。因此，如何行之有效的對整個網(wǎng)絡(luò)中的潛在安全隱患和薄弱環(huán)節(jié)進行實時的檢測并做出及時的響應(yīng)成為了本次安全服務(wù)必不可少的一項安全內(nèi)容。7×24小時網(wǎng)站監(jiān)測服務(wù)綠盟網(wǎng)站安全監(jiān)測服務(wù)是一款托管式服務(wù)，您無需安裝任何硬件或軟件，無需改變目前的網(wǎng)絡(luò)部署狀況，無需專門的人員進行安全設(shè)備維護及分析日志。您只需要將監(jiān)測的網(wǎng)站域名告知我方人員，許可后即可獲得7×24小時的網(wǎng)站安全監(jiān)測服務(wù)，一旦您的網(wǎng)站遇到風(fēng)險狀況后，綠盟安全監(jiān)測團隊會在第一時間與您確認(rèn)，并提供專業(yè)的解決方案建議。除此之外，綠盟安全專家會定期為您出具周期性的監(jiān)測報告，讓您整體掌握網(wǎng)站的風(fēng)險狀況及安全趨勢。通過專業(yè)化的服務(wù)產(chǎn)品來實時監(jiān)測和周期度量網(wǎng)站的風(fēng)險隱患，您可以輕松評估您網(wǎng)站的安全狀態(tài)，衡量改進情況，能夠?qū)⒕W(wǎng)站管理人員從繁重的日常安全維護工作中解放出來，降低投入和管理成本，獲得最為專業(yè)、有效的服務(wù)，并確定對行業(yè)和政府法規(guī)的遵從情況。綠盟網(wǎng)站安全監(jiān)測服務(wù)主要包括以下幾方面的內(nèi)容：網(wǎng)站平穩(wěn)度檢測對服務(wù)站點進行實時遠程訪問平穩(wěn)度的動態(tài)監(jiān)視，跟蹤重點對象的訪問平穩(wěn)度動態(tài)變化情況，并根據(jù)嚴(yán)重程度及時發(fā)出報警信號。遠程網(wǎng)站漏洞掃描網(wǎng)站的風(fēng)險漏洞是站點被攻擊的根源，通過遠程的網(wǎng)站應(yīng)用層漏洞掃描服務(wù)，由綠盟安全專家定期進行網(wǎng)站結(jié)構(gòu)分析、漏洞分析，用戶無需采購任何Web應(yīng)用掃描產(chǎn)品，即可獲得網(wǎng)站的漏洞情況，以及修補建議。遠程網(wǎng)頁木馬監(jiān)測綠盟科技基于“云安全”平臺，采用業(yè)內(nèi)領(lǐng)先的智能木馬檢測技術(shù)，可高效、準(zhǔn)確識別網(wǎng)站頁面中的惡意代碼，使網(wǎng)站管理員能夠第一時間得知自己網(wǎng)站的安全狀態(tài)，避免由于網(wǎng)站被掛馬給訪問者帶來的安全隱患。網(wǎng)頁敏感內(nèi)容監(jiān)測實時監(jiān)測目標(biāo)站點是否出現(xiàn)一些敏感關(guān)鍵字，如果發(fā)現(xiàn)敏感內(nèi)容，會在第一時間通知用戶。用戶也可以自定義所關(guān)心的敏感關(guān)鍵字。網(wǎng)頁篡改監(jiān)測實時監(jiān)測目標(biāo)站點頁面狀況，發(fā)生頁面被篡改情況，第一時間通知用戶，避免給自身帶來的聲譽和法律風(fēng)險。網(wǎng)站安全監(jiān)測服務(wù)流程服務(wù)名稱工作內(nèi)容周期備注7×24小時的網(wǎng)站安全監(jiān)測服務(wù)網(wǎng)站平穩(wěn)度檢測，遠程網(wǎng)站漏洞掃描，遠程網(wǎng)頁木馬監(jiān)測，網(wǎng)頁敏感內(nèi)容監(jiān)測，網(wǎng)頁篡改監(jiān)測1年度業(yè)務(wù)系統(tǒng)安全評估在業(yè)務(wù)系統(tǒng)正式上線之前通過專業(yè)的安全評估服務(wù)對應(yīng)用系統(tǒng)的各方面進行安全檢查，并對檢查出的高風(fēng)險問題及時解決，可以最大化的降低上線后遭受攻擊帶來的影響。本方案主要介紹了對應(yīng)用系統(tǒng)安全評估的主要內(nèi)容：通過安全漏洞掃描、人工安全檢查的方式對應(yīng)用系統(tǒng)主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行安全評估，查找系統(tǒng)層面可能被利用的安全隱患；通過滲透測試的方式對應(yīng)用系統(tǒng)的安全性進行評估，發(fā)現(xiàn)應(yīng)用層面可能被利用的安全隱患；通過安全功能審核對應(yīng)用系統(tǒng)的安全功能完善性和安全強度是否符合國際和國內(nèi)標(biāo)準(zhǔn)進行評估；通過源代碼的安全審核，發(fā)現(xiàn)應(yīng)用系統(tǒng)隱藏在深層的安全漏洞或后門。安全通告服務(wù)安全問題目前正以每周新增幾十甚至幾百例的速度在全世界得到反饋，同時涉及信息技術(shù)的眾多領(lǐng)域，組織所掌握的安全知識的更新速度所受到的壓力非常大。綠盟科技從1999年就開始穩(wěn)定的維護著國內(nèi)最早，也是最大的中文安全資料庫。綠盟科技安全研究院作為國內(nèi)領(lǐng)先的安全技術(shù)研究中心，在世界范圍內(nèi)對某些流行的攻擊手段方面的研究走到了攻擊者的前面，幾年來一直負(fù)責(zé)為綠盟科技和相關(guān)客戶收集整理分析來源于全球的各類安全信息，而且這個信息庫每天還在不斷的增加。綠盟科技憑借國內(nèi)領(lǐng)先的安全研究能力，廣泛的采集途徑，以及和全球同步的漏洞信息收集系統(tǒng)，使得我們能高質(zhì)量，高效率的完成這些安全通告，將最新最嚴(yán)重的網(wǎng)絡(luò)安全問題最快的通報給您并且給出相應(yīng)的解決辦法，從而大大減輕網(wǎng)管人員做安全技術(shù)追蹤和分析的壓力，而且能夠得到專業(yè)人士的直接支持。綠盟科技以安全通告的形式為您提供最新的安全動態(tài)、技術(shù)和定制的安全信息，包括實時安全漏洞通知、定期安全通告匯總、臨時安全解決方案和安全知識庫更新等。綠盟科技的安全通告服務(wù)將下面的這些成果與您共享：廠商安全通告：根據(jù)您訂閱的內(nèi)容，提供主流廠商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。綠盟科技安全通告：綠盟科技發(fā)現(xiàn)的安全問題和其他有必要提示的重要安全問題通告。其他安全通告：其他應(yīng)用系統(tǒng)和安全組織（如SANS/CERT等）的安全通告。安全技術(shù)刊物《綠盟月刊》，每月一期。對您的獨立通訊方式進行記錄：包括email地址，通信地址，電話，傳真號。綠盟科技使用安全通告服務(wù)器來維護這些信息和最新的分類安全漏洞。綠盟科技研究部門定期將最新的安全漏洞信息更新到安全通告服務(wù)器，根據(jù)您訂閱的不同類別通告，詳細細節(jié)將通過Email方式發(fā)送給您登記的郵件地址，每個月底，會將當(dāng)月發(fā)布的全部漏洞打包總結(jié)，發(fā)送到您的郵箱中。被標(biāo)注為緊急級別的安全漏洞，綠盟科技還將通過用戶傳真和電話通知的方式直接通知到您。您可以與專門的服務(wù)支持郵箱聯(lián)系，隨時調(diào)整自己的訂閱類別。同時，綠盟科技目前還在建設(shè)短消息安全通告的發(fā)布以及訂閱方式，使您能夠更加方便和及時的獲得綠盟科技發(fā)布的相關(guān)安全信息。服務(wù)名稱工作內(nèi)容次數(shù)備注安全通告綠盟科技安全小組在第一時間提供最新的安全漏洞通告及相應(yīng)的修補建議。全年度應(yīng)急響應(yīng)服務(wù)綠盟科技緊急響應(yīng)服務(wù)提供高效的信息安全事件反應(yīng)體系以幫助盡快對信息安全作出反應(yīng)。在安全事件發(fā)生后，根據(jù)客戶的需求以電話→遠程支持→現(xiàn)場支持的方式提供服務(wù)，包括事件處理及恢復(fù)、事后的事件描述報告以及后續(xù)的安全狀況跟蹤。當(dāng)客戶的主機或網(wǎng)絡(luò)正遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡，而又無法當(dāng)時解決和追查來源時，我們將根據(jù)客戶的要求，以最快的速度趕到現(xiàn)場，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。綠盟科技緊急響應(yīng)小組可以與客戶自己的信息安全中心以及反應(yīng)體系配合協(xié)作，共同完成對客戶信息安全事件的緊急響應(yīng)和處理。綠盟科技緊急響應(yīng)服務(wù)種類包括：入侵調(diào)查當(dāng)入侵事件正在發(fā)生或已經(jīng)發(fā)生，綠盟科技安全專家協(xié)助客戶進行事件調(diào)查、保存證據(jù)、查找后門、追查來源等，同時提供事件處理報告以及后續(xù)的安全狀況跟蹤。拒絕服務(wù)攻擊響應(yīng)當(dāng)拒絕服務(wù)攻擊正在發(fā)生時，綠盟科技安全專家協(xié)助客戶有效緩解拒絕服務(wù)攻擊導(dǎo)致的影響，保障信息資產(chǎn)的可用性。同時提供事件處理報告以及后續(xù)的安全狀況跟蹤。大規(guī)模病毒爆發(fā)響應(yīng)當(dāng)大規(guī)模病毒爆發(fā)正在發(fā)生或已經(jīng)發(fā)生，綠盟科技安全專家協(xié)助客戶進行病毒調(diào)查、漏洞主機定位、查殺病毒等。同時提供事件處理報告以及網(wǎng)絡(luò)防病毒安全建議。主機、網(wǎng)絡(luò)異常響應(yīng)當(dāng)主機或者網(wǎng)絡(luò)異常事件正在發(fā)生或已經(jīng)發(fā)生，綠盟科技安全專家協(xié)助客戶進行事件調(diào)查、保存證據(jù)、查找問題的原因、追查來源等。同時提供事件處理報告以及后續(xù)的安全狀況跟蹤。緊急事件響應(yīng)，包括遠程或本地響應(yīng)。服務(wù)名稱工作內(nèi)容次數(shù)備注應(yīng)急響應(yīng)緊急事件響應(yīng)，現(xiàn)場處理事件并提交安全解決建議。四次信息安全培訓(xùn)普及性安全培訓(xùn) 。對普通業(yè)務(wù)人員及辦公人員進行安全常識培訓(xùn)。內(nèi)容：利用對大量的真實案例的描述，分析員工日常工作中經(jīng)常用到的系統(tǒng)和應(yīng)用軟件的安全隱患，提高企業(yè)或組織中普通桌面用戶的安全意識；結(jié)合企業(yè)或組織制定的一些安全管理規(guī)范解釋在日常工作中需要養(yǎng)成哪些安全操作習(xí)慣。中級安全培訓(xùn)。全面理解信息安全技術(shù)的各項內(nèi)容，掌握相關(guān)系統(tǒng)的安全配置和管理，具備局域網(wǎng)安全規(guī)劃和實施的能力。內(nèi)容：通過培訓(xùn)使企業(yè)或組織的系統(tǒng)管理員或者安全管理員在系統(tǒng)應(yīng)用安全、信息安全、黑客攻防技術(shù)上有足夠的認(rèn)識，提高管理員的信息安全技術(shù)水平；通過介紹常見的安全產(chǎn)品的工作原理和常見配置方法，幫助管理員充分利用現(xiàn)有的安全產(chǎn)品資源，最高效的保護企業(yè)或組織的信息安全。服務(wù)名稱工作內(nèi)容次數(shù)備注普及性安全培訓(xùn)對普通業(yè)務(wù)人員及辦公人員進行安全常識培訓(xùn)兩