深信服業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案模板

深信服業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案深信服科技版權(quán)所有深信服XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案深信服科技有限公司20XX年XX月XX日

目錄深信服XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固解決方案 1目錄 21 應(yīng)用背景 42 需求分析 52.1 一期建設(shè)拓?fù)鋱D 52.2 業(yè)務(wù)系統(tǒng)安全現(xiàn)狀 52.3 業(yè)務(wù)系統(tǒng)脆弱性分析 62.4 風(fēng)險(xiǎn)可能導(dǎo)致的問題 82.5 業(yè)務(wù)安全加固建設(shè)目標(biāo) 93 方案設(shè)計(jì) 103.1 網(wǎng)絡(luò)安全加固方案 103.1.1 DOS/DDOS防護(hù)子系統(tǒng) 103.1.2 防病毒子系統(tǒng) 103.2 系統(tǒng)安全加固方案 113.2.1 入侵防御子系統(tǒng) 123.3 應(yīng)用安全加固方案 133.3.1 Web安全子系統(tǒng) 143.4 數(shù)據(jù)安全加固方案 143.4.1 信息泄漏防護(hù)子系統(tǒng) 153.4.2 防篡改子系統(tǒng) 154 產(chǎn)品部署示方案 164.1 方案一：一站式應(yīng)用安全加固部署方案 164.1.1 拓?fù)鋱D 164.1.2 產(chǎn)品部署方案 164.1.3 產(chǎn)品選型 184.2 方案二：節(jié)點(diǎn)縱深防御應(yīng)用安全加固部署方案 194.2.1 拓?fù)鋱D 194.2.2 產(chǎn)品部署方案 194.2.3 產(chǎn)品選型 205 關(guān)于深信服 21

應(yīng)用背景 網(wǎng)絡(luò)的飛速發(fā)展促進(jìn)了各行業(yè)的信息化建設(shè)，近幾年來XX單位走過了不斷發(fā)展、完善的信息化歷程，現(xiàn)已擁有技術(shù)先進(jìn)、種類繁多的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)，構(gòu)成了一個(gè)配置多樣的綜合性網(wǎng)絡(luò)平臺。隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的不斷完善，有針對性作用的業(yè)務(wù)系統(tǒng)也不斷增加，XX單位已于2011年底完成建設(shè)XX業(yè)務(wù)系統(tǒng)，提供開放的綜合業(yè)務(wù)平臺為用戶提供便捷的服務(wù)。為了保證用戶能夠更安全，更便捷的使用業(yè)務(wù)系統(tǒng)，在XX業(yè)務(wù)系統(tǒng)建設(shè)時(shí)便設(shè)計(jì)并建設(shè)完成了第一期網(wǎng)絡(luò)安全建設(shè)規(guī)劃。在第一期的網(wǎng)絡(luò)安全建設(shè)規(guī)劃方案中，防火墻被用作主要的網(wǎng)絡(luò)安全設(shè)備保證業(yè)務(wù)系統(tǒng)的正常穩(wěn)定運(yùn)行。使用防火墻將服務(wù)器區(qū)域分割成為應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、邊界接入?yún)^(qū)、運(yùn)維管理區(qū)域等多個(gè)網(wǎng)絡(luò)層相互邏輯隔離的區(qū)域，防止內(nèi)、外部安全風(fēng)險(xiǎn)危害各個(gè)業(yè)務(wù)區(qū)域。 然而隨著互聯(lián)網(wǎng)的飛速發(fā)展，外部網(wǎng)絡(luò)安全日趨嚴(yán)重，面對業(yè)務(wù)系統(tǒng)的信息安全攻擊逐漸從網(wǎng)絡(luò)層向應(yīng)用層和系統(tǒng)層遷移。各類新型的黑客技術(shù)手段、計(jì)算機(jī)病毒、系統(tǒng)漏洞、應(yīng)用程序漏洞以及網(wǎng)絡(luò)中的不規(guī)范操作對XX單位業(yè)務(wù)系統(tǒng)均有可能造成嚴(yán)重的威脅。在給內(nèi)、外網(wǎng)用戶提供優(yōu)質(zhì)服務(wù)的同時(shí)，也面臨著各類的應(yīng)用安全風(fēng)險(xiǎn)，為了加強(qiáng)業(yè)務(wù)系統(tǒng)的防護(hù)能力，提高業(yè)務(wù)系統(tǒng)安全性，并且滿足等保三級的要求，XX單位將啟動二期XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固的安全建設(shè)。需求分析一期建設(shè)拓?fù)鋱D業(yè)務(wù)系統(tǒng)安全現(xiàn)狀 XX業(yè)務(wù)系統(tǒng)是整個(gè)業(yè)務(wù)的支撐，應(yīng)對業(yè)務(wù)系統(tǒng)進(jìn)行重點(diǎn)防護(hù)，如果業(yè)務(wù)系統(tǒng)的訪問行為控制不利，非授權(quán)用戶可能竊取機(jī)密數(shù)據(jù)、刪除和修改業(yè)務(wù)數(shù)據(jù)、甚至植入病毒，引起系統(tǒng)中斷服務(wù)或癱瘓。同時(shí)，如果不對日益猖獗的病毒問題進(jìn)行防御，有可能從外部或內(nèi)部其他區(qū)域引入病毒，影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。同時(shí)，垃圾郵件的泛濫將阻礙業(yè)務(wù)的正常開展，同時(shí)可能引入注入病毒、木馬、釣魚攻擊等眾多的安全風(fēng)險(xiǎn)。最后，操作系統(tǒng)漏洞、業(yè)務(wù)系統(tǒng)漏洞、應(yīng)用軟件漏洞不斷被發(fā)現(xiàn)，如果不重視業(yè)務(wù)系統(tǒng)日常的安全運(yùn)維，業(yè)務(wù)系統(tǒng)將可能由于安全漏洞的發(fā)現(xiàn)、由于缺乏及時(shí)的響應(yīng)，而引入風(fēng)險(xiǎn)、造成破壞。 目前XX單位正在著手進(jìn)行二期XX業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)建設(shè)，本次規(guī)劃內(nèi)容主要涉及針對業(yè)務(wù)系統(tǒng)的應(yīng)用安全加固的內(nèi)容。通過對該業(yè)務(wù)系統(tǒng)目前的安全狀況以及二期建設(shè)目標(biāo)分析，XX業(yè)務(wù)系統(tǒng)目前還存在以下幾個(gè)方面的問題： 1、業(yè)務(wù)系統(tǒng)與內(nèi)外網(wǎng)對接沒有實(shí)現(xiàn)有效的邊界訪問控制，無法界定用戶訪問是否為合法請求； 2、對于流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有有效的流量清洗的能力，無法識別流量是正常的訪問請求還是DOS/DDOS拒絕服務(wù)類的攻擊； 3、對于夾雜在數(shù)據(jù)流中的病毒、木馬、蠕蟲沒有良好的檢測能力，很難避免在業(yè)務(wù)交互過程中由于數(shù)據(jù)中包含病毒、木馬、蠕蟲等威脅對業(yè)務(wù)系統(tǒng)造成的危害； 4、服務(wù)器系統(tǒng)底層漏洞攻擊防護(hù)僅依靠時(shí)效性不強(qiáng)的手動補(bǔ)丁更新，缺乏有效的防護(hù)手段，尤其缺乏零日漏洞攻擊的防護(hù)能力； 5、流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有應(yīng)用層攻擊（如web攻擊）的檢測能力，難以保證業(yè)務(wù)系統(tǒng)Web應(yīng)用程序以及后臺數(shù)據(jù)庫不被攻擊；業(yè)務(wù)系統(tǒng)脆弱性分析 結(jié)合一期業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀分析，現(xiàn)業(yè)務(wù)系統(tǒng)脆弱性在各層面主要體現(xiàn)在：網(wǎng)絡(luò)層面 業(yè)務(wù)系統(tǒng)一期網(wǎng)絡(luò)安全建設(shè)部署了防火墻通過訪問控制實(shí)現(xiàn)邊界接入?yún)^(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)等區(qū)域的安全隔離，能夠從網(wǎng)絡(luò)層面有效的對邏輯區(qū)域進(jìn)行隔離。但由于防火墻的局限性，對于利用網(wǎng)絡(luò)協(xié)議漏洞的DOS/DDOS攻擊仍然沒有很好的防護(hù)效果，利用網(wǎng)絡(luò)協(xié)議的攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓而無法響應(yīng)正常業(yè)務(wù)請求及訪問。系統(tǒng)層面 系統(tǒng)層面上主要是不斷發(fā)現(xiàn)的各種安全漏洞，包括本地溢出，遠(yuǎn)程溢出等脆弱性問題。由于操作系統(tǒng)都不可避免的存在bug，包括安全方面的bug，因此系統(tǒng)本身的脆弱性是不可能完全避免的，只能在一定時(shí)間內(nèi)減少和降低危害。而當(dāng)前業(yè)務(wù)系統(tǒng)一期網(wǎng)絡(luò)安全建設(shè)并沒有對系統(tǒng)層面的攻擊提供有效的防護(hù)措施，安全維護(hù)人員僅僅通過在互聯(lián)網(wǎng)上下載最新的操作系統(tǒng)補(bǔ)丁來保證系統(tǒng)漏洞不被輕易利用，而服務(wù)器邏輯隔離于互聯(lián)網(wǎng)、或者業(yè)務(wù)系統(tǒng)運(yùn)行于內(nèi)網(wǎng)，使得補(bǔ)丁無法及時(shí)更新，業(yè)務(wù)系統(tǒng)系統(tǒng)層面的安全風(fēng)險(xiǎn)十分嚴(yán)重。且服務(wù)器往往由于更新不及時(shí)也可能帶來新的“0”日攻擊的威脅。通過安全評估發(fā)現(xiàn)系統(tǒng)層面的漏洞廣泛存在于應(yīng)用服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)大量應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器之上。利用系統(tǒng)漏洞攻擊可以使攻擊者獲得系統(tǒng)級的權(quán)限而為所欲為，危害嚴(yán)重。系統(tǒng)層面的安全風(fēng)險(xiǎn)需要進(jìn)行統(tǒng)一防護(hù)。應(yīng)用層面 應(yīng)用層面的脆弱性最為復(fù)雜，包括了常見應(yīng)用，B/S業(yè)務(wù)服務(wù)程序中可能存在的安全漏洞，WEB開發(fā)中的安全隱患以及目前用的網(wǎng)站管理系統(tǒng)都可能成為被攻擊者所利用。而業(yè)務(wù)系統(tǒng)基于ASP、PHP、JSP開發(fā)，不可避免的存在軟件開發(fā)本身的漏洞、造成黑客的SQL注入，致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫和網(wǎng)頁文件被篡改或者被竊取。把業(yè)務(wù)系統(tǒng)主頁修改使得大你問名義受損，造成不良的影響。應(yīng)用層面的攻擊沒有辦法完全修改業(yè)務(wù)系統(tǒng)構(gòu)架來避免，在業(yè)務(wù)系統(tǒng)更新修改后還有可能存在新的漏洞。同時(shí)用于承載業(yè)務(wù)的各類應(yīng)用軟件本身也存在大量的漏洞，包括業(yè)務(wù)發(fā)布應(yīng)用程序（如IIS、Apach等），數(shù)據(jù)庫軟件（如，oracle、mssql等），中間件（如weblogic等），利用他們也可以對業(yè)務(wù)系統(tǒng)本身造成嚴(yán)重的危害。所以應(yīng)用層面的安全威脅需要嚴(yán)格防護(hù)，并作為本次業(yè)務(wù)系統(tǒng)安全加固的重點(diǎn)。數(shù)據(jù)層面 由于安全的建設(shè)的基本原則是保證安全防護(hù)最大化，并沒有辦法實(shí)現(xiàn)100%的安全防護(hù)，安全設(shè)備仍有可能存在被繞過的風(fēng)險(xiǎn)。而在數(shù)據(jù)層面的脆弱性也就因此產(chǎn)生，主要表現(xiàn)在數(shù)據(jù)的傳輸是否安全，獲取方式是否合法，是否有非法竊取的風(fēng)險(xiǎn)，是否存在“拖庫”、“暴庫”的風(fēng)險(xiǎn)。為了保證整個(gè)業(yè)務(wù)系統(tǒng)最核心的數(shù)據(jù)部分，本次安全加固需要包含對于數(shù)據(jù)是否被非法竊取的防護(hù)措施。風(fēng)險(xiǎn)可能導(dǎo)致的問題 業(yè)務(wù)系統(tǒng)包含Web服務(wù)器、存儲服務(wù)器、數(shù)據(jù)庫服務(wù)器等多種類型的業(yè)務(wù)服務(wù)器，向internet、intranet等多個(gè)區(qū)域提供服務(wù)，業(yè)務(wù)系統(tǒng)要面臨來自內(nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅。其安全保障意義重大。而一期網(wǎng)絡(luò)安全建設(shè)中防火墻僅僅是通過vlan、ACL訪問控制對其進(jìn)行安全隔離。應(yīng)用層攻擊仍然能夠穿透這些安全隔離的手段，從外向內(nèi)部進(jìn)行滲透。同時(shí)帶有目的性的內(nèi)網(wǎng)用戶的攻擊滲透行為也是造成眾多泄露事件的原因之一。風(fēng)險(xiǎn)造成的結(jié)果有以下幾種：業(yè)務(wù)系統(tǒng)篡改問題 業(yè)務(wù)系統(tǒng)的架構(gòu)是B/S架構(gòu)，大量的web應(yīng)用可能存在被攻擊的風(fēng)險(xiǎn)。業(yè)務(wù)系統(tǒng)的篡改是指攻擊者利用Web應(yīng)用程序漏洞將正常的網(wǎng)頁替換為攻擊者提供的網(wǎng)頁/文字/圖片等內(nèi)容。一般來說篡改的問題對計(jì)算機(jī)系統(tǒng)本身不會產(chǎn)生直接的影響，但對于業(yè)務(wù)系統(tǒng)，需要與用戶通過業(yè)務(wù)系統(tǒng)進(jìn)行溝通的應(yīng)用而言，就意味著業(yè)務(wù)系統(tǒng)的服務(wù)將被迫停止服務(wù)，對單位形象及信譽(yù)會造成嚴(yán)重的損害。業(yè)務(wù)系統(tǒng)掛馬問題 業(yè)務(wù)系統(tǒng)網(wǎng)頁被掛馬也是利用Web攻擊造成的一種網(wǎng)頁篡改的安全問題，相對而言這種問題會比較隱蔽，但本質(zhì)上這種方式也破壞了業(yè)務(wù)系統(tǒng)的完整性。掛馬會導(dǎo)致Web業(yè)務(wù)的最終用戶成為受害者，成為攻擊者的幫兇或者造成自身的損失。這種問題出現(xiàn)在業(yè)務(wù)系統(tǒng)中也嚴(yán)重影響業(yè)務(wù)的正常運(yùn)作并影響到單位的公信度。無法響應(yīng)正常服務(wù)的問題 黑客通過網(wǎng)絡(luò)層DOS/DDOS拒絕服務(wù)攻擊使業(yè)務(wù)系統(tǒng)無法響應(yīng)正常請求。這種攻擊行為使得服務(wù)器充斥大量要求回復(fù)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致業(yè)務(wù)系統(tǒng)無法響應(yīng)正常的服務(wù)請求。對于業(yè)務(wù)系統(tǒng)可用性而言是巨大的威脅。業(yè)務(wù)系統(tǒng)服務(wù)器被控制 黑客通過系統(tǒng)漏洞攻擊、應(yīng)用程序漏洞攻擊可以使造成緩沖區(qū)溢出等安全問題，通過這些問題可以使得黑客可以肆意的在出現(xiàn)溢出的過程中添加具有權(quán)限獲取能力的代碼，并通過這些手段最終獲取業(yè)務(wù)系統(tǒng)服務(wù)器的權(quán)限。服務(wù)器的系統(tǒng)權(quán)限一旦被黑客獲取，就意味著黑客可以完全控制業(yè)務(wù)系統(tǒng)的服務(wù)器并為所欲為，其危害不言而喻。敏感信息泄漏問題 這類安全問題主要web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺數(shù)據(jù)庫，導(dǎo)致數(shù)據(jù)庫中儲存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯(lián)系方式等敏感信息被攻擊者獲取。這對于業(yè)務(wù)系統(tǒng)而言是致命的打擊，可產(chǎn)生巨大的不良影響。 ……業(yè)務(wù)安全加固建設(shè)目標(biāo) 從本次網(wǎng)絡(luò)安全規(guī)劃的主要目的分網(wǎng)絡(luò)層次考慮，利用各種應(yīng)用安全加固技術(shù)和手段應(yīng)用到實(shí)際網(wǎng)絡(luò)環(huán)境中，將業(yè)務(wù)系統(tǒng)建設(shè)成一個(gè)支持各級別用戶或用戶群的縱深安全防御體系，在保證業(yè)務(wù)系統(tǒng)高可用的同時(shí)，保證業(yè)務(wù)系統(tǒng)應(yīng)用安全。 1、最大限度的控制網(wǎng)絡(luò)系統(tǒng)，加強(qiáng)邊界訪問控制權(quán)限的建立，降低安全風(fēng)險(xiǎn)； 2、消除網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)本身存在的大量弱點(diǎn)漏洞和認(rèn)為操作或配置產(chǎn)生的與安全策略相違背的系統(tǒng)配置，減少入侵者成功入侵的可能； 3、加強(qiáng)網(wǎng)絡(luò)系統(tǒng)入侵行為的檢測和防御能力，有效阻止來自外部的攻擊行為，同時(shí)也防止來自內(nèi)部的違規(guī)操作行為； 4、通過加固手段切實(shí)提高操作系統(tǒng)的安全級別，保證系統(tǒng)安全； 5、針對業(yè)務(wù)系統(tǒng)本身可能面臨的應(yīng)用安全風(fēng)險(xiǎn)有針對性的進(jìn)行安全加固，防止應(yīng)用安全威脅危害業(yè)務(wù)系統(tǒng)正常安全使用； 6、增強(qiáng)事后防御的措施，控制、保障業(yè)務(wù)系統(tǒng)內(nèi)部的敏感信息、保密信息、涉密信息在網(wǎng)絡(luò)協(xié)議中傳輸，針對業(yè)務(wù)系統(tǒng)本身制定嚴(yán)格的合規(guī)性策略，控制不法份子繞過防御體系進(jìn)行信息竊取的行為； 7、加強(qiáng)業(yè)務(wù)系統(tǒng)被非法修改的能力，實(shí)現(xiàn)防止業(yè)務(wù)系統(tǒng)web界面被非法修改的根本目的。方案設(shè)計(jì) 在業(yè)務(wù)系統(tǒng)脆弱性分析的基礎(chǔ)上，我們對網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面、數(shù)據(jù)層面進(jìn)行詳細(xì)的方案設(shè)計(jì)，對設(shè)計(jì)到的產(chǎn)品/子系統(tǒng)和技術(shù)，進(jìn)行詳細(xì)的闡述。網(wǎng)絡(luò)安全加固方案 網(wǎng)絡(luò)層面的安全加固主要針對業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)層可能面臨DOS/DDOS攻擊進(jìn)行強(qiáng)化的防護(hù)，對于進(jìn)入網(wǎng)絡(luò)中的病毒/木馬/蠕蟲進(jìn)行過濾和清洗。 因此本次應(yīng)用安全加固的安全建設(shè)中，采用一體化安全網(wǎng)關(guān)部署于原防火墻后與一期業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的防火墻形成異構(gòu)，實(shí)現(xiàn)出口網(wǎng)絡(luò)安全加固，同時(shí)實(shí)現(xiàn)簡化組網(wǎng)、簡化運(yùn)維、最優(yōu)投資的價(jià)值。DOS/DDOS防護(hù)子系統(tǒng) 常見的DDOS攻擊方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已發(fā)現(xiàn)的DOS攻擊程序有ICMPSmurf、UDP反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo和Stacheldraht。 DOS和DDOS攻擊會耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計(jì)算機(jī)網(wǎng)絡(luò)的正常業(yè)務(wù)無法進(jìn)行，嚴(yán)重?fù)p害單位的聲譽(yù)并造成極大的經(jīng)濟(jì)損失，使IT部門承受極大的壓力。 DOS/DDOS防護(hù)子系統(tǒng)采用自主研發(fā)的DOS攻擊算法，可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實(shí)現(xiàn)對網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實(shí)現(xiàn)L2-L7層的異常流量清洗。防病毒子系統(tǒng) 蠕蟲病毒是對網(wǎng)絡(luò)的重大危害，蠕蟲病毒在爆發(fā)時(shí)將使路由器、3層交換機(jī)、防火墻等網(wǎng)關(guān)設(shè)備性能急速下降，并且占用整個(gè)網(wǎng)絡(luò)帶寬。針對病毒的風(fēng)險(xiǎn)，應(yīng)通過終端與網(wǎng)關(guān)相結(jié)合的方式，以用戶終端控制加網(wǎng)絡(luò)防病毒網(wǎng)關(guān)進(jìn)行綜合控制。重點(diǎn)是將病毒消滅或封堵在終端這個(gè)源頭上。在廣域網(wǎng)出口及互聯(lián)網(wǎng)出口上部署網(wǎng)關(guān)防病毒子系統(tǒng)，在網(wǎng)絡(luò)邊界對數(shù)據(jù)流進(jìn)行集中監(jiān)測和過濾控制，可以在一定程度上避免蠕蟲病毒爆發(fā)時(shí)的大流量沖擊。 防病毒子系統(tǒng)提供先進(jìn)的病毒防護(hù)功能，可從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，也可查殺壓縮包（zip，rar，gzip等）中的病毒。同時(shí)采用高效的流式掃描技術(shù)，可大幅提升病毒檢測效率避免防病毒成為網(wǎng)絡(luò)安全的瓶頸。 防病毒子系統(tǒng)的具有大容量病毒庫，能夠查殺10萬種以上種病毒。為了更有效地過濾網(wǎng)絡(luò)病毒，除了特征碼識別、廣譜特征碼、啟發(fā)式掃描技術(shù)等幾種常見的檢測方法以外，深信服NGAF還采用了多種先進(jìn)的新一代病毒掃描引擎技術(shù)，以巧妙而精確的算法保證在檢測大量病毒時(shí)，仍然保持高速而準(zhǔn)確的檢測結(jié)果，其中包括:病毒脫殼技術(shù):對加殼的病毒先進(jìn)行脫殼，然后再進(jìn)行檢測。OLE分離技術(shù):宏掃描從Office文件中提取宏，根據(jù)已知的宏病毒字符串對宏進(jìn)行檢測，并對宏中的代碼行為進(jìn)行分析，識別宏病毒。壓縮格式病毒檢測技術(shù):輕松查殺多種壓縮格式的病毒，如ZIP、GZIP、RAR、ARJ、ARC、LZH、CAB、ZOO、TAR和CHM等。木馬、黑客程序檢測技術(shù):針對網(wǎng)絡(luò)上流行的木馬、黑客程序，深信服NGAF掃描引擎采用了獨(dú)特的特征&行為雙重檢測技術(shù)，可以對其進(jìn)行有效的阻斷。高速的協(xié)議分析、還原和內(nèi)容檢測技術(shù):通過精心設(shè)計(jì)的算法保證了在檢測大量病毒時(shí)仍然保持高速而準(zhǔn)確的檢測結(jié)果。系統(tǒng)安全加固方案 系統(tǒng)安全層面的加固主要針對承載業(yè)務(wù)系統(tǒng)本身的各類服務(wù)器底層的操作系統(tǒng)進(jìn)行安全防護(hù)實(shí)現(xiàn)系統(tǒng)安全加固的目的。 通過入侵防御子系統(tǒng)在業(yè)務(wù)系統(tǒng)核心交換前形成“虛擬補(bǔ)丁”的防御體系，全面提升web應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、服務(wù)器區(qū)、DMZ區(qū)服務(wù)器操作系統(tǒng)安全防護(hù)能力。采用入侵防御子系統(tǒng)形成“虛擬補(bǔ)丁”的防御體系可切實(shí)減少系統(tǒng)管理員服務(wù)器群的安全維護(hù)成本，借助廠商強(qiáng)大的安全研究能力可以防御“0”日攻擊的風(fēng)險(xiǎn)。入侵防御子系統(tǒng) 網(wǎng)絡(luò)核心交換前采用開啟入侵防御子系統(tǒng)，監(jiān)視、記錄并阻斷網(wǎng)絡(luò)中的所有非法的訪問行為和操作，有效防止非法操作和惡意攻擊。同時(shí)，入侵防御子系統(tǒng)還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。 需要說明的是，入侵防御子系統(tǒng)是對防火墻的非常有必要的附加而不僅僅是簡單的補(bǔ)充。入侵防御子系統(tǒng)作為網(wǎng)絡(luò)安全體系的第二道防線，對在防火墻系統(tǒng)阻斷攻擊失敗時(shí)，可以最大限度地減少相應(yīng)的損失。入侵防御子系統(tǒng)也可以與防火墻子系統(tǒng)等安全產(chǎn)品實(shí)現(xiàn)聯(lián)動，縱深防御APT攻擊，簡化管理員管理實(shí)現(xiàn)動態(tài)的安全維護(hù)。 入侵防御子系統(tǒng)是防火墻技術(shù)的有效補(bǔ)充，利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但是入侵者可尋找防火墻背后可能敞開的后門，利用操作系統(tǒng)本身的漏洞輕易繞過防火墻。 基于應(yīng)用的深度入侵防御子系統(tǒng)采用六大威脅檢測機(jī)制：攻擊特征檢測、特殊攻擊檢測、威脅關(guān)聯(lián)分析、異常流量檢測、協(xié)議異常檢測、深度內(nèi)容分析能夠有效的防止各類已知未知攻擊，實(shí)時(shí)阻斷黑客攻擊。如，緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。 入侵防御子系統(tǒng)融合多種應(yīng)用威脅檢測方式，提升威脅檢測的精度。檢測方式主要包含6種檢測方式：攻擊特征檢測特殊攻擊檢測威脅關(guān)聯(lián)分析異常流量檢測協(xié)議異常檢測深度內(nèi)容分析 入侵防御子系統(tǒng)的漏洞防護(hù)策略的設(shè)計(jì)思路是，防御服務(wù)器和客戶端的各種漏洞，以保護(hù)服務(wù)器和客戶端不受攻擊。管理員在配置策略時(shí)可根據(jù)具體的應(yīng)用場景，配置針對性的策略，便于維護(hù)與管理。 利用入侵防御子系統(tǒng)可防護(hù)的服務(wù)器漏洞包含：協(xié)議脆弱性保護(hù)DDoS攻擊保護(hù)DNS服務(wù)器保護(hù)其他exploit保護(hù)finger服務(wù)保護(hù)ftp服務(wù)器保護(hù)imap服務(wù)器保護(hù)mysql服務(wù)器保護(hù)netbios服務(wù)保護(hù)nntp服務(wù)保護(hù)oracle服務(wù)器保護(hù)Pop2服務(wù)器保護(hù)Pop3服務(wù)器保護(hù)RPC服務(wù)保護(hù)remoteservice保護(hù)遠(yuǎn)程探測防護(hù)shellcode防護(hù)smtp服務(wù)器保護(hù)snmp服務(wù)器保護(hù)SQLserver服務(wù)器保護(hù)telnet服務(wù)保護(hù)tftp類服務(wù)保護(hù)voip防護(hù)frontpage擴(kuò)展安全性保護(hù)iis服務(wù)器保護(hù)X11服務(wù)器保護(hù)……應(yīng)用安全加固方案 應(yīng)用層面的安全加固主要針對本次業(yè)務(wù)系統(tǒng)應(yīng)用安全建設(shè)中web應(yīng)用程序基于ASP、PHP、JSP等開發(fā)的B/S業(yè)務(wù)，本身不可避免的存在軟件開發(fā)本身的漏洞、造成黑客的SQL注入，致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫和網(wǎng)頁文件被篡改或者被竊取的問題進(jìn)行有針對性的應(yīng)用安全加固。 通過Web安全子系統(tǒng)部署于web服務(wù)器區(qū)核心交換前實(shí)現(xiàn)雙向內(nèi)容的檢測，針對HTTP協(xié)議的深入解析，精確識別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對這些數(shù)據(jù)進(jìn)行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，精確的檢測其是否包含威脅內(nèi)容。Web安全子系統(tǒng)作為web客戶端與服務(wù)器請求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)之上，采用雙向內(nèi)容檢測技術(shù)可檢測過濾HTTP雙向交互的數(shù)據(jù)流包括response報(bào)文，對惡意流量，以及服務(wù)器外發(fā)的有風(fēng)險(xiǎn)信息進(jìn)行實(shí)時(shí)的清洗與過濾，防止web安全風(fēng)險(xiǎn)。Web安全子系統(tǒng) Web安全子系統(tǒng)有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護(hù)網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問題。數(shù)據(jù)安全加固方案 數(shù)據(jù)層面的安全加固主要為了應(yīng)對攻擊手段越來越先進(jìn)的黑客攻擊和目的性和持續(xù)性很強(qiáng)的高級持續(xù)性威脅（APT）等類似的高級攻擊。因?yàn)榘踩烙w系并不能達(dá)到100%的防御效果，通常采用這種攻擊方式的攻擊帶有明確的攻擊意圖和不達(dá)目的不休止的特點(diǎn)，黑客往往應(yīng)用先進(jìn)的攻擊手段繞過防御體系，從而給業(yè)務(wù)系統(tǒng)造成不可挽回的損失。有針對性的對數(shù)據(jù)、內(nèi)容進(jìn)行保護(hù)，采取事后的防御技術(shù)手段可以有效的降低系統(tǒng)被破壞、竊取、篡改的風(fēng)險(xiǎn)，將安全損失降到最低。 本方案中采用防篡改子系統(tǒng)和信息泄漏防護(hù)子系統(tǒng)部署于服務(wù)器區(qū)核心交換前進(jìn)行針對行的數(shù)據(jù)安全加固，可有效避免網(wǎng)頁被篡改/掛馬，敏感信息被竊取的風(fēng)險(xiǎn)。信息泄漏防護(hù)子系統(tǒng) 信息泄漏防護(hù)子系統(tǒng)提供可定義的敏感信息防泄漏功能，根據(jù)儲存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過短信、郵件報(bào)警及連接請求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進(jìn)行有效識別、報(bào)警并阻斷，防止大量敏感信息被非法泄露。郵箱賬戶信息MD5加密密碼銀行卡號身份證號碼社保賬號信用卡號手機(jī)號碼…… 通過深度內(nèi)容檢測技術(shù)的應(yīng)用，信息泄漏防護(hù)子系統(tǒng)具備深度內(nèi)容檢測的能力。能夠檢測出通過文件、數(shù)據(jù)流、標(biāo)準(zhǔn)協(xié)議等通過網(wǎng)關(guān)的內(nèi)容。因此具備針對敏感信息，如186、139等有特征的11位的手機(jī)號碼、18位身份證號，有標(biāo)準(zhǔn)特征的@郵箱等有特征數(shù)據(jù)進(jìn)行識別。并通過分離平面設(shè)計(jì)的軟件構(gòu)架，實(shí)現(xiàn)控制平面與內(nèi)容平面檢測聯(lián)動，通過控制平面向底層數(shù)據(jù)轉(zhuǎn)發(fā)平面發(fā)送操作指令來阻斷敏感信息的泄漏。有防護(hù)了業(yè)務(wù)系統(tǒng)的敏感泄漏的風(fēng)險(xiǎn)。防篡改子系統(tǒng) 當(dāng)業(yè)務(wù)系統(tǒng)網(wǎng)頁被數(shù)據(jù)篡改后，用戶看到的頁面變成了非法頁面或者損害企事業(yè)單位形象的網(wǎng)頁，這種事故往往會給單位造成很嚴(yán)重的影響，甚至造成嚴(yán)重的經(jīng)濟(jì)損失。防篡改子系統(tǒng)的應(yīng)用可有效降低此類風(fēng)險(xiǎn)，當(dāng)內(nèi)部網(wǎng)站數(shù)據(jù)被篡改之后，設(shè)備可以重定向到備用網(wǎng)站服務(wù)器或者指定的其他頁面，并且及時(shí)地通過短信或者郵件方式通知管理員。 防篡改子系統(tǒng)使用網(wǎng)關(guān)實(shí)現(xiàn)動靜態(tài)網(wǎng)頁防篡改功能。這種實(shí)現(xiàn)方式相對于主機(jī)部署類防篡改軟件而言，客戶無需在服務(wù)器上安裝第三方軟件，易于使用和維護(hù)，在防篡改部分基于網(wǎng)絡(luò)字節(jié)流的檢測與恢復(fù)，對服務(wù)器性能沒有影響。產(chǎn)品部署示方案（根據(jù)實(shí)際情況選擇部署方案）方案一：一站式應(yīng)用安全加固部署方案拓?fù)鋱D產(chǎn)品部署方案 深信服為XX單位提供針XX業(yè)務(wù)系統(tǒng)服務(wù)器集群完整的應(yīng)用安全加固安全解決方案。 通過在服務(wù)器集群匯聚交換前雙機(jī)部署兩臺深信服下一代應(yīng)用防火墻NGAF，可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器的邏輯隔離，防止來自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴(kuò)散。 二期建設(shè)采用業(yè)務(wù)系統(tǒng)一站式應(yīng)用安全加固部署方案，通過深信服下一代防火墻NGAF的部署可以從從攻擊源頭上幫助XX單位防護(hù)導(dǎo)致業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)內(nèi)業(yè)務(wù)各類網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)層面的安全威脅；同時(shí)深信服下一代防火墻NGAF提供的雙向內(nèi)容檢測的技術(shù)幫助用戶解決攻擊被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息泄露的問題，實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。 1、深信服下一代防火墻AF-8020雙機(jī)部署于核心交換前可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)一站式整體安全防護(hù)； 2、通過防火墻子系統(tǒng)模塊的訪問控制策略ACL可實(shí)現(xiàn)網(wǎng)絡(luò)安全域劃分，阻斷各個(gè)區(qū)域間的網(wǎng)絡(luò)通信，防止威脅擴(kuò)散，防止訪問控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問題； 3、通過DDOS/DOS子系統(tǒng)功能模塊進(jìn)行網(wǎng)絡(luò)層面的安全加固，可以防止利用協(xié)議漏洞對服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問題； 4、通過防病毒子系統(tǒng)功能模塊可實(shí)現(xiàn)各個(gè)安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進(jìn)行交叉感染； 5、利用入侵防御子系統(tǒng)功能模塊可實(shí)現(xiàn)對服務(wù)器集群操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應(yīng)用程序漏洞（IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護(hù)，防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲等資源被攻擊的問題； 6、通過web安全子系統(tǒng)功能模塊的開啟，可實(shí)現(xiàn)對各個(gè)區(qū)域（尤其是DMZ區(qū)）的web服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護(hù)。防止黑客利用業(yè)務(wù)代碼開發(fā)安全保障不利，使得系統(tǒng)可輕易通過web攻擊實(shí)現(xiàn)對web服務(wù)器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題； 7、通過信息泄漏防護(hù)子系統(tǒng)功能模塊的開啟，可自定義業(yè)務(wù)系統(tǒng)的敏感信息防止黑客繞過防御體系竊取業(yè)務(wù)系統(tǒng)的敏感信息； 8、通過防篡改子系統(tǒng)功能模塊的開啟，可防止黑客利用各層面安全漏洞非法篡改業(yè)務(wù)系統(tǒng)合法界面，防止被篡改界面發(fā)布于眾； 9、通過風(fēng)險(xiǎn)評估子系統(tǒng)模塊的啟用對服務(wù)器集群進(jìn)行安全體檢，通過一鍵策略部署的功能開啟入侵防御子系統(tǒng)模塊、web安全子系統(tǒng)模塊的對應(yīng)策略，可幫助管理員的實(shí)現(xiàn)針對性的策略配置。 10、通過智能聯(lián)動模塊的應(yīng)用，可形成防火墻子系統(tǒng)功能模塊、入侵防御子系統(tǒng)功能模塊、web安全子系統(tǒng)功能模塊的智能聯(lián)動，有效的防止工具型、自動化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。產(chǎn)品選型序號設(shè)備名稱描述數(shù)量單價(jià)（萬）1深信服下一代防火墻NGAF型號：AF-8020（功能參數(shù)）2總預(yù)算（萬元）：方案二：節(jié)點(diǎn)縱深防御應(yīng)用安全加固部署方案拓?fù)鋱D產(chǎn)品部署方案 深信服為XX單位提供針XX業(yè)務(wù)系統(tǒng)服務(wù)器集群完整的應(yīng)用安全加固安全解決方案。 網(wǎng)絡(luò)安全加固方案部署：通過在總核心交換前雙機(jī)部署網(wǎng)關(guān)部署兩臺深信服下一代應(yīng)用防火墻NGAF，可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器、DMZ區(qū)域、辦公區(qū)域的邏輯隔離，防止來自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴(kuò)散。 系統(tǒng)安全加固方案部署：通過在服務(wù)器集群核心交換前透明部署兩臺深信服入侵防御子系統(tǒng)，在業(yè)務(wù)系統(tǒng)核心交換前形成“虛擬補(bǔ)丁”的防御體系，全面提升web應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、服務(wù)器區(qū)操作系統(tǒng)安全防護(hù)能力。采用入侵防御子系統(tǒng)形成“虛擬補(bǔ)丁”的防御體系可切實(shí)減少系統(tǒng)管理員服務(wù)器群的安全維護(hù)成本，借助廠商強(qiáng)大的安全研究能力可以防御“0”日攻擊的風(fēng)險(xiǎn)。 應(yīng)用安全加固方案部署：通過在服務(wù)器集群匯聚交換前透明部署兩臺深信服