首页   |   关于蓝快   |   联系我们   |   招贤纳士
首页 第三方授权雷火竞技竞猜平台 IT外包 雷火竞技竞猜平台器运维 网络安防与运维雷火竞技竞猜平台 IT整体解决方案 校企与人才培训 IT产品维修与维护
 
深信服网络安全及优化方案
信息中心上网行为管理解决方案

政府信息中心上网行为管理解决方案

政府机关的网络一般包括政务内网和政务外网。按照规定政府机构的下属单位上网均应该统一上联到政府信息中心的互联网出口,但也存在个别政府单位因为工作需要或其他原因拥有单独的互联网出口。

政务内网实现与互联网的物理隔离,主要用于传送电子公文、以及不适合通过外网传输的信息,比如政务信息、视频会议等机密信息。

政务外网与互联网通过网络安全系统逻辑连接,是办公人员与外面进行信息交流的通道,同时也是政务公开和为民办事的窗口,各单位通过网站对外提供网上雷火竞技竞猜平台、受理申请等。


政务外网运行所遇到的挑战 

目前在日常运营过程中,因为无法像政务内网一样与互联网实现完全的物理隔离,政务外网存在着一些管理上的困难:

1.P2P流控和带宽分配
这几乎是绝大部分政府单位都会遇到的问题。在缺乏管理手段的情况下,看似足够的互联网出口,很容易就被P2P下载行为所吞噬。因为工作需要,政府信息中心显然不能对P2P行为进行完全封堵,选择进行流控显然更适合一些。另外内网的众多部门(单位)共用同一出口,带宽划分和分配就显得尤为重要。


区域卫生信息平台安全建设方案

区域卫生信息平台安全建设方案

一、建设背景

“十二五”期间卫生信息化建设总体框架和重点任务目标已初步确定,这个初步框架简单地描述为“35212”工程。即建立国家级、省级和区域三级信息平台,也就是国家综合卫生管理信息平台,省级卫生综合管理信息平台,和地市级区域卫生信息平台;在三家平台的基础之上建立公共卫生,医疗雷火竞技竞猜平台,医疗监管,综合管理,新农合五大业务应用系统;建立以电子健康档案为基础和以电子病历为基础的两大数据库;建立一个卫生专网网络;逐步建设信息安全体系和信息标准体系两个体系。

二、面临的主要安全问题分析

1. 由于卫生信息平台的建设中涉及到与横向(医疗雷火竞技竞猜平台、疾病控制、卫生监督、妇幼保健、健康教育等机构)及纵向(市、县、乡、村医疗卫生机构)的众多机构之间的互联,在网络的边界根据国家信息安全等级保护制度(二级或三级)的要求,需要进行边界的入侵防护和恶意代码防护。需要部署应用层防火墙等相关安全防护设备。

2.在平台的横向与纵向联网建设过程中,由于接入单位多,完全采用专线的方式费用较高,因此针对部分机构,比如医院,乡镇卫生机构等采用IPSEC VPN的接入方式,针对村级卫生所采用SSL VPN的接入方式会更加符合实际的组网需求。需要部署IPSEC/SSL VPN等安全接入设备。

3.卫生信息平台中承载着5大业务系统(公共卫生,医疗雷火竞技竞猜平台,医疗监管,综合管理,新农合)和2大数据库(电子健康档案和电子病历),其业务安全关系着千家万户老百姓的个人隐私信息安全,根据国家信息安全等级保护制度的要求,至少定级为3级,需要在卫生信息平台的主机前面进行安全隔离,入侵防护,恶意代码防护以及敏感个人信息的防泄密。需要部署应用层防火墙等相关安全防护设备。

4.通过卫生信息平台的运作,大量市民的健康以及就医的信息将会汇总在卫生数据中心中,为了更好的为广大市民雷火竞技竞猜平台,各级卫生局也都陆续在其门户网站上开通了个人健康信息雷火竞技竞猜平台系统,方便市民随时随地查询跟踪自己的健康情况。由于该网站直接发布在互联网上,同时又需要与卫生专网中的信息平台进行数据交互,因此需要对其安全做进一步的加固,通过新的应用层技术手段实现SQL注入、跨站脚本等WEB攻击的防护,实现市民个人信息的防泄密以及整体门户网站的防篡改。

三、深信服安全解决方案

根据上述的安全需求,建议卫生单位用户在卫生专网的横向及纵向边界部署深信服下一代应用层防火墙实现网络边界的入侵防御与防病毒;在区县卫生平台与医院、乡镇卫生机构以及村卫生所等单位的互联方面采用IPSEC+SSL VPN的方式,通过部署深信服VPN设备实现卫生专网的互联;在卫生信息平台的前面部署下一代应用层防火墙,实现业务安全隔离、入侵防御、防病毒以及敏感个人信息的防泄密。最后,在卫生局对外发布业务的DMZ区前面部署深信服下一代应用层防火墙,全面解决卫生门户网站的底层漏洞攻击、WEB攻击、网页防篡改以及信息防泄密的问题。详细的网络拓扑图如下所示:



四、方案价值及优势

通过下一代防火墙的部署,实现了扁平化的网络安全架构,在最少的IT投资前提下,实现高效的卫生专网组网效果、更全面的安全防护效果,实现了从网络层到应用层的完整安全防护,构建了防攻击、防病毒、防篡改以及防泄密的四大安全体系,全面满足国家信息安全等级保护的安全需求。

下一代数据中心安全方案

需求背景

            数据大集中是数据管理集约化、精细化的必然要求,是企业优化业务流程、管理流程的有效手段。数据中心DC便是IT建设数据大集中的产物,作为业务集中化部署、发布、存储的区域,数据中心承载着业务的核心数据以及机密信息。对于恶意攻击者而言,数据中心永远是最具吸引力的目标。所以数据中心特别是“云数据中心”的安全建设显得格外重要。过去,数据中心的安全建设以各区域安全隔离为主,隔离来自internetintranetextrane等区域的安全风险,实现网络级的访问控制。但这是远远不够的,任何一个稍懂安全的人员,都可以很轻易的从一个网站上下载到黑客工具,对保护不佳的数据中心造成极大的破坏。而随着攻击逐渐向应用层转移,“云数据中心”的安全隐患随之迁移到了应用层,数据中心面临的应用层安全威胁是基于L3-L4层的传统防火墙完全无法理解的。总的来说,数据中心面临的应用层安全威胁主要包括:

            1、利用业务开发时期没有对代码的安全进行评估,使得系统可轻易通过web攻击实现对web雷火竞技竞猜平台器、数据库的攻击造成数据库信息被窃取的问题

            2、利用雷火竞技竞猜平台器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,获取雷火竞技竞猜平台器权限、使雷火竞技竞猜平台器瘫痪导致雷火竞技竞猜平台器、存储等资源被攻击的问题

            3、来自其他安全域的病毒、木马、蠕虫的交叉感染,使得数据中心成为“养马场“

            4、由于访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题

            5、利用协议漏洞对雷火竞技竞猜平台器发起的拒绝雷火竞技竞猜平台攻击使得雷火竞技竞猜平台器无法提供正常雷火竞技竞猜平台,导致业务中断等问题

深信服下一代安全数据中心解决方案

            深信服致力于打造安全、高效、可靠的下一代安全数据中心解决方案,为数据中心打造L2-L7层的多层安全防护体系构架,帮助用户将安全风险降到最低,打造“安全“、”可靠“、”高效“的数据中心。


            完整可靠的数据中心安全防护体系

         深信服下一代数据中心安全解决方案提供L2-L7层的完整的数据中心应用安全防护体系,帮助数据中心解决传统防火墙由于工作在L3-L4层无法识别的应用层威胁。


ü  网络安全:访问控制、DOS攻击防护、IPSEC VPN组网、NAT地址转换

ü  应用安全:漏洞攻击、非安全应用控制、恶意地址防护、病毒木马蠕虫过滤、应用访问控制

ü  Web安全:SQL注入、跨站脚本、敏感信息防泄露

ü  设备自身安全:抗DOS/DOS属性、管理员SSL加密登陆、业务与管理分离管理

            可精细控制的可视化数据中心

         深信服下一代安全数据中心可帮助管理员实现精细的区域划分与可视化的权限访问控制。区别于传统防火墙的五元组访问控制策略,下一代防火墙可通过应用可视化功能与用户识别技术结合制定的L3-L7一体化应用控制策略可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。

            应用层高性能的数据中心

            由于数据大集中,数据中心往往会需要高访问量、高吞吐量的网络构架进行支撑,为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NPASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术,极大的提升应用层数据的分析能力。

            同时NGAF采用单次解析构架实现报文的一次解析一次匹配,避免了UTM由于多模块叠加对报文进行多次拆包多次解析的问题,有效的提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络、应用层平面分离,通过在将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析、统一检测,减少冗余的数据包封装,从而实现高性能的处理。

         高可靠保障数据中心

            数据大集中后数据中心成为数据、业务的核心承载区域,其业务可用性是数据中心建设至关重要的目标。为保证数据中心业务不中断,实现高可靠,深信服下一代数据中心安全解决方案具备多重的高可靠保障:

            1、传统关键部件冗余:包括电源、风扇1+1冗余,且支持热插拔

            2、存储介质冗余,确保系统稳定运行:硬盘+CF卡,实现存储冗余,在硬盘故障时,CF无缝切换,系统稳定运行

            3、设备稳定性:可实现硬件故障bypass保证数据中心稳定性

            深信服下一代数据中心安全解决方案,可为数据中心打造L2-L7层的安全防护体系构架,实现数据中心完整的安全防护,同时在可用性、可靠性上采用了深信服特有的先进技术保证数据中心业务的正常稳定运行,真正帮助用户打造一个“安全”、“可靠”、“高效”的数据中心。



电子政务网站安全一站式解决方案

1       应用背景

            为响应国务院第492号令—《中华人民共和国政府信息公开条例》,各地政府部门积极深入发展电子政务建设。旨在提高政府工作的透明度,促进依法行政,充分发挥政府信息对人民群众生产、生活和经济社会活动的雷火竞技竞猜平台作用。电子政务网站(gov.cn)是政府职能部门信息化建设的重要内容,主要实现政务信息公开、在线办事、政民互动的三大功能定位。政府门户网站是电子政务的窗口,也是政府的窗口,是政府部门履行职能、面向社会提供雷火竞技竞猜平台的官方网站,是提高政府电子政务雷火竞技竞猜平台质量、雷火竞技竞猜平台效率、公众认知度和满意度的关键环节,是国家重要信息系统。保障电子政务网站安全是各政府部门信息安全建设的核心要求。是各地电子政务建设的重要组成部分,作为当地政府面向社会的窗口,是公众与政府互动的重要渠道。

十八大即将召开,网站安全建设格外重要

            中共十八次全国代表大会将于2012 年下半年在北京召开。作为中国政府的对外窗口——政府门户网站,也将面临严峻的考验。可以预见的是,届时各级政府门户网站的访问量将会承受来自世界各地的严峻考验。如何做好党的十八大期间网络与信息安全保障是今年各级政府的一项重要工作,各地也纷纷出台了各项制度和管理规范,就十八大期间的网站安全和保障工作进行了专项部署。为充分发挥政府网站在政府信息公开、提升政府公信力等方面的重要作用,各级政府网站提出了如下要求:

            一、充分发挥政府网站的信息公开、在线雷火竞技竞猜平台、互动交流作用

                  二、强化督导检查,确保网站安全

                  三、加强沟通协作,合力办好政府门户网站

网站安全事件剧增,网站用户信息泄漏引发关注

            近年来,网站安全事件数量不断攀升,电子政务网站成为了主要目标,国家互联网应急中心(CNCERT/CC)《2011年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%4-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。

            而网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底,CSDN、天涯等网站发生用户泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益和互联网安全。”

境内政府网站遭受境外网络攻击增多

            在政府网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外11851IP通过植入后门对境内10593个网站实施了远程控制,其中美国有3328IP(占28.1%)控制着境内3437个网站,位居第一,源于韩国(占8.0%)和尼日利亚(占5.8%)的IP位居第二、三位。

传统解决方案已无法满足新形势下的应用安全威胁

            根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层,2/3 Web 站点都相当脆弱,易受攻击。而针对web的攻击往往隐藏在大量的正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。    而部分多功能防火墙或者是UTM虽然具备了部分应用层安全防护的能力,但由于其实现方式、缺乏应用层协议的理解能力。在应用层攻击防护上存在严重不足。

2       需求分析

2.1     网站安全现状分析

            请根据用户实际环境补充

2.2     网站安全风险分析

            电子政务网站包含Web雷火竞技竞猜平台器、存储雷火竞技竞猜平台器、数据库雷火竞技竞猜平台器等多种类型的业务雷火竞技竞猜平台器,向internetintranet等多个区域提供雷火竞技竞猜平台,电子政务网站要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而传统的安全隔离形式仅仅是通过vlanACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段,从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成众多泄露事件的原因之一。目前电子政务网站可能面临的攻击结果有以下几种:

            一、网页篡改问题

            网页篡改是指攻击者利用Web应用程序漏洞将正常的网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响,但对于电子政务网站,需要与用户通过网站进行沟通的应用而言,就意味着电子政务雷火竞技竞猜平台将被迫停止雷火竞技竞猜平台,对政府形象及信誉会造成严重的损害。

            二、网页挂马问题

            网页挂马也是利用Web攻击造成的一种网页篡改的安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏了网页的完整性。网页挂马会导致Web业务的最终用户成为受害者,成为攻击者的帮凶或者造成自身的损失。这种问题出现在电子政务网站中也严重影响网站的正常运作并影响到政府单位的公信度。

            三、敏感信息泄漏问题

            这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于电子政务网站而言是致命的打击,可产生巨大的不良影响。

            四、无法响应正常雷火竞技竞猜平台的问题

            黑客通过DOS/DDOS拒绝雷火竞技竞猜平台攻击使电子政务网站无法响应正常请求。这种攻击行为使得Web雷火竞技竞猜平台器充斥大量要求回复的信息,严重消耗网络系统资源,导致电子政务网站无法响应正常的雷火竞技竞猜平台请求。对于电子政务网站而言是巨大的威胁。

            ……

2.3     网站安全威胁分析

            为了保证电子政务网站业务正常运行,保证电子政务网站不受到上述安全问题的影响。电子政务网站应重点关注以下安全威胁:

1、可造成数据库信息泄露、网站挂马篡改、资源获取的web攻击

            SQL注入、XSSCSRF等攻击是常见的包含在http正常请求中的web攻击,可以通过80端口渗透传统防火墙与多功能网关,造成正对数据中心数据库雷火竞技竞猜平台器、web雷火竞技竞猜平台器、存储雷火竞技竞猜平台器的攻击,可能导致信息泄露、数据中心雷火竞技竞猜平台器挂马、数据中心B/S业务篡改、甚至是电子政务网站业务中断。

            SQL注入等web攻击逃逸攻击,由于传统的多功能网关或者IPS实现应用层攻击仅仅通过DPI数据包的深度检测进行攻击特征分析,攻击行为一旦采用了逃逸手段,传统多功能网关类设备或者IPS设备便无法检测出来。聪明黑客会通过多种手段对防止攻击行为被检测,一旦攻击被利用重新编码、分片、乱序等逃逸处理方式,传统的多功能网关将无法检测并防护。只有真正对数据流进行深度内容解析,理解协议本身,还原其真实的攻击行为才能够进行有效的阻断。

            其他针对电子政务网站的web攻击还包括:信息泄露攻击、目录遍历、系统命令注入、webshell等多种传统基于DPI技术的多功能网关无法防御的攻击,如:

            信息泄露漏洞是由于web雷火竞技竞猜平台器配置或者本身存在安全漏洞,导致一些系统文件或者配置文件直接暴露在互联网中,泄露web雷火竞技竞猜平台器的一些敏感信息,如用户名、密码、源代码、雷火竞技竞猜平台器信息、配置信息等。

            目录遍历漏洞攻击就是通过浏览器向web雷火竞技竞猜平台器任意目录附加“../”,或者是附加“../”的一些变形,编码,访问web雷火竞技竞猜平台器根目录或者之外的目录。

            系统命令注入是攻击者提交的特殊字符或者操作系统命令,web程序没有进行检测或者绕过web应用程序过滤, 把用户提交的请求作为指令进行解析,导致操作系统命令执行。

            ……

2、可获得高级系统权限,造成系统瘫痪的漏洞利用攻击

            利用web雷火竞技竞猜平台器、数据库雷火竞技竞猜平台器、中间件雷火竞技竞猜平台器等网站雷火竞技竞猜平台器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,可造成使黑客获取更高的雷火竞技竞猜平台器权限、使雷火竞技竞猜平台器瘫痪导致雷火竞技竞猜平台器、存储等资源被攻击的问题。如:

            操作系统漏洞:构架网站的Web系统包括底层的操作系统(windows sever20032007XP)和Web业务常用的发布系统(如IISApache),这些系统本身存在诸多的安全漏洞;

            应用程序漏洞:构架网站Web系统包括Web业务常用的发布系统(如IISApache),这些系统本身存在诸多的安全漏洞;

            ……

3、可造成网站瘫痪的网络层+应用层拒绝雷火竞技竞猜平台攻击

            常见的网络层DDOS攻击方法有SYN FloodEstablished Connection FloodConnection Per Second Flood等;应用层DOS/DDOS攻击包括:http get flood等攻击。

            这些网络层和应用层DOS/DDOS攻击会耗尽用户宝贵的网络和系统资源,使依赖计算机网络的正常网站业务无法进行,严重损害政府的声誉并造成极大的损失,使IT部门承受极大的压力。

4、绕过防御体系对业务系统的信息泄露攻击

            网络安全往往不是绝对的,黑客仍有机会渗透安全防御体系进行更有目的性、攻击性的攻击。黑客绕过防御体系对后台数据库进行攻击,导致在数据中的储存的用户资料、身份证信息、账户信息、联系方式等敏感信息被攻击者获取的信息泄漏攻击对网站本身产生重大的威胁,同时也涉及到政府网站后台的涉密敏感数据信息。

……

3       深信服一站式网站安全解决方案

3.1     深信服NGAF一站式网站安全方案概述

            深信服提供电子政务网站一站式完整安全解决方案。通过部署深信服下一代防火墙NGAF,可实现业务雷火竞技竞猜平台器的业务逻辑隔离,核心业务带宽保障、防止网络层、应用层安全威胁在数据中心内扩散。

            NGAF的部署可以从从攻击源头上防护导致电子政务网站的各类网络/应用层安全威胁;同时深信服下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题,实现防攻击、防篡改、防泄密的效果。

            1NGAF通过访问控制策略ACL可实现Web雷火竞技竞猜平台器区、数据库雷火竞技竞猜平台器区、DMZ等区域的网络安全域划分,阻断各个区域间的网络通信,防止威胁扩散,防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题;

            2NGAF通过雷火竞技竞猜平台器防护功能模块的开启,可实现对各个区域(尤其是DMZ区)的Web雷火竞技竞猜平台器、数据库雷火竞技竞猜平台器、FTP雷火竞技竞猜平台器等雷火竞技竞猜平台器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web雷火竞技竞猜平台器、数据库的攻击造成数据库信息被窃取的问题;

            3NGAF通过风险评估模块对雷火竞技竞猜平台器进行安全体检,通过一键策略部署的功能开启IPSWAF模块的对应策略,可帮助管理员的实现针对性的策略配置;

            4、利用NGAF入侵防御模块可实现对各类雷火竞技竞猜平台器操作系统漏洞(如:winserver2003linuxunix等)、应用程序漏洞(IIS雷火竞技竞猜平台器、Apache雷火竞技竞猜平台器、中间件weblogic、数据库oracleMSSQLMySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取雷火竞技竞猜平台器权限、使雷火竞技竞猜平台器瘫痪导致雷火竞技竞猜平台器、存储等资源被攻击的问题;

            5NGAF防病毒检测的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;

            6NGAF DDOS/DOS攻击防护模块可以防止利用协议漏洞对雷火竞技竞猜平台器发起的拒绝雷火竞技竞猜平台攻击使得雷火竞技竞猜平台器无法提供正常雷火竞技竞猜平台,导致业务中断等问题。

3.2     深信服NGAF方案设计理念

            深信服NGAF提供对电子政务网站安全三维立体防护解决方案,深入分析黑客攻击的时机和动机。从事件周期、攻击过程、防护对象三个维度出发,提供全面的安全防护手段,保护web业务系统不受来自各方的侵害。

基于事件周期的设计

            攻击的防护不可能实现百分百的安全。电子政务网站的安全建设必须贯穿到整个Web安全事件周期中,设立事前、事中、事后三道安全防线分阶段进行防护。

            NGAF提供事前策略自检、事中攻击防护、事后防止篡改的整体安全防护。

Ø  事前策略自检:在配置完安全策略后,NGAF可以自动进行扫描和探测,查看系统还存在哪些安全策略漏洞和隐患;

Ø  事中攻击防护: 2-7层完整的安全防护,包括:Web攻击防护、漏洞防护、病毒防护等;

Ø  事后网页篡改响应:可以针对被篡改的静态网页进行告警、替换、还原等功能。

基于攻击过程的安全防护

            传统的web安全防护采用的是防火墙+IPS+WAF割裂式的安全防护体系,针对各类的攻击总是被动的增补相应功能的安全设备。而对于Web安全防护不是单一攻击手段的防护,而需要对黑客攻击动机与时机进行分析,基于黑客的攻击过程的每一个环节进行统一防护。

            NGAF的设计是基于黑客攻击过程的完整Web系统安全防护,针对黑客入侵三步曲即扫描、入侵、破坏进行统一的安全防护:

Ø  扫描过程:提供防端口/雷火竞技竞猜平台扫描、防弱口令暴力破解、关键URL防护、应用信息隐藏等

Ø  攻击过程:提供强化的Web攻击防护(防SQL注入、OS命令注入、XSS攻击、CSRF攻击)、多对象漏洞利用防护等

Ø  破坏过程:提供抗应用层DOS攻击、可执行程序上传过滤、上行病毒木马清洗等

多维对象的全面防护

            安全的漏洞就像木桶的短板,任何可以被黑客利用的机会都可能导致所有的防护措施形同虚设。对众多用户网络安全现状分析后,发现安全问题是多角度、多方面的,在Web安全规划中,一味强调Web雷火竞技竞猜平台器的防护是远远不够的。面对防护全面的Web应用雷火竞技竞猜平台器,黑客往往以退为进采用“跳板式攻击”,先突破漏洞较多的内网终端,通过内网终端窃取密码后堂而皇之的入侵Web雷火竞技竞猜平台器。

            NGAF不仅提供强化的雷火竞技竞猜平台器安全防护,针对网内存在巨大安全风险,很有可能成为“肉鸡”被黑客利用的终端也采取了严格的防护措施。

Ø  基于终端漏洞防护

Ø  终端的病毒防护

Ø  恶意插件、脚本过滤

      NGAF充分考虑安全事件周期性,基于黑客攻击行为的过程,提供多维对象防护的完整Web安全解决方案。

      除此之外,NGAF涵盖了L2-L7全面的安全功能,可以替代FWIPSWAF,节省投资。同时,简化了组网,统一了管理,极大地提升运维工作效率。

3.3     深信服NGAF方案特点

3.3.1  双向内容检测技术

            NGAF可实现对HTTP/HTTPS协议的深入解析,精确识别出协议中的各种要素,如cookieGet参数、Post表单等,并对这些数据进行快速的解析,以还原其原始通信的信息,根据这些解析后的原始信息,可以精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术,只能实现在网络层数据包层面进行重组还原及特征匹配,无法解析基于HTTP协议的内容分析,很难有效检测针对web应用的攻击。而具备简单web攻击防护的IPS,仅仅是基于简单的特征检测技术,存在大量的漏报误报的信息。

            NGAF作为web客户端与雷火竞技竞猜平台器请求与响应的中间人,能够有效的避免web雷火竞技竞猜平台器直接暴露在互联网之上,NGAF双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文,对恶意流量,以及雷火竞技竞猜平台器外发的有风险信息进行实时的清洗与过滤。

3.3.2  典型的Web攻击防护,防止Owasp十大web安全威胁

            深信服下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护电子政务网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

3.3.3  基于应用的深度入侵防御,有效防止雷火竞技竞猜平台器漏洞利用攻击

            NGAF基于应用的深度入侵防御采用六大威胁检测机制:攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析能够有效的防止各类已知未知攻击,实时阻断黑客攻击。如,缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。

            通过NGAF的部署可有效防止利用web雷火竞技竞猜平台器、数据库雷火竞技竞猜平台器、中间件雷火竞技竞猜平台器等网站雷火竞技竞猜平台器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,使黑客获取更高的雷火竞技竞猜平台器权限、使雷火竞技竞猜平台器瘫痪导致雷火竞技竞猜平台器、存储等资源被攻击的问题。

3.3.4  网关型网页防篡改,防止篡改网页被用户访问

            网页防篡改功能是深信服下一代防火墙NGAF-雷火竞技竞猜平台器防护中的一个子模块,其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。

            当网页被数据篡改后,用户看到的页面变成了非法页面或者损害政府形象的网页,这种事故往往会给政府造成很严重的影响。深信服下一代防火墙NGAF网站篡改防护功能可有效降低此类风险,当内部网站数据被篡改之后,设备可以重定向到备用网站雷火竞技竞猜平台器或者指定的其他页面,并且及时地通过短信或者邮件方式通知管理员。

3.3.5  可定义的敏感信息防泄漏,有效防止“拖库”、”暴库

            NGAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。

Ø  邮箱账户信息

Ø  MD5加密密码

Ø  银行卡号

Ø  身份证号码

Ø  社保账号

Ø  信用卡号

Ø  手机号码

……

            通过深信服深度内容检测技术的应用,深信服下一代防火墙具备深度内容检测的能力。能够检测出通过文件、数据流、标准协议等通过网关的内容。因此具备针对敏感信息,如186139等有特征的11位的手机号码、18位身份证号,有标准特征的@邮箱等有特征数据进行识别。并通过分离平面设计的软件构架,实现控制平面与内容平面检测联动,通过控制平面向底层数据转发平面发送操作指令来阻断敏感信息的泄漏。有防护了各单位、政府、金融机构的敏感泄漏的风险。

3.3.6  应用信息隐藏,使网站对黑客全面隐身

            NGAF可提供外部访问网站进行隐身,可以隐藏真实的Web雷火竞技竞猜平台器类型、应用雷火竞技竞猜平台器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息,让黑客看不见,摸不着,探测不到,自然也无从猜测分析和攻击。亦可针对主要的雷火竞技竞猜平台器(WEB雷火竞技竞猜平台器、FTP雷火竞技竞猜平台器、邮件雷火竞技竞猜平台器等)反馈信息进行了有效的隐藏。防止黑客利用雷火竞技竞猜平台器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。

            当客户端访问WEB网站的时候,雷火竞技竞猜平台器会通过HTTP报文头部返回客户端很多字段信息,例如ServerVia等,Via可能会泄露代理雷火竞技竞猜平台器的版本信息,攻击者可以利用雷火竞技竞猜平台器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。

            网站扫描也是黑客获取网站信息关键的步骤,通常会对WEB站点进行扫描,对WEB站点的结构、漏洞进行进行扫描。NGAF设备可以检测到如爬虫、扫描软件,如appscan、等多种扫描攻击行为并进行阻断。

3.3.7  智能的DOS攻击防护,保证网站访问可用性

            NGAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝雷火竞技竞猜平台攻击的防护,实现L2-L7层的异常流量清洗。

3.3.8  安全风险评估与策略联动,降低安全维护成本

            NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、雷火竞技竞猜平台、应用扫描帮助用户及时发现端口、雷火竞技竞猜平台及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。

3.3.9  智能的防护模块联动,防止有目的网站APT攻击

            智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动,如一个IP/用户持续向内网雷火竞技竞猜平台器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。

3.3.10                  完善产品容错能力,保证网站访问的稳定性

硬件bypass

            NGAF可实现硬件故障bypass保证数据中心稳定性。借助于掉电保护模块,可保证NGAF透明模式在断电、硬件故障等异常情况下能够确保网络的通畅性,并实现微秒级切换。

关键部件冗余

            NGAF支持关键部件冗余的容错机制,保证设备在高温等恶劣环境下出现故障时的快速切换。

n  支持双电源,避免由于单电源故障造成的系统不能访问

n  风扇1+1冗余,避免单风扇在高温情况下不能工作的问题

n  支持热插拔

存储介质冗余

            为保证存储日志的冗余,防止硬盘出现故障时无法记录日志的问题,能够避免由于单磁盘故障造成设备不能使用的情况。

分离平面设计

            深信服NGAF采用OS分离平面设计,数据流平面上分为控制平面、网络数据转发平面与内容检测平面。网络层数据转发平面主要作用在于使数据包快速缓存并转发;内容检测平面主要用户数据流应用识别与安全分析,结合应用识别、漏洞特征识别、web攻击流量识别等模块完成应用层安全分析与防护。

            使用数据转发平面与内容检测平面相分离的技术设计,能够优化处理流程,有效保障网络数据的可用性。正常情况下,数据流由数据转发平面复制到内容检测平面进行深度内容检测,当有威胁内容时,通过控制平面阻断数据转发平面有威胁数据的外发,保证内容的安全性。当内容检测模块出现故障时,通过控制平面数据转发层面会将数据正常转发,保证网络畅通保障业务正常运行。

3.4     方案价值

            深信服电子政务网站安全“一站式“解决方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套安全防护解决方案。该方案有效的弥补了传统安全解决方案在Web业务安全防护能力的不足:

            事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;

            事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常雷火竞技竞猜平台问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;

            事后,对雷火竞技竞猜平台器外发内容进行安全检测,防止攻击绕过安全防护体系,对Web业务产生的网站篡改、数据泄漏问题。

            同时该方案从简化组网、方便运维、最优投资的用户角度出发,可为电子政务网站打造L2-L7层的安全防护体系构架,实现完整的安全防护,同时在可用性、可靠性上采用了深信服特有的先进技术电子政务网站的正常稳定运行,打造一个“安全”、“可靠”、“高效”的“一站式“电子政务网站安全解决方案。


免费热线:400-8498-881(广州),4006-428-266(深圳)

业务联系:18928927008   梁经理  QQ:61426611

                     15920402772   张经理   QQ:  434631961

 

投诉电话:020-87517191 / 87593461

公司网址:www.itlankuai.com  

手机端网址:http://wap.itlankuai.com/

公司总部地址:广州市天河区天河路598号岗顶百脑汇四楼4A05
黄埔公司地址:广州市黄埔区广新路66号(黄埔区政府正对面)

深圳公司地址:深圳市龙岗区坂田街道物资工业园07栋2楼西侧



@ 2016  广州蓝色快线信息技术雷火竞技竞猜平台有限公司版权所有!  粤ICP备12070365号-1




0