电信行业IDC安全增值服务解决方案..doc

电信行业IDC安全增值服务 解决方案 杭州安恒信息技术有限公司 二〇一二年三月 目 录 1. 方案概述 3 1.1. 安全现状分析 3 1.2. 安全需求分析 5 2. 技术方案 6 2.1. 方案设计原则 6 2.2. 服务内容 6 2.3. 业务实现 9 2.4. 技术架构 10 2.5. IDC安全增值服务收益分析 13 2.5.1. 安全增值服务目标 13 2.5.2. 增值服务类别设计 13 3. 安恒优势 15 4. 国外案例参考 16  方案概述 安全现状分析 随着互联网的发展，金融网上交易、政府电子政务、企业门户网站等各类基于HTML文件格式的信息共享平台越发完善，深入到人们生活中的点点滴滴。然而WEB服务方式在给用户提供方便快捷的同时，针对WEB业务的攻击亦在迅猛增长，类似网页被篡改或者网站被入侵等安全事件频繁发生，不但严重影响了组织的形象和信誉，有时甚至会造成巨大的经济损失，或者严重的社会问题，严重危及国家安全和人民利益。一般应用安全威胁分为信息篡改、拒绝服务攻击、信息泄露三类。 信息篡改 组织对外服务应用系统作为“组织形象”的标志之一，常常是一些不法分子的重点攻击对象。尤其是大型门户网站一旦被篡改（加入一些敏感的显性内容），常常会引发较大的影响，严重时甚至会造成政治事件。 另外一种篡改方式是网页挂马：网页内容表面上没有任何异常，却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害，但却会给浏览网站的用户带来损失。更重要的是，政府网站一旦被挂马，其权威性和公信力将会受到打击，最终给电子政务的普及带来重大影响。 拒绝服务攻击 对企业、公众提供在线服务，已经成为组织对外服务应用系统的重要功能之一。这些服务一旦受到拒绝服务攻击而瘫痪、终止，对业务的正常运转必然造成极大的影响，可能会造成经济损失，严重时甚至会影响社会稳定。 信息泄露 在线业务系统中，总是需要保存一些企业、公众的相关资料，这些资料往往涉及到企业秘密和个人隐私，一旦泄露，会造成企业或个人的利益受损，可能会给单位带来严重的法律纠纷。 除此之外，在IDC特定的环境中，数据在传输过程中存在被监听、被窃取、被破坏等风险，最终导致信息篡改、信息泄露等；也容易遭受ARP欺骗、IP欺骗等网络层的攻击，导致业务系统无法正常工作，可能造成严重的经济损失以及公众信誉度。 由于中国IDC行业特有的业务模式，导致其网络安全需求不一致，这使得目前IDC机房网络安全出现以下情况：某些IDC用户没有任何的安全防护措施，最好的状态是部署了网络防火墙，同时在其服务器上安装了杀毒软件。但是，仅仅是网络防火墙和杀毒软件并不能对SQL注入、跨站脚本、网页篡改、信息泄露、拒绝服务攻击等网络层和应用层的安全风险进行防护 。 另外，IDC用户对于突发攻击事件没有做任何的应急措施，这导致当攻击事件发生时,IDC用户无法及时地阻断攻击，恢复系统，使系统能够正常运行。而有效的安全应急响应措施能够在恶意攻击事件发生时，及时地阻断攻击，恢复系统，事后追根溯源，发现安全弱点，并进行安全加固，提高IDC用户网络安全水平，以及用户信誉度。 安全需求分析 WEB应用系统直接面向Internet，以WEB应用系统为跳板入侵服务器甚至控制整个内网系统的攻击行为普遍。Gartner的最新调查，目前7%以上的攻击行为都基于WEB应用同时数据显示，三分之二的WEB站点都相当脆弱，易受攻击。 投入大量财力，自行购买和部署权威有效的安全评估和防护产品；投入大量人力，建立专门的安全部门和机构，建立完善的信息安全管理流程和策略，自行进行信息安全管理； 支持型用户 自行购买和部署部分权威有效的WEB应用安全防护产品；同时聘请第三方专业安全服务提供商，定期进行WEB应用安全评估、应急响应、安全培训等服务； 外包型用户 投入一定的财力聘请第三方专业安全服务提供商，将整个应用安全以完全外包的方式交由服务提供商全权负责。 然而，对于大部分的中小型网站接入客户而言，由于其本身经济实力有限，且不具备专业的信息安全技术人员，在有限的成本和人力资源条件下，以上三种目前市面上通常采纳的安全解决方案，无法满足其安全建设成本要求，普通网站接入客户望而却步，安全产品和安全服务也无法得到全面的推广。 因此，谁能够及早设计、提供一种具有低廉的安全建设成本，一体化外包式的安全保障业务，谁就能占领大部分经济实力有限的中小型网站接入客户；在解决客户应用安全燃眉之急的同时，将带来巨大的经济效益。 技术方案 方案设计原则 安全可靠性：使用的安全产品能够稳定可靠的系统中运行。 技术先进性：采用的安全技术必须有足够的先进性。 技术成熟性：必须是已经经过实际应用的安全技术和产品。 可管理性：安全产品应该宜于管