网络信息安全加固方案.docx

XXXX 业务网网络信息平安加固项目案例介绍 一、 概述 随着信息化技术的深化和互联网的快速进展，整个世界正在快速地融为一体，IT 系统已经成为 XXX 整合、共享内部资源的核心平台，同时，随着 XXX 经营理念的不断深化，利用各种各样的业务平台来为 XXX 供应更多的增值业务服务的状况越来越多，因此 IT 系统及各种各样的业务平台在 XXX 系统内的地位越来越重要，更为 XXX 供应的新业务利润增长做出了不行磨灭的贡献。 伴随着网络的进展，也产生了各种各样的平安风险和威逼，网络中蠕虫、病毒及垃圾邮 件肆意泛滥，木马无孔不入，DDOS 攻击越来越常见、WEB 应用平安大事层出不穷、，黑客攻击行为几乎每时每刻都在发生，而伴随着上级主管部门对于信息平安的重视及审查工作愈加深化，全部这些风险防范及平安审查工作极大的困扰着 XXX 运维人员，能否准时发觉网络黑客的入侵，有效地检测出网络中的特别流量，并同时在“事前”、“事中”及“事后”都能主动帮忙 XXX 完成自身信息平安体系的建设以及满足上级部门审查规范，已成为 XXX 运维人员所面临的一个重要问题。 本方案针对 XXXX 公司业务平台的平安现状进行分析，并依据我公司平安体系建设的总体思路来指导业务平台信息平安体系建设解决方案的制作，从平安技术体系建设的角度给出具体的产品及服务解决方案。 二、 网络现状及风险分析 网络现状 XXX XXX XXX XXX XX XX XXXX XXXX XXXXX Portal服务器数据库服务器 日志服务器 管理服务器 Portal服务器数据库服务器 日志服务器 管理服务器 Portal服务器数据库服务器 日志服务器 管理服务器 业务平台服务器数据库服务器 日志服务器 管理服务器 业务平台服务器数据库服务器 日志服务器 管理服务器 业务平台拓扑图 XXXX 公司业务平台网络共有包括 XXX、XXX、XXX 平台等四十余个业务系统，（因涉及客户信息，整体网络架构详述略）业务平台内部依据业务种类的不同，分别部署有数据库、报表、日志等相应业务系统服务器。 风险及威逼分析 依据上述网络架构进行分析，我们认为该业务平台存在如下平安隐患： 随着攻击者学问的日趋成熟，攻击工具与手法的日趋简单多样，单纯XX 的已经无法满足信息平安防护的需要，部署了×XX 的平安保障体系仍需要进一步完善， 防火墙系统的不足主要有以下几个方面（略） 当前网络不具备针对X 攻击专项的检测及防护力量。（略） 对正常网络访问行为导致的信息泄密大事、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及平安大事的追查取证。 当前 XX 业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有效监控技术手段，因此对正常网络访问行为导致的信息泄密大事、网络资源滥用 行为等方面难以实现针对内容、行为的监控管理及平安大事的追查取证。 随着 XX 业务平台自有门户网站的建设，Web 应用已经为最普遍的信息呈现和业务管理的接入方式和技术手段，正由于空前的流行，致使75%以上的攻击都瞄准了 网站 Web 应用。这些攻击可能导致XXX 患病声誉和经济损失，可能造成恶劣的社会影响。当前增值业务平台主要面对如下WEB 应用方面的风险和威逼： 防火墙在阻挡Web 应用攻击时力量不足，无法检测及阻断隐蔽在正常访问流量内的WEB 应用层攻击； 对于已经上线运行的网站，用简洁的方法修补漏洞需要付出过高的代价； 面对集团对于WEB 应用平安方面的的“合规检查”的压力。 随着信息平安的进展，XXXX 集团在信息平安领域的管理制度也愈加规范和细化， 在网络、系统、应用等多方面提出了相应的平安要求、检查细项及考核方法，并已将信息平安工作纳入到日常运维工作中去。在近期发布的《XXXXX 平台平安管理方法(试行)》、《XXXX 新建业务平台平安验收指引（试行）》等管理规范中，明确说明白增值业务平台需要建设XXXX 系统、XXXX 系统对业务平台网络边界进行防护，另外亦需要对系统漏洞、数据库漏洞、WEB 应用等方面供应平安防护。由此可见，业务平台当前缺乏相应的整体的平安监测及防护手段，无法满足上级主管部门的管理要求。 信息平安形势分析 系统漏洞照旧是 XXX 网络面临的平安风险之一。据国家信息平安漏洞共享平台 （CNVD）收录的漏洞统计，2011 年发觉涉及电信运营企业网络设备（如路由器、交换机等）的漏洞 203 个，其中高危漏洞 73 个；发觉直接面对公众服务的零日 DNS 漏洞 23 个, 应用广泛的域名解析服务器软件Bind9 漏洞 7 个。 拒绝服务攻击对 XXX 业务运营造成较大损害及破坏企业形象，2011 年发生的分布式拒绝服务攻击（DDoS）大事中平均约有7%的大事涉及到基础电信运营企业的域名系统或服务。 201