面臨的挑戰
随着互聯網的飛速發展,外部網絡安(ān)全狀況日趨嚴峻,對業務(wù)系統的信息安(ān)全攻擊逐漸從網絡層向應用(yòng)層和系統層遷移。金融行業在線(xiàn)業務(wù)系統是整個業務(wù)的核心之一,應對業務(wù)系統進行重點防護,如果業務(wù)系統的訪問行為(wèi)控制不利,非授權用(yòng)戶可(kě)能(néng)竊取機密數據、删除和修改業務(wù)數據、甚至植入病毒,引起系統中(zhōng)斷服務(wù)或癱瘓。
主要存在以下幾個方面的問題:
-
業務(wù)系統與内外網對接沒有(yǒu)實現有(yǒu)效的邊界訪問控制,無法界定用(yòng)戶訪問是否為(wèi)合法請求;
-
對于流經業務(wù)系統的數據沒有(yǒu)有(yǒu)效的流量清洗的能(néng)力,無法識别流量是正常的訪問請求還是DOS/DDOS拒絕服務(wù)類的攻擊;
-
對于夾雜在數據流中(zhōng)的病毒、木(mù)馬、蠕蟲沒有(yǒu)良好的檢測能(néng)力,很(hěn)難避免在業務(wù)交互過程中(zhōng)由于數據中(zhōng)包含病毒、木(mù)馬、蠕蟲等威脅對業務(wù)系統造成的危害;
-
服務(wù)器系統底層漏洞攻擊防護僅依靠時效性不強的手動補丁更新(xīn),缺乏有(yǒu)效的防護手段,尤其缺乏0Day漏洞攻擊的防護能(néng)力;
-
流經業務(wù)系統的數據沒有(yǒu)應用(yòng)層攻擊(如Web攻擊)的檢測能(néng)力,難以保證業務(wù)系統Web應用(yòng)程序以及後台數據庫不被攻擊。
深信服解決方案
深信服為(wèi)金融行業提供完整的針對在線(xiàn)業務(wù)系統服務(wù)器集群的應用(yòng)安(ān)全加固解決方案。
通過在在線(xiàn)業務(wù)服務(wù)器集群彙聚交換前部署深信服下一代防火牆AF,可(kě)實現業務(wù)系統服務(wù)器的邏輯隔離,防止來自網絡層面、系統層面、應用(yòng)層面以及數據層面的安(ān)全威脅在業務(wù)系統數據中(zhōng)心各區(qū)域内擴散。
方案價值
采用(yòng)在線(xiàn)業務(wù)系統一站式應用(yòng)安(ān)全加固部署方案,通過部署深信服下一代防火牆AF,可(kě)以從攻擊源頭上保護金融行業業務(wù)系統,有(yǒu)效抵禦來自網絡、系統、應用(yòng)、數據層面的安(ān)全威脅;同時深信服下一代防火牆AF提供的雙向内容檢測的技(jì )術幫助用(yòng)戶解決攻擊被繞過後産(chǎn)生的網頁(yè)篡改、敏感信息洩露的問題,實現防攻擊、防篡改、防洩密的效果。
- 深信服下一代防火牆AF部署于核心交換前可(kě)實現業務(wù)系統服務(wù)器區(qū)一站式整體(tǐ)安(ān)全防護;
- 通過防火牆子系統模塊的訪問控制策略ACL可(kě)實現網絡安(ān)全域劃分(fēn),阻斷各個區(qū)域間的網絡通信,防止威脅擴散,防止訪問控制權限不當、系統誤配置導緻的敏感信息跨區(qū)域傳播的問題;
- 通過DOS/DDOS子系統功能(néng)模塊進行網絡層面的安(ān)全加固,可(kě)以防止利用(yòng)協議漏洞對服務(wù)器發起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù),導緻業務(wù)中(zhōng)斷等問題;
- 通過防病毒子系統功能(néng)模塊可(kě)實現各個安(ān)全域的流量清洗功能(néng),清洗來自其他(tā)安(ān)全域的病毒、木(mù)馬、蠕蟲,防止各區(qū)域進行交叉感染;
- 利用(yòng)入侵防禦子系統功能(néng)模塊可(kě)實現對服務(wù)器集群操作(zuò)系統漏洞(如:winserver2003、linux、unix等)、應用(yòng)程序漏洞(IIS服務(wù)器、Apache服務(wù)器、中(zhōng)間件weblogic、數據庫oracle、MSSQL、MySQL等)的防護,防止黑客利用(yòng)該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應用(yòng)層攻擊獲取服務(wù)器權限、使服務(wù)器癱瘓導緻服務(wù)器、存儲等資源被攻擊的問題;
- 通過Web安(ān)全子系統功能(néng)模塊的開啓,可(kě)實現對各個區(qū)域(尤其是DMZ區(qū))的Web服務(wù)器、數據庫服務(wù)器、FTP服務(wù)器等服務(wù)器的安(ān)全防護。防止黑客通過Web攻擊攻陷Web服務(wù)器、數據庫等竊取機密信息;
- 通過信息洩漏防護子系統功能(néng)模塊的開啓,可(kě)自定義業務(wù)系統的敏感信息,防止黑客繞過防禦體(tǐ)系竊取業務(wù)系統的敏感信息;
- 通過防篡改子系統功能(néng)模塊的開啓,可(kě)防止黑客利用(yòng)各層面安(ān)全漏洞非法篡改業務(wù)系統合法界面,防止被篡改界面發布于衆;
- 通過風險評估子系統模塊的啓用(yòng)對服務(wù)器集群進行安(ān)全體(tǐ)檢,通過一鍵策略部署的功能(néng)開啓入侵防禦子系統模塊、Web安(ān)全子系統模塊的對應策略,可(kě)幫助管理(lǐ)員實現針對性的策略配置;
- 通過智能(néng)聯動模塊的應用(yòng),可(kě)形成防火牆子系統功能(néng)模塊、入侵防禦子系統功能(néng)模塊、Web安(ān)全子系統功能(néng)模塊的智能(néng)聯動,有(yǒu)效防止工(gōng)具(jù)型、自動化的黑客攻擊,提高攻擊成本,可(kě)抑制APT攻擊的發生。
