互联网公司一站式安全解决方案

互联网公司

一站式安全解决方案

■文档编号■密级公开

■版本编号Ver1.0 ■日期

? 2013 绿盟科技

■版本变更记录

时间版本说明修改人V1.0 新建

■适用性声明

本文档用于安全项目交流。

一. 互联网行业现状 (1)

1.1互联网业务分析 (1)

1.2DD O S攻击对互联网业务的影响 (1)

1.3WEB攻击对互联网业务的影响 (2)

1.4入侵行为对互联网业务的影响 (2)

二. 绿盟科技解决方案 (3)

2.1流量清洗解决方案 (3)

2.1.1 部署方式 (3)

2.1.2 投入分析 (5)

2.2WEB应用防护解决方案 (5)

2.2.1 部署方式 (6)

2.2.2 投入分析 (7)

2.3网络入侵防护解决方案 (7)

2.3.1 部署方式 (7)

2.3.2 投入分析 (8)

2.4安全服务解决方案 (8)

2.4.1 7×24小时网站监测服务 (9)

2.4.2 业务系统安全评估 (10)

2.4.3 安全通告服务 (11)

2.4.4 应急响应服务 (12)

2.4.5 信息安全培训 (13)

三. 互联网行业成功案例 (15)

一. 互联网行业现状

1.1 互联网业务分析

互联网技术公司是基于Internet网络，开发互联网应用，服务及其它技术方面的服务体系。互联网技术公司提供的主要服务包括电子交易，搜索，邮件系统，网络相册，互动社区，网上购物平台，网络游戏，在线媒体，博客，影音流媒体等。

1.2 DDoS攻击对互联网业务的影响

由于国内近几年网络建设的迅速发展，使得掌握较大的带宽资源越来越容易。而从实际中所发生的一些能够达到几百兆，甚至千兆的攻击实例表明，由于利益驱使，进行恶意竞争而产生的一些海量DDoS攻击在今天发生的几率已经很高。

◆威胁1：重要服务器遭受攻击（造成核心客户的流失）

网游市场的兴起，语音、视频、媒体业务的增加，使得保证业务服务器正常运行成为了最基本的要求。这些类型的业务给互联网公司带来了最直接收入。这些类型的业务有一个特点就是对实时性要求很高，延迟的出现会直接影响这些业务的客户群。因此在遭受DDoS攻击的情况下，网络反映的减缓甚至服务的中断，会直接影响到最终客户群的应用，从而向上影响的到这些服务业务的提供商。

◆威胁2：线路带宽被占用（造成服务质量下降）

现在常见的DDoS攻击以流量型为主，大规模的攻击不仅对某些服务器有影响，也会影响到整个带宽资源，影响其他业务。互联网公司要保证客户的有效带宽可用性，虽然不同类网民对产生延迟时的忍耐程度不同。但网民当然希望能够保证应得的服务质量。如果互联网公司遭受DDoS攻击，势必会造成其整体用户的减少，而导致盈利的下降。

◆威胁3：越来越多的应用层攻击（造成利润客户流失）

由于互联网公司运营着网游、聊天、视频、论坛等越来越多的应用服务器，因而对于应用层DoS攻击的防护就显得非常重要。应用层攻击的特点是流量并不很大，但是却常常能造成服务器特定资源（如对动态页面的调用，对数据库的操作等）的大量消耗，从而形成拒绝

服务的效果。这类攻击如HTTP Get Flood、DNS Query Flood、以及CC等。其实，目前流行的CC攻击就是一种HTTP Get攻击与连接耗尽攻击的结合。

1.3 WEB攻击对互联网业务的影响

WEB的开放性带来丰富资源、高效率、新工作方式的同时，传统网络边界正逐渐消失，机构的重要资产暴露在越来越多的威胁中。现今WEB安全问题对人们来说已屡见不鲜，以下是收录于国际安全组织WASC，WHID项目中的几起最新安全事件：

1. 2009年5月26日，法国移动运营商Orange France提供照片管理的网站频道被曝

存在SQL注入漏洞，黑客利用此漏洞获取到245,000条用户记录（包括E-mail、姓

名及明文方式的密码）。

2. 2009年1月26日，土耳其黑客采用SQL注入攻击，篡改了美国军方两台重要服务

器的网页。

3. 2009年1月26日，印度驻西班牙使馆网站被挂马（通过iFrame攻击植入恶意代码）。

对去年网络世界（Network World）的报导，人们也记忆犹新。“2008年5月13日，在中国大陆、香港及台湾地区有数万个网站遭遇新一轮SQL注入攻击，并引发大规模挂马。在过去的4个月中，之前已有3次大规模攻击，受害者包括某知名防病毒软件厂商网站、欧洲某政府网站和某国际机构网站在内的多家互联网网站，感染页面数最多超过10000页面/天。”

1.4 入侵行为对互联网业务的影响

黑客攻击行为随时都在发生，随着越来越多的系统漏洞以及应用系统的漏洞被发现，攻击者的入侵方式更加隐蔽，包括木马、远程溢出等等，简单的安全保护已经无法完全防御入侵事件的发生。

图2009年网络安全事件类型分布（国家计算机网络应急技术处理协调中心）二. 绿盟科技解决方案

根据威胁与风险分析，我们在充分利用现有资源、尽量在少投入、少改动的基础上，建议使用产品与服务整合的解决方案。

2.1 流量清洗解决方案

绿盟科技长期专注于互联网数据中心应用环境中DDoS流量的防护，利用业界知名的黑洞抗拒绝服务系统，制定了绿盟黑洞流量清洗解决方案。该方案采用多层的攻击流量检测、防护、过滤机制，及时发现背景流量中各种类型的攻击流量，以串联透明接入方式，或基于流量牵引技术的旁路方式，迅速对攻击流量进行过滤，保证客户业务的正常运行。

2.1.1 部署方式

单链路上联方式

在原有链路为单链路拓扑，或是只需要保护部分网络的情况下，可在单链路上部署黑洞抗拒绝服务系统。部署方式根据IDC需求不同，可采用透明接入的串联部署方式，或是旁路部署方式。

串联部署方式部署简单，无需做额外的配置，只需要将黑洞部署于IDC核心交换机之前即可，对整条链路及下联网络进行抗DDoS防护，部署如下图所示。

图 2.1 黑洞在IDC单链路环境中的串联部署

双链路上联方式

针对典型的IDC双链路方式，我们推荐抗拒绝服务系统采用黑洞的旁路部署方式，部署如下图所示。

图 2.2 黑洞在IDC双链路环境中的旁路部署

2.1.2 投入分析

2.2 WEB应用防护解决方案

绿盟WEB应用防火墙（简称NSFOCUS WAF）产品针对各类机构的WEB业务系统，提供WEB安全和WEB应用交付融合的解决方案，确保WEB业务在安全和性能两方面的收益最大化：

◆缓解HTTP及HTTPS应用下各类安全威胁，如SQL注入、XSS、跨站伪造（CSRF）、

cookie篡改以及应用层DDoS等，有效应对网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障WEB应用的高可用性和可靠性。

◆WEB应用交付方面，降低服务响应时间、显著改善终端用户体验，优化业务资源和提高

应用系统敏捷性，提高数据中心的效率和服务器的投资回报率(ROI) 。

2.2.1 部署方式

通常情况，NSFOCUS WAF工作在DMZ区，无需修改网络及服务器配置，透明部署在防火墙和WEB服务器群之间，对WEB服务器群的出入流量进行有效监控，从而确保WEB 应用的安全，部署如下图所示。

图 2.3 WAF在IDC单链路环境中的部署

2.2.2 投入分析

2.3 网络入侵防护解决方案

部署IPS是非常有必要的，一方面，IPS检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络；另一方面，IPS往往具有防火墙的功能，可以进一步增强对网络的访问控制。

2.3.1 部署方式

如图所示，在网络的边界处位置部署一台NIPS，检测并阻断由外网进来的入侵攻击。如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内网。

2.3.2 投入分析

2.4 安全服务解决方案

由于边界防护技术仅提供依照策略的访问控制，被“授权”的内部和远程用户仍可以利用防火墙无法察觉的攻击方式尝试窥探、滥用以及其他恶意攻击行为。防火墙并不会监测被授权用户的行为，它的侧重点也不是对非常规的入侵威胁进行检测。防火墙被允许一定程度的访问，这就有可能为漏洞窥探和潜在的非常规攻击打开大门。

因此，如何行之有效的对整个网络中的潜在安全隐患和薄弱环节进行实时的检测并做出及时的响应成为了本次安全服务必不可少的一项安全内容。

2.4.1 7×24小时网站监测服务

绿盟网站安全监测服务是一款托管式服务，您无需安装任何硬件或软件，无需改变目前的网络部署状况，无需专门的人员进行安全设备维护及分析日志。您只需要将监测的网站域名告知我方人员，许可后即可获得7×24小时的网站安全监测服务，一旦您的网站遇到风险状况后，绿盟安全监测团队会在第一时间与您确认，并提供专业的解决方案建议。除此之外，绿盟安全专家会定期为您出具周期性的监测报告，让您整体掌握网站的风险状况及安全趋势。

通过专业化的服务产品来实时监测和周期度量网站的风险隐患，您可以轻松评估您网站的安全状态，衡量改进情况，能够将网站管理人员从繁重的日常安全维护工作中解放出来，降低投入和管理成本，获得最为专业、有效的服务，并确定对行业和政府法规的遵从情况。

绿盟网站安全监测服务主要包括以下几方面的内容：

网站平稳度检测

对服务站点进行实时远程访问平稳度的动态监视，跟踪重点对象的访问平稳度动态变

化情况，并根据严重程度及时发出报警信号。

远程网站漏洞扫描

网站的风险漏洞是站点被攻击的根源，通过远程的网站应用层漏洞扫描服务，由绿盟

安全专家定期进行网站结构分析、漏洞分析，用户无需采购任何Web应用扫描产品，即可获得网站的漏洞情况，以及修补建议。

远程网页木马监测

绿盟科技基于“云安全”平台，采用业内领先的智能木马检测技术，可高效、准确识

别网站页面中的恶意代码，使网站管理员能够第一时间得知自己网站的安全状态，避

免由于网站被挂马给访问者带来的安全隐患。

网页敏感内容监测

实时监测目标站点是否出现一些敏感关键字，

如果发现敏感内容，会在第一时间通知用户。用户也可以自定义所关心的敏感关键字。网页篡改监测

实时监测目标站点页面状况，发生页面被篡改情况，第一时间通知用户，避免给自身带来的声誉和法律风险。

图 2.1 网站安全监测服务流程

2.4.2 业务系统安全评估

在业务系统正式上线之前通过专业的安全评估服务对应用系统的各方面进行安全检查，并对检查出的高风险问题及时解决，可以最大化的降低上线后遭受攻击带来的影响。本方案主要介绍了对应用系统安全评估的主要内容：

1. 通过安全漏洞扫描、人工安全检查的方式对应用系统主机的操作系统和数据库系统

进行安全评估，查找系统层面可能被利用的安全隐患；

2. 通过渗透测试的方式对应用系统的安全性进行评估，发现应用层面可能被利用的安

全隐患；

3. 通过安全功能审核对应用系统的安全功能完善性和安全强度是否符合国际和国内标

准进行评估；

4. 通过源代码的安全审核，发现应用系统隐藏在深层的安全漏洞或后门。

2.4.3 安全通告服务

安全问题目前正以每周新增几十甚至几百例的速度在全世界得到反馈，同时涉及信息技术的众多领域，组织所掌握的安全知识的更新速度所受到的压力非常大。

绿盟科技从1999年就开始稳定的维护着国内最早，也是最大的中文安全资料库。绿盟科技安全研究院作为国内领先的安全技术研究中心，在世界范围内对某些流行的攻击手段方面的研究走到了攻击者的前面，几年来一直负责为绿盟科技和相关客户收集整理分析来源于全球的各类安全信息，而且这个信息库每天还在不断的增加。

绿盟科技凭借国内领先的安全研究能力，广泛的采集途径，以及和全球同步的漏洞信息收集系统，使得我们能高质量，高效率的完成这些安全通告，将最新最严重的网络安全问题最快的通报给您并且给出相应的解决办法，从而大大减轻网管人员做安全技术追踪和分析的压力，而且能够得到专业人士的直接支持。

绿盟科技以安全通告的形式为您提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、定期安全通告汇总、临时安全解决方案和安全知识库更新等。

绿盟科技的安全通告服务将下面的这些成果与您共享：

厂商安全通告：根据您订阅的内容，提供主流厂商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。

绿盟科技安全通告：绿盟科技发现的安全问题和其他有必要提示的重要安全问题通告。其他安全通告：其他应用系统和安全组织（如SANS/CERT等）的安全通告。

安全技术刊物《绿盟月刊》，每月一期。

对您的独立通讯方式进行记录：包括email地址，通信地址，电话，传真号。绿盟科技使用安全通告服务器来维护这些信息和最新的分类安全漏洞。

绿盟科技研究部门定期将最新的安全漏洞信息更新到安全通告服务器，根据您订阅的不同类别通告，详细细节将通过Email方式发送给您登记的邮件地址，每个月底，会将当月发布的全部漏洞打包总结，发送到您的邮箱中。被标注为紧急级别的安全漏洞，绿盟科技还将通过用户传真和电话通知的方式直接通知到您。

您可以与专门的服务支持邮箱联系，随时调整自己的订阅类别。同时，绿盟科技目前还在建设短消息安全通告的发布以及订阅方式，使您能够更加方便和及时的获得绿盟科技发布的相关安全信息。

2.4.4 应急响应服务

绿盟科技紧急响应服务提供高效的信息安全事件反应体系以帮助尽快对信息安全作出反应。在安全事件发生后，根据客户的需求以电话→远程支持→现场支持的方式提供服务，包括事件处理及恢复、事后的事件描述报告以及后续的安全状况跟踪。

当客户的主机或网络正遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时，我们将根据客户的要求，以最快的速度赶到现场，协助客户解决问题，查找后门，保存证据和追查来源。绿盟科技紧急响应小组可以与客户自己的信息安全中心以及反应体系配合协作，共同完成对客户信息安全事件的紧急响应和处理。

绿盟科技紧急响应服务种类包括：

1. 入侵调查

当入侵事件正在发生或已经发生，绿盟科技安全专家协助客户进行事件调查、保存证据、查找后门、追查来源等，同时提供事件处理报告以及后续的安全状况跟踪。

2. 拒绝服务攻击响应

当拒绝服务攻击正在发生时，绿盟科技安全专家协助客户有效缓解拒绝服务攻击导致的影响，保障信息资产的可用性。同时提供事件处理报告以及后续的安全状况跟踪。

3. 大规模病毒爆发响应

当大规模病毒爆发正在发生或已经发生，绿盟科技安全专家协助客户进行病毒调查、漏洞主机定位、查杀病毒等。同时提供事件处理报告以及网络防病毒安全建议。

4. 主机、网络异常响应

当主机或者网络异常事件正在发生或已经发生，绿盟科技安全专家协助客户进行事件调查、保存证据、查找问题的原因、追查来源等。同时提供事件处理报告以及后续的安全状况跟踪。

紧急事件响应，包括远程或本地响应。

2.4.5 信息安全培训

◆普及性安全培训。对普通业务人员及办公人员进行安全常识培训。

?内容：利用对大量的真实案例的描述，分析员工日常工作中经常用到的系统和应用软件的安全隐患，提高企业或组织中普通桌面用户的安全意识；结合企业

或组织制定的一些安全管理规范解释在日常工作中需要养成哪些安全操作习

惯。

◆中级安全培训。全面理解信息安全技术的各项内容，掌握相关系统的安全配置和管

理，具备局域网安全规划和实施的能力。

?内容：通过培训使企业或组织的系统管理员或者安全管理员在系统应用安全、信息安全、黑客攻防技术上有足够的认识，提高管理员的信息安全技术水平；

通过介绍常见的安全产品的工作原理和常见配置方法，帮助管理员充分利用现

有的安全产品资源，最高效的保护企业或组织的信息安全。

三. 互联网行业成功案例