网络信息安全加固方案

XXXX业务网网络信息安全加固项目案例介绍

一、概述

随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，IT系统已经成为XXX整合、共享内部资源的核心平台，同时，随着XXX经营理念的不断深化，利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多，因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要，更为XXX提供的新业务利润增长做出了不可磨灭的贡献。

伴随着网络的发展，也产生了各种各样的安全风险和威胁，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见、WEB应用安全事件层出不穷、，黑客攻击行为几乎每时每刻都在发生，而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化，所有这些风险防范及安全审查工作极大的困扰着XXX运维人员，能否及时发现网络黑客的入侵，有效地检测出网络中的异常流量，并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范，已成为XXX运维人员所面临的一个重要问题。

本方案针对XXXX公司业务平台的安全现状进行分析，并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作，从安全技术体系建设的角度给出详细的产品及服务解决方案。

二、网络现状及风险分析

2.1 网络现状

业务平台拓扑图

XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统，（因涉及客户信息，整体网络架构详述略）业务平台内部根据业务种类的不同，分别部署有数据库、报表、日志等相应业务系统服务器。

2.2 风险及威胁分析

根据上述网络架构进行分析，我们认为该业务平台存在如下安全隐患：

1.随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯XX的已经

无法满足信息安全防护的需要，部署了×XX的安全保障体系仍需要进一步完善，

防火墙系统的不足主要有以下几个方面（略）

2.当前网络不具备针对X攻击专项的检测及防护能力。（略）

3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针

对内容、行为的监控管理及安全事件的追查取证。

4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有

效监控技术手段，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用

行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。

5.随着XX业务平台自有门户网站的建设，Web应用已经为最普遍的信息展示和业务

管理的接入方式和技术手段，正因为空前的流行，致使75%以上的攻击都瞄准了

网站Web应用。这些攻击可能导致XXX遭受声誉和经济损失，可能造成恶劣的社

会影响。当前增值业务平台主要面对如下WEB应用方面的风险和威胁：

1)防火墙在阻止Web应用攻击时能力不足，无法检测及阻断隐藏在正常访问流

量内的WEB应用层攻击；

2)对于已经上线运行的网站，用简单的方法修补漏洞需要付出过高的代价；

3)面对集团对于WEB应用安全方面的的“合规检查”的压力。

6.随着信息安全的发展，XXXX集团在信息安全领域的管理制度也愈加规范和细化，

在网络、系统、应用等多方面提出了相应的安全要求、检查细项及考核办法，并

已将信息安全工作纳入到日常运维工作中去。在近期发布的《XXXXX平台安全管

理办法(试行)》、《XXXX新建业务平台安全验收指引（试行）》等管理规范中，明

确说明了增值业务平台需要建设XXXX系统、XXXX系统对业务平台网络边界进行

防护，另外亦需要对系统漏洞、数据库漏洞、WEB应用等方面提供安全防护。由

此可见，业务平台当前缺乏相应的整体的安全监测及防护手段，无法满足上级主

管部门的管理要求。

2.3 信息安全形势分析

1.系统漏洞仍旧是XXX网络面临的安全风险之一。据国家信息安全漏洞共享平台

（CNVD）收录的漏洞统计，2011年发现涉及电信运营企业网络设备（如路由器、交换机等）的漏洞203个，其中高危漏洞73个；发现直接面向公众服务的零日DNS漏洞23个, 应用广泛的域名解析服务器软件Bind9漏洞7个。

2.拒绝服务攻击对XXX业务运营造成较大损害及破坏企业形象，2011年发生的分布

式拒绝服务攻击（DDoS）事件中平均约有7%的事件涉及到基础电信运营企业的域名系统或服务。

✧2011年7月域名注册服务机构XXXX的DNS服务器遭受DDoS攻击，导致其负责

解析的域名在部分地区无法解析。

✧2011年8月，某XXXDNS服务器也连续两次遭到拒绝服务攻击，造成局部用户无

法正常使用互联网。

3.网站安全事件层出不穷，黑客利用SQL注入、XSS脚本攻击等工具和技术手段进行

网页篡改及信息窃取以非法获利，造成较大社会影响。在CNCERT接收的网络安全事件(不含漏洞)中，网站安全类事件占到61.7%；境内被篡改网站数量为36612个，较2010年增加5.1%；4月-12月被植入网站后门的境内网站为12513个。

4.受控僵尸主机数目有增无减，黑客利用受控主机进行信息窃取、跳板类攻击等现象

逐步增多。据抽样检测表明，2011年境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机，其控制的境内主机数量由2010年的近500万增加至近890万，呈现大规模化扩散趋势。

2.4 XXX安全事件

1.系统及主机漏洞利用类：

✧XX网相册漏洞利用：X网相册存在上传漏洞，被国家安全人员上传恶意文件

获取系统root权限，该事件曾上报至副总理及政治局常委处，影响程度深、

影响范围广；

✧充值系统漏洞利用：某黑客组织利用XXX充值卡系统漏洞，使用网络渗透手

段、黑客工具等方法计算出充值卡号进行出售，造成未售出的充值卡已被充值

使用或手机免费充值的情况；

✧话费系统漏洞利用：利用系统漏洞入侵话费系统，篡改话费信息；

✧网厅、积分商城WEB应用漏洞攻击：利用网站漏洞入侵XXX网站，获取客户

信息、冒充客户进行业务订阅或修改客户积分，达到非法获利的目的。

2.木马及病毒传播类：内部办公主机被控：某XXX被发现其内部计算机被境外人员

通过木马方式控制，同时该计算机向内部网络扩散蠕虫病毒，可窃取计算机硬盘文

件、重要账号等关键数据。

3.网页篡改类：XXXX网站曾多次发现主页被篡改，植入广告及其他恶意内容，使其

变成非法信息传播的平台，影响企业形象，并对业务平台运行带来安全隐患。

4.分布式拒绝服务（DDoS）攻击类：XX网站曾发现遭受DDoS拒绝服务攻击，造成

其视频业务受损，客户反响强烈。