面臨的(de)挑戰
随著(zhe)互聯網的(de)飛(fēi)速發展,外(wài)部網絡安全狀況日(rì)趨嚴峻,對(duì)業(yè)務系統的(de)信息安全攻擊逐漸從(cóng)網絡層向應用(yòng)層和(hé)系統層遷移。金(jīn)融行(xíng)¶業(yè)在線業(yè)務系統是(shì)整個(gè)業(yè)務的(de)核心之一(yī),應對(du↑ì)業(yè)務系統進行(xíng)重點防護,如(rú)果業(yè)務系統的(de)訪問(wèn)行(xíng)♣為(wèi)控制(zhì)不(bù)利,非授權用(yòng)戶可(kě)能(néng)竊取機(jī)密數(shù)據、删除和(hé•)修改業(yè)務數(shù)據、甚至植入病毒,引起系統中斷服務或癱瘓。
主要(yào)存在以下(xià)幾個(gè)方面的(de)問(wèn)題:
-
業(yè)務系統與內(nèi)外(wài)網對(duì)接沒有(yǒu)實現(xiàn)有(yǒu)效的(de)邊界訪問€(wèn)控制(zhì),無法界定用(yòng)戶訪問(wèn)是(shì)否為(wèi)合法請(qǐng)求;
-
對(duì)于流經業(yè)務系統的(de)數(shù)據沒有(yǒu)有(yǒu)效的(de)流量清洗的(de)能(néng)力,無法識别流量是(shì)正常的(d£e)訪問(wèn)請(qǐng)求還(hái)是(shì)DOS/DDOS拒絕服務類的(de)攻擊;
-
對(duì)于夾雜(zá)在數(shù)據流中的(de)病毒、木(mù)馬、蠕蟲沒有(yǒu)良好(hǎo)的(de)檢測能(néng)力,很(hěn)難避免在業(yè)務交互過程中由于數(♥shù)據中包含病毒、木(mù)馬、蠕蟲等威脅對(duì)業(yè)務系統造成的(de)危害;
-
服務器(qì)系統底層漏洞攻擊防護僅依靠時(shí)效性不(bù)強的(de)手動補丁更新,缺乏有(yǒu)效的(de)防護手段,尤其缺乏0✘Day漏洞攻擊的(de)防護能(néng)力;
-
流經業(yè)務系統的(de)數(shù)據沒有(yǒu)應用(yòng)層攻擊(如(rú)Web攻擊)的(de)檢測能(néng)力,難以保證業(yè)務系統Web應用(yòng)程序以及後台數(shù)據庫不(bù)被攻擊。
深信服解決方案
深信服為(wèi)金(jīn)融行(xíng)業(yè)提供完整的(de)針對(duì)在線業(yè)務系統服務器(qì)集群的(Ωde)應用(yòng)安全加固解決方案。
通(tōng)過在在線業(yè)務服務器(qì)集群彙聚交換前部署深信服下(xià)一(yī)代防火(huǒ)牆AF,可(kě)實現(xiàn)業(yè)務系λ統服務器(qì)的(de)邏輯隔離(lí),防止來(lái)自(zì)網絡層面、系統層面、應用(yòng)層®面以及數(shù)據層面的(de)安全威脅在業(yè)務系統數(shù)據中心各區(qū)域內(nèi)擴散。
方案價值
采用(yòng)在線業(yè)務系統一(yī)站(zhàn)式應用(yòng)安全加固部署方案,通(tōng)過部署深信服下(x↓ià)一(yī)代防火(huǒ)牆AF,可(kě)以從(cóng)攻擊源頭上(shàng)保護金(jīn)融行(xíng)業(yè)業(yè)務系統,有(yǒu)效抵禦來(lái★)自(zì)網絡、系統、應用(yòng)、數(shù)據層面的(de)安全威脅;同時(shí)深信服下(xià)一(yī)代防火("huǒ)牆AF提供的(de)雙向內(nèi)容檢測的(de)技(jì)術(shù)幫助用(yòng)戶解決攻擊被繞過後産生(shēng)的(de)網頁篡改、敏感信息₩洩露的(de)問(wèn)題,實現(xiàn)防攻擊、防篡改、防洩密的(de)效果。
- 深信服下(xià)一(yī)代防火(huǒ)牆AF部署于核心交換前可(kě)實現(xiàn)業(yè)務系統服務器€(qì)區(qū)一(yī)站(zhàn)式整體(tǐ)安全防護;
- 通(tōng)過防火(huǒ)牆子(zǐ)系統模塊的(de)訪問(wèn)控制(zhì)策略ACL可(kě)實現(xiàn)網絡安全域劃分(fēΩn),阻斷各個(gè)區(qū)域間(jiān)的(de)網絡通(tōng)信,防止威脅擴散,防止訪問(wè↔n)控制(zhì)權限不(bù)當、系統誤配置導緻的(de)敏感信息跨區(qū)域傳播的(de)問(wèn)題;
- 通(tōng)過DOS/DDOS子(zǐ)系統功能(néng)模塊進行(xíng)網絡層面的(de)安全加固,可(kě)以防止利用(yò✘ng)協議(yì)漏洞對(duì)服務器(qì)發起的(de)拒絕服務攻擊使得(de)服務器(qì)無法提供正常服務,導緻業(yè)務中斷等問(wèn)題;
- 通(tōng)過防病毒子(zǐ)系統功能(néng)模塊可(kě)實現(xiàn)各個(gè)安全域的(de)流量清洗功能(néng),清洗來(lái)自(zì)其他(tā)安 全域的(de)病毒、木(mù)馬、蠕蟲,防止各區(qū)域進行(xíng)交叉感染;
- 利用(yòng)入侵防禦子(zǐ)系統功能(néng)模塊可(kě)實現(xiàn)對(duì)服務器(qì÷)集群操作(zuò)系統漏洞(如(rú):winserver2003、linux、unix等)、應用(yòn g)程序漏洞(IIS服務器(qì)、Apache服務器(qì)、中間(jiān)件(jiàn)weblogi™c、數(shù)據庫oracle、MSSQL、MySQL等)的(de)防護,防止黑(hēi)客利用(yòng)該類漏洞通(∑tōng)過緩沖區(qū)溢出、惡意蠕蟲、病毒等應用(yòng)層攻擊獲取服務器(qì)權限、使服務器(qì)癱瘓導緻服₽務器(qì)、存儲等資源被攻擊的(de)問(wèn)題;
- 通(tōng)過Web安全子(zǐ)系統功能(néng)模塊的(de)開(kāi)啓,可(kě)實現(xiàn)對(duì)各 個(gè)區(qū)域(尤其是(shì)DMZ區(qū))的(de)Web服務器(qì)、數(shù)據庫服務器(qì)、FTP©服務器(qì)等服務器(qì)的(de)安全防護。防止黑(hēi)客通(tōng)過Web攻擊攻陷Web服務器(qì)、數(shù)據庫等竊取機(jī)密信息;
- 通(tōng)過信息洩漏防護子(zǐ)系統功能(néng)模塊的(de)開(kāi)啓,可(kě)自(zì)定義業(yè)務系統的(&de)敏感信息,防止黑(hēi)客繞過防禦體(tǐ)系竊取業(yè)務系統的(de)敏感信息;
- 通(tōng)過防篡改子(zǐ)系統功能(néng)模塊的(de)開(kāi)啓,可(kě)防止黑(hēi) 客利用(yòng)各層面安全漏洞非法篡改業(yè)務系統合法界面,防止被篡改界面發布于衆;
- 通(tōng)過風(fēng)險評估子(zǐ)系統模塊的(de)啓用(yòng)對(duì)服務器(qì)集群進行(xíng)安全體(tǐ)檢,通(tōng)過一(yī)鍵策略部↑署的(de)功能(néng)開(kāi)啓入侵防禦子(zǐ)系統模塊、Web安全子(zǐ)系統模塊的(de)對(duì)應策略,可(kě)幫助管理(lǐ)員(yuán)實現α(xiàn)針對(duì)性的(de)策略配置;
- 通(tōng)過智能(néng)聯動模塊的(de)應用(yòng),可(kě)形成防火(huǒ)牆子(zǐ)系統功能(néng)模塊、入侵防禦≥子(zǐ)系統功能(néng)模塊、Web安全子(zǐ)系統功能(néng)模塊的(de)智能(néng)聯動,有(yǒu)效防止工(gōng)具型、自( zì)動化(huà)的(de)黑(hēi)客攻擊,提高(gāo)攻擊成本,可(kě)抑制(zhì)APT攻擊₽的(de)發生(shēng)。
