(完整版)IDC等保三级解决方案通用模版
三级等保解决方案(通用版)
■文档编号■密级商业机密
■版本编号V2.0 ■日期2017-03-20
■版本变更记录
时间版本说明修改人20160425 V1 范孟飞20170320 V2 范孟飞
■适用性声明
目录
一. 前言 (1)
二. 项目背景 (1)
三. 安全风险分析 (2)
3.1设备安全风险 (2)
3.2网络安全风险 (2)
3.3应用层安全风险 (3)
3.4数据安全风险 (3)
四. 需求分析 (4)
4.1技术需求分析 (4)
4.2管理需求分析 (4)
五. 等级保护建设 (5)
5.1参考标准与依据 (6)
5.1.1 相关法规和政策 (6)
5.1.2 国家标准及行业标准 (6)
5.2整体部署拓扑图 (8)
5.3安全技术防护 (9)
5.3.1 边界访问控制 ....................................................................................................................... - 9 -
5.3.2 边界入侵防护 ..................................................................................................................... - 14 -
5.3.3 网站安全防护 ..................................................................................................................... - 28 -
5.3.4 安全审计 ............................................................................................................................. - 38 -
5.3.5 安全管理 ............................................................................................................................. - 47 -5.4等保建设咨询.. (69)
5.4.1 技术层面差距分析 ............................................................................................................. - 69 -
5.4.2 管理层面差距分析 ............................................................................................................. - 71 -
5.4.3 安全评估及加固 ................................................................................................................. - 72 -
5.4.4 安全管理体系建设 ............................................................................................................. - 74 -
5.4.5 应急响应及演练 ................................................................................................................. - 74 -
5.4.6 安全培训 ............................................................................................................................. - 74 -
5.4.7 测评辅助 ............................................................................................................................. - 75 -
六. 等保建设清单................................................................................................................................. - 76 -
七. 为什么选择绿盟科技..................................................................................................................... - 77 -
7.1典型优势 (78)
7.1.1 拥有最高级别服务资质的专业安全公司.......................................................................... - 78 -
7.1.2 先进且全面的信息安全保障体系模型.............................................................................. - 78 -
7.1.3 可实现且已证明的体系建设内容 ..................................................................................... - 78 -
7.1.4 资深且经验丰富的项目团队 ............................................................................................. - 79 -
7.1.5 先进的辅助工具 ................................................................................................................. - 79 -7.2资质荣誉. (79)
7.3客户收益 (82)
一. 前言
经过多年的信息化推进建设,企事业和政府机构信息化应用水平正不断提高,信息化建设成效显著。作为信息化发展的重要组成部分,信息安全的状态直接制约着信息化发展的程度。
作为企事业和政府机构重要的公众平台APP及web应用系统,由于其公众性质,使其成为攻击和威胁的主要目标,WEB应用所面临的Web应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着政府和公众用户,给政府的政务形象、信息网络和核心业务造成严重的破坏。随着后“棱镜门”时代,国家对重要信息系统(包括网站)的安全问题越来越重视,相继发布了一系列的政策要求,例如:公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)要求,加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。2014年12月,中办国办《关于加强社会治安防控体系建设的意见》要求:“完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度”。
为进一步企事业和政府机构单位依据国家等级保护相关标准和要求做好信息系统等级保护(三级)安全建设工作,绿盟科技作为国内具有一流技术优势和国际竞争力的信息安全厂商,结合自身多年的安全建设经验、业界领先的技术与产品,为政府单位等级保护安全建设提供本方案。
二. 项目背景
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,并将于2017年6月1日施行。该法案明确规定:建设、运营网络或通过网络提供服务,须依照法律、法规和国家标准强制性要求,采取各种措施,落实网络安全等级保护制度,保障网络安全稳定运行。发生安全事件时还要向主管部门报告。对于不履行该法案规定的,由有关主管部门责令改正,给予警告;拒不改正或导致危害网络安全等后果的,处一万元以上十万元以下罚款,并对直接负责的主管人员处五千元以上五万元以下罚款。
上海市公安局、网信办、经信委、通管局联合发布的《沪公通字【2015】65号》文中,也对政府机构、事业单位、国企的信息系统等级保护建设提出了明确的要求。
xxx目前运营的网站类系统主要有官方网站、xxx系统等;数据中心建成后,除满足xxx 自身需求外,还将为下属各子平台单位提供服务。
xxx信息系统网络架构为简单的互联互通架构,除入口处安装有防火墙外,其他安防手段、措施均缺失,距离等级保护三级要求有非常大的差距,安防状况堪忧。
不论是《中华人民共和国网络安全法》的规定,还是从自身信息系统安全角度考虑,xxx 都需要建设自己的安全管理体系和技术体系的建设,提升整体信息系统及数据的安全性。
三. 安全风险分析
3.1 设备安全风险
信息系统网络设备的安全风险主要来自两个方面,一个是设备自身的安全风险,另外一个是外界环境的安全风险。具体的设备安全风险如下:
?设备自身的安全缺陷或未能够及时修复的安全缺陷,导致的针对该设备的缺陷利用,
影响信息系统业务的连续性、可靠性和完整性;
?承载业务系统硬件、网络环境等方面的威胁;
?业务系统自身安全威胁。
3.2 网络安全风险
网络安全风险主要如下:
?来自内部和外部可能的网络攻击,如DDOS攻击、利用系统漏洞进行的各类攻击等
等;
?蠕虫病毒入侵,局域网内部病毒等恶意软件的传播,尤其是维护终端、磁盘介质使
用等导致的病毒扩散;
?利用管理和技术漏洞,或者内部资源成为僵尸网络、木马的被控资源,信息系统资
源被用作攻击外部网络的工具
?WEB类应用被挂马,成为木马大范围传播的主要途径;
?由于对信息系统网络进行维护不恰当,而导致的安全威胁。
3.3 应用层安全风险
应用层的安全威胁主要来自以下两个方面:
?来自原互联网、内部恶意用户的安全威胁;
?木马病毒的肆意传播,导致网络瘫痪。
3.4 数据安全风险
(1) 网管数据
网管数据,主要指设备管理层面的数据,其安全威胁主要如下:
?数据传输过程中被窃取,篡改、破坏;
?越权访问;
?病毒入侵导致丢失;
?其它误操作、系统故障、介质问题等原因导致的数据丢失、泄漏。
(2) 内部业务数据
内部业务数据,主要指信息系统各个业务区域数据,其安全威胁一方面来自于各个业务的不同要求,另外更主要的一方面是这些业务数据的存放,具体如下:
?病毒、木马、间谍软件的入侵;
?针对敏感数据的非法篡改、获取;
?数据的存储安全威胁,包括数据存储磁盘管理不善,数据访问管理不善带来的威胁
等。
(3) 帐号口令
?口令密码明文保存导致失窃;
?弱口令导致的暴力破解;
?网络监听明文传输的帐号口令。
四. 需求分析
4.1 技术需求分析
整体系统由WEB应用、网络设备、操作系统、数据库、中间件等网络元素共同构建,系统承担着数据采集、存储、分析、展示等功能,依据《信息安全技术信息安全等级保护基本技术要求》,物理层面、网络层面、系统层面、应用层面和数据层面面临如下安全威胁: 1.物理层安全:物理层面面临盗窃和破坏、雷击、火宅、静电、停电等威胁。
2.系统层安全:该层的安全问题来自网络运行的操作系统。安全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是操作系统的安全配置存在问题。
3.网络层安全:该层的安全问题主要指网络信息的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全,入侵检测的手段等。
4.应用层安全:该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性,包括:数据库软件、Web服务、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。
5.数据层风险:数据传输泄露、数据损坏等。
因此,有必要通过安全产品与安全服务的方式,发现以上五个层面存在的安全隐患,比对问题采取相应的加固和处理措施,满足信息安全等级保护的技术要求。
4.2 管理需求分析
该系统不仅需要考虑技术防护手段,也需要通过合理的安全管理规范,避免人为因素导致的系统破坏。依据《信息安全技术信息安全等级保护基本技术要求》。应制定完善的安全管理体系,以满足系统的安全管理要求,管理体系应考虑如下五个方面:
1.安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
2.安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
3.人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
4.系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
5.系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
五. 等级保护建设
通过xxx信息系统的特点以及面临的安全风险,参考业界主流安全标准和规范要求,制定了针对xxx等级保护建设解决方案,方案包括了整体部署拓扑、安全技术要求和安全服务三部分,从三个不同的层面来建设本单位信息系统安全防护体系,有效降低信息系统的安全风险,保障业务的顺畅运行,满足等级保护建设要求。
5.1 参考标准与依据
5.1.1相关法规和政策
国家信息安全相关文件:
●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
●《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
●《信息安全等级保护管理办法》(公通字[2007]43号)
●《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861
号)
●《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)
●《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429
号)
●《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安
[2010]303号)
●以及其他相关文件。
5.1.2国家标准及行业标准
国信安标委组织制定的国家标准:
●GB17859-1999 计算机信息系统安全保护等级划分准则
●GB/T22240-2008 信息安全技术信息系统安全保护等级定级指南
●GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南
●GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求
●GB/T20269-2006信息安全技术信息系统安全等级保护管理要求
●GB/T20270-2006信息安全技术网络基础安全技术要求
●GB/T20271-2006信息安全技术信息系统通用安全技术要求
●GB/T20272-2006信息安全技术操作系统安全技术要求
●GB/T20273-2006信息安全技术数据库管理系统安全技术要求
●GB/T20282-2006信息安全技术信息系统安全工程管理要求
●GB/T21082-2007信息安全技术服务器安全技术要求
●GBT 25070-2010信息系统等级保护安全设计技术要求(报批稿)
●GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南●GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求
5.2 整体部署拓扑图
核心交换机
WEB 服务器群
核心应用区服务器群
安全
管理区
漏洞扫描系统运维审计系统
网页防篡改软件
IPS 入侵防御系统
漏洞扫描堡垒机防火墙抗拒绝服务系统WAF 防病毒集中管
核心数据库区IPS 入侵防御系统Internet 数据库审计
网络安全审计
5.3 安全技术防护
5.3.1边界访问控制
5.3.1.1 防护需求
网络边界安全是网络安全保障的第一道防线,是信息网络系统上各业务网络必须优先建设的重点之一。在信息服务系统内部不同安全保护等级要求或不同信任域网络间互连时的边界接入安全,需设置与关键业务安全保护等级要求相对应的网络逻辑隔离,以重点保护关键业务系统的边界安全,作为信息服务系统中安全保护等级较高的网络,应适当与其他网络部分逻辑隔离。
根据合规性要求,《GB/T 22239-2008信息系统安全等级保护基本要求》
7.1.2.2访问控制(G3)
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口
级;
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、
POP3等协议命令级的控制;
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
f)重要网段应采取技术手段防止地址欺骗;
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访
问,控制粒度为单个用户;
h)应限制具有拨号访问权限的用户数量。
7.1.2.1结构安全
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要
b)应保证网络各个部分的带宽满足业务高峰期需要
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段
g)按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机.
5.3.1.2 解决方案
根据以上需求,设计在网络边界部署下一代防火墙来实现。通过配置地址转换策略实现内外网的访问,通过配置访问控制策略内外网隔离。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技下一代防火墙部署方案。
图 5.1 策略框架
绿盟下一代防火墙具备以下功能:
◆智能化识别应用
通过智能化应用、用户身份识别技术,绿盟下一代防火墙可以将网络中单纯的IP/端口号(IP/Ports),以及流量信息,转换为更容易理解、更加智能化的应用程序信息和用户身份信息,为后续的基于应用程序的策略控制和安全扫描,提供了识别基础。
◆精细化控制应用
绿盟下一代防火墙可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类,并且通过应用级访问控制,应用流量管理以及应用安全扫描等不同的策略对应用分别进行细粒度的控制和过滤。
◆一体化安全扫描
在完成智能化识别和精细化控制以后,下一代防火墙对于允许使用且可能存在高安全风险的网络应用,可以进行漏洞,病毒,URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断并且记录成为详细的安全日志和风险报表。
◆资产风险识别和云端安全管理
绿盟科技下一代防火墙可以主动、先发性的对用户内网脆弱资产进行风险评估,并提出加固方案,是用户的内网安全管理专家,同时又可以通过接入云端,简化运维,对安全威胁在线分析和把控,是用户的云端安全管理专家。
【选型优势】
◆多核CPU和ASIC构建高速硬件平台
绿盟防火墙专用硬件平台采用多核CPU和ASIC加速芯片构建。ASIC芯片具有3-4层快速转发和流分类的特性,使得绿盟防火墙具有高速的网络处理性能;多核CPU的强大浮点计算能力,以及绿盟独有的多流并行分布式处理技术,使得绿盟防火墙的应用层数据处理能力大幅提高,真正做到从4层防护到7层防护的提升。
◆智能协议识别(NIPR)智能内容识别(NICR)技术
智能协议识别技术——Nsfocus Intelligent Protocol Recognition(NIPR)和智能内容识别技术——Nsfocus Intelligent Content Recognition(NICR)是绿盟自主研发的网络威胁识别技术,是绿盟科技在网络攻防技术方面多年研究成果的结晶,也是绿盟防火墙产品的核心技术。
网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以及应用内容进行解析识别,从而进行针对性的防护。NIPR和NICR识别技术,它利用七个安全库(应用协议特征库、协议行为特征库、URL分类库、Web信誉库、病毒库、攻击规则库、垃圾邮件库),通过动态分析网络报文中包含的协议特征、行为特征以及非法内容,识别出非法信息,然后递交给相应的处理引擎进行防护。
具备了NIPR和NICR的绿盟防火墙,不再受动态端口或攻击工具变化的影响。对于P2P 等运行在任意端口的应用层协议,或者绑定在任意端口的木马、后门,还有黑客的灵活多变的攻击方式,绿盟防火墙都能在不需要管理员参与的情况下高速准确的判断出来,并根据网关策略予以阻断或限制。
◆超强的网络攻击检测/防护能力
绿盟防火墙集成了绿盟科技专业的入侵检测/防护模块,可实现基于IP地址/网段、规则(组、集)、时间、动作等对象的虚拟IPS。绿盟防火墙采用虚拟补丁技术,可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种攻击。
◆首创的内网资产风险管理
绿盟科技下一代防火墙,除了具备国际权威咨询机构Gartner所定义的下一代防火墙全部特性,不仅在新一代网络中保障用户的边界网络安全,防范“外敌”入侵,更首创性的提供内网资产风险识别功能,让用户对内网易受攻击资产进行风险提前评估和预警,双向安全,双向保障。即作为事中安全拦截设备,又作为事前风险防范设备,为用户在安全投资不变的情况下提供一举两得的加强安全效应。
◆先进的云端安全管理模式
业界首创的云端安全管理模式,对传统防火墙及业界其它下一代防火墙产品,在运维服务模式上迈出了崭新的一步。绿盟科技凭借多年对用户安全攻防服务经验的积累,分析沉淀国际及国内市场的用户需求趋势,深刻把脉真正下一代安全的未来走向,通过构造云端安全管理平台,让用户在便捷、高效安全管理上有了全新的体验,极大减免了用户的安全运维投入,从而有能力在应对不断增长变化的威胁攻击中百战不殆,游刃有余。
◆全面支持IPv6
绿盟防火墙使用双协议栈(dual stack)架构,支持IPv6/IPv4双协议栈功能,能同时辨识IPv4和IPv6通讯流量。多种隧道模式的支持,确保IPv6过渡时代的网络通畅。IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略,为IPv6环境提供了完善的安全防护。
◆细致的应用层控制手段
图 5.2 应用控制
传统防火墙的访问控制或流量管理粒度粗放,只能基于IP/端口号对数据流量进行一刀切式的禁止或允许。NF基于卓越的应用和用户识别能力,对数据流量和访问来源进行精细化辨
识和分类,使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用,或从无意无序的IP地址中辨识出有意义的用户身份信息,从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略,保障了用户最直接、准确、精细的管理愿望和控制诉求。
例如,允许HTTP网页访问顺利进行,并且保证高访问带宽,但是不允许同样基于HTTP 协议的视频流量通过;允许通过QQ进行即时通信,但是不允许通过QQ传输文件;允许邮件传输,但需要进行防病毒扫描或敏感信息过滤,如发现有病毒入侵或泄密事件马上阻断,等等。
卓越的应用层安全处理性能
图 5.3 双引擎多核并发
NF构筑在新一代64位多核并发,高速硬件平台之上,拥有业界独有的数通、安全双引擎设计模式。双引擎多核并发的高速运行在多个CPU核心之上,各司其职,不仅保证了基础网络数据包的高速转发,更加确保了应用层安全处理的高性能。
不仅于此,NF采用的高速数据包处理技术专门针对I/O密集型网络设计。它为上层安全服务和底层硬件平台提供了一个高速通信隧道,极大提升了平台安全处理性能和吞吐率,使下一代防火墙设备在安全处理性能上有了一个质的飞跃。
5.3.1.3 方案价值
内网和互联网区之间部署下一代防火墙可发挥如下作用:基于应用/用户识别的访问控制、流量控制、上网行为管理、SNAT转发、ISP链路负载均衡、安全威胁阻断等;在互联网与DMZ区之间可发挥如下作用:访问控制、DNAT、服务器负载均衡、基于应用/户识别的流量
控制、安全威胁阻断等。在内网区的用户与服务器群之间可发挥如下作用:访问控制、基于应用和用户识别的流量控制、访问行为记录审计等功能。部署在边界的下一代防火墙可根据用户稳定性需求,提供网络容灾备份方案,保证用户网络安全访问无中断。
下一代防火墙具有带宽管理及控制能力、连接完整性检测能力、重要网段保护能力。包含有内容过滤、访问控制等功能,满足信息安全等级保护保护技术要求。
5.3.2边界入侵防护
5.3.2.1 边界抗拒绝服务
5.3.2.1.1 防护需求
日益猖獗的DDOS攻击、越来越简单的僵尸网络攻击工具、日渐成熟的灰色地下交易链条,给互联网信息系统带来了沉重的危害,常见的DDOS攻击影响有:
?网络遭受DDOS攻击导致网络出口或内网互联通信链路的带宽达到饱和;
?内网设备(如交换机、路由器、服务器、防火墙等)遭受DDoS攻击,攻击流量超出目标设备承受能力,导致它们无法提供合法流量;
?服务器或主机遭受应用层DDOS攻击,导致CPU处理能力饱和,无法对外提供服务。
?对网络中没有直接遭受攻击的部分造成间接破坏。
根据对来自广域网边界的风险分析,主要存在以下几个方面的需求:
◆需对流入广域网网络的流量进行分析,识别其中的各类攻击流量;
◆对流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等)
进行有效过滤,保护通信链路带宽及内网设备不受攻击影响;
◆对应用层的DoS攻击(如Http Get Flood、连接耗尽、CC等)进行有效过滤,保证
服务器或主机性能不受攻击影响。
【相关规范要求】
《GB/T 22239-2008信息系统安全等级保护基本要求》
7.1.2.2访问控制(G3)
本项要求包括:
e)应限制网络最大流量数及网络连接数;
7.1.2.5 网络安全-入侵防范(G3)
本项要求包括:
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
7.1.3.5主机安全-入侵防范(G3)
本项要求包括:
应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
5.3.2.1.2 解决方案
根据以上需求,设计在外网出口边界部署一台抗拒绝服务系统(ADS)来实现。针对目前流行的DDoS攻击以及未知的攻击形式,通过ADS及时发现背景流量中的攻击行为,迅速对攻击流量进行过滤,确保正常业务的可用性。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技抗拒绝服务系统(ADS)来部署实现。
绿盟抗拒绝服务产品基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低,并结合特有硬件加速运算,因此系统效率极高。该方案的核心技术架构如下图所示。
绿盟抗拒绝服务系统核心架构
绿盟抗拒绝服务系统具有以下功能亮点
?反欺骗——绿盟Anti-DDoS技术将会对数据包源地址和端口的正确性进行验证,同时还对流量在统计和分析的基础上提供针对性的反向探测。
?协议栈行为模式分析——根据协议包类型判断其是否符合RFC规定,若发现异常,则立即启动统计分析机制;随后针对不同的协议,采用绿盟专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行。
?特定应用防护——ADS产品还会根据某些特殊协议类型,诸如DNS、HTTP、VOIP SIP等,启用分析模式算法机制,进一步对不同协议类型的DDoS攻击进行防护。
?用户行为模式分析——网络上的真实业务流量往往含有大量的背景噪声,这体现了网络流量的随机性;而攻击者或攻击程序,为了提高攻击的效率,往往采用较为固定的负载进行攻击。ADS产品对用户的行为模式进行统计、跟踪和分析,分辨出真实业务浏览,并对攻击流量进行带宽限制和信誉惩罚。
?动态指纹识别——作为一种通用算法,指纹识别和协议无关,绿盟Anti-DDoS技术采用滑动窗口对数据包负载的特定字节范围进行统计,采用模式识别算法计算攻击包的特征。对匹配指纹特征的攻击包进行带宽限制和信誉惩罚。
?带宽控制——对经过系统净化的流量进行整形输出,减轻对下游网络系统的压力。
?地理位置过滤——攻击者虽然可以利用全球的肉鸡发起DDoS攻击,但是企业和防护的客户对可以根据自身业务的情况明确业务流量来源,从而根据源IP地理位置过滤攻击,实现快速有效的保护。
?云信誉——绿盟云信誉平台通过集合全系列安全产品的发现与验证,从获取的全球流量中进行信誉等级的评定。ADS产品通过与云信誉平台联动可以及时掌握肉鸡数据并进行拦截防护。
【选型优势】
1. 产品技术最好,防护效果好
?最早研究DDoS攻击&防护(2000年)的企业,2001年推出首款“黑洞”产品,至今积累时间最长,防护水平代表全球最高水平。
?防护技术算法最丰富。如针对CC攻击提供7种防护算法,满足各种攻击特点的防护。
?支持抓包取证,通过抓包分析进行深度防范,为电子取证提供依据,对DDoS攻击产生威慑。
?根据DDoS防护需求不同的特点,能够提供防护群组功能,对用户加以区分,并对不同的用户组提供细粒度的防护策略。
2. 产品应用最广泛,成熟度高: