電信行業(yè)IDC 安全增值服務(wù)解決方案方案概述安全現(xiàn)狀分析隨著互聯(lián)網(wǎng)的發(fā)展，金融網(wǎng)上交易、政府電子政務(wù)、企業(yè)門戶網(wǎng)站等各類基于HTML 文件格式的信息共享平臺越發(fā)完善，深入到人們生活中的點點滴滴。然而W

電信行業(yè)IDC 安全增值服務(wù)解決方案

方案概述

安全現(xiàn)狀分析

隨著互聯(lián)網(wǎng)的發(fā)展，金融網(wǎng)上交易、政府電子政務(wù)、企業(yè)門戶網(wǎng)站等各類基于HTML 文件格式的信息共享平臺越發(fā)完善，深入到人們生活中的點點滴滴。然而WEB 服務(wù)方式在給用戶提供方便快捷的同時，針對WEB 業(yè)務(wù)的攻擊亦在迅猛增長，類似網(wǎng)頁被篡改或者網(wǎng)站被入侵等安全事件頻繁發(fā)生，不但嚴(yán)重影響了組織的形象和信譽，有時甚至?xí)斐删薮蟮慕?jīng)濟損失，或者嚴(yán)重的社會問題，嚴(yán)重危及國家安全和人民利益。一般應(yīng)用安全威脅分為信息篡改、拒絕服務(wù)攻擊、信息泄露三類。

1. 信息篡改

組織對外服務(wù)應(yīng)用系統(tǒng)作為“組織形象”的標(biāo)志之一，常常是一些不法分子的重點攻擊對象。尤其是大型門戶網(wǎng)站一旦被篡改（加入一些敏感的顯性內(nèi)容），常常會引發(fā)較大的影響，嚴(yán)重時甚至?xí)斐烧问录?/p>

另外一種篡改方式是網(wǎng)頁掛馬：網(wǎng)頁內(nèi)容表面上沒有任何異常，卻可能被偷偷的掛上了木馬程序。網(wǎng)頁掛馬雖然未必會給網(wǎng)站帶來直接損害，但卻會給瀏覽網(wǎng)站的用戶帶來損失。更重要的是，政府網(wǎng)站一旦被掛馬，其權(quán)威性和公信力將會受到打擊，最終給電子政務(wù)的普及帶來重大影響。

1. 拒絕服務(wù)攻擊

對企業(yè)、公眾提供在線服務(wù)，已經(jīng)成為組織對外服務(wù)應(yīng)用系統(tǒng)的重要功能之一。這些服務(wù)一旦受到拒絕服務(wù)攻擊而癱瘓、終止，對業(yè)務(wù)的正常運轉(zhuǎn)必然造成極大的影響，可能會造成經(jīng)濟損失，嚴(yán)重時甚至?xí)绊懮鐣€(wěn)定。

1. 信息泄露

在線業(yè)務(wù)系統(tǒng)中，總是需要保存一些企業(yè)、公眾的相關(guān)資料，這些資料往往涉及到企業(yè)秘密和個人隱私，一旦泄露，會造成企業(yè)或個人的利益受損，可能會給單位帶來嚴(yán)重的法律糾紛。

除此之外，在IDC 特定的環(huán)境中，數(shù)據(jù)在傳輸過程中存在被監(jiān)聽、被竊取、被破壞等風(fēng)險，最終導(dǎo)致信息篡改、信息泄露等；也容易遭受ARP 欺騙、IP 欺騙等網(wǎng)絡(luò)層的攻擊，導(dǎo)致業(yè)務(wù)系統(tǒng)無法正常工作，可能造成嚴(yán)重的經(jīng)濟損失以及公眾信譽度。

由于中國IDC 行業(yè)特有的業(yè)務(wù)模式，導(dǎo)致其網(wǎng)絡(luò)安全需求不一致，這使得目前IDC 機房網(wǎng)絡(luò)安全出現(xiàn)以下情況：某些IDC 用戶沒有任何的安全防護措施，最好的狀態(tài)是部署了網(wǎng)絡(luò)防火墻，同時在其服務(wù)器上安裝了殺毒軟件。但是，僅僅是網(wǎng)絡(luò)防火墻和殺毒軟件并不能對SQL 注入、跨站腳本、網(wǎng)頁篡改、信息泄露、拒絕服務(wù)攻擊等網(wǎng)絡(luò)層和應(yīng)用層的安全風(fēng)險進行防護 。

另外，IDC 用戶對于突發(fā)攻擊事件沒有做任何的應(yīng)急措施，這導(dǎo)致當(dāng)攻擊事件發(fā)生時,IDC 用戶無法及時地阻斷攻擊，恢復(fù)系統(tǒng)，使系統(tǒng)能夠正常運行。而有效的安全應(yīng)急響應(yīng)措施能夠在惡意攻擊事件發(fā)生時，及時地阻斷攻擊，恢復(fù)系統(tǒng)，事后追根溯源，發(fā)現(xiàn)安全弱點，并進行安全加固，提高IDC 用戶網(wǎng)絡(luò)安全水平，以及用戶信譽度。

安全需求分析

WEB 應(yīng)用系統(tǒng)直接面向Internet ，以WEB 應(yīng)用系統(tǒng)為跳板入侵服務(wù)器甚至控制整個內(nèi)網(wǎng)系統(tǒng)的攻擊行為已成為最普遍的攻擊手段。據(jù)Gartner 的最新調(diào)查，目前75以上的攻擊行為都基于WEB 應(yīng)用層面而非網(wǎng)絡(luò)層面；同時數(shù)據(jù)顯示，三分之二的WEB 站點都相當(dāng)脆弱，易受攻擊。

不少電信行業(yè)網(wǎng)站接入客戶（IDC 用戶和專線用戶）已經(jīng)意識到，針對WEB 應(yīng)用系統(tǒng)進行相應(yīng)的安全評估、安全防護在保障網(wǎng)站的正常運行方面不可或缺。一般來說，對于網(wǎng)站運行穩(wěn)定性和安全性要求較高、本身具有一定經(jīng)濟實力的網(wǎng)站接入客戶通常會選擇以下三種方式，保證對外服務(wù)網(wǎng)站的正常運營：

1. 技術(shù)型用戶

投入大量財力，自行購買和部署權(quán)威有效的安全評估和防護產(chǎn)品；投入大量人力，建立專門的安全部門和機構(gòu)，建立完善的信息安全管理流程和策略，自行進行信息安全管理；

1. 支持型用戶

自行購買和部署部分權(quán)威有效的WEB 應(yīng)用安全防護產(chǎn)品；同時聘請第三方專業(yè)安全服務(wù)提供商，定期進行WEB 應(yīng)用安全評估、應(yīng)急響應(yīng)、安全培訓(xùn)等服務(wù)；

1. 外包型用戶

投入一定的財力聘請第三方專業(yè)安全服務(wù)提供商，將整個應(yīng)用安全以完全外包的方式交由服務(wù)提供商全權(quán)負(fù)責(zé)。

然而，對于大部分的中小型網(wǎng)站接入客戶而言，由于其本身經(jīng)濟實力有限，且不具備專業(yè)的信息安全技術(shù)人員，在有限的成本和人力資源條件下，以上三種目前市面上通常采納的安全解決方案，無法滿足其安全建設(shè)成本要求，普通網(wǎng)站接入客戶望而卻步，安全產(chǎn)品和安全服務(wù)也無法得到全面的推廣。

因此，誰能夠及早設(shè)計、提供一種具有低廉的安全建設(shè)成本，一體化外包式的安全保障業(yè)務(wù)，誰就能占領(lǐng)大部分經(jīng)濟實力有限的中小型網(wǎng)站接入客戶；在解決客戶應(yīng)用安全燃眉之急的同時，將帶來巨大的經(jīng)濟效益。

技術(shù)方案

方案設(shè)計原則 ?

?

?

?

?

? 安全可靠性：使用的安全產(chǎn)品能夠穩(wěn)定可靠的系統(tǒng)中運行。 技術(shù)先進性：采用的安全技術(shù)必須有足夠的先進性。 技術(shù)成熟性：必須是已經(jīng)經(jīng)過實際應(yīng)用的安全技術(shù)和產(chǎn)品。 可管理性：安全產(chǎn)品應(yīng)該宜于管理，非專業(yè)安全技術(shù)人員也能在指導(dǎo)下使用。 可擴展性：在系統(tǒng)升級或擴容時，能保持一定的擴充性能。 滿足國家相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)。

服務(wù)內(nèi)容

“安恒信息”提供的電信行業(yè)IDC 安全增值服務(wù)方案中建議安全增值服務(wù)內(nèi)容包括應(yīng)用安全與數(shù)據(jù)庫安全兩個方面，其中應(yīng)用安全方面包括WEB 應(yīng)用漏洞檢測服務(wù)、網(wǎng)頁木馬檢測服務(wù)、網(wǎng)頁篡改監(jiān)測服務(wù)、網(wǎng)頁可用性監(jiān)測服務(wù)、網(wǎng)頁敏感信息監(jiān)測服務(wù)、WEB 應(yīng)用攻擊防護服務(wù)、安全響應(yīng)服務(wù)等。數(shù)據(jù)庫安全方面包括數(shù)據(jù)庫脆弱性檢測服務(wù)、數(shù)據(jù)庫動態(tài)審計服務(wù)、安全響應(yīng)服務(wù)等。 應(yīng)用安全 1. WEB 應(yīng)用漏洞監(jiān)測服務(wù) 定期自動檢測門戶網(wǎng)站系統(tǒng)的漏洞，并跟蹤漏洞的修復(fù)情況，從而使為網(wǎng)站的漏洞得以快速修復(fù)，降低網(wǎng)站被入侵的風(fēng)險。

2. 網(wǎng)頁木馬監(jiān)測服務(wù)

采用特征分析和沙盒行為分析技術(shù)對網(wǎng)站進行木馬監(jiān)測，監(jiān)測精度高達99，從而實現(xiàn)快速、準(zhǔn)確的發(fā)現(xiàn)和定位網(wǎng)頁木馬，確保用戶在第一時間發(fā)現(xiàn)感染的木馬并及時有效消除。

3. 網(wǎng)頁篡改監(jiān)測服務(wù)

通過遠程定時監(jiān)測技術(shù)，可以有效的監(jiān)測網(wǎng)頁篡改行為，特別是一些越權(quán)篡改、暗鏈篡改等情形。并針對篡改方式提供篡改截圖取證功能，極大的提升了事件處理效率。

4. 網(wǎng)頁可用性監(jiān)測服務(wù) 基于遠程監(jiān)測技術(shù)可以解決IDC 用戶WEB 應(yīng)用的實時可用性要求。

5. 網(wǎng)頁敏感信息監(jiān)測服務(wù)

采用中文關(guān)鍵詞以及語義分析技術(shù)對網(wǎng)站進行敏感關(guān)鍵字監(jiān)測，實現(xiàn)精確的敏感字識別，確保網(wǎng)站內(nèi)容符合互聯(lián)網(wǎng)相關(guān)規(guī)定，避免出現(xiàn)敏感信息以及被監(jiān)管部門封殺。

6. 安全響應(yīng)服務(wù)

為客戶提供全天候的技術(shù)咨詢、技術(shù)支持熱線。當(dāng)客戶遭遇突發(fā)安全事件而無法自行處理時，客戶可與專業(yè)安全工程師直接溝通。專業(yè)安全工程師將遠程協(xié)助客戶進行安全加固，解決安全故障，提供應(yīng)急咨詢、處理跟蹤等安全響應(yīng)服務(wù)。

7. 自助服務(wù) 平臺將向客戶提供基于WEB 的自助系統(tǒng)，通過自助界面客戶可以了解當(dāng)前被監(jiān)控應(yīng)用系統(tǒng)捕獲的的應(yīng)用漏洞信息、重要應(yīng)用系統(tǒng)的運行狀態(tài)和網(wǎng)頁訪問效率等，并且可以下載安全月報、安全信息、系統(tǒng)漏洞掃描報告和模擬入侵報告等。 自助系統(tǒng)登陸采用密碼認(rèn)證結(jié)合數(shù)字證書，確保系統(tǒng)的安全性，避免客戶網(wǎng)絡(luò)的敏感數(shù)據(jù)被泄露。 當(dāng)監(jiān)控到網(wǎng)絡(luò)安全威脅、客戶WEB 應(yīng)用系統(tǒng)遭受到SQL 注入攻擊、XSS 跨站攻擊等惡意攻擊事件時，將在自助系統(tǒng)產(chǎn)生實時告警信息。

8. 郵件告警服務(wù)

在自助系統(tǒng)產(chǎn)生實時告警信息時，同步通過郵件向指定電子郵件賬號發(fā)送郵件告警信息。

9. 短信告警服務(wù)

在自助系統(tǒng)產(chǎn)生實時告警信息時，同步通過短信向指定移動終端發(fā)送短信告警信息。

10. 入侵分析及支持

客戶發(fā)生入侵事件時，對事件原因進行分析并且提供恢復(fù)服務(wù)。 11.

12. WEB 應(yīng)用攻擊防護服務(wù) WEB 攻擊實時檢測與阻斷 采用直連透明部署的方式實時檢測和分析針對被保護應(yīng)用系統(tǒng)的訪問數(shù)據(jù)流。 內(nèi)置安全模型，能夠分析異常訪問行為，并采取實時阻斷動作或其他預(yù)知的措施。

內(nèi)置攻擊行為分析引擎，能夠精準(zhǔn)捕獲各類應(yīng)用攻擊行為，并采取實時阻斷動作或其他預(yù)知的措施。

13. 自定義策略

支持開展業(yè)務(wù)訪問行為分析；

支持融合業(yè)務(wù)特性的策略自定義。

14. 安全審計 詳細記錄攻擊特征及攻擊者IP 地址、時間、攻擊對象等信息，方便開展取證及后續(xù)追蹤。

支持業(yè)務(wù)審計，可以有效分析應(yīng)用系統(tǒng)的訪問情況，方便進行針對性的調(diào)整，提高服務(wù)質(zhì)量。

15. 人工滲透測試服務(wù) 提供專業(yè)安全工程師模擬黑客進行攻擊，用于驗證應(yīng)用系統(tǒng)防護體系的健壯性及安全策略的有效性，并且提供針對性極強的加固措施。

數(shù)據(jù)庫安全

1. 數(shù)據(jù)庫安全掃描服務(wù)

掃描發(fā)現(xiàn)數(shù)據(jù)庫不安全配置或者潛在漏洞，具備強大的發(fā)現(xiàn)弱口令及數(shù)據(jù)庫潛藏木馬的功能，保障數(shù)據(jù)庫系統(tǒng)基礎(chǔ)配置的安全水平。

輸出脆弱性檢測報告并提供改進建議。

2. 數(shù)據(jù)庫動態(tài)審計服務(wù)

以獨立硬件審計的工作模式，靈活的審計策略配置，解決核心數(shù)據(jù)庫面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限 盜用”等安全威脅，滿足各類法令法規(guī)對數(shù)據(jù)庫審計的要求。

直接提升數(shù)據(jù)庫和主機運行監(jiān)控的透明度，降低人工審計成本，真正實現(xiàn)數(shù)據(jù)庫全業(yè)務(wù)運行可視化、日常操作可監(jiān)控、危險操作可控制、所有行為可審計、安全事件可追溯。

3. 安全響應(yīng)服務(wù)

為客戶提供全天候的技術(shù)咨詢、技術(shù)支持熱線。當(dāng)客戶遭遇突發(fā)安全事件而無法自行處理時，客戶可與專業(yè)安全工程師直接溝通。專業(yè)安全工程師將遠程協(xié)助客戶進行安全加固，解決安全故障，提供應(yīng)急咨詢、處理跟蹤等安全響應(yīng)服務(wù)。

4. 自助服務(wù)

當(dāng)監(jiān)控到數(shù)據(jù)庫安全威脅、客戶數(shù)據(jù)庫系統(tǒng)遭受到惡意攻擊事件時，將在自助系統(tǒng)產(chǎn)生實時告警信息。

5. 郵件告警服務(wù)

在自助系統(tǒng)產(chǎn)生實時告警信息時，同步通過郵件向指定電子郵件賬號發(fā)送郵件告警信息。

6. 短信告警服務(wù)

在自助系統(tǒng)產(chǎn)生實時告警信息時，同步通過短信向指定移動終端發(fā)送短信告警信息。

業(yè)務(wù)實現(xiàn)

電信行業(yè)IDC 安全增值服務(wù)業(yè)務(wù)實現(xiàn)，如圖：

由圖可知，電信行業(yè)IDC 安全增值服務(wù)運營中心由核心運營平臺云計算中心、客戶服務(wù)支撐系統(tǒng)、專家團隊三大部分組成，電信通過電信行業(yè)IDC 安全增值服務(wù)運營中心實現(xiàn)向IDC 用戶提供安全增值服務(wù)（包括WEB 應(yīng)用漏洞檢測服務(wù)、網(wǎng)頁木馬檢測服務(wù)、網(wǎng)頁篡改監(jiān)測服務(wù)、網(wǎng)頁可用性監(jiān)測服務(wù)、網(wǎng)頁敏感信息監(jiān)測服務(wù)、WEB 應(yīng)用攻擊防護服務(wù)、數(shù)據(jù)庫安全掃描服務(wù)、數(shù)據(jù)庫動態(tài)審計服務(wù)、安全響應(yīng)服務(wù)）。 技術(shù)架構(gòu)

“安恒信息”為電信行業(yè)IDC 安全增值服務(wù)技術(shù)方案設(shè)計示意圖如下：

明御WEB 應(yīng)用防火墻（簡稱：WAF ）是安恒結(jié)合多年應(yīng)用安全的攻防理論和應(yīng)急響應(yīng)實踐經(jīng)驗積累的基礎(chǔ)上自主研發(fā)完成，滿足各類法律法規(guī)如PCI 、等級保護、企業(yè)內(nèi)部控制規(guī)范等要求，以國內(nèi)首創(chuàng)的全透明部署模式全面支持HTTPS ，在提供WEB 應(yīng)用實時深度防御的同時實現(xiàn)WEB 應(yīng)用加速及敏感信息泄露防護，對WEB 應(yīng)用實施全面、深度防御，能夠有效識別、阻止日益盛行的WEB 應(yīng)用惡意攻擊（如SQL 注入、命令注入、盲注、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI 掃描、盜鏈攻擊、惡意掃描、惡意爬蟲、Cookie 注入、CSRF 攻擊、目錄遍歷等等），為Web 應(yīng)用提供全方位的防護解決方案。

明鑒應(yīng)用安全綜合監(jiān)測平臺是一套集成多種技術(shù)，滿足應(yīng)用安全需求的系統(tǒng)，包含有漏洞監(jiān)測、篡改監(jiān)測、可用性監(jiān)測、關(guān)鍵字監(jiān)測等功能。

WEB 漏洞監(jiān)測：定期自動監(jiān)測網(wǎng)站的漏洞，并跟蹤漏洞的修復(fù)情況從而使網(wǎng)站的漏洞得以快速修復(fù)，降低網(wǎng)站被入侵的風(fēng)險。

網(wǎng)頁木馬監(jiān)測：采用特征分析和沙盒行為分析技術(shù)對網(wǎng)站進行木馬監(jiān)測，監(jiān)測精度高達99，從而實現(xiàn)快速、準(zhǔn)確的發(fā)現(xiàn)和定位網(wǎng)頁木馬，確保用戶在第一時間發(fā)現(xiàn)感染的木馬并及時消除。

網(wǎng)頁篡改監(jiān)測：通過遠程定時監(jiān)測技術(shù)，可以有效的監(jiān)測網(wǎng)頁篡改行為，特別是一些越權(quán)篡改、暗鏈篡改等情形。并針對篡改方式提供篡改截圖取證功能，極大的提升了事件處理效率。

網(wǎng)站可用性監(jiān)測：基于遠程監(jiān)測技術(shù)可以有效的監(jiān)測到域名劫持、DNS 中毒、ISP 線路等原因?qū)е碌木W(wǎng)站可用性問題。提供多線路監(jiān)測技術(shù)，使用戶對網(wǎng)站的可用性獲得更為全面詳細的數(shù)據(jù)，如業(yè)務(wù)中斷、訪問延時、不同ISP 服務(wù)質(zhì)量等。

網(wǎng)頁關(guān)鍵字監(jiān)測：采用中文關(guān)鍵詞以及語義分析技術(shù)對網(wǎng)站進行敏感關(guān)鍵字監(jiān)測，實現(xiàn)精確的敏感字識別，確保網(wǎng)站內(nèi)容符合互聯(lián)網(wǎng)相關(guān)規(guī)定，避免出現(xiàn)敏感信息以及被監(jiān)管部門封殺。

明御數(shù)據(jù)庫審計系統(tǒng)是一種檢測、響應(yīng)、記錄并分析對數(shù)據(jù)庫操作的安全管理設(shè)備。通過部署數(shù)據(jù)庫審計能夠?qū)崿F(xiàn)：

? ? ? ? ?

對數(shù)據(jù)庫的對象（包括用戶（數(shù)據(jù)庫）、表、字段、視圖、索引、存儲過程、包等）進行審計規(guī)

則定制；

制定細粒度的審計規(guī)則，如精細到表、字段、具體報文內(nèi)容的細粒度審計規(guī)則，實現(xiàn)對敏感信息

的精細監(jiān)控；

基于IP 地址、MAC 地址和端口號審計；

根據(jù)SQL 執(zhí)行時間長短、根據(jù)SQL 執(zhí)行回應(yīng)以及具體報文內(nèi)容等設(shè)定規(guī)則等。

通過三層審計更精確地定位事件發(fā)生前后所有層面的訪問及操作請求，可以追溯到應(yīng)用層的原始

訪問者及請求信息（如：操作發(fā)生的URL 、客戶端的IP 等信息），產(chǎn)品主要根據(jù)時間片、關(guān)鍵字等要素進行信息篩選，以確定符合數(shù)據(jù)庫操作請求的WEB 訪問。

? ?

實現(xiàn)事先掃描評估＋事中防護＋事后追溯的全面安全解決方案。 全面滿足電信行業(yè)相關(guān)安全要求和業(yè)務(wù)自身安全需求。

?

?

?

?

?

?

? 公安部、浙江省信息安全等級保護專用應(yīng)用安全測評工具。 國內(nèi)首創(chuàng)的全透明部署WAF ，全面支持HPPTS 和應(yīng)用加速。 業(yè)界領(lǐng)先的WEB 漏洞發(fā)現(xiàn)功能，以及獨有的取證式、被動掃描和木馬檢測功能。 提供低廉、一體化的安全增值服務(wù)，通過建立電信行業(yè)增值運營平臺和安全團隊實現(xiàn)電信行業(yè)IDC 信息安全的防護。 一支專業(yè)的安全團隊全候天的支持服務(wù)，提供現(xiàn)場技術(shù)支持和服務(wù)。 實現(xiàn)安全產(chǎn)品、安全團隊、安全服務(wù)相結(jié)合的全方位實施安全防護。 安恒在信息安全領(lǐng)域擁有一支強大技術(shù)實力和攻防經(jīng)驗的專家和研發(fā)團隊。 公司的主要創(chuàng)始人都是國際知名的WEB

應(yīng)用與數(shù)據(jù)庫安全專家，對信息安全技術(shù)研究極具創(chuàng)新能力。 范淵：杭州安恒信息技術(shù)有限公司CEO&CTO，畢業(yè)于美國加州州立大學(xué)，計算機科學(xué)碩士。國際著名安全公司十多年的技術(shù)研發(fā)和項目管理經(jīng)驗。對在線安全，數(shù)據(jù)庫安全和審計，Compliance （如

SOX,PCI,ISO17799/27001）有極其深刻的研究。由于他在信息安全領(lǐng)域的技術(shù)創(chuàng)新的成功實踐，成為第一個登上全球頂級安全大會BLACKHAT （黑帽子）大會進行演講的中國人。目前擁有CISSP 、CISSA 、GCIH 、GCIA 等證書。

國外案例參考

日本NTT 信息安全增值業(yè)務(wù)的開展

NTT 是日本最大的電信運營商，NTT Data是其數(shù)據(jù)業(yè)務(wù)公司，目前擁有2700萬用戶。在其主營業(yè)務(wù)中，服務(wù)是主要部分。提供的服務(wù)中，安全服務(wù)占有較高的市場份額。NTT 所提供的安全服務(wù)主要包括定期的安全檢查和安全維護。