病毒防护
通过部署企业防病毒系统,使您远离病毒侵扰。
一、需求背景
随着互联网的飞速发展,网络安全日趋严重,面对业务系统的信息安全攻击逐渐从网络层向应用层和系统层迁移。各类新型的黑客技术手段、计算机病毒、系统漏洞、应用程序漏洞以及网络中的不规范操作对业务系统均有可能造成严重的威胁。在给内、外网用户提供优质服务的同时,也面临着各类的应用安全风险,为了加强业务系统的防护能力,提高业务系统安全性,并且满足等保三级的要求,相关企业都已经针对业务系统应用实施了安全加固的安全建设。
二、现状
企业的业务系统是公司正常开展工作的支撑,应对业务系统进行重点防护,如果业务系统的访问行为控制不利,非授权用户可能窃取机密数据、删除和修改业务数据、甚至植入病毒,引起系统中断服务或瘫痪。同时,如果不对日益猖獗的病毒问题进行防御,有可能从外部或内部其他区域引入病毒,影响业务系统的正常运行。同时,垃圾邮件的泛滥将阻碍业务的正常开展,同时可能引入注入病毒、木马、钓鱼攻击等众多的安全风险。最后,操作系统漏洞、业务系统漏洞、应用软件漏洞不断被发现,如果不重视业务系统日常的安全运维,业务系统将可能由于安全漏洞的发现、由于缺乏及时的响应,而引入风险、造成破坏。
目前企业业务系统存在以下几个方面的问题:
1、业务系统与内外网对接没有实现有效的边界访问控制,无法界定用户访问是否为合法请求;
2、对于流经业务系统的数据没有有效的流量清洗的能力,无法识别流量是正常的访问请求还是DOS/DDOS拒绝服务类的攻击;
3、对于夹杂在数据流中的病毒、木马、蠕虫没有良好的检测能力,很难避免在业务交互.过程中由于数据中包含病毒、木马、蠕虫等威胁对业务系统造成的危害;
4、服务器系统底层漏洞攻击防护仅依靠时效性不强的手动补丁更新,缺乏有效的防护手段,尤其缺乏零日漏洞攻击的防护能力;
5、流经业务系统的数据没有应用层攻击〈如web攻击)的检测能力,难以保证业务系统Web应用程序以及后台数据库不被攻击;
上述风险可能导致的风险评估:
1、业务系统篡改问题
业务系统的架构是B/S架构,大量的web应用可能存在被攻击的风险。业务系统的篡改是指攻击者利用Web应用程序漏洞将正常的网页替换为攻击者提供的网页/文字/图片等内容。一般来说篡改的问题对计算机系统本身不会产生直接的影响,但对于业务系统,需要与用户通过业务系统进行沟通的应用而言,就意味着业务系统的服务将被迫停止服务,对单位形象及信誉会造成严重的损害。
2、业务系统挂马问题
业务系统网页被挂马也是利用Web攻击造成的一种网页篡改的安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏了业务系统的完整性。挂马会导致Web业务的最终用户成为受害者,成为攻击者的帮凶或者造成自身的损失。这种问题出现在业务系统中也严重影响业务的正常运作并影响到单位的公信度。
3、无法响应正常服务的问题
黑客通过网络层DOS/DDOS拒绝服务攻击使业务系统无法响应正常请求。这种攻击行为使得服务器充斥大量要求回复的信息,严重消耗网络系统资源,导致业务系统无法响应正常的服务请求。对于业务系统可用性而言是巨大的威胁。
4、业务系统服务器被控制
黑客通过系统漏洞攻击、应用程序漏洞攻击可以使造成缓冲区溢出等安全问题,通过这些问题可以使得黑客可以肆意的在出现溢出的过程中添加具有权限获取能力的代码,并通过这些手段最终获取业务系统服务器的权限。服务器的系统权限一旦被黑客获取,就意味着黑客可以完全控制业务系统的服务器并为所欲为,其危害不言而喻。
5、敏感信息泄漏问题
这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于业务系统而言是致命的打击,可产生巨大的不良影响。
三、需求分析
从网络安全规划的主要目的分网络层次考虑,利用各种应用安全加固技术和手段应用到实际网络环境中,将业务系统建设成一个支持各级别用户或用户群的纵深安全防御体系,在保证业务系统高可用的同时,保证业务系统应用安全。
1、最大限度的控制网络系统,加强边界访问控制权限的建立,降低安全风险;
2、消除网络系统、操作系统、应用系统本身存在的大量弱点漏洞和认为操作或配置产生的与安全策略相违背的系统配置,减少入侵者成功入侵的可能;
3、加强网络系统入侵行为的检测和防御能力,有效阻止来自外部的攻击行为,同时也防止来自内部的违规操作行为;
4、通过加固手段切实提高操作系统的安全级别,保证系统安全;
5、针对业务系统本身可能面临的应用安全风险有针对性的进行安全加固,防止应用安全威胁危害业务系统正常安全使用;
6、增强事后防御的措施,控制、保障业务系统内部的敏感信息、保密信息、涉密信息在网络协议中传输,针对业务系统本身制定严格的合规性策略,控制不法份子绕过防御体系进行信息窃取的行为;
7、加强业务系统被非法修改的能力,实现防止业务系统web界面被非法修改的根本目的。
四、解决方案
业务系统防病毒保护系统能够主动防御非授权的文件操作,其实是对服务器系统做安全标记、访问控制等多层立体式防护措施,弥补操作系统缺陷。
可以理解为给主机器上一把锁,重新定义操作系统各模块的功能,构建独立的身份鉴别体系,在当杀毒软件、防火墙都不起作用时,仍然能对主机进行保护,防止病毒木马入侵,防止核心数据被偷窥、被破坏、被篡改、被偷走!通过防范外部的攻击,预防内部的主动泄密,解决越权访问等异常行为,弥补传统信息安全解决方案在主机层的安全短板,提升操作系统整体的安全保护的能力。同时具备告警功能。
总而言之,业务系统防病毒和杀毒软件是两个完全不同的概念,他们是互补而非替代关系。
业务系统防病毒的核心是加固,主要表现在以下几点:
1、系统加固
将调试好的系统锁定,变成可信系统。
在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。
2、程序加固
采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过,拒绝启动,并且可信程序无法被伪装。
3、文件加固
保护指定类型的文件不被篡改。
4、磁盘加密
创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。
5、数据库加固
第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。
第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连接字符串的IP+端口+账号密码中,追加进程身份识别。
第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库内数据被非法访问,防止数据库表单的危险操作行为。
五、应用场景
1、保护企业的服务器安全。服务器防勒索病毒、木马、矿机、数据篡改等。
2、主机数据防泄密保护。在不影响主机正常运维的前提下,对敏感数据进行加密保护,防止核心数据被窃取或篡改。
3、业务系统主机(含设备内嵌的专业操作系统)最佳状态锁定,通过进程白名单控制减少病毒、非法程序运行数量,大大降低主机的运维工作。
4、磁盘加密,即使服务器被偷走,硬盘被拆走,被保护的数据依然处于加密保护状态。