防"脱"库解决方案—建防信息泄露的城墙

本文讲的是防"脱"库解决方案—建防信息泄露的城墙,近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议。针对此类大规模数据泄密事件,安恒信息专家团队特别制作相关解决方案,敬请大家关注。本文紧接《数据安全防“脱库”解决方案——防信息泄密的建设思路》,详细内容如下:

  构建防信息泄露的城墙

  安全服务与安全产品是相辅相成的,两者如砖头和水泥的关系,一方面,脱离服务的安全产品无法发挥其固有的能力,另一方面,脱离产品的服务效率低下、成本过高。因此,安恒提出“产品服务化、服务产品化”的理念,以优秀的产品、满意的服务为客户网络安全提供保证。

  防泄密涉及网络安全、主机安全、运维安全等方方面面,建设应用安全体系是解决防泄密问题的核心所在。本方案中通过WEB应用层面、数据库层面、运维操作层面进行技术防范,降低泄密事件的风险。并针对现有系统提出了“事前+事中+事后”的安全防护方法。安恒公司依据多年的应用与数据库安全经验,拥有自己独到的针对信息与网络安全和信息与网络安全服务的方法论,来建设应用安全体系:


  一、加强系统安全体系建设,减少从系统层发生信息泄密的发生:

  通过对系统层的安全风险评估,发现系统安全层面存在的安全隐患及问题,并进行安全加固;

  通过部署相应的网络防火墙进行合理的访问控制及安全域划分;

  建立运维审计系统将远程运维进行安全审计,通过三个方面的建设加强系统安全体系建设。

  二、建设应用安全体系,提高应用层抗攻击能力,降低信息泄密造成影响:

  通过对应用层的安全风险评估,发现应用安全层面存在的安全隐患及问题,并进行安全加固;

  建立事前预警机制,建设WEB应用安全检测系统和数据库安全检测系统,对已有业务系统及数据库进行安全检查,减少信息泄密的发生;

  建立事中防护体系,建设WEB应用防火墙,提高WEB应用系统的抗风险能力;

  建立事后追溯手段,建设应用与数据库安全审计系统,提高系统运行的透明度,对用户访问及数据库操作行为进行安全审计。

  三、提升信息安全管理水平,加强管理制度建,辅以安全培训及应急响应:

  建立应急响应机制,通过安恒专业的安全服务团队对发生的安全事件进行专业分析与服务,帮助用户快速地对安全事件进行响应;

  建立安全培训体系,通过定期专业安全培训提升企业的技术人员安全管理实力。

  通过管理制度建设,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

  加强系统安全体系

  上文提到了信息系统系统安全的重要性,据安恒公司的实际调研,大部分的企业都把业务系统及服务器托管至IDC机房,应用服务器和数据库服务器在网络层面和应用层面均没有采取任何的防护措施,所有服务器的安全防护方面属于在“裸奔”状态下运行,应通过建立风险评估机制,充分考虑网络访问控制、安全域划分及运维审计体系等安全管理措施。

  一、 针对系统层安全进行信息系统风险评估与安全加固,并结合已有网络访问控制手段加固访问控制策略;

  二、 建立建全网络访问控制机制及安全域划分,对托管在IDC机房的所有设备进行安全域划分,管理与业务分离、应用与数据分离;

  三、 运维审计,通过对远程运维进行合理有效地监控,提升安全运维的透明度,对运维的操作进行监控审计;

  当前系统层安全管理和网络安全技术已经非常成熟并得到广大安全运维人员的高度认可,因此本文中不再讲述这二个部份的建设内容。系统安全,特别信息安全泄密事件中,有70%以上来自内部,其中包括内部人员的越权访问、滥用、误操作等,以及访问控制不严格、设备自身日志简单、日趋复杂的系统、难以定位实际责任人、用户操作难以审计等因素都可能造成风险。因此,完善的运维审计系统是整个安全体系中不可缺少的组成部分,目前大多数企业对远程操作仍没有特别有效的审计手段,通过运维审计能够有效地监控远程操作协议,如RDP、SSH、TELNET、FTP等,以减少因远程运维而发生的信息泄密的事件。

  运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台方案并且被加固的高性能抗网络攻击设备,具备很强安全防范能力,作为进入内部网络的一个检查点,能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为。

  运维审计应能支持Telnet、SSH、FTP、SFTP、RDP、VNC、X11等协议,支持单点登录、统一账户管理、自定义策略、日志回放、报表等功能,保证内部用户的操作和行为可控、可视、可管理、可跟踪、可审计。系统具备强大的输入输出审计功能,为企事业内部提供完全的审计信息,通过账号管理、身份认证、资源授权、实时监控、操作还原、自定义策略、日志服务等操作增强审计信息的安全性。

  


  1.2建立事前预警机制

  针对现有的业务系统和数据库进行风险评估与安全加固,应用安全评估主要是通过安全漏洞扫描、人工安全检查、渗透测试等方式对业务系统的数据库系统、应用系统、WEB系统的安全性进行评估。

  随着企业应用系统及数据库的不断更新升级,原有漏洞的加固或业务系统新功能的增加,或多或少都可能产生新的漏洞,企业应具备有效地检测预警手段,能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布。通过建立WEB应用安全检测系统和数据库安全检测系统,发现业务系统及数据库的漏洞情况,并对其进行安全加固和升级。

  1.2.1WEB应用系统检测机制

  企业通过建立WEB应用安全检测系统,对更新升级的业务系统进行上线前的检测,及时发现WEB应用的常见技术弱点,拦截因业务系统的更新将漏洞暴露。检测系统本质是一种模拟常见WEB攻击的非破坏性的工具,在WEB应用的开发、测试、运维阶段,经常作为一种事前的安全检查用具,来快速高效地,发现系统可能存在的弱点,系统支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等),协助用户满足等级保护、PCI、内控审计等规范要求。功能如下图所示:

  


  1.2.2数据库检测机制

  企业通过建立数据库安全检测系统,发现业务系统所依靠的核心数据库是否存在安全漏洞,如默认密码、弱口令、不安全的配置等。数据库安全检测系统是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具,主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库,执行前端提交的扫描请求,并将扫描结果返回前端。前端功能是与用户交互,主要功能模块包含:项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行,它们之间一般采用自定义的网络协议通信。功能如下图所示:

  


  1.3建立事中防护体系

  安全的信息系统需要涉及物理层、网络层、应用层、主机层方方面面的安全防御措施,目前企业的尚缺少有力的应用层安全防御措施,应切实建设相应的安全防御措施,提高系统的抗风险能力。当前最为高效的解决方法是在WEB应用前端部署WEB应用防火墙,实现对WEB应用安全防御。本项目中主要的应用系统为WEB应用尚未部署WEB应用防火墙

  安恒信息Web应用防火墙(Web Application Firewall,简称: WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。主要功能是:检测、防御并记录的WEB攻击、应用加速、抗应用层DDOS、防篡改等。它是攻击发生时,提升系统防御能力的主要手段,能够阻挡攻击者对WEB应用程序漏洞的利用,为修复程序漏洞争取时间。在WAF的保护下,也能够提升新业务系统上线的速度。甚至于,保护哪些历史上遗留下来,已经找不到开发者修复漏洞的历史遗留WEB应用系统。它的一个常见部署方式如下:

  


  透明直连模式不需要给WAF配置IP地址,只要将WAF接入业务链路,配置好保护的WEB应用服务器的IP地址及端口,就可以实现对WEB应用业务的安全检测。而部署WAF,不但不会影响业务系统的性能,同时还能够提升应用交付。

  1.4建立事后追溯手段

  企业核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对企业造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。

  安恒信息数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现:

  对数据库的对象(包括用户(数据库)、表、字段、视图、索引、存储过程、包等)进行审计规则定制,

  制定细粒度的审计规则,如精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控;

  基于IP地址、MAC地址和端口号审计;

  根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则等。

  数据库审计系统不仅能够检测、记录与回放攻击者的在任何时间的操作行为,也应当能够展现其已经获取到的信息,让运维和安全人员了解到当前造成的损失。如图所示:


  对于B/S架构的应用系统而言,用户通过WEB应用服务器实现对数据库的访问,传统的数据库审计系统只能审计到WEB 应用服务器的相关信息,无法识别是哪个原始访问者发出的请求。而通过关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息(如:操作发生的URL、客户端的IP等信息),产品主要根据时间片、关键字等要素进行信息筛选,以确定符合数据库操作请求的WEB访问,通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。如图所示:

  


  1.5提升信息安全管理水平

  企业的信息安全管理体系不仅仅做了风险评估、部署了安全产品,就认为信息系统安全了,管理与技术任何一方面存在隐患或漏洞,都可能对企业的业务系统及信息数据造成影响,甚至破坏。我们在防信息泄密的过程中不仅需要加强企业的信息系统安全技术水平,还应在信息安全管理上面进行提升。我们辅以应急响应机制、安全培训体系以及管理制度的建设,以帮助企业在信息系统安全管理方面达到一定的高度,尽可能地避免安全事件的发生,减少对企业形象的影响。

来源:it168网站

原文标题:防"脱"库解决方案—建防信息泄露的城墙

时间: 2024-10-30 00:26:51

防"脱"库解决方案—建防信息泄露的城墙的相关文章

数据安全防"脱库"解决方案信息泄密根源

本文讲的是数据安全防"脱库"解决方案信息泄密根源,近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注.其中涉及到游戏类.社区类.交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议. 注册用户数据作为网站所有者的核心信息资产,涉及到网站及关联信息系统的实质业务,对其保密性的要求强度不言而喻.随着网站及微博实名制规定的陆续出台,如果在实名制的网站出现用户数据泄露事件,将会产生更恶劣的影响

防"脱库"解决方案—防信息泄密建设思路

本文讲的是防"脱库"解决方案-防信息泄密建设思路,近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注.其中涉及到游戏类.社区类.交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议.针对此类大规模数据泄密事件,安恒信息专家团队特别制作相关解决方案,敬请大家关注.本文紧接<数据安全防"脱库"解决方案--追溯信息泄密的根源>,详细内容如下: 防信息泄密的建设

源头防堵信息泄露 监管拟全面推行&quot;支付标记化&quot;

支付信息泄露.银行卡遭复制盗刷怎么办?正是这类事故的频频出现,使人们不得不苦苦寻求那些流传于民间的"防盗刷"小技巧.不过,一项名为"支付标记化"的新技术或许将能从源头上堵住信息泄露的"口子". "各商业银行.第三方支付公司今年年底要使用支付标记化技术进行交易数据处理."近日,一位银行内部人士向<每日经济新闻>记者证实,该行已收到了央行近期发布的<关于加强银行卡风险管理的通知>(以下简称<通知>

国家信息安全技术研究中心研发CCSEC数据防泄漏整体解决方案

18日在上海举行的"中国制造业数据安全一体化防护技术论坛"上了解到,我国信息安全的"国家队" --国家信息安全工程技术研究中心网络安全中心将进入快速崛起的企业数据安全市场,目前已自主研发了以磁盘加密技术和自主通信协议为特征的CCSEC数据防泄漏整体解决方案,该中心在推动技术科研成果走向市场化的过程中,还将酝酿数据安全相关国家标准的制定。国防科学技术大学计算机学院副教授任江春博士向记者表示,市场对数据防泄漏技术的关注度从2006年就开始升温。随着网络应用环境的日趋复杂

大家谈:从携程信息泄露 看安防云安全需求

近日,携程信息泄露成为新浪微博的热点话题,自3月22日漏洞报告平台乌云网在其网上公布了一条网络安全漏洞信息,指出携程安全支付日志存在漏洞,可导致大量用户银行卡信息泄露.引发了用户对网络个人信息安全的关注,而对于我们安防行业呢,云安全需求日渐长,大家是如何看待这个问题的?下面是各位网友大神.行业专家.企业管理者对于此事件发表的言论: 3月6日举行的2014中国通信行业云计算峰会上,工信部电信研究院副院长刘多曾表示:"云计算正在走向成熟,2013年中国公共云服务的市场规模达到了47.6亿元人民币,预

量子传输离咱并不远 防信息泄露银行用上量子通信

<西游记>中,孙悟空一个"筋斗云"就能越过十万八千里.数百年后,科学家已经让"筋斗云"变成现实-- -利用量子通讯,将物质的未知量子态精确传送到遥远地点,像"筋斗云"一样瞬间传输. 这项被称为下一个科技拐点的量子技术,是目前已知的最安全的通信技术.如何保障在传输过程中不被窃听或截取呢?济南量子技术研究院院长助理周飞博士说,在物理学中常用到量子的概念,是指一个不可分割的基本个体,它不同于分子.原子.例如,"光量子"是

厉害了黑科技,动态安全下的防拖库原来可以这么简单!

[51CTO.com原创稿件]9月28日,中国高校数据泄密违法处罚第一案诞生--国家网络与信息安全信息通报中心通报:淮南职业技术学院系统存在高危漏洞,系统存储的4353余名学生身份信息已经造成泄露.据悉,该校招生信息管理系统存在越权漏洞.后台登录密码弱口令.重要数据无备份.无加密等多处疏漏,被犯罪分子通过拖库.刷库等不法攻击行为窃取机密数据. 这是中国高校第一案,但绝对不会是最后一案.安全分析机构Risk Based Security(RBS)发布的年中报告也佐证了这一点:截至2017年6月,全

ASP防注入之解决方案--加强版

防注入|解决 <% 'ASP防注入之解决方案'特殊页面处理'因为有些页通过流式传递(比如含有文件上传的表单)'如果单一使用穷举Form对象的操作就会出错'所以要把这些页面过滤出来,同时在页面中使用sql("检测的字串")才行'垃圾猪zero@new57.com'http://blog.csdn.net/cfaq '将本页用include方法放在头部以让所有页都可以调用,比如include在conn.asp里'如果有流式上传的页面请把该页加到表page中,以防form冲突 Dim

霸王广告涉嫌虚假宣传中药世家防脱遭质疑

霸王集团老总陈启源 中国网6月7日讯(记者 姚毅婧)近日,有消费者向中国网财经中心反映称其坚持使用霸王洗发水两年,并未感受到任何防脱发的效果.记者注意到,此前就有媒体报道"霸王中药概念真与假",对其"中药世家"的名头是否合理提出质疑.北京市力珉律师事务所执业律师麻增伟接受记者采访时表示,目前关于"中药世家"之类的称号,法律对其评定标准和程序并没有特别的规定,具有很大的随意性和不科学性:此外,他还指出,霸王广告涉嫌虚假宣传. 消费者质疑霸王防脱发功