《业务支撑网纵深安全监控与防护体系研究.ppt》由会员分享,可在线阅读,更多相关《业务支撑网纵深安全监控与防护体系研究.ppt(24页珍藏版)》请在三一办公上搜索。
1、中国移动集团重点/联合研发项目结题汇报报告,项目名称:业务支撑网纵深安全监控与防护体系研究项目编号:,一.开题计划完成情况,目 录,二、主要研究成果(整合后),1.1 研究背景及目标,研究背景 随着黑客技术和攻击手段的不断演变,互联网业务面临着较大的威胁,传统的防火墙和安全防护措施已不能为互联网业务提供有效的安全防护。在传统安全防护的基础上,如何加强业务的安全防护,将是我们关注的重点。北京移动USG已经过三期的建设,已形成了望京和菜市口双中心互为备份的结构,用户流量与业务流量分离,保证了业务系统安全性和稳定性,建设了入侵检测、访问控制等网络层面安全手段。但USG作为业务支撑网的安全网关,应用层
2、面安全防护能力不足。本项目的主要研究内容为业务支撑网纵深安全监控与防护体系研究。研究目标 纵深安全监控与防护体系是在传统安全防护措施的基础上,关注业务应用的安全防护,加强业务抵御应用层攻击的防护能力,提升业务在外来攻击下的安全性和可用性。纵深安全监控与防护体系将通过北京移动USG四期项目实践,印证应用层安全防护的必要性和有效性。将在本期重点关注web应用 防护、网页防篡改的相关手段、独立业务安全防护等安全防护手段。,1.2 主要研究内容及分工1,纵深安全监控与防护体系将重点分析来自不同出口的安全威胁,目标是建立统一接入层,加强中间层的安全防护,再通过统一的安全管理层实现集中监控管理,策略和维护
3、层面与安全管理层有机结合,达到安全防护和安全管理的最佳效果。,1.2 主要研究内容及分工2,USG5x5安全控制矩阵,1.2 主要研究内容及分工3,Web应用防火墙为web业务提供可用性和安全性保障,虚拟防火墙技术实现业务独立安全防护,网页防篡改技术为web业务提供可用性和安全性保障,加强纵深安全监控与防护体系的安全中间层防护能力,为业务的安全性和可靠性提供保障。,USG项目四期主要加强安全中间层的防护能力,为业务提供安全防护和可用性保障。在USG项目中主要的工作内容有:,上网行为管理规范内部人员行为,提升内网安全性,1.2 主要研究内容及分工4,研究过程,北京公司 徐猛负责方案总体设计和项目
4、协调工作,初步思路构想纵深安全监控与防护体系模型形成体系模型与移动业务结合度评估产品选型和测试项目承载确定项目实施与防护效果印证,此次主要加强安全中间层的防护能力,为业务提供安全防护和可用性保障。在USG项目中主要的工作内容有:,1.3 开题计划完成情况总结开题计划执行情况,主要进程:2010年1月 纵深安全防护体系模型建立2010年2月 与多个厂家进行业务安全防护技术研讨2010年3月 厂家安全产品测试2010年4月 确定承载项目,项目立项2010年5月-10月 项目实施2010年10月 项目结束 整体项目进展顺利,项目完成实施,涉及到此次项目的关键产品和相关技术都已在项目中印证。,1.3
5、开题计划完成情况总结研究中的不足,研究中的不足,纵深安全防护体系涉及层面较多,各层面之间通过技术手段有机结合还需进一步完善。,一.开题计划完成情况,目 录,二、主要研究成果(整合后),2.1主要研究成果,2.1主要研究成果纵深安全监控与防护体系,纵深安全监控与防护体系模型形成,更有利于系统和业务的安全防护,符合多项移动相关安全规范,适用于移动业务系统。,2.1主要研究成果USG四期项目内容,通过北京移动USG四期进行对安全理论进行验证,提升业务安全防护能力,主要内容如下:在出口网关处部署应用防火墙,保护互联网业务;部署网页防篡改系统,加强web安全防护,减少黑客恶意攻击给企业带来的影响;将US
6、G防火墙改造为虚拟防火墙,增加安全防护能力;部署上网行为管理系统,实现对网站、不良信息的过滤和监控,提升工作效率,实现带宽管理,避免因互联网访问对业务造成影响;,2.1主要研究成果虚拟化安全防护1,虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。虚拟防火墙的优势:虚拟防火墙一台被攻击,资源耗尽,不会影响其他防火墙和业务系统;降低资金投入,用一台防火墙就可以起到多台防火墙的防护水平;从业务角度来看,一个业务系统一台独立的防火墙来保护,安全策略简洁清晰。从管理维护的角度
7、来说,网络管理员通过对一台防火墙的管理,起到了对多台设备统一管理的目的,大大降低了管理难度,减少了维护的复杂度。,2.1主要研究成果虚拟化安全防护2,方案优势:整个改造过程不涉及服务器线路的调整,只涉及防火墙配置的变更,为减少了改造的复杂度,降低了系统割接的风险;实现业务系统独立安全防护,提升了业务安全防护能力,使访问策略清晰,便于管理;可实现业务单独割接,每次仅影响一个业务,以及该业务相关系统,影响范围可控;改造难点:实现独立安全防护,需要对业务的访问策略和影响程度进行调研,梳理独立业务的访问需求,转发为防火墙访问策略;USG大部分业务实时性、连续性要求较高,且业务系统数量较多,改造周期长;
8、DMZ区域部分系统IP地址需变更,需由业务人员提供详细的系统IP地址改造方案后,共同实施;,2.1主要研究成果web应用安全防护1,传统防火墙允许80端口的正常流量通过防火墙,但是SQL注入、跨站脚本、蠕虫等病毒和攻击,可以通过80端口正常流量进入内部网络,实现对web应用的攻击。传统防火墙的不足之处:无法检测加密的Web流量;普通应用程序加密后,也能轻易躲过防火墙的检测;对于Web应用程序,防范能力不足;应用防护特性,只适用于简单情况;无法扩展带深度检测功能;,2.1主要研究成果web应用安全防护2,Web应用防火墙主要功能:SQL注入攻击防御跨站脚本攻击防御自动建立网站合法访问行为模型对X
9、ML和SOAP的支持对HTTP的协议合法性进行验证参数注入和篡改的防护非法扫描软件的防御Web蠕虫的防御针对利用编码进行攻击规避技术的防御网页盗链攻击防御网站DDoS攻击防御,2.1主要研究成果网页防篡改系统,网页防篡改系统主要功能:网页防篡改系统能够通过实时监控、实时报警和自动恢复等功能为用户Web站点提供实时安全保护,并通过日志实现对网站文件更新过程的全程监控,防止黑客、网络病毒等对网站的网页等文件进行任何形式的破坏或非法修改,从而为网站提供可靠的安全保障。本期部署情况:本期项目将部署网页防篡改系统,对USG的网上营业厅、招聘系统、SIMS系统的web页面进行监控和安全防护。,2.1主要研
10、究成果上网行为管理1,上网行为管理主要功能:上网行为管理将帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。本期部署情况:本期将在望京部署上网行为管理系统,对办公人员的上网行为进行管理。,2.1主要研究成果上网行为管理2,网络带宽得到了有效的管理P2P流控技术,保证带宽;图形化报表,掌握网络带宽使用情况;,避免了法律风险外发信息得到有效控制,IM软件、BBS、论坛等,提升工作效率规范员工工作时间上网行为,减少私人活动;限定网络应用软件使用,,管理方面得到全面提升,保障内网安全实现页面、插件和脚本过滤防御来自外网的DOS攻击和内网的ARP欺骗,从实用效果来看,在管理方面得到全面提升,效果显著。规范了员工上网行为、提高了工作效率、有效控制了网络带宽,对业务提供了可靠保障。,2.1主要研究成果标准化情况,2.1主要研究成果其他运营商应用情况,2.1主要研究成果技术发展趋势,24,结束,谢谢大家!,
