1、.業(yè)務(wù)系統(tǒng)應(yīng)用安全加固方案需求及挑戰(zhàn)互聯(lián)網(wǎng)的飛速發(fā)展，外部網(wǎng)絡(luò)安全日趨嚴(yán)重，面對業(yè)務(wù)系統(tǒng)的信息安全攻擊逐漸從網(wǎng)絡(luò)層向應(yīng)用層和系統(tǒng)層遷移。各類新型的黑客技術(shù)手段、計(jì)算機(jī)病毒、系統(tǒng)漏洞、應(yīng)用程序漏洞以及網(wǎng)絡(luò)中的不規(guī)范操作對單位業(yè)務(wù)系統(tǒng)均有可能造成嚴(yán)重的威脅。在給內(nèi)、外網(wǎng)用戶提供優(yōu)質(zhì)服務(wù)的同時(shí)，也面臨著各類的應(yīng)用安全風(fēng)險(xiǎn)，為了加強(qiáng)業(yè)務(wù)系統(tǒng)的防護(hù)能力，提高業(yè)務(wù)系統(tǒng)安全性，并且滿足等保三級的要求，我單位將啟動(dòng)XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固的安全建設(shè)。我單位XX業(yè)務(wù)系統(tǒng)是整個(gè)業(yè)務(wù)的支撐，應(yīng)對業(yè)務(wù)系統(tǒng)進(jìn)行重點(diǎn)防護(hù)，如果業(yè)務(wù)系統(tǒng)的訪問行為控制不利，非授權(quán)用戶可能竊取機(jī)密數(shù)據(jù)、刪除和修改業(yè)務(wù)數(shù)據(jù)、甚至植入病毒，引起系

2、統(tǒng)中斷服務(wù)或癱瘓。如果不對日益猖獗的病毒問題進(jìn)行防御，有可能從外部或內(nèi)部其他區(qū)域引入病毒，影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。垃圾郵件的泛濫將阻礙業(yè)務(wù)的正常開展，同時(shí)可能引入注入病毒、木馬、釣魚攻擊等眾多的安全風(fēng)險(xiǎn)。最后，操作系統(tǒng)漏洞、業(yè)務(wù)系統(tǒng)漏洞、應(yīng)用軟件漏洞不斷被發(fā)現(xiàn)，如果不重視業(yè)務(wù)系統(tǒng)日常的安全運(yùn)維，業(yè)務(wù)系統(tǒng)將可能由于安全漏洞的發(fā)現(xiàn)、由于缺乏及時(shí)的響應(yīng)，而引入風(fēng)險(xiǎn)、造成破壞。本次規(guī)劃內(nèi)容主要涉及針對業(yè)務(wù)系統(tǒng)的應(yīng)用安全加固的內(nèi)容。通過對該業(yè)務(wù)系統(tǒng)目前的安全狀況以及建設(shè)目標(biāo)分析，XX業(yè)務(wù)系統(tǒng)目前還存在以下幾個(gè)方面的問題：1、業(yè)務(wù)系統(tǒng)與內(nèi)外網(wǎng)對接沒有實(shí)現(xiàn)有效的邊界訪問控制，無法界定用戶訪問是否為合法請求；

3、2、對于流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有有效的流量清洗的能力，無法識別流量是正常的訪問請求還是DOS/DDOS拒絕服務(wù)類的攻擊；3、對于夾雜在數(shù)據(jù)流中的病毒、木馬、蠕蟲沒有良好的檢測能力，很難避免在業(yè)務(wù)交互過程中由于數(shù)據(jù)中包含病毒、木馬、蠕蟲等威脅對業(yè)務(wù)系統(tǒng)造成的危害；4、服務(wù)器系統(tǒng)底層漏洞攻擊防護(hù)僅依靠時(shí)效性不強(qiáng)的手動(dòng)補(bǔ)丁更新，缺乏有效的防護(hù)手段，尤其缺乏零日漏洞攻擊的防護(hù)能力；5、流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有應(yīng)用層攻擊（如web攻擊）的檢測能力，難以保證業(yè)務(wù)系統(tǒng)Web應(yīng)用程序以及后臺數(shù)據(jù)庫不被攻擊；深信服解決方案從本次網(wǎng)絡(luò)安全規(guī)劃的主要目的分網(wǎng)絡(luò)層次考慮，利用各種應(yīng)用安全加固技術(shù)和手段應(yīng)用到實(shí)際網(wǎng)絡(luò)環(huán)境中

4、，將業(yè)務(wù)系統(tǒng)建設(shè)成一個(gè)支持各級別用戶或用戶群的縱深安全防御體系，在保證業(yè)務(wù)系統(tǒng)高可用的同時(shí)，保證業(yè)務(wù)系統(tǒng)應(yīng)用安全。1、最大限度的控制網(wǎng)絡(luò)系統(tǒng)，加強(qiáng)邊界訪問控制權(quán)限的建立，降低安全風(fēng)險(xiǎn)；2、通過開啟下一代防火墻實(shí)時(shí)漏洞分析功能，7*24小時(shí)檢測漏洞情況，幫助消除網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)本身存在的大量弱點(diǎn)漏洞和認(rèn)為操作或配置產(chǎn)生的與安全策略相違背的系統(tǒng)配置，減少入侵者成功入侵的可能；3、通過開啟下一代防火墻入侵防御子系統(tǒng)功能，加強(qiáng)網(wǎng)絡(luò)系統(tǒng)入侵行為的檢測和防御能力，有效阻止來自外部的攻擊行為，同時(shí)也防止來自內(nèi)部的違規(guī)操作行為；4、通過加固手段切實(shí)提高操作系統(tǒng)的安全級別，保證系統(tǒng)安全；5、通過開啟

5、下一代防火墻Web應(yīng)用防護(hù)功能，針對業(yè)務(wù)系統(tǒng)本身可能面臨的應(yīng)用安全風(fēng)險(xiǎn)有針對性的進(jìn)行安全加固，防止應(yīng)用安全威脅危害業(yè)務(wù)系統(tǒng)正常安全使用；6、通過下一代防火墻信息防泄漏功能，增強(qiáng)事后防御的措施，控制、保障業(yè)務(wù)系統(tǒng)內(nèi)部的敏感信息、保密信息、涉密信息在網(wǎng)絡(luò)協(xié)議中傳輸，針對業(yè)務(wù)系統(tǒng)本身制定嚴(yán)格的合規(guī)性策略，控制不法份子繞過防御體系進(jìn)行信息竊取的行為；7、通過下一代防火墻網(wǎng)頁防篡改功能，加強(qiáng)業(yè)務(wù)系統(tǒng)被非法修改的能力，實(shí)現(xiàn)防止業(yè)務(wù)系統(tǒng)web界面被非法修改的根本目的。方案價(jià)值通過XX業(yè)務(wù)系統(tǒng)應(yīng)用安全加固改造，可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器的邏輯隔離，防止來自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴(kuò)散。通過應(yīng)用安全加固改造，從攻擊源頭上幫助我單位防護(hù)導(dǎo)致業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)內(nèi)業(yè)務(wù)各類網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)層面的安全威脅；通過業(yè)務(wù)系統(tǒng)安全加固改造，可切實(shí)解決攻擊被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息泄露的問題，實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。產(chǎn)品選型序號設(shè)備名稱描述數(shù)量1下一代防火墻型號：深信服下一代防火墻AF-XXXX1入侵防御子系統(tǒng)深信服下一代防火墻-入侵防御子系統(tǒng)模塊授權(quán)1WEB安全防護(hù)子系統(tǒng)深信