需求背景
某市城市商业银行已经实施了初步的安全建设,但还不十分完善,目前单独部署了2台防火墙和单机版防病毒,已不能满足该商业银行业务发展及上级监管部门对信息安全提出的更高要求。
经过漏洞评估,该商业银行发现生产网(包括核心服务器)与互联网的隔离不足,存在大量高危风险漏洞,且被攻击者利用并获得系统控制权限的可能性极大,为了加强信息安全保障,用户决定进行网络安全二期改造。解决方案
安全域调整
划分单独的核心服务器区域,将原来统一部署在生产网核心交换机的应用服务器和数据库服务器等割接至新增的核心服务器交换机,该交换机接入生产网核心交换机,将核心服务器区置于单个VLAN中,同时用VLAN将生产网和办公网实现隔离。
内外网逻辑隔离
在生产网核与互联网之间部署UTM(统一威胁管理)设备,使其工作在透明模式,通过合理配置UTM的访问控制策略可降低无法修补的设备漏洞所造成的威胁,并将使用存在漏洞服务的终端控制在一定的范围内,对其访问行为进行日志记录。
核心服务器保护
该市城市商业银行业务系统均为WEB应用业务,通过之前进行的风险评估,确认这些WEB应用服务器均具有SQL注入漏洞,被攻击的可能性极大,威胁可能来自外部终端和内部终端,需要重点保护,因此需要部署一台可精确阻断SQL注入攻击的防御设备。
通过对多家产品的横向测试,最终该市城市商业银行选择了启明星辰的天清汉马USG一体化安全网关产品作为内外网隔离设备,选择了启明星辰的天清IPS产品作为核心服务器保护设备,具体产品部署方案如下:
案例点评
该方案在建设之初用户对网络进行了全面的风险评估,因此建设具有很强的针对性。来自互联网的威胁包括:网络入侵、病毒传播、非授权访问控制、资源滥用、非法言论传播等,天清汉马USG一体化安全网关具有功能全、性能高、应用简单等特点,适用于城市商业银行的内外网隔离需求。
城市商业银行网络中的核心服务器包含了最重要的业务系统以及数据资源,而针对服务器群的威胁主要是应用层威胁,具体来讲主要是针对WEB业务的应用威胁。目前针对WEB系统破坏力最强的威胁就是SQL注入,通过SQL注入入侵者可以获取WEB应用系统的完整权限,可以任意修改和窃取敏感数据,对城市商业银行来讲彻底屏蔽SQL注入威胁至关重要。而目前可选择的安全产品之中,只有启明星辰的天清IPS因为采用了基于原理的SQL注入检测与阻断技术,可以有效识别并阻断SQL注入攻击,因此城市商业银行选择了天清IPS作为核心服务器保护设备。产品上线后,通过天清IPS日志系统可以看出,有多起SQL注入攻击被成功阻断,用户信息系统的安全性得到了极大的提高。
更多内容请看数字化校园网解决方案、路由安全配置专题、系统安全设置专题,或进入讨论组讨论。
相关专题
- 数字化校园网解决方案 (5698篇文章)
- 路由安全配置专题 (12051篇文章)
- 系统安全设置 (24113篇文章)
- 配置安全的操作系统 (10113篇文章)
- 打造安全服务器 (13532篇文章)
- 大型实用解决方案专题 (5208篇文章)
- 应用解决方案 (5208篇文章)
- 中小型应用解决方案 (5208篇文章)
- 多媒体应用解决方案 (5991篇文章)
- 行业解决方案 (5208篇文章)
- H3C首推企业级802.11n产品 扩大无线解决方案 (26次浏览)
- 在综合组网中如何选择IPv4或IPv6 (19次浏览)
- 解析“系统资源不足”的形成与解决方案 (19次浏览)
- 城市热点助力黑龙江高校校园网建设 (15次浏览)
- 实现高效安全的网络访问控制的解决方案 (15次浏览)
- 隐患从这里开始:中小企业不规范布线案例谈 (10次浏览)
- 北电推出40G光传输解决方案 (10次浏览)
- 企业安全战略与Forefront安全解决方案 (9次浏览)
- 解决南北网络瓶颈的前沿方案详解 (8次浏览)
- 解析系统资源不足形成与解决方案 (8次浏览)
