近几年沈阳市养老保险中心、医保中心、就业局等单位全面推进社会保障信息系统的建设,已经建立起统一的、覆盖全市的“金保”社会保障信息系统,组建沈阳市人力资源和社会保障局,连接沈阳市社会事业保险局、沈阳市劳动就业局、沈阳市医保中心、省人保厅、外联企业以及市内各定点医院、药店等单位,从而实现养老、医疗、工伤、失业、生育五险合一职能。该网络结构非常庞大及复杂,含盖养老保险管理、医疗保险管理、劳动就业等多个业务系统,共有养老保险系统服务器及医疗、就业系统服务器等多台核心服务器。为满足市民用户以及外联大企业用户对就业信息、医保信息、社保信息的查询和录入,沈阳金保信息系统还将提供对互联网的业务出口,方便用户的业务访问。随着辽宁“金保”社会保障业务信息的不断深入和系统的发展要求,关键业务不断增长,内部网络上的应用系统越来越多,这些业务系统的安全问题愈来愈显得突出。因此,迫切需要一款既能主动防范攻击的设备,满足高性能转发,保证正常业务的连续性需求的同时,还要把网络带宽中的攻击流量、网络滥用进行有效的阻隔和管理。
为此,经过详尽深入的了解客户网络环境、遭受的具体攻击行为和具体应用后,天融信提供了入侵防御系统擎天万兆TopIDP:
首先,在和辽宁金保系统的技术管理人员交流过程中,技术人员抱怨经常性的遭受到DOS/DDOS攻击,尤其是在特定公积金、社保业务的查询系统,遭受到CC攻击,主要是体现在对数据业务系统的不断查询,导致系统疲于响应,导致整体反映速度降低,虽然通过技术人员人为地限制服务器的连接数和做了部分的负载设置,但却使得技术人员疲于应付,效果不是很明显。尽管最终被攻击造成影响程度不是很大,但也很大程度影响了业务系统的运行效能。同时,还经常遭受泛洪攻击、扫描和大量的Synflood攻击,导致网络带宽被非法的流量占用。对此,技术人员要求,至少要去能在高峰时间,尤其是在一些特定或者敏感的时间内,需要把非正常的网络流量进行过滤清,或者将异常流量进行统计,确定数据报文的大小范围,例如是否是64字节-128字节范围等进行分门别类的统计,在判断时攻击的时候,还需要将特定的攻击报文进行取证,备作事后分析。
天融信的擎天万兆TopIDP,全面支持DOS/DDOS防御,通过构建统计型攻击模型和异常包攻击模型,可以全面防御SYN flood、ICMP flood、UDP flood、DNS Flood,DHCP flood、Winnuke、TcpScan以及CC等多达几十种DOS/DDOS攻击行为,还可以通过自学习模式,维护人员方便的建立了安全基线,可以及时地针对这些攻击准确预防和阻断,对特定的服务器进行智能防御。尤其在B/S管理界面上,提供了相应的数据报文统计,完全可以一目了然的了解当前网络中数据大小、类型等等,通过形象的图表,把攻击完全可视化展现出来,使得发现问题、解决问题更加方便快捷。
其次,在系统建立初期,技术维护人员发现,经常性的有对业务系统非法探测扫描、同时,还存在大量的网络蠕虫病毒的干扰,这些非法流量在高峰期,可以占整个网络带宽的50%以上,极大影响了系统响应负载,同时,由于业务系统的展现形式是基于Web方式,后台的数据库查询虽然是通过中间件进行了一道隔离访问,却也抵挡不住SQL注入攻击和针对Web服务漏洞弱点攻击。往往在发现数据被篡改以后,需要人工手动把备份的数据进行覆盖恢复,导致系统风险增大。
天融信的擎天万兆TopIDP产品采用了先进的基于目标系统的流重组检测引擎,从根源上彻底阻断了TCP流分段重叠攻击行为。可以对全面防御溢出攻击(BufferOverflow)、 RPC攻击(RPC)、WEBCGI攻击(WebAccess)、拒绝服务(DDOS)、木马(TrojanHorse)、蠕虫(VirusWorm)、扫描(Scan)、HTTP攻击类(HTTP)、系统漏洞类(system)并且拥有11大类超过3500条攻击规则,尤其深度挖掘本地化业务系统的漏洞,形成防御阻断规则后直接应用于TopIDP产品,更有效保护企业信息化资产
然后,辽宁“金保”社会保障信息系统的管理规范要求对网络应用进行细粒度的管控分析。一方面,要在正常的工作时间,禁止工作人员利用工作主机在网上看电影,炒股、玩网络游戏。尤其是,要控制BT和迅雷下载,避免对有效带宽的占用。还需要保证工作之余的时间,利用非工作主机,例如12:00-14:00之间的休息时间,可以接入互连网络。更重要的是,不许文件在互连网络上的上传行为,避免数据泄露。同时,还需要把各个访问地址按照时间段、访问协议、总体流量等进行综合分类排列,便于检查。
天融信的擎天万兆TopIDP产品能够识别包括传统协议、P2P下载、股票交易、即时通讯、流媒体、网络游戏、网络视频等在内的百多种网络应用,并能够详细统计每一种应用的流量、连接数和累积传输字节数,使用户很容易判断网络中的各种带宽滥用行为,对那些采用动态变化服务端口或者使用标准协议端口隐藏传输内容的应用也可以准确识别和控制。TopIDP的智能应用协议识别能力能够有效控制迅雷、BT等应用对网络带宽的占用,并针对这些应用,可以采取包括阻断、限制连接数、限制流量等各种控制手段,确保网络业务通畅,实现精确控制和管理内网用户的上网行为。
最后,根据辽宁“金保”社会保障信息系统的要求,需要对各个业务系统进行安全防护上的逻辑隔离,既要保证防御的整体性,有要保证各业务的独立性,最终,都需要体现在独立的攻击日志报表上。这样,一方面减少维护管理成本,另一方面,又可以全局的对整体系统的安全状态进行把控,便于对各种突发情况进行快捷的响应。
对此,天融信的擎天万兆TopIDP,把用户的各业务系统,通过和运行业务系统的服务器绑定,利用擎天万兆TopIDP虚拟IPS功能,对各个系统进行逻辑上的独立防护和监控,在日志报表上,独立出各自独立的报表,同时,还可以进行自动发送
通过在辽宁“金保”社会保障信息系统中的各个接入点部署了5台擎天万兆TopIDP,有效解决了用户来自网络访问的攻击和控制内部网络的滥用行为,保护业务系统系统的安全运营。
本文来源:ZDNet安全频道 作者:佚名