需求背景

某市城市商業(yè)銀行已經(jīng)實(shí)施了初步的安全建設(shè)，但還不十分完善，目前單獨(dú)部署了2臺(tái)防火墻和單機(jī)版防病毒，已不能滿足該商業(yè)銀行業(yè)務(wù)發(fā)展及上級(jí)監(jiān)管部門對(duì)信息安全提出的更高要求。經(jīng)過(guò)漏洞評(píng)估，該商業(yè)銀行發(fā)現(xiàn)生產(chǎn)網(wǎng)（包括核心服務(wù)器）與互聯(lián)網(wǎng)的隔離不足，存在大量高危風(fēng)險(xiǎn)漏洞，且被攻擊者利用并獲得系統(tǒng)控制權(quán)限的可能性極大，為了加強(qiáng)信息安全保障，用戶決定進(jìn)行網(wǎng)絡(luò)安全二期改造。

解決方案

根據(jù)已經(jīng)實(shí)施的風(fēng)險(xiǎn)評(píng)估，確認(rèn)當(dāng)前較為緊迫的安全需求包括：

安全域調(diào)整

劃分單獨(dú)的核心服務(wù)器區(qū)域，將原來(lái)統(tǒng)一部署在生產(chǎn)網(wǎng)核心交換機(jī)的應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等割接至新增的核心服務(wù)器交換機(jī)，該交換機(jī)接入生產(chǎn)網(wǎng)核心交換機(jī)，將核心服務(wù)器區(qū)置于單個(gè)VLAN中，同時(shí)用VLAN將生產(chǎn)網(wǎng)和辦公網(wǎng)實(shí)現(xiàn)隔離。

內(nèi)外網(wǎng)邏輯隔離

在生產(chǎn)網(wǎng)核與互聯(lián)網(wǎng)之間部署UTM（統(tǒng)一威脅管理）設(shè)備，使其工作在透明模式，通過(guò)合理配置UTM的訪問(wèn)控制策略可降低無(wú)法修補(bǔ)的設(shè)備漏洞所造成的威脅，并將使用存在漏洞服務(wù)的終端控制在一定的范圍內(nèi)，對(duì)其訪問(wèn)行為進(jìn)行日志記錄。

核心服務(wù)器保護(hù)

該市城市商業(yè)銀行業(yè)務(wù)系統(tǒng)均為WEB應(yīng)用業(yè)務(wù)，通過(guò)之前進(jìn)行的風(fēng)險(xiǎn)評(píng)估，確認(rèn)這些WEB應(yīng)用服務(wù)器均具有SQL注入漏洞，被攻擊的可能性極大，威脅可能來(lái)自外部終端和內(nèi)部終端，需要重點(diǎn)保護(hù)，因此需要部署一臺(tái)可精確阻斷SQL注入攻擊的防御設(shè)備。

通過(guò)對(duì)多家產(chǎn)品的橫向測(cè)試，最終該市城市商業(yè)銀行選擇了啟明星辰的天清漢馬USG一體化安全網(wǎng)關(guān)產(chǎn)品作為內(nèi)外網(wǎng)隔離設(shè)備，選擇了啟明星辰的天清IPS產(chǎn)品作為核心服務(wù)器保護(hù)設(shè)備，具體產(chǎn)品部署方案如下：

案例點(diǎn)評(píng)

該方案在建設(shè)之初用戶對(duì)網(wǎng)絡(luò)進(jìn)行了全面的風(fēng)險(xiǎn)評(píng)估，因此建設(shè)具有很強(qiáng)的針對(duì)性。來(lái)自互聯(lián)網(wǎng)的威脅包括：網(wǎng)絡(luò)入侵、病毒傳播、非授權(quán)訪問(wèn)控制、資源濫用、非法言論傳播等，天清漢馬USG一體化安全網(wǎng)關(guān)具有功能全、性能高、應(yīng)用簡(jiǎn)單等特點(diǎn)，適用于城市商業(yè)銀行的內(nèi)外網(wǎng)隔離需求。

城市商業(yè)銀行網(wǎng)絡(luò)中的核心服務(wù)器包含了最重要的業(yè)務(wù)系統(tǒng)以及數(shù)據(jù)資源，而針對(duì)服務(wù)器群的威脅主要是應(yīng)用層威脅，具體來(lái)講主要是針對(duì)WEB業(yè)務(wù)的應(yīng)用威脅。目前針對(duì)WEB系統(tǒng)破壞力最強(qiáng)的威脅就是SQL注入，通過(guò)SQL注入入侵者可以獲取WEB應(yīng)用系統(tǒng)的完整權(quán)限，可以任意修改和竊取敏感數(shù)據(jù)，對(duì)城市商業(yè)銀行來(lái)講徹底屏蔽SQL注入威脅至關(guān)重要。而目前可選擇的安全產(chǎn)品之中，只有啟明星辰的天清IPS因?yàn)椴捎昧嘶谠淼腟QL注入檢測(cè)與阻斷技術(shù)，可以有效識(shí)別并阻斷SQL注入攻擊，因此城市商業(yè)銀行選擇了天清IPS作為核心服務(wù)器保護(hù)設(shè)備。產(chǎn)品上線后，通過(guò)天清IPS日志系統(tǒng)可以看出，有多起SQL注入攻擊被成功阻斷，用戶信息系統(tǒng)的安全性得到了極大的提高。