摘要:伴随着运营商业务的不断拓展,网上营业厅、在线支付系统也蓬勃发展起来,现有的支付系统不仅承担者运营商自营网上商城的支付业务,也承载着其他合作商城的支付业务。业务的需求驱动信息化的发展,信息化服务的核心目标是业务。信息安全是信息化的重要组成部分,信息安全应该紧紧围绕业务这个核心,为业务的安全提供服务和保障。分析某运营的安全风险应该从业务安全出发,应用现有的安全技术,来实现对业务的有效保障。针对运营商业务特点和需求分析,网御星云推出了的基于VSP操作系统、MIPS多核架构的入侵防护产品解决方案。
一、 背景与需求
伴随着运营商业务的不断拓展,网上营业厅、在线支付系统也蓬勃发展起来,现有的支付系统不仅承担者运营商自营网上商城的支付业务,也承载着其他合作商城的支付业务,同时支付业务需要和银行、合作伙伴等网络进行互通实现用户消费活动费用的结算。
业务的需求驱动信息化的发展,信息化服务的核心目标是业务。信息安全是信息化的重要组成部分,信息安全应该紧紧围绕业务这个核心,为业务的安全提供服务和保障。分析某运营的安全风险应该从业务安全出发,应用现有的安全技术,来实现对业务的有效保障。
多种多样的在线支付服务器中承载各种数据库、中间件、客户信息等核心资源。无论是从支付系统自身的安全考虑,还是从国家标准中对非金融机构安全性要求,或是从等级保护的角度考虑,对于支付系统来说,网络的安全性问题都是至关重要的。
某运营商支付系统已在网络边界处部署了防火墙设备,通过对进、出网络的流量进行安全过滤来实现对核心服务器区域的安全防护。防火墙产品只能提供基于网络层的安全防护,而现实网络中的攻击行为已从传统意义的网络层、传输层的攻击,发展到更为隐蔽的应用层攻击,攻击代码隐藏在应用程序中,传统的防火墙无法对应用层的数据进行分析,攻击行为可轻松的绕过防火墙的检测。
随着运营商业务的发展,所面临的安全威胁也在不断的增加,主要体现在:应用层面的黑客入侵:黑客利用各种漏洞侵入业务系统,劫持主机,盗取重要数据和信息,严重危害业务服务性的安全性。运营商支付系统核心服务器区域中承载着大量的应用层数据和业务信息,一旦遭到网络攻击用户数据、业务数据等信息就有可能被窃取,被破坏,影响业务系统的保密性和完整性。
二、 解决方案
对于支付系统来说,解决安全问题的重中之重是考虑对于核心服务器资源的安全防护。随着网络技术的发展,网络攻击已经从传统意义上的4层攻击行为逐渐演变成向应用层发展的趋势,使用传统的防火墙产品已经不能对网络中的攻击行为进行有效的拦截、阻断;同时由于运营商支付系统拥有庞大的用户群体,覆盖面之广、同时在线的用户数量之多,使其具有大流量、高并发连接等特点,因此对于运营商支付系统而言,安全产品的选择又提出了新的要求。
针对运营商业务特点和需求分析,网御星云推出了的基于VSP操作系统、MIPS多核架构的入侵防护设备。首先,网御MIPS多核架构入侵防护系统具备全面深入的协议分析、协议识别、协议异常检测、关联分析等多种技术手段的主动防御功能可为用户提供针对应用层入侵行为的检测和分析功能;其次,由于系统采用MIPS多核架构,使其具有高吞吐、高并发、高新建连接数等性能优势;同时,为了能够更加适应运营商网络的发展要求,网御多核入侵防护系统具有基于IPV6网络环境攻击检测的能力。
▲
安全产品部署
针对运营商支付系统中存在安全威胁,我们建议在支付系统边界防火墙和核心交换机之前部署网御入侵防御系统,对应用层攻击、异常流量攻击等行为进行有效防御。
部署产品 | 部署位置 | 部署作用 |
网御多核IPS产品2台 | 边界防火墙与核心交换机之间 | 针对业务系统的应用层攻击、异常流量攻击等行为进行有效防御 |
部署产品部署位置部署作用
网御多核IPS产品2台边界防火墙与核心交换机之间针对业务系统的应用层攻击、异常流量攻击等行为进行有效防御
三、 实施效果
运营商各业务系统容易受到互联网的非法攻击和入侵,除了会造成访问效率下降、网络拥堵等状况,还会造成系统核心信息外泄。采用主动式入侵防御系统则可以利用高可靠识别攻击,精确判断入侵及攻击行为并作出相应的反应来解决客户遇到的上述问题。
从目前系统实际部署情况来看,该方案较高提升了运营商业务系统的安全威胁入侵护御等级,从而保障内部关键业务和关键数据的信息安全。将整个业务网的网络边界筑起了一道坚实的安全壁垒,把原来让安全运维人员所担心的各种恶意攻击拒之网外,为业务系统网络的正常应用提供了一个安全、可靠的运营环境。
四、 特色描述
u 多核架构、性能高效
网御是国内最早推出基于MIPS多核架构安全产品的安全厂商,网御多核安全产品可为运营商用户的网络安全建设提供稳定支撑。
网御多核安全产品采用了自主研发的专用安全软件平台——VSP(Versatile Security Platform)通用安全平台。该平台参照国际标准,基于先进的体系结构设计,集实时操作系统、网络处理、安全应用等技术于一身,具有高效、智能、安全、健壮、易扩展等特点,是网御网关类产品所用的通用平台。
网御多核安全产品采用基于高性能的MIPS多核架构(即一颗芯片上集成多颗CPU处理器),为了实现多种安全功能的高性能,网御设计出业内领先的WindRunner矩阵式并行处理技术。WindRunner将多颗CPU排成矩阵,在对网络数据流进行策略匹配、抗攻击、内容过滤、加解密、QOS、日志等多项业务处理时,采用并行计算和流水线两个维度进行并行处理,确保了安全的前提下的高性能处理。单块业务板最高处理性能可达到10Gbps吞吐速率和每秒10万的新建连接速率。
u 支持基于IPV6网络环境的攻击检测
网御多核安全产品是国内安全厂商中最早支持基于IPV6网络环境的攻击检测,网御多核入侵防护系统可支持各种IPv6 网络环境中的安全检测与防御功能。包括:支持IPv4/v6 双协议栈网络地址解析;支持针对 IPv6 网络中的数据包解析、碎片包重组等完整性检查; 支持4-over-6 双向通道检查、支持IPv6 碎片表头解碼、支持IPv6 路由检查、支持IPv6 碎片重组、支持IPv6 表头完整性检查等。
u 种类丰富的攻击事件库
网御攻防实验室利用自身的研究成果,维护着网御数千条攻击事件库、千万级的恶意URL链接库、数百种应用特征库,可为运营商用户提供有力的技术支撑。
网御已经正式加入微软安全响应中心(Microsoft Security Response Center)发起的MAPP(Microsoft Active Protection Program)计划,作为该计划成员,网御可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。
网御已经正式加入云安全联盟(CSA--- Cloud Security Alliance),并成为云安全联盟合作伙伴。网御提出的主动云防御技术,可实现攻击事件库的动态更新以及安全策略的动态调整,有效地降低误报率。
网御攻防实验室发现的安全漏洞也被国家漏洞库、国际CVE等权威机构收录。
网御星云公司在信息安全领域拥有众多核心技术,先后申请发明专利近40项,软件著作权近30项。主营业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理等方面。主要产品包括防火墙、UTM、IPSec VPN、防病毒网关、IPS、SSL VPN安全接入网关、web应用安全防护系统、安全数据交换、IDS、异常流量管理、流量优化网关、安全审计、安全管理共计13大类500余款产品,其中包括网络安全旗舰产品金刚万兆安全网关和应用安全旗舰产品SSL VPN,是国内信息安全产品线最为丰富的企业。敬请
