项目背景

某集团业务运营支撑系统核心系统主机分布如下图所示:

业务中心业务运营支撑核心系统主机的安全决定了整个业务支持系统是否能够正常运营。随着零日漏洞的迅速发展,现有安全措施不能保障主机安全。主机面临内外部的安全威胁,例如外部黑客攻击、内部用户误操作、第三方人员恶意行为等等。现有技术手段不能防范新的安全威胁和针对新的零日漏洞的攻击,不能防范来自内部或第三方人员的误操作或非法篡改。

项目需求

确保业务运营支撑系统能够安全持续运行,迫切需要保障核心业务主机的安全,通过管理和技术手段结合,实现如下主机安全目标:

•  主机入侵行为检测、发现和告警

•  非授权配置变更告警

•  对外提供服务的主机攻击防护

解决方案

         本项目中,需要新增一台SCSP管理服务器,安装配置SCSP管理服务器后,在业务中心业务运营支撑系统需要进行安全防护的主机服务器上安装SCSP Agent,需要在防火墙上开通主机与SCSP管理服务器之间的TCP443端口的访问。然后通过管理控制台配置和下发入侵检测及防护策略。

SCSP通过连续地监视用户(user)对操作系统和应用所做的任何行为及端口的变化,以及通过监视系统、应用日志以及安全审计,对来自任何地方的针对的破坏、攻击、违背安全策略的操作进行实时的响应,如发出警报、记录有关攻击事件、发SNMP事件陷阱和邮件、恢复被破坏的文件以及执行用户自定义操作等。

    建议在业务中心业务运营支撑系统中核心系统主机上安装部署主机安全产品的代理程序SCSP agent,方案部署示意图如下:

业务运营支撑核心系统主机上安装SCSP Agent,安装完成后无需重启,要求主机上有100MB的可用空间。

如主机和管理服务器之间有访问控制策略,务必开通主机和SCSP管理服务器的TCP 443端口的互相访问通讯。

该解决方案所含系列产品如下:

该方案采用Symantec Critical System Protection入侵检测解决方案(简称“SCSP”)

SCSP是最有效的服务器防护对策之一,该解决方案专门设计用于保护并监控服务器操作系统和应用程序。SCSP集关键技术于一身,可以保护并监控主机服务器环境。该解决方案主要提供了以下 5 方面的保护:

•  审计监控

•  漏洞利用防御

•  系统配置防护

•  安全入侵事件监控

•  实时警报和日志文件整合