基于业务场景的立项理由梳理
使用说明 该销售工具从业务场景的角度出发提供了可参考的立项理由,可用于帮助用户在Q4花费剩余预算或在做明年规划预算时提供立项理由的参考。 使用流程 当客户还有剩余预算没有花费完时,可以按照以下流程给用户提供非设备采购型的立项理由和立项报告。 分两种类型的客户:买了NGAF的和没买NGAF的。 买了NGAF的客户如果有剩余预算没有消耗,可以从两个维度进行引导:1、开启收费模块消耗预算;2、参考立项理由覆盖到其他没有NGAF的区域; 没有买NGAF的AC老客户,需要首先确认客户哪些区域是安全重点关注的区域,再确认该区域部署了什么安全设备。 一、 互联网出口场景
a) XX僵尸网络检测 b) XX上网终端安全防护 二、 对外发布业务
a) XX互联网业务系统安全防护 b) XX业务系统敏感信息保护 c) XX网页防篡改项目
d) XX实时安全威胁预警项目 e) XX互联网业务系统防嗅探 三、 广域网
a) XX广域网全网安全监测 b) XX网络边界安全防护 四、 数据中心及业务系统
a) XX等保整改建设
b) XX业务系统应用安全加固 c) XX业务系统安全改造
一. 互联网出口场景 a) XX僵尸网络检测
业务场景 客户有传统防火墙、IPS等传统安全设备,但潜藏的僵尸网络无法进行有效防护 立项理由 根据CN/CERT的报告,僵尸网络是现在安全态势下比较严峻的问题之一。安全防护设备如果不能对终端外发的流量进行合规性的检测,不能检测外发的流量是否连接到恶意服务器、检测终端外发的流量是否异常从而判断内网终端中是否有潜藏的威胁(如木马),就不能防止僵尸网络的情况发生。内网终端如果被黑客控制,可能影响到终端可以访问到的重要的资产,这对于安全防护来说是致命的。并且内网终端被黑客控制并向外发起攻击,也可能引起法律的风险。 立项名称 XX单位互联网出口僵尸网络检测项目 立项效益 通过检测服务器和终端外发流量的异常的特征,来判断外发的流量是否存在威胁,是否成为僵尸网络的一部分,可以解决长期被动利用和新型病毒木马导致的恶意流量外发的问题,可以帮助用户快速定位僵尸网络并清楚僵尸网络的存在,防止重要资产被入侵,防止由于僵尸网络向外发起的攻击导致的法律风险。 参考话术 ? 僵尸主机来说,木马程序在后台悄悄的外发流量,防火墙、IPS不能察觉 ? 果是领导和系统管理员的终端被控制,向外发送敏感信息影响很严重 ? 被控制的僵尸机向外发起攻击,可能导致法律风险 工具索引 ? 《XX互联网出口僵尸网络检测立项建议书》
b) 上网终端安全防护
业务场景 1、互联网出口只有传统防火墙,必须进行应用安全加固; 2、互联网出口部署了NGAF,没有开启IPS、僵尸网络、防病毒等功能; 立项理由 75%的攻击来自于应用层,而传统防火墙只能够进行网络层的访问控制和安全防护,无法抵御应用层攻击。存在应用层短板的互联网出口是存在很大风险的,所以必须进行应用安全加固。可以采用NGAF进行异构,实现应用层安全加固,一方面可以防止应用层的攻击,另一方面可以防止电脑、服务器中了病毒木马向外发起恶意流量。 立项名称 XX单位互联网出口应用安全加固项目 立项效益 可通过部署安全设备提升应用安全风险防护能力,防护75%的攻击,同时可以避免因为成为僵尸网络危害其他单位网络而被问责。 参考话术 ? 互联网出口只有传统防火墙是不够的,大部分攻击来自于应用层 ? 很多病毒木马都是利用应用和系统的漏洞来进行传播的,比如IE极光漏洞、PDF的漏洞、OPENSSL、XP的漏洞(停止更新)可能会导致终端电脑被控制 ? 一方面可以防止应用层的攻击,另一方面可以防止电脑、服务器中了病毒木马向外发起恶意流量从而规避风险 工具索引 《AF_方案模板_通用_互联网出口安全建设方案(AF+AC)V1.0》
二. 对外发布业务
a) XX系统(含网站)安全加固/改造
业务场景 1、系统或者网站开放到互联网上而没有部署waf的客户 2、在网站前购买了NGAF没有开启IPS/Waf模块的客户 立项理由 虽然采用了防火墙进行安全隔离,但基于网络层协议访问控制的ACL规则,却无法隔离Web漏洞的入侵,其本质却无法达到安全隔离的作用。而来自Gartner报告显示,75%的攻来来自于应用层,需要加强XX系统Web安全防护能力。 立项名称 Xx系统(网站)安全加固/改造项目 立项效益 有效的弥补了传统安全解决方案在Web业务安全防护能力的不足,保障对外web系统或网站的安全。保障业务运营连续性、保护个人隐私提升企业声誉、隔离僵尸网络使内网告别危险 参考话术 ? XX系统发布到互联网上存在web安全威胁,Web安全威胁传统安全设备无法防御 ? 传统安全设备难以防范新型的攻击,万一黑客成功获取了服务器的权限,造成信息泄露、网页篡改后果比较严重 ? 通过L2-L7层的安全防护体系构架,实现完整的安全防护打造“安全”、“可靠”、“高效”的“一站式 工具索引 《XX互联网业务系统安全防护项目预算立项建议书》 《AF_方案彩页_Web安全解决方案V1.0》 《AF_方案彩页_业务系统应用安全加固解决方案V1.0》
b) 业务系统数据防泄露
业务场景 存在用户信息等敏感信息的对外业务系统 立项理由 互联网敏感信息泄露事件频发,引起关注,传统的DLP数据防泄密解决方案显然很难起到有效的防护效果,此类重大安全事件的产生多是通过正常的web业务访问,通过数据库认为合法的操作语句产生“拖库”、“暴库”的安全问题。 立项名称 XX业务系统信息防泄露项目 立项效益 对外,防止web攻击(如注入类攻击)对后端数据库、FTP等服务器的操作带来的安全问题; 对内,有效检测交互过程中内容的合法性,具有向外发送的数据内容是否为非法窃取、是否符合正常访问安全逻辑的判断能力。 参考话术 ? 对外的业务有很多重要数据,黑客通常会采取web攻击的方式来入侵服务器 ? DLP解决方案大多是防护终端泄密通道的,无法针对服务器因为被拖库暴库导致的信息泄露 ? NGAF实现对外防攻击,对内检测外发流量防止服务器端得信息泄露 工具索引 《AF_方案彩页_业务系统敏感信息防泄漏解决方案V1.0》
c) 网页防篡改
业务场景 政府电子政务网站或企业门户网站 立项理由 网站是网络中被访问最多的一种服务,也是最容易遭受攻击的。网站直接代表着政府、企业的形象,一旦页面被篡改,将导致企业、政府形象和无形资产的巨大损失。网页篡改防护需要能够提供动态防护L2-L7层的攻击,被攻击了也有篡改判定机制做到事后补偿的保护手段,确保网页不被篡改;同时需要具备篡改后应急响应的机制,即使网页内容被篡改了也不会发布与众。 立项名称 XX网站网页防篡改项目 立项效益 防护动态攻击,同时提供被动响应机制即使被篡改也不会发布出去 参考话术 ? 这今年网站篡改事件比较多,一旦被篡改形象、经济都会受到损失 ? 光防护攻击是不够的,因为攻击没有100%的防护 ? 采用事前防攻击,事后防篡改的双效手段来规避网页篡改的风险 工具索引 《AF_方案彩页_网页篡改防护解决方案V1.0》 d) 业务系统实时安全自检
业务场景 1、中型互联网电商企业或小金融客户 2、需要对安全日志进行一一分析的客户 3、定期进行渗透扫描的客户 立项理由 由于基于特征防护的防火墙、入侵防御系统呈现的日志是攻击数据,其可视性比较差,让管理员日志分析的工作量加大,需要更多更专业的安全管理人员进行分析。现有检测机制难以让清晰的分析系统的漏洞,同时业务系统更新频率比较快,随时可能出现新的漏洞,采用定期渗透扫描的方式可能会影响业务系统正常运行,并且无法满足实时进行漏洞预警的要求。 立项名称 XX业务系统实时安全自检项目、XX业务系统实时安全威胁预警项目 立项效益 实时监测漏洞与遭受攻击的情况,从用户访问业务系统的正常流量中获取服务器漏洞的信息并告知管理员,同时不会给服务器造成业务中断的风险、也不会占据服务器的带宽资源 将漏洞与攻击日志进行关联,提升管理员的安全管理效率,快速定位有效攻击 参考话术 ? 系统一更新变化产生新的漏洞,通过扫描的方式是周期性的,无法实时发现漏洞,并且可能会影响业务系统运行 ? 攻击日志并不等于业务系统的风险,网络可能存在大量的攻击源自于黑客或监管机构的探测性扫描,这些扫描可能并不针对服务器的漏洞,也就是说服务器可能并不会被这些攻击所影响。 ? 一旦真的出现安全事故,管理员可能忙于分析各类攻击日志而错失了正确做出应急响应的时机 工具索引 ? 《XX业务系统实时安全威胁预警项目预算立项建议书》 e) 互联网业务系统防扫描
业务场景 有监管单位对业务系统进行检查的客户,如交通行业、广电行业、金融行业以及政府的网站; 立项理由 来自互联网上的嗅探扫描越来越频繁,一方面会产生不必要的攻击流量影响业务系统的正常访问;另一方面会将业务系统存在的漏洞暴露在外,让攻击者能够快速的找到入侵的方式。 立项名称 XX互联网业务系统防扫描攻击项目 立项效益 1、可有效防止外部扫描对业务系统造成的影响; 2、可防止业务系统存在的漏洞暴露在互联网上; 3、防止监管单位扫描到业务系统的漏洞并进行通报; 参考话术 ? 监管单位定期会采用扫描软件对互联网的系统进行扫描,发现严重漏洞会进行通报对单位影响不好; ? 来自互联网上的嗅探扫描攻击比较多,可能会影响业务系统的正常访问; ? 漏洞信息被黑客获取到会降低黑客攻击成本,提升入侵的成功率,这样的风险比较大。 工具索引 ? 《XX互联网业务系统防嗅探攻击项目立项建议书》
三. 广域网(主要涉及产品AF、WOC、AC、VPN) a) 边界安全隔离与威胁过滤
业务场景 省市县三级平台边界安全建设 立项理由 省市县三级组网的网络需要有边界访问控制对区域和网络进行划分,以区分网络的安全级别,划分安全域。在广域网中任何一处发生攻击,威胁会在广域网的通道里进行快速的传播,不仅仅威胁到广域网上其他的单位,还有可能威胁