圖1:政府網站防護方案典型部署
事前
天 融信TopWAF網站安全防護方案提供WEB應用漏洞掃描功能,可在事前檢測WEB應用自身的脆弱性及漏洞�����,提供預防解決方案����。其中全面的網站安全整體檢 測提供安全建設依據;有針對性的網站安全加固����,則可防止安全隱患被利用。TopWAF可提供對網站應用漏洞的掃描功能�����。基于先進的漏洞掃描引擎及龐大漏洞 信息庫�,TopWAF可以使網站管理者在不需要安裝任何漏洞掃描軟件的情況下,直觀地了解到網站存在的安全漏洞情況��,并根據天融信安全專家的建議及時進行 相關修補工作�。
在事前,天融信通過網站安全整體檢測對網站業(yè)務平臺進行全局�����、深度���、顆粒安全的項目檢測服務��,并通過網站安全加固服務分析 并修補網站系統(tǒng)脆弱性的過程����。該服務可以為客戶提供豐富細致的安全脆弱性現狀指數與分析;通過全局的脆弱性檢測����,掌握網站系統(tǒng)整體安全脆弱性狀況;依據脆 弱性檢測結果與網站業(yè)務模式特點,提供有針對性的安全修補方案措施����,防止安全隱患再次被利用而產生的安全危害�。
事中
TopWAF 采用先進的多維防護體系�,對HTTP數據流進行深度分析��,可有效應對多種WEB安全威脅��。通過對WEB應用安全的深入研究����,固化了一套針對WEB攻擊防護 的專用特征規(guī)則庫,規(guī)則涵蓋諸如SQL注入����、XSS(跨站腳本攻擊)等OWASP TOP10中的WEB應用安全風險,及緩沖區(qū)溢出�、CGI掃描、遍歷目錄�����、OS命令注入等當今黑客常用的針對WEB基礎架構的攻擊手段�。此 外,TopWAF產品具備專業(yè)的抗DDoS功能�����,對于網絡層及應用層的DDoS攻擊進行有效控制,如SYN Flood����、UDP Flood 、CC攻擊等�。
在事中,天融信網站安全值守服務對網站系統(tǒng)相關設備的工作狀況進行定期或實時的監(jiān)控�����,在出現安全事件時做出初步的動作和響 應����,根據獲得的初步材料和分析結果,預估事件的范圍和影響程度�����,并且保留相關證據�����。在情況緊急時��,網站安全值守服務可配合客戶進行應急處理,通過事故管理 流程�����、變更管理流程等為網站系統(tǒng)提供更可靠的業(yè)務支持�����。此外�,天融信還通過網站安全巡檢服務同步對國內外WEB安全威脅與網站環(huán)境弱點�,以環(huán)境穩(wěn)定性、安 全性為目標針對不同的網站環(huán)境和安全需求進行深入�����、嚴謹的日常性評估��,并提供可視化報告和統(tǒng)計�。
事后
天融 信TopWAF網頁防篡改系統(tǒng)采用第三代網頁防篡改技術——增強型事件觸發(fā)+系統(tǒng)(內核)文件底層驅動過濾技術,對保護的對象(靜態(tài)網頁�、動態(tài)執(zhí)行腳本、 文件夾)實時監(jiān)測其屬性���,一旦發(fā)現更改立刻阻斷非法篡改操作����,阻止網頁文件被修改,并實時通知管理客戶端�。此外,在系統(tǒng)遭受極限攻擊發(fā)生文件篡改現象�,系 統(tǒng)也會自動從可信端進行有效文件恢復,徹底地保證了網頁內容不被篡改��。同時���,TopWAF提供業(yè)內領先的業(yè)務智能分析功能�����。內容豐富��,涵蓋網站業(yè)務數據智 能分析�、網站安全數據智能分析及網站管理數據智能分析三大模塊����。展現形式為數據表格搭配統(tǒng)計圖示,效果清晰�、直觀。為網站管理者提供有針對性的決策依據���。
在 事后��,天融信網站安全事件應急響應服務可針對已經發(fā)生或可能發(fā)生的網站安全事件進行檢測����、分析、協調��、處理���、保護信息安全屬性的活動。目標采取緊急措施�����, 恢復網站業(yè)務到正常服務狀態(tài);調查安全事件發(fā)生的原因�����,避免同類安全事件再次發(fā)生��,提供數字證據�����。此服務可以幫助客戶迅速有效地從安全事件中恢復過來,將 信息丟失���、被破壞的程度降到最低�,避免網站業(yè)務系統(tǒng)經濟損失數量持續(xù)增加�����。
典型案例
綜上所述����,在一個典型的網站應用環(huán)境中,天融信“網站防護方案” 對應信息安全PDR(檢測�、防護、響應)模型的三個方面���,將安全產品與安全服務相結合�,幫助用戶實現全面的安全防護���。
圖2:天融信“政府網站安全防護方案”
經過在多個實際項目中的實施��,天融信“網站安全防護方案”已被驗證是可行��、可靠并且高效的解決方案�。其中,在國內某市人民檢察院網站系統(tǒng)的建設中���, 該方案起到了關鍵性作用�����。參考xx市檢察院網站系統(tǒng)的網絡結構并依照用戶對安全系統(tǒng)建設的整體需求�,天融信設計了如下安全解決方案:
圖 3:xx市人民檢察院網站防護系統(tǒng)拓撲圖
1. 在xx市檢察院網站系統(tǒng)到互聯網之間部署天融信NGFW4000-UF防火墻設備���,對互聯網提供服務的網站服務器配置在防火墻DMZ區(qū)域����。防火墻在不同安 全區(qū)域之間進行訪問控制���。防火墻的引入將xx市檢察院網站系統(tǒng)網絡隔離為三個安全區(qū)域,分別為安全內網����、安全邊界和外網,有效保障xx市檢察院網站系統(tǒng)網 絡的邊界安全�。
2. 在防火墻之后部署天融信TOPIDP 3000入侵防御設備,串行在整個外部網絡通訊鏈路之上�����,對流經內、外網的數據進行實時探測與響應����。當發(fā)現存在異常行為時,將事件以消息的方式傳遞到業(yè)務 內網的監(jiān)控主機����,提供給網絡管理人員對網絡內的活動進行監(jiān)測。并同時主動阻斷DDOS攻擊及針對應用系統(tǒng)漏洞的入侵行為�����。
3. 在入侵防御設備之后部署天融信TOPFILTER 8000防病毒過濾網關設備����。串行在整個外部網絡通訊鏈路之上。防止病毒通過網關傳播至xx市檢察院網站系統(tǒng)內部網絡對服務器及主機進行侵害����。
4. 在WEB服務器前端部署天融信TopWAF WEB應用安全網關設備。串行在防火墻DMZ區(qū)域�����。代理互聯網客戶端對WEB服務器的所有請求,清洗異常流量���。防止黑客利用WEB應用漏洞對網站系統(tǒng)進行 SQL注入�����、跨站腳本等攻擊����,并對應用層的DDoS攻擊進行有效控制����。通過內置的“業(yè)務智能分析模塊”,對網站的訪問數據進行細粒度的分析����,形成統(tǒng)計報 表,提供給院領導使其詳細了解網站業(yè)務情況并作為后續(xù)網站業(yè)務更新的決策依據����。
5. 在WEB服務器上部署天融信網頁防篡改系統(tǒng)監(jiān)控代理端��。通過內核文件底層驅動內嵌到操作系統(tǒng)中���,基于事件觸發(fā)方式進行自動監(jiān)測�,對WEB服務器文件夾的所 有文件內容進行實時監(jiān)測,若發(fā)現變更�����,實時阻斷篡改行為�。通過非協議方式,純內核安全校驗方式檢查出站內容的完整性及可靠性��,使得公眾無法看到被篡改頁 面��。
6. 在內網部署防篡改發(fā)布+管理中心服務器��,作為網站內容更新發(fā)布及后期篡改恢復的專用平臺����。發(fā)布服務器會自動備份WEB服務器中的所有內容,當發(fā)生網頁被意 外破壞時����,防篡改系統(tǒng)通過其內部的內容恢復機制,從可信備份端進行實時恢復�����,確保文件的真實可靠性。同時���,防篡改系統(tǒng)集成了頁面自動發(fā)布功能����。該服務器將 可信備份路徑下的網頁內容通過加密的方式快速發(fā)布到WEB服務器相應文件夾����。減少人工干預。實現網站內容安全��、快速����、方便的發(fā)布。
結束語
天 融信“網站安全防護方案”為xx市檢察院網站系統(tǒng)提供了最完整的信息安全保護���。部署此方案后�,針對WEB網站的攻擊��,如SQL注入�����、跨站XSS及 應用層DDoS攻擊均被有效阻斷�,網站業(yè)務運行正常。在實際應用過程中���,用戶還可以根據網站實際情況�,并結合信息安全專業(yè)分析建議�����,選擇最為合適的網站安 全防護方案���。
十八大即將召開��,政府網站安全面對不可預測的突發(fā)事件�����,不過天融信已做好準備�����,會利用多年來積累的大型重要項目經驗��,第一時間進行響應處理�,為十八大順利召開貢獻自己的一份力量。
