圖1:政府網(wǎng)站防護(hù)方案典型部署
事前
天 融信TopWAF網(wǎng)站安全防護(hù)方案提供WEB應(yīng)用漏洞掃描功能��,可在事前檢測WEB應(yīng)用自身的脆弱性及漏洞��,提供預(yù)防解決方案���。其中全面的網(wǎng)站安全整體檢 測提供安全建設(shè)依據(jù);有針對性的網(wǎng)站安全加固,則可防止安全隱患被利用��。TopWAF可提供對網(wǎng)站應(yīng)用漏洞的掃描功能�����。基于先進(jìn)的漏洞掃描引擎及龐大漏洞 信息庫�,TopWAF可以使網(wǎng)站管理者在不需要安裝任何漏洞掃描軟件的情況下,直觀地了解到網(wǎng)站存在的安全漏洞情況���,并根據(jù)天融信安全專家的建議及時(shí)進(jìn)行 相關(guān)修補(bǔ)工作���。
在事前,天融信通過網(wǎng)站安全整體檢測對網(wǎng)站業(yè)務(wù)平臺進(jìn)行全局���、深度���、顆粒安全的項(xiàng)目檢測服務(wù)����,并通過網(wǎng)站安全加固服務(wù)分析 并修補(bǔ)網(wǎng)站系統(tǒng)脆弱性的過程。該服務(wù)可以為客戶提供豐富細(xì)致的安全脆弱性現(xiàn)狀指數(shù)與分析;通過全局的脆弱性檢測�����,掌握網(wǎng)站系統(tǒng)整體安全脆弱性狀況;依據(jù)脆 弱性檢測結(jié)果與網(wǎng)站業(yè)務(wù)模式特點(diǎn)��,提供有針對性的安全修補(bǔ)方案措施��,防止安全隱患再次被利用而產(chǎn)生的安全危害。
事中
TopWAF 采用先進(jìn)的多維防護(hù)體系���,對HTTP數(shù)據(jù)流進(jìn)行深度分析��,可有效應(yīng)對多種WEB安全威脅���。通過對WEB應(yīng)用安全的深入研究,固化了一套針對WEB攻擊防護(hù) 的專用特征規(guī)則庫�,規(guī)則涵蓋諸如SQL注入、XSS(跨站腳本攻擊)等OWASP TOP10中的WEB應(yīng)用安全風(fēng)險(xiǎn)����,及緩沖區(qū)溢出、CGI掃描�����、遍歷目錄��、OS命令注入等當(dāng)今黑客常用的針對WEB基礎(chǔ)架構(gòu)的攻擊手段����。此 外,TopWAF產(chǎn)品具備專業(yè)的抗DDoS功能����,對于網(wǎng)絡(luò)層及應(yīng)用層的DDoS攻擊進(jìn)行有效控制����,如SYN Flood����、UDP Flood 、CC攻擊等����。
在事中,天融信網(wǎng)站安全值守服務(wù)對網(wǎng)站系統(tǒng)相關(guān)設(shè)備的工作狀況進(jìn)行定期或?qū)崟r(shí)的監(jiān)控�,在出現(xiàn)安全事件時(shí)做出初步的動作和響 應(yīng),根據(jù)獲得的初步材料和分析結(jié)果��,預(yù)估事件的范圍和影響程度�,并且保留相關(guān)證據(jù)�。在情況緊急時(shí),網(wǎng)站安全值守服務(wù)可配合客戶進(jìn)行應(yīng)急處理����,通過事故管理 流程、變更管理流程等為網(wǎng)站系統(tǒng)提供更可靠的業(yè)務(wù)支持����。此外�����,天融信還通過網(wǎng)站安全巡檢服務(wù)同步對國內(nèi)外WEB安全威脅與網(wǎng)站環(huán)境弱點(diǎn)�,以環(huán)境穩(wěn)定性��、安 全性為目標(biāo)針對不同的網(wǎng)站環(huán)境和安全需求進(jìn)行深入��、嚴(yán)謹(jǐn)?shù)娜粘P栽u估���,并提供可視化報(bào)告和統(tǒng)計(jì)��。
事后
天融 信TopWAF網(wǎng)頁防篡改系統(tǒng)采用第三代網(wǎng)頁防篡改技術(shù)——增強(qiáng)型事件觸發(fā)+系統(tǒng)(內(nèi)核)文件底層驅(qū)動過濾技術(shù)�,對保護(hù)的對象(靜態(tài)網(wǎng)頁�����、動態(tài)執(zhí)行腳本����、 文件夾)實(shí)時(shí)監(jiān)測其屬性,一旦發(fā)現(xiàn)更改立刻阻斷非法篡改操作,阻止網(wǎng)頁文件被修改����,并實(shí)時(shí)通知管理客戶端。此外�����,在系統(tǒng)遭受極限攻擊發(fā)生文件篡改現(xiàn)象���,系 統(tǒng)也會自動從可信端進(jìn)行有效文件恢復(fù)���,徹底地保證了網(wǎng)頁內(nèi)容不被篡改。同時(shí)�,TopWAF提供業(yè)內(nèi)領(lǐng)先的業(yè)務(wù)智能分析功能。內(nèi)容豐富�����,涵蓋網(wǎng)站業(yè)務(wù)數(shù)據(jù)智 能分析�����、網(wǎng)站安全數(shù)據(jù)智能分析及網(wǎng)站管理數(shù)據(jù)智能分析三大模塊�����。展現(xiàn)形式為數(shù)據(jù)表格搭配統(tǒng)計(jì)圖示��,效果清晰����、直觀。為網(wǎng)站管理者提供有針對性的決策依據(jù)����。
在 事后,天融信網(wǎng)站安全事件應(yīng)急響應(yīng)服務(wù)可針對已經(jīng)發(fā)生或可能發(fā)生的網(wǎng)站安全事件進(jìn)行檢測�����、分析�����、協(xié)調(diào)���、處理��、保護(hù)信息安全屬性的活動���。目標(biāo)采取緊急措施����, 恢復(fù)網(wǎng)站業(yè)務(wù)到正常服務(wù)狀態(tài);調(diào)查安全事件發(fā)生的原因����,避免同類安全事件再次發(fā)生,提供數(shù)字證據(jù)�����。此服務(wù)可以幫助客戶迅速有效地從安全事件中恢復(fù)過來�����,將 信息丟失��、被破壞的程度降到最低�,避免網(wǎng)站業(yè)務(wù)系統(tǒng)經(jīng)濟(jì)損失數(shù)量持續(xù)增加。
典型案例
綜上所述����,在一個(gè)典型的網(wǎng)站應(yīng)用環(huán)境中,天融信“網(wǎng)站防護(hù)方案” 對應(yīng)信息安全PDR(檢測����、防護(hù)、響應(yīng))模型的三個(gè)方面�,將安全產(chǎn)品與安全服務(wù)相結(jié)合,幫助用戶實(shí)現(xiàn)全面的安全防護(hù)�。
圖2:天融信“政府網(wǎng)站安全防護(hù)方案”
經(jīng)過在多個(gè)實(shí)際項(xiàng)目中的實(shí)施,天融信“網(wǎng)站安全防護(hù)方案”已被驗(yàn)證是可行�、可靠并且高效的解決方案。其中��,在國內(nèi)某市人民檢察院網(wǎng)站系統(tǒng)的建設(shè)中����, 該方案起到了關(guān)鍵性作用。參考xx市檢察院網(wǎng)站系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)并依照用戶對安全系統(tǒng)建設(shè)的整體需求��,天融信設(shè)計(jì)了如下安全解決方案:
圖 3:xx市人民檢察院網(wǎng)站防護(hù)系統(tǒng)拓?fù)鋱D
1. 在xx市檢察院網(wǎng)站系統(tǒng)到互聯(lián)網(wǎng)之間部署天融信NGFW4000-UF防火墻設(shè)備�����,對互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)站服務(wù)器配置在防火墻DMZ區(qū)域����。防火墻在不同安 全區(qū)域之間進(jìn)行訪問控制。防火墻的引入將xx市檢察院網(wǎng)站系統(tǒng)網(wǎng)絡(luò)隔離為三個(gè)安全區(qū)域���,分別為安全內(nèi)網(wǎng)��、安全邊界和外網(wǎng)����,有效保障xx市檢察院網(wǎng)站系統(tǒng)網(wǎng) 絡(luò)的邊界安全。
2. 在防火墻之后部署天融信TOPIDP 3000入侵防御設(shè)備����,串行在整個(gè)外部網(wǎng)絡(luò)通訊鏈路之上,對流經(jīng)內(nèi)���、外網(wǎng)的數(shù)據(jù)進(jìn)行實(shí)時(shí)探測與響應(yīng)�����。當(dāng)發(fā)現(xiàn)存在異常行為時(shí)�,將事件以消息的方式傳遞到業(yè)務(wù) 內(nèi)網(wǎng)的監(jiān)控主機(jī)��,提供給網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)內(nèi)的活動進(jìn)行監(jiān)測���。并同時(shí)主動阻斷DDOS攻擊及針對應(yīng)用系統(tǒng)漏洞的入侵行為�����。
3. 在入侵防御設(shè)備之后部署天融信TOPFILTER 8000防病毒過濾網(wǎng)關(guān)設(shè)備�。串行在整個(gè)外部網(wǎng)絡(luò)通訊鏈路之上。防止病毒通過網(wǎng)關(guān)傳播至xx市檢察院網(wǎng)站系統(tǒng)內(nèi)部網(wǎng)絡(luò)對服務(wù)器及主機(jī)進(jìn)行侵害�。
4. 在WEB服務(wù)器前端部署天融信TopWAF WEB應(yīng)用安全網(wǎng)關(guān)設(shè)備。串行在防火墻DMZ區(qū)域����。代理互聯(lián)網(wǎng)客戶端對WEB服務(wù)器的所有請求�,清洗異常流量。防止黑客利用WEB應(yīng)用漏洞對網(wǎng)站系統(tǒng)進(jìn)行 SQL注入�、跨站腳本等攻擊,并對應(yīng)用層的DDoS攻擊進(jìn)行有效控制�����。通過內(nèi)置的“業(yè)務(wù)智能分析模塊”���,對網(wǎng)站的訪問數(shù)據(jù)進(jìn)行細(xì)粒度的分析�,形成統(tǒng)計(jì)報(bào) 表�����,提供給院領(lǐng)導(dǎo)使其詳細(xì)了解網(wǎng)站業(yè)務(wù)情況并作為后續(xù)網(wǎng)站業(yè)務(wù)更新的決策依據(jù)�。
5. 在WEB服務(wù)器上部署天融信網(wǎng)頁防篡改系統(tǒng)監(jiān)控代理端�。通過內(nèi)核文件底層驅(qū)動內(nèi)嵌到操作系統(tǒng)中��,基于事件觸發(fā)方式進(jìn)行自動監(jiān)測��,對WEB服務(wù)器文件夾的所 有文件內(nèi)容進(jìn)行實(shí)時(shí)監(jiān)測���,若發(fā)現(xiàn)變更��,實(shí)時(shí)阻斷篡改行為�。通過非協(xié)議方式��,純內(nèi)核安全校驗(yàn)方式檢查出站內(nèi)容的完整性及可靠性���,使得公眾無法看到被篡改頁 面��。
6. 在內(nèi)網(wǎng)部署防篡改發(fā)布+管理中心服務(wù)器��,作為網(wǎng)站內(nèi)容更新發(fā)布及后期篡改恢復(fù)的專用平臺����。發(fā)布服務(wù)器會自動備份WEB服務(wù)器中的所有內(nèi)容��,當(dāng)發(fā)生網(wǎng)頁被意 外破壞時(shí),防篡改系統(tǒng)通過其內(nèi)部的內(nèi)容恢復(fù)機(jī)制�,從可信備份端進(jìn)行實(shí)時(shí)恢復(fù),確保文件的真實(shí)可靠性����。同時(shí),防篡改系統(tǒng)集成了頁面自動發(fā)布功能���。該服務(wù)器將 可信備份路徑下的網(wǎng)頁內(nèi)容通過加密的方式快速發(fā)布到WEB服務(wù)器相應(yīng)文件夾����。減少人工干預(yù)�。實(shí)現(xiàn)網(wǎng)站內(nèi)容安全�����、快速���、方便的發(fā)布��。
結(jié)束語
天 融信“網(wǎng)站安全防護(hù)方案”為xx市檢察院網(wǎng)站系統(tǒng)提供了最完整的信息安全保護(hù)����。部署此方案后�,針對WEB網(wǎng)站的攻擊�����,如SQL注入�、跨站XSS及 應(yīng)用層DDoS攻擊均被有效阻斷��,網(wǎng)站業(yè)務(wù)運(yùn)行正常��。在實(shí)際應(yīng)用過程中���,用戶還可以根據(jù)網(wǎng)站實(shí)際情況�,并結(jié)合信息安全專業(yè)分析建議�����,選擇最為合適的網(wǎng)站安 全防護(hù)方案�。
十八大即將召開,政府網(wǎng)站安全面對不可預(yù)測的突發(fā)事件��,不過天融信已做好準(zhǔn)備���,會利用多年來積累的大型重要項(xiàng)目經(jīng)驗(yàn)�,第一時(shí)間進(jìn)行響應(yīng)處理,為十八大順利召開貢獻(xiàn)自己的一份力量�����。
