圖1:政府網(wǎng)站防護(hù)方案典型部署
事前
天 融信TopWAF網(wǎng)站安全防護(hù)方案提供WEB應(yīng)用漏洞掃描功能�,可在事前檢測(cè)WEB應(yīng)用自身的脆弱性及漏洞�,提供預(yù)防解決方案。其中全面的網(wǎng)站安全整體檢 測(cè)提供安全建設(shè)依據(jù);有針對(duì)性的網(wǎng)站安全加固�,則可防止安全隱患被利用。TopWAF可提供對(duì)網(wǎng)站應(yīng)用漏洞的掃描功能����。基于先進(jìn)的漏洞掃描引擎及龐大漏洞 信息庫(kù)�,TopWAF可以使網(wǎng)站管理者在不需要安裝任何漏洞掃描軟件的情況下,直觀(guān)地了解到網(wǎng)站存在的安全漏洞情況��,并根據(jù)天融信安全專(zhuān)家的建議及時(shí)進(jìn)行 相關(guān)修補(bǔ)工作���。
在事前��,天融信通過(guò)網(wǎng)站安全整體檢測(cè)對(duì)網(wǎng)站業(yè)務(wù)平臺(tái)進(jìn)行全局���、深度、顆粒安全的項(xiàng)目檢測(cè)服務(wù)��,并通過(guò)網(wǎng)站安全加固服務(wù)分析 并修補(bǔ)網(wǎng)站系統(tǒng)脆弱性的過(guò)程��。該服務(wù)可以為客戶(hù)提供豐富細(xì)致的安全脆弱性現(xiàn)狀指數(shù)與分析;通過(guò)全局的脆弱性檢測(cè)�,掌握網(wǎng)站系統(tǒng)整體安全脆弱性狀況;依據(jù)脆 弱性檢測(cè)結(jié)果與網(wǎng)站業(yè)務(wù)模式特點(diǎn),提供有針對(duì)性的安全修補(bǔ)方案措施�,防止安全隱患再次被利用而產(chǎn)生的安全危害。
事中
TopWAF 采用先進(jìn)的多維防護(hù)體系���,對(duì)HTTP數(shù)據(jù)流進(jìn)行深度分析��,可有效應(yīng)對(duì)多種WEB安全威脅�。通過(guò)對(duì)WEB應(yīng)用安全的深入研究,固化了一套針對(duì)WEB攻擊防護(hù) 的專(zhuān)用特征規(guī)則庫(kù)����,規(guī)則涵蓋諸如SQL注入、XSS(跨站腳本攻擊)等OWASP TOP10中的WEB應(yīng)用安全風(fēng)險(xiǎn)�,及緩沖區(qū)溢出、CGI掃描����、遍歷目錄、OS命令注入等當(dāng)今黑客常用的針對(duì)WEB基礎(chǔ)架構(gòu)的攻擊手段���。此 外�����,TopWAF產(chǎn)品具備專(zhuān)業(yè)的抗DDoS功能�,對(duì)于網(wǎng)絡(luò)層及應(yīng)用層的DDoS攻擊進(jìn)行有效控制���,如SYN Flood�、UDP Flood ��、CC攻擊等��。
在事中,天融信網(wǎng)站安全值守服務(wù)對(duì)網(wǎng)站系統(tǒng)相關(guān)設(shè)備的工作狀況進(jìn)行定期或?qū)崟r(shí)的監(jiān)控��,在出現(xiàn)安全事件時(shí)做出初步的動(dòng)作和響 應(yīng)��,根據(jù)獲得的初步材料和分析結(jié)果���,預(yù)估事件的范圍和影響程度,并且保留相關(guān)證據(jù)���。在情況緊急時(shí)���,網(wǎng)站安全值守服務(wù)可配合客戶(hù)進(jìn)行應(yīng)急處理,通過(guò)事故管理 流程��、變更管理流程等為網(wǎng)站系統(tǒng)提供更可靠的業(yè)務(wù)支持�����。此外�����,天融信還通過(guò)網(wǎng)站安全巡檢服務(wù)同步對(duì)國(guó)內(nèi)外WEB安全威脅與網(wǎng)站環(huán)境弱點(diǎn)�,以環(huán)境穩(wěn)定性���、安 全性為目標(biāo)針對(duì)不同的網(wǎng)站環(huán)境和安全需求進(jìn)行深入、嚴(yán)謹(jǐn)?shù)娜粘P栽u(píng)估�����,并提供可視化報(bào)告和統(tǒng)計(jì)���。
事后
天融 信TopWAF網(wǎng)頁(yè)防篡改系統(tǒng)采用第三代網(wǎng)頁(yè)防篡改技術(shù)——增強(qiáng)型事件觸發(fā)+系統(tǒng)(內(nèi)核)文件底層驅(qū)動(dòng)過(guò)濾技術(shù)���,對(duì)保護(hù)的對(duì)象(靜態(tài)網(wǎng)頁(yè)、動(dòng)態(tài)執(zhí)行腳本����、 文件夾)實(shí)時(shí)監(jiān)測(cè)其屬性,一旦發(fā)現(xiàn)更改立刻阻斷非法篡改操作�,阻止網(wǎng)頁(yè)文件被修改,并實(shí)時(shí)通知管理客戶(hù)端���。此外���,在系統(tǒng)遭受極限攻擊發(fā)生文件篡改現(xiàn)象,系 統(tǒng)也會(huì)自動(dòng)從可信端進(jìn)行有效文件恢復(fù)���,徹底地保證了網(wǎng)頁(yè)內(nèi)容不被篡改����。同時(shí),TopWAF提供業(yè)內(nèi)領(lǐng)先的業(yè)務(wù)智能分析功能����。內(nèi)容豐富���,涵蓋網(wǎng)站業(yè)務(wù)數(shù)據(jù)智 能分析����、網(wǎng)站安全數(shù)據(jù)智能分析及網(wǎng)站管理數(shù)據(jù)智能分析三大模塊����。展現(xiàn)形式為數(shù)據(jù)表格搭配統(tǒng)計(jì)圖示,效果清晰��、直觀(guān)��。為網(wǎng)站管理者提供有針對(duì)性的決策依據(jù)���。
在 事后����,天融信網(wǎng)站安全事件應(yīng)急響應(yīng)服務(wù)可針對(duì)已經(jīng)發(fā)生或可能發(fā)生的網(wǎng)站安全事件進(jìn)行檢測(cè)、分析�、協(xié)調(diào)、處理�����、保護(hù)信息安全屬性的活動(dòng)�����。目標(biāo)采取緊急措施�����, 恢復(fù)網(wǎng)站業(yè)務(wù)到正常服務(wù)狀態(tài);調(diào)查安全事件發(fā)生的原因���,避免同類(lèi)安全事件再次發(fā)生����,提供數(shù)字證據(jù)�����。此服務(wù)可以幫助客戶(hù)迅速有效地從安全事件中恢復(fù)過(guò)來(lái),將 信息丟失���、被破壞的程度降到最低��,避免網(wǎng)站業(yè)務(wù)系統(tǒng)經(jīng)濟(jì)損失數(shù)量持續(xù)增加����。
典型案例
綜上所述�����,在一個(gè)典型的網(wǎng)站應(yīng)用環(huán)境中���,天融信“網(wǎng)站防護(hù)方案” 對(duì)應(yīng)信息安全PDR(檢測(cè)、防護(hù)���、響應(yīng))模型的三個(gè)方面���,將安全產(chǎn)品與安全服務(wù)相結(jié)合,幫助用戶(hù)實(shí)現(xiàn)全面的安全防護(hù)�。
圖2:天融信“政府網(wǎng)站安全防護(hù)方案”
經(jīng)過(guò)在多個(gè)實(shí)際項(xiàng)目中的實(shí)施,天融信“網(wǎng)站安全防護(hù)方案”已被驗(yàn)證是可行����、可靠并且高效的解決方案。其中����,在國(guó)內(nèi)某市人民檢察院網(wǎng)站系統(tǒng)的建設(shè)中, 該方案起到了關(guān)鍵性作用�。參考xx市檢察院網(wǎng)站系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)并依照用戶(hù)對(duì)安全系統(tǒng)建設(shè)的整體需求,天融信設(shè)計(jì)了如下安全解決方案:
圖 3:xx市人民檢察院網(wǎng)站防護(hù)系統(tǒng)拓?fù)鋱D
1. 在xx市檢察院網(wǎng)站系統(tǒng)到互聯(lián)網(wǎng)之間部署天融信NGFW4000-UF防火墻設(shè)備����,對(duì)互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)站服務(wù)器配置在防火墻DMZ區(qū)域。防火墻在不同安 全區(qū)域之間進(jìn)行訪(fǎng)問(wèn)控制���。防火墻的引入將xx市檢察院網(wǎng)站系統(tǒng)網(wǎng)絡(luò)隔離為三個(gè)安全區(qū)域�����,分別為安全內(nèi)網(wǎng)�����、安全邊界和外網(wǎng)�����,有效保障x(chóng)x市檢察院網(wǎng)站系統(tǒng)網(wǎng) 絡(luò)的邊界安全�。
2. 在防火墻之后部署天融信TOPIDP 3000入侵防御設(shè)備,串行在整個(gè)外部網(wǎng)絡(luò)通訊鏈路之上���,對(duì)流經(jīng)內(nèi)���、外網(wǎng)的數(shù)據(jù)進(jìn)行實(shí)時(shí)探測(cè)與響應(yīng)。當(dāng)發(fā)現(xiàn)存在異常行為時(shí)���,將事件以消息的方式傳遞到業(yè)務(wù) 內(nèi)網(wǎng)的監(jiān)控主機(jī)��,提供給網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)內(nèi)的活動(dòng)進(jìn)行監(jiān)測(cè)�。并同時(shí)主動(dòng)阻斷DDOS攻擊及針對(duì)應(yīng)用系統(tǒng)漏洞的入侵行為����。
3. 在入侵防御設(shè)備之后部署天融信TOPFILTER 8000防病毒過(guò)濾網(wǎng)關(guān)設(shè)備����。串行在整個(gè)外部網(wǎng)絡(luò)通訊鏈路之上。防止病毒通過(guò)網(wǎng)關(guān)傳播至xx市檢察院網(wǎng)站系統(tǒng)內(nèi)部網(wǎng)絡(luò)對(duì)服務(wù)器及主機(jī)進(jìn)行侵害����。
4. 在WEB服務(wù)器前端部署天融信TopWAF WEB應(yīng)用安全網(wǎng)關(guān)設(shè)備��。串行在防火墻DMZ區(qū)域����。代理互聯(lián)網(wǎng)客戶(hù)端對(duì)WEB服務(wù)器的所有請(qǐng)求����,清洗異常流量。防止黑客利用WEB應(yīng)用漏洞對(duì)網(wǎng)站系統(tǒng)進(jìn)行 SQL注入�、跨站腳本等攻擊,并對(duì)應(yīng)用層的DDoS攻擊進(jìn)行有效控制���。通過(guò)內(nèi)置的“業(yè)務(wù)智能分析模塊”�,對(duì)網(wǎng)站的訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行細(xì)粒度的分析����,形成統(tǒng)計(jì)報(bào) 表,提供給院領(lǐng)導(dǎo)使其詳細(xì)了解網(wǎng)站業(yè)務(wù)情況并作為后續(xù)網(wǎng)站業(yè)務(wù)更新的決策依據(jù)��。
5. 在WEB服務(wù)器上部署天融信網(wǎng)頁(yè)防篡改系統(tǒng)監(jiān)控代理端���。通過(guò)內(nèi)核文件底層驅(qū)動(dòng)內(nèi)嵌到操作系統(tǒng)中,基于事件觸發(fā)方式進(jìn)行自動(dòng)監(jiān)測(cè)����,對(duì)WEB服務(wù)器文件夾的所 有文件內(nèi)容進(jìn)行實(shí)時(shí)監(jiān)測(cè),若發(fā)現(xiàn)變更���,實(shí)時(shí)阻斷篡改行為。通過(guò)非協(xié)議方式����,純內(nèi)核安全校驗(yàn)方式檢查出站內(nèi)容的完整性及可靠性�,使得公眾無(wú)法看到被篡改頁(yè) 面。
6. 在內(nèi)網(wǎng)部署防篡改發(fā)布+管理中心服務(wù)器���,作為網(wǎng)站內(nèi)容更新發(fā)布及后期篡改恢復(fù)的專(zhuān)用平臺(tái)。發(fā)布服務(wù)器會(huì)自動(dòng)備份WEB服務(wù)器中的所有內(nèi)容����,當(dāng)發(fā)生網(wǎng)頁(yè)被意 外破壞時(shí)�,防篡改系統(tǒng)通過(guò)其內(nèi)部的內(nèi)容恢復(fù)機(jī)制�,從可信備份端進(jìn)行實(shí)時(shí)恢復(fù)�����,確保文件的真實(shí)可靠性�。同時(shí),防篡改系統(tǒng)集成了頁(yè)面自動(dòng)發(fā)布功能�。該服務(wù)器將 可信備份路徑下的網(wǎng)頁(yè)內(nèi)容通過(guò)加密的方式快速發(fā)布到WEB服務(wù)器相應(yīng)文件夾�����。減少人工干預(yù)。實(shí)現(xiàn)網(wǎng)站內(nèi)容安全�����、快速����、方便的發(fā)布�。
結(jié)束語(yǔ)
天 融信“網(wǎng)站安全防護(hù)方案”為xx市檢察院網(wǎng)站系統(tǒng)提供了最完整的信息安全保護(hù)。部署此方案后�,針對(duì)WEB網(wǎng)站的攻擊��,如SQL注入、跨站XSS及 應(yīng)用層DDoS攻擊均被有效阻斷�����,網(wǎng)站業(yè)務(wù)運(yùn)行正常。在實(shí)際應(yīng)用過(guò)程中��,用戶(hù)還可以根據(jù)網(wǎng)站實(shí)際情況�����,并結(jié)合信息安全專(zhuān)業(yè)分析建議�,選擇最為合適的網(wǎng)站安 全防護(hù)方案�。
十八大即將召開(kāi),政府網(wǎng)站安全面對(duì)不可預(yù)測(cè)的突發(fā)事件�����,不過(guò)天融信已做好準(zhǔn)備,會(huì)利用多年來(lái)積累的大型重要項(xiàng)目經(jīng)驗(yàn)�,第一時(shí)間進(jìn)行響應(yīng)處理,為十八大順利召開(kāi)貢獻(xiàn)自己的一份力量�����。
