中国,北京,2012年9月6日——中国共产党第十八次全国代表大会将于下月在北京召开。届时,因各级网站访问量激增带来的网站安全问题将成为公众 瞩目的焦点。为了做好十八大期间网络与信息安全保障工作,除了出台各项制度和管理规范,并进行专项部署外,借助专业的信息安全技术手段也是必不可少的。天 融信公司作为国内信息安全行业的领导厂商,凭借在信息安全系统建设方面积累的丰富经验,推出“网站安全防护方案”,运用“产品+服务”的方式,针对安全事 件发生时序的各个阶段提供了综合解决方案,从事前、事中、事后三个层面对网站系统进行全面有效的安全防护。
图1:政府网站防护方案典型部署
事前
天 融信TopWAF网站安全防护方案提供WEB应用漏洞扫描功能,可在事前检测WEB应用自身的脆弱性及漏洞,提供预防解决方案。其中全面的网站安全整体检 测提供安全建设依据;有针对性的网站安全加固,则可防止安全隐患被利用。TopWAF可提供对网站应用漏洞的扫描功能。基于先进的漏洞扫描引擎及庞大漏洞 信息库,TopWAF可以使网站管理者在不需要安装任何漏洞扫描软件的情况下,直观地了解到网站存在的安全漏洞情况,并根据天融信安全专家的建议及时进行 相关修补工作。
在事前,天融信通过网站安全整体检测对网站业务平台进行全局、深度、颗粒安全的项目检测服务,并通过网站安全加固服务分析 并修补网站系统脆弱性的过程。该服务可以为客户提供丰富细致的安全脆弱性现状指数与分析;通过全局的脆弱性检测,掌握网站系统整体安全脆弱性状况;依据脆 弱性检测结果与网站业务模式特点,提供有针对性的安全修补方案措施,防止安全隐患再次被利用而产生的安全危害。
事中
TopWAF 采用先进的多维防护体系,对HTTP数据流进行深度分析,可有效应对多种WEB安全威胁。通过对WEB应用安全的深入研究,固化了一套针对WEB攻击防护 的专用特征规则库,规则涵盖诸如SQL注入、XSS(跨站脚本攻击)等OWASP TOP10中的WEB应用安全风险,及缓冲区溢出、CGI扫描、遍历目录、OS命令注入等当今黑客常用的针对WEB基础架构的攻击手段。此 外,TopWAF产品具备专业的抗DDoS功能,对于网络层及应用层的DDoS攻击进行有效控制,如SYN Flood、UDP Flood 、CC攻击等。
在事中,天融信网站安全值守服务对网站系统相关设备的工作状况进行定期或实时的监控,在出现安全事件时做出初步的动作和响 应,根据获得的初步材料和分析结果,预估事件的范围和影响程度,并且保留相关证据。在情况紧急时,网站安全值守服务可配合客户进行应急处理,通过事故管理 流程、变更管理流程等为网站系统提供更可靠的业务支持。此外,天融信还通过网站安全巡检服务同步对国内外WEB安全威胁与网站环境弱点,以环境稳定性、安 全性为目标针对不同的网站环境和安全需求进行深入、严谨的日常性评估,并提供可视化报告和统计。
事后
天融 信TopWAF网页防篡改系统采用第三代网页防篡改技术——增强型事件触发+系统(内核)文件底层驱动过滤技术,对保护的对象(静态网页、动态执行脚本、 文件夹)实时监测其属性,一旦发现更改立刻阻断非法篡改操作,阻止网页文件被修改,并实时通知管理客户端。此外,在系统遭受极限攻击发生文件篡改现象,系 统也会自动从可信端进行有效文件恢复,彻底地保证了网页内容不被篡改。同时,TopWAF提供业内领先的业务智能分析功能。内容丰富,涵盖网站业务数据智 能分析、网站安全数据智能分析及网站管理数据智能分析三大模块。展现形式为数据表格搭配统计图示,效果清晰、直观。为网站管理者提供有针对性的决策依据。
在 事后,天融信网站安全事件应急响应服务可针对已经发生或可能发生的网站安全事件进行检测、分析、协调、处理、保护信息安全属性的活动。目标采取紧急措施, 恢复网站业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生,提供数字证据。此服务可以帮助客户迅速有效地从安全事件中恢复过来,将 信息丢失、被破坏的程度降到最低,避免网站业务系统经济损失数量持续增加。
典型案例
综上所述,在一个典型的网站应用环境中,天融信“网站防护方案” 对应信息安全PDR(检测、防护、响应)模型的三个方面,将安全产品与安全服务相结合,帮助用户实现全面的安全防护。
图2:天融信“政府网站安全防护方案”
经过在多个实际项目中的实施,天融信“网站安全防护方案”已被验证是可行、可靠并且高效的解决方案。其中,在国内某市人民检察院网站系统的建设中, 该方案起到了关键性作用。参考xx市检察院网站系统的网络结构并依照用户对安全系统建设的整体需求,天融信设计了如下安全解决方案:
图 3:xx市人民检察院网站防护系统拓扑图
1. 在xx市检察院网站系统到互联网之间部署天融信NGFW4000-UF防火墙设备,对互联网提供服务的网站服务器配置在防火墙DMZ区域。防火墙在不同安 全区域之间进行访问控制。防火墙的引入将xx市检察院网站系统网络隔离为三个安全区域,分别为安全内网、安全边界和外网,有效保障xx市检察院网站系统网 络的边界安全。
2. 在防火墙之后部署天融信TOPIDP 3000入侵防御设备,串行在整个外部网络通讯链路之上,对流经内、外网的数据进行实时探测与响应。当发现存在异常行为时,将事件以消息的方式传递到业务 内网的监控主机,提供给网络管理人员对网络内的活动进行监测。并同时主动阻断DDOS攻击及针对应用系统漏洞的入侵行为。
3. 在入侵防御设备之后部署天融信TOPFILTER 8000防病毒过滤网关设备。串行在整个外部网络通讯链路之上。防止病毒通过网关传播至xx市检察院网站系统内部网络对服务器及主机进行侵害。
4. 在WEB服务器前端部署天融信TopWAF WEB应用安全网关设备。串行在防火墙DMZ区域。代理互联网客户端对WEB服务器的所有请求,清洗异常流量。防止黑客利用WEB应用漏洞对网站系统进行 SQL注入、跨站脚本等攻击,并对应用层的DDoS攻击进行有效控制。通过内置的“业务智能分析模块”,对网站的访问数据进行细粒度的分析,形成统计报 表,提供给院领导使其详细了解网站业务情况并作为后续网站业务更新的决策依据。
5. 在WEB服务器上部署天融信网页防篡改系统监控代理端。通过内核文件底层驱动内嵌到操作系统中,基于事件触发方式进行自动监测,对WEB服务器文件夹的所 有文件内容进行实时监测,若发现变更,实时阻断篡改行为。通过非协议方式,纯内核安全校验方式检查出站内容的完整性及可靠性,使得公众无法看到被篡改页 面。
6. 在内网部署防篡改发布+管理中心服务器,作为网站内容更新发布及后期篡改恢复的专用平台。发布服务器会自动备份WEB服务器中的所有内容,当发生网页被意 外破坏时,防篡改系统通过其内部的内容恢复机制,从可信备份端进行实时恢复,确保文件的真实可靠性。同时,防篡改系统集成了页面自动发布功能。该服务器将 可信备份路径下的网页内容通过加密的方式快速发布到WEB服务器相应文件夹。减少人工干预。实现网站内容安全、快速、方便的发布。
结束语
天 融信“网站安全防护方案”为xx市检察院网站系统提供了最完整的信息安全保护。部署此方案后,针对WEB网站的攻击,如SQL注入、跨站XSS及 应用层DDoS攻击均被有效阻断,网站业务运行正常。在实际应用过程中,用户还可以根据网站实际情况,并结合信息安全专业分析建议,选择最为合适的网站安 全防护方案。
十八大即将召开,政府网站安全面对不可预测的突发事件,不过天融信已做好准备,会利用多年来积累的大型重要项目经验,第一时间进行响应处理,为十八大顺利召开贡献自己的一份力量。