某县政府网页防篡改项目解决方案

某县政府网页防篡改项目解决方案安徽云图信息技术有限公司

目录项目基本信息... 3 1 项目背景... 3 1.1 项目背景...3 1.2 项目现状...4 1.3 项目需求...5 1.4 项目目标及意义...6 2 解决方案... 6 3 网页防篡改介绍... 7 4 设备介绍... 8

项目基本信息项目名称某县政府网页防篡改项目客户方某县政府支持方安徽云图信息技术有限公司 1 项目背景 1.1 项目背景随着计算机技术的飞速发展以及 Internet 宽带网络的逐渐普及, 传统政府的工作模式正在发生着巨大的改变, 越来越多的企业开始基于计算机技术网络技术以及各种应用系统展开业务工作并且随着 Internet 宽带网络的普及, 政府开始连接到互联网获取商业机会, 与客户交流, 发布商业信息, 利用丰富的 Internet 资源来展开商务活动然而与之相对应的是网络站点受攻击的情况也越来越多在各类网站被攻击的情况中, 网站主页篡改给政府带来的影响尤其恶劣, 影响面最广尤其是含有政治攻击色彩的篡改, 会对政府形象造成严重损害以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升国家计算机网络应急技术处理协调中心 2004 年共收到网络安全事件报告 64686 件, 为 2003 年的近 5 倍在 3 月 24 日召开的 2005 中国计算机网络安全应急年会上, 国家计算机网络应急技术处理协调中心有关负责人说, 在收到的网络安全事件报告中, 网页篡改的

占 45.91%, 其余为垃圾邮件蠕虫网络仿冒木马等数字显示, 政府网站最易成为攻击者选定的目标, 其安全防范有待加强 2005 全年网页篡改事件发生数量已达 13000 件, 而且这些统计还不包括隐蔽的篡改行为远远的将病毒垃圾邮件等传统网络安全事件抛到后面 1.2 项目现状现阶段政府网站系统的安全措施, 还多数仅限于购置防火墙等对病毒的防护, 政府机构的整个网络通常是被一台交换机分隔成内网 ( 政府办公区 ) 和外网 ( 中心机房 ) 两部分互联网上的用户如果要访问政府机构的网站发布服务器 (web 服务器 ), 需先经路由器, 防火墙, 然后经中心交换机才能最终访问到网站服务器政府内部则可以通过内网直接访问各服务器 ( 如下图所示 )

1.3 项目需求某县政府对网络的信息安全需求如下 : 信息的可管理性, 由于互联网上充斥有大量不良信息, 政府网络在有效合理利用互联网资源的前提下, 为避免政府上网的负面影响和提高机关效率, 需要对信息进行一定的访问控制而目前网络访问控制的实现方式非常多, 针对各种不同的需求都有较灵活的实现手段, 导致类似的安全产品种类繁多, 需要专业的网络安全从业人员为客户选择最佳的实现途径, 达到最好的性价比, 保障客户的利益信息的保密性和完整性, 由于政府网络上存在重要信息, 对信息的保密性和完整性要求非常高信息可能面临多层次的安全威胁, 如通过电磁辐射或线路干扰等的物理威胁泄漏或者存放机密信息的系统被攻击等威胁同时针对网上保税等电子政务应用还要求严格保障信息的完整性, 这都需要从网络安全角度整体考虑, 配合统一的网络安全策略并选择相应的安全产品, 保障网络的信息安全统一的安全管理平台, 目政府信息系统较常见的安全威胁主要来自很多无意的人为因素而造成的风险如由于用户安全意识不强导致的病毒泛滥帐户口令安全薄弱等, 对集中统一的安全管理软件, 如病毒软件管理系统身份认证管理系统以及网络安全设备统的管理软件等要求较高因此通过安全管理平台可有效的实现全网的安全管理, 同时还可以针对人员进行安全管理和培训, 增强人员的安全防范意识这就对安全管理平台和专业的网络安全服务提出了较高的要求

1.4 项目目标及意义政府机构原有的安全措施 ( 如安装防火墙入侵检测 ) 则主要集中在网络层上, 无法对网页篡改事件形成有效的监控和防护为了保护政府机构网页不被非法篡改, 保护政府机构的形象, 同时为保护我们社会主义社会的安定团结, 政府的各级机构都应该重视起来为了推进政府机构综合信息系统建设, 有效地提高政府管理水平和公众服务质量, 提高公共服务的自动化现代化的水平具有十分重要的意义 2 解决方案根据用户需求, 我们制作了宏观的拓扑示意图 : 如上图所示, 网页防篡改设备 ( 简称 WAF ), 工作在 DMZ 区或数据中心, 可以无需修改网络及服务器配置, 透明部署在防火墙和 Web 服务器群之间, 对 Web 服务器群的出入流量进行有效监控, 从而确保 Web 应用的安全

而在部署了多业务网段服务器的网络环境中, 网页防篡改设备也可以采用旁路方式部署, 提供一种逻辑在线防护机制该种部署灵活性较好, 可以实现业务分流, 对核心系统影响较小旁路方式部署的技术原理如下 : 1. 流量牵引 : 通过路由方式, 将原来去往目标网站 IP 的流量牵引至 WAF 设备被牵引的流量为攻击流量与正常流量混杂的 HTTP 流量 ; 2. 流量检测和过滤 :WAF 设备通过多层的攻击流量识别与净化功能, 将 Web 攻击流量从混合流量中过滤 ; 3. 流量注入 : 经过 WAF 过滤之后的合法流量被重新注入网络, 最终到达目的网站 4. 对返回流量检测 : 网站响应的 HTTP 流量在返回给客户端之前, 仍然需要流经 WAF 设备,WAF 可提供安全检测, 经 WAF 检测后的流量最终返回给客户端由于和政府业务部门的日常网络了解, 内网多半是单一的网段, 在此我们建议选择透明部署方式, 如果需要添加多台设备形成防护网, 可根据情况再加设备 3 网页防篡改介绍 Web 应用安全问题本质上源于软件质量问题但 web 应用相对传统的软件, 具有其独特特性 Web 应用往往是某个机构所有的应用, 对其产生的漏洞, 已知的通用漏洞签名缺乏有效性 ; 需要频繁的变更以满足业务目标, 从而使得很难维持有序的开发周期 ; 需要全面考虑客户端与服务端的复杂交互场景, 而往往很多开发者没有很好地理解业务流程 ; 缺乏经验的开发者难以胜任

针对 Web 应用安全, 多数网站的实际情况是 : 大量早期开发的 web 应用, 由于历史原因, 都存在不同程度的安全问题对于这些已上线提供生产的 web 应用, 由于其定制化的特点决定了没有通用补丁可用, 而整改代码因代价过大变得较难施行或者需要较长的整改周期针对上述现状, 专业的 web 安全防护工具是一种合理的选择而传统的安全设备, 如防火墙 IPS, 作为整体安全策略中不可缺少的重要模块, 局限于自身的产品定位和防护深度, 不能有效的提供针对 web 应用攻击完善的防御能力针对 web 应用攻击, 必须采用专门的机制, 对其进行有效检测防护基于这些因素, 产生了防止网页被篡改的理念, 就是我们俗称的 Web 应用防火墙 ( 简称 WAF) 基于对 http/https 流量的双向分析为 web 应用提供实时的防护 4 设备介绍绿盟科技作为国内首家专业的安全服务提供商, 一直以来的服务宗旨是为客户创造价值先后给客户建设和实施了多个备受称赞的网络安全项目, 并且提供了优质的安全服务对于政府行业的信息系统, 涉及对信息的完整性保密性和管理性等安全需求保障政府客户在对信息的监管的同时拥有高效安全的网络绿盟科技的 WAF 设备能够保护 Web 应用免遭在线攻击凭借持续更新的威胁知识库, 系统使安全专业人员网络管理者和应用开发者有能力降低 Web 应用安全风险, 更好地保障 Web 应用稳定运行 1) 降低数据泄漏风险

Web 承载的交互式应用是数据库的门户, 攻击者经常通过 SQL 注入等方法入侵数据库, 造成数据泄露绿盟科技 WAF 系统能检查 HTTP 请求的各个字段, 用精炼的规则对攻击实施过滤, 加上 HTTP 协议合规检查状态码过滤等机制, 降低数据泄露风险 2) 支撑 Web 服务可用性 DDoS 攻击对 Web 服务可用性的威胁最大, 绿盟科技 WAF 系统集成专业 DDoS 防护功能, 包括多种动态防护算法, 可以在线过滤 DDoS 攻击, 与 SQL 注入防护等功能一起使用, 提供从网络层到应用层的攻击过滤, 支撑 Web 服务可用性 3) 控制恶意访问自动化攻击工具能构造大规模的恶意访问, 给 Web 应用稳定性造成很大危害绿盟科技 WAF 系统支持多种 Web 访问控制, 可以满足不同用户的需求, 包括 HTTP 访问控制自动化攻击工具识别控制非法文件上传和下载阻止盗链和爬虫等 4) 保护 Web 客户端用户访问站点时, 如果遭受 CSRF 攻击, 用户就会对该站点失去信任因此, 保护 Web 客户端也是 Web 服务提供者的责任和关切绿盟科技 WAF 系统可以提供 CSRF 防护 XSS 防护 Cookie 签名和加密等安全策略, 保护 Web 客户端产品优势 1) 集成专业 DDoS 防护功能

2) 支持多种易于使用的 Web 访问控制策略 3) 支持灵活的自定义规则 4) 支持路由旁路部署方式关键功能 : 1) 降低数据泄露风险 SQL 注入防护 HTTP 协议防护 Web 漏洞攻击防护信息泄露 ( 状态码过滤 / 伪装 ) Web 内容安全防护 2) 支撑 Web 服务可用性 HTTP Flood 防护 TCP Flood 防护 3) 控制恶意访问 URL 访问控制文件非法下载 / 上传防护

盗链防护爬虫防护 4) 保护 Web 客户端 CSRF 防护 XSS 防护 Cookie 安全 ( 加密 / 签名 ) 典型应用 ( 图示 ): 创新的安全模型

为了有效防护网站, 绿盟 WAF 采用了一种创新的安全模型这个安全模型针对攻击事件, 提供事前预防事中防护事后补偿的整体解决方案事前,WAF 能发现网站漏洞, 提醒管理者修补 ; 事中,WAF 能提供基于规则的静态防护, 以及基于应用交互逻辑的动态防护 ; 事后,WAF 能检测出网页篡改, 提醒管理者修复, 并遮盖被篡改页面双向数据检测绿盟 WAF 支持透明代理的部署方式, 作为 Web 客户端和服务器端的中间人, 避免 Web 服务器直接暴露于互联网上, 监控 HTTP/HTTPS 双向流量, 对网络层 Web Server/Application 层双向数据实施检测和保护, 可以降低 Web 站点安全风险

应对 OWASP Top 10 超越传统产品只基于静态规则的防护机制, 绿盟 WAF 有效结合了静态规则与基于用户行为识别的动态防御机制, 能够有效降低 OWASP Top10 中的 Web 应用安全风险 OWASP TOP10 绿盟 WAF 解决方案注入缺陷内置一百多条从实际攻击行为中提炼的防护规则, 并允许自定义规则跨站脚本 (XSS) 内置数十条从实际攻击行为中提炼的防护规则, 并允许自定义规则失效的验证和会话提供 cookie 安全机制 ( 加密签名启用 HTTP Only 启用源 IP 校管理验 ), 降低会话劫持篡改等会话管理风险跨站请求伪造提供 CSRF 防护策略, 在授权客户端与服务器的交互过程中主动插入 (CSRF) 标记, 并检查标记, 来识别恶意构造的请求

安全配置错误云服务平台可以扫描出错误的安全配置, 给 WAF 提供虚拟补丁, 以降低错误的安全配置所带来的风险不安全加密存储支持出方向数据检测, 可以针对重要的敏感信息, 部署自定义过滤规则, 降低未加密重要数据泄露的风险未能限制 URL 访问提供细粒度的 URL 访问控制策略不足的传输层保护支持 SSL 加密和解密, 可以缓解未经验证的重定向内置的防护规则, 并允许自定义规则, 可以缓解和转发典型应用网页篡改在线防护按照网页篡改事件发生的时序, 绿盟 WAF 提供事中防护以及事后补偿的在线防护解决方案事中, 实时过滤 HTTP 请求中混杂的网页篡改攻击流量 ( 如 SQL 注入 XSS 等 ) 事后, 自动监控网站所有需保护页面的完整性, 检测到网页被篡改, 第一时间对管理员进行短信告警, 对外仍显示篡改前的正常页面, 用户可正常访问网站网页挂马在线防护

网页挂马为一种相对比较隐蔽的网页篡改方式, 本质上这种方式也破坏了网页的完整性网页挂马攻击目标为各类网站的最终用户, 网站作为传播网页木马的傀儡帮凶, 严重影响网站的公信度当用户请求访问某一个页面时, 绿盟 WAF 会对服务器侧响应的网页内容进行在线检测, 判断是否被植入恶意代码, 并对恶意代码进行自动过滤敏感信息泄漏防护绿盟 WAF 可以识别并更正 Web 应用错误的业务流程, 识别并防护敏感数据泄漏, 满足合规与审计要求, 具体如下 : 可自定义非法敏感关键字, 对其进行自动过滤, 防止非法内容发布为公众浏览 Web 站点可能包含一些不在正常网站数据目录树内的 URL 链接, 比如一些网站拥有者不想被公开访问的目录网站的 WEB 管理界面入口及以前曾经公开过但后来被隐藏的链接 WAF 提供细粒度的 URL ACL, 防止对这些链接的非授权访问网站隐身 : 过滤服务器侧出错信息, 如错误类型出现错误脚本的绝对路径网页主目录的绝对路径出现错误的 SQL 语句及参数软件的版本系统的配置信息等, 避免这些敏感信息为攻击者利用提升入侵的概率对数据泄密具备监管能力能过滤服务器侧响应内容中含有的敏感信息, 如身份证号信用卡号等

某县政府 网页防篡改项目 解决方案

某县政府网页防篡改项目解决方案