一方面:政策导向
政策导向一:中华人民共和国公安部令-第82号
政策原文:开办门户网站、新闻网站、电子商务网站的,能够防范网站攻击、网页被篡改,被篡改后能够自动恢复;
政策导向二:国务院办公厅关于进一步加强政府网站管理工作的通知
政策原文:网站安全防范工作是否到位,是否采取了防攻击、防篡改、防病毒等安全防护措施,并制订了应急处置预案;;
政策导向三:工信部会议
2012年8月7日,工信部在北京召开了学习《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》的有关会议。各省、各市的测评中心都在对政府单位网络安全进行安全设备检查,重点检查是网站防篡改软件是否安装,保证“党的十八大”期间,政府网站不被篡改,保证政府形象不受损失。
第二方面:网站安全风险导向
门户类网站成为黑客主要攻击目标,安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件屡见不鲜。
1. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等,网站遭到扫描器频繁扫描,网站漏洞泄密。
2. 网站访问量巨大,需要多台网站服务器对流量分担,双机部署支持对多台流量分摊服务器进行均衡保护
3. 门户网站是政府的形象,是政府对大众宣传的窗口,维护政府形象,保证网站真实性。
4. 根据等保要求,政府门户网站必须设置主服务和备份服务器进行异地网站备份。如果对异地网站进行网站防护联动
青岛网站建设针对门户类网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。
政协网站是政府对大众的重要宣传媒体之一,政协网站访问量巨大,网站在架构的时候使用了集群网站开发,使用负载均衡设备进行流量分摊,近期2013年两会的召开,正是政府领导班子换届之时,不管中国大众老百姓、还是全世界各大媒体都聚焦在两会上,对于黑客或一些恐怖份子,政协网站的攻击是扬名立万的快速途径之一
政协门户网站防护解决方案
根据这个现状可以看出,DMZ出口根本没有任何安全设备,内部的负载均衡器只能针对大量访问时,进行对访问流量的分摊,当出现大量访问攻击或是SQL注入、XSS跨站脚本攻击时,任何的流量分摊都不复存在。
在整个网络出口会有传统防火墙,传统防火墙主要针对网络层进行安全过滤,针对应用层的攻击防护是少之又少,主要是针对HTTP协议中的SQL欺骗、信息欺骗等攻击方式,传统防火墙对之是束手无策。
网站的内容是大众了解两会重要渠道之一,保证网站内容不被篡改,维护政府形象窗口,不管是传统防火墙还是IPS、IDS等传统安全设备是爱莫能助。
针对政协网站目前存在的安全问题,我们建议采用专业的安全方案来解决。采用Web应用防火墙和网页防篡改系统来确保网站不再黑客攻击和篡改的问题。
在此我们建议可采用网神综合的、专业的WEB安全防护系统来作为本次安全解决方案的主打产品。网神SecWAF 3600 Web应用防火墙采用业界独一无二的软硬件相结合的方式进行网站防护,硬件针对黑客的大流量攻击进行有效过滤,软件针对网站的真实性进行实时监控,保证网站不被篡改。具体部署方式如下图所示:
1、满足政府网站建设合规性
满足及符合中华人民共和国公安部令-第82号及国务院办公厅关于进一步加强政府网站管理工作的通知相关政府网站建设要求。
2、软硬防护相结合,打破传统防御理念
在本次方案中我们建议在负载均衡后面的两条链路中,各放一台Web应用防火墙进行分流保护。使用双机进行分流保护,可以针对大流量攻击或访问进行“削峰填谷”的作用。使用网神推出的“事前扫描、事中防护、事后弥补”的一体化解决方案。事前,SecWAF提供Web安全评估,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险,维护网站的公信度。
3、探查网站安全遗漏
网神SecWAF 3600 Web应用防护墙集成了Web扫描器功能,可以在前期对客户网站进行一次整体性的评估,评估我们的网站研发人员在编写代码时,出现了哪些安全疏忽,评估出安全疏忽,才可以针对疏忽进行安全防护。
4、智能分析防护、降低误判,减少负面影响
网神自主开发的主动防御功能,智能针对攻击进行检测,减少误判率,减少正常访问被拦截造成负面影响,针对黑客进行扫描器或爬虫进行漏洞巡查进行有效拦截,保证黑客无法查找到任何安全漏洞,让黑客对网站攻击无从下手,隐藏网站漏洞,伪装网站,提高网站性。
主动防御会对流量进行三分钟检测机制,当被判定为攻击后,会在三分钟后对浏览者进行重新攻击识别,当是正常访问时,则批准访问网站。打破了传统的“一刀切”的暴力阻断模式,智能识别防御可以降低误判率,从而提高因暴露阻断网站访问而带来的负面影响。
5、巨大流量通过HA“削峰填谷”
双机HA可以设置为主主防护模式,针对负载均衡器进行访问流量分配,两台Web应用防火墙都在同时工作进行流量过滤,降低因为单机设备达不到性能要求而出现宕机、网站不能访问等问题。针对政协两会期间,访问量与日俱增的爆炸性增长起到“削峰填谷”的作用。