政協(xié)門戶網(wǎng)站防護解決方案
發(fā)表日期:2019-06-26 11:52:00 文章編輯:小編 瀏覽次數(shù):8037
方面:政策導(dǎo)向
政策導(dǎo)向一:中華人民共和國公安部令-第82號
政策原文:開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的,能夠防范網(wǎng)站攻擊、網(wǎng)頁被篡改,被篡改后能夠自動恢復(fù);
政策導(dǎo)向二:國務(wù)院辦公廳關(guān)于進一步加強政府網(wǎng)站管理工作的通知
政策原文:網(wǎng)站安全防范工作是否到位,是否采取了防攻擊、防篡改、防病毒等安全防護措施,并制訂了應(yīng)急處置預(yù)案;;
政策導(dǎo)向三:工信部會議
2012年8月7日,工信部在北京召開了學(xué)習(xí)《國務(wù)院辦公廳關(guān)于開展重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動的通知》的有關(guān)會議。各省、各市的測評中心都在對政府單位網(wǎng)絡(luò)安全進行安全設(shè)備檢查,重點檢查是網(wǎng)站防篡改軟件是否安裝,保證“黨的十八大”期間,政府網(wǎng)站不被篡改,保證政府形象不受損失。
第二方面:網(wǎng)站安全風(fēng)險導(dǎo)向
門戶類網(wǎng)站成為黑客主要攻擊目標(biāo),安全漏洞及配置問題,而引發(fā)網(wǎng)頁信息被篡改、入侵等安全事件屢見不鮮。
1. 門戶網(wǎng)站程序設(shè)計存在的安全問題,網(wǎng)站程序設(shè)計者在編寫時,對相關(guān)的安全問題沒有做適當(dāng)?shù)奶幚恚嬖诎踩[患,如SQL注入,上傳漏洞,腳本跨站執(zhí)行等,網(wǎng)站遭到掃描器頻繁掃描,網(wǎng)站漏洞泄密。
2. 網(wǎng)站訪問量巨大,需要多臺網(wǎng)站服務(wù)器對流量分擔(dān),雙機部署支持對多臺流量分攤服務(wù)器進行均衡保護
3. 門戶網(wǎng)站是政府的形象,是政府對大眾宣傳的窗口,維護政府形象,保證網(wǎng)站真實性。
4. 根據(jù)等保要求,政府門戶網(wǎng)站必須設(shè)置主服務(wù)和備份服務(wù)器進行異地網(wǎng)站備份。如果對異地網(wǎng)站進行網(wǎng)站防護聯(lián)動
北京網(wǎng)站建設(shè)針對門戶類網(wǎng)站因需要被公眾訪問而暴露于因特網(wǎng)上,容易成為黑客的攻擊目標(biāo)。其中,黑客和不法分子對網(wǎng)站的網(wǎng)頁(主頁)內(nèi)容的篡改是時常發(fā)生的,而這類事件對公眾產(chǎn)生的負面影響又是非常嚴重的,即:形象受損、信息傳達失準(zhǔn),甚至可能引發(fā)信息泄密等安全事件。網(wǎng)頁篡改者利用操作系統(tǒng)的漏洞和管理的缺陷進行攻擊,而目前大量的安全措施(如安裝防火墻、入侵檢測)集中在網(wǎng)絡(luò)層上,它們無法有效阻止網(wǎng)頁篡改事件發(fā)生。
政協(xié)網(wǎng)站是政府對大眾的重要宣傳媒體之一,政協(xié)網(wǎng)站訪問量巨大,網(wǎng)站在架構(gòu)的時候使用了集群網(wǎng)站開發(fā),使用負載均衡設(shè)備進行流量分攤,近期2013年兩會的召開,正是政府領(lǐng)導(dǎo)班子換屆之時,不管中國大眾老百姓、還是全世界各大媒體都聚焦在兩會上,對于黑客或一些恐怖份子,政協(xié)網(wǎng)站的攻擊是揚名立萬的快速途徑之一
政協(xié)門戶網(wǎng)站防護解決方案
根據(jù)這個現(xiàn)狀可以看出,DMZ出口根本沒有任何安全設(shè)備,內(nèi)部的負載均衡器只能針對大量訪問時,進行對訪問流量的分攤,當(dāng)出現(xiàn)大量訪問攻擊或是SQL注入、XSS跨站腳本攻擊時,任何的流量分攤都不復(fù)存在。
在整個網(wǎng)絡(luò)出口會有傳統(tǒng)防火墻,傳統(tǒng)防火墻主要針對網(wǎng)絡(luò)層進行安全過濾,針對應(yīng)用層的攻擊防護是少之又少,主要是針對HTTP協(xié)議中的SQL欺騙、信息欺騙等攻擊方式,傳統(tǒng)防火墻對之是束手無策。
網(wǎng)站的內(nèi)容是大眾了解兩會重要渠道之一,保證網(wǎng)站內(nèi)容不被篡改,維護政府形象窗口,不管是傳統(tǒng)防火墻還是IPS、IDS等傳統(tǒng)安全設(shè)備是愛莫能助。
針對政協(xié)網(wǎng)站目前存在的安全問題,我們建議采用專業(yè)的安全方案來解決。采用Web應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)來確保網(wǎng)站不再黑客攻擊和篡改的問題。
在此我們建議可采用網(wǎng)神綜合的、專業(yè)的WEB安全防護系統(tǒng)來作為本次安全解決方案的主打產(chǎn)品。網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻采用業(yè)界獨一無二的軟硬件相結(jié)合的方式進行網(wǎng)站防護,硬件針對黑客的大流量攻擊進行有效過濾,軟件針對網(wǎng)站的真實性進行實時監(jiān)控,保證網(wǎng)站不被篡改。具體部署方式如下圖所示:
1、滿足政府網(wǎng)站建設(shè)合規(guī)性
滿足及符合中華人民共和國公安部令-第82號及國務(wù)院辦公廳關(guān)于進一步加強政府網(wǎng)站管理工作的通知相關(guān)政府網(wǎng)站建設(shè)要求。
2、軟硬防護相結(jié)合,打破傳統(tǒng)防御理念
在本次方案中我們建議在負載均衡后面的兩條鏈路中,各放一臺Web應(yīng)用防火墻進行分流保護。使用雙機進行分流保護,可以針對大流量攻擊或訪問進行“削峰填谷”的作用。使用網(wǎng)神推出的“事前掃描、事中防護、事后彌補”的一體化解決方案。事前,SecWAF提供Web安全評估,檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中,對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后,針對當(dāng)前的安全熱點問題,網(wǎng)頁篡改及網(wǎng)頁掛馬,提供診斷功能,降低安全風(fēng)險,維護網(wǎng)站的公信度。
3、探查網(wǎng)站安全遺漏
網(wǎng)神SecWAF 3600 Web應(yīng)用防護墻集成了Web掃描器功能,可以在前期對客戶網(wǎng)站進行一次整體性的評估,評估我們的網(wǎng)站研發(fā)人員在編寫代碼時,出現(xiàn)了哪些安全疏忽,評估出安全疏忽,才可以針對疏忽進行安全防護。
4、智能分析防護、降低誤判,減少負面影響
網(wǎng)神自主開發(fā)的主動防御功能,智能針對攻擊進行檢測,減少誤判率,減少正常訪問被攔截造成負面影響,針對黑客進行掃描器或爬蟲進行漏洞巡查進行有效攔截,保證黑客無法查找到任何安全漏洞,讓黑客對網(wǎng)站攻擊無從下手,隱藏網(wǎng)站漏洞,偽裝網(wǎng)站,提高網(wǎng)站性。
主動防御會對流量進行三分鐘檢測機制,當(dāng)被判定為攻擊后,會在三分鐘后對瀏覽者進行重新攻擊識別,當(dāng)是正常訪問時,則批準(zhǔn)訪問網(wǎng)站。打破了傳統(tǒng)的“一刀切”的暴力阻斷模式,智能識別防御可以降低誤判率,從而提高因暴露阻斷網(wǎng)站訪問而帶來的負面影響。
5、巨大流量通過HA“削峰填谷”
雙機HA可以設(shè)置為主主防護模式,針對負載均衡器進行訪問流量分配,兩臺Web應(yīng)用防火墻都在同時工作進行流量過濾,降低因為單機設(shè)備達不到性能要求而出現(xiàn)宕機、網(wǎng)站不能訪問等問題。針對政協(xié)兩會期間,訪問量與日俱增的爆炸性增長起到“削峰填谷”的作用。
6、通過網(wǎng)頁防篡改,維護兩會形象
針對政協(xié)兩會的影響力,黑客看重了網(wǎng)站的宣傳能力和政治意義,所以網(wǎng)站頻繁遭到黑客篡改,添加其他網(wǎng)站鏈接,導(dǎo)致網(wǎng)站公信力下降,網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻內(nèi)置網(wǎng)頁防篡改模塊,使用內(nèi)核保護和觸發(fā)更新技術(shù)對網(wǎng)站進行防篡改,當(dāng)黑客對網(wǎng)站篡改時,觸發(fā)更新技術(shù)會時間記錄到網(wǎng)站被篡改被還原網(wǎng)站原有形態(tài),保證網(wǎng)站不被黑客篡改,并用內(nèi)核保護技術(shù),對網(wǎng)站的數(shù)據(jù)庫、網(wǎng)站架構(gòu)進行權(quán)限保護。
政策導(dǎo)向一:中華人民共和國公安部令-第82號
政策原文:開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的,能夠防范網(wǎng)站攻擊、網(wǎng)頁被篡改,被篡改后能夠自動恢復(fù);
政策導(dǎo)向二:國務(wù)院辦公廳關(guān)于進一步加強政府網(wǎng)站管理工作的通知
政策原文:網(wǎng)站安全防范工作是否到位,是否采取了防攻擊、防篡改、防病毒等安全防護措施,并制訂了應(yīng)急處置預(yù)案;;
政策導(dǎo)向三:工信部會議
2012年8月7日,工信部在北京召開了學(xué)習(xí)《國務(wù)院辦公廳關(guān)于開展重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動的通知》的有關(guān)會議。各省、各市的測評中心都在對政府單位網(wǎng)絡(luò)安全進行安全設(shè)備檢查,重點檢查是網(wǎng)站防篡改軟件是否安裝,保證“黨的十八大”期間,政府網(wǎng)站不被篡改,保證政府形象不受損失。
第二方面:網(wǎng)站安全風(fēng)險導(dǎo)向
門戶類網(wǎng)站成為黑客主要攻擊目標(biāo),安全漏洞及配置問題,而引發(fā)網(wǎng)頁信息被篡改、入侵等安全事件屢見不鮮。
1. 門戶網(wǎng)站程序設(shè)計存在的安全問題,網(wǎng)站程序設(shè)計者在編寫時,對相關(guān)的安全問題沒有做適當(dāng)?shù)奶幚恚嬖诎踩[患,如SQL注入,上傳漏洞,腳本跨站執(zhí)行等,網(wǎng)站遭到掃描器頻繁掃描,網(wǎng)站漏洞泄密。
2. 網(wǎng)站訪問量巨大,需要多臺網(wǎng)站服務(wù)器對流量分擔(dān),雙機部署支持對多臺流量分攤服務(wù)器進行均衡保護
3. 門戶網(wǎng)站是政府的形象,是政府對大眾宣傳的窗口,維護政府形象,保證網(wǎng)站真實性。
4. 根據(jù)等保要求,政府門戶網(wǎng)站必須設(shè)置主服務(wù)和備份服務(wù)器進行異地網(wǎng)站備份。如果對異地網(wǎng)站進行網(wǎng)站防護聯(lián)動
政協(xié)網(wǎng)站是政府對大眾的重要宣傳媒體之一,政協(xié)網(wǎng)站訪問量巨大,網(wǎng)站在架構(gòu)的時候使用了集群網(wǎng)站開發(fā),使用負載均衡設(shè)備進行流量分攤,近期2013年兩會的召開,正是政府領(lǐng)導(dǎo)班子換屆之時,不管中國大眾老百姓、還是全世界各大媒體都聚焦在兩會上,對于黑客或一些恐怖份子,政協(xié)網(wǎng)站的攻擊是揚名立萬的快速途徑之一
政協(xié)門戶網(wǎng)站防護解決方案
根據(jù)這個現(xiàn)狀可以看出,DMZ出口根本沒有任何安全設(shè)備,內(nèi)部的負載均衡器只能針對大量訪問時,進行對訪問流量的分攤,當(dāng)出現(xiàn)大量訪問攻擊或是SQL注入、XSS跨站腳本攻擊時,任何的流量分攤都不復(fù)存在。
在整個網(wǎng)絡(luò)出口會有傳統(tǒng)防火墻,傳統(tǒng)防火墻主要針對網(wǎng)絡(luò)層進行安全過濾,針對應(yīng)用層的攻擊防護是少之又少,主要是針對HTTP協(xié)議中的SQL欺騙、信息欺騙等攻擊方式,傳統(tǒng)防火墻對之是束手無策。
網(wǎng)站的內(nèi)容是大眾了解兩會重要渠道之一,保證網(wǎng)站內(nèi)容不被篡改,維護政府形象窗口,不管是傳統(tǒng)防火墻還是IPS、IDS等傳統(tǒng)安全設(shè)備是愛莫能助。
針對政協(xié)網(wǎng)站目前存在的安全問題,我們建議采用專業(yè)的安全方案來解決。采用Web應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)來確保網(wǎng)站不再黑客攻擊和篡改的問題。
在此我們建議可采用網(wǎng)神綜合的、專業(yè)的WEB安全防護系統(tǒng)來作為本次安全解決方案的主打產(chǎn)品。網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻采用業(yè)界獨一無二的軟硬件相結(jié)合的方式進行網(wǎng)站防護,硬件針對黑客的大流量攻擊進行有效過濾,軟件針對網(wǎng)站的真實性進行實時監(jiān)控,保證網(wǎng)站不被篡改。具體部署方式如下圖所示:
1、滿足政府網(wǎng)站建設(shè)合規(guī)性
滿足及符合中華人民共和國公安部令-第82號及國務(wù)院辦公廳關(guān)于進一步加強政府網(wǎng)站管理工作的通知相關(guān)政府網(wǎng)站建設(shè)要求。
2、軟硬防護相結(jié)合,打破傳統(tǒng)防御理念
在本次方案中我們建議在負載均衡后面的兩條鏈路中,各放一臺Web應(yīng)用防火墻進行分流保護。使用雙機進行分流保護,可以針對大流量攻擊或訪問進行“削峰填谷”的作用。使用網(wǎng)神推出的“事前掃描、事中防護、事后彌補”的一體化解決方案。事前,SecWAF提供Web安全評估,檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中,對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后,針對當(dāng)前的安全熱點問題,網(wǎng)頁篡改及網(wǎng)頁掛馬,提供診斷功能,降低安全風(fēng)險,維護網(wǎng)站的公信度。
3、探查網(wǎng)站安全遺漏
網(wǎng)神SecWAF 3600 Web應(yīng)用防護墻集成了Web掃描器功能,可以在前期對客戶網(wǎng)站進行一次整體性的評估,評估我們的網(wǎng)站研發(fā)人員在編寫代碼時,出現(xiàn)了哪些安全疏忽,評估出安全疏忽,才可以針對疏忽進行安全防護。
4、智能分析防護、降低誤判,減少負面影響
網(wǎng)神自主開發(fā)的主動防御功能,智能針對攻擊進行檢測,減少誤判率,減少正常訪問被攔截造成負面影響,針對黑客進行掃描器或爬蟲進行漏洞巡查進行有效攔截,保證黑客無法查找到任何安全漏洞,讓黑客對網(wǎng)站攻擊無從下手,隱藏網(wǎng)站漏洞,偽裝網(wǎng)站,提高網(wǎng)站性。
主動防御會對流量進行三分鐘檢測機制,當(dāng)被判定為攻擊后,會在三分鐘后對瀏覽者進行重新攻擊識別,當(dāng)是正常訪問時,則批準(zhǔn)訪問網(wǎng)站。打破了傳統(tǒng)的“一刀切”的暴力阻斷模式,智能識別防御可以降低誤判率,從而提高因暴露阻斷網(wǎng)站訪問而帶來的負面影響。
5、巨大流量通過HA“削峰填谷”
雙機HA可以設(shè)置為主主防護模式,針對負載均衡器進行訪問流量分配,兩臺Web應(yīng)用防火墻都在同時工作進行流量過濾,降低因為單機設(shè)備達不到性能要求而出現(xiàn)宕機、網(wǎng)站不能訪問等問題。針對政協(xié)兩會期間,訪問量與日俱增的爆炸性增長起到“削峰填谷”的作用。
6、通過網(wǎng)頁防篡改,維護兩會形象
針對政協(xié)兩會的影響力,黑客看重了網(wǎng)站的宣傳能力和政治意義,所以網(wǎng)站頻繁遭到黑客篡改,添加其他網(wǎng)站鏈接,導(dǎo)致網(wǎng)站公信力下降,網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻內(nèi)置網(wǎng)頁防篡改模塊,使用內(nèi)核保護和觸發(fā)更新技術(shù)對網(wǎng)站進行防篡改,當(dāng)黑客對網(wǎng)站篡改時,觸發(fā)更新技術(shù)會時間記錄到網(wǎng)站被篡改被還原網(wǎng)站原有形態(tài),保證網(wǎng)站不被黑客篡改,并用內(nèi)核保護技術(shù),對網(wǎng)站的數(shù)據(jù)庫、網(wǎng)站架構(gòu)進行權(quán)限保護。
返回列表
