XXX政府设施综合养护管理处门户WEB系统安全解决方案XXXX信息技术有限公司二〇二〇年六月技术解决方案目录1建设背景.........................................................31.1安全背景与现状............................................31.2典型应用架构..............................................41.3安全体系缺少应用防护.......................................41.4安全分析..................................................51.5应用层防护的必然性.........................................61.5.1阻断应用攻击..........................................61.5.2屏蔽安全隐患..........................................71.5.3防止网页篡改..........................................72WEB系统防护解决方案..............................................82.1WEB安全需求..............................................82.2系统目标..................................................82.3系统功能示意图............................................92.4系统部署示意图............................................92.5明御WEB应用防火墙功能及优势..............................102.5.1功能价值.............................................102.5.2专业的应用防护.......................................112.5.3完善的事件处理.......................................122.5.4突发事件响应.........................................132.5.5专业7*24技术支持.....................................152.6部署方式.................................................162.6.1透明直连模式(推荐)..................................162.6.2网关模式.............................................172.6.3旁路监控模式.........................................172.6.4HA双机模式...........................................183推荐产品型号....................................................194原厂商简介.......................................错误!未定义书签。4.1全球领先的专利技术.........................错误!未定义书签。4.2公司历程..................................错误!未定义书签。4.3客户案例..................................错误!未定义书签。技术解决方案1建设背景1.1安全背景与现状随着信息化的日益深刻,信息网络技术的应用日益普及,网络安全问题已经会成为影响网络效能的重要问题。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。研究WEB应用系统信息安全问题、开发相应的应用系统、制定WEB应用系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。WEB应用系统信息安全已经成为政府、企业,生产、经营和管理的重要组成部分。如何使信息网络系统不受黑客和病毒的入侵,如何保障数据传输的安全性、可靠性,也是建设信息系统过程中所必须考虑的重要事情之一。另外近年来,对公共用户提供服务的网站所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如蠕虫、病毒、木马、DDOS攻击等,极大地困扰着安全管理人员,给公共服务类网站的信息网络造成严重的破坏。一旦攻击得逞,必将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。网页篡改还有可能被用于恶意商业竞争,比如通过篡改某权威知名媒体网站网页,发布对竞争对手不利的虚假信息。WEB系统(门户、OA)作为政府企事业单位的重要组成部分,是对外宣传的窗口和实施网上业务的重要平台,其地位非常重要,但其安全形势却不容乐观。据中国互联网应急中心最新统计显示,2009年我国大陆地区政府网页遭篡改事件呈大幅增长趋势,仅2009年3月我国大陆地区被篡改网站的数量就达到2225个。随着政府越来越多的业务系统采用基于WEB服务方式,在给用户提供方便快捷的同时,针对WEB业务的攻击亦在迅猛增长,类似网页被篡改或者网站被入侵等安全事件频繁发生,不但严重影响了政府的对外的权威形象,有时甚至会造成巨大的经济损失,或者严重的社会问题,严重危及国家安全和人民利益。页面被篡改技术解决方案门户网站作为“政府形象”的标志之一,常常是一些不法分子的重点攻击对象。门户网站一旦被篡改(加入一些敏感的显性内容),常常会引发较大的影响,严重时甚至会造成政治事件。另外一种篡改方式是网页挂马:网页内容表面上没有任何异常,却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害,但却会给浏览网站的用户带来损失。更重要的是,政府网站一旦被挂马,其权威性和公信力将会受到打击,最终给信息化建议、电子政务等的普及带来重大影响。在线业务被攻击对企业和个人用户提供在线服务,已经成为门户网站的重要功能。这些服务一旦受到拒绝服务攻击而瘫痪、终止,对业务的正常运转必然造成极大的影响,可能会造成经济损失,严重时甚至会影响社会稳定。机密数据外泄在线业务系统中,总是需要保存一些企业、公众的相关资料,这些资料往往涉及到企业秘密和个人隐私,一旦泄露,会造成企业或个人的利益受损,可能会给单位带来严重的法律纠纷。1.2典型应用架构XX市市政设施综合养护管理处系正处级全民事业单位,隶属XX市市政设施综合养护管理处领导,依据XX市机构编制委员会宁编字(2004)57号文件的精神,正式挂牌成立于2004年12月28,负责实施市政设施行业管理、养护考核、市管市政设施养护招投标以及市政设施综合养护管理工作。XX市市政设施综合养护管理处的WEB系统涉及门户系统、邮箱系统、内部OA系统等等。但其采用的B/S架构门户网站()尤为重要,是单位对外宣传的窗口和实施网上业务的重要平台。包含了政务公开、工作动态、廉政建设、行政许可、公众参与、便民服务等栏目内容。1.3安全体系缺少应用防护安恒信息在对现有安全数据和经验数据对XX市市政设施综合养护管理处的网络及应用环境进行了安全分析,分析表明现有的网络架构已经具备较好的网技术解决方案络安全防御能力和操作系统安全管理能力,而在WEB应用层面缺少相关的安全防护措施和长效机制。然而在我们前期调研过程中发现针对WEB应用层的防护却几乎一片空白。信息安全正如木桶理论所描术的那样,WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大,而在于我们是否针对脆弱的防护御点采取了有效的措施。应用前端交换机防火墙路由器2/3层交换机Web服务器网络存储应用服务器数据库服务器InternetIPS图:模拟客户网络环境拓扑1.4安全分析通过安恒工程师针对XX市市政设施综合养护管理处网站所进行的一次远程安全评估结果,暴露了诸多应用层安全问题。安全评估主机如下:编号IP地址域名/主机ServerType1221.226.10.178通过WEB层应用,发现了一系列XX市市政设施综合养护管理处门户网站的安全隐患:编号程度影响系统漏洞名称1严重ALLIIS目录文件可写漏洞技术解决方案2严重ALL表单验证绕过漏洞3严重All内容发布系统管理路径泄露4严重ALL存在大量Webshell5中危ALLTRACE方法可以认定XX市市政设施综合养护管理处网站的风险等级为:严重。1.5应用层防护的必然性然而在我们调研过程中发现针对WEB应用层的防护却几乎一片空白。信息安全正如木桶理论所描术的那样,WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大,而在于我们是否针对脆弱的防护御点采取了有效的措施。WEB应用系统的防护需要采用专业的针对应用层的防护措施。针对WEB服务系统我们需要进行有效的防止网页被攻击或恶意篡改,杜绝因攻击而带来的恶性事件发生。针对于更为重要的电力数据我们更需要提高安全防护的水平,确保应用系统的数据不被恶意修改,敏感的数据不被非法访问或泄露。具体的需求主要表现为以下几个方面:1.5.1阻断应用攻击攻击防护方面要求专业的WEB应用防护设备进行防护,能通过对输入内容的过滤及请求过滤实现对WEB站点的保护。能有效防止跨站脚本攻击、SQL注入等常见攻击。同时还需要有强大的可定制功能,针对WEB应用系统站点的特性进行定制安全策略,从而最大程序防护WEB站点。技术解决方案1.5.2屏蔽安全隐患为了防止服务端敏感信息泄露需要通过有效的技术手段对现有网站的敏感信息进行屏蔽,如备份文件的下载、敏感数据库下载,管理后台的外网尝试等,另外要求能屏蔽编写程序过程中遗留下的程序注释,对服务出错信息进行有效屏蔽。1.5.3防止网页篡改网页防篡改方面需要一种对服务器性能影响最低,但有实际有效的防护机制。能实时监测网站服务器的相关信息是否给非法更改,一旦发现被改则第一时间通知管理员,并形成详细的日志信息。但对外仍显示篡改前的正常页面,用户可正常访问网站。事后可对原始文件及篡改后的文件进行本地下载比较,查看篡改记录,恢复被篡改的页面。技术解决方案2WEB系统防护解决方案2.1WEB安全需求对于政府企事业单位对Web应用的安全防护主要包括如下需求:部署简便,管理集中,操作简洁,性能影响甚微。包括:对现有网络拓扑结构无影响。方便管理,无需进行复杂的配置。对现有WEB服务器的访问速率不能造成太大的影响。对正常业务访问不能进行错误的拦截阻断。通过对普遍政府企事业单位对WEB安全防护的需求,我们的解决方案将在在XX市市政设施综合养护管理处所需要保护的WEB门户服务器前端透明直连部署一台明御WEB应用防火墙,对网站实行7X24小时的实时监控,保护WEB站点数据不被攻击,避免网页篡改给网站带来的形象损害,避免信息内容不合规等额外难题;轻松解决网站面临的WEB攻击、网页挂马等安全问题。2.2系统目标通过安恒明御WEB应用防火墙系统的建设与应用,实现对客户WEB应用系统网站的深度应用攻击防护,支持HTTP/S的双向深度分析,实施抵御各类攻击,包括SQL注入、命令注入、Cookie注入、Cookie假冒、跨站脚本(XSS)、敏感信息泄露、挂马攻击、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、强制访问、应用层拒绝服务、其他变形的应用攻击。技术解决方案2.3系统功能示意图2.4系统部署示意图技术解决方案2.5明御