政協入口網站防護解決方案

第一方面↟☁·₪：政策導向

政策導向一↟☁·₪：中華人民共和國公安部令-第82號

政策原文↟☁·₪：開辦入口網站◕·、新聞網站◕·、電子商務網站的·▩•，能夠防範網站攻擊◕·、網頁被篡改·▩•，被篡改後能夠自動恢復；

政策導向二↟☁·₪：國務院辦公廳關於進一步加強政府網站管理工作的通知

政策原文↟☁·₪：網站安全防範工作是否到位·▩•，是否採取了防攻擊◕·、防篡改◕·、防病毒等安全防護措施·▩•，並制訂了應急處置預案；；

政策導向三↟☁·₪：工信部會議

2012年8月7日·▩•，工信部在北京召開了學習《國務院辦公廳關於開展重點領域網路與資訊保安檢查行動的通知》的有關會議▩•✘。各省◕·、各市的測評中心都在對政府單位網路安全進行安全裝置檢查·▩•，重點檢查是網站防篡改軟體是否安裝·▩•，保證“黨的十八大”期間·▩•，政府網站不被篡改·▩•，保證政府形象不受損失▩•✘。

第二方面↟☁·₪：網站安全風險導向

門戶類網站成為駭客主要攻擊目標·▩•，安全漏洞及配置問題·▩•，而引發網頁資訊被篡改◕·、入侵等安全事件屢見不鮮▩•✘。

1. 入口網站程式設計存在的安全問題·▩•，網站程式設計者在編寫時·▩•，對相關的安全問題沒有做適當的處理·▩•，存在安全隱患·▩•，如SQL注入·▩•，上傳漏洞·▩•，指令碼跨站執行等·▩•，網站遭到掃描器頻繁掃描·▩•，網站漏洞洩密▩•✘。

2. 網站訪問量巨大·▩•，需要多臺網站伺服器對流量分擔·▩•，雙機部署支援對多臺流量分攤伺服器進行均衡保護

3. 入口網站是政府的形象·▩•，是政府對大眾宣傳的視窗·▩•，維護政府形象·▩•，保證網站真實性▩•✘。

4. 根據等保要求·▩•，政府入口網站必須設定主服務和備份伺服器進行異地網站備份▩•✘。如果對異地網站進行網站防護聯動
網站建設針對門戶類網站因需要被公眾訪問而暴露於因特網上·▩•，容易成為駭客的攻擊目標▩•✘。其中·▩•，駭客和不法分子對網站的網頁(主頁)內容的篡改是時常發生的·▩•，而這類事件對公眾產生的負面影響又是非常嚴重的·▩•，即↟☁·₪：形象受損◕·、資訊傳達失準·▩•，甚至可能引發資訊洩密等安全事件▩•✘。網頁篡改者利用作業系統的漏洞和管理的缺陷進行攻擊·▩•，而目前大量的安全措施(如安裝防火牆◕·、入侵檢測)集中在網路層上·▩•，它們無法有效阻止網頁篡改事件發生▩•✘。

政協網站是政府對大眾的重要宣傳媒體之一·▩•，政協網站訪問量巨大·▩•，網站在架構的時候使用了叢集網站開發·▩•，使用負載均衡裝置進行流量分攤·▩•，近期2013年兩會的召開·▩•，正是政府領導班子換屆之時·▩•，不管中國大眾老百姓◕·、還是全世界各大媒體都聚焦在兩會上·▩•，對於駭客或一些恐怖份子·▩•，政協網站的攻擊是揚名立萬的快速途徑之一

政協入口網站防護解決方案
根據這個現狀可以看出·▩•，DMZ出口根本沒有任何安全裝置·▩•，內部的負載均衡器只能針對大量訪問時·▩•，進行對訪問流量的分攤·▩•，當出現大量訪問攻擊或是SQL注入◕·、XSS跨站指令碼攻擊時·▩•，任何的流量分攤都不復存在▩•✘。

在整個網路出口會有傳統防火牆·▩•，傳統防火牆主要針對網路層進行安全過濾·▩•，針對應用層的攻擊防護是少之又少·▩•，主要是針對HTTP協議中的SQL欺騙◕·、資訊欺騙等攻擊方式·▩•，傳統防火牆對之是束手無策▩•✘。

網站的內容是大眾瞭解兩會重要渠道之一·▩•，保證網站內容不被篡改·▩•，維護政府形象視窗·▩•，不管是傳統防火牆還是IPS◕·、IDS等傳統安全裝置是愛莫能助▩•✘。

針對政協網站目前存在的安全問題·▩•，我們建議採用專業的安全方案來解決▩•✘。採用Web應用防火牆和網頁防篡改系統來確保網站不再駭客攻擊和篡改的問題▩•✘。

在此我們建議可採用網神綜合的◕·、專業的WEB安全防護系統來作為本次安全解決方案的主打產品▩•✘。網神SecWAF 3600 Web應用防火牆採用業界獨一無二的軟硬體相結合的方式進行網站防護·▩•，硬體針對駭客的大流量攻擊進行有效過濾·▩•，軟體針對網站的真實性進行實時監控·▩•，保證網站不被篡改▩•✘。具體部署方式如下圖所示↟☁·₪：


1◕·、滿足政府網站建設合規性

滿足及符合中華人民共和國公安部令-第82號及國務院辦公廳關於進一步加強政府網站管理工作的通知相關政府網站建設要求▩•✘。

2◕·、軟硬防護相結合·▩•，打破傳統防禦理念

在本次方案中我們建議在負載均衡後面的兩條鏈路中·▩•，各放一臺Web應用防火牆進行分流保護▩•✘。使用雙機進行分流保護·▩•，可以針對大流量攻擊或訪問進行“削峰填谷”的作用▩•✘。使用網神推出的“事前掃描◕·、事中防護◕·、事後彌補”的一體化解決方案▩•✘。事前·▩•，SecWAF提供Web安全評估·▩•，檢測Web應用程式是否存在SQL注入◕·、跨站指令碼漏洞▩•✘。事中·▩•，對駭客入侵行為◕·、SQL注入/跨站指令碼等各類Web應用攻擊◕·、DDoS攻擊進行有效檢測◕·、阻斷及防護▩•✘。事後·▩•，針對當前的安全熱點問題·▩•，網頁篡改及網頁掛馬·▩•，提供診斷功能·▩•，降低安全風險·▩•，維護網站的公信度▩•✘。

3◕·、探查網站安全遺漏

網神SecWAF 3600 Web應用防護牆集成了Web掃描器功能·▩•，可以在前期對客戶網站進行一次整體性的評估·▩•，評估我們的網站研發人員在編寫程式碼時·▩•，出現了哪些安全疏忽·▩•，評估出安全疏忽·▩•，才可以針對疏忽進行安全防護▩•✘。

4◕·、智慧分析防護◕·、降低誤判·▩•，減少負面影響

網神自主開發的主動防禦功能·▩•，智慧針對攻擊進行檢測·▩•，減少誤判率·▩•，減少正常訪問被攔截造成負面影響·▩•，針對駭客進行掃描器或爬蟲進行漏洞巡查進行有效攔截·▩•，保證駭客無法查詢到任何安全漏洞·▩•，讓駭客對網站攻擊無從下手·▩•，隱藏網站漏洞·▩•，偽裝網站·▩•，提高網站性▩•✘。

主動防禦會對流量進行三分鐘檢測機制·▩•，當被判定為攻擊後·▩•，會在三分鐘後對瀏覽者進行重新攻擊識別·▩•，當是正常訪問時·▩•，則批准訪問網站▩•✘。打破了傳統的“一刀切”的暴力阻斷模式·▩•，智慧識別防禦可以降低誤判率·▩•，從而提高因暴露阻斷網站訪問而帶來的負面影響▩•✘。

5◕·、巨大流量透過HA“削峰填谷”

雙機HA可以設定為主主防護模式·▩•，針對負載均衡器進行訪問流量分配·▩•，兩臺Web應用防火牆都在同時工作進行流量過濾·▩•，降低因為單機裝置達不到效能要求而出現宕機◕·、網站不能訪問等問題▩•✘。針對政協兩會期間·▩•，訪問量與日俱增的爆炸性增長起到“削峰填谷”的作用▩•✘。

6◕·、透過網頁防篡改·▩•，維護兩會形象

針對政協兩會的影響力·▩•，駭客看重了網站的宣傳能力和政治意義·▩•，所以網站頻繁遭到駭客篡改·▩•，新增其他網站連結·▩•，導致網站公信力下降·▩•，網神SecWAF 3600 Web應用防火牆內建網頁防篡改模組·▩•，使用核心保護和觸發更新技術對網站進行防篡改·▩•，當駭客對網站篡改時·▩•，觸發更新技術會第一時間記錄到網站被篡改被還原網站原有形態·▩•，保證網站不被駭客篡改·▩•，並用核心保護技術·▩•，對網站的資料庫◕·、網站架構進行許可權保護▩•✘。