业务背景
政府门户网站是政府职能部门信息化建设的重要内容,同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台,是国家重要信息系统。
而近年来,随着政府网站所承载业务的数量和重要性逐渐增加,以及其面向公众的性质,关于政府门户网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生,严重影响了人们对政府网站公信力的认可。根据cncert统计,2015年我国境内政府网站被篡改数量为898个,境内被植入后门的政府网站有3514,政府网站安全形势日益严峻,而政府网站被攻击后造成的巨大政治风险、名誉损失、公信力下降已经成为电子政务健康发展的巨大障碍。
安全挑战
DDoS攻击问题
来自内外部人员的各种接入请求中,可能夹杂着异常访问行为,如果不加以识别和清洗,会使得Web服务器充斥大量需要回复的响应信息,严重消耗网络和系统资源,导致政府网站无法对外正常提供服务,造成拒绝服务问题,影响政府形象和对外服务开展。
WEB应用入侵问题
WEB应用入侵是指攻击者利用WEB攻击技术来达到入侵WEB站点后台系统的目的,比较常见的攻击行为包括OWASP定义的十大WEB安全威胁,如SQL注入、XSS攻击、CSRF跨站请求伪造等,一旦入侵成功,还会进一步造成网站篡改、网页挂马、信息泄露等安全问题,从而对铁路部门的形象和信誉造成很大的损害。
网页篡改/挂马问题
网页篡改/挂马是指攻击者利用Web应用程序漏洞获取相关权限,将正常的网页内容替换为攻击者提供的网页/文字/图片等内容,或者在网站页面注入木马程序。一般来说,网页篡改对计算机系统本身不会产生直接的影响,但对于各级政府来说,网站代表了政府部门的脸面,由于篡改造成的信誉受损、信息误导和违法信息传递,会对政府部门造成严重的损害;而网页挂马会导致网站的访问用户感染木马程序,对政府网站的正常运作产生影响,并降低政府部门的公信度。
敏感信息泄漏问题
政府网站后台数据库可能存储有大量的敏感信息,比如公务人员身份信息数据、账户密码等,黑客一旦入侵成功并获得相关权限,极有可能会窃取数据库中储存的用户资料、身份信息、账户信息、联系方式等敏感信息,这将对政府机关机关日常运行产生巨大的不良影响。
安全漏洞引入问题
网站系统与其他C/S系统不同的是网站更新周期非常频繁,由于新站点、新增栏目导致的新的安全漏洞不断引入,同时底层操作系统和数据库软件也不断爆发新的0day漏洞,造成很大的网站安全隐患。有效发现政府网站新增站点、新增栏目在快速更新过程中引入的安全漏洞,消除安全漏洞隐患,确保新增站点和新增栏目要求的时效性和安全性是政府网站安全面临的巨大挑战。
解决方案
政府网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而政府网站所面临的安全风险贯穿前端WEB访问到后端数据处理和反馈整个过程。因此,对于政府门户网站来说,从其规划和开发阶段就要引入相应的安全核查和整改建设。而对于大多数已投入使用的政府门户网站而言,由于不太可能投入大量的人力去重新开发或做大规模的代码级整改,因此如何在运行阶段进行有效的安全防护成为关注的焦点。
交大捷普基于多年来的技术积累和项目实践,能够提供一整套网站安全防护体系,从网络层、系统层、应用层等不同维度构建防护体系,确保攻击危害发生的事前、事中、事后都能得到及时保障。
访问控制和DDoS防御
在Internet出口处部署交大捷普下一代防火墙系统,利用强大的访问控制和抗DDoS攻击功能,防止不必要的服务请求进入网站系统,阻断来自外网的拒绝服务攻击,减少被攻击的可能性。
系统漏洞保护
通过网站服务器区域部署交大捷普漏洞扫描系统、入侵防御系统,可及时发现主机系统、数据库应用、网络设备及其他业务系统中存在的补丁漏洞和配置漏洞,方便管理人员及时进行加固,保障网站业务区域的安全性,同时通过捷普入侵防御系统虚拟补丁功能,可以防止黑客的漏洞入侵行为。
应用层防护
在网站服务器前部署交大捷普Web应用防火墙系统,通过Web应用防护系统有效控制和缓解HTTP及HTTPS应用下各类安全威胁,如SQL注入、XSS、CSRF、cookie篡改以及应用层DDoS等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障门户网站的高可用性和可靠性。
网页防篡改
在Web服务器系统上部署交大捷普网页防篡改系统,通过内核级的文件驱动与事件触发结合技术,在操作系统底层实现文件写保护,避免受保护的Web网页和文件被恶意篡改。
解决方案
1、通过访问控制策略ACL实现不同的网络安全域划分,防止非授权访问;
2、通过WEB安全防护,实现对Web服务器、数据库服务器等网站业务的安全防护,防止进一步的安全风险产生;
3、通过风险评估和实时漏洞扫描功能对新增栏目、新增站点和实时业务进行安全体检,保障新业务的安全、快速上线;
4、通过IPS入侵防御模块可实现对各类应用服务器的操作系统漏洞、应用程序漏洞的防护,防止黑客利用这些漏洞侵入业务服务器窃取信息;
5、通过DDoS/DoS攻击防护模块可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题;
6、通过弱密码评估功能,帮助管理员对数据库、FTP等系统进行弱密码检查,防止由于密码过于简单、空口令等风险导致政府部门网站被黑客利用的风险;
7、通过敏感信息防泄漏功能,实现对网站源代码、帐号信息、重要配置、身份信息等多种敏感信息的泄漏行为,有效避免黑客攻击绕过后的信息窃取行为;
8、通过安全设备可视化报表,从业务系统维度对网络中的安全状况进行整体分析,并提供对业务系统安全状况的可视化呈现,方便用户快速了解业务安全状况。
客户价值
提升WEB安全整体防御效果,有效抵御各类攻击。
维护和提升政府机构的形象和公信力。
解决政府机构运维人员专业安全分析能力不足问题。
满足来自国家及行业监管部门的合规性安全检查要求。
协助安全事件取证以及事后追溯。
保障节假日或重大事件时网站安全监测和防护要求。