深信服网络安全及优化方案
SANGFOR
首页 >> 解决方案 >> 深信服网络安全及优化方案
电子政务网站安全一站式解决方案

1       应用背景

            为响应国务院第492号令—《中华人民共和国政府信息公开条例》,各地政府部门积极深入发展电子政务建设。旨在提高政府工作的透明度,促进依法行政,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用。电子政务网站(gov.cn)是政府职能部门信息化建设的重要内容,主要实现政务信息公开、在线办事、政民互动的三大功能定位。政府门户网站是电子政务的窗口,也是政府的窗口,是政府部门履行职能、面向社会提供服务的官方网站,是提高政府电子政务服务质量、服务效率、公众认知度和满意度的关键环节,是国家重要信息系统。保障电子政务网站安全是各政府部门信息安全建设的核心要求。是各地电子政务建设的重要组成部分,作为当地政府面向社会的窗口,是公众与政府互动的重要渠道。

十八大即将召开,网站安全建设格外重要

            中共十八次全国代表大会将于2012 年下半年在北京召开。作为中国政府的对外窗口——政府门户网站,也将面临严峻的考验。可以预见的是,届时各级政府门户网站的访问量将会承受来自世界各地的严峻考验。如何做好党的十八大期间网络与信息安全保障是今年各级政府的一项重要工作,各地也纷纷出台了各项制度和管理规范,就十八大期间的网站安全和保障工作进行了专项部署。为充分发挥政府网站在政府信息公开、提升政府公信力等方面的重要作用,各级政府网站提出了如下要求:

            一、充分发挥政府网站的信息公开、在线服务、互动交流作用

                  二、强化督导检查,确保网站安全

                  三、加强沟通协作,合力办好政府门户网站

网站安全事件剧增,网站用户信息泄漏引发关注

            近年来,网站安全事件数量不断攀升,电子政务网站成为了主要目标,国家互联网应急中心(CNCERT/CC)《2011年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%4-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。

            而网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底,CSDN、天涯等网站发生用户泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益和互联网安全。”

境内政府网站遭受境外网络攻击增多

            在政府网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外11851IP通过植入后门对境内10593个网站实施了远程控制,其中美国有3328IP(占28.1%)控制着境内3437个网站,位居第一,源于韩国(占8.0%)和尼日利亚(占5.8%)的IP位居第二、三位。

传统解决方案已无法满足新形势下的应用安全威胁

            根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层,2/3 Web 站点都相当脆弱,易受攻击。而针对web的攻击往往隐藏在大量的正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。    而部分多功能防火墙或者是UTM虽然具备了部分应用层安全防护的能力,但由于其实现方式、缺乏应用层协议的理解能力。在应用层攻击防护上存在严重不足。

2       需求分析

2.1     网站安全现状分析

            请根据用户实际环境补充

2.2     网站安全风险分析

            电子政务网站包含Web服务器、存储服务器、数据库服务器等多种类型的业务服务器,向internetintranet等多个区域提供服务,电子政务网站要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而传统的安全隔离形式仅仅是通过vlanACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段,从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成众多泄露事件的原因之一。目前电子政务网站可能面临的攻击结果有以下几种:

            一、网页篡改问题

            网页篡改是指攻击者利用Web应用程序漏洞将正常的网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响,但对于电子政务网站,需要与用户通过网站进行沟通的应用而言,就意味着电子政务服务将被迫停止服务,对政府形象及信誉会造成严重的损害。

            二、网页挂马问题

            网页挂马也是利用Web攻击造成的一种网页篡改的安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏了网页的完整性。网页挂马会导致Web业务的最终用户成为受害者,成为攻击者的帮凶或者造成自身的损失。这种问题出现在电子政务网站中也严重影响网站的正常运作并影响到政府单位的公信度。

            三、敏感信息泄漏问题

            这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于电子政务网站而言是致命的打击,可产生巨大的不良影响。

            四、无法响应正常服务的问题

            黑客通过DOS/DDOS拒绝服务攻击使电子政务网站无法响应正常请求。这种攻击行为使得Web服务器充斥大量要求回复的信息,严重消耗网络系统资源,导致电子政务网站无法响应正常的服务请求。对于电子政务网站而言是巨大的威胁。

            ……

2.3     网站安全威胁分析

            为了保证电子政务网站业务正常运行,保证电子政务网站不受到上述安全问题的影响。电子政务网站应重点关注以下安全威胁:

1、可造成数据库信息泄露、网站挂马篡改、资源获取的web攻击

            SQL注入、XSSCSRF等攻击是常见的包含在http正常请求中的web攻击,可以通过80端口渗透传统防火墙与多功能网关,造成正对数据中心数据库服务器、web服务器、存储服务器的攻击,可能导致信息泄露、数据中心服务器挂马、数据中心B/S业务篡改、甚至是电子政务网站业务中断。

            SQL注入等web攻击逃逸攻击,由于传统的多功能网关或者IPS实现应用层攻击仅仅通过DPI数据包的深度检测进行攻击特征分析,攻击行为一旦采用了逃逸手段,传统多功能网关类设备或者IPS设备便无法检测出来。聪明黑客会通过多种手段对防止攻击行为被检测,一旦攻击被利用重新编码、分片、乱序等逃逸处理方式,传统的多功能网关将无法检测并防护。只有真正对数据流进行深度内容解析,理解协议本身,还原其真实的攻击行为才能够进行有效的阻断。

            其他针对电子政务网站的web攻击还包括:信息泄露攻击、目录遍历、系统命令注入、webshell等多种传统基于DPI技术的多功能网关无法防御的攻击,如:

            信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞,导致一些系统文件或者配置文件直接暴露在互联网中,泄露web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。

            目录遍历漏洞攻击就是通过浏览器向web服务器任意目录附加“../”,或者是附加“../”的一些变形,编码,访问web服务器根目录或者之外的目录。

            系统命令注入是攻击者提交的特殊字符或者操作系统命令,web程序没有进行检测或者绕过web应用程序过滤, 把用户提交的请求作为指令进行解析,导致操作系统命令执行。

            ……

2、可获得高级系统权限,造成系统瘫痪的漏洞利用攻击

            利用web服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,可造成使黑客获取更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。如:

            操作系统漏洞:构架网站的Web系统包括底层的操作系统(windows sever20032007XP)和Web业务常用的发布系统(如IISApache),这些系统本身存在诸多的安全漏洞;

            应用程序漏洞:构架网站Web系统包括Web业务常用的发布系统(如IISApache),这些系统本身存在诸多的安全漏洞;

            ……

3、可造成网站瘫痪的网络层+应用层拒绝服务攻击

            常见的网络层DDOS攻击方法有SYN FloodEstablished Connection FloodConnection Per Second Flood等;应用层DOS/DDOS攻击包括:http get flood等攻击。

            这些网络层和应用层DOS/DDOS攻击会耗尽用户宝贵的网络和系统资源,使依赖计算机网络的正常网站业务无法进行,严重损害政府的声誉并造成极大的损失,使IT部门承受极大的压力。

4、绕过防御体系对业务系统的信息泄露攻击

            网络安全往往不是绝对的,黑客仍有机会渗透安全防御体系进行更有目的性、攻击性的攻击。黑客绕过防御体系对后台数据库进行攻击,导致在数据中的储存的用户资料、身份证信息、账户信息、联系方式等敏感信息被攻击者获取的信息泄漏攻击对网站本身产生重大的威胁,同时也涉及到政府网站后台的涉密敏感数据信息。

……

3       深信服一站式网站安全解决方案

3.1     深信服NGAF一站式网站安全方案概述

            深信服提供电子政务网站一站式完整安全解决方案。通过部署深信服下一代防火墙NGAF,可实现业务服务器的业务逻辑隔离,核心业务带宽保障、防止网络层、应用层安全威胁在数据中心内扩散。

            NGAF的部署可以从从攻击源头上防护导致电子政务网站的各类网络/应用层安全威胁;同时深信服下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题,实现防攻击、防篡改、防泄密的效果。

            1NGAF通过访问控制策略ACL可实现Web服务器区、数据库服务器区、DMZ等区域的网络安全域划分,阻断各个区域间的网络通信,防止威胁扩散,防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题;

            2NGAF通过服务器防护功能模块的开启,可实现对各个区域(尤其是DMZ区)的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题;

            3NGAF通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能开启IPSWAF模块的对应策略,可帮助管理员的实现针对性的策略配置;

            4、利用NGAF入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003linuxunix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracleMSSQLMySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;

            5NGAF防病毒检测的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;

            6NGAF DDOS/DOS攻击防护模块可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题。

3.2     深信服NGAF方案设计理念

            深信服NGAF提供对电子政务网站安全三维立体防护解决方案,深入分析黑客攻击的时机和动机。从事件周期、攻击过程、防护对象三个维度出发,提供全面的安全防护手段,保护web业务系统不受来自各方的侵害。

基于事件周期的设计

            攻击的防护不可能实现百分百的安全。电子政务网站的安全建设必须贯穿到整个Web安全事件周期中,设立事前、事中、事后三道安全防线分阶段进行防护。

            NGAF提供事前策略自检、事中攻击防护、事后防止篡改的整体安全防护。

Ø  事前策略自检:在配置完安全策略后,NGAF可以自动进行扫描和探测,查看系统还存在哪些安全策略漏洞和隐患;

Ø  事中攻击防护: 2-7层完整的安全防护,包括:Web攻击防护、漏洞防护、病毒防护等;

Ø  事后网页篡改响应:可以针对被篡改的静态网页进行告警、替换、还原等功能。

基于攻击过程的安全防护

            传统的web安全防护采用的是防火墙+IPS+WAF割裂式的安全防护体系,针对各类的攻击总是被动的增补相应功能的安全设备。而对于Web安全防护不是单一攻击手段的防护,而需要对黑客攻击动机与时机进行分析,基于黑客的攻击过程的每一个环节进行统一防护。

            NGAF的设计是基于黑客攻击过程的完整Web系统安全防护,针对黑客入侵三步曲即扫描、入侵、破坏进行统一的安全防护:

Ø  扫描过程:提供防端口/服务扫描、防弱口令暴力破解、关键URL防护、应用信息隐藏等

Ø  攻击过程:提供强化的Web攻击防护(防SQL注入、OS命令注入、XSS攻击、CSRF攻击)、多对象漏洞利用防护等

Ø  破坏过程:提供抗应用层DOS攻击、可执行程序上传过滤、上行病毒木马清洗等

多维对象的全面防护

            安全的漏洞就像木桶的短板,任何可以被黑客利用的机会都可能导致所有的防护措施形同虚设。对众多用户网络安全现状分析后,发现安全问题是多角度、多方面的,在Web安全规划中,一味强调Web服务器的防护是远远不够的。面对防护全面的Web应用服务器,黑客往往以退为进采用“跳板式攻击”,先突破漏洞较多的内网终端,通过内网终端窃取密码后堂而皇之的入侵Web服务器。

            NGAF不仅提供强化的服务器安全防护,针对网内存在巨大安全风险,很有可能成为“肉鸡”被黑客利用的终端也采取了严格的防护措施。

Ø  基于终端漏洞防护

Ø  终端的病毒防护

Ø  恶意插件、脚本过滤

      NGAF充分考虑安全事件周期性,基于黑客攻击行为的过程,提供多维对象防护的完整Web安全解决方案。

      除此之外,NGAF涵盖了L2-L7全面的安全功能,可以替代FWIPSWAF,节省投资。同时,简化了组网,统一了管理,极大地提升运维工作效率。

3.3     深信服NGAF方案特点

3.3.1  双向内容检测技术

            NGAF可实现对HTTP/HTTPS协议的深入解析,精确识别出协议中的各种要素,如cookieGet参数、Post表单等,并对这些数据进行快速的解析,以还原其原始通信的信息,根据这些解析后的原始信息,可以精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术,只能实现在网络层数据包层面进行重组还原及特征匹配,无法解析基于HTTP协议的内容分析,很难有效检测针对web应用的攻击。而具备简单web攻击防护的IPS,仅仅是基于简单的特征检测技术,存在大量的漏报误报的信息。

            NGAF作为web客户端与服务器请求与响应的中间人,能够有效的避免web服务器直接暴露在互联网之上,NGAF双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文,对恶意流量,以及服务器外发的有风险信息进行实时的清洗与过滤。

3.3.2  典型的Web攻击防护,防止Owasp十大web安全威胁

            深信服下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护电子政务网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

3.3.3  基于应用的深度入侵防御,有效防止服务器漏洞利用攻击

            NGAF基于应用的深度入侵防御采用六大威胁检测机制:攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析能够有效的防止各类已知未知攻击,实时阻断黑客攻击。如,缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。

            通过NGAF的部署可有效防止利用web服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,使黑客获取更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。

3.3.4  网关型网页防篡改,防止篡改网页被用户访问

            网页防篡改功能是深信服下一代防火墙NGAF-服务器防护中的一个子模块,其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。

            当网页被数据篡改后,用户看到的页面变成了非法页面或者损害政府形象的网页,这种事故往往会给政府造成很严重的影响。深信服下一代防火墙NGAF网站篡改防护功能可有效降低此类风险,当内部网站数据被篡改之后,设备可以重定向到备用网站服务器或者指定的其他页面,并且及时地通过短信或者邮件方式通知管理员。

3.3.5  可定义的敏感信息防泄漏,有效防止“拖库”、”暴库

            NGAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。

Ø  邮箱账户信息

Ø  MD5加密密码

Ø  银行卡号

Ø  身份证号码

Ø  社保账号

Ø  信用卡号

Ø  手机号码

……

            通过深信服深度内容检测技术的应用,深信服下一代防火墙具备深度内容检测的能力。能够检测出通过文件、数据流、标准协议等通过网关的内容。因此具备针对敏感信息,如186139等有特征的11位的手机号码、18位身份证号,有标准特征的@邮箱等有特征数据进行识别。并通过分离平面设计的软件构架,实现控制平面与内容平面检测联动,通过控制平面向底层数据转发平面发送操作指令来阻断敏感信息的泄漏。有防护了各单位、政府、金融机构的敏感泄漏的风险。

3.3.6  应用信息隐藏,使网站对黑客全面隐身

            NGAF可提供外部访问网站进行隐身,可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息,让黑客看不见,摸不着,探测不到,自然也无从猜测分析和攻击。亦可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。

            当客户端访问WEB网站的时候,服务器会通过HTTP报文头部返回客户端很多字段信息,例如ServerVia等,Via可能会泄露代理服务器的版本信息,攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。

            网站扫描也是黑客获取网站信息关键的步骤,通常会对WEB站点进行扫描,对WEB站点的结构、漏洞进行进行扫描。NGAF设备可以检测到如爬虫、扫描软件,如appscan、等多种扫描攻击行为并进行阻断。

3.3.7  智能的DOS攻击防护,保证网站访问可用性

            NGAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。

3.3.8  安全风险评估与策略联动,降低安全维护成本

            NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。

3.3.9  智能的防护模块联动,防止有目的网站APT攻击

            智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。

3.3.10                  完善产品容错能力,保证网站访问的稳定性

硬件bypass

            NGAF可实现硬件故障bypass保证数据中心稳定性。借助于掉电保护模块,可保证NGAF透明模式在断电、硬件故障等异常情况下能够确保网络的通畅性,并实现微秒级切换。

关键部件冗余

            NGAF支持关键部件冗余的容错机制,保证设备在高温等恶劣环境下出现故障时的快速切换。

n  支持双电源,避免由于单电源故障造成的系统不能访问

n  风扇1+1冗余,避免单风扇在高温情况下不能工作的问题

n  支持热插拔

存储介质冗余

            为保证存储日志的冗余,防止硬盘出现故障时无法记录日志的问题,能够避免由于单磁盘故障造成设备不能使用的情况。

分离平面设计

            深信服NGAF采用OS分离平面设计,数据流平面上分为控制平面、网络数据转发平面与内容检测平面。网络层数据转发平面主要作用在于使数据包快速缓存并转发;内容检测平面主要用户数据流应用识别与安全分析,结合应用识别、漏洞特征识别、web攻击流量识别等模块完成应用层安全分析与防护。

            使用数据转发平面与内容检测平面相分离的技术设计,能够优化处理流程,有效保障网络数据的可用性。正常情况下,数据流由数据转发平面复制到内容检测平面进行深度内容检测,当有威胁内容时,通过控制平面阻断数据转发平面有威胁数据的外发,保证内容的安全性。当内容检测模块出现故障时,通过控制平面数据转发层面会将数据正常转发,保证网络畅通保障业务正常运行。

3.4     方案价值

            深信服电子政务网站安全“一站式“解决方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套安全防护解决方案。该方案有效的弥补了传统安全解决方案在Web业务安全防护能力的不足:

            事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;

            事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;

            事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系,对Web业务产生的网站篡改、数据泄漏问题。

            同时该方案从简化组网、方便运维、最优投资的用户角度出发,可为电子政务网站打造L2-L7层的安全防护体系构架,实现完整的安全防护,同时在可用性、可靠性上采用了深信服特有的先进技术电子政务网站的正常稳定运行,打造一个“安全”、“可靠”、“高效”的“一站式“电子政务网站安全解决方案。

版权所有:深圳力豪信息技术服务有限公司 粤ICP备13013844号-1 DESIGN BY EBMS