XXX政府门户WEB系统安全方案

XXX政府设施综合养护管理处

门户WEB系统

安全解决方案

XXXX 信息技术有限公司

二〇一三年六月

目录

1建设背景 (3)

1.1安全背景与现状 (3)

1.2典型应用架构 (4)

1.3安全体系缺少应用防护 (4)

1.4安全分析 (5)

1.5应用层防护的必然性 (6)

1.5.1阻断应用攻击 (6)

1.5.2屏蔽安全隐患 (7)

1.5.3防止网页篡改 (7)

2WEB系统防护解决方案 (8)

2.1WEB安全需求 (8)

2.2系统目标 (8)

2.3系统功能示意图 (9)

2.4系统部署示意图 (9)

2.5明御WEB应用防火墙功能及优势 (10)

2.5.1功能价值 (10)

2.5.2专业的应用防护 (11)

2.5.3完善的事件处理 (12)

2.5.4突发事件响应 (13)

2.5.5专业7*24技术支持 (15)

2.6部署方式 (16)

2.6.1透明直连模式（推荐） (16)

2.6.2网关模式 (17)

2.6.3旁路监控模式 (17)

2.6.4HA双机模式 (18)

3推荐产品型号 (19)

4原厂商简介...................................... 错误！未定义书签。

4.1全球领先的专利技术........................ 错误！未定义书签。

4.2公司历程................................. 错误！未定义书签。

4.3客户案例................................. 错误！未定义书签。

1 建设背景

1.1 安全背景与现状

随着信息化的日益深刻，信息网络技术的应用日益普及，网络安全问题已经会成为影响网络效能的重要问题。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。研究WEB应用系统信息安全问题、开发相应的应用系统、制定WEB应用系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。WEB应用系统信息安全已经成为政府、企业，生产、经营和管理的重要组成部分。如何使信息网络系统不受黑客和病毒的入侵，如何保障数据传输的安全性、可靠性，也是建设信息系统过程中所必须考虑的重要事情之一。

另外近年来，对公共用户提供服务的网站所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如蠕虫、病毒、木马、DDOS攻击等，极大地困扰着安全管理人员，给公共服务类网站的信息网络造成严重的破坏。一旦攻击得逞，必将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。网页篡改还有可能被用于恶意商业竞争，比如通过篡改某权威知名媒体网站网页，发布对竞争对手不利的虚假信息。

WEB系统（门户、OA）作为政府企事业单位的重要组成部分，是对外宣传的窗口和实施网上业务的重要平台，其地位非常重要，但其安全形势却不容乐观。据中国互联网应急中心最新统计显示，2009年我国大陆地区政府网页遭篡改事件呈大幅增长趋势，仅2009年3月我国大陆地区被篡改网站的数量就达到2225个。随着政府越来越多的业务系统采用基于WEB服务方式，在给用户提供方便快捷的同时，针对WEB业务的攻击亦在迅猛增长，类似网页被篡改或者网站被入侵等安全事件频繁发生，不但严重影响了政府的对外的权威形象，有时甚至会造成巨大的经济损失，或者严重的社会问题，严重危及国家安全和人民利益。

页面被篡改

门户网站作为“政府形象”的标志之一，常常是一些不法分子的重点攻击对象。门户网站一旦被篡改（加入一些敏感的显性内容），常常会引发较大的影响，严重时甚至会造成政治事件。

另外一种篡改方式是网页挂马：网页内容表面上没有任何异常，却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害，但却会给浏览网站的用户带来损失。更重要的是，政府网站一旦被挂马，其权威性和公信力将会受到打击，最终给信息化建议、电子政务等的普及带来重大影响。

在线业务被攻击

对企业和个人用户提供在线服务，已经成为门户网站的重要功能。这些服务一旦受到拒绝服务攻击而瘫痪、终止，对业务的正常运转必然造成极大的影响，可能会造成经济损失，严重时甚至会影响社会稳定。

机密数据外泄

在线业务系统中，总是需要保存一些企业、公众的相关资料，这些资料往往涉及到企业秘密和个人隐私，一旦泄露，会造成企业或个人的利益受损，可能会给单位带来严重的法律纠纷。

1.2 典型应用架构

XX市市政设施综合养护管理处系正处级全民事业单位，隶属XX市市政设施综合养护管理处领导，依据XX市机构编制委员会宁编字（2004）57号文件的精神，正式挂牌成立于2004年12月28，负责实施市政设施行业管理、养护考核、市管市政设施养护招投标以及市政设施综合养护管理工作。

XX市市政设施综合养护管理处的WEB系统涉及门户系统、邮箱系统、内部OA系统等等。但其采用的B/S架构门户网站（http:// https://www.sodocs.net/doc/a115470421.html,）尤为重要，是单位对外宣传的窗口和实施网上业务的重要平台。包含了政务公开、工作动态、廉政建设、行政许可、公众参与、便民服务等栏目内容。

1.3 安全体系缺少应用防护

安恒信息在对现有安全数据和经验数据对XX市市政设施综合养护管理处的网络及应用环境进行了安全分析，分析表明现有的网络架构已经具备较好的网

络安全防御能力和操作系统安全管理能力，而在WEB应用层面缺少相关的安全防护措施和长效机制。

然而在我们前期调研过程中发现针对WEB应用层的防护却几乎一片空白。信息安全正如木桶理论所描术的那样，WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大，而在于我们是否针对脆弱的防护御点采取了有效的措施。

路由器

图：模拟客户网络环境拓扑

1.4 安全分析

通过安恒工程师针对XX市市政设施综合养护管理处网站所进行的一次远程安全评估结果，暴露了诸多应用层安全问题。

安全评估主机如下：

通过WEB层应用，发现了一系列XX市市政设施综合养护管理处门户网站的安全隐患:

可以认定XX市市政设施综合养护管理处网站的风险等级为：严重。

1.5 应用层防护的必然性

然而在我们调研过程中发现针对WEB应用层的防护却几乎一片空白。信息安全正如木桶理论所描术的那样，WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大，而在于我们是否针

对脆弱的防护御点采取了有效的措施。

WEB应用系统的防护需要采用专业的针对应

用层的防护措施。针对WEB服务系统我们需要进

行有效的防止网页被攻击或恶意篡改，杜绝因攻

击而带来的恶性事件发生。针对于更为重要的电

力数据我们更需要提高安全防护的水平，确保应

用系统的数据不被恶意修改，敏感的数据不被非

法访问或泄露。

具体的需求主要表现为以下几个方面：

1.5.1 阻断应用攻击

攻击防护方面要求专业的WEB应用防护设备进行防护，能通过对输入内容的过滤及请求过滤实现对WEB站点的保护。能有效防止跨站脚本攻击、SQL注入等常见攻击。同时还需要有强大的可定制功能，针对WEB应用系统站点的特性进行定制安全策略，从而最大程序防护WEB站点。

1.5.2 屏蔽安全隐患

为了防止服务端敏感信息泄露需要通过有效的技术手段对现有网站的敏感信息进行屏蔽，如备份文件的下载、敏感数据库下载，管理后台的外网尝试等，另外要求能屏蔽编写程序过程中遗留下的程序注释，对服务出错信息进行有效屏蔽。

1.5.3 防止网页篡改

网页防篡改方面需要一种对服务器性能影响最低，但有实际有效的防护机制。能实时监测网站服务器的相关信息是否给非法更改，一旦发现被改则第一时间通知管理员，并形成详细的日志信息。但对外仍显示篡改前的正常页面，用户可正常访问网站。事后可对原始文件及篡改后的文件进行本地下载比较，查看篡改记录，恢复被篡改的页面。

2 WEB系统防护解决方案

2.1 WEB安全需求

对于政府企事业单位对Web应用的安全防护主要包括如下需求：部署简便，管理集中，操作简洁，性能影响甚微。包括：

?对现有网络拓扑结构无影响。

?方便管理，无需进行复杂的配置。

?对现有WEB服务器的访问速率不能造成太大的影响。

?对正常业务访问不能进行错误的拦截阻断。

通过对普遍政府企事业单位对WEB安全防护的需求，我们的解决方案将在在XX市市政设施综合养护管理处所需要保护的WEB门户服务器前端透明直连部署一台明御WEB应用防火墙，对网站实行7X24小时的实时监控，保护WEB站点数据不被攻击，避免网页篡改给网站带来的形象损害，避免信息内容不合规等额外难题；轻松解决网站面临的WEB攻击、网页挂马等安全问题。

2.2 系统目标

通过安恒明御WEB应用防火墙系统的建设与应用，实现对客户WEB应用系统网站的深度应用攻击防护，支持HTTP/S的双向深度分析，实施抵御各类攻击，包括SQL注入、命令注入、Cookie 注入、Cookie假冒、跨站脚本(XSS) 、敏感信息泄露、挂马攻击、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、强制访问、应用层拒绝服务、其他变形的应用攻击。

2.3 系统功能示意图

2.4 系统部署示意图

2.5 明御WEB应用防火墙功能及优势2.5.1 功能价值

2.5.2 专业的应用防护

动态深度防御

?通过专业WEB入侵异常检测技术，对WEB应用系统访问实施全面、深度

分析，有效识别、阻止各类WEB应用黑客攻击（如SQL注入、钓鱼攻

击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等）。

敏感信息泄露防护

?通过安全防护策略，灵活定义HTTP/HTTPS错误返回的默认页面，避免因

为WEB服务异常，导致敏感信息（如：WEB应用安装目录、WEB服务器

版本信息等）的泄露。

应用加速与访问的合规性

?通过高速缓存和相关算法镜像及管理相关的静态内容，一旦有用户访

问，客户端直接通过明御WEB应用防火墙缓存中获取，避免了用户重

复通过Web服务器并进行协议解析等相关操作，从而加快了访问速

度，减轻了WEB服务器的负担。

网页篡改监测

?通过实时监测网站服务器的相关是否给非法更改，一旦发现被改则第一

时间通知管理员，并形成详细的日志信息。与此同时，明御WEB应用

防火墙系统将对外显示之前的正确页面，防止被篡改的内容被访问

到。

2.5.3 完善的事件处理

防护体系结构图

事前检查

?针对XX市市政设施综合养护管理处的各WEB应用系统及部分未上线的应

用系统，采用WEB应用扫描器进行一次WEB系统全面的OWASP TOP 10

检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可

靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能

力。

事中告警

?针对各类攻击行为及异常访问行为，实时告警并通过各类方式通知给安

全管理员，便于快速处理安全事件。

事后分析

?通过系统内部告警日志，实现对攻击源的定位分析，同时提供各类统计

分析，方便掌握整个应用系统的动态安全状况及运行状态。

2.5.4 突发事件响应

安恒信息具备信息安全服务资质，具备应急处理服务的能力，XX市市政设施综合养护管理处的WEB系统遇到突发安全事件时，安恒信息可以直接提供受国家认证的应急响应服务。协助用户安全处理应急事故等一列系的应急响应工作。

2.5.5 专业7*24技术支持

为了解决客户在使用安恒产品和服务的过程中遇到的各种问题和困难，我们面向全国范围设立了客户服务热线，在提供强大的专业本地安全技术支持服务的同时，还为您提供常见网络安全问题咨询和信息服务。

请通过以下方式联系我们：

问题，根据您的请求进行分析判断，并转给适当的技术工程师进行处理。安恒具有经验丰富的技术工程师、完善的服务跟踪数据库，高效率的升级中心及设备齐全的安全实验室，确保对客户的技术请求做出快速满意的回复。

原厂商杭州安恒信息技术有限公司服务网点总部设在杭州，在接到用户技术支持申报时将及时响应，从申报到最终问题的解决为用户提供一站式服务。

主要服务人员配备如下：

技术服务接口人：熊耀富

负责用户技术支持的申报和受理，技术服务人员的统筹安排，跟踪技术支持进度和质量并完成用户信息及技术支持归档工作，接受用户申诉等。

2.6 部署方式

2.6.1 透明直连模式（推荐）

图 透明直连模式

透明直连模式不需要给WAF配置IP地址，只要将WAF接入业务链路，配置好保护的WEB服务器的IP地址及端口，就可以实现对WEB应用业务的安全检测。同时在透明直连模式下，明御WEB应用防火墙支持各种Vlan环境的安全检测和防护功能。

2.6.2 网关模式

图网关模式

网关模式下，WAF需要配置IP地址，且WEB服务器的网关地址为WEB应用防火墙的IP地址，在这种模式下，后端的多台WEB服务器可以做负载均衡。

2.6.3 旁路监控模式

图旁路监控模式

旁路监控模式下，通过交换机做镜像流量到WAF，WAF对镜像流量进行检测分析，分析业务流量的安全状况。

2.6.4 HA双机模式

图 HA双机模式

双机HA模式下，WAF工作于Active，Standby的模式，即其中一台WAF处于检测防护模式，另外一台WAF处于备用模式，当其中一台WAF所连接的链路或者WAF自身出现故障时，备用的WAF将协商进入检测防护模式。

3 推荐产品型号