政府網站安全現(xiàn)狀
隨著政務信息化的深入����,Web應用在電子政務系統(tǒng)中所占的比重越來越來。門戶網站����、政務公開、電子政務的廣泛應用�,政府網站既提高政務效率���,又成為政府與公眾溝通的橋梁。
在國慶閱兵�、汶川地震等關鍵時刻,有關部門第一時間通過網站發(fā)布權威信息���,對提高公民知情權�,保證社會和諧穩(wěn)定�,具有重要意義。
但與此同時�����,Web 應用正成為最大的網絡安全盲點����。目前黑客攻擊所用到的技術都是防火墻、IPS等傳統(tǒng)網絡安全范疇之外的基于 Web 應用相關的技術手段����,如SQL注入、跨站攻擊����、網站掛馬等��,很多是利用URL參數(shù)����,Web交互內容�,Web表單輸入等Web應用技術達到攻擊目的。
作為公共信息服務提供者的政府網站也成為攻擊的高發(fā)地帶����,飽受網頁篡改、網站掛馬等Web攻擊的困擾����。據CNCERT統(tǒng)計��,2008年中國政府網站被篡改3595次��,帶來嚴重負面影響���。
現(xiàn)有防護手段與局限
用戶現(xiàn)有的安全防護手段包括防火墻��、IDS/IPS��、網頁防篡改軟件等��。
但是防火墻主要做訪問控制���,由于Web服務必須開放80端口�����,其無法防御通過80端口的HTTP攻擊��。IDS/IPS通過特征庫保護操作系統(tǒng)�、數(shù)據庫��、IIS�����、Apache等通用服務器����;但Web網站是自己編寫的,其漏洞沒有相應特征碼可以識別��。網頁防篡改軟件適合靜態(tài)網頁�,無法恢復動態(tài)網頁;事后恢復沒有解決問題�����,網站可能再次被黑;如果被篡改頁面已經傳播出去����,則無法修復影響;無法滿足合規(guī)性檢查要求�����。
“事前防御”構建網站安全長效機制
為彌補防火墻���、IDS/IPS的Web攻擊防御的盲點����,以及解決網頁防篡改“事后恢復”模式的不足���。銳捷網絡推出WebGuard網站安全解決方案。該方案以“事前防御”與“事后恢復”為思路���,具有以下特色:
高性能產品平臺
RG-WG采用多核硬件架構��,優(yōu)化重寫TCP協(xié)議棧且支持多核的RGOS���,是銳捷WebGuard高性能的技術保障���。
并行多核控制器,根據五元組進行會話的識別與數(shù)據包的均衡分發(fā)���,充分發(fā)揮多核性能����,最高可以實現(xiàn)吞吐量萬兆處理性能。
優(yōu)化重寫的用戶態(tài)TCP Stack���,TCP Stack之間處于完全隔離的進程空間,打破了傳統(tǒng)Kernel TCP Stack 共享數(shù)據鎖的限制����。
防御網頁篡改
RG-WG采用事前防御和事后恢復的雙層策略。既能在事前防御防范與未然��,又能在事后進行頁面恢復��。
RG-WG基于DDSE(深度解碼掃描引擎)解析Web交互信息�����,在進行解碼的基礎上,對攻擊的形式邏輯進行判斷過濾���,實現(xiàn)HTTP深度識別�����。
站點隱身使攻擊者無法獲取服務器信息�,避免攻擊前的滲透掃描��,避免Web服務器出錯信息暴露出系統(tǒng)架構���,從而無法執(zhí)行下一步攻擊����。
虛擬補丁技術保護操作系統(tǒng)��、數(shù)據庫����、Apache�、IIS等Web應用服務平臺,避免Web應用服務平臺被攻擊導致系統(tǒng)隱患。
危險文件下載檢測����,阻斷下載數(shù)據庫等危險文件,避免攻擊者下載用戶密碼等敏感內部信息�����。
合規(guī)性檢查
滿足網頁防篡改合規(guī)性檢查需求�����。
既能對事后恢復���,又能事前保護�����,防御合規(guī)性檢查的探測攻擊�。
防止網站掛馬
檢測過濾ActiveX�、JAVA Applet、iFrame等嵌入式程序�����,卡住攻擊源頭,對未掛馬網站進行預防����。
網站掛馬檢測引擎,對網站頁面進行監(jiān)控診斷�����,及時發(fā)現(xiàn)解決WebGuard部署前已被掛馬的網站�����。
Web服務器保護
保護IDC托管機房����、各類商業(yè)、業(yè)務服務器����,保護各類Web服務器如網銀、精品課程服務器����、游戲服務器、企業(yè)ERP系統(tǒng)等�����。
內置防病毒網關
內置多種Malware檢測規(guī)則���,實時攔截ASP或PHP后門病毒:阻止進而獲取Web管理權限的行為����。
防止網站被掛馬�,防止Web站點成為Malware發(fā)布源頭:避免遭受名譽損失和客戶商業(yè)損失。
Cookie保護
校驗Cookie內容防止Cookie篡改���,校驗Cookie內容和客戶端IP防止Cookie劫持��,加密Cookie內容能防止Cookie內容泄露
防Cookie內容泄露����、防Cookie篡改����、防Cookie劫持,防止攻擊者冒充合法用戶�����。校驗Cookie內容和客戶端IP,加密Cookie�����。
關鍵字過濾
內容關鍵字過濾��,避免網站被上傳反動���、暴力���、色情等類型關鍵字內容,影響社會和諧��。
協(xié)議關鍵字過濾��,允許用戶自定義關鍵字內容��,為個性化業(yè)務系統(tǒng)定制特色保護功能�。
豐富的訪問報表
RG-WG提供豐富的Web服務器訪問日志與報表,提供病毒檢測日志與報表�����,Web攻擊檢測防御日志與報表��,還提供設備運行情況和負載的統(tǒng)計圖表,不僅方便管理員對Web服務器的運維�,還方便管理員對WebGuard本身的運維。
通過WebGuard的訪問報表����,管理員可以掌握網站由誰訪問����,以及攻擊來源,從而有針對性的對網站進行改進��。
完善的黑白名單功能
RG-WG能將確認為攻擊的源IP自動加入黑名單�����,并且提供自動解禁時間�,不需要任何人工的操作,大大方便了管理員的維護與管理�。
RG-WG能定制網站管理頁面的訪問IP,杜絕非網站管理員訪問網站管理頁面�����,從而預防攻擊者直接修改網站頁面����。
易部署
RG-WG支持免配置初次運行��,如果用戶并非安全專家�,默認配置即可防范大多數(shù)攻擊����。
內置多種攻擊防御模型,根據Web交互內容識別匹配應用邏輯定位攻擊�,與服務器本身并無關聯(lián)。輕松實現(xiàn)對web站點的默認防護�����,可根據不同的站點防護需求����,制定不同的防護規(guī)則。
