|网| |方案|

天融信为网站打造信息安全解决方案

发布时间:2010-11-18 15:00 作者:CNW. 来源:CNW. 点击:加载中...次

网站作为信息交互的必要手段之一，其重要性尤为突出，同时网站的安全性也颇受大家关注，本方案从政策要求和技术需求两个方面解决用户的实际问题，保障用户的网站安全。

方案背景

随着我国国民经济和社会信息化进程的全面加快，互联网已经成为人们工作和生活不可或缺的部分。越来越多的政府机关、企事业等部门为了适应社会的发展，树立自身良好的形象，扩大社会影响，也纷纷建立起自己的网站。网站在中央提出的网络文化建设工作中将履行极为重要和核心的职能，它既是媒体，也是窗口和基础平台。然而，根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）2010年1月的统计报告，我国大陆地区被篡改网站的数量为1881个，其中代号为"HEXB00T3R"、"aGReSIF" 和"spook"的攻击者对大陆政府网站进行了大量篡改。我国香港被篡改网站数量为74个，我国台湾被篡改网站数量为17个，网站安全依然很严峻。

安全需求

- 政策要求

    1）公安部第82号令-《互联网安全保护技术措施规定》
    2）等级保护
    3）GB/Z 24294-2009《信息安全技术基于互联网电子政务信息安全实施指南》

- 技术需求

    网站频遭破坏的主要原因在于网站整体安全性差，缺乏必要的日常维护，有的网站虽然在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改。对网站的破坏主要集中在以下几种方式：
    1）利用病毒、蠕虫、木马和间谍软件等恶意代码，破坏系统；
    2）利用系统漏洞，使用缓冲区溢出方式获得管理员权限，从而任意修改网站内容，窃取信息；
    3）XSS攻击，即跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的；
    4）利用DOS、DDOS等方式，造成服务瘫痪；
    5）利用网站应用漏洞使用SQL注入或跨站攻击等方式，获得系统或数据库管理员权限，从而达到网页篡改或破坏网页的目的。

设计思路

我们要构建一个可信的网站防护体系，基于天融信"可信网络架构",建立一个系统化、程序化和文件化的管理体系，体系的建立需要基于系统、全面、科学的安全风险评估。可信的网站防护体现以预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着成本与风险平衡的原则，确保关键信息资产的保密性、完整性和可用性，在达到动态安全管理的同时，支持业务高效运行与业务运行的持续性。

通过对WEB系统的安全评估，总结出其系统的脆弱性，在对WEB系统加固后解决部分安全漏洞，在结合天融信网络卫士TopDenfense网站防护系统实现了恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入、双机热备、自身抗网络攻击能力等功能，以期防止黑客入侵、网站篡改，从而更有效地对网站网页安全进行全方位的保护。

方案设计

以某XXX客户为例的需求分析以及安全目标，我们提出以下解决方案如图所示：

    在部署TopDenfense网站防护系统时，主要包含以下步骤：
    1）管理员首先对网站服务器安装网页防纂改子系统，目的是保护Web服务器的网页不被纂改；
    2）在WEB区域前部署硬件Web Wall子系统，基于硬件的网站保护墙将能够防止SQL语句注入，从而避免数据库服务器不被黑客使用SQL语句注入的方式进行违法操作；
    3）安装集中管理平台，根据业务需求设置安全策略。

网络卫士TopDenfense集中管理平台，负责策略制定、下发，以及对各子系统的管理，各子系统按照既定策略执行，并把相关事件上传到控制中心，由控制中心统一分析或审计。对TopDenfense集中管理平台的管理可以在本机操作或远程通过IE浏览器进行管理。

方案效果

    本方案满足了用户在网站安全管理的要求，通过部署TopDenfense系统，来有效规避安全风险，满足安全需求，重点解决以下安全问题：
    1) 利用系统漏洞，使用缓冲区/栈溢出等方式的攻击。攻击者即使通过这类攻击获得了系统管理员的权限，由于不知道受保护对象的授权码，也无法修改受保护对象。TopDenfense网站防护系统通过将主页及相关配置文件设置成系统保护对象，可以有效保护Web内容不会被篡改。
    2) 恶意代码类攻击。通过信任链机制可以阻止恶意代码被Web服务器加载运行，从而确保病毒、蠕虫、木马和间谍软件等恶意代码无法在Web服务器上被激活运行，避免系统管理员因为疏忽或者其他途径导致的系统安全隐患。
    3) 跨站攻击。可以准确地过滤数据包中含有的跨站攻击的关键字，从而保护用户的WEB服务器安全。
    4) SQL注入攻击。SQL攻击注入使用的语句在网络驱动层就被过滤，从而无法对数据库造成攻击。

利用网络卫士TopDenfense网站防护系统防止政府、企业网站被恶意篡改，从而有效地保护政府、企业的形象；维护重大新闻、方针政策等信息发布渠道的畅通，保证社会秩序的安定有序；同时可以阻止一些别有用心的人通过篡改网页的方式在互联网上大肆散播各种政治歪理，造成极坏的政治影响。此外，TopDenfense网站防护系统能保证财政、金融、税务等领域网站的安全运行，防止犯罪分子利用一些安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗等违法犯罪活动，避免给国家和公民个人造成严重经济损失。

(责任编辑：)