銳捷網絡政務門戶網站安全解決方案
背景及問題
近年來��,隨著政務網站所運行業(yè)務的重要性逐漸增加以及其公眾性質使其越來越成為攻擊和威脅的主要目標����,政府網站所面臨的Web應用安全問題越來越復雜,混合威脅的風險正在飛速增長�����,如網頁篡改、蠕蟲病毒��、DDoS攻擊��、SQL注入���、跨站腳本�����、Web應用安全漏洞利用等�����,極大地困擾著政府和公眾用戶���,給政府的政務形象、信息網絡和核心業(yè)務造成嚴重的破壞�����。據(jù)CNCERT最新統(tǒng)計顯示�,2010年我國大陸地區(qū)政府網頁遭篡改事件呈大幅增長趨勢。
電子政府網站建設需求
電子政府網站的安全關系到電子政務事業(yè)能夠有效開展��,發(fā)揮作用。等級保護體系也對網站安全提出了要求�����?���!秶倚畔⒒I導小組關于我國電子政務建設指導意見》更是給出了電子政務門戶網站防護體系更明確的信息。
國內各級政府網站正在向“服務平臺化�、站點集群化”的政府門戶網站的特點發(fā)展。通過�����,在各級政府網站中的在線服務引導和電子政務���、服務結果查詢�,將政府各局����、各部門聯(lián)系在一起�,共同組成一座龐大且實用的“一站式、一體化”的政府電子政務服務平臺���。主要采用三層架構設計��,從下至上分別為:數(shù)據(jù)訪問層����、業(yè)務邏輯層、表示層��。
銳捷網絡WebGuard解決方案
RG-WG系列銳捷WebGuard(簡稱WG)應用保護系統(tǒng)��,是銳捷網絡專門解決上述Web應用安全問題設計的網絡設備�。銳捷WebGuard基于對HTTP/HTTPS流量內容的雙向檢測分析,識別檢測各類Web編碼��、交互技術�����、URL參數(shù)以及表單輸入等����,為Web應用提供實時、動態(tài)的主動性防護�����。
各省級和中央的政府門戶網站一般都是在電子政務外網的數(shù)據(jù)中心,服務器數(shù)量眾多�����,不單是為市民��、企業(yè)提供政務業(yè)務����,還需要為各級地市提供政府辦公業(yè)務,RG-WG部署在電子政務外網數(shù)據(jù)中心的前端�,可根據(jù)不同的安全域,不同的web服務特點和不同的代碼特點�,分別制定不同的個性化的安全訪問策略,從而為眾多安全域提供集中式����、個性化的安全防護。
RG-WG的處理性能可以達到10G��,不但可以滿足省級和中央的政府門戶網站高可靠的要求���,在重要的活動期間也可以根據(jù)策略的調整,適應大流量���、大訪問量��,多攻擊事件的高性能要求�����。如下圖所示:
各級地市���、區(qū)縣的政府門戶網站架構相對比較簡單���。依據(jù)“2010年政府網站績效考核各項指標”,各級地市����、區(qū)縣政府以實現(xiàn)集安全、資源整合�、在線服務、信息公開���、民主參與于一身的政府網站平臺為建設目標��。
RG-WG部署在政府網站Web服務器的前端��,做為客戶端與WEB服務器端請求與響應的中間人��,實時過濾阻斷或屏蔽跨站腳本�����、SQL注入及惡意攻擊��,從而保障政府網站面向居民�、企業(yè)、外籍人士及同級政府提供各種穩(wěn)定���、可靠���、安全在線政務服務。如下圖所示:
各級地市政府專業(yè)單獨防護
特色優(yōu)勢
1.全時空四維度防護策略
WG采用事前檢測����、事中防護和事后恢復的“全時空”策略。既能在事前防御防范與未然��,又能在事后進行頁面恢復�。設備能緩存網頁內容。當網站被篡改時��,設備將緩存的正確頁面返回給訪問者,保證對外顯示的始終是正確頁面�����。
2.雙向網站實時檢測過濾
RG-WG作為web客戶端與服務器端請求與響應的中間人����,避免web服務器直接暴露在互聯(lián)網上���,檢測過濾HTTP/HTTPS雙向交互流量數(shù)據(jù)���,對其中的惡意成分進行實時在線清洗過濾。
3.關鍵字過濾�����、黑白名單功能
根據(jù)客戶的使用需求�����,防止網站論壇被上傳非法反動言論�,或網頁被篡改為非法言論,支持關鍵字過濾�。同時RG-WG系列能將確認為攻擊的源IP自動加入黑名單,并且提供自動解禁時間,不需要任何人工的操作���。
4.虛擬WAF與分級管理
單一WAF 設備支持多個網站管理員分別配置管理防護策略�����,并提供獨立的攻擊事件報警��、分析日志與報表��。此功能非常適合具有一定數(shù)目web 服務器群的企業(yè)使用�,方便網絡運營管理��,減輕設備管理員的工作量����,解決眾多網站所帶來的策略維護與管理的問題。
5.“零配置”初次運行���、一站式防護
Cisco�、Impreva等廠商采用白名單工作方式�����,使用時需要針對每個頁面的HTTP各字段進行配置;對客戶技術水平要求高��,否則無法發(fā)揮出產品功效���。
WG針對國內常見的攻擊��,預置了攻擊防御策略;設備上線�,無需配置即可防御絕大多數(shù)攻擊;同時也提供白名單功能�����,供高級客戶使用�。
方案效果
WG可以對電子政務門戶網站進行有效的安全防護,避免入侵攻擊���、網頁篡改以及信息泄露等安全事件的發(fā)生�,保障電子政務門戶網站的長期安全�、穩(wěn)定的運營;銳捷網絡電子政務門戶網站在全國各省市已經部署了眾多的案例并獲得了廣泛認可�。
