政务服务大厅网站安全方案建议书Word文档下载推荐.docx
《政务服务大厅网站安全方案建议书Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《政务服务大厅网站安全方案建议书Word文档下载推荐.docx(11页珍藏版)》请在冰豆网上搜索。
3.2.政务网络安全需求9
3.2.1.外网流量清洗9
3.2.2.边界入侵防范9
3.2.3.边界恶意代码防范10
3.2.4.边界访问控制10
3.2.5.业务安全隔离10
3.2.6.关键核心业务加强保护10
4.方案设计11
4.1.总体思路11
4.2.应用隔离部署策略11
4.2.1.应用逻辑架构12
4.2.2.方案描述12
4.3.安全防护策略13
4.3.1.物理拓扑结构14
4.3.2.方案描述14
4.4.方案扩展16
5.安全保障管理体系建设16
1.项目背景
1.1.概述
楽山市电子政务大厅网站应用平台包括政务公开系统、办事服务系统、政民互动系统和电子监察系统;
展示平台包括互联网展示平台、3G移动政务服务平台、96196政务服务热线和政务服务信息公开电话广播;
管理平台包括政务大厅办公系统、视频会议系统和日常管理系统。
系统采用先进的IT技术架构,充分依托基于互联网的应用模式,形成了以“互联网业务受理,外网业务办理”为核心的运营平台。
电子政务服务大厅网站服务系统建设工作推进至今,规模逐渐庞大、平台日趋定型,但是仍存在较大隐患,网络攻击、黑客入侵、内容篡改、病毒泛滥、系统故障、自然灾害等都对网站的安全构成潜在的威胁。
1.2.网站安全运行的重要意义
随着互联网应用的普及,当今世界各国都高度重视信息安全,各国尤其是发达国家都纷纷投入巨资建设本国的信息安全保障体系。
我国政府也非常重视信息安全,国家信息化领导小组2003年发布了《关于加强信息安全保障工作的意见》(中办发[2003]27号),明确提出了我国今后信息安全建设和发展的根本性指导思想:
“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,以安全促发展,在发展中求安全”。
作为政府服务机构与民众沟通的重要渠道之一,电子政务服务大厅网站的职能越来越重要,其影响力也在逐步扩大,已成为政府与公众不可或缺的重要桥梁。
而承担着的民意收集和民意反馈等职能。
政务服务大厅网站的正常运行对政府的服务效率、服务满意度,以及社会稳定都有着非常重要的意义。
因此,采取有效手段和措施保障电子政务服务大厅网站的安全将极为重要。
2.网站安全的威胁和挑战
2.
2.1.威胁分类
Internet由于其开放性,使得政府网站和数据中心非常容易遭受攻击。
随着攻击手段的变化多样而且攻击工具更容易获取,以及基于僵尸网络DDoS攻击的出现,使得基于网络层的攻击层出不穷。
主要的攻击包括:
ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻击、Land攻击、超大ICMP攻击、Fragile攻击、PingofDeath、TearDrop、PingScan、PortScan、IP路由选项攻击、Tracert攻击等等。
360安全中心抽样统计发现,2011年国内流行度最高的恶意程序仍然以木马为主,带有篡改浏览器首页、劫持浏览器访问特定网址、创建桌面广告图标、欺骗安装推广软件等行为特征的广告木马占据绝大多数。
2.2.攻击的特点
2.2.1.SQL注入攻击
几乎所有SQL数据库都是潜在易受攻击的。
SQL注入攻击技术的本质,是利用应用程序开发者编程中,对用户提交CGI参数数据未做充分检查过滤的漏洞。
如果应用程序对用户提交的数据不做充分的检查,则该应用程序就有可能被攻击者利用,插入恶意的SQL代码,非授权操作后台的数据库,从而导致被攻击系统的异常。
例如敏感信息泄露、数据库内容和结构破坏、网页挂马、服务器操作系统被非授权控制等等。
SQL注入攻击的风险位居前列,它隐蔽性强,能够轻易的绕过防火墙,传统的基于特征的IDS对此类攻击也几乎没有作用;
攻击时间短,可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或WEB服务器的控制,以至非常难以做出人为反应;
危害性大,攻击的结果可能导致信息泄露、服务器瘫痪、数据篡改、挂马、系统权限泄露等等问题,造成被攻击方的经济和声誉上的巨大损失。
2.2.2.跨站脚本攻击
跨站脚本这类攻击技术的本质,是利用动态网页的WEB应用程序开发者编程中,对用户提交请求参数未做充分的检查过滤的漏洞。
如果应用程序允许用户在提交的数据中掺入HTML代码(最主要的是“>
”、“<
”),然后未加编码地输出到第三方用户的浏览器,则攻击者可以构造恶意提交代码,借助存在漏洞的WEB网站转发攻击其他浏览相关网页的用户(受害用户),窃取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息、通过插入挂马代码对用户执行挂马攻击。
跨站脚本攻击的特点在于对存在漏洞的网站本身并不构成威胁,但会使网站成为攻击者攻击第三方的媒介(即使该网站的客户受害)。
跨站脚本攻击的风险比较高,它隐蔽性强,能够轻易的绕过防火墙,传统的基于特征的IDS对此类攻击也几乎没有作用;
攻击时间短,可在短短几秒到几分钟内完成;
危害性大,攻击的结果是使网站成为攻击者攻击第三方的媒介,使网站的客户受害,也有可能使网站被搜索引擎加入“该网站可能含有恶意软件,有可能会危害您的电脑”这类负面信息,造成被攻击方的经济和声誉上的巨大损失。
2.2.3.拒绝服务攻击
拒绝服务(DoS:
DeialofService)攻击的本质,是利用网络协议存在的固有漏洞,伪造貌似合法的请求,大量的占用网络带宽或消耗服务资源,使网络或者服务无法响应用户的正常请求,造成网络服务瘫痪。
分布式拒绝服务(DDoS:
DistributedDenialofService)则是拒绝服务攻击的进一步发展,攻击者借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
其攻击原理如下图所示:
拒绝服务攻击原理示意图
DDoS攻击的风险很高,它实施简单,技术门槛非常低,使得各类DDoS攻击软件不断发展并广为传播;
危害巨大,利用一批受控制的傀儡机向目标机发起攻击,短时间内可以产生巨大的流量,造成受害系统的服务响应效率低下甚至瘫痪的后果,具有较大的破坏性;
防范困难,它是利用TCP/IP协议固有的漏洞发起的,请求貌似“合法”但却是恶意,加之日新月异的攻击变种,日益增大的攻击流量,造成防御DDoS攻击非常困难;
难以追查,攻击者通过多重跳板利用傀儡机来攻击,溯源需要多级网络服务提供者的配合,实施起来工作量巨大,成本很高。
2.2.4.网页篡改
网页篡改技术的本质,是攻击者利用操作系统的漏洞和管理的缺陷对网站中的网页或者目录进行恶意修改、添加、删除的漏洞。
如果应用程序不对网站内容进行定期的检测,该漏洞可能被攻击者利用,如发布虚假信息为攻击者牟利,恶意修改网页中的内容以获取用户资料,替换正常网页导致第三方用户浏览器接受有害信息等等,严重的影响了被攻击者的声誉甚至给被攻击者带来巨大的经济损失。
网页篡改风险较高,攻击手段多样,防范困难,攻击者可利用操作系统漏洞以及注入等多种方式进行攻击,另外,目前多数的安全措施无法完成前端检测和后端报警相结合的防护方式,让攻击者有机可乘;
危害性大,攻击的结果往往造成被攻击者的网站遭到破坏,内部信息被泄露,对外提供虚假、非法、违背社会道德的信息,一方面使被攻击者的名誉遭到严重损害,另一方面使第三方用户接收不真实的信息。
2.3.攻击的防范方法
面对日益严峻的安全问题,现有的防护措施法为客户网站提供足够的保护,需要更全面的攻击防护体系和方法。
攻击防范方法阶段化:
所有攻击的防范方法均分为三部分:
流量监测、攻击防御、审计告警。
流量监测部分实时对发往目标的流量进行监测,并对流量进行主动分析,向攻击防御部分提供流量分析数据;
攻击防御部分根据默认以及自定义规则对已分析的流量数据进行检测,对满足规则的流量依据告警或阻止两种方式进行处理;
审计告警部分记录攻击检测结果,同时对攻击进行及时报警,充分保证了系统的完整性。
攻击防范方法全面化:
目前的防护系统大多工作在OSI模型的三、四层,基于IP报文进行检测,无法实现对HTTP会话的理解和检测。
少量的防护系统虽工作在应用层,对应用层具有一定的防御效果,但是由于对应用层攻击的分析不深入,无法提供全面的攻击防范方法。
将应用层防护和IP报文检测防护相结合,能够提供更全面的攻击防范方法,包括常见WEB攻击防护、前端检测与后端报警的网页篡改防护和DDoS防护。
综上所述,阶段化和全面化的攻击防范方法能够给系统提供更完整更精确的保护。
3.需求分析
楽山电子政务大厅网站作为政府服务大众的窗口,常常是一些不法分子的重点攻击对象。
网站一旦被篡改(加入一些敏感的显性内容)、或在网页中加入恶意代码,会引发较大的影响,严重时甚至会造成政治事件。
所以需要对网站安全进行防护,在系统中增加网站防护设备,提高系统的安全性,完善网站安全。
3.
3.1.政务网络安全问题分析
目前政务网络存在一下普遍的几个问题:
1.政务网络出口安全隐患,数据中心容易遭受DDoS攻击,端口扫描等大流量手段的攻击;
2.很多攻击或者恶意的行为常常利用防火墙开放的应用数据流来对数据中心造成破坏,面对包括DOS、代码攻击、蠕虫、扫描在内的各种入侵行为需要进行检测和分析,针对检测到的事件需要作相应的处理。
3.政务网络业务安全隐患,不同业务之间没有安全隔离,需要对不同安全区域的业务进行过滤,丰富管理手段;
对政务网络web服务器,提供全面的安全防护,同时,对核心数据业务,在提供全面的安全防护的基础上,需要提供更深层次的保护,避免在外层网络设备被攻破后,核心重要业务受到威胁,数据造成丢失。
4.政务网络接入问题,随着终端的发展,需要设备提供丰富的VPN接入功能,实现安全访问控制。
3.2.政务网络安全需求
通过对政务服务大厅网站安全面临的问题分析,可以看出,目前安全问题主要集中在外网流量清洗、边界访问控制、边界入侵防御、边界恶意代码防范和对不同业务之间进行安全隔离等,促进企业自身的信息安全管理水平,更好的保证业务的正常运作是电子政务服务大厅网站安全运行的关键。
3.2.1.外网流量清洗
政务网站和数据中心需要部署专业的抗DDoS设备,来对防御外网的DDoS攻击,并对流量进行清洗。
3.2.2.边界入侵防范
各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。
通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
3.2.3.边界恶意代码防范
现今,病毒的发展呈现出以下趋势:
病毒与黑客程序相结合、蠕虫病毒更加泛滥,目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以网络(包括Internet、广域网、局域网)形态进行传播,因此为了安全的防护手段也需以变应变。
迫切需要网关型产品在网络层面对病毒予以查杀。
3.2.4.边界访问控制
对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。
3.2.5.业务安全隔离
数据中心的不同业务需要实现基本的安全隔离,需要用户对自身的网络资源进行有效的安全区域、等级划分,使得在网络安全运行的基础上,促进企业自身的信息安全管理水平,更好的保证业务的正常运作。
3.2.6.关键核心业务加强保护
对政务网络web服务器,提供全面的安全防护;
同时,对核心数据业务,在提供全面的安全防护的基础上,需要提供更深层次的保护,避免在外层网络设备被攻破后,避免外层网络设备被攻破之后利用web服务器跳转攻击,核心重要业务受到威胁,数据造成丢失。
4.方案设计
4.
4.1.总体思路
针对政务服务大厅网站的具体特点及应用情况,我们建议加强网站安全防护措施,通过应用分级部署与网络安全防护相结合的综合安全防护措施,对网站进行保护。
应用隔离部署,充分考虑了网站应用架构的技术优势,将WEB应用与数据库应用分布在不同安全级别的区域,这样可以实现对重要数据的保护,降低被攻破的机率。
安全防护主要实现了恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入、自身抗网络攻击能力等功能,以期防止黑客入侵、网站篡改,从而更有效地对网站网页安全进行保护。
4.2.应用隔离部署策略
根据政务服务大厅的业务一方面需要满足电子政务外网用户访问的需求,又要实现对公众服务的访问需要,对这些访问行为,尤其对公众的访问,需要对数据交换、传输协议、传输内容、安全决策等进行严格的检查,以防止有互联网引入风险。
对此,将电子政务外网与互联网之间划分专门的DMZ区,并在DMZ区部署重要的安全防范设备,将WEB服务器放置在此区,而数据库服务器则放在电子政务外网数据中心专门的安全域内部,与EWB服务器之间增加防火墙(或网闸)实现电子政务外网与互联网间的逻辑隔离。
这样可有效降低非法入侵的机率,提升数据信息的安全。
4.2.1.应用逻辑架构
4.2.2.方案描述
1、通过对政务外网数据中心划分了专门的互联网服务器安全域,将对外提供服务的Web服务器等部署在防火墙的DMZ区,负责接收和处理来自互联网的业务访问请求。
防火墙进行严格的访问控制的设定,确保访问身份的合法性。
同时,需要对互联网业务服务器对数据中心内网数据库的访问进行严格的管理控制,不允许互联网用户访问到互联网业务服务器的数据库。
2、互联网上的公共用户经安全验证后可访问到位于DMZ区的WEB服务器,并通过安全隔离防火墙(或网闸)访问到所属数据服务器完成业务处理,完成用户通过互联网对自己部门业务服务器的访问。
通过这种方式,可以为访问提供更高的安全性保障。
安全隔离防火墙两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。
这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
3、采用此应用部署后,非法攻击人员也只能攻击到位于DMZ区的WEB服务器,而要进入数据库服务器进行操作,还需要攻破另一道防火墙才有可能完成。
通过两级防御措施的保护,为系统的信息安全和正常运营提供了保障。
4.3.安全防护策略
首先在互联网出口部署DDoS流量清洗设备,抵抗外网的DDoS攻击,起到流量清洗的作用;
中间部署千兆防火墙、入侵防御设备,抵抗外网病毒入侵,对web服务器起到专业的防护作用;
最后在电子政务外网与互联网之间部署万兆防火墙为政务外网数据中心的业务提供更深一层的安全保障,避免外层网络设备被攻破之后对核心数据业务产生威胁;
另外,方案整体建议采用双机设备的形式,提高网络链路的可靠性。
4.3.1.物理拓扑结构
4.3.2.方案描述
1.在互联网出口部署专业的DDoS防护设备,提供了完善的DDoS解决方案,DDoS部署在网络出口位置,在本方案中主要实现以下功能:
⏹在数据中心的Internet出口,解决带宽占用型的DDOS攻击。
⏹开启DPI功能有效识别应用和流量型攻击特征。
⏹以双机热备组网方式的部署在网络出口,保证物理链路的可靠性。
2.千兆FW及IPS设备部署在DDoS设备和万兆防火墙之间,为web服务提供专业全面的保护,在本方案中主要实现下功能:
⏹IPS入侵防御功能,能够检测及防御各种网络威胁,如蠕虫,木马软件,间谍软件,广告插件等,实现对网络应用的安全防护功能;
⏹AV反病毒功能,支持对HTTP、POP3及SMTP协议传输的数据进行病毒扫描,当用户通过网页请求数据下载时,如果被检测到下载文件中包含了病毒数据,将向用户推送病毒告警页面;
而对于邮件协议POP3、SMTP协议当检测到邮件附件里是病毒文件则支持对附件的删除操作,同时在邮件中打上标签告知用户相关信息。
支持对10种以上的压缩类型文件的病毒扫描,能够对多重压缩,最多20层压缩文件的病毒扫描,用户可对扫描的压缩层数进行设置。
⏹提供双机热备份,确保用户数据流不会因为主、备防火墙倒换而中断。
3.万兆防火墙部署在政务外网数据中心出口处,具有以下三个方面的作用。
一是实现电子政务外网与互联网之间实现逻辑隔离。
二是为政务外网用户提供高性能、高密度、高可用性、高安全的网络安全基础架构,不会造成网络瓶颈;
三是可同时避免外层网络设备被攻破之后利用web服务器跳转攻击,对核心数据业务产生威胁。
在本方案中,防火墙主要实现以下功能:
⏹启用防火墙攻击防范以及访问控制,抵御外来的各种攻击,避免外层网络设备被攻破之后利用web服务器跳转攻击,对核心数据业务提供更高安全性保障。
⏹根据需要启用地址转换功能,满足出口公网不足的需要。
⏹根据需要将不同的服务器群用安全域隔离开,根据不同的安全区域之间的访问设计不同的安全策略组(ACL访问控制列表),每条安全策略组支持若干个独立的规则。
这样的规则体系使得统一安全网关的策略十分容易管理,方便用户对各种逻辑安全区域的独立管理。
⏹采用双机热备组网,增强网络的可靠性。
4.4.方案扩展
本方案的建设模式,同样适用于政府相关的门户或其它部门的网站部署。
5.安全保障管理体系建设
“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。
除了技术管理措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,建立健全安全管理体系不但是国家等级保护中的要求,也是作为一个安全体系来讲,不可或缺的重要组成部分。
安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导,形成可操作的体系。
主要包括:
⏹安全管理制度
⏹安全管理机构
⏹人员安全管理
⏹系统建设管理
⏹系统运维管理
根据等级保护的要求在上述方面建立一系列的管理制度与操作规范,并明确执行。
升级会员 