淮北教育局WEB防护方案20.docx
《淮北教育局WEB防护方案20.docx》由会员分享,可在线阅读,更多相关《淮北教育局WEB防护方案20.docx(11页珍藏版)》请在冰豆网上搜索。
淮北教育局WEB防护方案20
淮北市教育局网站安全解决方案
北京天融信科技有限公司
2012年7月
目录
第一章项目背景3
1.1项目背景3
1.2用户单位简介3
第二章安全风险4
2.1网络风险4
2.2政策要求4
第三章方案介绍6
3.1方案拓扑6
3.2产品介绍7
3.2.1入侵防御系统7
3.2.2网页防篡改系统8
3.2.3产品特点9
项目背景
项目背景
近几年我国信息化发展迅猛,各行各业根据自身需要大都进行了网站建设,用于信息发布、网上电子商务、网上办公、信息查询等等,网站在实际应用中发挥着重要作用。
尤其是我国电子政务、电子商务的大力开展,网站建设得到了空前发展,与此同时随着网民数量的快速增长,通过网站来了解新闻、在线处理业务、查询关键信息等对网站的发展也起到了关键性的促进作用,网站的社会舆论效益逐步显现,已经引起了社会的广泛关注。
然而不幸的是,黑客强烈的表现欲望,国内外各种非法组织的不法企图,商业竞争对手的恶意攻击,不满情绪离职员工的泄愤等等各种原因都将导致网页被“变脸”。
网页篡改攻击事件具有以下特点:
篡改网站页面传播速度快、阅读人群多,复制容易,事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。
另外,攻击工具泛滥且向智能自动化趋势发展,据不完全统计,我国98%以上的站点都受到过不同程度的黑客攻击,攻击形式繁多,网站的安全防范日益成为大家关注的焦点,尤其是政府、金融类网站最易成为攻击目标。
用户单位简介
1、淮北教育信息中心是全市各级各类教育机构信息化建设的主管部门,负责制定全市教育信息化建设发展规划并组织实施;负责区、县及局属学校教育信息化工作的统筹协调,组织开展全市教育信息化工作考核、评估。
2、负责淮北教育网的建设、管理与维护;为我市教育信息化建设提供技术支持和网络接入服务,并监管区、县教育网和校园网络的安全管理工作。
3、负责全市教育电子政务工作的实施和技术支持;提供高效快捷的公文处理和无纸化办公的平台。
担负淮北教育的政务公开、新闻宣传、政策法规发布。
4、负责“淮北教育资源中心”的建设,为全市教育系统提供共享的教育教学资源,为学生学习、教师教学及继续教育提供远程服务。
5、负责组织开展全市教育系统信息化建设的培训工作。
安全风险
网络风险
政府门户网站作为国家的行政管理机构发布的信息事关国计民生,一旦被篡改将造成多种严重的后果,主要表现在以下一些方面:
1、政府形象受损:
政府门户网站的网页被篡改后,访问者将看到被涂鸦的页面,会导致广大民众对政府信息安全防护能力的怀疑,更会担心政府的人才建设和制度管理等诸多问题,给政府的可信形象打上问号。
2、影响信息传达:
网页被篡改后,访问者将无法获取自己需要的内容,政府发布的各种信息将得不到传达,影响了信息的发布和传播,假如黑客非法破坏了网站的数据库,更长的系统恢复时间将带来深远的影响。
3、恶意发布信息:
有些黑客会篡改网页的内容,以政府名义发布恶意和不良信息及言论,从而导致社会恐慌或引发政治危机。
4、木马病毒传播:
黑客入侵政府网站后,会在网页中插入木马和病毒程序,来访者将会被感染,从而导致计算机病毒的传播,引发系统崩溃、数据损坏和银行账号被盗等严重后果。
5、引发泄密事件:
因为工作需要政府办公人员会经常会访问政府网站,一旦访问了被植入木马的网页,木马程序会自动搜集并传走电脑中的各种文档,将可能引发严重的泄密事件,后果不堪设想。
从以上我们可以看出,网页被篡改的后果是严重的,因此,我们必须严防死守,打好政府网站的保卫战,给广大民众展示出一个值得信赖的政府形象。
政策要求
●公安部第82号令-《互联网安全保护技术措施规定》
●《信息安全技术基于互联网电子政务信息安全实施指南》(报批稿)
●《中华人民共和国政府信息公开条例》(中华人民共和国国务院令第492号)
●《中华人民共和国计算机信息网络国际联网管理暂行规定》
●《国务院办公厅关于做好中央政府门户网站内容保障工作的意见》(国办发〔2005〕31号)
●安徽省政府办公厅下发的《关于加强政府门户网站安全指导文件》文件精神
●《信息技术信息系统安全等级保护实施指南》
●《信息技术信息系统安全等级保护基本要求》
●BS7799/ISO17799《信息安全管理实践准则》
方案介绍
●在服务器前端部署入侵防御设备,实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500种网络攻击行为,可以有效的保护网站服务器
●部署网站防篡改系统,首先新增一台服务器,作为网页防篡改Agent发布服务器,此服务器不需要对外,不需要对外,专门用于网站发布,使防篡改安全级别达到最高。
●在网站服务器上部署网页防篡改系统(防篡改Agent),内网用户管理PC机上安装管理中心(管理中心也可以和发布Agent安装在一起)。
●这种部署模式安全系数最高,能够有效防止各类篡改攻击,也不需要对发布目录做保护,不影响用户网站更新发布。
方案拓扑
实现原理
我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中,通过事件触发方式进行自动监测,对文件夹的所有文件内容(包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测,若发现变更,实时阻断篡改行为。
通过非协议方式,纯内核安全出站校验方式检查出站内容的完整性可靠性,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高水准。
图4-1内核文件防护技术原理图
在整个系统功能设计在不同的层面实现各种功能,确保系统的有效运行。
图4-2功能设计分层示意图
快速同步通道处理,主要用于网站内容更新及修复网页文件用途,在多服务器负载均衡应用时快速同步通道技术将显得尤为重要,确保网站的内容最迅速的更新至外网web服务器上。
同步过程当中主要应用到文件加密传输技术、完整性交验、文件检索、快速传输技术等多项重要技术。
图4-3发布同步原理图
为了保证网站遭受各类攻击均不影响网站的正常运行和内容发布,防篡改系统
在内部实现了一套完整的内容恢复机制,将参照以下示意图步骤进行同步和恢复。
该功能将大大增强网站文件的真实可靠性。
图4-4校验实现原理图
当发生网页遭受到意外恶意破坏时,系统将自动启用文件安全性校验模块,主要对比网页文件指纹ID,将包含文件内容、大小、创建修改时间、作者、关键词、所属权限等等。
如校验发现文件属性发生变化,则从可信备份端进行实时恢复,确保文件的真实可靠性。
产品介绍
入侵防御系统
产品简介
随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,在网络带来高效和快捷的同时,网络攻击的多样化发展和带宽的爆发式增长对网络安全产品的处理性能和防护的精准性提出了更高的要求。
天融信公司自主研发的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500种网络攻击行为,可以有效的保护用户网络IT服务资源。
TopIDP产品还具有应用协议智能识别、P2P流量控制、网络病毒防御、上网行为管理、恶意网站过滤和内网监控等功能,为用户提供了完整的立体式网络安全防护。
产品特点
快速的处理性能是对网关产品的基本要求,特别对处理应用层数据的入侵防御产品要求更为严苛。
TopIDP产品全系列采用天融信独有的专利多核处理硬件平台,基于先进的SmartAMP并行处理架构,内置处理器动态负载均衡专利技术,结合独创的SecDFA核心加速算法,实现了对网络数据流的高性能实时检测和防御,使TopIDP满检速率达到了10Gbps。
准确的识别网络攻击行为是入侵防御产品的核心价值所在。
TopIDP产品采用协议分析、模式匹配、流量异常监视等综合技术手段来判断网络入侵行为,可以准确地发现并阻断各种网络攻击。
天融信公司的安全攻防实验室(以下简称TopLabs)是国家攻击检测漏洞库的创立单位,同时也是国家应急响应支撑服务单位和国家定点博士后工作站,拥有专业的高素质技术研究人员,通过不断跟踪、研究、分析最新发现的安全漏洞,形成具有自主知识产权的攻击检测规则库,确保TopIDP产品拥有准确的检测能力。
该规则库已通过国际权威组织CVE的兼容性认证,并保持至少每周一次的更新频率。
稳定是入侵防御产品的基础。
TopIDP产品由天融信公司的防火墙研发团队研发,采用与防火墙产品相同的多核处理硬件平台和天融信自主知识产权的TOS(TopsecOperatingSystem)系统,传承了天融信公司十六年来不断积累的网关产品技术经验;TopIDP在银行、电信、保险、电力等多行业有大规模部署实例,具备高稳定性和高可靠性,能够在各种网络环境下持续稳定的识别和阻断各种入侵行为,确保网络业务安全通畅。
网页防篡改系统
产品简介
天融信网页防篡改系统由北京天融信公司根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。
主要用于保护站点内容安全,防止黑客非法篡改网页,保护公众形象。
网页防篡改技术在近几年当中根据黑客攻击技术的发展得到了较快的发展,天融信网页防篡改系统使用第三代网页防篡改技术,第三代网页防篡改技术较之以前的技术有几个特点,响应速度快、判断准确、部署灵活等特点,集成度较高,不依赖于原有web系统架构、部署也不影响网站整体结构。
经过广大用户实践表明,防篡改系统已经成为信息化建设中网站安全建设最佳解决方案。
防篡改系统适用领域:
政府门户、电子商务、金融证券、企业门户、教育高校等各行各业网站;
网页防篡改技术的发展经过几年的发展已经进入了第三代技术,多因子检测时代,较前两代技术,第三代技术在安全性以及效率方面更为可靠。
图2-1技术发展路线图
产品特点
所有的Web网站都需要进行页面内容的保护,防止非授权人员随意篡改内容,对于一些更新快、容量大、权威性的网站就更需如此。
外部网站因需要被公众访问而暴露于因特网上,因此最容易成为黑客的攻击目标。
虽然目前已有防火墙、入侵检测等安全防范手段,但现代操作系统和业务应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,黑客入侵和篡改页面的事件时有发生。
防篡改系统通过服务器文件访问底层驱动技术,对保护的对象(静态网页、动态执行脚本、文件夹)实时监测其属性,一旦发现更改立刻阻断非法篡改操作,阻止网页文件被修改,并实时通知管理客户端。
此外,在系统遭受极限攻击发生文件篡改现象,系统也会自动从可信端进行有效文件恢复,彻底地保证了网页内容不被篡改。
该系统对于各类网站的安全,特别保证我国电子政务网站和企业门户网站内容的完整性及对外形象,有着重要意义。
尤其是我国即将迎来60周年国庆、世博会等全球瞩目期间,各行各业的网站遭受不法份子的破坏以及国外黑客攻击的几率大大增加;各类金融银行、证券机构积极开展网上金融业务,如遭受篡改,不仅仅是形象受损信誉度降低,还会带来巨大的经济损失;尤其是在国家发生一些重大热点社会事件的时候,常常伴有大量相关网站遭受篡改并且发布虚假消息,带来严重的社会影响,而消除这些影响的经济和时间代价将巨大。
因此,网页防篡改系统已经成为各行各业门户必备的一项有效安全措施。
防篡改系统具备多项核心技术,简单归纳如下:
Ø技术先进,采用第三代防篡改技术,安全、稳定、可靠;
Ø采取先进的多重防护技术,杜绝篡改;
Ø完全基于内核级事件触发机制,对服务器资源占用极少,效率远高于同类产品;
Ø汲取广大网管员建议,操作及其简便,大大提高工作人员效率;
Ø对服务器安全性能实时监控,确保服务器安全稳定运行;
Ø对Web服务运行状态进行安全监控,保证Web服务不受异常事件干扰;
Ø不限制网站发布服务器类型,实现高可用性和高扩展性;
Ø支持所有主流操作系统,与Web发布服务类型无关,与CMS系统无缝结合;
Ø支持保护Web服务器配置文件,杜绝网站指向遭到修改;