哈尔滨城市管理执法局网站安全等级保护建设方案第二版.docx

1、哈尔滨城市管理执法局网站安全等级保护建设方案第二版哈尔滨城市管理执法局网站安全等级保护建设方案1 概述1.1 中网办发2014 【1】号文件为提高党政机关网站安全防护水平，保障和促进党政机关网站建设，经中央网络安全和信息化领导小组同意，现就加强党政机关网站安全管理的文件中第七节中明确表示：各地区各部门在规划建设党政机关网站时，应按照同步规划、同步建设、同步运行的要求，参照国家有关标准规范，从业务需求出发，建立以网页防篡改、域名防劫持、网站防攻击以及密码技术、身份认证、访问控制、安全审计等为主要措施的网站安全防护体系。切实落实信息安全等级保护等制度要求，做好党政机关网站定级、备案、建设、整改和管

2、理工作，加强党政机关网站移动应用安全管理，提高网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。1.2 等级保护为了进一步提高信息安全的保障能力和防护水平，1994年国务院颁布的中华人民共和国计算机信息系统安全保护条例规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南

3、”。2004年9月发布的关于信息安全等级保护工作的实施意见（公通字200466号）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。2007年6月公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室联合下发了信息安全等级保护管理办法（公通字200743号）。在这些政策规范的指引下，为推动我国信息安全等级保护工作的开展，近十年来，在公安部领导和支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工

4、作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系，为开展信息安全等级保护工作奠定了基础。1.2.1 三级等保需求根据信息系统安全等级保护基本要求，分为技术和管理两大类要求，具体如下图所示：网站建设等保设计内容是主机安全即（服务器安全）、应用安全、数据安全及备份恢复2 项目背景与需求2.1 项目背景XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX，网站的建设需要规符合政策，网站的安全按照等级保护要求及自身应用考虑，建设一个安全级别高、安全漏洞少、管理方便的政府官方网站。2.2 项目需求 网络及主机安全满足网站建设的硬件条件和冗余，由于网站需要整体融合将全市分局所有网站

5、进行整合，顾需要满足业务访问量同时还需考虑业务增加后的扩容性。安全方面要全面考虑安全设备需要满足能够低于网络攻击、病毒感染、入侵防御等影响安全的手段保证服务器的安全。 应用安全WEB的安全需要考虑WEB窜改、WEB快速恢复、防护WEB攻击，低于WEB扫描器的扫描影响应用的安全，还需考虑数据库的安全，防止数据库的入侵、溢出等数据库攻击手段。 数据安全及备份恢复数据的的读写完整行、数据防止泄漏、数据容错、数据的备份、数据的恢复保证数据安全。3 方案整体设计3.1 设计目标三级系统安全保护环境的设计目标是：落实GB 17859-1999对三级系统的安全保护要求，通过实现基于安全策略模型和标记的强制访

6、问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。使得网络系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方位为业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。3.2 参考标准 GB/T 21052-2007 信息安全等级保护 信息系统物理安全技术要求 信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统安全保护等级定级指南 信息安全技术信息安全等级保护实施指南 信息安全技术 信息系统安全等级保护测评指南 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20270-200

7、6 信息安全技术 网络基础安全技术要求 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 20269-2006 信息安全技术 信息系统安全管理要求 GB/T 20281-2006 信息安全技术 防火墙技术要求与测试评价方法 GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法 GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 GB/T 20277-2006 信息安全技术 网络脆弱性扫描产品测试评价方法 GB/T 20279-2006 信息安全技术 网络端设备隔离部件技术要求 GB/T 20280-2006 信息安全

8、技术 网络端设备隔离部件测试评价方法3.3 方案设计3.3.1 网络架构3.3.2 安全设计需要考虑的安全问题主要有：物理层安全、网络层安全、应用层安全、数据层安全 物理层安全物理层主要考虑是链路的备份、服务器的备份。 网络层安全部署不同的产品，独立的安全体系并资源融合统一调配。第一道安全防御，Anti-DDoS检测及防护：旁路或直路部署专业的Anti-DDOS设备，提供流量型攻击防护，有效保护服务器免受DDOS攻击。第二道安全防御，域间访问控制：直路部署防火墙，进行域间访问控制，对不同安全域的业务进行有效的隔离和防护。旁路部署IPS/IDS检测网络入侵并抵御。第三道安全防御，远程接入安全：旁

9、路部署SSL VPN设备，对远程接入的用户提供认证、授权和数据加密传输功能。 应用层安全应用层检测防护：前几道防御系统主要是针对网络层的保护，属于边界安全防护；但针对业务系统的攻击，比如，通过SQL注入、跨站脚本等方式攻击网站；修改网站文件，造成组织的信誉损失；加载网马等恶意软件，转而攻击访问的客户端等，边界防火墙已经无法满足要求了，需要部署基于应用层检测WAF系统。WAF部署在web服务器群的入口，对访问web系统的网络流量进行实时检测。 抵御web应用攻击，防网站挂马，防缓冲区攻击，防ddos攻击，防sql注入等。 数据层安全保证了网络安全和应用层安全后还需考虑数据的完整及恢复，服务器后端

10、部署存储设备，保证数据完整并且双机技术配合保证数据的备份于恢复。3.4 技术及功能3.4.1 防火墙基于应用保护，白名单模式下的最小授权白名单模式：缺省阻断，只有被允许的应用才能通过，在最小授权原则下，仅有业务必须的流量猜允许通过。攻击防范：单包攻击防范、扫描攻击单包攻击防范有：IP欺骗、IP分片异常、分片异常、TearDrop、Smurf、Ping of Death、Fraggle、WinNuke、Land、TCP报文标记异常、ARP欺骗。防火墙通过仔细检查报文的相应内容来丢弃攻击报文，放行合法报文。扫描攻击：攻击者运用ICMP报文（如Ping和Tracert命令）探测目标地址，或者使用TC

11、P/UDP报文对一定地址发起连接（如TCP ping），通过判断是否有应答报文，以确定哪些目标系统确实存活着并且连接在目标网络上。攻击者通过对端口进行扫描探测网络结构，探寻被攻击对象目前开放的端口，以确定攻击方式。在端口扫描攻击中，攻击者通常使用Port Scan攻击软件，发起一系列TCP/UDP连接，根据应答报文判断主机是否使用这些端口提供服务。防火墙基于统计来识别扫描攻击，统计一定时间内攻击源发起的探测次数（对目标IP的探测、或者对目标端口的探测），当探测次数超过预定的阈值时，认为攻击源在进行扫描攻击，会阻止该攻击源后续报文通过防火墙。3.4.2 入侵防御威胁防护主要用于阻挡针对应用层漏洞

12、的攻击，功能包括： 内容识别和解析：提供与端口无关的内容识别能力，可以精确识别出各类协议和文件类型。然后对识别出的报文内容进行解码和归一处理，并进行规范性检查， 以发现协议的异常。 基于漏洞的攻击检测：提供基于漏洞特征编写的预定义签名，能够阻挡所有利用某个漏洞的具体攻击。除此之外，还支持自定义签名，管理员可以通过自定义签名来防护特殊的攻击或者阻拦特定的流量。 防攻击躲避：除支持基本的IP 分片和TCP 分段的重组外，还支持丰富的应用层编解码技术，避免一些攻击使用IP 分片、TCP 分段甚至应用层的高级编解码技术来躲避检测。通过特征检测的方式，防护蠕虫、木马、SQL 注入、跨站脚本、扫描、间谍软

13、件、后门、缓冲区溢出等多种应用层漏洞攻击。 提供给用户的预定义签名是高级的、基于漏洞（而不是基于某种具体的攻击） 编写的。一个漏洞很可能衍生出很多种不同的攻击方法，只有基于漏洞进行检测和防护，才能将所有利用该漏洞的攻击都发现并阻挡。编写签名采用的方法越是具备通用性，越有可能防御未来新出现针对已知漏洞或者类似漏洞的变种攻击。 就像只有特定纹路的钥匙才能打开一个锁一样，只有特定“特征”的蠕虫才能攻陷一个漏洞。通过使用新发现漏洞的特征对网络流量进行扫描，拦截符合这个特征的报文，所有利用该漏洞的攻击都能被立即阻挡，而不需要具体某种攻击本身的特征，以此来修补的操作系统和应用程序漏洞，像是给保护目标打了补

14、丁一样。3.4.3 DDOS基于接口的防御在配置防御策略时，管理员应该首先配置基于接口的防御策略，以应对大流量攻击。DDoS设备在收到报文时，首先在接口板对报文进行合法性检查。通过认证的报文允许通过；没有认证通过的报文禁止通过。这种防御方式可以使攻击报文在接口板上立即被处理，提高DDoS设备的处理性能。DDoS设备支持的基于接口的防御类型包括以下几种攻击：SYN Flood SYN-ACK Flood ACK Flood RST Flood TCP-abnormal Flood TCP Fragment Flood UDP Flood UDP Fragment Flood ICMP Flood

15、 DNS Request Flood DNS Reply Flood HTTP Flood SIP Flood基于全局的防御配置全局防御方式后，设备对流经的所有流量进行检测和清洗，不区分防护对象流量。基于全局的防御策略主要包括精细化特征过滤防御方式和全局黑、白名单过滤防御方式。精细化特征过滤防御指设备根据用户预定义的报文特征和ACL规则，对报文进行检查，并对命中的报文执行以下相应的操作：禁止通过。 禁止通过并加入黑名单。 允许通过并将源IP加入白名单。基本攻击防御功能基本攻击是指传统DoS（Denial of Service）单包攻击，主要包括扫描窥探攻击，畸形报文攻击和特殊报文攻击。恶意软件

16、检查功能清洗设备可以通过自定义恶意软件规则和加载预定义特征库两种方式检查恶意软件攻击。DNS智能Cache功能清洗设备通过文件加载的方式储存DNS缓存服务器的IP地址信息和域名信息，当攻击发生时，清洗设备触发DNS智能Cache功能，清洗设备代替授权服务器向DNS缓存服务器回应Cache信息。DNS域名阻断功能通过预先指定DNS域名，当清洗设备收到的报文命中DNS域名时，将此报文拦截阻断。基于防护对象的防御基于网段的防御基于网段的防御是指针对整个防护对象设置防御阈值，将每个防护对象的所有目的IP流量集中统计，一旦流量达到告警阈值则触发防御。DDoS设备支持的基于网段的防御类型包括以下几种攻击：

17、SYN Flood ACK Flood DNS Request Flood DNS Reply Flood TCP Ratio TCP Connection Flood HTTP Flood基于服务的防御在启动基于服务的防御前，首先确认防护对象网络中的主要服务，服务学习功能可以帮助用户了解网络中的服务类型，清洗设备将到达防护对象的流量按照目的IP地址、协议类型和目的端口，定义为不同的服务类型，针对不同类型的服务配置不同的防御策略，进行精细化防御和差异化防御。基于服务的防御策略可以将服务流量与非服务流量区分，针对不同的流量配置不同防御手段。DDoS设备防御手段包括以下几种方式：阻断：指将防护对象

18、中确定不存在的协议类型报文禁止通过。防御：针对各类服务的流量特征和合法性进行检查，正常流量允许通过，攻击流量禁止通过。限流：将防护对象中某种协议类型的流量大小控制在一定阈值之内，超过阈值部分的流量禁止通过。3.4.4 WEB防火墙策略自学习建模及白名单防护技术通过对访问流量的自学习和概率统计算法实现自动生成策略规则，同时对网站的正常访问行为规律进行分析及总结，生成一套针对网站特性的安全白名单规则，用户访问时WAF对合法输入直接放行，对不合法输入直接拦截，而不需要再匹配多条黑名单特征库，影响检测效率及准确率。1、 可自动学习URL树和请求方法、请求参数、参数类型和长度等信息；基于专有的建模算法，

19、可自动学习到网站的URL树和请求方法、请求参数、参数类型和长度等信息，并提供匹配率显示；2、 识别参数有效性基于应用识别算法，可识别请求参数是否有效；3、 白名单规则可设置白名单规则动作为不匹配则拦截，对攻击无需匹配大量黑名单特征库，提升规则匹配效率。高性能检测技术用户访问WEB应用时会调用大量图片、css样式、js脚本等静态文件，而这部分文件通常不具备攻击条件，华为WAF具备高性能模块对静态文件进行高速转发，无需通过大量的特征库检测，从而提升了网站访问性能。1、 在保证攻击防护的同时提升访问效率网站访问流量一般为“二八原则”，动态文件流量为20%，静态文件流量为80%，由于WAF对静态文件不

20、实行规则检查，但对存在攻击风险的文件格式仍进行规则检查，因此既可保证攻击防护有效性，同时又提升了用户访问效率；2、 仅对已知的静态文件高性能转发考虑到安全性，WAF仅对常见的静态文件格式进行高性能转发，而对未知的文件类型仍采取规则检测；3、 提升自身性能由于对大部分流量不作规则检测，可大大减小WAF自身的性能开销。防篡改技术防篡改基于缓存模块，首先启动学习模式对用户访问网站的页面内容进行学习，学习完成后将页面内容存储在缓存中，当服务器页面发生篡改并有用户访问该页面时，WAF首先会获取服务器的页面内容，并和缓存中的页面内容进行水印比对，当发现页面篡改时WAF则使用缓存中的页面返回给客户端，达到视

21、觉防篡改。1、 实现视觉篡改恢复当发生页面篡改时，WAF则使用缓存中的页面返回给客户端，达到视觉防篡改；2、 支持定时防护模式支持在特定时间内启用学习模式，可自动学习网站更新，便于网站管理员更新时频繁切换学习和防护模式。3、 支持篡改后页面恢复在网站页面发生篡改后，WAF提供原始页面下载，可对服务器的篡改后页面进行恢复。4 产品介绍4.1 华为DDoS异常流量清洗产品介绍4.1.1 产品说明华为公司推出的Anti-DDoS解决方案，面向运营商、企业、数据中心和ICP服务商（门户网站、游戏服务商、在线视频、DNS服务商、CDN服务等）提供专业DDoS防护，在传统流量型Anti-DDoS基础上重点

22、加强了对应用层攻击的防护，和IPv6-v4混合组网下攻击的防护能力，真正保护用户业务永续无忧。清洗设备是整个华为异常流量缓解方案的核心，它是网络中负责攻击流量缓解的重要设备。华为清洗设备主要有AntiDDoS1000系列，AntiDDoS8000系列，其内部均集成了华为自研的流量清洗引擎，使用逐层防范技术，并使用了众多业界通用的防范技术和大量华为的专利算法，因此能够轻松应对目前常见的大流量攻击和各种新型的应用层攻击。华为AntiDDoS解决方案可为行业客户提供最为完善的异常流量清洗解决方案，防护网络中带宽拥塞型攻击，以及基于用户正常应用的攻击行为。华为清洗系统提供了逐层防范机制，使用畸形报文检

23、查，特征过滤，源认证，会话分析，行为分析，智能限速，僵木蠕检测多种防范技术对流量进行层层筛选，保证攻击流量能够被相应算法识别并丢弃。其强大的防范机制可以灵活应对当前多变的DDoS攻击现状，为服务器提供100%的安全保证。图5.2.1 DDoS逐层防范机制4.1.2 产品特点 高效快速：200Gbps防护性能、秒级防护响应基于高性能多核CPU，提供2G至200G的全系列Anti-DDoS产品；采用业务模型流量自学习和逐包检测技术，一旦发现流量和报文异常，自动触发防护策略，从攻击发生到防御启动时延小于2秒钟。 精确全面：百余种攻击防御和IPv6防护独有七层过滤技术，可防御100+种DDoS攻击，防

24、护类型业界最多；支持全球最新 200+种僵木蠕防护，保护用户远离黑客；IPv4/IPv6双栈合一，首家全面支持IPv6攻击防御的方案；结合终端识别技术，确保非法客户端精准判别，保证零误判。 运营功能强大“租户”可实现自助配置防护策略、生成独立安全报表，让客户的客户对防护效果一目了然；支持攻击特征自助提取，帮助客户实现紧急防御，有效“抵御零日”攻击 。ATIC管理系统自带的强大报表功能，可以针对网络中出现的各种攻击流量，多种应用流量进行统计分析。分析结果会以邮件的形式自动发送给运维人员和客户，为客户的AntiDDoS服务运营提供强有力的支持。而其自定义的报表生成策略可以为不同客户分别提供个性化报

25、表定制。系统还可以给客户提供访问受限的独立帐户，客户可通过此帐户查询自己的流量历史状况和防范配置，实现业务管理上的虚拟化。 部署灵活华为AntiDDoS产品提供强大的路由和转发功能，保证了在复杂的客户网络中总是能够合理的部署DDoS防护系统。引流技术华为提供业界最强大的BGP路由功能，在AntiDDoS方案中可以灵活的针对流量进行牵引，并通过路由策略准确的控制路由发布。而BGP邻居安全认证技术则保证了BGP连接的安全。同时华为也提供了策略路由，IGP等其它的引流技术以供特定场景使用。另外，华为引入了动态引流，静态引流，手工引流等多种引流方式，提供流量牵引的灵活性。回注技术在做旁路部署时，流量如

26、何回注一直是AntiDDoS系统部署的难题。为了应对此问题，华为AntiDDoS清洗设备支持丰富的回注技术，包括MPLS，MPLS L3 VPN，GRE，802.1q，PBR。其中MPLS和MPLS L3 VPN能够应对复杂组网要求，其余技术针对网络边界防护能够提供有效支持。 高可靠性为了应对网络设备可能突发的故障问题，华为AntiDDoS解决方案提供了一整套高可靠性技术：1) 硬件系统采用华为自研的可靠平台，提供5个9级别的可靠性保证；2) BFD和IP-link技术可以实时探测对端设备运行状况以实现快速的故障发现和路由收敛；3) Link-group技术可以实现清洗设备上下行链路状态统一，

27、保证上下行路由可以同时收敛；4) 内置的bypass板卡为直路部署提供了高可靠性，减少了单点故障对网络的影响；5) ATIC管理中心支持本地与异地的高可靠性备份组网，提供不间断的数据分析和存储能力。4.2 华为SSL VPN产品介绍4.2.1 产品说明 随着智能终端设备的普及和功能增强，移动办公逐渐成为人们生活中的重要部分，智能终端通过WIFi/3G等无线网络接入公司办公网络存在窃听、泄密、中间人攻击、访问控制等安全问题。SVN系列产品针对移动办公提出了移动办公安全接入解决案，能够覆盖各种智能终端设备，使用高强度的加密技术和身份认证技术，确保了用户使用任意的智能终端设备都能安全的接入公司办公网

28、络，针对用户可以细粒度的进行权限控制，解决了被窃听、数据泄密、中间人攻击等安全问题。SVN系列产品针对企业出差员工、SOHO办公人员、合作伙伴、企业合作伙伴的远程接入需求，提供了安全、便捷、高效、易管理的远程接入解决方案。图5.3.1 SSL VPN移动接入解决方案华为SSL VPN网关包括SVN2000和SVN5000系列产品，采用电信级的可靠硬件平台，安全的实时嵌入式操作系统，传承多年在通讯、网络领域的研发、设计能力，满足各种严苛的国际认证规范，为企业、政府、运营商提供了远程接入、移动办公的安全解决方案。4.2.2 产品特点SVN具有强大的SSL VPN功能、完备的整体安全防护、丰富的用户

29、权限管理方式、强大的定制开发能力、灵活的组网适应能力、卓越的性能、电信级的可靠性设计和增强的易用功能。主要应用于内网的入口处，实现对接入用户的控制管理，可以广泛的应用于各种运营级网络或者企业网络。SVN支持Web代理、端口转发、文件共享、网络扩展和多媒体隧道等SSL VPN业务功能。SVN系列产品采用电信级的可靠硬件平台，安全的实时嵌入式操作系统，为企业、行业、运营商的远程安全办公、远程维护以及其他远程安全接入应用提供了高性价比的解决方案。1）强大的移动办公安全接入能力：支持Android、iOS(iPhone/iPad)、Linux、Symbian、Blackberry、Windows、Ma

30、cOS等主流平台，提供最广泛的移动终端适应性。在移动终端上支持Web代理、虚拟桌面、SSLVPN的L3 VPN、L2TP/IPSec VPN、安全SDK组件与应用集成的安全接入方式，用户可以灵活选择适合自己的方式使用；2）完备的整体安全防护：采用主机检查、访问痕迹清除和安全桌面技术，确保用户终端设备的安全。丰富的身份认证和灵活的授权管理，提供基于IP、端口、URL的细粒度访问控制，保证了用户访问的可控可管。采用高强度的加密算法和摘要算法，保证用户数据的传输安全。安全的OS系统、强大的防火墙和专业的Anti-DDos功能，保证了网关设备自身的安全；3）完备的整体安全防护：电信级软硬件平台，采用数

31、据压缩和传输优化技术，提供卓越性能和大容量用户的并发访问能力。支持双机热备和链路备份技术，提供电信级设备、链路可靠性，确保用户业务长期稳定运行。采用低功耗的硬件设计和功耗智能调节技术，实现了整机设备的绿色节能和低碳环保，有效降低用户的运营成本；4）领先的虚拟化SSLVPN应用：采用业界领先的虚拟网关技术，最高支持256个虚拟SSL VPN网关，有效节省投资成本。每个虚拟SSL VPN网关可进行独立的认证、配置与管理，方便管理员独立操作，简化维护成本，真正实现一机多用；5）全面的一体化VPN：集成SSLVPN、IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN和多媒体隧道网关功能于一体；6）强大的SSLVPN业务能力：支持Web代理、文件共享、端口转发、网络扩展、多媒体隧道功能。支持Web资源、C/S应用程序资源、基于IPv4的资源、基于IPv6的资源。支持TLS和TLS+UDPS两种隧道传输模式；7）跨平台的开放安全SDK：提供跨平台的安全SDK组件，和用户的各种应用实现无缝集成，使用户的应用能够安全访问业务资源。安全SDK面向第三方厂商和用户都是开放的，第三方厂商和用户可以快速集成，提升产品安全性。支持Android、Windows、 iOS(iPhone/iPad)、Linux、S