銳捷網(wǎng)絡(luò)政務(wù)門戶網(wǎng)站安全解決方案
背景及問題
近年來����,隨著政務(wù)網(wǎng)站所運行業(yè)務(wù)的重要性逐漸增加以及其公眾性質(zhì)使其越來越成為攻擊和威脅的主要目標(biāo),政府網(wǎng)站所面臨的Web應(yīng)用安全問題越來越復(fù)雜�,混合威脅的風(fēng)險正在飛速增長,如網(wǎng)頁篡改�、蠕蟲病毒�、DDoS攻擊、SQL注入�����、跨站腳本�����、Web應(yīng)用安全漏洞利用等�����,極大地困擾著政府和公眾用戶����,給政府的政務(wù)形象����、信息網(wǎng)絡(luò)和核心業(yè)務(wù)造成嚴(yán)重的破壞����。據(jù)CNCERT最新統(tǒng)計顯示,2010年我國大陸地區(qū)政府網(wǎng)頁遭篡改事件呈大幅增長趨勢���。
電子政府網(wǎng)站建設(shè)需求
電子政府網(wǎng)站的安全關(guān)系到電子政務(wù)事業(yè)能夠有效開展�����,發(fā)揮作用��。等級保護(hù)體系也對網(wǎng)站安全提出了要求��?����!秶倚畔⒒I(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》更是給出了電子政務(wù)門戶網(wǎng)站防護(hù)體系更明確的信息��。
國內(nèi)各級政府網(wǎng)站正在向“服務(wù)平臺化���、站點集群化”的政府門戶網(wǎng)站的特點發(fā)展��。通過��,在各級政府網(wǎng)站中的在線服務(wù)引導(dǎo)和電子政務(wù)���、服務(wù)結(jié)果查詢,將政府各局���、各部門聯(lián)系在一起����,共同組成一座龐大且實用的“一站式��、一體化”的政府電子政務(wù)服務(wù)平臺���。主要采用三層架構(gòu)設(shè)計,從下至上分別為:數(shù)據(jù)訪問層�、業(yè)務(wù)邏輯層、表示層��。
銳捷網(wǎng)絡(luò)WebGuard解決方案
RG-WG系列銳捷WebGuard(簡稱WG)應(yīng)用保護(hù)系統(tǒng)���,是銳捷網(wǎng)絡(luò)專門解決上述Web應(yīng)用安全問題設(shè)計的網(wǎng)絡(luò)設(shè)備���。銳捷WebGuard基于對HTTP/HTTPS流量內(nèi)容的雙向檢測分析���,識別檢測各類Web編碼、交互技術(shù)���、URL參數(shù)以及表單輸入等�,為Web應(yīng)用提供實時����、動態(tài)的主動性防護(hù)。
各省級和中央的政府門戶網(wǎng)站一般都是在電子政務(wù)外網(wǎng)的數(shù)據(jù)中心��,服務(wù)器數(shù)量眾多�����,不單是為市民���、企業(yè)提供政務(wù)業(yè)務(wù)�,還需要為各級地市提供政府辦公業(yè)務(wù)�����,RG-WG部署在電子政務(wù)外網(wǎng)數(shù)據(jù)中心的前端,可根據(jù)不同的安全域���,不同的web服務(wù)特點和不同的代碼特點�,分別制定不同的個性化的安全訪問策略���,從而為眾多安全域提供集中式�、個性化的安全防護(hù)���。
RG-WG的處理性能可以達(dá)到10G�,不但可以滿足省級和中央的政府門戶網(wǎng)站高可靠的要求��,在重要的活動期間也可以根據(jù)策略的調(diào)整����,適應(yīng)大流量��、大訪問量��,多攻擊事件的高性能要求���。如下圖所示:
各級地市��、區(qū)縣的政府門戶網(wǎng)站架構(gòu)相對比較簡單��。依據(jù)“2010年政府網(wǎng)站績效考核各項指標(biāo)”����,各級地市、區(qū)縣政府以實現(xiàn)集安全���、資源整合���、在線服務(wù)、信息公開�����、民主參與于一身的政府網(wǎng)站平臺為建設(shè)目標(biāo)�����。
RG-WG部署在政府網(wǎng)站W(wǎng)eb服務(wù)器的前端����,做為客戶端與WEB服務(wù)器端請求與響應(yīng)的中間人,實時過濾阻斷或屏蔽跨站腳本、SQL注入及惡意攻擊�����,從而保障政府網(wǎng)站面向居民��、企業(yè)�����、外籍人士及同級政府提供各種穩(wěn)定���、可靠��、安全在線政務(wù)服務(wù)����。如下圖所示:
各級地市政府專業(yè)單獨防護(hù)
特色優(yōu)勢
1.全時空四維度防護(hù)策略
WG采用事前檢測�����、事中防護(hù)和事后恢復(fù)的“全時空”策略�����。既能在事前防御防范與未然�����,又能在事后進(jìn)行頁面恢復(fù)����。設(shè)備能緩存網(wǎng)頁內(nèi)容。當(dāng)網(wǎng)站被篡改時�����,設(shè)備將緩存的正確頁面返回給訪問者��,保證對外顯示的始終是正確頁面�。
2.雙向網(wǎng)站實時檢測過濾
RG-WG作為web客戶端與服務(wù)器端請求與響應(yīng)的中間人,避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)上����,檢測過濾HTTP/HTTPS雙向交互流量數(shù)據(jù),對其中的惡意成分進(jìn)行實時在線清洗過濾����。
3.關(guān)鍵字過濾、黑白名單功能
根據(jù)客戶的使用需求�,防止網(wǎng)站論壇被上傳非法反動言論�����,或網(wǎng)頁被篡改為非法言論���,支持關(guān)鍵字過濾。同時RG-WG系列能將確認(rèn)為攻擊的源IP自動加入黑名單����,并且提供自動解禁時間,不需要任何人工的操作����。
4.虛擬WAF與分級管理
單一WAF 設(shè)備支持多個網(wǎng)站管理員分別配置管理防護(hù)策略,并提供獨立的攻擊事件報警�����、分析日志與報表����。此功能非常適合具有一定數(shù)目web 服務(wù)器群的企業(yè)使用,方便網(wǎng)絡(luò)運營管理��,減輕設(shè)備管理員的工作量��,解決眾多網(wǎng)站所帶來的策略維護(hù)與管理的問題���。
5.“零配置”初次運行����、一站式防護(hù)
Cisco����、Impreva等廠商采用白名單工作方式,使用時需要針對每個頁面的HTTP各字段進(jìn)行配置���;對客戶技術(shù)水平要求高�����,否則無法發(fā)揮出產(chǎn)品功效�����。
WG針對國內(nèi)常見的攻擊����,預(yù)置了攻擊防御策略��;設(shè)備上線,無需配置即可防御絕大多數(shù)攻擊����;同時也提供白名單功能,供高級客戶使用��。
方案效果
WG可以對電子政務(wù)門戶網(wǎng)站進(jìn)行有效的安全防護(hù)�,避免入侵攻擊、網(wǎng)頁篡改以及信息泄露等安全事件的發(fā)生�,保障電子政務(wù)門戶網(wǎng)站的長期安全、穩(wěn)定的運營�;銳捷網(wǎng)絡(luò)電子政務(wù)門戶網(wǎng)站在全國各省市已經(jīng)部署了眾多的案例并獲得了廣泛認(rèn)可。
