公安局網(wǎng)絡(luò)安全防護系統(tǒng)技術(shù)方案.docVIP

公安局網(wǎng)絡(luò)安全防護系統(tǒng)技術(shù)方案 目 錄一、概述4二、公安門戶網(wǎng)站安全建設(shè)必要性42.1合規(guī)性要求52.2面臨的威脅62.3公安門戶網(wǎng)站安全現(xiàn)狀分析8三、面臨的典型攻擊93.1跨站腳本93.2信息泄漏103.3SQL 注入103.4DDOS攻擊10四、公安系統(tǒng)門戶網(wǎng)站安全防護11五、安全可靠的防御手段135.1綠盟科技下一代防火墻（NF）145.2綠盟網(wǎng)絡(luò)入侵防御系統(tǒng)（NSFOCUS NIPS）155.3綠盟科技WEB應(yīng)用防護系統(tǒng)（WAF）15六、總結(jié)16附件 部署產(chǎn)品列表162一、 概述對于公安門戶網(wǎng)站來說，公安系統(tǒng)發(fā)布的消息是比較權(quán)威的，同時公安門戶網(wǎng)站也是與民互動，實現(xiàn)執(zhí)法辦公公開的一個最基本的保障，因此公安門戶網(wǎng)站是公安相關(guān)職能部門信息化建設(shè)的重要內(nèi)容，主要實現(xiàn)國家對公安門戶網(wǎng)站的三大功能定位：法律法規(guī)信息公開、公民在線辦事、政法與民互動。公安門戶網(wǎng)站是提高公安系統(tǒng)服務(wù)質(zhì)量、服務(wù)效率、公眾認知度和滿意度的關(guān)鍵環(huán)節(jié)，是國家重要信息系統(tǒng)之一。而近年來，隨著網(wǎng)站所運行業(yè)務(wù)的重要性逐漸增加以及其公眾性質(zhì)使其越來越成為攻擊和威脅的主要目標，公安門戶網(wǎng)站所面臨的Web應(yīng)用安全問題越來越復(fù)雜，安全威脅正在飛速增長，尤其混合威脅的風(fēng)險，如網(wǎng)頁篡改、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應(yīng)用安全漏洞利用等，極大地困擾著政府職能單位和公眾用戶，給公安系統(tǒng)的公眾形象、信息網(wǎng)絡(luò)和核心業(yè)務(wù)造成嚴重的破壞。因此一個優(yōu)秀的網(wǎng)站安全建設(shè)是公安政務(wù)門戶網(wǎng)站是否能取得成效、充分發(fā)揮職能的基礎(chǔ)，而合規(guī)、有效、全面的信息安全體系建設(shè)對保障其正常運行至關(guān)重要。二、 公安門戶網(wǎng)站安全建設(shè)必要性當(dāng)前公安系統(tǒng)門戶網(wǎng)站已積聚了信息化建設(shè)中大量的信息資源，成為公安系統(tǒng)信息公開成熟的業(yè)務(wù)展示和應(yīng)用的平臺，是工作模式創(chuàng)新與流程改造、開展協(xié)同和電子服務(wù)的重要媒介，是實現(xiàn)執(zhí)法信息公開在網(wǎng)絡(luò)世界中建立的永久據(jù)點。公安部門的網(wǎng)站普遍存在業(yè)務(wù)數(shù)據(jù)機密性要求高、業(yè)務(wù)連續(xù)性要求強、網(wǎng)絡(luò)結(jié)構(gòu)相對封閉、信息系統(tǒng)架構(gòu)形式多樣等特點。而網(wǎng)站中不同業(yè)務(wù)功能模塊的信息安全需求又各不相同。如對外便民服務(wù)信息系統(tǒng)具有相對開放的結(jié)構(gòu)特點，用戶一般為普通民眾，便民服務(wù)業(yè)務(wù)對數(shù)據(jù)的可用性和完整性要求往往大于其對機密性要求，而在網(wǎng)站上獨立運行的業(yè)務(wù)信息系統(tǒng)具有相對封閉的結(jié)構(gòu)特點，用戶一般為內(nèi)部用戶，用戶對數(shù)據(jù)的完整性和保密性要求往往大于可用性要求。因此公安網(wǎng)站安全風(fēng)險貫穿前端Web訪問到后端數(shù)據(jù)處理和反饋整個過程。因此可以定性的認為：前一類信息系統(tǒng)面臨的服務(wù)中斷、外部黑客攻擊、非法入侵、安全漏洞等威脅的概率比較大， 而后一類內(nèi)網(wǎng)泄密、監(jiān)管審計不到位等威脅的概率比較大。推動政府網(wǎng)站進行全面信息安全體系設(shè)計和建設(shè)的動力目前主要來自三個方面： 1、等級保護等合規(guī)性安全要求 2、面臨的安全威脅 3、網(wǎng)站安全現(xiàn)狀2.1 合規(guī)性要求目前在已經(jīng)基本完成的等級保護定級工作中，國家部委網(wǎng)站的安全級別基本定為3級，屬于國家重要信息系統(tǒng)，是國家等級保護測評和檢查重點。面對Web應(yīng)用層面這類給Internet可用性帶來極大損害的攻擊，必須在國家等級保護政策的指導(dǎo)下，采用專門的機制，綜合采用各種技術(shù)手段對攻擊進行有效檢測，應(yīng)按照中華人民共和國計算機信息系統(tǒng)安全保護條例（國務(wù)院令第147號）、國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）、信息安全等級保護管理辦法（公通字200743號）等文件要求，參考計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）、信息系統(tǒng)安全等級保護基本要求（ GB/T 22239-2008 ）等等級保護相關(guān)標準，開展等級保護整改、測評工作，切實為將網(wǎng)站建成“信息公開、在線辦事、公眾參與”三位一體的業(yè)務(wù)體系，為企業(yè)和社會公眾提供“一站式”電子政務(wù)公共服務(wù)政務(wù)目標提供有力保障。另外根據(jù)國家發(fā)改委、財政部最近下發(fā)的關(guān)于加快推進國家電子政務(wù)外網(wǎng)建設(shè)工作的通知（發(fā)改高技【2009】988號）中的要求：尚未實現(xiàn)與國家政務(wù)外網(wǎng)連接的部門，要按照統(tǒng)一的標準和規(guī)范，于2010年初完成接入國家政務(wù)外網(wǎng)的工作，要盡快將各類可在國家政務(wù)外網(wǎng)上運行的業(yè)務(wù)系統(tǒng)向國家政務(wù)外網(wǎng)上遷移，各級政務(wù)部門要根據(jù)國家關(guān)于等級保護的有關(guān)規(guī)定，確定國家政務(wù)外網(wǎng)上運行的業(yè)務(wù)系統(tǒng)的信息安全等級，采取相應(yīng)的信息安全等級保護措施，進行信息安全風(fēng)險評估，保障各自業(yè)務(wù)系統(tǒng)的信息安全。這其中也包含了政府-公安職能單位門戶網(wǎng)站。因此符合國家合規(guī)性要求網(wǎng)站安全建設(shè)已經(jīng)變得刻不容緩。2.2 面臨的威脅近幾年關(guān)于網(wǎng)站網(wǎng)絡(luò)釣魚、SQL注入和跨站腳本等帶來嚴重后果的攻擊事件頻頻發(fā)生，嚴重影響了人們對WEB應(yīng)用的信心，根據(jù)Gartner的數(shù)據(jù)分析，80%基于WEB的應(yīng)用都存在安全問題，其中很大一部分是相當(dāng)嚴重的問題。WEB應(yīng)用系統(tǒng)的安全性越來越引起人們的高度關(guān)注。目前網(wǎng)絡(luò)中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷?yīng)用自身弱點的攻擊。與此同時，網(wǎng)站也因安全隱患頻繁遭到各種攻擊，導(dǎo)致網(wǎng)站敏感數(shù)據(jù)丟失、網(wǎng)頁被篡改，甚至成為傳播木馬的傀儡。網(wǎng)站安全形勢日益嚴峻，而政府網(wǎng)站被攻擊后造成的巨大政治風(fēng)險、名譽損失、經(jīng)濟損失已經(jīng)成為電子政務(wù)健康發(fā)展的一個巨大障礙。 當(dāng)前威脅環(huán)境的主要特征是數(shù)據(jù)竊取、數(shù)據(jù)泄漏和為了獲利而以特定組織為目標進行攻擊所創(chuàng)造的惡意代碼不斷增加。政務(wù)網(wǎng)站除了面臨信息系統(tǒng)及網(wǎng)絡(luò)通用的安全問題外，還有其自身特點的安全問題。政府網(wǎng)站面臨的重要安全威脅主要有：1. 網(wǎng)頁篡改政府門戶網(wǎng)站作為國家的行政管理機構(gòu)發(fā)布的信息事關(guān)國計民生，一旦被篡改將造成如政府形象受損、惡意發(fā)布信息等多種嚴重后果。來自中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告（ 2008 年上半年）數(shù)據(jù)顯示：網(wǎng)頁篡改事件特別是我國大陸地區(qū)政府網(wǎng)頁被篡改事件呈現(xiàn)大幅增長趨勢。2008 年上半年，中國大陸被篡改網(wǎng)站總數(shù)達到35113 個，同比增加了23.7%。2008 年1 月至6 月期間，中國大陸政府網(wǎng)站被篡改數(shù)量基本保持平穩(wěn)，各月累計達2242個，同比增加了41%。從網(wǎng)站頁面被篡改的角度來看，存在兩種攻擊的可能，一種是網(wǎng)站被入侵，也就是說網(wǎng)站頁面確實被篡改了，另外一種是網(wǎng)站被劫持，這種情況下網(wǎng)站的頁面實際上并沒用被篡改，但是攻擊者劫持了網(wǎng)絡(luò)訪問并發(fā)送欺騙頁面給來訪者，進而造成頁面被篡改的表象。2. 網(wǎng)頁掛馬網(wǎng)頁掛馬就是攻擊者入侵了一些網(wǎng)站后，通過在正常的頁面中（通常是網(wǎng)站的主頁）將自己編寫的網(wǎng)頁木馬嵌入被黑網(wǎng)站的主頁中，瀏覽者在打開該頁面的時候，這段代碼被執(zhí)行，然后下載并運行某木馬的服務(wù)器端程序，進而控制瀏覽者的主機。利用被黑網(wǎng)站的流量將自己的網(wǎng)頁木馬傳播開去，以達到自己不可告人的目的。網(wǎng)站被掛馬，被植入后門，這是政府門戶網(wǎng)站無法忍受的。網(wǎng)頁掛馬不僅對Web服務(wù)器造成很大影響，還“城門失火殃及池魚”，網(wǎng)站的瀏覽者也不能幸免。網(wǎng)站被掛馬不僅會讓自己的網(wǎng)站失去信譽，丟失大量客戶，也會讓我們這些普通用戶陷入黑客設(shè)下的陷阱，淪為黑客的肉雞。因此這無論是對政府的信譽，還是對公民的信任度都是沉重的打擊。由于網(wǎng)頁木馬的運行原理利用了IE瀏覽器的漏洞，因此對漏洞的及時修補及防護就成為網(wǎng)頁木馬防護的重點，下圖是網(wǎng)頁木馬利用應(yīng)用程序漏洞的分布圖：3. 木馬、病毒傳播木馬是一種在遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡(luò)控制本地計算機的程序。木馬本身不具備繁殖性和自動感染的功能，這是與病毒的最大區(qū)別。木馬程序的危害是十分大，它能使遠程用戶獲得本地機器的最高操作權(quán)限，通過網(wǎng)絡(luò)對本地計算機進行任意的操作，比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠程關(guān)機等。木馬使用戶的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中，成為別人操縱的對象。因為工作需要政府辦公人員會經(jīng)常會訪問政府網(wǎng)站，一旦訪問了被植入木馬的網(wǎng)頁，木馬程序會自動搜集并傳走電腦中的各種文檔，將可能引發(fā)嚴重的泄密事件，后果不堪設(shè)想。 據(jù)安全公司比特梵德(BitDefender)在日前發(fā)表的4月份調(diào)查報告中稱，木馬程序仍在繼續(xù)在互聯(lián)網(wǎng)上傳播，是互聯(lián)網(wǎng)用戶面臨的最惡毒的威脅排行榜中的主要威脅。4. 網(wǎng)絡(luò)蠕蟲 蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共同特征，如傳播性、隱蔽性和破壞性等。同時具有自己的特殊特征，如不利用文件寄生(如只存在于內(nèi)存中)引起網(wǎng)絡(luò)拒絕服務(wù)故障及與黑客技術(shù)相結(jié)合等。在破壞性上網(wǎng)絡(luò)蠕蟲也不是普通病毒所能比擬的，它可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。使訪問者無法獲取自己需要的內(nèi)容，政府發(fā)布的各種信息將得不到傳達，影響了電子政務(wù)信息的發(fā)布和傳播。5. 越權(quán)操作越權(quán)攻擊本身起源是應(yīng)用系統(tǒng)對權(quán)限沒有嚴格識別，導(dǎo)致用戶文件權(quán)限過濾不嚴格。使低級別用戶擁有高級別用戶權(quán)限，可執(zhí)行高級別用戶動作，或同權(quán)限級別用戶之間沒有校驗，沒有做用戶識別，導(dǎo)致越權(quán)訪問。越權(quán)操作基本上可分為兩種：信息所屬與角色權(quán)限不匹配；執(zhí)行操作權(quán)限與角色權(quán)限不匹配。2.3 公安門戶網(wǎng)站安全現(xiàn)狀分析 目前公安門戶網(wǎng)站建設(shè)還存在比較突出的重應(yīng)用輕安全的現(xiàn)象，比如在某部位所制定的網(wǎng)站績效評估指標中，基本上均是從網(wǎng)站的業(yè)務(wù)應(yīng)用出發(fā)制定的，對信息安全的考慮基本沒有。根據(jù)前期的調(diào)研發(fā)現(xiàn)，目前公安門戶網(wǎng)站的安全控制與措施大多獨立考慮，部分系統(tǒng)甚至缺少基本的安全策略，缺少安全主線和安全規(guī)劃，導(dǎo)致只解決了局部問題，而未能從整體解決安全問題，從而降低了整體的安全效率，導(dǎo)致多個信息安全孤島的實現(xiàn)，而且現(xiàn)有政務(wù)網(wǎng)站安全管理、防范措施、安全意識薄弱，極易遭到黑客攻擊。當(dāng)前網(wǎng)站系統(tǒng)面臨的安全形勢十分嚴峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)節(jié)，能否及時發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵和攻擊、保證Web應(yīng)用系統(tǒng)的安全和正常運行成為政府網(wǎng)站所面臨的一個重要問題。當(dāng)前絕大多數(shù)公安網(wǎng)站部署了一些安全設(shè)施，如防火墻，防病毒軟件等，而這些傳統(tǒng)的安全設(shè)備，作為整體安全策略中不可缺少的重要模塊，還不能有效地提供針對Web應(yīng)用攻擊完善的防御能力。面對Web應(yīng)用攻擊，這類給Internet可用性帶來極大損害的攻擊，必須采用專門的機制，對攻擊進行有效檢測，進而遏制這類不斷增長、日趨復(fù)雜的攻擊形式，因此圍繞政府網(wǎng)站特定的安全需求開展系統(tǒng)的、有針對性的網(wǎng)站安全建設(shè)已經(jīng)變得刻不容緩。三、 面臨的典型攻擊魔鬼出沒的世界 - 卡爾薩根，用這句話形容網(wǎng)站目前所處的惡劣安全環(huán)境是再合適不過了。對于網(wǎng)站的應(yīng)用特點，針對公安門戶網(wǎng)站最普遍的攻擊有如下：3.1 跨站腳本 跨站腳本攻擊屬于被動模式攻擊，是一種迫使應(yīng)用系統(tǒng)向客戶端回顯攻擊者所提交可執(zhí)行代碼的攻擊技巧，通常是針對瀏覽器的攻擊，攻擊者提交的代碼通常是 HTML/JavaScript，但是也可以擴展到 VBScript/ActiveX/Java 等其他瀏覽器支持的技術(shù)上，這種攻擊的對象是應(yīng)用系統(tǒng)的最終用戶，通過在應(yīng)用系統(tǒng)插入可執(zhí)行的腳本，用以獲取用戶系統(tǒng)中存儲的Cookie和Session信息，通過這些信息進行加工和重放，就可以輕而易舉地進行用戶身份仿冒?？缯灸_本產(chǎn)生的根源與SQL注入問題一樣，主要有：參數(shù)數(shù)據(jù)過濾不嚴格，用戶提交的腳本代碼未經(jīng)正確處理返回到用戶的瀏覽器，沒有對用戶數(shù)據(jù)進行校驗和過濾，主要產(chǎn)生在動態(tài)網(wǎng)頁環(huán)境，XSS這類漏洞是由于動態(tài)網(wǎng)頁的WEB應(yīng)用對用戶提交請求參數(shù)未做充分的檢查過濾，允許用戶在提交的數(shù)據(jù)中摻入HTML代碼（最主要的是“”、“”），然后未加編碼地輸出到第三方用戶的瀏覽器，這些攻擊者惡意提交代碼會被受害用戶的瀏覽器解釋執(zhí)行。據(jù)研究發(fā)現(xiàn)：90以上動態(tài)網(wǎng)頁存在跨站腳本問題。 跨站腳本的危害：瀏覽器劫持，偽造信息，欺騙用戶；盜竊用戶Cookie 中的敏感信息，冒充用戶，獲取應(yīng)用或操作系統(tǒng)的控制；高級利用，在客戶端瀏覽器上執(zhí)行惡意JavaScript，后臺以當(dāng)前瀏覽器的身份自動執(zhí)行攻擊者指定的操作。攻擊者可以利用XSS漏洞借助存在漏洞的WEB網(wǎng)站轉(zhuǎn)發(fā)攻擊其他瀏覽相關(guān)網(wǎng)頁的用戶，竊取用戶瀏覽會話中諸如用戶名和口令（可能包含在Cookie里）的敏感信息、通過插入掛馬代碼對用戶執(zhí)行掛馬攻擊?？缯灸_本漏洞的特點在于對存在漏洞的網(wǎng)站本身并不構(gòu)成威脅，但會使網(wǎng)站成為攻擊者攻擊第三方的媒介。3.2 信息泄漏 信息泄漏是攻擊者通過某種方式獲得應(yīng)用系統(tǒng)某些敏感信息的攻擊技巧，通常是利用程序員遺留在代碼中的注釋或者服務(wù)器程序的錯誤信息。信息泄露的危害：應(yīng)用系統(tǒng)部署時沒有將注釋去掉、應(yīng)用系統(tǒng)部署時沒有正確的配置服務(wù)器程序。信息泄露的危害：遠程攻擊者可以利用漏洞獲得敏感信息，有利于攻擊者進一步的攻擊，例如 SQL 注入。3.3 SQL 注入 SQL 注入是攻擊者通過輸入惡意的請求直接操作數(shù)據(jù)庫服務(wù)器的攻擊技巧。SQL注入式應(yīng)用系統(tǒng)中最常見，同時也是危害最大的一類弱點。導(dǎo)致SQL注入的基本原因是由于應(yīng)用程序?qū)τ脩舻妮斎霙]有進行安全性檢查，從而使得用戶可以自行輸入SQL查詢語句，對數(shù)據(jù)庫中的信息進行瀏覽、查詢、更新。基于SQL注入的攻擊方法多種多樣，而且有很多變形，這也是傳統(tǒng)工具難以發(fā)現(xiàn)和定位的。SQL 注入產(chǎn)生的原因：應(yīng)用開發(fā)過程中沒有對用戶輸入進行校驗和過濾，對用戶提交CGI參數(shù)數(shù)據(jù)未做充分檢查過濾，用戶提交的數(shù)據(jù)可能會被用來構(gòu)造訪問后臺數(shù)據(jù)庫的SQL指令。如果這些數(shù)據(jù)過濾不嚴格就有可能被插入惡意的SQL代碼，從而非授權(quán)操作后臺的數(shù)據(jù)庫，導(dǎo)致敏感信息泄露、破壞數(shù)據(jù)庫內(nèi)容和結(jié)構(gòu)、甚至利用數(shù)據(jù)庫本身的擴展功能控制服務(wù)器操作系統(tǒng)。 SQL注入的危害：利用SQL注入漏洞可以構(gòu)成對WEB服務(wù)器的直接攻擊，還可能用于網(wǎng)頁掛馬，導(dǎo)致機密數(shù)據(jù)泄漏如電子商務(wù)網(wǎng)站的客戶信息；服務(wù)器被控制；后臺數(shù)據(jù)庫執(zhí)行非授權(quán)的查詢、修改、刪除；泄露認證相關(guān)的敏感信息，導(dǎo)致攻擊者控制Web應(yīng)用；網(wǎng)站數(shù)據(jù)的惡意破壞。3.4 DDOS攻擊傳統(tǒng)的攻擊都是通過對業(yè)務(wù)系統(tǒng)的滲透，非法獲得信息來完成，而DDoS（Distributed Denial of Service）攻擊則是一種可以造成大規(guī)模破壞的黑客武器，它通過制造偽造的流量，使得被攻擊的服務(wù)器、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備（如防火墻、路由器等）負載過高，從而最終導(dǎo)致系統(tǒng)崩潰，無法提供正常的服務(wù)。DDoS攻擊由于攻擊簡單、容易達到目的、難于防范和追查，日益成為常見的攻擊方式。拒絕服務(wù)攻擊可以有各種分類方法，如果按照攻擊方式來分可以分為：資源消耗、服務(wù)中止和物理破壞。資源消耗指攻擊者試圖消耗目標的合法資源，例如：網(wǎng)絡(luò)帶寬、內(nèi)存和磁盤空間、CPU使用率等等。通常，網(wǎng)絡(luò)層的拒絕服務(wù)攻擊利用了網(wǎng)絡(luò)協(xié)議的漏洞，或者搶占網(wǎng)絡(luò)或者設(shè)備有限的處理能力，造成網(wǎng)絡(luò)或者服務(wù)的癱瘓，而DDoS攻擊又可以躲過目前常見的網(wǎng)絡(luò)安全設(shè)備的防護，諸如防火墻、入侵監(jiān)測系統(tǒng)等，這就使得對拒絕服務(wù)攻擊的防治，成為了一個令用戶非常頭痛的問題。由于防護手段較少同時發(fā)起DDoS攻擊也越來越容易，所以DDoS的威脅也在逐步增大，它們的攻擊目標不僅僅局限在Web服務(wù)器或是網(wǎng)絡(luò)邊界設(shè)備等單一的目標，網(wǎng)絡(luò)本身也漸漸成為DDoS攻擊的犧牲品。許多網(wǎng)絡(luò)基礎(chǔ)設(shè)施，諸如匯聚層/核心層的路由器和交換機、運營商的域名服務(wù)系統(tǒng)（DNS）都不同程度的遭受到了DDoS攻擊的侵害。隨著各種業(yè)務(wù)對Internet依賴程度的日益加強，DDoS攻擊所帶來的損失也愈加嚴重。包括運營商、企業(yè)及政府機構(gòu)的各種用戶時刻都受到了DDoS攻擊的威脅，而未來更加強大的攻擊工具的出現(xiàn)，為日后發(fā)動數(shù)量更多、破壞力更強的DDoS攻擊帶來可能。正是由于DDoS攻擊非常難于防御，以及其危害嚴重，所以如何有效的應(yīng)對DDoS攻擊就成為Internet使用者所需面對的嚴峻挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備或者傳統(tǒng)的邊界安全設(shè)備，諸如防火墻、入侵檢測系統(tǒng)，作為整體安全策略中不可缺少的重要模塊，都不能有效的提供針對DDoS攻擊完善的防御能力。面對這類給Internet可用性帶來極大損害的攻擊，必須采用專門的機制，對攻擊進行有效檢測，進而遏制這類不斷增長的、復(fù)雜的且極具欺騙性的攻擊形式四、 公安系統(tǒng)門戶網(wǎng)站安全防護作為信息系統(tǒng)的一個典型應(yīng)用，網(wǎng)站的安全防護與信息系統(tǒng)一樣，涉及的層面比較多，可分為網(wǎng)絡(luò)層面、系統(tǒng)層面、一般服務(wù)組件如數(shù)據(jù)庫、通用軟件、常用軟件等、特定應(yīng)用，對于前三類防護手段是通用的，我們使用的是傳統(tǒng)的防護技術(shù)。如下圖：對網(wǎng)絡(luò)、通信協(xié)議、操作系統(tǒng)、數(shù)據(jù)庫等層面上的防護可以認為是通用的，傳統(tǒng)的邊界安全設(shè)備，如防火墻、安全網(wǎng)關(guān)、審計產(chǎn)品、終端防護產(chǎn)品等，作為網(wǎng)站整體安全策略中不可缺少的重要模塊，其防護效果是比較有效的。但在對公安網(wǎng)站系統(tǒng)采用傳統(tǒng)技術(shù)手段進行安全防護的同時，也要充分考慮如何針對用戶特定應(yīng)用的應(yīng)用層面脆弱性及威脅進行安全保障，因為網(wǎng)站的安全問題中，業(yè)務(wù)層面所暴露的安全問題顯得尤為突出，針對WEB特定應(yīng)用的脆弱性以及產(chǎn)生的安全問題是個性化和不通用的，包括網(wǎng)絡(luò)站點訪問異常終止，被黑客DDOS攻擊占用大量的流量帶寬等面臨以上這些傳統(tǒng)的技術(shù)手段就顯得力不從心了，不能有效的防范和檢測網(wǎng)站特定的威脅和攻擊，本方案重點是圍繞公安門戶網(wǎng)站面臨的典型安全問題，如跨站腳本、信息泄露、SQL注入、DDOS攻擊，解決典型用戶特定Web應(yīng)用的防護和保障的解決方案，傳統(tǒng)層面的保障方案參見其他方案。根據(jù)國家“誰主管誰負責(zé)，誰運營誰負責(zé)”的精神，政府網(wǎng)站設(shè)計、建設(shè)、運維者是網(wǎng)站安全保障體系建設(shè)的主要力量，在貫穿網(wǎng)站全生命周期的信息安全建設(shè)過程中，可從安全檢測、安全防護、安全監(jiān)控與安全恢復(fù)三個方面對政府網(wǎng)站信息安全體系進行設(shè)計和建設(shè)。五、 安全可靠的防御手段除了采用信息系統(tǒng)傳統(tǒng)的防護技術(shù)對門戶網(wǎng)站的基礎(chǔ)設(shè)施進行必要的防護外，還必須針對WEB應(yīng)用攻擊采用專門的機制，對其進行有效檢測、防護。從安全角度考慮，需要針對目前泛濫的SQL注入、跨站腳本、應(yīng)用層DDoS等Web應(yīng)用攻擊，對來自Web應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，有效應(yīng)對SQL注入、跨站腳本及其變形攻擊、實時檢測網(wǎng)頁篡改、提供掛馬主動診斷，提供細粒度應(yīng)用層DDoS攻擊防護功能，清除不良用戶對應(yīng)用系統(tǒng)的非法訪問流量，確保其可靠性、安全性與合法性，對非法的請求予以實時阻斷清洗，從而對各類網(wǎng)站站點進行有效防護，降低攻擊的影響，確保業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性，降低網(wǎng)站安全風(fēng)險，維護網(wǎng)站公信度。綠盟科技提供的安全防護部署如圖：綠盟科技建議在出口部署綠盟下一代防火墻NF進行網(wǎng)站對外發(fā)布，安全域隔離，訪問控制，提高網(wǎng)絡(luò)層安全性，同時可以提供ISP路由選路，保障帶寬的利用率，保障門戶網(wǎng)站的訪問連續(xù)性；在防火墻后端建議部署一臺NIPS進行入侵檢測防御。實現(xiàn)多重不同策略的4-7層數(shù)據(jù)包的安全防護，為公安門戶網(wǎng)站系統(tǒng)增加一套安全可靠的防線；同時可以在WEB服務(wù)器前端部署WEB應(yīng)用防火墻（WAF）。同時部署綠盟ESPC安全管理平臺對所有綠盟安全產(chǎn)品進行統(tǒng)一管理，統(tǒng)一分析，統(tǒng)一檢測。5.1 綠盟科技下一代防火墻（NF）NF基于卓越的應(yīng)用和用戶識別能力，對數(shù)據(jù)流量和訪問來源進行精細化辨識和分類，使得用戶可以輕易從同一個端口協(xié)議的數(shù)據(jù)流量中辨識出任意多種不同的應(yīng)用，或從無意無序的 IP 地址中辨識出有意義的用戶身份信息，從而針對識別出的應(yīng)用和用戶施加細粒度、有區(qū)別的訪問控制策略、流量管理策略，保障了用戶最直接、準確、精細的管理愿望和控制訴求。同時可以具有防病毒、URL過濾、WEB信譽庫、內(nèi)容過濾等功能。NF能精確分類與辨識出包括低風(fēng)險、高風(fēng)險在內(nèi)的1000+種應(yīng)用，F(xiàn) 將當(dāng)前網(wǎng)絡(luò)中發(fā)生的一切安全威脅狀況都及時清晰、可視直觀的展現(xiàn)給用戶，如當(dāng)前網(wǎng)絡(luò)中的應(yīng)用流量分布，用戶訪問分布，以及在應(yīng)用的安全防護中發(fā)現(xiàn)或攔截了哪些安全威脅等。NF中一體化