下一代防火墙

电子政务网站安全一站式解决方案

一、应用背景

为响应国务院第492号令—《中华人民共和国政府信息公开条例》,各地政府部门积极深入发展电子政务建设。旨在提高政府工作的透明度,促进依法行政,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用。电子政务网站(gov.cn)是政府职能部门信息化建设的重要内容,主要实现政务信息公开、在线办事、政民互动的三大功能定位。政府门户网站是电子政务的窗口,也是政府的窗口,是政府部门履行职能、面向社会提供服务的官方网站,是提高政府电子政务服务质量、服务效率、公众认知度和满意度的关键环节,是国家重要信息系统。保障电子政务网站安全是各政府部门信息安全建设的核心要求。是各地电子政务建设的重要组成部分,作为当地政府面向社会的窗口,是公众与政府互动的重要渠道。


二、需求分析

电子政务网站包含Web服务器、存储服务器、数据库服务器等多种类型的业务服务器,向internet、intranet等多个区域提供服务,电子政务网站要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而传统的安全隔离形式仅仅是通过vlan、ACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段,从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成众多泄露事件的原因之一。目前电子政务网站可能面临的攻击结果有以下几种:

一、网页篡改问题

网页篡改是指攻击者利用Web应用程序漏洞将正常的网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响,但对于电子政务网站,需要与用户通过网站进行沟通的应用而言,就意味着电子政务服务将被迫停止服务,对政府形象及信誉会造成严重的损害。

二、网页挂马问题

网页挂马也是利用Web攻击造成的一种网页篡改的安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏了网页的完整性。网页挂马会导致Web业务的最终用户成为受害者,成为攻击者的帮凶或者造成自身的损失。这种问题出现在电子政务网站中也严重影响网站的正常运作并影响到政府单位的公信度。

三、敏感信息泄漏问题

这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于电子政务网站而言是致命的打击,可产生巨大的不良影响。

四、无法响应正常服务的问题

黑客通过DOS/DDOS拒绝服务攻击使电子政务网站无法响应正常请求。这种攻击行为使得Web服务器充斥大量要求回复的信息,严重消耗网络系统资源,导致电子政务网站无法响应正常的服务请求。对于电子政务网站而言是巨大的威胁。


三、解决方案

深信服提供电子政务网站一站式完整安全解决方案。通过部署深信服下一代防火墙NGAF,可实现业务服务器的业务逻辑隔离,核心业务带宽保障、防止网络层、应用层安全威胁在数据中心内扩散。

NGAF的部署可以从从攻击源头上防护导致电子政务网站的各类网络/应用层安全威胁;同时深信服下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题,实现防攻击、防篡改、防泄密的效果。


1、NGAF通过访问控制策略ACL可实现Web服务器区、数据库服务器区、DMZ等区域的网络安全域划分,阻断各个区域间的网络通信,防止威胁扩散,防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题;

2、NGAF通过服务器防护功能模块的开启,可实现对各个区域(尤其是DMZ区)的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题;

3、NGAF通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能开启IPS、WAF模块的对应策略,可帮助管理员的实现针对性的策略配置;

4、利用NGAF入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;

5、NGAF防病毒检测的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;

6、NGAF DDOS/DOS攻击防护模块可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题。


四、方案价值

深信服电子政务网站安全“一站式“解决方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套安全防护解决方案。该方案有效的弥补了传统安全解决方案在Web业务安全防护能力的不足:

事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;

事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;

事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系,对Web业务产生的网站篡改、数据泄漏问题。

同时该方案从简化组网、方便运维、最优投资的用户角度出发,可为电子政务网站打造L2-L7层的安全防护体系构架,实现完整的安全防护,同时在可用性、可靠性上采用了深信服特有的先进技术电子政务网站的正常稳定运行,打造一个“安全”、“可靠”、“高效”的“一站式“电子政务网站安全解决方案。


  • 下一代防火墙用户访谈之一