网站安全监测和防护服务方案

上一个:

下一个:

网站安全监测和防护服务方案


第一章 背景分析


目前,XXX的部分业务已经迁云,但是云平台提供方仅负责云端设备机房的物理安全和云端主机安全,业务系统的安全工作全都在租户方身上。而与原单位机房相比,政务云提供的安全功能过少,又缺少相关合规标准和成熟的云安全权责模型。因此,云端业务系统、网站的安全形势就变得十分严峻。

另一方面,网站系统是政务公开的门户和企事业单位互联网业务的窗口,在“政务公开”、“互联网+”等变革发展中承担重要角色。目前,政府单位已经将网站建设维护工作纳入到对各级单位的绩效考核之中。同时在G20、两会、人大等重大活动期间,篡改网页、挂黑链、业务不可用等一系列安全问题频频爆发,因此,网站安全问题也受到了国家的高度关注,近年来国家相关部门针对网站尤其是政府网站,每年都会组织多次网站安全执法检查,并推出一系列监管文件。所以,一旦政府网站出现问题不能及时地通报和处理,就会给政府部门造成影响和损失。

 

面对快速更新的攻击手段,逐年升级的监管规定,政府网站都是在被黑客攻击或被监管通报之后才知道安全问题,直接承担安全事件的主要责任。

所以,为了避免篡改网页、挂黑链、业务不可用等恶性情况给政府部门带来的不良影响和损失,网站特别是云端网站的安全监测和防护就显得尤为重要。


第二章 网站安全监测和防护的必要性


信息安全本身就是相对的,没有绝对的安全,更没有一劳永逸的策略。最好的解决方案就是利用监测机制预先掌握风险变化,实时感知风险,以便随时做好有效策略。

构建“持续快速“的监测感知系统,大势所趋

l 2017年2月17日,习主席在国家安全工作座谈会中明确提出“加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护”

l 等保2.0对安全能力提出明确的要求,需要能够针对安全事件做到可视化,安全威胁可实时感知。

l 《网络安全法》第五章中也明确指出将监测预警与应急处置工作制度化、法制化。一方面明确国家将建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制;另一方面对政府/企事业等单位也提出了负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。

l 全球IT咨询机构Gartner预测:用户应该大幅提升安全检测和响应手段的投资,应该占到整体安全投资的30%以上。预计到2020年,安全检测和响应的投资将从30%增长到60%。

 

无论从国家政策法规要求还是知名的Gartner咨询机构来看,构建持续快速的监测感知系统将成为社会各级单位在安全建设中不可或缺的一个重要手段。


第三章 网站安全监测和防护方案

3.1 网站安全监测

网站业务系统的每个异常现象都可能是一种隐藏的入侵征兆,深信服将网站评估、监测、告警,以及7*24在线的安全专家团队等安全能力整合成了在线安全云平台。为用户实时评估监测网站安全状态,先于黑客或监管单位发现网站风险,让用户不再为网站安全担忧、担责。深信服网站安全监测服务网络拓扑如下:

3.1.1 网站安全监测服务构成

3.1.1.1 安全预警平台

深信服安全预警平台是集网站风险评估服务、实时监测服务、告警服务、威胁情报库、安全专家7*24小时值守等内容于一体化的强大的云端安全监测系统。平台采用分布式架构部署,支持扫描器横向扩展,满足扫描吞吐量快速扩张的需求。系统采用高可用设计,扫描执行服务器临时增(横向扩展)减(临时掉线)不会影响到扫描结果。扫描任务分发支持可靠性检测机制,确保任务不丢失。

3.1.1.2 告警系统

只需关注“深信服安全云”即可在线申请安全评估及监控服务,并通过公众号绑定的账号查收安全评估系统推送的安全事件报告。并且支持邮件告警,定期邮件形式推送安全报告到客户端。

3.1.2 网站安全监测服务内容

3.1.2.1 风险评估服务

风险监测平台自动化完成目标网站基线配置数据采集、基于网站特点的检测插件调度、目标网站响应数据处理过程,完成检测数据的智能统计分析后生成安全评估报表。

Ø “暴露面检测”:通过对网站IP、操作系统版本、服务和端口、子域信息等进行信息收集和扫描,完成目标网站资产数据和基线配置信息的收集。

Ø “脆弱性检测”:基于“暴露面检测”结果,智能调度仿攻击负荷(payload)的检测插件检测安全威胁。覆盖“信息泄露”、“配置隐患”、“SQL注入”、“XSS注入”等通用安全漏洞以及各种建站服务器、电子邮件系统、办公自动化系统漏洞及常见建站框架及建站语言漏洞。

Ø “内容安全检测”:支持“暗链”和“敏感词”检测,基于机器学习算法帮助目标网站及时发现篡改隐患和内容违规风险。

3.1.2.2 实时监测

针对影响网站运行和网站管理者声誉的重大隐患进行实时监控。覆盖网站页面篡改、挂马、黑链、可用性、内容安全、紧急漏洞的实时监控,确保管理员在网站发生如下情况时能及时得到通知并获得应急安全响应技术支持:

Ø 可用性监控:周期性发送PING、HTTP等请求检测网站是否可用;

Ø 内容安全监控:针对网站是否存在暗链篡改、DNS篡改、网站内容篡改、网站挂马以及网站内容中的反动、色情等非法的敏感词进行监控

Ø 紧急漏洞监控:对于漏洞攻击代码泄露;通用性框架的漏洞;厂商尚未发布补丁,或补丁发布时间<=30天;漏洞已经被较大规模(国外/国内)利用来进行攻击,具有较大影响;这类漏洞安全云平台会进行实时监控,及时发现风险。

3.1.2.3 及时告警

客户关注“深信服安全云”即可在线申请安全评估及监控服务,并通过公众号绑定的账户查收安全评估系统推送的安全事件报告。针对网页篡改、oday等紧急事件第一时间电话主动通知。

Ø 关注“深信服安全云”微信实时推送安全事件报告;

Ø 应急响应团队7*24小时值守;

Ø 紧急事件远程主动响应。

3.2 一站式网站安全防护

针对云端网站防护能力薄弱的问题,深信服提供一站式的网站安全防护服务,实现原理如下:

 

通过修改域名服务器DNS信息,将访问网站的流量引流到深信服云WAF,流量经过清洗后再引流回到网站。

3.2.1双向内容检测技术

深信服云WAF可实现对HTTP/HTTPS协议的深入解析,精确识别出协议中的各种要素,如cookie、Get参数、Post表单等,并对这些数据进行快速的解析,以还原其原始通信的信息,根据这些解析后的原始信息,可以精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术,只能实现在网络层数据包层面进行重组还原及特征匹配,无法解析基于HTTP协议的内容分析,很难有效检测针对web应用的攻击。而具备简单web攻击防护的IPS,仅仅是基于简单的特征检测技术,存在大量的漏报误报的信息。

 

深信服云WAF作为web客户端与服务器请求与响应的中间人,能够有效的避免web服务器直接暴露在互联网之上,NGAF双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文,对恶意流量,以及服务器外发的有风险信息进行实时的清洗与过滤。

3.2.2 典型的Web攻击防护

深信服云WAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护电子政务网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

3.2.3 基于应用的深度入侵防御

深信服云WAF基于应用的深度入侵防御采用六大威胁检测机制:攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析能够有效的防止各类已知未知攻击,实时阻断黑客攻击。如,缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。

 

通过深信服云WAF可有效防止利用web服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,使黑客获取更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。

3.2.4 网页防篡改

网页防篡改功能是深信服云WAF网站防护中的一个子功能,其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。

当网页被数据篡改后,用户看到的页面变成了非法页面或者损害政府形象的网页,这种事故往往会给政府造成很严重的影响。深信服云WAF网站篡改防护功能可有效降低此类风险,当网站数据被篡改之后,设备可以重定向到备用网站服务器或者指定的其他页面,并且及时地通过短信或者邮件方式通知管理员。

3.2.5 敏感信息防泄漏

深信服云WAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。

通过深信服深度内容检测技术的应用,深信服云WAF具备深度内容检测的能力。能够检测出通过文件、数据流、标准协议等通过网关的内容。因此具备针对敏感信息,如186、139等有特征的11位的手机号码、18位身份证号,有标准特征的@邮箱等有特征数据进行识别。并通过分离平面设计的软件构架,实现控制平面与内容平面检测联动,通过控制平面向底层数据转发平面发送操作指令来阻断敏感信息的泄漏。有防护了各单位、政府、金融机构的敏感泄漏的风险。

3.2.6 应用信息隐藏

深信服云WAF可提供外部访问网站进行隐身,可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息,让黑客看不见,摸不着,探测不到,自然也无从猜测分析和攻击。亦可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。

当客户端访问WEB网站的时候,服务器会通过HTTP报文头部返回客户端很多字段信息,例如Server、Via等,Via可能会泄露代理服务器的版本信息,攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。

网站扫描也是黑客获取网站信息关键的步骤,通常会对WEB站点进行扫描,对WEB站点的结构、漏洞进行扫描。深信服云WAF可以检测到如爬虫、扫描软件,如Appscan、等多种扫描攻击行为并进行阻断。

3.2.7 智能的DOS攻击防护

深信服云WAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。

 

3.3 方案价值

深信服网站安全监测和防护服务方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套安全防护解决方案。该方案有效的弥补了云端网站在Web业务安全防护能力的不足:

事前,快速的风险扫描和实时监测,帮助用户快速定位安全风险并及时通知用户;

事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;

事后,对Web的不安全配置进行检测,配有专门的云端安全专家团队,帮助用户更好地做好网站监测和防护工作。

同时该方案无需购买硬件设备和修改网络拓扑,省去用户的运维工作,做到实时监测,实现分钟级的响应速度,为电子政务网站打造L2-L7层的安全防护体系构架,实现完整的安全防护。同时在可用性、可靠性上采用了深信服特有的先进技术,保障电子政务网站的正常稳定运行,打造一个“安全”、“可靠”、“高效”的“一站式”电子政务网站安全服务方案。

深信服自建安全云平台,将入云业务和网站防护所需的安全能力整合成在线的安全服务,为入云业务和网站提供更全面、更周到的安全防护服务。

 


 专家全程保驾,交付可视服务

 

 

 

 事前预知:主动发现风险,防患于未然

 

信服云眼持续发现资产、评估风险,把安全与业务紧耦合;风险定位由安全大数据分析平台快速分析,再由人工审核确保零失误;千里目实验室,持续研究攻击技术,把握攻击趋势,以【黑客视角】预知风险。

事中防御:还原攻击行为,深度设防


 

七年的应用层防护技术积累,防御专家在线对抗,实时调优防护策略,全面对抗黑客行为,实现真安全。

 事后响应:专家团队7*24H在线,分钟级响应

 

针对篡改、0Day、木马、webshell、黑链等安全事件,深信服安全云在线进行实时监测,一旦发现,微信预警用户,同时交由处置专家在线处置。

 全程可视:过程可视化设计,掌握业务安全

 

业务风险可视

 

防护过程及防护结果可视

 

微信端预警效果展示

 第四章 信服云眼服务介绍



第五章 客户案例

4.1 福建省卫计委案例

 

用户痛点及需求:

自从17年两会开始,福建省各地网安在查医疗行业的网站安全建设,大量的改进文件发到省卫计委,使得省卫计委的信息安全管理工作比较被动。福建省省卫计委需要掌握了解全省医疗行业的网站建设情况,指导网站的安全建设,因此缺少一套掌握全省医疗行业网站安全状态的监测机制来提升对下属医院的监管能力。

深信服解决方案及价值:

1、采用深信服安全云平台实时监测网站安全:实现了7*24小时的全天候监测,可以同时做到检测主域名下面的所有子域名/页面是否被篡改、网站漏洞、黑链、网马等安全问题。 

2、准确率高:深信服安全预警监测平台由安全大数据分析平台和7*24在线攻防安全专家完美结合(云平台监测,人工核查),可以100%发现页面篡改事件,避免高危事件扩大影响。

3、快速响应:5分钟内告知用户(微信、邮件),先于黑客或监管单位发现网站风险,并及时通知到用户,让用户不再为网站安全担忧、担责。

4.2 新疆自治区单位案例

 

用户痛点及需求:

1、区单位网站被严格监管,出现安全问题无法第一时间知道,监管单位发现就直接通报,信息中心对网站的安全管理压力比较大。

2、用户想要实现全天候全方位掌握网站安全问题,以便对网站问题进行快速响应,避免被通报或者承担法律责任。

深信服解决方案及价值:

7*24小时全面监测网站安全问题,可以帮助用户精准、快速定位问题,用户可以在问题扩大之前进行控制,避免被通报。

更多政府行业案例列表:

4.3 国家电投集团河北电力有限公司 

用户痛点及需求:

用户是国企,网站属于重要信息资产,承载着企业宣传和企业业务等,安全要求比较高,安全管理压力比较大:

1、网站频繁变更带来的网站业务自身的安全问题;

2、网站暴露面非常多,脆弱面随时都会出现,风险不可控;

3、互联网中针对网站的攻击趋势(互联网安全态势)无法掌握;

以上问题造成用户在安全管理上无法有的放矢,即使有防火墙,安全策略也不能进行最优调整(防火墙无法自动调整策略,用户没有相当专业的技术能力能够调整最优策略),始终处于被动防御状态,安全问题也是层出不穷。

另外国企也具有合规性要求,受到严格监管,一旦出现问题,轻则被通报,重则所属单位需要承担法律责任。

深信服解决方案及价值:

减轻企业安全管理的压力,同时降低安全风险,避免被监管单位通报。

更多企业案例列表: