1、錯誤！未指定書簽。1、 概述42、 公安門戶網(wǎng)站安全建設必要性42.1 合規(guī)性要求52.2 面臨的威脅62.3 公安門戶網(wǎng)站安全現(xiàn)狀分析103、 面臨的典型攻擊103.1 跨站腳本113.2 信息泄漏123.3 SQL注入123.4 DDOS攻擊134、 公安系統(tǒng)門戶網(wǎng)站安全防護145、 安全可靠的防御手段165.1 綠盟科技下一限弋防火墻(NF)175.2 綠盟網(wǎng)絡入侵防御系統(tǒng)(NSFOCUSNIPS)185.3 綠盟科技WEB應用防護系統(tǒng)(WAF)186、 總結19附件部署產(chǎn)品列表20一、概述對于公安門戶網(wǎng)站來說，公安系統(tǒng)發(fā)布的消息是比較權威的，同時公安門戶網(wǎng)站也是與民互動，實現(xiàn)執(zhí)法辦公公

2、開的一個最基本的保障，因此公安門戶網(wǎng)站是公安相關職能部門信息化建設的重要內(nèi)容，主要實現(xiàn)國家對公安門戶網(wǎng)站的三大功能定位：法律法規(guī)信息公開、公民在線辦事、政法與民互動。公安門戶網(wǎng)站是提高公安系統(tǒng)服務質(zhì)量、服務效率、公眾認知度和滿意度的關鍵環(huán)節(jié)，是國家重要信息系統(tǒng)之一。而近年來，隨著網(wǎng)站所運行業(yè)務的重要性逐漸增加以及其公眾性質(zhì)使其越來越成為攻擊和威脅的主要目標，公安門戶網(wǎng)站所面臨的Web應用安全問題越來越復雜，安全威脅正在飛速增長，尤其混合威脅的風險，如網(wǎng)頁篡改、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應用安全漏洞利用等，極大地困擾著政府職能單位和公眾用戶，給公安系統(tǒng)的公眾形象、信息網(wǎng)

3、絡和核心業(yè)務造成嚴重的破壞。因此一個優(yōu)秀的網(wǎng)站安全建設是公安政務門戶網(wǎng)站是否能取得成效、充分發(fā)揮職能的基礎，而合規(guī)、有效、全面的信息安全體系建設對保障其正常運行至關重要。二、公安門戶網(wǎng)站安全建設必要性當前公安系統(tǒng)門戶網(wǎng)站已積聚了信息化建設中大量的信息資源，成為公安系統(tǒng)信息公開成熟的業(yè)務展示和應用的平臺，是工作模式創(chuàng)新與流程改造、開展協(xié)同和電子服務的重要媒介，是實現(xiàn)執(zhí)法信息公開在網(wǎng)絡世界中建立的永久據(jù)點。公安部門的網(wǎng)站普遍存在業(yè)務數(shù)據(jù)機密性要求高、業(yè)務連續(xù)性要求強、網(wǎng)絡結構相對封閉、信息系統(tǒng)架構形式多樣等特點。而網(wǎng)站中不同業(yè)務功能模塊的信息安全需求又各不相同。如對外便民服務信息系統(tǒng)具有相對開放的

4、結構特點，用戶一般為普通民眾，便民服務業(yè)務對數(shù)據(jù)的可用性和完整性要求往往大于其對機密性要求，而在網(wǎng)站上獨立運行的業(yè)務信息系統(tǒng)具有相對封閉的結構特點，用戶一般為內(nèi)部用戶，用戶對數(shù)據(jù)的完整性和保密性要求往往大于可用性要求。因此公安網(wǎng)站安全風險貫穿前端Web訪問到后端數(shù)據(jù)處理和反饋整個過程。因此可以定性的認為：前一類信息系統(tǒng)面臨的服務中斷、外部黑客攻擊、非法入侵、安全漏洞等威脅的概率比較大，而后一類內(nèi)網(wǎng)泄密、監(jiān)管審計不到位等威脅的概率比較大。推動政府網(wǎng)站進行全面信息安全體系設計和建設的動力目前主要來自三個方面：1、等級保護等合規(guī)性安全要求2、面臨的安全威脅3、網(wǎng)站安全現(xiàn)狀2.1 合規(guī)性要求目前在已經(jīng)

5、基本完成的等級保護定級工作中，國家部委網(wǎng)站的安全級別基本定為3級,屬于國家重要信息系統(tǒng)，是國家等級保護測評和檢查重點。面對Web應用層面這類給Internet可用性帶來極大損害的攻擊，必須在國家等級保護政策的指導下，采用專門的機制，綜合采用各種技術手段對攻擊進行有效檢測，應按照中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院令第147號）、國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）、信息安全等級保護管理辦法（公通字200743號）等文件要求，參考計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）、信息系統(tǒng)安全等級保護基本要求（GB/T22239-200

6、8）等等級保護相關標準，開展等級保護整改、測評工作，切實為將網(wǎng)站建成“信息公開、在線辦事、公眾參與”三位一體的業(yè)務體系，為企業(yè)和社會公眾提供“一站式”電子政務公共服務政務目標提供有力保障。另外根據(jù)國家發(fā)改委、財政部最近下發(fā)的關于加快推進國家電子政務外網(wǎng)建設工作的通知（發(fā)改高技【2009】988號）中的要求：尚未實現(xiàn)與國家政務外網(wǎng)連接的部門，要按照統(tǒng)一的標準和規(guī)范，于2010年初完成接入國家政務外網(wǎng)的工作，要盡快將各類可在國家政務外網(wǎng)上運行的業(yè)務系統(tǒng)向國家政務外網(wǎng)上遷移，各級政務部門要根據(jù)國家關于等級保護的有關規(guī)定，確定國家政務外網(wǎng)上運行的業(yè)務系統(tǒng)的信息安全等級，采取相應的信息安全等級保護措施，

7、進行信息安全風險評估，保障各自業(yè)務系統(tǒng)的信息安全。這其中也包含了政府-公安職能單位門戶網(wǎng)站。因此符合國家合規(guī)性要求網(wǎng)站安全建設已經(jīng)變得刻不容緩。2.2 面臨的威脅近幾年關于網(wǎng)站網(wǎng)絡釣魚、SQL注入和跨站腳本等帶來嚴重后果的攻擊事件頻頻發(fā)生，嚴重影響了人們對WEB應用的信心，根據(jù)Gartner的數(shù)據(jù)分析，80%基于WEB的應用都存在安全問題，其中很大一部分是相當嚴重的問題。WEB應用系統(tǒng)的安全性越來越引起人們的高度關注。目前網(wǎng)絡中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷米陨砣觞c的攻擊。與此同時，網(wǎng)站也因安全隱患頻繁遭到各種攻擊，導致網(wǎng)站敏感數(shù)據(jù)丟失、網(wǎng)頁被篡改，甚至成為傳播木馬的傀

8、儡。網(wǎng)站安全形勢日益嚴峻，而政府網(wǎng)站被攻擊后造成的巨大政治風險、名譽損失、經(jīng)濟損失已經(jīng)成為電子政務健康發(fā)展的一個巨大障礙。當前威脅環(huán)境的主要特征是數(shù)據(jù)竊取、數(shù)據(jù)泄漏和為了獲利而以特定組織為目標進行攻擊所創(chuàng)造的惡意代碼不斷增加。政務網(wǎng)站除了面臨信息系統(tǒng)及網(wǎng)絡通用的安全問題外，還有其自身特點的安全問題。政府網(wǎng)站面臨的重要安全威脅主要有：1 .網(wǎng)頁篡改政府門戶網(wǎng)站作為國家的行政管理機構發(fā)布的信息事關國計民生，一旦被篡改將造成如政府形象受損、惡意發(fā)布信息等多種嚴重后果。來自中國互聯(lián)網(wǎng)網(wǎng)絡安全報告（2008年上半年）數(shù)據(jù)顯示：網(wǎng)頁篡改事件特別是我國大陸地區(qū)政府網(wǎng)頁被篡改事件呈現(xiàn)大幅增長趨勢。2008年上

9、半年，中國大陸被篡改網(wǎng)站總數(shù)達到35113個，同比增加了23.7%。2008年1月至6月期間，中國大陸政府網(wǎng)站被篡改數(shù)量基本保持平穩(wěn)，各月累計達2242個，同比增加了41%。從網(wǎng)站頁面被篡改的角度來看，存在兩種攻擊的可能，一種是網(wǎng)站被入侵，也就是說網(wǎng)站頁面確實被篡改了，另外一種是網(wǎng)站被劫持，這種情況下網(wǎng)站的頁面實際上并沒用被篡改，但是攻擊者劫持了網(wǎng)絡訪問并發(fā)送欺騙頁面給來訪者，進而造成頁面被篡改的表象。2 .網(wǎng)頁掛馬網(wǎng)頁掛馬就是攻擊者入侵了一些網(wǎng)站后，通過在正常的頁面中（通常是網(wǎng)站的主頁）將自己編寫的網(wǎng)頁木馬嵌入被黑網(wǎng)站的主頁中，瀏覽者在打開該頁面的時候，這段代碼被執(zhí)行，然后下載并運行某木馬的

10、服務器端程序，進而控制瀏覽者的主機。利用被黑網(wǎng)站的流量將自己的網(wǎng)頁木馬傳播開去，以達到自己不可告人的目的。網(wǎng)站被掛馬，被植入后門，這是政府門戶網(wǎng)站無法忍受的。網(wǎng)頁掛馬不僅對Web服務器造成很大影響，還“城門失火殃及池魚”，網(wǎng)站的瀏覽者也不能幸免。網(wǎng)站被掛馬不僅會讓自己的網(wǎng)站失去信譽，丟失大量客戶，也會讓我們這些普通用戶陷入黑客設下的陷阱，淪為黑客的肉雞。因此這無論是對政府的信譽，還是對公民的信任度都是沉重的打擊。由于網(wǎng)頁木馬的運行原理利用了IE瀏覽器的漏洞，因此對漏洞的及時修補及防護就成為網(wǎng)頁木馬防護的重點，下圖是網(wǎng)頁木馬利用應用程序漏洞的分布圖：網(wǎng)馬利用應用程序漏洞分布圖 ExplorlSW

11、F.Downloadergen ExploirWin32.Rcalplaycr.gen Exploit.Wm32.Ms06014.gcn ExploitAVin32,Thunder.gcn Exploit.Win32.LianZhong.gen Exploit.Win.Stornillon:Expfoit.Win32.UUSce.gcn Exploit.Win32.Ppstrcani.gcnExptoii.Win32.BjiduSobjr.gen ExpEoittWin32XhdoXlng.gen3 .木馬、病毒傳播木馬是一種在遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡控制本地計算機的

12、程序。木馬本身不具備繁殖性和自動感染的功能，這是與病毒的最大區(qū)別。木馬程序的危害是十分大，它能使遠程用戶獲得本地機器的最高操作權限，通過網(wǎng)絡對本地計算機進行任意的操作，比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠程關機等。木馬使用戶的電腦完全暴露在網(wǎng)絡環(huán)境之中，成為別人操縱的對象。因為工作需要政府辦公人員會經(jīng)常會訪問政府網(wǎng)站，一旦訪問了被植入木馬的網(wǎng)頁，木馬程序會自動搜集并傳走電腦中的各種文檔，將可能引發(fā)嚴重的泄密事件，后果不堪設想。據(jù)安全公司比特梵德(BitDefender)在日前發(fā)表的4月份調(diào)查報告中稱，木馬程序仍在繼續(xù)在互聯(lián)網(wǎng)上傳播，是互聯(lián)網(wǎng)用戶面臨的最惡毒的威脅排行榜中的主要威脅。4

13、 .網(wǎng)絡蠕蟲蠕蟲是一種通過網(wǎng)絡傳播的惡性病毒，它具有病毒的一些共同特征，如傳播性、隱蔽性和破壞性等。同時具有自己的特殊特征，如不利用文件寄生(如只存在于內(nèi)存中)引起網(wǎng)絡拒絕服務故障及與黑客技術相結合等。在破壞性上網(wǎng)絡蠕蟲也不是普通病毒所能比擬的，它可以在短短的時間內(nèi)蔓延整個網(wǎng)絡，造成網(wǎng)絡癱瘓。使訪問者無法獲取自己需要的內(nèi)容，政府發(fā)布的各種信息將得不到傳達，影響了電子政務信息的發(fā)布和傳播。5 .越權操作越權攻擊本身起源是應用系統(tǒng)對權限沒有嚴格識別，導致用戶文件權限過濾不嚴格。使低級別用戶擁有高級別用戶權限，可執(zhí)行高級別用戶動作，或同權限級別用戶之間沒有校驗，沒有做用戶識別，導致越權訪問。越權操作

14、基本上可分為兩種：信息所屬與角色權限不匹配；執(zhí)行操作權限與角色權限不匹配。2.3公安門戶網(wǎng)站安全現(xiàn)狀分析目前公安門戶網(wǎng)站建設還存在比較突出的重應用輕安全的現(xiàn)象，比如在某部位所制定的網(wǎng)站績效評估指標中，基本上均是從網(wǎng)站的業(yè)務應用出發(fā)制定的，對信息安全的考慮基本沒有。根據(jù)前期的調(diào)研發(fā)現(xiàn)，目前公安門戶網(wǎng)站的安全控制與措施大多獨立考慮，部分系統(tǒng)甚至缺少基本的安全策略，缺少安全主線和安全規(guī)劃，導致只解決了局部問題，而未能從整體解決安全問題，從而降低了整體的安全效率，導致多個信息安全孤島的實現(xiàn)，而且現(xiàn)有政務網(wǎng)站安全管理、防范措施、安全意識薄弱，極易遭到黑客攻擊。當前網(wǎng)站系統(tǒng)面臨的安全形勢十分嚴峻，既有外部

15、威脅，又有自身脆弱性和薄弱環(huán)節(jié)，能否及時發(fā)現(xiàn)并成功阻止網(wǎng)絡黑客的入侵和攻擊、保證Web應用系統(tǒng)的安全和正常運行成為政府網(wǎng)站所面臨的一個重要問題。當前絕大多數(shù)公安網(wǎng)站部署了一些安全設施，如防火墻，防病毒軟件等，而這些傳統(tǒng)的安全設備，作為整體安全策略中不可缺少的重要模塊，還不能有效地提供針對Web應用攻擊完善的防御能力。面對Web應用攻擊，這類給Internet可用性帶來極大損害的攻擊，必須采用專門的機制，對攻擊進行有效檢測，進而遏制這類不斷增長、日趨復雜的攻擊形式，因此圍繞政府網(wǎng)站特定的安全需求開展系統(tǒng)的、有針對性的網(wǎng)站安全建設已經(jīng)變得刻不容緩。三、面臨的典型攻擊魔鬼出沒的世界-卡爾薩根，用這句

16、話形容網(wǎng)站目前所處的惡劣安全環(huán)境是再合適不過了。對于網(wǎng)站的應用特點，針對公安門戶網(wǎng)站最普遍的攻擊有如下:3.1 跨站腳本跨站腳本攻擊屬于被動模式攻擊，是一種迫使應用系統(tǒng)向客戶端回顯攻擊者所提交可執(zhí)行代碼的攻擊技巧，通常是針對瀏覽器的攻擊，攻擊者提交的代碼通常是HTML/JavaScript,但是也可以擴展到VBScript/ActiveX/Java等其他瀏覽器支持的技術上，這種攻擊的對象是應用系統(tǒng)的最終用戶，通過在應用系統(tǒng)插入可執(zhí)行的腳本，用以獲取用戶系統(tǒng)中存儲的Cookie和Session信息，通過這些信息進行加工和重放，就可以輕而易舉地進行用戶身份仿冒。跨站腳本產(chǎn)生的根源與SQL注入問題一

17、樣，主要有：參數(shù)數(shù)據(jù)過濾不嚴格，用戶提交的腳本代碼未經(jīng)正確處理返回到用戶的瀏覽器，沒有對用戶數(shù)據(jù)進行校驗和過濾，主要產(chǎn)生在動態(tài)網(wǎng)頁環(huán)境，XSS這類漏洞是由于動態(tài)網(wǎng)頁的WEB應用對用戶提交請求參數(shù)未做充分的檢查過濾，允許用戶在提交的數(shù)據(jù)中摻入HTML代碼（最主要的是“>"、<"）,然后未加編碼地輸出到第三方用戶的瀏覽器，這些攻擊者惡意提交代碼會被受害用戶的瀏覽器解釋執(zhí)行。據(jù)研究發(fā)現(xiàn)：90%以上動態(tài)網(wǎng)頁存在跨站腳本問題?？缯灸_本的危害：瀏覽器劫持，偽造信息，欺騙用戶；盜竊用戶Cookie中的敏感信息，冒充用戶，獲取應用或操作系統(tǒng)的控制；高級利用，在客戶端瀏覽器上執(zhí)行

18、惡意JavaScript,后臺以當前瀏覽器的身份自動執(zhí)行攻擊者指定的操作。攻擊者可以利用XSS漏洞借助存在漏洞的WEB網(wǎng)站轉(zhuǎn)發(fā)攻擊其他瀏覽相關網(wǎng)頁的用戶，竊取用戶瀏覽會話中諸如用戶名和口令（可能包含在Cookie里）的敏感信息、通過插入掛馬代碼對用戶執(zhí)行掛馬攻擊?？缯灸_本漏洞的特點在于對存在漏洞的網(wǎng)站本身并不構成威脅，但會使網(wǎng)站成為攻擊者攻擊第三方的媒介。3.2 信息泄漏信息泄漏是攻擊者通過某種方式獲得應用系統(tǒng)某些敏感信息的攻擊技巧，通常是利用程序員遺留在代碼中的注釋或者服務器程序的錯誤信息。信息泄露的危害：應用系統(tǒng)部署時沒有將注釋去掉、應用系統(tǒng)部署時沒有正確的配置服務器程序。信息泄露的危害：

19、遠程攻擊者可以利用漏洞獲得敏感信息，有利于攻擊者進一步的攻擊，例如SQL注入。3.3 SQL注入SQL注入是攻擊者通過輸入惡意的請求直接操作數(shù)據(jù)庫服務器的攻擊技巧。SQL注入式應用系統(tǒng)中最常見，同時也是危害最大的一類弱點。導致SQL注入的基本原因是由于應用程序?qū)τ脩舻妮斎霙]有進行安全性檢查，從而使得用戶可以自行輸入SQL查詢語句，對數(shù)據(jù)庫中的信息進行瀏覽、查詢、更新。基于SQL注入的攻擊方法多種多樣，而且有很多變形，這也是傳統(tǒng)工具難以發(fā)現(xiàn)和定位的。SQL注入產(chǎn)生的原因：應用開發(fā)過程中沒有對用戶輸入進行校驗和過濾，對用戶提交CGI參數(shù)數(shù)據(jù)未做充分檢查過濾，用戶提交的數(shù)據(jù)可能會被用來構造訪問后臺數(shù)

20、據(jù)庫的SQL指令。如果這些數(shù)據(jù)過濾不嚴格就有可能被插入惡意的SQL代碼，從而非授權操作后臺的數(shù)據(jù)庫，導致敏感信息泄露、破壞數(shù)據(jù)庫內(nèi)容和結構、甚至利用數(shù)據(jù)庫本身的擴展功能控制服務器操作系統(tǒng)。SQL注入的危害：利用SQL注入漏洞可以構成對WEB服務器的直接攻擊，還可能用于網(wǎng)頁掛馬，導致機密數(shù)據(jù)泄漏如電子商務網(wǎng)站的客戶信息；服務器被控制；后臺數(shù)據(jù)庫執(zhí)行非授權的查詢、修改、刪除；泄露認證相關的敏感信息，導致攻擊者控制Web應用；網(wǎng)站數(shù)據(jù)的惡意破壞。3.4 DDOS攻擊傳統(tǒng)的攻擊都是通過對業(yè)務系統(tǒng)的滲透，非法獲得信息來完成，而DDoS（DistributedDenialofService）攻擊則是一種可

21、以造成大規(guī)模破壞的黑客武器，它通過制造偽造的流量，使得被攻擊的服務器、網(wǎng)絡鏈路或是網(wǎng)絡設備（如防火墻、路由器等）負載過高，從而最終導致系統(tǒng)崩潰，無法提供正常的服務。DDoS攻擊由于攻擊簡單、容易達到目的、難于防范和追查，日益成為常見的攻擊方式。拒絕服務攻擊可以有各種分類方法，如果按照攻擊方式來分可以分為：資源消耗、服務中止和物理破壞。資源消耗指攻擊者試圖消耗目標的合法資源，例如：網(wǎng)絡帶寬、內(nèi)存和磁盤空間、CPU使用率等等。通常，網(wǎng)絡層的拒絕服務攻擊利用了網(wǎng)絡協(xié)議的漏洞，或者搶占網(wǎng)絡或者設備有限的處理能力，造成網(wǎng)絡或者服務的癱瘓，而DDoS攻擊又可以躲過目前常見的網(wǎng)絡安全設備的防護，諸如防火墻、

22、入侵監(jiān)測系統(tǒng)等，這就使得對拒絕服務攻擊的防治，成為了一個令用戶非常頭痛的問題。由于防護手段較少同時發(fā)起DDoS攻擊也越來越容易，所以DDoS的威脅也在逐步增大，它們的攻擊目標不僅僅局限在Web服務器或是網(wǎng)絡邊界設備等單一的目標，網(wǎng)絡本身也漸漸成為DDoS攻擊的犧牲品。許多網(wǎng)絡基礎設施，諸如匯聚層/核心層的路由器和交換機、運營商的域名服務系統(tǒng)（DNS）都不同程度的遭受到了DDoS攻擊的侵害。隨著各種業(yè)務對Internet依賴程度的日益加強，DDoS攻擊所帶來的損失也愈加嚴重。包括運營商、企業(yè)及政府機構的各種用戶時刻都受到了DDoS攻擊的威脅，而未來更加強大的攻擊工具的出現(xiàn)，為日后發(fā)動數(shù)量更多、破

23、壞力更強的DDoS攻擊帶來可能。正是由于DDoS攻擊非常難于防御，以及其危害嚴重，所以如何有效的應對DDoS攻擊就成為Internet使用者所需面對的嚴峻挑戰(zhàn)。網(wǎng)絡設備或者傳統(tǒng)的邊界安全設備，諸如防火墻、入侵檢測系統(tǒng)，作為整體安全策略中不可缺少白重要模塊，都不能有效的提供針對DDoS攻擊完善的防御能力。面對這類給Internet可用性帶來極大損害的攻擊，必須采用專門的機制，對攻擊進行有效檢測，進而遏制這類不斷增長的、復雜的且極具欺騙性的攻擊形式四、公安系統(tǒng)門戶網(wǎng)站安全防護作為信息系統(tǒng)的一個典型應用，網(wǎng)站的安全防護與信息系統(tǒng)一樣，涉及的層面比較多，可分為網(wǎng)絡層面、系統(tǒng)層面、一般服務組件如數(shù)據(jù)庫、

24、通用軟件、常用軟件等、特定應用，對于前三類防護手段是通用的，我們使用的是傳統(tǒng)的防護技術。如下圖:公安門戶網(wǎng)站區(qū)網(wǎng)絡拓撲圖對網(wǎng)絡、通信協(xié)議、操作系統(tǒng)、數(shù)據(jù)庫等層面上的防護可以認為是通用的，傳統(tǒng)的邊界安全設備，如防火墻、安全網(wǎng)關、審計產(chǎn)品、終端防護產(chǎn)品等，作為網(wǎng)站整體安全策略中不可缺少的重要模塊，其防護效果是比較有效的。但在對公安網(wǎng)站系統(tǒng)采用傳統(tǒng)技術手段進行安全防護的同時，也要充分考慮如何針對用戶特定應用的應用層面脆弱性及威脅進行安全保障，因為網(wǎng)站的安全問題中，業(yè)務層面所暴露的安全問題顯得尤為突出，針又WEB特定應用的脆弱性以及產(chǎn)生的安全問題是個性化和不通用的，包括網(wǎng)絡站點訪問異常終止，被黑客DD

25、OS攻擊占用大量的流量帶寬等面臨以上這些傳統(tǒng)的技術手段就顯得力不從心了，不能有效的防范和檢測網(wǎng)站特定的威脅和攻擊，本方案重點是圍繞公安門戶網(wǎng)站面臨的典型安全問題,如跨站腳本、信息泄露、SQL注入、DDOS攻擊，解決典型用戶特定Web應用的防護和保障的解決方案，傳統(tǒng)層面的保障方案參見其他TzT7Ko根據(jù)國家“誰主管誰負責，誰運營誰負責”的精神，政府網(wǎng)站設計、建設、運維者是網(wǎng)站安全保障體系建設的主要力量，在貫穿網(wǎng)站全生命周期的信息安全建設過程中，可從安全檢測、安全防護、安全監(jiān)控與安全恢復三個方面對政府網(wǎng)站信息安全體系進行設計和建設。五、安全可靠的防御手段除了采用信息系統(tǒng)傳統(tǒng)的防護技術對門戶網(wǎng)站的基

26、礎設施進行必要的防護外，還必須針對WEB應用攻擊采用專門的機制，對其進行有效檢測、防護。從安全角度考慮，需要針對目前泛濫的SQL注入、跨站腳本、應用層DDoS等Web應用攻擊，對來自Web應用程序客戶端的各類請求進行內(nèi)容檢測和驗證，有效應對SQL注入、跨站腳本及其變形攻擊、實時檢測網(wǎng)頁篡改、提供掛馬主動診斷，提供細粒度應用層DDoS攻擊防護功能，清除不良用戶對應用系統(tǒng)的非法訪問流量，確保其可靠性、安全性與合法性，對非法的請求予以實時阻斷清洗，從而對各類網(wǎng)站站點進行有效防護，降低攻擊的影響，確保業(yè)務系統(tǒng)的連續(xù)性和可用性，降低網(wǎng)站安全風險，維護網(wǎng)站公信度。綠盟科技提供的安全防護部署如圖：綠盟科技建

27、議在出口部署綠盟下一代防火墻NF進行網(wǎng)站對外發(fā)布，安全域隔離，訪問控制，提高網(wǎng)絡層安全性，同時可以提供ISP路由選路，保障帶寬的利用率，保障門戶網(wǎng)站的訪問連續(xù)性；在防火墻后端建議部署一臺NIPS進行入侵檢測防御。實現(xiàn)多重不同策略的4-7層數(shù)據(jù)包的安全防護，為公安門戶網(wǎng)站系統(tǒng)增加一套安全可靠的防線；同時可以在WEB服務器前端部署WEB應用防火墻（WAF）。同時部署綠盟ESPC安全管理平臺對所有綠盟安全產(chǎn)品進行統(tǒng)一管理，統(tǒng)一分析，統(tǒng)一檢測。5.1 綠盟科技下一代防火墻（NF）NF基于卓越的應用和用戶識別能力，對數(shù)據(jù)流量和訪問來源進行精細化辨識和分類，使得用戶可以輕易從同一個端口協(xié)議的數(shù)據(jù)流量中辨識出任意多種不同的應用，或從無意無序的IP地址中辨識出有意義的用戶身份信息，從而針對識別出的應用和用戶施加細粒度、有區(qū)別的訪問控制策略、流量管理策略，保障了用戶最直接、準確、精細的管理愿望和控制訴求。同時可以具有防病毒、URL過濾、WEB信譽庫、內(nèi)容過濾等功能。NF能精確分類與辨識出包括低風險、高風險在內(nèi)的1000+種應用，F(xiàn)將當前網(wǎng)絡中發(fā)生的一切安全威脅狀況都及時清晰、可視直觀的展現(xiàn)給用戶，如當前網(wǎng)絡中的應用流量分布，用戶訪