區(qū)域衛(wèi)生信息平臺(tái)安全建設(shè)方案

需求背景

            數(shù)據(jù)大集中是數(shù)據(jù)管理集約化、精細(xì)化的必然要求，是企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的有效手段。數(shù)據(jù)中心DC便是IT建設(shè)數(shù)據(jù)大集中的產(chǎn)物，作為業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域，數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息。對(duì)于惡意攻擊者而言，數(shù)據(jù)中心永遠(yuǎn)是最具吸引力的目標(biāo)。所以數(shù)據(jù)中心特別是“云數(shù)據(jù)中心”的安全建設(shè)顯得格外重要。過去，數(shù)據(jù)中心的安全建設(shè)以各區(qū)域安全隔離為主，隔離來自internet、intranet、extrane等區(qū)域的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)的訪問控制。但這是遠(yuǎn)遠(yuǎn)不夠的，任何一個(gè)稍懂安全的人員，都可以很輕易的從一個(gè)網(wǎng)站上下載到黑客工具，對(duì)保護(hù)不佳的數(shù)據(jù)中心造成極大的破壞。而隨著攻擊逐漸向應(yīng)用層轉(zhuǎn)移，“云數(shù)據(jù)中心”的安全隱患隨之遷移到了應(yīng)用層，數(shù)據(jù)中心面臨的應(yīng)用層安全威脅是基于L3-L4層的傳統(tǒng)防火墻完全無法理解的。總的來說，數(shù)據(jù)中心面臨的應(yīng)用層安全威脅主要包括：

            1、利用業(yè)務(wù)開發(fā)時(shí)期沒有對(duì)代碼的安全進(jìn)行評(píng)估，使得系統(tǒng)可輕易通過web攻擊實(shí)現(xiàn)對(duì)web服務(wù)器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題

            2、利用服務(wù)器操作系統(tǒng)漏洞、應(yīng)用軟件漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊，獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問題

            3、來自其他安全域的病毒、木馬、蠕蟲的交叉感染，使得數(shù)據(jù)中心成為“養(yǎng)馬場“

            4、由于訪問控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問題

            5、利用協(xié)議漏洞對(duì)服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問題

深信服下一代安全數(shù)據(jù)中心解決方案

            深信服致力于打造安全、高效、可靠的下一代安全數(shù)據(jù)中心解決方案，為數(shù)據(jù)中心打造L2-L7層的多層安全防護(hù)體系構(gòu)架，幫助用戶將安全風(fēng)險(xiǎn)降到最低，打造“安全“、”可靠“、”高效“的數(shù)據(jù)中心。

            完整可靠的數(shù)據(jù)中心安全防護(hù)體系

         深信服下一代數(shù)據(jù)中心安全解決方案提供L2-L7層的完整的數(shù)據(jù)中心應(yīng)用安全防護(hù)體系，幫助數(shù)據(jù)中心解決傳統(tǒng)防火墻由于工作在L3-L4層無法識(shí)別的應(yīng)用層威脅。

ü  網(wǎng)絡(luò)安全：訪問控制、DOS攻擊防護(hù)、IPSEC VPN組網(wǎng)、NAT地址轉(zhuǎn)換

ü  應(yīng)用安全：漏洞攻擊、非安全應(yīng)用控制、惡意地址防護(hù)、病毒木馬蠕蟲過濾、應(yīng)用訪問控制

ü  Web安全：SQL注入、跨站腳本、敏感信息防泄露

ü  設(shè)備自身安全：抗DOS/DOS屬性、管理員SSL加密登陸、業(yè)務(wù)與管理分離管理

            可精細(xì)控制的可視化數(shù)據(jù)中心

         深信服下一代安全數(shù)據(jù)中心可幫助管理員實(shí)現(xiàn)精細(xì)的區(qū)域劃分與可視化的權(quán)限訪問控制。區(qū)別于傳統(tǒng)防火墻的五元組訪問控制策略，下一代防火墻可通過應(yīng)用可視化功能與用戶識(shí)別技術(shù)結(jié)合制定的L3-L7一體化應(yīng)用控制策略, 可以為用戶提供更加精細(xì)和直觀化控制界面，在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作，提升工作效率。

            應(yīng)用層高性能的數(shù)據(jù)中心

            由于數(shù)據(jù)大集中，數(shù)據(jù)中心往往會(huì)需要高訪問量、高吞吐量的網(wǎng)絡(luò)構(gòu)架進(jìn)行支撐，為了實(shí)現(xiàn)強(qiáng)勁的應(yīng)用層處理能力，NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計(jì)算工作的硬件設(shè)計(jì)，采用了更加適合應(yīng)用層靈活計(jì)算能力的多核并行處理技術(shù)，極大的提升應(yīng)用層數(shù)據(jù)的分析能力。

            同時(shí)NGAF采用單次解析構(gòu)架實(shí)現(xiàn)報(bào)文的一次解析一次匹配，避免了UTM由于多模塊疊加對(duì)報(bào)文進(jìn)行多次拆包多次解析的問題，有效的提升了應(yīng)用層效率。實(shí)現(xiàn)單次解析技術(shù)的一個(gè)關(guān)鍵要素就是軟件架構(gòu)設(shè)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)、應(yīng)用層平面分離，通過在將數(shù)據(jù)通過“0”拷貝技術(shù)提取到應(yīng)用層平面上實(shí)現(xiàn)威脅特征的統(tǒng)一解析、統(tǒng)一檢測，減少冗余的數(shù)據(jù)包封裝，從而實(shí)現(xiàn)高性能的處理。

         高可靠保障數(shù)據(jù)中心

            數(shù)據(jù)大集中后數(shù)據(jù)中心成為數(shù)據(jù)、業(yè)務(wù)的核心承載區(qū)域，其業(yè)務(wù)可用性是數(shù)據(jù)中心建設(shè)至關(guān)重要的目標(biāo)。為保證數(shù)據(jù)中心業(yè)務(wù)不中斷，實(shí)現(xiàn)高可靠，深信服下一代數(shù)據(jù)中心安全解決方案具備多重的高可靠保障：

            1、傳統(tǒng)關(guān)鍵部件冗余：包括電源、風(fēng)扇1+1冗余，且支持熱插拔

            2、存儲(chǔ)介質(zhì)冗余，確保系統(tǒng)穩(wěn)定運(yùn)行：硬盤+CF卡，實(shí)現(xiàn)存儲(chǔ)冗余，在硬盤故障時(shí)，CF無縫切換，系統(tǒng)穩(wěn)定運(yùn)行

            3、設(shè)備穩(wěn)定性：可實(shí)現(xiàn)硬件故障bypass保證數(shù)據(jù)中心穩(wěn)定性

            深信服下一代數(shù)據(jù)中心安全解決方案，可為數(shù)據(jù)中心打造L2-L7層的安全防護(hù)體系構(gòu)架，實(shí)現(xiàn)數(shù)據(jù)中心完整的安全防護(hù)，同時(shí)在可用性、可靠性上采用了深信服特有的先進(jìn)技術(shù)保證數(shù)據(jù)中心業(yè)務(wù)的正常穩(wěn)定運(yùn)行，真正幫助用戶打造一個(gè)“安全”、“可靠”、“高效”的數(shù)據(jù)中心。

1       應(yīng)用背景

            為響應(yīng)國務(wù)院第492號(hào)令—《中華人民共和國政府信息公開條例》，各地政府部門積極深入發(fā)展電子政務(wù)建設(shè)。旨在提高政府工作的透明度，促進(jìn)依法行政，充分發(fā)揮政府信息對(duì)人民群眾生產(chǎn)、生活和經(jīng)濟(jì)社會(huì)活動(dòng)的服務(wù)作用。電子政務(wù)網(wǎng)站（gov.cn）是政府職能部門信息化建設(shè)的重要內(nèi)容，主要實(shí)現(xiàn)政務(wù)信息公開、在線辦事、政民互動(dòng)的三大功能定位。政府門戶網(wǎng)站是電子政務(wù)的窗口，也是政府的窗口，是政府部門履行職能、面向社會(huì)提供服務(wù)的官方網(wǎng)站，是提高政府電子政務(wù)服務(wù)質(zhì)量、服務(wù)效率、公眾認(rèn)知度和滿意度的關(guān)鍵環(huán)節(jié)，是國家重要信息系統(tǒng)。保障電子政務(wù)網(wǎng)站安全是各政府部門信息安全建設(shè)的核心要求。是各地電子政務(wù)建設(shè)的重要組成部分，作為當(dāng)?shù)卣�府面向社�?huì)的窗口，是公眾與政府互動(dòng)的重要渠道。

十八大即將召開，網(wǎng)站安全建設(shè)格外重要

            中共十八次全國代表大會(huì)將于2012 年下半年在北京召開。作為中國政府的對(duì)外窗口——政府門戶網(wǎng)站，也將面臨嚴(yán)峻的考驗(yàn)�？梢灶A(yù)見的是，屆時(shí)各級(jí)政府門戶網(wǎng)站的訪問量將會(huì)承受來自世界各地的嚴(yán)峻考驗(yàn)。如何做好黨的十八大期間網(wǎng)絡(luò)與信息安全保障是今年各級(jí)政府的一項(xiàng)重要工作，各地也紛紛出臺(tái)了各項(xiàng)制度和管理規(guī)范，就十八大期間的網(wǎng)站安全和保障工作進(jìn)行了專項(xiàng)部署。為充分發(fā)揮政府網(wǎng)站在政府信息公開、提升政府公信力等方面的重要作用，各級(jí)政府網(wǎng)站提出了如下要求：

            一、充分發(fā)揮政府網(wǎng)站的信息公開、在線服務(wù)、互動(dòng)交流作用

                  二、強(qiáng)化督導(dǎo)檢查，確保網(wǎng)站安全

                  三、加強(qiáng)溝通協(xié)作，合力辦好政府門戶網(wǎng)站

網(wǎng)站安全事件劇增，網(wǎng)站用戶信息泄漏引發(fā)關(guān)注

            近年來，網(wǎng)站安全事件數(shù)量不斷攀升，電子政務(wù)網(wǎng)站成為了主要目標(biāo)，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）《2011年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示“網(wǎng)站安全類事件占到61.7%；境內(nèi)被篡改網(wǎng)站數(shù)量為36612個(gè)，較2010年增加5.1%；4月-12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個(gè)。CNVD接受的漏洞中，涉及網(wǎng)站相關(guān)的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。

            而網(wǎng)站安全問題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。2011年底，CSDN、天涯等網(wǎng)站發(fā)生用戶泄露事件引起社會(huì)廣泛關(guān)注，被公開的疑似泄露數(shù)據(jù)庫26個(gè)，涉及賬號(hào)、密碼信息2.78億條，嚴(yán)重威脅互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全�！�

境內(nèi)政府網(wǎng)站遭受境外網(wǎng)絡(luò)攻擊增多

            在政府網(wǎng)站安全方面，境外黑客對(duì)境內(nèi)1116個(gè)網(wǎng)站實(shí)施了網(wǎng)頁篡改；境外11851個(gè)IP通過植入后門對(duì)境內(nèi)10593個(gè)網(wǎng)站實(shí)施了遠(yuǎn)程控制，其中美國有3328個(gè)IP（占28.1%）控制著境內(nèi)3437個(gè)網(wǎng)站，位居第一，源于韓國（占8.0%）和尼日利亞（占5.8%）的IP位居第二、三位。

傳統(tǒng)解決方案已無法滿足新形勢下的應(yīng)用安全威脅

            根據(jù) Gartner 的調(diào)查，信息安全攻擊有 75% 都是發(fā)生在 Web 應(yīng)用層，2/3的 Web 站點(diǎn)都相當(dāng)脆弱，易受攻擊。而針對(duì)web的攻擊往往隱藏在大量的正常訪問業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。    而部分多功能防火墻或者是UTM雖然具備了部分應(yīng)用層安全防護(hù)的能力，但由于其實(shí)現(xiàn)方式、缺乏應(yīng)用層協(xié)議的理解能力。在應(yīng)用層攻擊防護(hù)上存在嚴(yán)重不足。

2       需求分析

2.1     網(wǎng)站安全現(xiàn)狀分析

            請(qǐng)根據(jù)用戶實(shí)際環(huán)境補(bǔ)充

2.2     網(wǎng)站安全風(fēng)險(xiǎn)分析

            電子政務(wù)網(wǎng)站包含Web服務(wù)器、存儲(chǔ)服務(wù)器、數(shù)據(jù)庫服務(wù)器等多種類型的業(yè)務(wù)服務(wù)器，向internet、intranet等多個(gè)區(qū)域提供服務(wù)，電子政務(wù)網(wǎng)站要面臨來自內(nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅。其安全保障意義重大。而傳統(tǒng)的安全隔離形式僅僅是通過vlan、ACL訪問控制對(duì)其進(jìn)行安全隔離。應(yīng)用層攻擊仍然能夠穿透這些安全隔離的手段，從外向內(nèi)部進(jìn)行滲透。同時(shí)帶有目的性的內(nèi)網(wǎng)用戶的攻擊滲透行為也是造成眾多泄露事件的原因之一。目前電子政務(wù)網(wǎng)站可能面臨的攻擊結(jié)果有以下幾種：

            一、網(wǎng)頁篡改問題

            網(wǎng)頁篡改是指攻擊者利用Web應(yīng)用程序漏洞將正常的網(wǎng)頁替換為攻擊者提供的網(wǎng)頁/文字/圖片等內(nèi)容。一般來說網(wǎng)頁的篡改對(duì)計(jì)算機(jī)系統(tǒng)本身不會(huì)產(chǎn)生直接的影響，但對(duì)于電子政務(wù)網(wǎng)站，需要與用戶通過網(wǎng)站進(jìn)行溝通的應(yīng)用而言，就意味著電子政務(wù)服務(wù)將被迫停止服務(wù)，對(duì)政府形象及信譽(yù)會(huì)造成嚴(yán)重的損害。

            二、網(wǎng)頁掛馬問題

            網(wǎng)頁掛馬也是利用Web攻擊造成的一種網(wǎng)頁篡改的安全問題，相對(duì)而言這種問題會(huì)比較隱蔽，但本質(zhì)上這種方式也破壞了網(wǎng)頁的完整性。網(wǎng)頁掛馬會(huì)導(dǎo)致Web業(yè)務(wù)的最終用戶成為受害者，成為攻擊者的幫兇或者造成自身的損失。這種問題出現(xiàn)在電子政務(wù)網(wǎng)站中也嚴(yán)重影響網(wǎng)站的正常運(yùn)作并影響到政府單位的公信度。

            三、敏感信息泄漏問題

            這類安全問題主要web攻擊、系統(tǒng)漏洞攻擊等攻擊手段操作后臺(tái)數(shù)據(jù)庫，導(dǎo)致數(shù)據(jù)庫中儲(chǔ)存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯(lián)系方式等敏感信息被攻擊者獲取。這對(duì)于電子政務(wù)網(wǎng)站而言是致命的打擊，可產(chǎn)生巨大的不良影響。

            四、無法響應(yīng)正常服務(wù)的問題

            黑客通過DOS/DDOS拒絕服務(wù)攻擊使電子政務(wù)網(wǎng)站無法響應(yīng)正常請(qǐng)求。這種攻擊行為使得Web服務(wù)器充斥大量要求回復(fù)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致電子政務(wù)網(wǎng)站無法響應(yīng)正常的服務(wù)請(qǐng)求。對(duì)于電子政務(wù)網(wǎng)站而言是巨大的威脅。

            ……

2.3     網(wǎng)站安全威脅分析

            為了保證電子政務(wù)網(wǎng)站業(yè)務(wù)正常運(yùn)行，保證電子政務(wù)網(wǎng)站不受到上述安全問題的影響。電子政務(wù)網(wǎng)站應(yīng)重點(diǎn)關(guān)注以下安全威脅：

1、可造成數(shù)據(jù)庫信息泄露、網(wǎng)站掛馬篡改、資源獲取的web攻擊

            SQL注入、XSS、CSRF等攻擊是常見的包含在http正常請(qǐng)求中的web攻擊，可以通過80端口滲透傳統(tǒng)防火墻與多功能網(wǎng)關(guān)，造成正對(duì)數(shù)據(jù)中心數(shù)據(jù)庫服務(wù)器、web服務(wù)器、存儲(chǔ)服務(wù)器的攻擊，可能導(dǎo)致信息泄露、數(shù)據(jù)中心服務(wù)器掛馬、數(shù)據(jù)中心B/S業(yè)務(wù)篡改、甚至是電子政務(wù)網(wǎng)站業(yè)務(wù)中斷。

            SQL注入等web攻擊逃逸攻擊，由于傳統(tǒng)的多功能網(wǎng)關(guān)或者IPS實(shí)現(xiàn)應(yīng)用層攻擊僅僅通過DPI數(shù)據(jù)包的深度檢測進(jìn)行攻擊特征分析，攻擊行為一旦采用了逃逸手段，傳統(tǒng)多功能網(wǎng)關(guān)類設(shè)備或者IPS設(shè)備便無法檢測出來。聰明黑客會(huì)通過多種手段對(duì)防止攻擊行為被檢測，一旦攻擊被利用重新編碼、分片、亂序等逃逸處理方式，傳統(tǒng)的多功能網(wǎng)關(guān)將無法檢測并防護(hù)。只有真正對(duì)數(shù)據(jù)流進(jìn)行深度內(nèi)容解析，理解協(xié)議本身，還原其真實(shí)的攻擊行為才能夠進(jìn)行有效的阻斷。

            其他針對(duì)電子政務(wù)網(wǎng)站的web攻擊還包括：信息泄露攻擊、目錄遍歷、系統(tǒng)命令注入、webshell等多種傳統(tǒng)基于DPI技術(shù)的多功能網(wǎng)關(guān)無法防御的攻擊，如：

            信息泄露漏洞是由于web服務(wù)器配置或者本身存在安全漏洞，導(dǎo)致一些系統(tǒng)文件或者配置文件直接暴露在互聯(lián)網(wǎng)中，泄露web服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。

            目錄遍歷漏洞攻擊就是通過瀏覽器向web服務(wù)器任意目錄附加“../”，或者是附加“../”的一些變形，編碼，訪問web服務(wù)器根目錄或者之外的目錄。

            系統(tǒng)命令注入是攻擊者提交的特殊字符或者操作系統(tǒng)命令，web程序沒有進(jìn)行檢測或者繞過web應(yīng)用程序過濾， 把用戶提交的請(qǐng)求作為指令進(jìn)行解析，導(dǎo)致操作系統(tǒng)命令執(zhí)行。

            ……

2、可獲得高級(jí)系統(tǒng)權(quán)限，造成系統(tǒng)癱瘓的漏洞利用攻擊

            利用web服務(wù)器、數(shù)據(jù)庫服務(wù)器、中間件服務(wù)器等網(wǎng)站服務(wù)器本身應(yīng)用程序、操作系統(tǒng)、應(yīng)用軟件的漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊，可造成使黑客獲取更高的服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問題。如：

            操作系統(tǒng)漏洞：構(gòu)架網(wǎng)站的Web系統(tǒng)包括底層的操作系統(tǒng)（windows sever2003、2007、XP）和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)（如IIS、Apache），這些系統(tǒng)本身存在諸多的安全漏洞；

            應(yīng)用程序漏洞：構(gòu)架網(wǎng)站Web系統(tǒng)包括Web業(yè)務(wù)常用的發(fā)布系統(tǒng)（如IIS、Apache），這些系統(tǒng)本身存在諸多的安全漏洞；

            ……

3、可造成網(wǎng)站癱瘓的網(wǎng)絡(luò)層+應(yīng)用層拒絕服務(wù)攻擊

            常見的網(wǎng)絡(luò)層DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood等；應(yīng)用層DOS/DDOS攻擊包括：http get flood等攻擊。

            這些網(wǎng)絡(luò)層和應(yīng)用層DOS/DDOS攻擊會(huì)耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計(jì)算機(jī)網(wǎng)絡(luò)的正常網(wǎng)站業(yè)務(wù)無法進(jìn)行，嚴(yán)重?fù)p害政府的聲譽(yù)并造成極大的損失，使IT部門承受極大的壓力。

4、繞過防御體系對(duì)業(yè)務(wù)系統(tǒng)的信息泄露攻擊

            網(wǎng)絡(luò)安全往往不是絕對(duì)的，黑客仍有機(jī)會(huì)滲透安全防御體系進(jìn)行更有目的性、攻擊性的攻擊。黑客繞過防御體系對(duì)后臺(tái)數(shù)據(jù)庫進(jìn)行攻擊，導(dǎo)致在數(shù)據(jù)中的儲(chǔ)存的用戶資料、身份證信息、賬戶信息、聯(lián)系方式等敏感信息被攻擊者獲取的信息泄漏攻擊對(duì)網(wǎng)站本身產(chǎn)生重大的威脅，同時(shí)也涉及到政府網(wǎng)站后臺(tái)的涉密敏感數(shù)據(jù)信息。

……

3       深信服一站式網(wǎng)站安全解決方案

3.1     深信服NGAF一站式網(wǎng)站安全方案概述

            深信服提供電子政務(wù)網(wǎng)站一站式完整安全解決方案。通過部署深信服下一代防火墻NGAF，可實(shí)現(xiàn)業(yè)務(wù)服務(wù)器的業(yè)務(wù)邏輯隔離，核心業(yè)務(wù)帶寬保障、防止網(wǎng)絡(luò)層、應(yīng)用層安全威脅在數(shù)據(jù)中心內(nèi)擴(kuò)散。

            NGAF的部署可以從從攻擊源頭上防護(hù)導(dǎo)致電子政務(wù)網(wǎng)站的各類網(wǎng)絡(luò)/應(yīng)用層安全威脅；同時(shí)深信服下一代防火墻NGAF提供的雙向內(nèi)容檢測的技術(shù)幫助用戶解決攻擊被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息泄露的問題，實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。

            1、NGAF通過訪問控制策略ACL可實(shí)現(xiàn)Web服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、DMZ等區(qū)域的網(wǎng)絡(luò)安全域劃分，阻斷各個(gè)區(qū)域間的網(wǎng)絡(luò)通信，防止威脅擴(kuò)散，防止訪問控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問題；

            2、NGAF通過服務(wù)器防護(hù)功能模塊的開啟，可實(shí)現(xiàn)對(duì)各個(gè)區(qū)域（尤其是DMZ區(qū)）的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護(hù)。防止黑客利用業(yè)務(wù)代碼開發(fā)安全保障不利，使得系統(tǒng)可輕易通過Web攻擊實(shí)現(xiàn)對(duì)Web服務(wù)器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題；

            3、NGAF通過風(fēng)險(xiǎn)評(píng)估模塊對(duì)服務(wù)器進(jìn)行安全體檢，通過一鍵策略部署的功能開啟IPS、WAF模塊的對(duì)應(yīng)策略，可幫助管理員的實(shí)現(xiàn)針對(duì)性的策略配置；

            4、利用NGAF入侵防御模塊可實(shí)現(xiàn)對(duì)各類服務(wù)器操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應(yīng)用程序漏洞（IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護(hù)，防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問題；

            5、NGAF防病毒檢測的模塊可實(shí)現(xiàn)各個(gè)安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進(jìn)行交叉感染；

            6、NGAF DDOS/DOS攻擊防護(hù)模塊可以防止利用協(xié)議漏洞對(duì)服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問題。

3.2     深信服NGAF方案設(shè)計(jì)理念

            深信服NGAF提供對(duì)電子政務(wù)網(wǎng)站安全三維立體防護(hù)解決方案，深入分析黑客攻擊的時(shí)機(jī)和動(dòng)機(jī)。從事件周期、攻擊過程、防護(hù)對(duì)象三個(gè)維度出發(fā)，提供全面的安全防護(hù)手段，保護(hù)web業(yè)務(wù)系統(tǒng)不受來自各方的侵害。

基于事件周期的設(shè)計(jì)

            攻擊的防護(hù)不可能實(shí)現(xiàn)百分百的安全。電子政務(wù)網(wǎng)站的安全建設(shè)必須貫穿到整個(gè)Web安全事件周期中，設(shè)立事前、事中、事后三道安全防線分階段進(jìn)行防護(hù)。

            NGAF提供事前策略自檢、事中攻擊防護(hù)、事后防止篡改的整體安全防護(hù)。

Ø  事前策略自檢：在配置完安全策略后，NGAF可以自動(dòng)進(jìn)行掃描和探測，查看系統(tǒng)還存在哪些安全策略漏洞和隱患；

Ø  事中攻擊防護(hù)： 2-7層完整的安全防護(hù)，包括：Web攻擊防護(hù)、漏洞防護(hù)、病毒防護(hù)等；

Ø  事后網(wǎng)頁篡改響應(yīng)：可以針對(duì)被篡改的靜態(tài)網(wǎng)頁進(jìn)行告警、替換、還原等功能。

基于攻擊過程的安全防護(hù)

            傳統(tǒng)的web安全防護(hù)采用的是防火墻+IPS+WAF割裂式的安全防護(hù)體系，針對(duì)各類的攻擊總是被動(dòng)的增補(bǔ)相應(yīng)功能的安全設(shè)備。而對(duì)于Web安全防護(hù)不是單一攻擊手段的防護(hù)，而需要對(duì)黑客攻擊動(dòng)機(jī)與時(shí)機(jī)進(jìn)行分析，基于黑客的攻擊過程的每一個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一防護(hù)。

            NGAF的設(shè)計(jì)是基于黑客攻擊過程的完整Web系統(tǒng)安全防護(hù)，針對(duì)黑客入侵三步曲即掃描、入侵、破壞進(jìn)行統(tǒng)一的安全防護(hù)：

Ø  掃描過程：提供防端口/服務(wù)掃描、防弱口令暴力破解、關(guān)鍵URL防護(hù)、應(yīng)用信息隱藏等

Ø  攻擊過程：提供強(qiáng)化的Web攻擊防護(hù)（防SQL注入、OS命令注入、XSS攻擊、CSRF攻擊）、多對(duì)象漏洞利用防護(hù)等

Ø  破壞過程：提供抗應(yīng)用層DOS攻擊、可執(zhí)行程序上傳過濾、上行病毒木馬清洗等

多維對(duì)象的全面防護(hù)

            安全的漏洞就像木桶的短板，任何可以被黑客利用的機(jī)會(huì)都可能導(dǎo)致所有的防護(hù)措施形同虛設(shè)。對(duì)眾多用戶網(wǎng)絡(luò)安全現(xiàn)狀分析后，發(fā)現(xiàn)安全問題是多角度、多方面的，在Web安全規(guī)劃中，一味強(qiáng)調(diào)Web服務(wù)器的防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。面對(duì)防護(hù)全面的Web應(yīng)用服務(wù)器，黑客往往以退為進(jìn)采用“跳板式攻擊”，先突破漏洞較多的內(nèi)網(wǎng)終端，通過內(nèi)網(wǎng)終端竊取密碼后堂而皇之的入侵Web服務(wù)器。

            NGAF不僅提供強(qiáng)化的服務(wù)器安全防護(hù)，針對(duì)網(wǎng)內(nèi)存在巨大安全風(fēng)險(xiǎn)，很有可能成為“肉雞”被黑客利用的終端也采取了嚴(yán)格的防護(hù)措施。

Ø  基于終端漏洞防護(hù)

Ø  終端的病毒防護(hù)

Ø  惡意插件、腳本過濾

      NGAF是充分考慮安全事件周期性，基于黑客攻擊行為的過程，提供多維對(duì)象防護(hù)的完整Web安全解決方案。

      除此之外，NGAF涵蓋了L2-L7全面的安全功能，可以替代FW、IPS、WAF，節(jié)省投資。同時(shí)，簡化了組網(wǎng)，統(tǒng)一了管理，極大地提升運(yùn)維工作效率。

3.3     深信服NGAF方案特點(diǎn)

3.3.1  雙向內(nèi)容檢測技術(shù)

            NGAF可實(shí)現(xiàn)對(duì)HTTP/HTTPS協(xié)議的深入解析，精確識(shí)別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對(duì)這些數(shù)據(jù)進(jìn)行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，可以精確的檢測其是否包含威脅內(nèi)容。而傳統(tǒng)的IPS基于DPI深度數(shù)據(jù)包解析技術(shù)，只能實(shí)現(xiàn)在網(wǎng)絡(luò)層數(shù)據(jù)包層面進(jìn)行重組還原及特征匹配，無法解析基于HTTP協(xié)議的內(nèi)容分析，很難有效檢測針對(duì)web應(yīng)用的攻擊。而具備簡單web攻擊防護(hù)的IPS，僅僅是基于簡單的特征檢測技術(shù)，存在大量的漏報(bào)誤報(bào)的信息。

            NGAF作為web客戶端與服務(wù)器請(qǐng)求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)之上，NGAF雙向內(nèi)容檢測技術(shù)可檢測過濾HTTP雙向交互的數(shù)據(jù)流包括response報(bào)文，對(duì)惡意流量，以及服務(wù)器外發(fā)的有風(fēng)險(xiǎn)信息進(jìn)行實(shí)時(shí)的清洗與過濾。

3.3.2  典型的Web攻擊防護(hù)，防止Owasp十大web安全威脅

            深信服下一代防火墻NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動(dòng)態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造）從而保護(hù)電子政務(wù)網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問題。

3.3.3  基于應(yīng)用的深度入侵防御，有效防止服務(wù)器漏洞利用攻擊

            NGAF基于應(yīng)用的深度入侵防御采用六大威脅檢測機(jī)制：攻擊特征檢測、特殊攻擊檢測、威脅關(guān)聯(lián)分析、異常流量檢測、協(xié)議異常檢測、深度內(nèi)容分析能夠有效的防止各類已知未知攻擊，實(shí)時(shí)阻斷黑客攻擊。如，緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。

            通過NGAF的部署可有效防止利用web服務(wù)器、數(shù)據(jù)庫服務(wù)器、中間件服務(wù)器等網(wǎng)站服務(wù)器本身應(yīng)用程序、操作系統(tǒng)、應(yīng)用軟件的漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊，使黑客獲取更高的服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問題。

3.3.4  網(wǎng)關(guān)型網(wǎng)頁防篡改，防止篡改網(wǎng)頁被用戶訪問

            網(wǎng)頁防篡改功能是深信服下一代防火墻NGAF-服務(wù)器防護(hù)中的一個(gè)子模塊，其設(shè)計(jì)目的在于提供的一種事后補(bǔ)償防護(hù)手段，即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會(huì)發(fā)布到最終用戶處，從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟(jì)損失等問題。

            當(dāng)網(wǎng)頁被數(shù)據(jù)篡改后，用戶看到的頁面變成了非法頁面或者損害政府形象的網(wǎng)頁，這種事故往往會(huì)給政府造成很嚴(yán)重的影響。深信服下一代防火墻NGAF網(wǎng)站篡改防護(hù)功能可有效降低此類風(fēng)險(xiǎn)，當(dāng)內(nèi)部網(wǎng)站數(shù)據(jù)被篡改之后，設(shè)備可以重定向到備用網(wǎng)站服務(wù)器或者指定的其他頁面，并且及時(shí)地通過短信或者郵件方式通知管理員。

3.3.5  可定義的敏感信息防泄漏，有效防止“拖庫”、”暴庫”

            NGAF提供可定義的敏感信息防泄漏功能，根據(jù)儲(chǔ)存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過短信、郵件報(bào)警及連接請(qǐng)求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進(jìn)行有效識(shí)別、報(bào)警并阻斷，防止大量敏感信息被非法泄露。

Ø  郵箱賬戶信息

Ø  MD5加密密碼

Ø  銀行卡號(hào)

Ø  身份證號(hào)碼

Ø  社保賬號(hào)

Ø  信用卡號(hào)

Ø  手機(jī)號(hào)碼

……

            通過深信服深度內(nèi)容檢測技術(shù)的應(yīng)用，深信服下一代防火墻具備深度內(nèi)容檢測的能力。能夠檢測出通過文件、數(shù)據(jù)流、標(biāo)準(zhǔn)協(xié)議等通過網(wǎng)關(guān)的內(nèi)容。因此具備針對(duì)敏感信息，如186、139等有特征的11位的手機(jī)號(hào)碼、18位身份證號(hào)，有標(biāo)準(zhǔn)特征的@郵箱等有特征數(shù)據(jù)進(jìn)行識(shí)別。并通過分離平面設(shè)計(jì)的軟件構(gòu)架，實(shí)現(xiàn)控制平面與內(nèi)容平面檢測聯(lián)動(dòng)，通過控制平面向底層數(shù)據(jù)轉(zhuǎn)發(fā)平面發(fā)送操作指令來阻斷敏感信息的泄漏。有防護(hù)了各單位、政府、金融機(jī)構(gòu)的敏感泄漏的風(fēng)險(xiǎn)。

3.3.6  應(yīng)用信息隱藏，使網(wǎng)站對(duì)黑客全面隱身

            NGAF可提供外部訪問網(wǎng)站進(jìn)行隱身，可以隱藏真實(shí)的Web服務(wù)器類型、應(yīng)用服務(wù)器類型、操作系統(tǒng)、版本號(hào)、版本更新程度、已知安全漏洞、真實(shí)IP地址、內(nèi)部工作站信息，讓黑客看不見，摸不著，探測不到，自然也無從猜測分析和攻擊。亦可針對(duì)主要的服務(wù)器（WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等）反饋信息進(jìn)行了有效的隱藏。防止黑客利用服務(wù)器返回信息進(jìn)行有針對(duì)性的攻擊。如：HTTP出錯(cuò)頁面隱藏、響應(yīng)報(bào)頭隱藏、FTP信息隱藏等。

            當(dāng)客戶端訪問WEB網(wǎng)站的時(shí)候，服務(wù)器會(huì)通過HTTP報(bào)文頭部返回客戶端很多字段信息，例如Server、Via等，Via可能會(huì)泄露代理服務(wù)器的版本信息，攻擊者可以利用服務(wù)器版本漏洞進(jìn)行攻擊。因此可以通過隱藏這些字段來防止攻擊。

            網(wǎng)站掃描也是黑客獲取網(wǎng)站信息關(guān)鍵的步驟，通常會(huì)對(duì)WEB站點(diǎn)進(jìn)行掃描，對(duì)WEB站點(diǎn)的結(jié)構(gòu)、漏洞進(jìn)行進(jìn)行掃描。NGAF設(shè)備可以檢測到如爬蟲、掃描軟件，如appscan、等多種掃描攻擊行為并進(jìn)行阻斷。

3.3.7  智能的DOS攻擊防護(hù)，保證網(wǎng)站訪問可用性

            NGAF采用自主研發(fā)的DOS攻擊算法，可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實(shí)現(xiàn)L2-L7層的異常流量清洗。

3.3.8  安全風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng)，降低安全維護(hù)成本

            NGAF基于時(shí)間周期的安全防護(hù)設(shè)計(jì)提供事前風(fēng)險(xiǎn)評(píng)估及策略聯(lián)動(dòng)的功能。通過端口、服務(wù)、應(yīng)用掃描幫助用戶及時(shí)發(fā)現(xiàn)端口、服務(wù)及漏洞風(fēng)險(xiǎn)，并通過模塊間的智能策略聯(lián)動(dòng)及時(shí)更新對(duì)應(yīng)的安全風(fēng)險(xiǎn)的安全防護(hù)策略。幫助用戶快速診斷電子商務(wù)平臺(tái)中各個(gè)節(jié)點(diǎn)的安全漏洞問題，并做出有針對(duì)性的防護(hù)策略。

3.3.9  智能的防護(hù)模塊聯(lián)動(dòng)，防止有目的網(wǎng)站APT攻擊

            智能的主動(dòng)防御技術(shù)可實(shí)現(xiàn)NGAF內(nèi)部各個(gè)模塊之間形成智能的策略聯(lián)動(dòng)，如一個(gè)IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類攻擊則可通過防火墻策略暫時(shí)阻斷IP/用戶。智能防護(hù)體系的建立可有效的防止工具型、自動(dòng)化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。同時(shí)也使得管理員維護(hù)變得更為簡單，可實(shí)現(xiàn)無網(wǎng)管的自動(dòng)化安全管理。

3.3.10                  完善產(chǎn)品容錯(cuò)能力，保證網(wǎng)站訪問的穩(wěn)定性

硬件bypass

            NGAF可實(shí)現(xiàn)硬件故障bypass保證數(shù)據(jù)中心穩(wěn)定性。借助于掉電保護(hù)模塊，可保證NGAF透明模式在斷電、硬件故障等異常情況下能夠確保網(wǎng)絡(luò)的通暢性，并實(shí)現(xiàn)微秒級(jí)切換。

關(guān)鍵部件冗余

            NGAF支持關(guān)鍵部件冗余的容錯(cuò)機(jī)制，保證設(shè)備在高溫等惡劣環(huán)境下出現(xiàn)故障時(shí)的快速切換。

n  支持雙電源，避免由于單電源故障造成的系統(tǒng)不能訪問

n  風(fēng)扇1+1冗余，避免單風(fēng)扇在高溫情況下不能工作的問題

n  支持熱插拔

存儲(chǔ)介質(zhì)冗余

            為保證存儲(chǔ)日志的冗余，防止硬盤出現(xiàn)故障時(shí)無法記錄日志的問題，能夠避免由于單磁盤故障造成設(shè)備不能使用的情況。

分離平面設(shè)計(jì)

            深信服NGAF采用OS分離平面設(shè)計(jì)，數(shù)據(jù)流平面上分為控制平面、網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)平面與內(nèi)容檢測平面。網(wǎng)絡(luò)層數(shù)據(jù)轉(zhuǎn)發(fā)平面主要作用在于使數(shù)據(jù)包快速緩存并轉(zhuǎn)發(fā)；內(nèi)容檢測平面主要用戶數(shù)據(jù)流應(yīng)用識(shí)別與安全分析，結(jié)合應(yīng)用識(shí)別、漏洞特征識(shí)別、web攻擊流量識(shí)別等模塊完成應(yīng)用層安全分析與防護(hù)。

            使用數(shù)據(jù)轉(zhuǎn)發(fā)平面與內(nèi)容檢測平面相分離的技術(shù)設(shè)計(jì)，能夠優(yōu)化處理流程，有效保障網(wǎng)絡(luò)數(shù)據(jù)的可用性。正常情況下，數(shù)據(jù)流由數(shù)據(jù)轉(zhuǎn)發(fā)平面復(fù)制到內(nèi)容檢測平面進(jìn)行深度內(nèi)容檢測，當(dāng)有威脅內(nèi)容時(shí)，通過控制平面阻斷數(shù)據(jù)轉(zhuǎn)發(fā)平面有威脅數(shù)據(jù)的外發(fā)，保證內(nèi)容的安全性。當(dāng)內(nèi)容檢測模塊出現(xiàn)故障時(shí)，通過控制平面數(shù)據(jù)轉(zhuǎn)發(fā)層面會(huì)將數(shù)據(jù)正常轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)暢通保障業(yè)務(wù)正常運(yùn)行。

3.4     方案價(jià)值

            深信服電子政務(wù)網(wǎng)站安全“一站式“解決方案是針對(duì)面向互聯(lián)網(wǎng)、第三方網(wǎng)絡(luò)發(fā)布過程中潛在的各類安全問題專門開發(fā)的一套安全防護(hù)解決方案。該方案有效的彌補(bǔ)了傳統(tǒng)安全解決方案在Web業(yè)務(wù)安全防護(hù)能力的不足：

            事前，快速的進(jìn)行風(fēng)險(xiǎn)掃描，幫助用戶快速定位安全風(fēng)險(xiǎn)并智能更新防護(hù)策略；

            事中，有效防止了引起網(wǎng)頁篡改問題、網(wǎng)頁掛馬問題、敏感信息泄漏問題、無法響應(yīng)正常服務(wù)問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統(tǒng)掃描等攻擊；

            事后，對(duì)服務(wù)器外發(fā)內(nèi)容進(jìn)行安全檢測，防止攻擊繞過安全防護(hù)體系，對(duì)Web業(yè)務(wù)產(chǎn)生的網(wǎng)站篡改、數(shù)據(jù)泄漏問題。

            同時(shí)該方案從簡化組網(wǎng)、方便運(yùn)維、最優(yōu)投資的用戶角度出發(fā)，可為電子政務(wù)網(wǎng)站打造L2-L7層的安全防護(hù)體系構(gòu)架，實(shí)現(xiàn)完整的安全防護(hù)，同時(shí)在可用性、可靠性上采用了深信服特有的先進(jìn)技術(shù)電子政務(wù)網(wǎng)站的正常穩(wěn)定運(yùn)行，打造一個(gè)“安全”、“可靠”、“高效”的“一站式“電子政務(wù)網(wǎng)站安全解決方案。