公安局網(wǎng)絡(luò)安全防護(hù)系統(tǒng)技術(shù)設(shè)計方案

1、錯誤！未指定書簽。1、 概述42、 公安門戶網(wǎng)站安全建設(shè)必要性42.1 合規(guī)性要求52.2 面臨的威脅62.3 公安門戶網(wǎng)站安全現(xiàn)狀分析103、 面臨的典型攻擊103.1 跨站腳本113.2 信息泄漏123.3 SQL注入123.4 DDOS攻擊134、 公安系統(tǒng)門戶網(wǎng)站安全防護(hù)145、 安全可靠的防御手段165.1 綠盟科技下一限弋防火墻(NF)175.2 綠盟網(wǎng)絡(luò)入侵防御系統(tǒng)(NSFOCUSNIPS)185.3 綠盟科技WEB應(yīng)用防護(hù)系統(tǒng)(WAF)186、 總結(jié)19附件部署產(chǎn)品列表20一、概述對于公安門戶網(wǎng)站來說，公安系統(tǒng)發(fā)布的消息是比較權(quán)威的，同時公安門戶網(wǎng)站也是與民互動，實(shí)現(xiàn)執(zhí)法辦公公

2、開的一個最基本的保障，因此公安門戶網(wǎng)站是公安相關(guān)職能部門信息化建設(shè)的重要內(nèi)容，主要實(shí)現(xiàn)國家對公安門戶網(wǎng)站的三大功能定位：法律法規(guī)信息公開、公民在線辦事、政法與民互動。公安門戶網(wǎng)站是提高公安系統(tǒng)服務(wù)質(zhì)量、服務(wù)效率、公眾認(rèn)知度和滿意度的關(guān)鍵環(huán)節(jié)，是國家重要信息系統(tǒng)之一。而近年來，隨著網(wǎng)站所運(yùn)行業(yè)務(wù)的重要性逐漸增加以及其公眾性質(zhì)使其越來越成為攻擊和威脅的主要目標(biāo)，公安門戶網(wǎng)站所面臨的Web應(yīng)用安全問題越來越復(fù)雜，安全威脅正在飛速增長，尤其混合威脅的風(fēng)險，如網(wǎng)頁篡改、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應(yīng)用安全漏洞利用等，極大地困擾著政府職能單位和公眾用戶，給公安系統(tǒng)的公眾形象、信息網(wǎng)

3、絡(luò)和核心業(yè)務(wù)造成嚴(yán)重的破壞。因此一個優(yōu)秀的網(wǎng)站安全建設(shè)是公安政務(wù)門戶網(wǎng)站是否能取得成效、充分發(fā)揮職能的基礎(chǔ)，而合規(guī)、有效、全面的信息安全體系建設(shè)對保障其正常運(yùn)行至關(guān)重要。二、公安門戶網(wǎng)站安全建設(shè)必要性當(dāng)前公安系統(tǒng)門戶網(wǎng)站已積聚了信息化建設(shè)中大量的信息資源，成為公安系統(tǒng)信息公開成熟的業(yè)務(wù)展示和應(yīng)用的平臺，是工作模式創(chuàng)新與流程改造、開展協(xié)同和電子服務(wù)的重要媒介，是實(shí)現(xiàn)執(zhí)法信息公開在網(wǎng)絡(luò)世界中建立的永久據(jù)點(diǎn)。公安部門的網(wǎng)站普遍存在業(yè)務(wù)數(shù)據(jù)機(jī)密性要求高、業(yè)務(wù)連續(xù)性要求強(qiáng)、網(wǎng)絡(luò)結(jié)構(gòu)相對封閉、信息系統(tǒng)架構(gòu)形式多樣等特點(diǎn)。而網(wǎng)站中不同業(yè)務(wù)功能模塊的信息安全需求又各不相同。如對外便民服務(wù)信息系統(tǒng)具有相對開放的

4、結(jié)構(gòu)特點(diǎn)，用戶一般為普通民眾，便民服務(wù)業(yè)務(wù)對數(shù)據(jù)的可用性和完整性要求往往大于其對機(jī)密性要求，而在網(wǎng)站上獨(dú)立運(yùn)行的業(yè)務(wù)信息系統(tǒng)具有相對封閉的結(jié)構(gòu)特點(diǎn)，用戶一般為內(nèi)部用戶，用戶對數(shù)據(jù)的完整性和保密性要求往往大于可用性要求。因此公安網(wǎng)站安全風(fēng)險貫穿前端Web訪問到后端數(shù)據(jù)處理和反饋整個過程。因此可以定性的認(rèn)為：前一類信息系統(tǒng)面臨的服務(wù)中斷、外部黑客攻擊、非法入侵、安全漏洞等威脅的概率比較大，而后一類內(nèi)網(wǎng)泄密、監(jiān)管審計不到位等威脅的概率比較大。推動政府網(wǎng)站進(jìn)行全面信息安全體系設(shè)計和建設(shè)的動力目前主要來自三個方面：1、等級保護(hù)等合規(guī)性安全要求2、面臨的安全威脅3、網(wǎng)站安全現(xiàn)狀2.1 合規(guī)性要求目前在已經(jīng)

5、基本完成的等級保護(hù)定級工作中，國家部委網(wǎng)站的安全級別基本定為3級,屬于國家重要信息系統(tǒng)，是國家等級保護(hù)測評和檢查重點(diǎn)。面對Web應(yīng)用層面這類給Internet可用性帶來極大損害的攻擊，必須在國家等級保護(hù)政策的指導(dǎo)下，采用專門的機(jī)制，綜合采用各種技術(shù)手段對攻擊進(jìn)行有效檢測，應(yīng)按照中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例（國務(wù)院令第147號）、國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號）、信息安全等級保護(hù)管理辦法（公通字200743號）等文件要求，參考計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999）、信息系統(tǒng)安全等級保護(hù)基本要求（GB/T22239-200

6、8）等等級保護(hù)相關(guān)標(biāo)準(zhǔn)，開展等級保護(hù)整改、測評工作，切實(shí)為將網(wǎng)站建成“信息公開、在線辦事、公眾參與”三位一體的業(yè)務(wù)體系，為企業(yè)和社會公眾提供“一站式”電子政務(wù)公共服務(wù)政務(wù)目標(biāo)提供有力保障。另外根據(jù)國家發(fā)改委、財政部最近下發(fā)的關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)建設(shè)工作的通知（發(fā)改高技【2009】988號）中的要求：尚未實(shí)現(xiàn)與國家政務(wù)外網(wǎng)連接的部門，要按照統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，于2010年初完成接入國家政務(wù)外網(wǎng)的工作，要盡快將各類可在國家政務(wù)外網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)向國家政務(wù)外網(wǎng)上遷移，各級政務(wù)部門要根據(jù)國家關(guān)于等級保護(hù)的有關(guān)規(guī)定，確定國家政務(wù)外網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)的信息安全等級，采取相應(yīng)的信息安全等級保護(hù)措施，

7、進(jìn)行信息安全風(fēng)險評估，保障各自業(yè)務(wù)系統(tǒng)的信息安全。這其中也包含了政府-公安職能單位門戶網(wǎng)站。因此符合國家合規(guī)性要求網(wǎng)站安全建設(shè)已經(jīng)變得刻不容緩。2.2 面臨的威脅近幾年關(guān)于網(wǎng)站網(wǎng)絡(luò)釣魚、SQL注入和跨站腳本等帶來嚴(yán)重后果的攻擊事件頻頻發(fā)生，嚴(yán)重影響了人們對WEB應(yīng)用的信心，根據(jù)Gartner的數(shù)據(jù)分析，80%基于WEB的應(yīng)用都存在安全問題，其中很大一部分是相當(dāng)嚴(yán)重的問題。WEB應(yīng)用系統(tǒng)的安全性越來越引起人們的高度關(guān)注。目前網(wǎng)絡(luò)中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷?yīng)用自身弱點(diǎn)的攻擊。與此同時，網(wǎng)站也因安全隱患頻繁遭到各種攻擊，導(dǎo)致網(wǎng)站敏感數(shù)據(jù)丟失、網(wǎng)頁被篡改，甚至成為傳播木馬的傀

8、儡。網(wǎng)站安全形勢日益嚴(yán)峻，而政府網(wǎng)站被攻擊后造成的巨大政治風(fēng)險、名譽(yù)損失、經(jīng)濟(jì)損失已經(jīng)成為電子政務(wù)健康發(fā)展的一個巨大障礙。當(dāng)前威脅環(huán)境的主要特征是數(shù)據(jù)竊取、數(shù)據(jù)泄漏和為了獲利而以特定組織為目標(biāo)進(jìn)行攻擊所創(chuàng)造的惡意代碼不斷增加。政務(wù)網(wǎng)站除了面臨信息系統(tǒng)及網(wǎng)絡(luò)通用的安全問題外，還有其自身特點(diǎn)的安全問題。政府網(wǎng)站面臨的重要安全威脅主要有：1 .網(wǎng)頁篡改政府門戶網(wǎng)站作為國家的行政管理機(jī)構(gòu)發(fā)布的信息事關(guān)國計民生，一旦被篡改將造成如政府形象受損、惡意發(fā)布信息等多種嚴(yán)重后果。來自中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告（2008年上半年）數(shù)據(jù)顯示：網(wǎng)頁篡改事件特別是我國大陸地區(qū)政府網(wǎng)頁被篡改事件呈現(xiàn)大幅增長趨勢。2008年上

9、半年，中國大陸被篡改網(wǎng)站總數(shù)達(dá)到35113個，同比增加了23.7%。2008年1月至6月期間，中國大陸政府網(wǎng)站被篡改數(shù)量基本保持平穩(wěn)，各月累計達(dá)2242個，同比增加了41%。從網(wǎng)站頁面被篡改的角度來看，存在兩種攻擊的可能，一種是網(wǎng)站被入侵，也就是說網(wǎng)站頁面確實(shí)被篡改了，另外一種是網(wǎng)站被劫持，這種情況下網(wǎng)站的頁面實(shí)際上并沒用被篡改，但是攻擊者劫持了網(wǎng)絡(luò)訪問并發(fā)送欺騙頁面給來訪者，進(jìn)而造成頁面被篡改的表象。2 .網(wǎng)頁掛馬網(wǎng)頁掛馬就是攻擊者入侵了一些網(wǎng)站后，通過在正常的頁面中（通常是網(wǎng)站的主頁）將自己編寫的網(wǎng)頁木馬嵌入被黑網(wǎng)站的主頁中，瀏覽者在打開該頁面的時候，這段代碼被執(zhí)行，然后下載并運(yùn)行某木馬的

10、服務(wù)器端程序，進(jìn)而控制瀏覽者的主機(jī)。利用被黑網(wǎng)站的流量將自己的網(wǎng)頁木馬傳播開去，以達(dá)到自己不可告人的目的。網(wǎng)站被掛馬，被植入后門，這是政府門戶網(wǎng)站無法忍受的。網(wǎng)頁掛馬不僅對Web服務(wù)器造成很大影響，還“城門失火殃及池魚”，網(wǎng)站的瀏覽者也不能幸免。網(wǎng)站被掛馬不僅會讓自己的網(wǎng)站失去信譽(yù)，丟失大量客戶，也會讓我們這些普通用戶陷入黑客設(shè)下的陷阱，淪為黑客的肉雞。因此這無論是對政府的信譽(yù)，還是對公民的信任度都是沉重的打擊。由于網(wǎng)頁木馬的運(yùn)行原理利用了IE瀏覽器的漏洞，因此對漏洞的及時修補(bǔ)及防護(hù)就成為網(wǎng)頁木馬防護(hù)的重點(diǎn)，下圖是網(wǎng)頁木馬利用應(yīng)用程序漏洞的分布圖：網(wǎng)馬利用應(yīng)用程序漏洞分布圖 ExplorlSW

11、F.Downloadergen ExploirWin32.Rcalplaycr.gen Exploit.Wm32.Ms06014.gcn ExploitAVin32,Thunder.gcn Exploit.Win32.LianZhong.gen Exploit.Win.Stornillon:Expfoit.Win32.UUSce.gcn Exploit.Win32.Ppstrcani.gcnExptoii.Win32.BjiduSobjr.gen ExpEoittWin32XhdoXlng.gen3 .木馬、病毒傳播木馬是一種在遠(yuǎn)程計算機(jī)之間建立起連接，使遠(yuǎn)程計算機(jī)能夠通過網(wǎng)絡(luò)控制本地計算機(jī)的

12、程序。木馬本身不具備繁殖性和自動感染的功能，這是與病毒的最大區(qū)別。木馬程序的危害是十分大，它能使遠(yuǎn)程用戶獲得本地機(jī)器的最高操作權(quán)限，通過網(wǎng)絡(luò)對本地計算機(jī)進(jìn)行任意的操作，比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠(yuǎn)程關(guān)機(jī)等。木馬使用戶的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中，成為別人操縱的對象。因?yàn)楣ぷ餍枰k公人員會經(jīng)常會訪問政府網(wǎng)站，一旦訪問了被植入木馬的網(wǎng)頁，木馬程序會自動搜集并傳走電腦中的各種文檔，將可能引發(fā)嚴(yán)重的泄密事件，后果不堪設(shè)想。據(jù)安全公司比特梵德(BitDefender)在日前發(fā)表的4月份調(diào)查報告中稱，木馬程序仍在繼續(xù)在互聯(lián)網(wǎng)上傳播，是互聯(lián)網(wǎng)用戶面臨的最惡毒的威脅排行榜中的主要威脅。4

13、 .網(wǎng)絡(luò)蠕蟲蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共同特征，如傳播性、隱蔽性和破壞性等。同時具有自己的特殊特征，如不利用文件寄生(如只存在于內(nèi)存中)引起網(wǎng)絡(luò)拒絕服務(wù)故障及與黑客技術(shù)相結(jié)合等。在破壞性上網(wǎng)絡(luò)蠕蟲也不是普通病毒所能比擬的，它可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。使訪問者無法獲取自己需要的內(nèi)容，政府發(fā)布的各種信息將得不到傳達(dá)，影響了電子政務(wù)信息的發(fā)布和傳播。5 .越權(quán)操作越權(quán)攻擊本身起源是應(yīng)用系統(tǒng)對權(quán)限沒有嚴(yán)格識別，導(dǎo)致用戶文件權(quán)限過濾不嚴(yán)格。使低級別用戶擁有高級別用戶權(quán)限，可執(zhí)行高級別用戶動作，或同權(quán)限級別用戶之間沒有校驗(yàn)，沒有做用戶識別，導(dǎo)致越權(quán)訪問。越權(quán)操作

14、基本上可分為兩種：信息所屬與角色權(quán)限不匹配；執(zhí)行操作權(quán)限與角色權(quán)限不匹配。2.3公安門戶網(wǎng)站安全現(xiàn)狀分析目前公安門戶網(wǎng)站建設(shè)還存在比較突出的重應(yīng)用輕安全的現(xiàn)象，比如在某部位所制定的網(wǎng)站績效評估指標(biāo)中，基本上均是從網(wǎng)站的業(yè)務(wù)應(yīng)用出發(fā)制定的，對信息安全的考慮基本沒有。根據(jù)前期的調(diào)研發(fā)現(xiàn)，目前公安門戶網(wǎng)站的安全控制與措施大多獨(dú)立考慮，部分系統(tǒng)甚至缺少基本的安全策略，缺少安全主線和安全規(guī)劃，導(dǎo)致只解決了局部問題，而未能從整體解決安全問題，從而降低了整體的安全效率，導(dǎo)致多個信息安全孤島的實(shí)現(xiàn)，而且現(xiàn)有政務(wù)網(wǎng)站安全管理、防范措施、安全意識薄弱，極易遭到黑客攻擊。當(dāng)前網(wǎng)站系統(tǒng)面臨的安全形勢十分嚴(yán)峻，既有外部

15、威脅，又有自身脆弱性和薄弱環(huán)節(jié)，能否及時發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵和攻擊、保證Web應(yīng)用系統(tǒng)的安全和正常運(yùn)行成為政府網(wǎng)站所面臨的一個重要問題。當(dāng)前絕大多數(shù)公安網(wǎng)站部署了一些安全設(shè)施，如防火墻，防病毒軟件等，而這些傳統(tǒng)的安全設(shè)備，作為整體安全策略中不可缺少的重要模塊，還不能有效地提供針對Web應(yīng)用攻擊完善的防御能力。面對Web應(yīng)用攻擊，這類給Internet可用性帶來極大損害的攻擊，必須采用專門的機(jī)制，對攻擊進(jìn)行有效檢測，進(jìn)而遏制這類不斷增長、日趨復(fù)雜的攻擊形式，因此圍繞政府網(wǎng)站特定的安全需求開展系統(tǒng)的、有針對性的網(wǎng)站安全建設(shè)已經(jīng)變得刻不容緩。三、面臨的典型攻擊魔鬼出沒的世界-卡爾薩根，用這句

16、話形容網(wǎng)站目前所處的惡劣安全環(huán)境是再合適不過了。對于網(wǎng)站的應(yīng)用特點(diǎn)，針對公安門戶網(wǎng)站最普遍的攻擊有如下:3.1 跨站腳本跨站腳本攻擊屬于被動模式攻擊，是一種迫使應(yīng)用系統(tǒng)向客戶端回顯攻擊者所提交可執(zhí)行代碼的攻擊技巧，通常是針對瀏覽器的攻擊，攻擊者提交的代碼通常是HTML/JavaScript,但是也可以擴(kuò)展到VBScript/ActiveX/Java等其他瀏覽器支持的技術(shù)上，這種攻擊的對象是應(yīng)用系統(tǒng)的最終用戶，通過在應(yīng)用系統(tǒng)插入可執(zhí)行的腳本，用以獲取用戶系統(tǒng)中存儲的Cookie和Session信息，通過這些信息進(jìn)行加工和重放，就可以輕而易舉地進(jìn)行用戶身份仿冒?？缯灸_本產(chǎn)生的根源與SQL注入問題一

17、樣，主要有：參數(shù)數(shù)據(jù)過濾不嚴(yán)格，用戶提交的腳本代碼未經(jīng)正確處理返回到用戶的瀏覽器，沒有對用戶數(shù)據(jù)進(jìn)行校驗(yàn)和過濾，主要產(chǎn)生在動態(tài)網(wǎng)頁環(huán)境，XSS這類漏洞是由于動態(tài)網(wǎng)頁的WEB應(yīng)用對用戶提交請求參數(shù)未做充分的檢查過濾，允許用戶在提交的數(shù)據(jù)中摻入HTML代碼（最主要的是“>"、<"）,然后未加編碼地輸出到第三方用戶的瀏覽器，這些攻擊者惡意提交代碼會被受害用戶的瀏覽器解釋執(zhí)行。據(jù)研究發(fā)現(xiàn)：90%以上動態(tài)網(wǎng)頁存在跨站腳本問題。跨站腳本的危害：瀏覽器劫持，偽造信息，欺騙用戶；盜竊用戶Cookie中的敏感信息，冒充用戶，獲取應(yīng)用或操作系統(tǒng)的控制；高級利用，在客戶端瀏覽器上執(zhí)行

18、惡意JavaScript,后臺以當(dāng)前瀏覽器的身份自動執(zhí)行攻擊者指定的操作。攻擊者可以利用XSS漏洞借助存在漏洞的WEB網(wǎng)站轉(zhuǎn)發(fā)攻擊其他瀏覽相關(guān)網(wǎng)頁的用戶，竊取用戶瀏覽會話中諸如用戶名和口令（可能包含在Cookie里）的敏感信息、通過插入掛馬代碼對用戶執(zhí)行掛馬攻擊?？缯灸_本漏洞的特點(diǎn)在于對存在漏洞的網(wǎng)站本身并不構(gòu)成威脅，但會使網(wǎng)站成為攻擊者攻擊第三方的媒介。3.2 信息泄漏信息泄漏是攻擊者通過某種方式獲得應(yīng)用系統(tǒng)某些敏感信息的攻擊技巧，通常是利用程序員遺留在代碼中的注釋或者服務(wù)器程序的錯誤信息。信息泄露的危害：應(yīng)用系統(tǒng)部署時沒有將注釋去掉、應(yīng)用系統(tǒng)部署時沒有正確的配置服務(wù)器程序。信息泄露的危害：

19、遠(yuǎn)程攻擊者可以利用漏洞獲得敏感信息，有利于攻擊者進(jìn)一步的攻擊，例如SQL注入。3.3 SQL注入SQL注入是攻擊者通過輸入惡意的請求直接操作數(shù)據(jù)庫服務(wù)器的攻擊技巧。SQL注入式應(yīng)用系統(tǒng)中最常見，同時也是危害最大的一類弱點(diǎn)。導(dǎo)致SQL注入的基本原因是由于應(yīng)用程序?qū)τ脩舻妮斎霙]有進(jìn)行安全性檢查，從而使得用戶可以自行輸入SQL查詢語句，對數(shù)據(jù)庫中的信息進(jìn)行瀏覽、查詢、更新?；赟QL注入的攻擊方法多種多樣，而且有很多變形，這也是傳統(tǒng)工具難以發(fā)現(xiàn)和定位的。SQL注入產(chǎn)生的原因：應(yīng)用開發(fā)過程中沒有對用戶輸入進(jìn)行校驗(yàn)和過濾，對用戶提交CGI參數(shù)數(shù)據(jù)未做充分檢查過濾，用戶提交的數(shù)據(jù)可能會被用來構(gòu)造訪問后臺數(shù)

20、據(jù)庫的SQL指令。如果這些數(shù)據(jù)過濾不嚴(yán)格就有可能被插入惡意的SQL代碼，從而非授權(quán)操作后臺的數(shù)據(jù)庫，導(dǎo)致敏感信息泄露、破壞數(shù)據(jù)庫內(nèi)容和結(jié)構(gòu)、甚至利用數(shù)據(jù)庫本身的擴(kuò)展功能控制服務(wù)器操作系統(tǒng)。SQL注入的危害：利用SQL注入漏洞可以構(gòu)成對WEB服務(wù)器的直接攻擊，還可能用于網(wǎng)頁掛馬，導(dǎo)致機(jī)密數(shù)據(jù)泄漏如電子商務(wù)網(wǎng)站的客戶信息；服務(wù)器被控制；后臺數(shù)據(jù)庫執(zhí)行非授權(quán)的查詢、修改、刪除；泄露認(rèn)證相關(guān)的敏感信息，導(dǎo)致攻擊者控制Web應(yīng)用；網(wǎng)站數(shù)據(jù)的惡意破壞。3.4 DDOS攻擊傳統(tǒng)的攻擊都是通過對業(yè)務(wù)系統(tǒng)的滲透，非法獲得信息來完成，而DDoS（DistributedDenialofService）攻擊則是一種可

21、以造成大規(guī)模破壞的黑客武器，它通過制造偽造的流量，使得被攻擊的服務(wù)器、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備（如防火墻、路由器等）負(fù)載過高，從而最終導(dǎo)致系統(tǒng)崩潰，無法提供正常的服務(wù)。DDoS攻擊由于攻擊簡單、容易達(dá)到目的、難于防范和追查，日益成為常見的攻擊方式。拒絕服務(wù)攻擊可以有各種分類方法，如果按照攻擊方式來分可以分為：資源消耗、服務(wù)中止和物理破壞。資源消耗指攻擊者試圖消耗目標(biāo)的合法資源，例如：網(wǎng)絡(luò)帶寬、內(nèi)存和磁盤空間、CPU使用率等等。通常，網(wǎng)絡(luò)層的拒絕服務(wù)攻擊利用了網(wǎng)絡(luò)協(xié)議的漏洞，或者搶占網(wǎng)絡(luò)或者設(shè)備有限的處理能力，造成網(wǎng)絡(luò)或者服務(wù)的癱瘓，而DDoS攻擊又可以躲過目前常見的網(wǎng)絡(luò)安全設(shè)備的防護(hù)，諸如防火墻、

22、入侵監(jiān)測系統(tǒng)等，這就使得對拒絕服務(wù)攻擊的防治，成為了一個令用戶非常頭痛的問題。由于防護(hù)手段較少同時發(fā)起DDoS攻擊也越來越容易，所以DDoS的威脅也在逐步增大，它們的攻擊目標(biāo)不僅僅局限在Web服務(wù)器或是網(wǎng)絡(luò)邊界設(shè)備等單一的目標(biāo)，網(wǎng)絡(luò)本身也漸漸成為DDoS攻擊的犧牲品。許多網(wǎng)絡(luò)基礎(chǔ)設(shè)施，諸如匯聚層/核心層的路由器和交換機(jī)、運(yùn)營商的域名服務(wù)系統(tǒng)（DNS）都不同程度的遭受到了DDoS攻擊的侵害。隨著各種業(yè)務(wù)對Internet依賴程度的日益加強(qiáng)，DDoS攻擊所帶來的損失也愈加嚴(yán)重。包括運(yùn)營商、企業(yè)及政府機(jī)構(gòu)的各種用戶時刻都受到了DDoS攻擊的威脅，而未來更加強(qiáng)大的攻擊工具的出現(xiàn)，為日后發(fā)動數(shù)量更多、破

23、壞力更強(qiáng)的DDoS攻擊帶來可能。正是由于DDoS攻擊非常難于防御，以及其危害嚴(yán)重，所以如何有效的應(yīng)對DDoS攻擊就成為Internet使用者所需面對的嚴(yán)峻挑戰(zhàn)。網(wǎng)絡(luò)設(shè)備或者傳統(tǒng)的邊界安全設(shè)備，諸如防火墻、入侵檢測系統(tǒng)，作為整體安全策略中不可缺少白重要模塊，都不能有效的提供針對DDoS攻擊完善的防御能力。面對這類給Internet可用性帶來極大損害的攻擊，必須采用專門的機(jī)制，對攻擊進(jìn)行有效檢測，進(jìn)而遏制這類不斷增長的、復(fù)雜的且極具欺騙性的攻擊形式四、公安系統(tǒng)門戶網(wǎng)站安全防護(hù)作為信息系統(tǒng)的一個典型應(yīng)用，網(wǎng)站的安全防護(hù)與信息系統(tǒng)一樣，涉及的層面比較多，可分為網(wǎng)絡(luò)層面、系統(tǒng)層面、一般服務(wù)組件如數(shù)據(jù)庫、

24、通用軟件、常用軟件等、特定應(yīng)用，對于前三類防護(hù)手段是通用的，我們使用的是傳統(tǒng)的防護(hù)技術(shù)。如下圖:公安門戶網(wǎng)站區(qū)網(wǎng)絡(luò)拓?fù)鋱D對網(wǎng)絡(luò)、通信協(xié)議、操作系統(tǒng)、數(shù)據(jù)庫等層面上的防護(hù)可以認(rèn)為是通用的，傳統(tǒng)的邊界安全設(shè)備，如防火墻、安全網(wǎng)關(guān)、審計產(chǎn)品、終端防護(hù)產(chǎn)品等，作為網(wǎng)站整體安全策略中不可缺少的重要模塊，其防護(hù)效果是比較有效的。但在對公安網(wǎng)站系統(tǒng)采用傳統(tǒng)技術(shù)手段進(jìn)行安全防護(hù)的同時，也要充分考慮如何針對用戶特定應(yīng)用的應(yīng)用層面脆弱性及威脅進(jìn)行安全保障，因?yàn)榫W(wǎng)站的安全問題中，業(yè)務(wù)層面所暴露的安全問題顯得尤為突出，針又WEB特定應(yīng)用的脆弱性以及產(chǎn)生的安全問題是個性化和不通用的，包括網(wǎng)絡(luò)站點(diǎn)訪問異常終止，被黑客DD

25、OS攻擊占用大量的流量帶寬等面臨以上這些傳統(tǒng)的技術(shù)手段就顯得力不從心了，不能有效的防范和檢測網(wǎng)站特定的威脅和攻擊，本方案重點(diǎn)是圍繞公安門戶網(wǎng)站面臨的典型安全問題,如跨站腳本、信息泄露、SQL注入、DDOS攻擊，解決典型用戶特定Web應(yīng)用的防護(hù)和保障的解決方案，傳統(tǒng)層面的保障方案參見其他TzT7Ko根據(jù)國家“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”的精神，政府網(wǎng)站設(shè)計、建設(shè)、運(yùn)維者是網(wǎng)站安全保障體系建設(shè)的主要力量，在貫穿網(wǎng)站全生命周期的信息安全建設(shè)過程中，可從安全檢測、安全防護(hù)、安全監(jiān)控與安全恢復(fù)三個方面對政府網(wǎng)站信息安全體系進(jìn)行設(shè)計和建設(shè)。五、安全可靠的防御手段除了采用信息系統(tǒng)傳統(tǒng)的防護(hù)技術(shù)對門戶網(wǎng)站的基

26、礎(chǔ)設(shè)施進(jìn)行必要的防護(hù)外，還必須針對WEB應(yīng)用攻擊采用專門的機(jī)制，對其進(jìn)行有效檢測、防護(hù)。從安全角度考慮，需要針對目前泛濫的SQL注入、跨站腳本、應(yīng)用層DDoS等Web應(yīng)用攻擊，對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗(yàn)證，有效應(yīng)對SQL注入、跨站腳本及其變形攻擊、實(shí)時檢測網(wǎng)頁篡改、提供掛馬主動診斷，提供細(xì)粒度應(yīng)用層DDoS攻擊防護(hù)功能，清除不良用戶對應(yīng)用系統(tǒng)的非法訪問流量，確保其可靠性、安全性與合法性，對非法的請求予以實(shí)時阻斷清洗，從而對各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)，降低攻擊的影響，確保業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性，降低網(wǎng)站安全風(fēng)險，維護(hù)網(wǎng)站公信度。綠盟科技提供的安全防護(hù)部署如圖：綠盟科技建

27、議在出口部署綠盟下一代防火墻NF進(jìn)行網(wǎng)站對外發(fā)布，安全域隔離，訪問控制，提高網(wǎng)絡(luò)層安全性，同時可以提供ISP路由選路，保障帶寬的利用率，保障門戶網(wǎng)站的訪問連續(xù)性；在防火墻后端建議部署一臺NIPS進(jìn)行入侵檢測防御。實(shí)現(xiàn)多重不同策略的4-7層數(shù)據(jù)包的安全防護(hù)，為公安門戶網(wǎng)站系統(tǒng)增加一套安全可靠的防線；同時可以在WEB服務(wù)器前端部署WEB應(yīng)用防火墻（WAF）。同時部署綠盟ESPC安全管理平臺對所有綠盟安全產(chǎn)品進(jìn)行統(tǒng)一管理，統(tǒng)一分析，統(tǒng)一檢測。5.1 綠盟科技下一代防火墻（NF）NF基于卓越的應(yīng)用和用戶識別能力，對數(shù)據(jù)流量和訪問來源進(jìn)行精細(xì)化辨識和分類，使得用戶可以輕易從同一個端口協(xié)議的數(shù)據(jù)流量中辨識出任意多種不同的應(yīng)用，或從無意無序的IP地址中辨識出有意義的用戶身份信息，從而針對識別出的應(yīng)用和用戶施加細(xì)粒度、有區(qū)別的訪問控制策略、流量管理策略，保障了用戶最直接、準(zhǔn)確、精細(xì)的管理愿望和控制訴求。同時可以具有防病毒、URL過濾、WEB信譽(yù)庫、內(nèi)容過濾等功能。NF能精確分類與辨識出包括低風(fēng)險、高風(fēng)險在內(nèi)的1000+種應(yīng)用，F(xiàn)將當(dāng)前網(wǎng)絡(luò)中發(fā)生的一切安全威脅狀況都及時清晰、可視直觀的展現(xiàn)給用戶，如當(dāng)前網(wǎng)絡(luò)中的應(yīng)用流量分布，用戶訪