政府門戶網站安全方案

發布日期:2011-07-24首頁 > 解決方案

政府門戶網站安全防護措施探讨

 

       一(yī)、門戶網站安全防護的重要性

政府門戶網站是各級政府在互聯網上的重要窗口,代表了政府的形象,同時也是老百姓了解有關政策、動态信息、實現與政府互動的快捷通道。

政府網站的信息安全防護能力仍處 初級階段,尚未形成科學、完整、高效、統一(yī)的電(diàn)子政務安全保障體(tǐ)系。國家計算機網絡應急技術處理協調中(zhōng)心統計顯示,我(wǒ)國各級政府網站僅在2005年就被篡改網頁2027次,比2004年多一(yī)倍。我(wǒ)們身邊所聽(tīng)到的或親身經曆到的網頁被篡改事件,大(dà)部門還未統計在内,因此實際發生(shēng)的此類事件遠遠大(dà)于這一(yī)統計數據。

門戶網站直接或間接地與互聯網相聯,門戶網站所面臨的主要安全威脅是黑客入侵、篡改網頁、植入木馬、抗拒絕服務攻擊、數據庫注入攻擊等。如果政府門戶網站受到黑客攻擊,輕則頁面被篡改、信息被竊取、公衆無法正常訪問政府門戶網站,造成政府形象受損;重則被别有用心的黑客加以利用,在網站上發布虛假疫情、地震信息公告,則會造成嚴重的政治、社會事件。

因此建立門戶網站安全防護體(tǐ)系,是當前網站建設的重要目标之一(yī)。

二、傳統安全防護的誤區

目前大(dà)部分(fēn)政府門戶網站在建設的時候都部署了防火(huǒ)牆設備,但是依然有很多網站被黑客入侵,這是因爲防火(huǒ)牆雖然有包過濾機制,但因爲防火(huǒ)牆主要是工(gōng)作在網絡層,對應用層數據包無法進行深度檢查,所以還是無法應對許多惡意行爲,例如Unicode攻擊、SQL注入攻擊等。而且,服務器的操作系統、服務器軟件都可能存在未被發現的漏洞,對此,一(yī)般防火(huǒ)牆有其缺陷。

另外(wài)黑客技術發展很快,各種方式的威脅技術層出不窮,不能單單依靠防火(huǒ)牆來防護,迫切需要專業設備做專業事,并建立一(yī)定的聯動機制,構成一(yī)個立體(tǐ)的安全防護體(tǐ)系。這就象鄉村(cūn)診所,一(yī)個醫生(shēng)能看百病,而到了醫療技術高超的醫院,不同的病症要由專業科室來治療,對于疑難雜(zá)症還要請各科專家會診。

     、安全防護技術措施

門戶網站安全防護技術手段,主要從網絡安全、系統安全、内容安全三方面來考慮。在網絡安全方面,除了防火(huǒ)牆,還應部署網閘、入侵檢測、抗拒絕服務攻擊措施;在系統安全方面,除了防病毒系統,還應經常進行漏洞掃描、查找系統弱點漏洞、進行内核加固和安裝補丁程序;在數據安全方面要在服務器上部署網頁防篡改系統用于監視網頁運行和被篡改情況的發生(shēng)。

1、防火(huǒ)牆技術

      防火(huǒ)牆是在不同的安全區域之間設置的安全隔離(lí)措施。它可提供接入控制、訪問控制、過濾網絡之間各種消息的傳遞等。防火(huǒ)牆是完成邏輯隔離(lí)的關鍵設備,是傳統的成熟的安全隔離(lí)和訪問控制設備。防火(huǒ)牆部署在網絡出口處,是第一(yī)道基本的必不可少的安全屏障。
 
2、網閘隔離(lí)技術
 
      網閘隔離(lí)設備很好地解決了網絡斷開(kāi)與數據交換的難題。它部署在兩個物(wù)理隔離(lí)的網絡邊界,在保證兩個網絡協議中(zhōng)止的情況下(xià),以非網絡方式實現數據交換,沒有任何包、命令和TCP/IP協議(包括UDP和ICMP)可以穿透網閘。網閘隔離(lí)設備較之防火(huǒ)牆設備,其隔離(lí)強度更高、效果更好、安全性能更可靠。
        政府部門的行業專網,其核心服務器或核心數據庫是整個行業的數據命脈所在,對安全要求非常高,但其數據又(yòu)要面向互聯網提供服務,此時可采用前置服務器(門戶網站)對互聯網上的用戶提供服務,而前置服務器讀取核心服務器的數據時,用網閘進行隔離(lí),以保護核心服務器的安全。

3、防病毒技術

病毒傳播的主要途徑是網絡,網絡防病毒系統的部署應該由點及面,全方位進行部署,徹底截斷病毒入侵的途徑。需要部署的防病毒系統可采用網關防病毒、郵件防病毒、服務器防病毒、桌面防病毒等方式進行部署。

4、入侵檢測(防護)技術

入侵檢測系統是從計算機網絡系統中(zhōng)的若幹關鍵點收集信息,并分(fēn)析這些信息,如果發現有黑客入侵或者入侵前的準備行爲(例如對服務器的端口進行掃描),就及時向管理員(yuán)進行報警,并由管理員(yuán)做出相應的應對措施。入侵檢測系統一(yī)般旁路在所要檢測網段的交換機上,如果在其上加上入侵防護功能,就成爲入侵防護系統,入侵防護設備一(yī)般部署在互聯網出口位置。

5、抗拒絕服務攻擊技術

拒絕服務攻擊(DoS)就是利用正常的服務請求來占用過多的服務資(zī)源,從而使合法用戶無法得到服務響應。DDoS就是利用更多的傀儡機來發起進攻,比單個的DoS攻擊的規模更大(dà)。

目前能有效對付DDoS攻擊的手段主要是一(yī)些專業的硬件來代替服務器完成TCP三次握手,從而保障隻有正常的請求才能進入服務器,而這樣的解決辦法對設備的硬件性能及軟件算法速度都有很高的要求。

6、漏洞掃描技術

通過對網絡設備及服務器系統的掃描,可以了解安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。網絡管理員(yuán)根據掃描結果更正系統中(zhōng)的錯誤配置、進行系統加固、安裝補丁程序,或采用其它相關防範措施。

7、服務器内核加固技術

内核加固系統是在服務器上安裝一(yī)套軟件系統,該系統通過攔截I/O管理器創造代表I/O操作的IRP請求包,過濾所有文件操作來實現對操作系統的保護。它把對操作系統的保護做在了底層,對被保護的文件,具有讀不了、改不了、宕不了的堅固防護。同時,它又(yòu)對原有系統超級用戶權限進行合理分(fēn)散與适度制約。

8、網頁防篡改技術

網頁防篡改技術是通過對網站的全面監控,實時捕獲篡改事件,并在第一(yī)時間對發生(shēng)篡改的網頁進行自動恢複和報警,并通過日志(zhì)實現對網站文件更新過程的全程記錄。網頁防篡改系統部署在服務器上,對服務器的資(zī)源占用較小(xiǎo),不影響服務器的正常使用。

9、對服務器進行安全配置

服務器的安全配置是至關重要。首先是調整服務器的屬性,做到必要時關閉TCP 445端口的訪問,關閉TCP 139端口的訪問;其次是停止不必要的服務,這不僅是安全加固的需要,同時也是服務器性能優化的一(yī)部分(fēn);最後是增強日志(zhì)審計能力,當網站被入侵後,隻有日志(zhì)能夠幫助定位入侵事件。

10、其它安全防護技巧

除了上面介紹的主要防護措施之外(wài),還應該關注以下(xià)防護技巧。

l         SQL注入攻擊的防範

目前黑客攻入網站最常見的伎倆是SQL注入攻擊。由于SQL注入是從正常的WWW端口訪問,跟一(yī)般的Web頁面訪問沒什麽區别,所以防火(huǒ)牆都不會對SQL注入發出警報。爲了防範黑客通過SQL注入攻進網站,可以使用防注入攻擊的專用軟件對數據庫進行加固處理。

l         堵住數據庫下(xià)載漏洞

目前仍有許多動态網站采用Access數據庫,但Access數據庫是以文件方式存放(fàng),後綴爲*.mdb。如果不采取相應的措施,就有可能被一(yī)些惡意用戶下(xià)載,從而造成重要信息的洩露。對于此威脅,應采取措施堵住漏洞防止下(xià)載。

l         盡量不使用上傳程序

網站中(zhōng)最好不使用任何上傳程序,建議采用FTP上傳、維護網頁,不要安裝ASP的上傳程序。如果ASP上傳文件功能必須保留,也應該進行嚴格的身份認證。

l         注意後台管理程序

不要在網頁上顯示後台管理程序的入口鏈接,以免黑客攻入網站後台管理程序。管理員(yuán)的用戶名和密碼也不能過于簡單,注意定期更改。建議維護時通過ftp上傳後台管理程序,使用後即時删除。

l         檢查是否有木馬,并做好數據庫備份工(gōng)作

 WEB虛拟路徑下(xià)的所有文件定期做批量的MD5效驗,審核每個文件,對有來曆不明的文件要立即删除。除了日常維護外(wài),還要時常備份數據庫等重要文件。

 四、結束語

根據筆者經驗,部署上述技術措施後的網站,基本未出現安全事件。但在具體(tǐ)技術措施的選取上,也可根據實際情況,如網站規模、宣傳範圍、知(zhī)名度、數據内容重要程度、實時性要求強度、可容忍的網站停運時間、資(zī)金狀況等因素來進行裁減,選擇具體(tǐ)的技術措施。

另外(wài),解決門戶網站安全問題,除了要有好的安全防護技術措施外(wài),還要有一(yī)支具有豐富安全服務經驗的專業技術隊伍,在運維支撐方面才能得到可靠的保障。