淸信安网站安全
解决方案
清大信安(北京)科技有限公司
1 为何关注网站安全
WEB 应用的发展,使网站发挥了越来越重要的作用,与此同时,越来越多的网站也因
为存在安全隐患而频繁遭受到各种攻击,导致网站敏感数据、页面被篡改、甚至成为传播
木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。那么,网站到底发挥着多大
的作用?网站被攻击后到底会带来什么样的损失呢?这两个问题的答案会告诉我们,为何
人们会如此关注网站安全。
1.1 网站的作用日益凸显
人们的生活已经跟网站紧密相关,获取知识、浏览新闻、游戏娱乐、在线购物甚至网
上炒股(基金、期货),网站给人们带来的便利实在难以一一列举。据CNNIC 统计,截至
2011 年12 月底,中国网民数量达到5.13 亿。中国网站数量也已达191.9 万个,年增长率
为46.3%,继续保持快速增长的势头。现在平均每132 个网民,就拥有一个互联网网站。
图1. 中国网站数量增长情况
可以看出,网站正在对越来越多的人产生影响,作为个人,我们正享受着越来越多网
站带来的生活便利,作为组织,我们也在不失时机的利用网站拓展着自己的业务。因此,
不管对于个人,还是对组织,网站都已经非常重要。以下列举了一些我们熟知的事实,已
不难说明网站的价值日益凸显:
政府网站
作为电子政务建设的最重要的内容之一,政府的门户网站目前普及率已经非常高,
肩负着政务公开、信息发布、公众服务以及政民交互等重要任务,关乎政府形象。近
几年,政府网站的电子化参与度不断上升,信息公开程度不断提高,公众决策参与水
平也有显著提升。
金融网站
银行、证券等机构的门户网站,提供的服务已不仅限于信息发布和业务咨询,而
是更多的跟实际业务交易关联了起来,通过网上银行,可以方便实现以前要去营业厅
排队才能完成的业务,也可以用网上银行进行理财投资,在线交易股票,基金等。据
CNNIC 的数据,网银用户增长率较快,目前的用户量已经超过4000 万人,半年增长
率达到47.1%,进行网上炒股的用户也已达到4288 万。
电子商务网站
提供在线购物,在线交易服务,电子商务网站的存在正在正在改变人们购物习惯,随
着应用的普及,电子商务网站带来的经济影响也是不可估量的。拿一个例子来说:仅成立
5 年的淘宝,07 年的网络销售额达到433 亿,这一数字已超越家乐福和沃尔玛销售额之和。
企业门户
展示企业产品、服务以及解决方案情况,开展跟合作伙伴以及客户的在线沟通(如客
户关系管理等),能够拓展业务渠道,为客户和合作伙伴提供极大便利。
互联网公司网站
我们对再它们熟悉不过了:Google、新浪、土豆、Facebook……,这些网站提供的内
容最丰富,搜索,新闻咨询,论坛,博客,视频分享、游戏,已经成为我们生活的一部分。
我们在享受这一切便利时,网站的所有者也在靠提供这些服务获取应得的利益。
总之,网站已经被赋予太多的内容,也正在发挥着巨大的作用,一旦网站遭受到攻击,
无疑会给个人和组织带来危害。而现实情况恰恰是人们所担心的——有人在合法享受网站
提供的服务,也有不少人对网站别有用心。
1.2 攻击给网站带来巨大损失
那些别有用心的攻击者,正是看中了网站的价值,为了博名获利,无时无刻不在对网
站进行着攻击。随着Web 应用技术的深入普及,网站攻击的技术门槛在不断降低,当攻击
跟金钱、名誉甚至政治阴谋联系在一起的时候,我们的网站很可能已经处于多个攻击者的
视线之内。正因为如此,网页挂马、数据篡改等网站安全事件层出不穷,网站被攻击而遭
受损失的媒体报道屡见不鲜,网站安全形势日益严峻。而网站被攻击后造成的巨大损失,
也已经成为网站所有者和访问者不能承受之痛。
1.2.1 经济损失
虽然没有一个确切的统计数字说明网站被攻击造成的经济损失有多大,但仅从媒体报
道的事件中我们就能体会到,这个经济损失不但不小,并且对某些网站所有者来说,来说
可能是致命的。尤其对与银行,证券以及游戏类网站,攻击成功后黑客可修改敏感数据,
实施网页挂马,也可窃取用户的帐户信息,直接划转资金或者虚拟游戏币,不仅给用户带
来直接的经济损失,而且会降低用户使用网站服务的信心,这对金融类企业无疑是巨大打
击,可能造成客户流失,形成间接经济损失。
1.2.2 名誉损失
网站代表着企业、政府机构等组织在互联网用户中的形象,试想一下,如果有一天,
当你通过搜索引擎打开网站被提示有恶意代码,或者打开网站就看到防病毒程序报警,首
页被篡改,甚至于留有一些侮辱性文字和图片,你会对这个网站的所有者产生什么样的质
疑?组织的声誉将因此会受到多大影响?从不断翻新的媒体报道中,我们可以看到这种事
件的主角不乏知名企业,甚至是知名的信息安全企业。以下是被媒体披露的一小部分:
2006 年,河南省政府网主页遭篡改;
2006 年,数字安徽网、中国银联、必胜客&肯德基网页挂马;
2007 年,成都市档案局网站主页篡改;
2007 年3 月,东方卫士网站网页挂马;
2007 年8 月,海尔官方网站网页挂马;
2007 年12 月,千千静听官方网站网页挂马;
2008 年4 月,酷狗网网页挂马;
2008 年5 月,中国红十字基金会首页被篡改
2008 年9 月,味多美网站被挂马;
……
这样的媒体报道举不胜举,但这并非全部,而只是冰山一角,仍有很多组织的网站正
遭受着攻击,造成持续的名誉损失而浑然不觉。
1.2.3 政治风险
尤其对于政府机构的网站,一旦被法轮功、藏独等反动势力入侵并利用网站散播反动
言论,不仅将会严重影响政府形象,而且会带来极大的政治风险,产生社会动荡,后果十
分严重。2008 年4 月,红心中国活动的发起网站“我赛网”,不断遭受来自欧洲黑客的攻
击。攻击的高峰出现在4 月20 日凌晨,平均一秒钟就会有两个黑客在攻击网站。网站的网
页一度被篡改,出现藏独旗帜和大量反动语言,造成了非常严重的政治影响,最后工作人
员不得不将服务器长时间关闭。2008 年5 月,正当全国人们都在齐心协力抗震救灾时,有
多个地方的地震局网站遭到入侵,攻击者发布虚假的地震消息,致使很多关注地震信息的
人获知虚假信息并迅速传播,产生了极大社会恐慌,数十万人露宿街头,有家不敢回,这
对已经深受震灾打击的人们来说无疑是雪上加霜。
2 网站安全现状
由于网站的价值日益凸显,网站安全问题也逐渐得到组织和个人的关注。然而,面对
不断变化的网站安全威胁,当前的安全措施是否能够很好的应对,这是关注网站安全必须
清晰认识得关键问题。接下来,我们就从客观的威胁环境以及主观的应对情况来分析一下
目前网站安全的现状。
2.1 安全威胁分析
从客观方面看,如今网站所处的威胁环境已日益恶化,各种攻击事件层出不穷,在这
些事件的背后,我们还要分析一下黑客为什么要攻击网站?他们主要已用什么方式攻击网
站?这对我们采取针对性的安全措施是非常有帮助的。
2.1.1 网站攻击越来越密集
根据CNCERT/CC《2007 年网络安全工作报告》,2007 年中国大陆被篡改网站总数累积
达 61228 个,比2006 年增加了 1.5 倍,平均每天168 个。而最新的数据显示,截止
2008 年7 月底,我国大陆地区被篡改网站的数量已经达到40664 个,同比增长20%,平均
每天更是达到188 个。而且,以上统计数据只限网页或数据被篡改,其他数据窃取,未报
案等事件尚不包含在其中。
2.1.2 黑客为什么攻击网站
攻击越来越容易,成本越来越低
在Internet 上,自动化技术使得网站攻击轻而易举就能成功,计算能力和网络带宽一
天比一天廉价,可供攻击的目标主机在呈指数增长,这意味这几乎所有攻击付出的代价很
少,因此不论其成功率有多低,对黑客来说都值得一试。
攻击的主要目的是获利
黑客攻击网站的目的无外乎两种,一是为名,一是为利。只不过在市场经济时代,大
多数黑客攻击网站的目的都是后者,获取利益。而要进行攻击并获得利益,自然是要中招
的人越多越好,再就是每个中招的人带来的利益越大越好。因此,黑客在选取攻击网站时
会考虑两个方面,一是网站的访问量,要选取访问量相对较大的网站;二是网站利益类型,
选取特定类型的网站如电子商务、网络游戏、金融类网站等,这样获取的利益也会更大。
2.1.3 黑客如何攻击网站
Web 应用层攻击是主流
由于针对网站的网络访问控制措施被广泛采用,且一般只开放HTTP 等必要的服务端口,
因此黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻
击网站。然而,Web 应用程序漏洞的存在更加普遍,随着Web 应用技术的深入普及,Web 应
用程序漏洞发掘和攻击速度越来越块,基于Web 漏洞的攻击更容易被利用,已经成为黑客
首选。据统计,现在对网站成功的攻击中,超过7 成都是基于Web 应用层,而非网络层。
前不久OWASP (Open Web Application Security Project)机构发布了“2007 年十大Web
安全漏洞”,XSS 和SQL 注入漏洞排名前两位,是目前存在最为普遍,利用最为广泛,造
成危害最为严重的两类Web 漏洞。
黑客获利的两种主要方式
黑客通过Web 应用程序安全漏洞攻击网站,一般会采取两种手段来达到博名、获利的
目的:
1、篡改网站数据
通过SQL 注入等漏洞获得网站权限后,可以进行网页挂马,网页篡改,修改数据等活
动。例如,黑客可以通过网页挂马,利用被攻击的网站作为后续攻击的工具,致使更多人
受害;也可以通过网页篡改,丑化网站所有者的声誉甚至造成政治影响;还也可以通过修
改网站敏感数据,直接达到获取利益的目的。
2、窃取用户信息
利用网站漏洞,构造特殊网页或链接引诱网站管理员,普通用户点击,以达到窃取用
户数据的目的。例如游戏、网银、论坛等账号的窃取,大多是利用了网站的XSS 漏洞实现
的。
总之,随着攻击技术的不断进步,越来越多的攻击者利用更容易被利用的、普遍存在
的Web 漏洞对网站进行攻击并频频得手,目前网站的生存环境已经日益恶化。部分网站的
所有者已经遭受到攻击,并从攻击造成的损失中深刻认识到网站安全问题的紧迫性。但大
多数网站的所有者仍然处在已经被攻击而浑然不觉,或者即将被攻击而无应对的巨大风险
之中。
2.2 现有安全措施分析
诚如上节所说,网站面临的环境已经发生了很大变化,更多的威胁来自于Web 应用层,
而大部分的网站的安全措施却仍然停留在原来对威胁认识的基础上,甚至于网站是否已经
被入侵并实施网页挂马,也往往是在访问者投诉或被监管部门查处时方才察觉,但此时损
失已经造成,无法挽回。不少人会问:我的网站已经有了安全措施,仍然会发生这样的事
情,到底是为什么呢?我们来分析一下现有的安全措施。
防火墙、防病毒、漏洞扫描等都是已经被广泛采用的传统网站安全措施,尤其是防火
墙的部署,使得网站阻挡了大部分来自网络层的攻击,发挥了重要作用。但是面对目前的
新情况,这些传统的安全措施能够应对吗?
防火墙
启用网络访问控制策略后,防火墙可以阻挡对网站其他服务端口的访问,而仅仅
只开放允许访问HTTP 服务端口,这样,基于其他协议、服务端口的漏洞扫描和攻击
尝试都将被阻断。但针对正在流行的Web 应用层攻击攻击,其行为类似一次正常的
Web 访问,防火墙是无法识别和阻止的,一但阻止,将意味着正常的Web 访问也会被
切断。
防病毒
不管在网关处还是网站服务器上部署,防病毒系统都可以有效的进行病毒检测和
防护,但无法识别网页中存在的恶意代码,即网页木马。由于网页木马通常表现为网
页程序中一段正常的脚本,只有在被执行的时候,才可能去下载有害的程序或者直接
盗取受害访问者的隐私。同理,对于Web 应用程序中的漏洞,防病毒系统更难以识别。
漏洞扫描
在查找和修补网站的操作系统漏洞、数据库漏洞、发布系统(如IIS,Apache)等漏
洞时,漏洞扫描系统发挥了很大作用,但是作为通用的漏洞扫描系统,它对Web 漏洞的识
别却及其有限,原因是Web 应用程序漏洞并非某一特定软件或者服务上的漏洞,其形式复
杂多样,通常需要在自动工具检查的基础上,通过人工审核才可准确定位。
综上所述,识别并阻止基于Web 漏洞的攻击,仅靠漏洞扫描、网络访问控制、病毒检
测防护等传统的安全措施是难以做到的。针对新的网站安全威胁,我们应该保持足够的紧
迫性,并采取有效措施积极应对。
2.3 问题总结与解决思路
通过以上网站安全现状的分析,我们了解到,就客观环境而言,网站所处的威胁环境
已经日益恶化,就主观方面来讲,造成目前攻击事件不断发生的局面,深层次的原因到底
是什么?针对这些问题,我们要怎么应对呢?
2.3.1 网站安全问题总结
网站安全形势堪忧,究其原因,主要是因为存在以下几个方面的问题:
1、大多数网站设计,只关注正常应用,未关注代码安全
一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过
程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站
设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安
全漏洞,正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下,网
站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。对于Web 应
用程序的SQL 注入漏洞,有试验表明,通过搜寻1000 个网站取样测试,检测到有11.3%存
在SQL 注入漏洞。
2、黑客入侵后,未及时发现
有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平,但篡改网页之前,黑
客肯定基于对漏洞的利用,获得了网站控制权限。可怕的是,通常黑客在获取网站的控制
权限之后,并不暴露自己,而是持续利用所控制网站产生直接利益。如网页挂马就是一种
利用网站,给访问者种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。被种植
木马的人通常是在不知情的情况下,被黑客窃取了自身的机密信息。这样,网站成了黑客
散布木马的一个渠道:网站本身虽然能够提供正常服务,但网站的访问者却遭受着持续的
危害。
3、网站防御措施滞后,甚至没有真正的防御
大多数防御传统访问控制,入侵防御设备,保护网站抵御黑客攻击的效果不佳。比如
对应用层的SQL 注入、XSS 攻击这种基于应用层构建的攻击,防火墙束手无策,甚至是基
于特征匹配技术的入侵防御产品,也由于这类攻击特征不唯一性,不能精确阻断攻击。因
此,导致目前有很多黑客将SQL 注入,XSS 攻击作为入侵网站的首选攻击技术。
网站防御不佳另一个原因是,有很多网站管理员对网站的价值认识仅仅是一台服务器
或者是网站的建设成本,为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。
而实际网站遭受攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成本来
衡量,很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是,很多拥有网站的组
织和个人,只有在网站遭受攻击后,造成的损失远超过网站本身造价之后才意识网站安全
问题的严重性。
4、发现安全问题不能彻底解决
网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的网站开发
与设计公司,网站安全代码设计方面了解甚少,发现网站安全存在问题和漏洞,其修补方
式只能停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什
么有些网站安装网页防篡改、网站恢复软件后仍然遭受攻击。我们在一次网站安全检查过
程中,曾经戏剧化的发现,网站的网页防篡改系统将早期植入的恶意代码也保护了起来。
这说明很少有人能够准确的了解网站安全漏洞解决的问题是否彻底。
2.3.2 网站安全问题解决思路
亡羊补牢,为时未晚。事实表明,针对新形势下网站安全问题的考虑,需要变被动应
对为主动关注,实施积极防御,这就需要以一个全面的视角看待网站安全问题,并依靠各
个方面的相互配合,对网站安全做到心中有数,防护有方。具体的思路如下:
建立主动的安全检测机制
面对Web 应用的威胁,我们缺乏有效的检查机制,因此,首先要建立一个主动的
网站安全检查机制,确保网站安全情况的及时获知——是否已经遭到攻击,是否存还
在被攻击的风险。
进行有效的入侵防护
面对Web 应用的攻击,我们缺乏有效的检测防护机制,因此,需要部署针对网站
的入侵防护产品,加强网站防入侵能力,能够对网站主流的应用层攻击(如SQL 注入
和XSS 攻击)进行防护。
针对网站安全问题,建立及时响应机制
面对Web 应用程序漏洞和已经造成的危害,我们缺乏恢复的机制和足够的技术储
备,因此,需要确立专业支持团队的外援保障,解决及时响应问题,在网站安全问题
被验证后,能确保对网站进行木马清除以及针对web 漏洞的安全代码审核修补等工作。
只有通过以上3 个环节有机结和,方可建立一套有检测,有防护,有响应的网站安全
保障方案,确保在新威胁环境下网站的安全运营。
3.产品特色
3.1 一流的产品设计理念
“三高”安全防护产品精品
清大信安WAF 是清华大学自有知识产权,自主研发并由北京清大信安信息技术有限公
司出品的高可靠性、高安全性、高易用性的信息安全防护系统。
清大信安WAF 是清华大学专家团针对“服务型”电子政务总体战略目标量身定制的重
大科技成果产业化产品,源于安全防护产品精品理念,致力于提高“服务型”电子政务应
用服务系统平台的可靠性和内容的可信性,保障电子政务应用服务系统的运行质量,提升
电子政务应用系统服务效能,为电子政务应用服务系统的信息化规划部门、投资决策部门、
运行维护部门提供具有参考意义的量化数据。
“一站式”安全管理产品理念
清大信安WAF 提供“服务型”电子政务的公众服务系统平台可用性问题、内容可信任
问题的“一站式”解决方案,用“一个帐号,一次登录,一套界面,三次点击”解决安全
问题。
“无故障运行时间提升”理念
清大信安WAF 深入理解电子政务行业实现“服务型”政府的目标,首位提出电子政务
“无故障运行时间”理念。
清大信安WAF 从电子政务应用威胁防护、服务效能动态监视,服务带宽保护和服务质
量保障等三个层面,提高电子政务应用服务系统的连续服务时间,保障电子政务应用服务
系统的运行质量。
3.2 领先的核心关键技术
稳定高效安全的系统内核
清大信安WAF 基于清华大学在操作系统内核以及对硬件电路设计方面多年的沉淀,结
合清华大学自有知识产权进行优化移植,内核精简、稳定、高效,安全。
先进全面的多维防护体系
清大信安WAF 通过宏观判断和微观分析、操作系统和应用分析、实时流量和历史特征
等等多个角度的信息聚合,围绕Web 应用威胁防御、Web 防篡改、抗拒绝服务攻击和Web
应用效能优化等进行相关多元化组合分析,全方位构建多维防护体系。
主动式应用安全加固技术
清大信安WAF 通过漏洞扫描、实时WEB 威胁防护、WEB 应用架构协议规范化等多种手
段相结合,动态发现WEB 应用威胁,及时提供相应的修复措施、解决方案,并进行主动修
复。
3.3 提供量化的决策支撑数据
多角度量化的决策支撑数据
清大信安WAF 在安全防护的基础上,提供多角度量化的决策支撑数据,让信息化部门
的领导了解电子政务的建设情况和运行情况。从电子政务应用服务系统规划设计目标的满
足程度、电子政务应用服务系统运行效能及负载、电子政务应用服务质量、运行报告等等
多个角度提供量化的决策支撑数据。
提供多角色视角的数据展示
清大信安WAF 从用户的角色、电子政务应用系统的服务类型、电子政务应用系统的服
务对象三个层面,提供多种视角的数据展示,并支持展示界面的自定义。
在清大信安WAF 上,用户可以:
按照业务视角,将当前各类业务的运行状态和当前安全威胁等级列出;
按照行业视角,将电子政务应用系统对服务对象的服务效能情况列出;
根据自身的角色,选择查看不同范围、不同明细粒度和不同侧重点的报表;
根据自身操作习惯和业务需要,自定义多套展示界面。
清大信安WAF 致力于为用户提供便捷的使用管理和有效的数据。
提供简洁清晰的阶段性报表
清大信安WAF 提供简洁清晰的阶段性报表。从宏观环境、当前建设现状、系统负载、
异常行为过程等多个维度综合考虑安全问题,分角色提供既有清晰结论、又有多角度量化
的决策支撑数据的高水平报表。
4.部署方式
清大信安WAF 提供贴合电子政务行业网络结构特点的多种部署方式支持,可以根据实
际环境需求进行性灵活设计。
4.1 透明串接部署
透明模式是最便捷部署的方式,在已经交付使用的系统中需要快速部署Web 防护系统
时,推荐使用此种部署方式。工作在透明方式时,网关工作在链路层,不需要对服务器和
其他的网络设备做任何改动。
图 4-1 透明串接部署示意图
4.2 反向代理部署
反向代理部署是在大多数情况下推荐使用的部署方式。Web 防护系统位于服务器的前
端,所有与应用系统相关的网络流量都必须经过网关,该部署模式能对应用数据进行全面
细致的检查。
图 4-2 反向代理部署示意图
4.3 单臂部署
以单臂方式部署时,Web 防护系统将与Web 应用服务器位于同一个子网或者任意路由
可达子网。Web 应用服务器的网络设置无需任何更改。由于未更改应用服务器的任何设置,
此种方式非常适合不能中断运行的系统。
图 4-3 单臂部署示意图
5.结论
随着国家电子政务系统建设的不断发展,信息安全建设已经成为电子政务建设不可缺
少的重要组成部分。建设“服务型”电子政务,对电子政务系统的服务质量提出了基础性
的要求,也为电子政务系统提出了两个方面的挑战:
一、 电子政务平台的安全性如何保障,即提供一个可用的保障,使公众和企
业能够真正在网上办事,这是电子政务平台的信息安全防护问题。
二、 在安全防护的基础上,信息化部门的领导如何了解电子政务的建设情况
和运行情况,如何获取效能评估的基础量化数据。
但是,在现在的市场下,电子政务一方面缺乏可用的效能评估手段,去衡量服务能力,
另一方面,缺乏全面解决问题的产品。
为了解决上述矛盾,清大信安WAF 便应运而生,帮助政府部门提高“服务型”电子政
务应用服务系统的安全性和可靠性,保障电子政务应用服务系统的运行质量,提升电子政
务应用系统服务效能,为电子政务应用服务系统的信息化规划部门、投资决策部门、运行
维护部门提供具有参考意义的量化数据。
3 网站安全解决方案
清大信安(北京)科技有限公司一直非常关注网站安全问题,并针对不同
时期的不同安全威胁提供相应的产品、服务和解决方案。
清大信安电子政务WEB 防护系统(以下简称清信安WAF)是清华大学自有知识产权,
自主研发并由北京清大信安信息技术有限公司出品的高可靠性、高安全性、高易用性系统。
清大信安WAF 是清华大学专家团针对“服务型”电子政务总体战略目标量身定制的重
大科技成果产业化产品,融合了清华大学长期对电子政务系统进行的安全研究成果,应用
清华大学多项专利技术,主要从电子政务平台系统可用性和信息可信任的角度,解决电子
政务Web 防护及加速、内容防篡改、流量分析和管理、异常流量清洗、负载均衡等核心需
求,提供事前预警、事中防护、事后分析全周期安全防护解决方案。
图 3-1 清大信安WAF 工作原理示意图
清大信安WAF 源于防护产品精品理念,致力于提高“服务型”电子政务应用服务系统
的安全性和可靠性,保障电子政务应用服务系统的运行质量,提升电子政务应用系统服务
效能,为电子政务应用服务系统的信息化规划部门、投资决策部门、运行维护部门提供具
有参考意义的量化数据。
事前,清大信安WAF 进行电子政务服务效能动态监视,实时监测电子政务的服务能力
和服务质量,建立隐患预警机制。
事中,基于“无故障运行时间”理念,依托稳定高效安全的系统内核以及先进全面的
多维防护体系,从Web 应用威胁防御、Web 防篡改、抗拒绝服务攻击和Web 应用效能优化
等多个角度,保障电子政务应用服务系统的运行质量,提升电子政务应用系统服务效能。
事后,清大信安WAF 提供多角度量化的决策支撑数据,为用户提供便捷的使用管理和
有效的数据和简洁清晰的阶段性报表。帮助信息化规划部门和投资决策部门的领导了解电
子政务的建设情况和运行情况,掌握电子政务应用服务系统规划设计目标的满足程度、电
子政务应用服务系统运行效能及负载、电子政务应用服务质量、运行报告等等多个角度的
量化的决策支撑数据。帮助电子政务系统运行维护部门从宏观环境、当前建设现状、系统
负载、异常行为过程等多个维度综合考虑安全问题,分角色提供既有清晰结论、又有多角
度量化的决策支撑数据的高水平报表。
3.1 产品功能
3.1.1Web 应用威胁防御
电子政务Web 防护系统对HTTP 数据流进行分析,应用了先进的多维防护体系,对Web
应用攻击进行深入的研究,固化了一套针对Web 应用防护的专用特征规则库,对当前国内
主要的Web 应用攻击手段实现了有效的防护机制,应对黑客传统攻击如缓冲区溢出、CGI
扫描、遍历目录、OS 命令注入等以及SQL 注入和跨站脚本等攻击手段。
系统对于HTTP 内容有着完全的访问权和控制权,检查所有的HTTP 内容,解释和建立
规则。一旦某个会话被应用防火墙终止并被控制,将会对向内或向外的流量进行多种检查,
以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对URL、 参数和格式等进
行检查。
3.1.2 Web 防篡改
Web 防护系统能够监控网页请求的合法性,实时拦截篡改攻击企图。
同时通过比对请求页面的哈希指纹,校验被请求的网页是否被篡改。一旦检测到页面
被篡改,则将URL 重定向到正常页面,使篡改攻击者的意图不能得逞。
发生网页篡改紧急事件时,电子政务Web 防篡改系统会将用户请求重定向到指定默认
页面或指定页面,视篡改的程度或网站特殊需要,启动专业的应急机制,网络流量进行控
制,及时阻挡篡改攻击目的得逞,保证网站形象。另一方面提供多种告警机制,通知网站
管理者进行事件分析和犯罪追溯,做好Web 服务器的配置和数据恢复,杜绝页面连续篡改。
3.1.3 抗拒绝服务攻击
拒绝服务攻击是攻击者通常利用目标服务器的网络协议漏洞或耗尽其系统、网络资源,
使得目标服务器业务瘫痪,无法响应正常用户请求。近年来,拒绝服务攻击事件呈上升趋
势,电子政务系统尤其要加强防范此类恶性攻击事件,避免政务系统瘫痪。
清大信安WAF 集成了具有核心知识产权的抗拒绝服务攻击功能,能够防御迄今已知的
所有种类的DDoS 攻击,如SYN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、
HTTP-get Flood 等等。同时还能防御未知攻击。
攻击指纹识别
抗拒绝服务攻击系统利用多种技术手段对网络数据包进行特征统计和发现,能够准确
定位当前的攻击类型,并触发不同的防御机制,在提高效率的同时确保准确度。
异常流量识别
抗拒绝服务攻击系统创造性地提出了一种新的、基于数据挖掘的DDoS 攻击盲检测技术,
利用关联算法和聚类算法自适应的产生检测模型,任何偏离这些正常状态的流量特征都可
以被捕获,从而能够实时地、自动地、有效地识别出异常流量。
攻击特征挖掘
抗拒绝服务攻击系统具备高效的攻击特征挖掘能力。通过对网络流量的显微分析,挖
掘出攻击特征,把挖掘出的攻击特征交给规则执行机执行。
攻击流量过滤
抗拒绝服务攻击系统针对检测出的攻击流量,采用规则执行机,干净彻底地过滤攻击
流量,放过正常流量,保护正常服务的进行。
3.1.4 Web 应用加速
清大信安WAF 在对电子政务进行全面的安全防护的同时,通过连接池、缓存等机制,
实现应用加速,优化电子政务系统的性能。
Web 应用加速功能通过高性能的硬件平台和软件加速算法,可以将用户的Web 请求响
应速度提高数倍,对电子政务系统的可用性有巨大的提升。
3.2 产品特色
3.2.1 一流的产品设计理念
“三高”安全防护产品精品
清大信安WAF 是清华大学自有知识产权,自主研发并由北京清大信安信息技术有限公
司出品的高可靠性、高安全性、高易用性的信息安全防护系统。
清大信安WAF 是清华大学专家团针对“服务型”电子政务总体战略目标量身定制的重
大科技成果产业化产品,源于安全防护产品精品理念,致力于提高“服务型”电子政务应
用服务系统平台的可靠性和内容的可信性,保障电子政务应用服务系统的运行质量,提升
电子政务应用系统服务效能,为电子政务应用服务系统的信息化规划部门、投资决策部门、
运行维护部门提供具有参考意义的量化数据。
“一站式”安全管理产品理念
清大信安WAF 提供“服务型”电子政务的公众服务系统平台可用性问题、内容可信任
问题的“一站式”解决方案,用“一个帐号,一次登录,一套界面,三次点击”解决安全
问题。
“无故障运行时间提升”理念
清大信安WAF 深入理解电子政务行业实现“服务型”政府的目标,首位提出电子政务
“无故障运行时间”理念。
清大信安WAF 从电子政务应用威胁防护、服务效能动态监视,服务带宽保护和服务质
量保障等三个层面,提高电子政务应用服务系统的连续服务时间,保障电子政务应用服务
系统的运行质量。
领先的核心关键技术
稳定高效安全的系统内核
清大信安WAF 基于清华大学在操作系统内核以及对硬件电路设计方面多年的沉淀,结
合清华大学自有知识产权进行优化移植,内核精简、稳定、高效,安全。
先进全面的多维防护体系
清大信安WAF 通过宏观判断和微观分析、操作系统和应用分析、实时流量和历史特征
等等多个角度的信息聚合,围绕Web 应用威胁防御、Web 防篡改、抗拒绝服务攻击和Web
应用效能优化等进行相关多元化组合分析,全方位构建多维防护体系。
主动式应用安全加固技术
清大信安WAF 通过漏洞扫描、实时WEB 威胁防护、WEB 应用架构协议规范化等多种手
段相结合,动态发现WEB 应用威胁,及时提供相应的修复措施、解决方案,并进行主动修
复。
提供量化的决策支撑数据
多角度量化的决策支撑数据
清大信安WAF 在安全防护的基础上,提供多角度量化的决策支撑数据,让信息化部门
的领导了解电子政务的建设情况和运行情况。从电子政务应用服务系统规划设计目标的满
足程度、电子政务应用服务系统运行效能及负载、电子政务应用服务质量、运行报告等等
多个角度提供量化的决策支撑数据。
提供多角色视角的数据展示
清大信安WAF 从用户的角色、电子政务应用系统的服务类型、电子政务应用系统的服
务对象三个层面,提供多种视角的数据展示,并支持展示界面的自定义。
在清大信安WAF 上,用户可以:
按照业务视角,将当前各类业务的运行状态和当前安全威胁等级列出;
按照行业视角,将电子政务应用系统对服务对象的服务效能情况列出;
根据自身的角色,选择查看不同范围、不同明细粒度和不同侧重点的报表;
根据自身操作习惯和业务需要,自定义多套展示界面。
清大信安WAF 致力于为用户提供便捷的使用管理和有效的数据。
提供简洁清晰的阶段性报表
清大信安WAF 提供简洁清晰的阶段性报表。从宏观环境、当前建设现状、系统负载、
异常行为过程等多个维度综合考虑安全问题,分角色提供既有清晰结论、又有多角度量化
的决策支撑数据的高水平报表。
产品系列
根据设备性能的不同,淸安WAF 分为如下五类产品:
QINGHUASEC-WAF-10000:淸安WAF 千兆增强型
QINGHUASEC-WAF-1000A:淸安WAF 千兆基础型
QINGHUASEC-WAF-1000: 淸安WAF 千兆简化型
QINGHUASEC-WAF-100A: 淸安WAF 百兆增强型
QINGHUASEC-WAF-100: 淸安WAF 百兆基础型
QINGHUASEC-WAF 系列产品都是功能完备的WEB 安全防护设备,适用于透明串联、反
向代理、单臂模式。提供WEB 应用威胁防御、WEB 防篡改、抗拒绝服务攻击、WEB 应用
加速等安全防护功能,并能为用户提供量化的决策支持数据等行业解决方案。
部署方式
清大信安WAF 提供贴合电子政务行业网络结构特点的多种部署方式支持,可以根据实
际环境需求进行性灵活设计。
透明串接部署
透明模式是最便捷部署的方式,在已经交付使用的系统中需要快速部署Web 防护系统
时,推荐使用此种部署方式。工作在透明方式时,网关工作在链路层,不需要对服务器和
其他的网络设备做任何改动。
图 0-1 透明串接部署示意图
反向代理部署
反向代理部署是在大多数情况下推荐使用的部署方式。Web 防护系统位于服务器的前
端,所有与应用系统相关的网络流量都必须经过网关,该部署模式能对应用数据进行全面
细致的检查。
图 0-2 反向代理部署示意图
单臂部署
以单臂方式部署时,Web 防护系统将与Web 应用服务器位于同一个子网或者任意路由
可达子网。Web 应用服务器的网络设置无需任何更改。由于未更改应用服务器的任何设置,
此种方式非常适合不能中断运行的系统。
图 0-3 单臂部署示意图
结论
随着国家电子政务系统建设的不断发展,信息安全建设已经成为电子政务建设不可缺
少的重要组成部分。建设“服务型”电子政务,对电子政务系统的服务质量提出了基础性
的要求,也为电子政务系统提出了两个方面的挑战:
三、 电子政务平台的安全性如何保障,即提供一个可用的保障,使公众和企
业能够真正在网上办事,这是电子政务平台的信息安全防护问题。
四、 在安全防护的基础上,信息化部门的领导如何了解电子政务的建设情况
和运行情况,如何获取效能评估的基础量化数据。
但是,在现在的市场下,电子政务一方面缺乏可用的效能评估手段,去衡量服务能力,
另一方面,缺乏全面解决问题的产品。
为了解决上述矛盾,清大信安WAF 便应运而生,帮助政府部门提高“服务型”电子政
务应用服务系统的安全性和可靠性,保障电子政务应用服务系统的运行质量,提升电子政
务应用系统服务效能,为电子政务应用服务系统的信息化规划部门、投资决策部门、运行
维护部门提供具有参考意义的量化数据。