信息中心
【參評方案】上海天存政府門戶網站網頁防篡改解決方案
一、方案背景說明
隨著我國政治文明的推進和社會信息化的發展,政府門戶網站已成為政府應用信息技術履行職能的重要形式,它對促進政務公開,改進行政管理,提高行政效能具有重要意義,是我國電子政務建設的重要組成部分。
政府門戶網站的網上信息具有權威性、準確性、全面性和嚴肅性的特點。但在另一方面,互聯網網站處在一個相對開放的環境中,它在為公眾提供便利服務的同時,也極易成為不法分子和敵對勢力的攻擊目標。在各種破壞行為中,以篡改網頁最為惡劣:政府網站上出現虛假甚至反動信息直接損害了政府形象,在一定程度上影響了和諧社會的建設。另外,最新的趨勢還表明,黑客經常上傳惡意代碼為其實施其他攻擊大開方便之門。
從公開媒體的報道和我們掌握的情況來看,近年來我國各級政府的網站時常發生篡改事件,這一點在突發事件發生時尤為明顯。Web平臺(操作系統、Web服務器軟件、各種第三方軟件和網站應用自身)的漏洞層出不窮,病毒木馬和惡意代碼網上肆虐,攻擊手段日益自動化、簡單化等都是造成這一現象的重要原因。
從防護的角度來看,隨著Web平臺環境和網站應用本身的復雜程度越來越高,依靠人工、輪詢監控等手段對網頁文件、數據庫信息提供應用安全保障的處理方式由于工作量巨大、處理效率低下已經不再適用,而一些傳統的安全設備,如防火墻、入侵檢測系統等,無法對日益泛濫的應用層攻擊進行有效的防御。如果缺乏有效和有針對性的技術防護手段,網頁篡改事件很難避免。因此,我們的政府門戶網站有必要采用可靠的網頁防篡改系統對網頁文件、動態數據提供有力地保護,并對各種應用層攻擊進行有效地防御。
二、網頁防篡改解決方案概述
傳統的網頁防篡改軟件,主要針對文件的完整性提供保護。但隨著電子政務的發展,政府門戶網站也逐漸從單一的信息發布發展成集政務公開、網上辦事、行政審批等功能于一體的信息交互平臺。因此,網頁防篡改的范疇也隨之發生變化,不僅僅要保護文件的完整性,更要對各種利用信息交互功能發起注入式攻擊、跨站攻擊等應用層攻擊的黑客行為進行有效的防御和遏止。
針對政府門戶的安全現狀,結合多年來在Web應用安全領域積累的豐富經驗,天存建議政府門戶網站采用由iGuard網頁防篡改系統和iWall應用防火墻組成的WEB應用安全防護平臺來實現全面可靠的網頁防篡改。
對于靜態內容居多的門戶網站主站點,采用iGuard網頁防篡改系統標準動態版可以實現以下防篡改功能:
1. 使用增強型事件觸發式技術,截獲所有寫文件調用,對于其中的非法寫行為實施了實時阻斷,讓常規黑客的篡改行為即時落空,同時發出報警。比起一般的“檢測-恢復”方式的事件觸發式技術,它對于網站保護的有效性有了更大的提高。
2. 采用核心內嵌技術,用戶每次訪問每個受保護網頁時,Web服務器在發送之前都進行完整性檢查,保證網頁的真實性。徹底杜絕篡改后的網頁被訪問的可能性,全面和實時地保護網站的所有網頁文件。
3. 應用防護模塊對來自于客戶的Web訪問請求進行分析,檢查請求的各部分中是否含有非法字符/關鍵字構成注入式攻擊等Web應用層攻擊。任何被檢測出的Web應用層攻擊都將被實時阻斷。
對于交互應用豐富的應用站點,采用iGuard網頁防篡改系統標準版可以實現對動態腳本文件的高效可靠保護,其對文件的保護原理和主站點對文件的保護原理一樣。但是由于應用站點交互應用較為豐富,需要采用功能更為強大的應用防護系統來實現對各種應用層攻擊的全面防御,因此我們推薦采用iWall應用防火墻來實現以下功能:
1. 對HTTP請求的特性進行過濾和限制。例如對HTTP報文中請求頭的名字和長度進行檢查、限制對指定HTTP請求方法的訪問、限制HTTP請求中的對指定文件類型的訪問、限制對指定HTTP鑒別帳號的訪問、限制對指定HTTP請求內容長度的訪問等等。
2. 對HTTP請求的內容進行過濾和限制。例如對提交的URL請求中的字符進行限制、對GET方法提交的參數進行檢查(包括注入式攻擊和代碼攻擊)、對POST方法提交的數據進行檢查(包括注入式攻擊和代碼攻擊)、對Cookie內容進行檢查、對指定的文件類型進行參考域的檢查等等。
3. 可以分別為一臺服務器上不同的應用制定不同的規則。
組合以上限制特性,可針對以下應用攻擊及其變種進行有效防御:
? SQL注入式攻擊
? SQL盲注
? 跨站腳本攻擊
? 文件注入
? 命令注入
? LDAP注入
? SSI注入
? PHP注入
? ColdFusion注入
? UPDF跨站
? Email注入
? Session定置攻擊
? 上傳假冒文件
? 不安全本地存儲
? 非法執行腳本
? 非法執行系統命令
? 腳本源代碼泄露
? URL訪問限制失效
? 網站資源盜鏈
? ……
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄