分析我们的网络对安全性有极高的要求,网络中的关键应用和关键数据越来越多,如何保障关键业务数据的安全性成为网络运维中非常关键的工作。
背景及问题
近年来,随着政务网站所运行业务的重要性逐渐增加以及其公众性质使其越来越成为攻击和威胁的主要目标,政府网站所面临的Web应用安全问题越来越复杂,混合威胁的风险正在飞速增长,如网页篡改、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着政府和公众用户,给政府的政务形象、信息网络和核心业务造成严重的破坏。据CNCERT最新统计显示,2010年我国大陆地区政府网页遭篡改事件呈大幅增长趋势。
电子政府网站建设需求
电子政府网站的安全关系到电子政务事业能够有效开展,发挥作用。等级保护体系也对网站安全提出了要求。《国家信息化领导小组关于我国电子政务建设指导意见》更是给出了电子政务门户网站防护体系更明确的信息。
国内各级政府网站正在向“服务平台化、站点集群化”的政府门户网站的特点发展。通过,在各级政府网站中的在线服务引导和电子政务、服务结果查询,将政府各局、各部门联系在一起,共同组成一座庞大且实用的“一站式、一体化”的政府电子政务服务平台。主要采用三层架构设计,从下至上分别为:数据访问层、业务逻辑层、表示层。
锐捷网络WebGuard解决方案
RG-WG系列锐捷WebGuard(简称WG)应用保护系统,是锐捷网络专门解决上述Web应用安全问题设计的网络设备。锐捷WebGuard基于对HTTP/HTTPS流量内容的双向检测分析,识别检测各类Web编码、交互技术、URL参数以及表单输入等,为Web应用提供实时、动态的主动性防护。
各省级和中央的政府门户网站一般都是在电子政务外网的数据中心,服务器数量众多,不单是为市民、企业提供政务业务,还需要为各级地市提供政府办公业务,RG-WG部署在电子政务外网数据中心的前端,可根据不同的安全域,不同的web服务特点和不同的代码特点,分别制定不同的个性化的安全访问策略,从而为众多安全域提供集中式、个性化的安全防护。
RG-WG的处理性能可以达到10G,不但可以满足省级和中央的政府门户网站高可靠的要求,在重要的活动期间也可以根据策略的调整,适应大流量、大访问量,多攻击事件的高性能要求。如下图所示:
各级地市、区县的政府门户网站架构相对比较简单。依据“2010年政府网站绩效考核各项指标”,各级地市、区县政府以实现集安全、资源整合、在线服务、信息公开、民主参与于一身的政府网站平台为建设目标。
RG-WG部署在政府网站Web服务器的前端,做为客户端与WEB服务器端请求与响应的中间人,实时过滤阻断或屏蔽跨站脚本、SQL注入及恶意攻击,从而保障政府网站面向居民、企业、外籍人士及同级政府提供各种稳定、可靠、安全在线政务服务。如下图所示:
各级地市政府专业单独防护
特色优势
1.全时空四维度防护策略
WG采用事前检测、事中防护和事后恢复的“全时空”策略。既能在事前防御防范与未然,又能在事后进行页面恢复。设备能缓存网页内容。当网站被篡改时,设备将缓存的正确页面返回给访问者,保证对外显示的始终是正确页面。
2.双向网站实时检测过滤
RG-WG作为web客户端与服务器端请求与响应的中间人,避免web服务器直接暴露在互联网上,检测过滤HTTP/HTTPS双向交互流量数据,对其中的恶意成分进行实时在线清洗过滤。
3.关键字过滤、黑白名单功能
根据客户的使用需求,防止网站论坛被上传非法反动言论,或网页被篡改为非法言论,支持关键字过滤。同时RG-WG系列能将确认为攻击的源IP自动加入黑名单,并且提供自动解禁时间,不需要任何人工的操作。
4.虚拟WAF与分级管理
单一WAF 设备支持多个网站管理员分别配置管理防护策略,并提供独立的攻击事件报警、分析日志与报表。此功能非常适合具有一定数目web 服务器群的企业使用,方便网络运营管理,减轻设备管理员的工作量,解决众多网站所带来的策略维护与管理的问题。
5.“零配置”初次运行、一站式防护
Cisco、Impreva等厂商采用白名单工作方式,使用时需要针对每个页面的HTTP各字段进行配置;对客户技术水平要求高,否则无法发挥出产品功效。
WG针对国内常见的攻击,预置了攻击防御策略;设备上线,无需配置即可防御绝大多数攻击;同时也提供白名单功能,供高级客户使用。
方案效果
WG可以对电子政务门户网站进行有效的安全防护,避免入侵攻击、网页篡改以及信息泄露等安全事件的发生,保障电子政务门户网站的长期安全、稳定的运营;锐捷网络电子政务门户网站在全国各省市已经部署了众多的案例并获得了广泛认可。
二、行为管理及合规审计解决方案
经过十几年的高速发展,互联网应用已经渗透到社会生活的每一个角落,成为人们学习、工作、生活不可或缺的工具,成为企业高效运营、提高竞争力的基础平台。互联网的开放性、交互性、延伸性为人们快速获取知识、即时沟通以及跨地域交流提供了极大的便利;与此同时,互联网的便利性与虚拟性也成为各种不和谐行为滋生的温床,网络恶搞、诽谤中伤、侵犯隐私、色情泛滥等问题,就像打开了潘多拉盒子,越来越对国家安定、社会和谐、企业效率、青少年成长等提出了严峻的挑战。
在企业组织里,您是否对以下行为似曾相识,却苦无良策?
n 早晨上班,员工长时间沉溺于新闻浏览而不能尽快地投入工作;
n 您疑惑地看到员工专注地敲击键盘,希望他在努力工作,而不是沉迷于聊天;
n 您殚精竭虑制作的企业战略计划,竟然很快静静地摆在竞争对手的桌面;
n 公司已经在所有电脑安装了防病毒软件,可内网病毒依然泛滥,愈杀愈多;
n 您耗巨资购买的网络带宽,很快被非业务下载占满,核心业务却慢得无法忍受;
n 有过激的言论从您的企业网络发出,可是无法知道是何人所为,何时所为;
n 公司关于互联网访问的规章制度醒目地贴在墙上,却鲜有关注;
n 内网用户在工作PC上安装非法软件,却不能及时安装系统补丁和有效的杀毒软件;
n …
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,构成企业网络的边界防护屏障,能够有效地防护来自互联网的攻击,然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力,表现在:
n 安全事件频频发生
四通八达的网络,方便的不仅仅是正常业务的传输,恶意代码、病毒、蠕虫、间谍软件等等,也会搭乘“善良”的网页、Email、聊天工具、下载工具便车,悄悄侵入到网络的各个角落。防火墙无法有效过滤应用层的内容,不能阻挡这些网页的下载,而防病毒工具由于滞后效应,对于新的病毒以及恶意软件常常无能为力。由于员工不安全的互联网访问而造成的病毒传播与黑客入侵,已成为网络安全的最大黑洞。
n 工作效率低下
为了在日益激烈的竞争中获得优势,企业必须不断开发新产品,改善服务质量,提高工作效率,降低运营成本,但未加管理的互联网应用可能会大大降低员工的工作效率。据一项调查显示,普通企业员工每天的互联网访问活动中40%与工作无关,在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股、博客等无时无刻不在占用正常的工作时间。在高度网络化的现代办公环境里,办公室可能成为“舒适的网吧”,人力资源在无形中浪费巨大。
n 敏感信息泄露
电子邮件、MSN/QQ以及BBS论坛等网络应用,已经成为提高工作效率的工具,但如果不加监管,也可能成为泄密的工具。对于政府机关、上市公司以及知识敏感型企业,关键设计文档、软件源代码、市场销售计划等核心机密文档,可以通过电子邮件与在线聊天工具“轻易而快速”地传递到外部,给组织造成重大损失。
n 带宽资源浪费
据一项统计,在互联网活动未加管理的企业中,宝贵的带宽资源超过70%被文件、视频下载等占用,尽管带宽一扩再扩,却总是很快又拥挤不堪。这不仅造成带宽资源大量浪费,还使得企业正常业务得不到应有的带宽保证。由于缺乏有效的识别与控制手段,网络管理员往往不能及时地定位并管理下载源。
n 导致法律风险
互联网充斥着各种良莠不齐的信息,企业员工在获取有用信息的同时,也易被不良内容侵蚀。为了加强对互联网的控制和管理,国务院、人大常委会、公安部、信息产业部皆相继出台法律法规明文规定,接入互联网的单位和企业要采用相应的技术手段对互联网的使用进行控制和管理。对于互联网资源的非法访问,比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等,都会触犯相关法律,给企业带来法律风险。
对于网络的滥用,封堵还是放任?这是摆在企业管理者面前的一道难题。武断封堵,无疑是因噎废食。网康上网行为管理产品,提供灵活地策略管理,根据企业的个性需求量身定制,帮助企业“上好网,用好网”,实现企业安全、文明、健康、高效的网络环境。
网康互联网控制网关(NetentSec Internet Control Gateway,简称NS ICG)是北京网康科技有限公司推出的一款专业的上网行为管理产品,是面向企业用户的软硬件一体化的控制管理网关。它提供强大的网页过滤功能,屏蔽员工对非法网站的访问;提供基于时间、用户、应用的精细管理控制策略,控制员工在上班时间玩网络游戏、炒股、观看在线视频,以及无节制地网络聊天,从而保障工作效率;提供对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免企业机密信息泄露;此外,网康ICG还提供应用层的带宽管理功能,有效阻止、限制P2P等严重消耗带宽的应用,确保企业的核心业务带宽得以保障。
京公网安备11010802036662号
