一、应用背景

　　为响应中网办第1号文—《关于加强党政军机关网站安全管理的通知》，各地党政机关单位开始加强对于网站的安全管理，旨在提高党政机关网站安全防护水平，保障和促进党政机关网站建设。保障党政机关网站安全是各部门信息安全建设的核心要求，是各地电子政务建设的重要组成部分，作为当地党政机关面向社会的窗口，是公众与党政机关互动的重要渠道。其安全性不容小视。随着党政机关网站承载的业务不断增加，涉及政务信息、商业机密和个人信息的内容越来越多，党政机关网站及电子邮件系统日益成为不法分子和各种犯罪组织的重点攻击对象，安全管理面临更大的挑战。

　　二、需求分析

　　党政机关网站包含Web服务器、存储服务器、数据库服务器等多种类型的业务服务器，向internet、intranet等多个区域提供服务，党政机关网站要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而传统的安全隔离形式仅仅是通过vlan、ACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段，从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成众多泄露事件的原因之一。目前党政机关网站可能面临的攻击结果有以下几种：

　　一、网页篡改问题

　　网页篡改是指攻击者利用Web应用程序漏洞将正常的网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响，但对于党政机关网站，需要与用户通过网站进行沟通的应用而言，就意味着党政机关服务将被迫停止服务，对党政机关形象及信誉会造成严重的损害。

　　二、网页挂马问题

　　网页挂马也是利用Web攻击造成的一种网页篡改的安全问题，相对而言这种问题会比较隐蔽，但本质上这种方式也破坏了网页的完整性。网页挂马会导致Web业务的最终用户成为受害者，成为攻击者的帮凶或者造成自身的损失。这种问题出现在党政机关网站中也严重影响网站的正常运作并影响到党政机关单位的公信度。

　　三、敏感信息泄漏问题

　　这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于党政机关网站而言是致命的打击，可产生巨大的不良影响。

　　四、无法响应正常服务的问题

　　黑客通过DOS/DDOS拒绝服务攻击使党政机关网站无法响应正常请求。这种攻击行为使得Web服务器充斥大量要求回复的信息，严重消耗网络系统资源，导致党政机关网站无法响应正常的服务请求。对于党政机关网站而言是巨大的威胁。

　　五、新站点新增栏目安全评估问题

　　网站系统与其他C/S系统不同的是网站更新周期非常频繁，由于新站点、新增栏目导致的网站安全问题屡见不鲜。如何保证党政网站新增站点、新增栏目由于快速更新导致的网站漏洞问题也是需要党政机关通过持续跟进来解决的。如何平衡新增站点新增栏目要求的时效性和安全性是党政机关网站实现快速更新面临的巨大挑战。

　　六、网站内容发布合规性问题

　　网站作为党政机关加强对外开放、公众互动的平台，其发布内容的严谨性非常关键。近期，越来越多的不法组织利用网站安全管理的脆弱性，在众多的网站上发布不良信息及谣言，发布误导民众的言论。这对于党政机关而言是决不允许的，这些言论往往给党政机关造成很大的负面影响，而影响一旦造成需要花费大量的精力进行辟谣。这与网站本身的作用完全不符，反而起到了反作用。如何保证网站内容发布合规性，是党政机关舆情监控、舆情处理的重要工作内容。

　　七、其他对外发布系统的安全隐患

　　与网站一同部署在党政机关对外发布区域的系统还包括邮件系统，其安全性的保障体系往往落后于网站本身。但邮件系统的漏洞被攻击同样会导致党政机关的信息安全问题，甚至可能被利用成跳板转而攻击到网站。另外用户本身使用邮件系统往往使用惯用密码账号或者简单的账号密码，安全意识上的疏忽会使得黑客更容易利用这些薄弱环节。比如使用CSDN已暴露的账号密码信息对邮件系统进行“撞库”，使得邮件系统的权限容易被黑客获取。为了避免此类隐患务必加强邮件系统的安全防护和弱密码评估的技术手段。

　　三、解决方案

　　铭冠科技提供深信服党政机关网站一站式完整安全解决方案，同时配合党政机关对于网站发布内容进行控制。

　　通过部署铭冠科技深信服下一代防火墙NGAF，可实现业务服务器的业务逻辑隔离，核心业务带宽保障、防止网络层、应用层安全威胁在数据中心内扩散。

　　铭冠科技深信服下一代防火墙NGAF的部署可以从从攻击源头上防护导致党政机关网站的各类网络/应用层安全威胁;同时深信服下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。

　　铭冠科技深信服上网行为管理AC的部署可实现对网站发布内容进行合规性检测并制定过滤策略防止不法分子利用网站平台宣传不良信息。

　　1、NGAF通过访问控制策略ACL可实现Web服务器区、数据库服务器区、DMZ等区域的网络安全域划分，阻断各个区域间的网络通信，防止威胁扩散，防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题;

　　2、NGAF通过服务器防护功能模块的开启，可实现对各个区域(尤其是DMZ区)的Web服务器、数据库服务器、邮件服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利，使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题，为网站及邮件系统提供一站式安全防护;

　　3、NGAF通过风险评估模块对新增栏目、新增站点进行安全体检，协助新栏目、新站点的快速安全检查与快速上线。并能通过一键策略部署的功能开启IPS、WAF模块的对应策略，可帮助管理员的实现针对性的策略配置;

　　4、利用NGAF入侵防御模块可实现对各类web服务器邮件服务器的操作系统漏洞(如：winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护，防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;

　　5、通过NGAF服务器僵尸网络检测与沙箱技术的功能的部署能够实时对外发流量进行检测，协助用户定位内网被黑客控制的服务器。该功能融合了僵尸网络识别库，利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过15万条，并由深信服攻防团队实时更新;

　　6、NGAF DDOS/DOS攻击防护模块可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题;

　　7、通过业务安全可视化报表的呈现，客户可从业务和用户两个维度对网络中的安全状况进行整体分析，按照受攻击类型、漏洞类型和威胁类型进行统计分析，并根据每个业务对应的服务器IP进行针对性的安全分析，提供相应的服务安全说明，使得报表的可读性更高，方便用户从报告中分析出下一步的安全加固策略;

　　8、弱密码评估功能的应用，可以帮助管理员对邮件系统、数据库系统、FTP等系统进行弱密码检查，防止由于密码过于简单、空口令等风险导致党政机关网站被黑客利用的风险。

　　9、通过上网行为管理，可对网站发布内容进行合规性审计，制定关键字过滤的安全策略，防止网站上出现不良信息。可达到加强网站留言评论等互动栏目管理，对发布内容进行审查，确保网站发布内容不涉及国家秘密和内部敏感信息的安全管理目的。

　　四、方案价值

　　铭冠科技深信服党政机关网站安全“一站式“解决方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套安全防护解决方案。该方案有效的弥补了传统安全解决方案在Web业务安全防护能力的不足：

　　网站上线前，可快速的进行风险扫描，帮助用户快速定位安全风险并智能更新防护策略;

　　网站运行时，有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;同时对服务器外发内容进行安全检测，防止攻击绕过安全防护体系，对Web业务产生的网站篡改、数据泄漏问题。

　　同时该方案从简化组网、方便运维、最优投资的用户角度出发，可为党政机关网站打造L2-L7层的安全防护体系构架，实现完整的安全防护，同时在可用性、可靠性上采用了深信服特有的先进技术党政机关网站的正常稳定运行，打造一个“安全”、“可靠”、“高效”的“一站式“党政机关网站安全解决方案。

　　铭冠科技专注网络安全近十年，希望测试或购买的用户，敬请联系铭冠科技!

　　[产品型号] ： 铭冠科技深信服党政机关网站安全一站式解决方案

　　[销售价格] ： 面议

　　[公司名称] ： 广州铭冠信息科技有限公司

　　[公司地址] ： 广州市天河软件园建业路华翠街68号202E

　　[联系电话] ： 020-85546375/85548284/13560355825

　　[联 系 人]： 叶先生 sales@gzmcrown.com