深信服下一代防火墙NGAF_网页篡改防护解决方案.pdfVIP

网页篡改防护解决方案 一、应用背景 近年来，网站安全事件数量不断攀升，网站成为了主要目标，国家互联网应急中心 （CNCERT/CC ）《2011 年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%； 境内被篡改网站数量为36612 个，较2010 年增加5.1%；4 月-12 月被植入网站后门的境内 网站为12513 个。CNVD 接受的漏洞中，涉及网站相关的漏洞占22.7%，较2010 年大幅上升， 排名由第三位上升至第二位。 而网站安全问题进一步引发网站用户信息和数据的安全问题。2011 年底，CSDN、天涯 等网站发生用户泄露事件引起社会广泛关注，被公开的疑似泄露数据库26 个，涉及账号、 密码信息2.78 亿条，严重威胁互联网用户的合法权益和互联网安全。” 二、需求分析 网站是网络中被访问最多的一种服务，也是最容易遭受攻击的。网站直接代表着政府、 企业的形象，一旦页面被篡改，将导致企业、政府形象和无形资产的巨大损失。这种攻击方 式和攻击后果屡见不鲜。 根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层，2/3 的 Web 站 点都相当脆弱，易受攻击。而针对 web 的攻击往往隐藏在大量的正常访问业务行为中，导 致传统防火墙、入侵防御系统无法发现和阻止这些攻击。 即使部署了层层的应用安全防护设备，网页还是被篡改了！这是因为安全防护并不能百 分之百的确保所有攻击都被拦截，因为也不能确保网页不被篡改。聪明的黑客甚至会利用最 新的“0 ”day 漏洞获取服务器权限，篡改网页。 基于此类现象和问题，按照各行业对网站及发布业务安全性的要求，对于网站的安全防 护主要需要解决的问题和具备的防篡改措施如下： 1、具备防护篡改网站各类攻击的完整安全防御体系。包括针对 web 应用程序的 web 攻击；针对承载网站应用的发布服务器漏洞攻击、数据库应用的漏洞利用攻击等；针对网站 服务器群的系统漏洞利用攻击等攻击手段。防止网页篡改需要具备从网络到系统再到应用层 面的各类安全威胁的防护能力； 2、具备事后验证网页内容发布合法性的检查。一切发布于互联网或者内网用户的网页 内容需要经过篡改与否的合规性检验，防止绕过防御体系潜入网站篡改网页的风险和管理员 账号被窃取后正常发布的非法内容发布； 3、具备网站更新人员的强认证通道，也便于网站更新业务的正常运转。由于网站更新 人员和安全设备管理人员通常不会是同一个部门，为了方便网站更新业务的正常运转，需要 给网站内容维护人员一个专门的通道用于界定更新网站内容、界定网站内容是否为篡改行为。 同时为了增强该通道的安全性，需要增加强认证机制，比如短信认证、2 次认证等手段以保 证网站更新人员的合法性。 4 、具备篡改后应急处理机制。网页被篡改后，需要有良好的善后保障措施和业务承接 能力。以便于网站用户访问网站的连续性。 咨询电话：400-806-6868 深信服科技作为国内规模最大、创新能力最强的前沿网络设备供应商，旨在提供快速、智能 服务电话：400-630-6430 的应用交付网络解决方案，帮助商业用户提升带宽价值。 因此网页篡改防护需要能够提供动态防护L2-L7 层的攻击，被攻击了也有篡改判定机制 做到事后补偿的保护手段，确保网页不被篡改；同时需要具备篡改后应急响应的机制，即使 网页内容被篡改了也不会发布与众。 三、解决方案 深信服网页防篡改解决方案是网站的守护者，针对网站提供双重的防御体系。 深信服网页防篡改解决方案提供针对L2-L7 层网站攻击的完整安全防御能力。其攻击防 护部分功能解决方案解决了传统防火墙不能防护应用层