西宁市政府网络安全与网站防护解决方案

3745 Views

西宁市政府网络安全与网站防护解决方案》

1.概述

根据CNCERT/CC(国家互联网成急中心)2月份发布的统计报告,200911日至 31曰,我国大陆地区被篡改网站的数量为3792个,较200812月的1693个增长了124%

如果上面的数据,表达不了网站被攻击的严重性,那么,CNCERT/CC20087月 份的统计报告很说明问题,大约平均每5个政府网站,就奋一个网站被黑!而且,近年来站被篡改的数仍然以每年23倍的速度在断递增。

根据这些材料可以知道,站被篡改、被攻击的数婧是非常人的,并且递增的数也是比较快的。

西宁市政府站,在近期被黑客篡改页面的情况多有发生,即影响了政府形象,也给广大市民带来不便。怎样对政府网站进行安全防护,是市政府信息中心所血临的首要任务。

同时,政府现在有300多台计算机上网,虽然有网通、电信宽带接入互联网但由于各 种问题终端上网速度很多,每天网络中断两、三次,只能重新启动交换机、路由器才能重 新上,但过几个小时问题会再次出现,肀位络办公的环境也需要改造。

信息屮心要求在不改变现有网站的维护方式的前提下,对站进行安全防护,防止站再次被黑;在不改变现有上设置的情况下,改变整个络的上网环境、避免再次出现整 个络瘫痪。

经过实地考察,并与信息中心沟通,决定釆购两台华硕服务器、一套IS西宁Server防火 墙软件与Windows Server 2003,对现在络、站进行改造。其中一台服务器釆用华硕TS300-E5,配置2G 内存、单块SaTa硬盘4 个集成roadco C5721 PCI-E T;另一台服务器采用华硕TS700-E4,配置16G内存、14Intel处理器、6SaS硬 盘(其屮5块硬盘做RaID51块硬盘备用)、集成双千兆网卡、双电源。

2.政府络现状与用户需求:

西宁市信息屮心是正科级全额拨款事业单位,挂靠西宁市政府办公室负责全市信息化建 设的规划、指导和组织工作,主要承担全市电了政务的建设和管理工作。西宁市信息中心的内上接市委、市政府,下联市直迎_多个部门、10多个乡镇、经济技术开发区。

为方便市领异上互联网的需要,信息屮心还通过电信各申请了20互联网带宽, 通过双WAN路由器,实现通、电信双线路负载平衡。为了方便网上办公和上审批工 作,每个部门都建立了己的局邀网,全市办公内的微机保奋景约2000台以上,西宁市的 信息化应用水平在石家庄市各县市屮一直名列前茅。

前,西宁市政府信息化应用水平较高有办公自动化系统、政府站、市委网站、各个 乡镇、市机关站、互联审批、审计系统,这些系统分别运行在机房的多台服务器上。这 作服务器,有的是一碑品牌机服务器,有啤是组装的服务器,配置比较低、没有提供数据的冗余与备份功能,从长远角度来看,存在安全隐患。

从今年开始,政府站被黑客篡改首页多次,并且修改的次数越来越多、间隔越来越短。 每次黑客修改页后,只能通过窬份恢复,有的黑客叫网页中嵌入广告代码,信息屮心人员 只能一个一个页检杳、然后删除这些广告代码,给政府网站对外宣传带来了负面影响,也 给信息中心人员的管理人员带来了压力。

同时,随着近几年来,网上办公的兴起,政府楼内接入网络的计算机越来越多,另外,随着职丁使用计算机水平的提高,管理难度越来越大。这直接表现为许多人在上班时间聊天、 下载电影、玩游戏占用了络带宽导致上网越来越慢。在每天上网高峰的时期(上午10 点半左右、下午3点左右)络缓慢的几近打不幵网页,只能通过重新启动交换机、双WAN路由器的方式恢复网络连接^

另外,当每次火规模的病毒爆发时,例如以前的熊猫烧香病毒、冲击波病毒ARP 病毒,都会导致整个网络瘫痪。

市政府信息中心对外曲临政府网站被黑客攻布、修改页面,对内网临整个局域网,络速度缓慢、整个卑位办公用计算机经常感染木马、病毒需要重新安装系统等诸多压力,可 以说,整个网络安全状态己经到了不得不改的情况。

政府信息中心的需求上要包拈以下几个方面:保护政府站不被黑客入侵。

解决局域速度慢的问题。

解决整个网络经常感染木马、病毒的问题,西宁减轻信息中心人员负担。

3方案设计

在方案设计之前,需要详细的了解现奋络的状况。经过信息屮心人员进行介绍,并经 过实际考察,西宁市政府现有络的拓扑图,

1西宁市政府络拓扑

西宁市政府各有20光纤分别接电信、(现联通)访问Internet这两条光纤通过“光纤 收发器转成RJ45 线,接在一个双WAN的路由器上,用做代理服务器。该双WAN 口 路由器LAN P接到三层交换机上,三层交换机划分了多个VLAN,每个楼层属于一个 VLAN并且在每个楼层都有一个普通的交换机。政府网站与OA服务器在同一台服务器上, 直接接到三层交换机上。在双WAN 口路由器上映射了一个外网地址的TCP80端口到政 府网站与OA 服务器的IP地址(192.168.1.8)Internet上的用户通过政府网站域名 www.xx.gov.cn访问,政府内的人员都是直接使flj IP地址192.168.1.8访问政府网站信息 中心工作人员是使用192.168.1.8来访问与维护站、更新网站内容。

3.1网站频繁被黑的原因与解决对

经过分析,发现网站频繁被黑的原冈可能如下:

操作系漏洞:网站服务器的操作系统是Windows 2000 Server, id然现在Windows Server 2008经发布Windows Server 2003应用也很成熟,但由于各种原因,服务器操作

系统一直没有升级,另外,也没有及时的更新各种补丁。

数据库漏洞:数据库使用的是SQL Server 2000,同样,也没有打补丁。 网站代码漏洞:政府网站,是由信息屮心的人员,在2001年左右,在网上下载的代 码的基础上,修改成的。由于开始的时候,网站被攻市的事情很少发生,所以,信息屮心的人员忽视了这方面的情况。这些网站代码中,存在SQL Server注入漏洞、文件上传漏洞、 Shell漏洞等,而后台管理密码也是比较简单。

针对站被黑的原因后,酋先提出如下的解决方法: 及时更新操作系统补丁与数据库的补丁。

li介级操作系统与数掘库:由于icrosoft已经不对Windows 2000SQL Server提供 支持,建议将将Windows 2000 Server 升级到Windows Server 2003,SQL Server 2000 升级 到SQL Server 2005

修改网站代码避免SQL Server注入漏洞、文件上传漏洞与Shell漏洞。

虽然知道需要修改网站代码防止站被黑,但实际上,政府网站已经使用多年,短期内 对政府站做大的修改不咨易实现,只能通过其他的技术手段来保护站。考虑到政府网站

是在局域网内由信息中心人员维护的特点决定采如下的技术措施:

将政府网站分成两个相同的站点,一个站点用于对外发布,供市民、民通过Internet 浏览、杏看内容,另一个网站专门用于信息中心人员维护,该站只能通过内访问,这两个站使用同一个数扼挥。而发布到Internet上的网站,其釆用的SQL Server用户名密码只能浏览访问网站SQL Server数据库而用于内网维护的网站,其釆用的SQL Server用户 对政府站数据库有完全控制的权限。另外,在双WAN II路由器与三层交换机之间,增 加一级代理服务器,釆用IS西宁 Server做软件防火墙与代理服务器IS西宁 Server签名”等 功能,通过过滤关键字的功能,防止文件上传漏洞、Shell漏洞等。

3.2内网速度慢的原因与解决方法

对于局域内,计算机速度慢、络速度慢、经常感染病毒等问题,简单來说,如果升 级计算机的配罝、增加出带宽的速度,是可以解决问题。但是,这些都是不现实的,另外, 这也不是解决问题的根木方法,即使用这种方法解决了现在的问题,但过段时间,同样的问题仍然会继续。

在用户现场,经过进一步分析、调查与判断,得到如下的结果:

(1) 内存不足异致运行缓慢。

大多数的计算机内存都比较小,主要是256内存。而杀毒软件,大多数用户使用的 是瑞星不可否认,瑞星杀毒软件占的资源比较大,在现在主流操作系统是Windows XP SP2的怡况下,安装瑞里占用的资源相对比较大。在安装了操作系统、瑞星杀毒软件,与常 用的办公软件例如OfficeWPS后,系统内存占用的资源匕经到了170在打开页时,由于现在网页中图片、广告很大,IE浏览器少则会占用30多则占用几百甚至上G的内存当主机内存不够的情况下,会使用硬盘空间作为交换分区(虚拟内存), 这样就造成了计算机速度变慢。

(2) 病毒占用系统资源。

I午多计算机没有打补丁,在浏览一些页时,感染了木马或蠕虫病毒,有的计算机感 染了西宁RP病毒,所以在计算机启动的时候,这些木马或蠕虫,试图通过网络感染给其他计 算机、或者试图连接广告站点,占用了系统资源,这是计算机启动慢、反应慢的最主要原冈。

(3) 带宽被占拖慢速。

苹位提供4带宽,木来是为单位上(浏览网页)、收发邮件等正常办公使用,但近 一两年来,许多用户使用计算机水平越来越高,一些员工在工作时间看在线视频,或者玩游戏,使用讯雷或T下载电影,占用了大景的络带宽,而双W西宁N I I路由器没有流量监 控与流景控制功能。经过实际测试,在看新华的在线视频时,– •视频流就会占用800K 以上的带宽,理论上讲,只要单位中有20个人看新华的在线视频,就会占用整个20出 的带宽。这些是导致络速度变慢的最主要原冈。

对上述这些情况,可以通过打补丁、更新杀毒软件等方法解决,主要内稗如下:

(1) 使用微软免费产品WSS

使用icrosoft提供的专门用于企业用户的级服务器-WSS,统一为网络屮的计算机 补丁。采用WSS将原来每台工作站都需要访问Internet上的微软补丁站点的方法改为直接访问局域内的WSS服务器的方式获得补丁,即提高了更新补丁的速度,又节宵 了出带宽。例如Windows XF SP3补丁大约300,如果单位中的每台计算机都从crosoft升级服务器获得补丁并升级,以100台工作站为例计算,耑要下载 300xl00=30G,而釆用WSS,只崙要WSScrosoft升级服务器下载300补 丁,其他工作站直接从WSS即可获得补丁。

(2) 使用ISA Server禁止无序下载、限制每台计算机的并发连接数跫

在双WAN 路由器与三层交换机之间,增加ISA Server防火墙与代理服务器,使用ISA

Server,禁止职工在上班时间使用讯雷等软件无限下载软件、视频,并限制每个计算 机的并发连接数黛。

(3)采用占用资源较小的杀毒软件

络版杀毒软件太贵,可以购买支持局域升级的杀毒软件,例如以前的金山毒霸、江 民,现在的NOD32卡巴斯基。考虑到客户端计算机配置比较低,可以选择占用资源比较 低的NOD32这样,改进后的络拓扑。

3.3最终方案

在确定了网站防防护、内网安全与改造方案后,对这两个方案进行综合考虑同时,考 虑到原來的站与OA服务器,巳经使用多年也到了开级的时候WSSNOD32服 务器占用的资源并不是很多,单独放置在新买的服务器中,对服务器的资源是一种浪费。经 过多方面分析,我们推荐如下的综合解决方案.

1.

购置一台高配置的、具有磁盘冗余的服务器,采用虚拟化技术,在一台服务器上实 现两台虚拟机,其中一台虚拟机放置政府网站与OA站,另一台虚拟机放置WSS升级 服务器与NOD32服务器。

配置一台多卡的、安全稳定的服务器,添加在双WAN路由器与三层交换机之间, 安装ISA Server 2006软件,做防火墙 与代理服务器。

修改双WAN口路由器的LAN端地址,改为192.168.200. 而原来的192.168.250.1 用在新的ISA Server服务器接三层交 换 机的卡上IS西宁 Server服务器接双WAN I路由器 的卡设 置IP地址192.168.200.2/24。在双WAN I路由器上,设置TCP协议80端转发 给192.168.200.2,再由IS西宁 Server转发到政 府网站服务器192.168.1.8

2.

网络中的所有工作站,配置使用局域网内的WSS服务器进行补丁,统一卸 载以前的杀毒软件,改为统一使用NOD32,并指定从信息中心NOD32服务器进行升级。

3.

ISAServer上发布政府站,并对站进行保护。

(1)迁移网站到虚拟机1中,并将网站分成用于Internet发布的外网网站、用于内网管理 的网站。

在方案实施屮将详细介绍每一个细节。这是络最终的拓扑。

3.4方案特色

由于选择了高配置的华硕服务器,以及使用VwAre ESX Server虚拟化产品以后再 需要其他服务器时,不需要再购置新的硬件,只需要在VwAre ESX Servei中创建新的虚 拟机即可以满足应用。在木次方案中,配置的华硕TS-700高配置服务器,可以同时运行816台虚拟机,足可以满足现在以及将来一段时间的需求。同时,在采用虚拟化技术后减 少了服务器的购置需求,并减少了服务器在以后运行屮的耗电,近一步降低了产品的使用费用,符合绿色环保、节能的需求。

4方案实施

在硬件、软件到位后,开始对西宁市政府络进行改造,在改造的过程屮,会屮断络, 为了不影响人家工作,建议在休息时间,例如周六或周整个网络改造包拈网络硬件的安装、调试与服务器的安装调试,大约需要1天的时间。方案的实施步骤如下:

4.1在双WAN 路由器与三层交换机之间增加ISA Server防火墙

在新购置的华硕TS-500服务器上安装32位的Windows Server 2003企业版与ISA Server 2006标准版并接在双WAN 路由器与三层交换机之间,相当于在整个络屮,增加一个 软件防火墙,然后修改配置双WAN 路由器的配置,并转发TCP80端到ISAServer再由ISA Server转发到政府网站服务器。主要步骤如下:

(1) 安装32位的Windows Server2003企业版在安装的过程中,将硬盘划分为3个分 区。分区按照2: 3 2的比例。安装系统后,安装驱动程序。

(2) 配置双WAN 口路由器,将LAN 口的IP地址由192.168.250.1 修改为192.168.200.1/24, 并转发TCP80端口到192.168.200.2o并添加到192.168.0.0/18的静态路由,指向 192.168.200.2

⑶将服务器接入络,其中一块卡接到双WAN I」路由器的LAN I 1(代替原来接三层 交换机的端丨丨),设置这块网卡的名称为“Internet”设置IP地址为192.168.200.2/28, 关地 址为192.168.200.1。设置另一块的地址为192.168.250.1/24(>(〈设置关地址)将这块卡连 接到三层交换机原來接双WAN 路由器的端,命名这块卡为LAN配置好后,使用 Ping命令,检查网络的连接是否正确,无误之后,在命令提示符下键入如下的命令,以增 加到192.168.0.0192.168.63.0/24 的路由:

rote Add -p 192.168.0.0 Ask 255.255.192.0 192.168.250.2

⑷安装ISA Server 2006,并将ISA Server 2006安装在第2R安装完成后,配置ISA Server2006,其内网地址是192.168.0.0192.168.63.0/24192.168.250.0/24192.168.200.0/24

网段。

(5)配置ISA Server 2006,允许内网访问外网此时,局域网内的计算机应该可以访问外


我国网站的安全题十分严重,大景站被黑客入侵和篡改,甚至被植入木马攻击程序,成 为黑客的得力工具。利用网站操纵系统的漏洞和WE服务程序的SQL注入漏洞等,黑客 能够得到We服务器的控制权限,轻则篡改页内咨,重则窃取重要内部数据,更为严峻 的则是在页中植入恶怠代码(俗称网页挂马”),使得更多网站访问者受到侵害。

CNCERT/CC处理的安全事件屮,涉及国外贸易机构的站逑设仿冒类車件,以及海 内政府机构和重要信息系统部分的网页篡改类事件的数最多。屮国人陆被篡改站的数近年来增长迅猛,仅仅20095月,CNCERT/CC监测到中国人陆被篡改站总数祟积达 3854个,较上月增加629个,20091月至5月监测数据表明还在迅速增加。

门户网站风险隐患分析

要芬求一个综合全面的解决方案,首先我们先来看看门户站存在哪些风险隐患,从已 有的数据分析来看门户的网站在所有篡改站中呈现出几大特点:

从技术角度来看,存在以下几个特点.

1、网上应用的增多,安全隐患(薄弱环节)逐步上升,尤其是代码类安全隐患,这也 是遭到攻市的最主要原冈;

2、针对门户站的攻缶手段迅速发展,且攻市不易被发现的特点,使得站攻击成为 仅次于排名首位的病毒危害;

从其他角度来看,还存在以下特点:

1、受攻击后影响较大,海内外敌对势力的恶意破坏始终没有终止过,此外,政府门户 被攻陷也经常成为黑客攻击夸耀的资木;

2、此外,躲藏在攻击背后的较人的经济利益链驱动如在政府门户上恶怠代码攻击(如, 挂马攻卅,不轻易被发现)也成为攻击的主要原因;

3、众多门户网站安全防护往往得+到足够的正视,防护意识严峻不足,侥幸心理因素 也造成站安全防护不及时,造成被攻击数目迅速上升;

以上特点屮其屮,经济利益的驱动发展较为迅速,人景盗取私家银行账号信息和各类上密码黑客广撒的攻市方式对政府网站尤其靑睞,贸易性站冈为其经营性特点,对安 全防护方面往往投入较人精力,防护方而往往做得相对较好

站内容鉍制轻易,转载速度快,后果难以预料,页假如被篡改,将直接危害该站 的利益尤其是门户网站作为政府发布重要新闻、重大方针政策、法规、企业信息等的重要渠道,一且被黑客篡改,将严峻损害政府的形象,破坏群众对政府部分的信任,后果+堪设 想。假如没有坚同的安全体系和有效的事件响应能力,无异于将重要信息暴露于外。由此看来,络安全题已成为政府网站建设的一项重要内容。

解决方案部署

部署策略:

全面安全防护网页保护防篡改系统(具备防SQL注入、跨站脚木等攻击模块

页综合威胁检测系统

部署产品:

WeGArd 页防篡改保护系统

WeGrAd 页防篡改保护系统釆用y前最提高前辈的系统驱动级文件保护技术,基于事件触发式监测机制,高效实现了网页监测与防护功能,彻底杜绝了网站被非法篡改的可能。 其机能、灵活性以及安全性远远高于传统类防护技术,支持各类网页格局,占用系统资源极少,低于2%,无需增加额外设备,+改变现有络架构。该系统还支持页的&动发布功 能和多种远程治理等功能,WeGArd已经成为前海内政府、各企事业爷位网站防篡改保 护的首选安全产品。自2006年推出以来迅速得到一线用户的支持和信赖,于2008年度获得 管员最喜爱的页防护系统奖,2009年获得锒值得信赖品牌奖,并于20094月成 功“中心政府釆购2009年协议供货入围(通用软件组网络治理类软件智忸同盟)。该系统 在奥运期间及神七发射期间为泛博政府机构成功保驾护航,抵抗住数以千计的黑客攻击。

传统的页保护技术有基于轮询检测检测技术、内嵌技术、車件触发机制等,大景实践 表明,轮询检测技术检测效率较低,对服务器负载以及带宽资源消耗较大,而且小能完全杜绝短时间泛起外部访问到非法篡改后的站,是第一代页防篡改技术在过去带宽资源相 对不丰硕,应用系统对系统成用资源较少的情况下使用,但不能实时对网页进行恢复,往往 比较滞后;跟着技术发展,站上运行的芥类应用逐渐增多,服务器负载将是页防篡改技 术面对的最火挑战,内嵌技术的应用在一定程度上降低了篡改的几率,但其部署方式较为复 杂,加密箅法的选择严峻影响到了服务器的负载,而且时常会泛起大景页外部不可访问的 状况,这属于第二代监测技术;基于來件触发机制被大量事实证实是服务器的负载最小的种检测技术,简朴,成熟,可靠,已经成为前最上流的检测技术,结合事件触发机制的基 于文件过滤驱动级多因子检测技术是第三代全新防篡改技术,通过文件底层驱动技术从根木 上解决了文件检测的正确度,以及针对子文件夹的保护,程序后台运行监测程序一曰.发现 文件变化,则立刻阻止非法变更企图,效率和安全性都得到了较好的保证,对人中型网站均 可以起到很好的保护效果^

网站啄木鸟WePecker) –站整体威胁检测系统

站啄木鸟是北智同盟科技有限公司技术研究团队多年深入研究当前各类流行 We攻击手段(如页挂马攻击、SQL注入漏洞、跨站脚本攻击等)的经验结晶。该系统是1=1前海内最平的一款贸易化We安全检杳系统通过木地检测技术与远程检测技术相结 合,对网站进行全面的、深入的、彻底的风险评估,综合性的规则库木地漏洞库西宁ctiveX 库、页木马库、网站代码审计规则库等)以及业界最为领先的智能化爬虫技术及SQL注 入状态检测技术,使得比拟海内外同类产品智能化程度高,速度快,误报率极低。

经由数百个用户的实践证实,网站啄木鸟We安全性价比最高的产品,比拟国外的We安全扫描产品來说,速度快具袼紧密跟踪海内最新页木马的快速响)V:及更新能 力;比拟海内的We安全扫描产品来说,功能多、结果准,该系统是我国等级保护测评以及站安全保密检杏必备软件系统。

站安全性检测传统的方法往往依赖渗透渗出测试黑筘、白筘和灰筘测试),这往往 局限于测试职员的技术水准高低。前,大多是釆用一系列已知攻击手段进行手工检测,且 工作景巨大,因为时间关系以及各类站系统的复杂性祝度不同,通常得不到真正有效的评 估,海内能从事此类丁作的技术职员往往较少,用户终极得到的评估讲演往往仅是找到几个系统己知漏洞、某个注入点或者跨站脚木攻击漏洞等常规漏洞。闪为评估职员的知识局限 性使得整体评估不够全面,且深度不记。

网站的用逐步增多,更新较快,每隔一段时间应做一次全面检测,若釆用传统渗透渗出测试方法,花费昂贵,且往往得+到真正意义上的风 险讲演。

WePecker系统具备以下儿个功能:

(1)网站木马检测,主要是对站或网页中是否存在木马检测;

(2)SQL注入检测,主要检测网站是否存在SQL注入漏洞,当发现奋注入漏洞时,并进 行SQL注入验证;

(3)跨站脚木攻击检测,针对问站屮所有网页进行跨站漏洞扫描;

(4)检测网站的治理后门漏洞;

(5)对网站屮包含的敏感信息进行扫描,防止重要的信息泄露或非法言论通过站进行 传播;

核心技术上风:

(1)SQL注入页抓取

WePecker的网页抓取模块釆用广度优先爬虫技术以及t)录还原技术。广度优先的 爬虫技术的不会产生爬虫陷入的题y,网站录还原技术则去除了无关结果,进步抓取效率。

(2)SQL注入状态扫描技术非错误检测

WePecker 同于传统的针对错误反馈判定是否存在注入漏洞的方式,而采用自主立异的状态检测来判定。所谓状态检测,针对某一链接输入+同的参数,通过对站反馈的 结果使用向景比较算法进行比对判定,从而确定该链接是否为注入点,此方法不依靠于特定 的数据库类型、设置以及CGI语言的种类,对于注入点检测全面,不会产生漏报现象。而 常见的SQL注入扫描产品均不具备此项技术。

(3)注入验证基于注入状态

WePecker采用状态检测来对数据库的数椐进行猜解,不管网站采用什么CGI语言,不 管站是否反馈错误信息都能进行正常的猜解,而常见的SQL注入扫描产品均不具备此项技术。

如未说明则本站原创,转载请注明出处:NULL » 西宁市政府网络安全与网站防护解决方案

相关文章