政府解決方案
政府機(jī)關電(diàn)子政務網站安全防護解決方案
行業(yè)痛點及需求

2017年(nián)12月(yuè)全國(guó)人大常委會(huì)執法檢查組關于檢查《網絡安全法》、《關于加強網絡信息保護的決定》實施情況的報(bào)告,提請十二屆全國(guó)人大常委會(huì)第三十一(yī)次會(huì)議審議。為(wèi)了解網絡運行情況,執法檢查組委托中國(guó)信息安全測評中心對随機(jī)選取的120個(gè)關鍵信息基礎設施(60個(gè)門(mén)戶網站和60個(gè)業(yè)務系統)進行了遠(yuǎn)程滲透測試和漏洞掃描。

報(bào)告顯示,本次遠(yuǎn)程測試的120個(gè)關鍵信息基礎設施中,共存在30個(gè)安全漏洞,包括高(gāo)危漏洞13個(gè),其中某省級部門(mén)互聯網監管綜合平台存在越權上(shàng)傳、越權下(xià)載、越權删除文件(jiàn)等3個(gè)高(gāo)危漏洞,嚴重威脅了系統及服務器(qì)安全,也存在嚴重的用戶信息洩露風險。遠(yuǎn)程檢測還(hái)發現,多(duō)個(gè)設區的市(shì)政府門(mén)戶網站存在頁面被篡改風險。


公安部82号令第七條明文規定,聯網服務提供者和聯網使用單位應當落實以下(xià)互聯網安全保護技(jì)術(shù)措施:

1. 防範計算(suàn)機(jī)病毒、網絡入侵和攻擊破壞等危害網絡安全事(shì)項或者行為(wèi)的技(jì)術(shù)措施;

2. 重要數據庫和系統主要設備的冗災備份措施;

3. 記錄并留存用戶登錄和退出時間、主叫号碼、賬号、互聯網地址或域名、系統維護日志(zhì)的技(jì)術(shù)措施;

4. 法律、法規和規章規定應當落實的其他安全保護技(jì)術(shù)措施。

根據IDC的統計當前網絡上(shàng)75%的攻擊是針對Web應用的。Web應用的日益增多(duō),Web濫用、病毒泛濫和黑(hēi)客攻擊等安全問題頻頻發生(shēng),導緻Web應用被篡改、數據被竊取或丢失。

政府機(jī)關單位面臨的Web安全攻擊主要有以下(xià)幾種:

1. SQL注入;

3. 跨站XSS;

3. 目錄遍曆;

4. 網頁篡改;

5. 敏感數據洩露。

我們的方案


傳統的網絡邊界防護産品,防火牆、IPS隻針對IP、端口服務和單次的流量分析,無法跟蹤用戶活動和完整的會(huì)話流量,一(yī)般的WAF基于特征庫防護,容易被繞過,刷庫行為(wèi)屢見(jiàn)不鮮。

帕拉迪下(xià)一(yī)代WEB應用防火牆(簡稱NGWAF)是杭州樂桦網絡科技有限公司自(zì)行研制開(kāi)發的新一(yī)代數據防護系統。NGWAF通(tōng)過對WEB應用和内容訪問能(néng)夠精确識别,具備完整安全防護能(néng)力、分析和識别。實時監視記錄運行狀态,多(duō)種訪問WEB業(yè)務的行為(wèi),實時發現對業(yè)務異常訪問情況,并進行及時的阻斷。 通(tōng)過獨有的Web應用網頁的自(zì)動學習功能(néng)也就(jiù)是白(bái)名單建模,為(wèi)客戶業(yè)務系統量身定做,隻有符合白(bái)名單的訪問流量才能(néng)被放(fàng)行學習并了解客戶的業(yè)務,細粒度到(dào)參數内容的建模,有效減少誤報(bào)問題和徹底解決解決漏報(bào),構建絕對的業(yè)務安全體系。

NGWAF基于成熟的技(jì)術(shù),采用模塊化設計和高(gāo)效數據處理理念。能(néng)滿足各種大流量、高(gāo)并發WEB業(yè)務系統的需求,支持串聯和旁路(lù)部署,支持100%的阻斷,高(gāo)性能(néng)、低(dī)延遲,發生(shēng)故障後可以自(zì)動觸發Bypsss。而反向代理模式部署不需要改變網絡拓撲支持100%的阻斷,并且能(néng)夠支持集群環境下(xià)實現負載均衡,可以适應各種網絡環境。


部署方式

客戶收益
網站訪問控制

針對某些Web網站的部分路(lù)徑隻允許某些IP訪問,某些路(lù)徑不受訪問IP限制的用戶場景,NGWAF通(tōng)過顯式配置隻允許指定的主機(jī)名訪問,從(cóng)安全策略配置層面避免了這一(yī)隐患引發的權限濫用,訪問控制更加嚴格。

網頁篡改在線防護

實時過濾HTTP請求中混雜(zá)的網頁篡改攻擊流量(如SQL注入、XSS等)。事(shì)後,自(zì)動監控網站所有需保護頁面的完整性,檢測到(dào)網頁被篡改,及時阻斷,對外仍顯示篡改前的正常頁面,用戶可正常訪問網站。

網頁挂馬在線防護

當用戶請求訪問某一(yī)個(gè)頁面時,帕拉迪NGWAF會(huì)對服務器(qì)側響應的網頁内容進行在線檢測,判斷是否被植入惡意代碼,并對惡意代碼進行自(zì)動過濾,還(hái)可以防護敏感信息洩漏等各種針對WEB應用發起的攻擊訪問。

法律責任規避

滿足合規性要求。

經典案例
  • 武漢地稅
  • 晉城(chéng)财政
  • 四川農信
  • 陝西(xī)地稅
  • 深圳統計局
  • 人力社保保障部
  • 鄭州市(shì)審計局
  • 雲南(nán)交通(tōng)運輸廳
  • 廈門(mén)海關
  • 廣州市(shì)海事(shì)局
Copyright © 2019 All Rights Reserved Designed
杭州樂桦網絡科技有限公司