研究分析政府网站综合防护系统各个方面

一、引言

（一）政府网站安全现状

政府和重要行业网站系统面向社会公众提供网络信息服务和基础社会服务，容易成为黑客及境外敌对组织的攻击目标。2016年12月，《互联网安全威胁报告》发布境内被篡改政府网站116个，境内被植入页面数量为126个，针对境内网站的仿冒页面数量为7904个，绝大多数页面仿冒我国金融机构和社会机构。从网站漏洞类型上看，异常页面导致服务器物理路径泄露、跨站脚本攻击（xss）漏洞、sql注入漏洞等是检测出数量最多的漏洞类型。另外，网站作为apt攻击入口造成了数据大量泄露，重要服务器被控，内网遭到渗透，重要行业信息系统遭到有组织、有预谋的网络攻击屡见不鲜。因此，加强重要行业信息系统的安全防护措施，全面做好网站安全建设，是我国信息安全行业的当务之急。

（二）传统安全防御优缺点分析

目前，政府网站安全防护方法主要包括硬件waf防护方式、软件防护法和域名导流法从上述的三种防护方式的对比来看，硬件waf方式不支持加密协议，同时更新防护规则困难;域名导流的防护方式必须基于域名，如果黑客直接攻击网站ip，则域名导流的防护失效;软件防护方式的防护能力最强，但应对流量攻击时比较困难。总的来说，当前国内网站的安全基本上都是基于上述三种方式进行防护的，但考虑到政府网站普遍为高带宽、低访问量，同时前端部署有大量安全防护设备的应用场景，软件防护方式成为更好的防护选择。

本文提出的政府网站综合防护系统（以下简称网防g01）采用网站集群，云平台管理模式，对网站的服务器进行后台统一集中管理，以及防止网站后台暴力猜测，这样就解决传统防护模式下部署困难、防护机制存在绕过漏洞，以及安装复杂的部署才能对操作系统行为、web中间件状态和用户访问过程监测的传统防护方式缺陷。

二、技术方案及整体架构

（一）网防g01技术方案

网防g01以解决网站系统在各个数据处理单元的安全风险为目标，通过软件防护的模式，在主机上采用纵深防御的思想，从操作系统加固、web中间件防护、网站内容保护、网络流量防护、全局安全态势感知等多个维度进行设计，实现了一个一站式、立体化纵深防御体系的网站安全防护平台。

1.操作系统加固

运用操作系统内核编程技术，对服务器操作系统安全涉及的控制点，如身份鉴别、敏感标记、强制访问控制、安全审计、剩余信息保护、入侵防范和资源控制等，进行改造和重写，解决操作系统层面面临的恶意代码执行、越权访问、数据泄露的问题，对操作系统核心资源，如注册表、网络连接、系统文件、进程等资源进行有效防护。通过操作系统安全加固，可实现的防护功能有：

（1）安全管理。禁止将非管理员组账户添加到管理员组;禁止在系统目录下对可执行类型文件进行写操作;禁止修改host文件;禁止添加启动项;禁止磁盘低级操作;禁止加载没有数字签名的驱动。

（2）登录防护。针对windows及linux操作系统的远程登录进行限制及防护，用户可对用户名、ip地址范围、时间范围进行具体设置，并通过选择允许登录、禁止登录等相应的处理方式进行防护。

（3）网站权限控制。可限制web服务器对系统资源的访问能力，以降低网页木马等恶意代码对系统安全的威胁。它通过限制web服务器进程的某些危险操作，禁止web服务器执行某些系统命令，达到对系统资源的访问控制。

（4）重启系统和网站。可对受保护的网站服务器系统进行重启操作，同时，可对网站服务器的iis或apache服务进行重启操作。

2.web中件间防护