第一方面：政策導向

政策導向一：中華人民共和國公安部令-第82號

政策原文：開辦門戶網站、新聞網站、電子商務網站的，能夠防范網站攻擊、網頁被篡改，被篡改后能夠自動恢復；

政策導向二：國務院辦公廳關于進一步加強政府網站管理工作的通知

政策原文：網站安全防范工作是否到位，是否采取了防攻擊、防篡改、防病毒等安全防護措施，并制訂了應急處置預案；；

政策導向三：工信部會議

2012年8月7日，工信部在北京召開了學習《國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知》的有關會議。各省、各市的測評中心都在對政府單位網絡安全進行安全設備檢查，重點檢查是網站防篡改軟件是否安裝，保證“黨的十八大”期間，政府網站不被篡改，保證政府形象不受損失。

第二方面：網站安全風險導向

門戶類網站成為黑客主要攻擊目標，安全漏洞及配置問題，而引發(fā)網頁信息被篡改、入侵等安全事件屢見不鮮。

1. 門戶網站程序設計存在的安全問題，網站程序設計者在編寫時，對相關的安全問題沒有做適當的處理，存在安全隱患，如SQL注入，上傳漏洞，腳本跨站執(zhí)行等，網站遭到掃描器頻繁掃描，網站漏洞泄密。

2. 網站訪問量巨大，需要多臺網站服務器對流量分擔，雙機部署支持對多臺流量分攤服務器進行均衡保護

3. 門戶網站是政府的形象，是政府對大眾宣傳的窗口，維護政府形象，保證網站真實性。

4. 根據等保要求，政府門戶網站必須設置主服務和備份服務器進行異地網站備份。如果對異地網站進行網站防護聯動
北京網站建設針對門戶類網站因需要被公眾訪問而暴露于因特網上，容易成為黑客的攻擊目標。其中，黑客和不法分子對網站的網頁(主頁)內容的篡改是時常發(fā)生的，而這類事件對公眾產生的負面影響又是非常嚴重的，即：形象受損、信息傳達失準，甚至可能引發(fā)信息泄密等安全事件。網頁篡改者利用操作系統(tǒng)的漏洞和管理的缺陷進行攻擊，而目前大量的安全措施(如安裝防火墻、入侵檢測)集中在網絡層上，它們無法有效阻止網頁篡改事件發(fā)生。

政協(xié)網站是政府對大眾的重要宣傳媒體之一，政協(xié)網站訪問量巨大，網站在架構的時候使用了集群網站開發(fā)，使用負載均衡設備進行流量分攤，近期2013年兩會的召開，正是政府領導班子換屆之時，不管中國大眾老百姓、還是全世界各大媒體都聚焦在兩會上，對于黑客或一些恐怖份子，政協(xié)網站的攻擊是揚名立萬的快速途徑之一

政協(xié)門戶網站防護解決方案
根據這個現狀可以看出，DMZ出口根本沒有任何安全設備，內部的負載均衡器只能針對大量訪問時，進行對訪問流量的分攤，當出現大量訪問攻擊或是SQL注入、XSS跨站腳本攻擊時，任何的流量分攤都不復存在。

在整個網絡出口會有傳統(tǒng)防火墻，傳統(tǒng)防火墻主要針對網絡層進行安全過濾，針對應用層的攻擊防護是少之又少，主要是針對HTTP協(xié)議中的SQL欺騙、信息欺騙等攻擊方式，傳統(tǒng)防火墻對之是束手無策。

網站的內容是大眾了解兩會重要渠道之一，保證網站內容不被篡改，維護政府形象窗口，不管是傳統(tǒng)防火墻還是IPS、IDS等傳統(tǒng)安全設備是愛莫能助。

針對政協(xié)網站目前存在的安全問題，我們建議采用專業(yè)的安全方案來解決。采用Web應用防火墻和網頁防篡改系統(tǒng)來確保網站不再黑客攻擊和篡改的問題。

在此我們建議可采用網神綜合的、專業(yè)的WEB安全防護系統(tǒng)來作為本次安全解決方案的主打產品。網神SecWAF 3600 Web應用防火墻采用業(yè)界獨一無二的軟硬件相結合的方式進行網站防護，硬件針對黑客的大流量攻擊進行有效過濾，軟件針對網站的真實性進行實時監(jiān)控，保證網站不被篡改。具體部署方式如下圖所示：


1、滿足政府網站建設合規(guī)性

滿足及符合中華人民共和國公安部令-第82號及國務院辦公廳關于進一步加強政府網站管理工作的通知相關政府網站建設要求。

2、軟硬防護相結合，打破傳統(tǒng)防御理念

在本次方案中我們建議在負載均衡后面的兩條鏈路中，各放一臺Web應用防火墻進行分流保護。使用雙機進行分流保護，可以針對大流量攻擊或訪問進行“削峰填谷”的作用。使用網神推出的“事前掃描、事中防護、事后彌補”的一體化解決方案。事前，SecWAF提供Web安全評估，檢測Web應用程序是否存在SQL注入、跨站腳本漏洞。事中，對黑客入侵行為、SQL注入/跨站腳本等各類Web應用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后，針對當前的安全熱點問題，網頁篡改及網頁掛馬，提供診斷功能，降低安全風險，維護網站的公信度。

3、探查網站安全遺漏

網神SecWAF 3600 Web應用防護墻集成了Web掃描器功能，可以在前期對客戶網站進行一次整體性的評估，評估我們的網站研發(fā)人員在編寫代碼時，出現了哪些安全疏忽，評估出安全疏忽，才可以針對疏忽進行安全防護。

4、智能分析防護、降低誤判，減少負面影響

網神自主開發(fā)的主動防御功能，智能針對攻擊進行檢測，減少誤判率，減少正常訪問被攔截造成負面影響，針對黑客進行掃描器或爬蟲進行漏洞巡查進行有效攔截，保證黑客無法查找到任何安全漏洞，讓黑客對網站攻擊無從下手，隱藏網站漏洞，偽裝網站，提高網站性。

主動防御會對流量進行三分鐘檢測機制，當被判定為攻擊后，會在三分鐘后對瀏覽者進行重新攻擊識別，當是正常訪問時，則批準訪問網站。打破了傳統(tǒng)的“一刀切”的暴力阻斷模式，智能識別防御可以降低誤判率，從而提高因暴露阻斷網站訪問而帶來的負面影響。

5、巨大流量通過HA“削峰填谷”

雙機HA可以設置為主主防護模式，針對負載均衡器進行訪問流量分配，兩臺Web應用防火墻都在同時工作進行流量過濾，降低因為單機設備達不到性能要求而出現宕機、網站不能訪問等問題。針對政協(xié)兩會期間，訪問量與日俱增的爆炸性增長起到“削峰填谷”的作用。

6、通過網頁防篡改，維護兩會形象

針對政協(xié)兩會的影響力，黑客看重了網站的宣傳能力和政治意義，所以網站頻繁遭到黑客篡改，添加其他網站鏈接，導致網站公信力下降，網神SecWAF 3600 Web應用防火墻內置網頁防篡改模塊，使用內核保護和觸發(fā)更新技術對網站進行防篡改，當黑客對網站篡改時，觸發(fā)更新技術會第一時間記錄到網站被篡改被還原網站原有形態(tài)，保證網站不被黑客篡改，并用內核保護技術，對網站的數據庫、網站架構進行權限保護。