网宿科技政府网站WSA全站安全防护方案)

网宿科技政府网站WSA全站安全防护方案2011-3卢东涛13718492770QQ:614597281目录前言.........................................................................................................................................................1一、政府网站WSA全站安全防护方案..............................................................................................21.1政府网站访问现状......................................................................................................................21.2WSA安全防护方案.....................................................................................................................31.3WSA应急保障方案.....................................................................................................................5二、政府网站WSA服务......................................................................................................................62.1WSA全站加速.............................................................................................................................62.2MYVIEW客户服务........................................................................................................................72.3全球加速......................................................................................................................................7三、WSA优势.......................................................................................................................................8四、政府WSA加速案例......................................................................................................................91、中华人民共和国铁道部...............................................................................................................92、中华人民共和国国家气象局.....................................................................................................10网宿科技-政府网站WSA全站安全防护方案第1页网宿科技股份有限公司前言自1999年我国“政府上网工程”正式启动，至今已历经十年。在各级政府的重视和社会各界的积极参与下，我国政府网站建设取得了长足的进步，综合服务能力得以逐步提升。具体表现为政府网站的信息公开力度显著加强，网上行政办事服务逐渐规范，互动参与机制日益完善，有效的促进了政府职能由“管理型”向“服务型”的转变。服务型政府网站是政府凭借其自身特有的信息资源优势，通过网站的形式整合其所有资源，以用户为中心，以服务为导向，以信息公开为基础，以在线办事和互动交流为主要业务，为民众提供及时、便捷、高效、易用的信息服务平台。服务型政府网站改造了政府与公众、企业及其他机构之间的关系，服务于下列目标：更好地向公众提供公共服务，改进政府与产业界的互动关系，通过使公众更便利地获得信息来增加公民权利，实现更有效率的政府管理。通过政府网站的构建，政府可以实现：减少政府腐败，提高政府透明度，增加政府收入和节约成本。服务型政府网站，极大地扩展了政府的服务时间和空间，增强了政府的服务职能，是政府实现政务信息公开、服务企业和社会公众、方便公众参与的重要渠道，也是政府信息资源利用以及政府信息服务绩效的关键表征。可见，建设服务型政府网站，是打造服务型、创新型政府的有效途径。同时，随着互联网用户的大幅增加，促进了政府网站的建设需求，也同样为政府网站带来了挑战。网宿科技-政府网站WSA全站安全防护方案第2页网宿科技股份有限公司一、政府网站WSA全站安全防护方案1.1政府网站访问现状2009年7月中旬，公安机关对全国政府网站进行了为期一个月的网站安全漏洞和被攻击情况抽样检测，经对23000多家抽取的政府网站检测发现，154家政府网站遭网络攻击；经对6000余家政府网站检测显示，37％的政府网站存在网页安全漏洞，极易遭到网页篡改和网页挂马等攻击破坏。我国政府网站安全状况亟待改进，亟须采取措施消除安全隐患，加强安全保护。检测出政府网站存在安全漏洞的比例存在漏洞网站面临的安全风险分析-《第九次全国信息网络安全状况与计算机病毒疫情调查分析报告》在访问质量方面，随着基础网络改善，各种电子政务得到广泛应用，如：政务信息上网、公共信息服务、在线查询检索服务、个人企业网上办事、互动交流等，使得工作效率大幅度提高。在政府网站中各种交互式网络服务越来越多，而网民的访问质量会随着地区和运营商有很大差别，保证各地区各运营商网民有统一、高质量的访问效果，成为电子政务服务是否成功的一个重要标志。因此，一个问题摆在政府网站面前：如何抵御大批用户突发访问时的流量和连接风暴？如何保证网站服务出现故障时快速解决问题？如何提供最佳应急保障方案？作为政府工作的重要窗口，只有保障长期稳定、优质的服务才能展现出政府网站的能力和形象，服务稳定性成为政府网站最关心的问题之一。62.60%37.40%漏洞百分比未检测出漏洞检测出漏洞59.21%22.93%8.69%6.46%2.71%网页篡改或钓鱼端口扫描以及未授权访问网页挂马网站拒绝服务攻击网宿科技-政府网站WSA全站安全防护方案第3页网宿科技股份有限公司1.2WSA安全防护方案WSA全面防护政府网站源站保护：源站实时监控：WSA对政府网站源站进行实时监控，当源站点出现故障或暂停服务时，WSA告警系统会第一时间监控到，及时处理并通知客户。源站隐匿：采用WSA服务后，暴露在公网的政府网站得到有效隐藏，向最终用户提供服务的IP地址全部为网宿CDN服务节点，最终用户无法通过互联网访问获得政府网站真实IP地址，从而从根本上杜绝了攻击者对网站的攻击可能，保障源站安全性，可实现了“源站隐匿”。源站负载均衡：用户网站有多个源站时，WSA可以把回源流量按用户要求按比例进行分配。如承载能力强的源站，承载较多的回源请求。也支持热备方式，如平时使用主源，主源故障时自动启用备源（备源平时隐藏起来，增强源站安全性，这种做法也具备扩展性，用户可以准备多个备源）。对源站的监控是自动的，WSA对源站服务器进行询问，若发现源站某台服务器出现故障，则将回源请求切至源站健康的服务器上。内容防篡改由于政府网站内容的敏感性，网宿WSA缓存服务器采用专用磁盘存储与高强度校验算法，对所有缓存内容进行HASH加密计算，避免非法用户检索存储内容，杜绝缓存的内容被篡改，从而保证了政府网站内容的安全性。同时，为了保证数据的一致与完整性，WSA采取MD5数据校验：网宿服务节点之间的数据校验，可采用MD5（MessageDigestAlgorithm）校验，即MD5让大容量信息在用数字签名软件签署私人密钥前被‘压缩’成一种保密格式（就是把一个任意长度的字节串变换成一定长网宿科技-政府网站WSA全站安全防护方案第4页网宿科技股份有限公司的大整数），保证了数据的一致完整性。防DNS攻击网宿和国际知名域名注册机构保持着密切的合作，对方在自身安全方面积累了丰富的经验，能够确保网宿的注册信息安全可靠；网宿也安排专人负责域名注册账号的管理，并不定期修改账号密码为不规则的密码，防止被攻击者窃取或破解管理密码；并不定期修改域名注册管理员的邮箱密码，防止因为域名注册管理员邮箱密码的泄漏导致管理权限的外泄。DNS的安全，也有效防止了因DNS出问题而导致政府网站无法打开的情况。防d.d.o.s攻击由于政府网站的特殊性，对安全性要求很高，一旦被d.d.o.s攻击侵害将非常危险，面临网站服务不可用的危险。WSA优化过的软硬件系统具备较强的抗攻击能力，定制的操作系统，通过协议的精简，提升单机抵抗d.d.o.s攻击的能力；成熟的集群技术，更使得网宿CDN抗d.d.o.s的能力得到几十倍的提升，再加上wsGLB智能负载均衡，能根据访问质量变化自动切换节点，将使攻击更加分散。WSA监控系统根据不同拒绝服务攻击(d.o.s或d.d.o.s攻击)的特征，能够快速诊断，并判别攻击类型。WSA攻击切换系统在监控判断的基础上，快速响应，检测到攻击时快速恢复，能够做出及时的应急处理。SSL加密传输政府网站与网宿WSA数据保护网关的数据同步，可以采用Https方式，并进行数据校验；网宿网关与WSA服务节点之间同样可采用网宿私有协议或HTTPS协议传输；从服务节点至最终用户端的数据加速，可采用Https协议进行保证。政府网站、网宿内部、最终用户和网宿CDN节点之间，可以分别使用不同的Https证书，进一步加强安全防护（网宿SSL的加密密钥达到256位，SSL证书由微软统一通信合作伙伴提供，美国FBI、国家航天局均使用该证书）。防盗链政府网站的网页或部分内容可能会被不法分子通过盗链的方式进行盗用，可能影响到网站的声誉，更有甚者会带来一些法律风险。WSA针对此类问题，有多种防盗链方案：通过设置特定的header规则来进行防盗链（如referer限制等）。referer限制可禁止某些页面引用客户的资源，客户需提供合法或者非法引用的规则；通过url加密实现防盗链。可以向客户推荐使用网宿的url加密防盗链方案，或者客户已有自己的url加密防盗链方案，也可提供给网宿进行定制开发。网宿科技-政府网站WSA全站安全防护方案第5页网宿科技股份有限公司1.3WSA应急保障方案WSA-政府网站的安全保障主动安全防护：当发生攻击时，网宿WSA可将流量切换到专有的防攻击系统，进行主动安全防护。利用充足的带宽和流量调度机制，将流量分散到各节点，并进行智能化过滤，通过灵活配置安全策略过滤“肉鸡”的IP。单IP访问次数限制，如：1分钟内，一个IP访问超过xx次禁止访问。单机流量限制，如：某域名在节点单机上带宽超过xxM。单IP回源次数限制，如：1分钟内，一个IP访问导致xx次以上回源禁止访问。基于syn_proxy技术，对所有请求包进