电力行业WEB应用安全解决方案.docx

电力行业 WEB 应用安全解决方案电力行业Web安全现状作为能源基础产业，电力行业的有序发展是关系到国家经济发展的重要因素之一随着 电力行业改革方案的出台和逐步实施，电力行业向市场化运作发展，信息化成为电力行业提 升核心竞争力的重要手段随着各地电力公司信息化的不断发展和国家电网“SG168”工程的实施，越来越多的网 络应用随之投入使用与此同时，电力企业门户网站也由传统的信息发布窗口转向一站式、 一体化的网络服务平台2010年 10月，国家电网对电网系统内各公司发文要求：对外网站 是面向互联网宣传公司发展战略，展示公司良好形象的重要窗口，也是公司互动化交互的信 息平台；指出要进一步规范公司各单位对外网站，强化互动化接入，提升公司整体形象然而，随着互联网产业的不断发展，网站安全问题突显近年来，电力企业因web应 用层漏洞造成的信息安全事故时有发生，例如曾出现过某省公司电力营销数据被恶意篡改的 恶性事件 web 应用层安全引起了电力企业的高度重视，如何提高网站的安全防护能力，正 确传递电力信息，维护电网的社会形象已成为电力企业门户网站安全建设的首要任务2009 年 2 月，国家电网将对外网站的防攻击、防篡改技术防护措施和对外服务系统安 全防护情况，列入信息安全检查项目中。

采用专业的应用安全防护产品，弥补传统信息安全 防护体系的漏洞，加强对网站和B/S应用的保护，已经成为电力行业的共识电力行业网站安全防护建设需求政策法规推动2007年11月，国家电监会下发了《电力行业信息系统安全等级保护定级工作指导意见》， 根据该思想，国家电网率先启动等级保护工作， 2007 年开展了信息系统安全等级保护制度 研究与试点工作，完成了信息系统的定级备案工作，明确定义了门户系统为典型的二级保护 系统根据国资委2010 年中央企业网站绩效评估工作要求，国家电网信息化工作部会同对外 联络部等部门组织制定了国家电网公司对外网站典型设计并强调：进一步加强对外网站安 全防护各单位要强化对外网站安全防护，严格按照公司有关网站安全防护要求，定期对网 站进行安全检查、风险评估和系统加固，确保对外网站信息安全因此，进一步加强电力企业门户网站的安全防护建设，是落实国家及电力系统信息安全等级保护工作的重要举措安全风险加剧在电力信息系统中，web应用广泛存在SQL注入、跨站脚本攻击、弱口令等安全隐患， 加之各类网络攻击手段的迅猛增长，使电力网站所面临的安全风险日益加剧，当前常见的针 对电力网站的攻击方式如下：1、 利用病毒、蠕虫、木马和间谍软件等恶意代码，破坏web系统；2、 利用XSS攻击，即跨站脚本攻击。

恶意攻击者往web页面里插入恶意html代码， 当用户浏览该页之时，嵌入其中web里面的html代码会被执行，从而达到恶意用户的特殊 目的；3、 利用 DoS、 DDoS 等方式，造成服务瘫痪；4、 利用网站应用程序漏洞，采用 SQL 注入或跨站攻击等方式，获得系统或数据库管 理员权限，从而任意修改数据库，达到网页篡改或破坏网页的目的由此造成的篡改网页，拒绝服务，窃取、破坏数据等网络安全事件正严重威胁着电力网 站的正常运行对于电力系统，门户网站作为信息展示和交互的平台，页面被篡改是必然要考虑的一大 安全风险如果网站页面被篡改，如首页被替换、出现反动言论或不良画面等，将严重影响 整个国家电网的形象；并且一旦遭到拒绝服务攻击，还会影响业务运营，带来巨大的经济损 失此外，数据的安全风险是电力系统需要考虑的重中之重由于 web 应用程序可与后台 数据库通讯，提取存储在数据库中的保密信息，因此， web 应用程序中可利用的漏洞成为潜 在的攻击媒介，威胁数据库及存储在内的信息安全一旦遭到黑客入侵网站数据库，会恶意 破坏数据、窃取、篡改、敲诈勒索等，种种结果对电力这样特殊性的行业来说，其损失都是 不可估量的。

由此可见，复杂多样的 web 安全问题，使得电力网站及业务潜在着巨大的安全隐患和 风险，也是电力行业信息化安全建设过程中亟需解决的重要问题之一领信 WEB 盾安全产品解决方案目前，绝大部分电力企业已经构建了较为完善的传统信息安全防护体系但随着信息化 建设的深入和网络技术的不断发展，传统的信息安全防护体系已难以适应新的安全需求，防 火墙、入侵检测、入侵防护系统等安全设备都无法有效地防御篡改网页、上传木马、注入攻 击、跨站攻击等 web 应用层攻击安氏领信新一代 web 防护产品——领信 Web 盾，弥补了上述设备针对应用层攻击防 范能力的不足，通过结合多层次、多方面的防护手段保障骇客攻击下的Web系统安全，实 现对电力网站及其 web 业务系统安全事件的全方位防护与实时检测告警，提升电力系统对 web 安全事件的应急处理能力部署方案领信 WEB 盾提供和旁路两种部署模式：模式，对 Web 流量进行安全检测，并且可以采取防御阻断措施，防止非法入侵访问和Web服务器敏感信息等流量通过；旁路 模式，对Web流量进行镜像检测，并不采取阻断，从而既实现了监控又达到了对网路性能 零损耗的目的一般情况下推荐用户采用部署模式；旁路模式只推荐在产品评估阶段 采用。

针对电力企业一般网络结构（如下图），建议将领信WEB盾放置在受保护的Web服务 器的前端，用以保护网站服务器领信WEB盾提供多路保护站点的功能，通过多个安全通 道，可以支持对多台web服务器的保护，实现对web服务器出入流量的有效监控对于其 他基于web的应用服务，可以采取同样的部署方式实现应用的整体防护办公室客户眼内部应用I00It \☆领fgWEB盾部署位置 典型电力行业WE B防护示意图o rWEB SNMP FTP产品特点领信 WEB 盾是专为 web 网站和基于 web 的服务器提供全方位防护而设计，同时也整合 了各种成熟的技术，如：网络防火墙、入侵检测和防护、抗DoS等通过部署领信WEB盾， 可以有效防护电力网站所面临的各类 web 攻击，同时可以达到实时监控和事后追溯准确分 析的目的领信 WEB 盾的具体特点如下：皑 WEB应用防火墙采用全面深入的协议分析技术，结合多重策略，对包括 SQL 注入，命令注入，跨站点 脚本攻击、目录穿越等数十种已知的web应用攻击进行有效防护，不影响正常的web应用 流量以及其他的应用流量；采用深度应用层检测技术，能够对http协议各种参数进行识别和防护，做到超细粒度 的防护机制，特有的 HTTP 解码抗逃避技术使得变形攻击无所遁形。

皑抗DDoS网关提供针对TCP、UDP、ICMP、HTTP等协议的DoS/DDoS防护，可以灵活定义各种DoS防 御的阈值，通过流量自学习功能帮助管理员轻松配置合理的 DoS 策略，以适应不同的网络 环境，有效防护资源耗尽型拒绝服务攻击泊网页防篡改支持对动态、静态网页的实时检测与防护，通过内置自学习功能获取 web 站点的页面 信息，对整个站点进行爬行， 一旦发现页面被篡改，通过重定向的方式实现事后的主动恢 复并进行告警，记录防篡改日志泡双向过滤提供基于状态防火墙的双向访问控制功能，可针对源地址、目的地址、源端口、目的端 口、协议类型进行访问控制，有效避免数据中心暴露给不必要的用户， 避免服务器敏感信 息泄露，减小以服务器作为跳板实施攻击的可能性皑纵深防御具有专门针对Web服务器的入侵防护（IPS）功能，对已知的攻击和零日攻击提供有效 防护主动防护针对 web 服务器从操作系统至系统服务层级的攻击，防范从二层至七层的 各种攻击，保障从操作系统至应用服务的安全澄自定义安全策略提供默认的安全策略对 web 网站或应用进行严格保护，还可以根据业务需求及实际网 络环境，配置客户化安全策略，包括对 http 协议合规性、 URL ACL、 IP 白名单、 DNS 服务器 监测、 HTTP 服务质量等信息的自定义设置；提供敏感词监控，针对某些关键字自定义过滤规则，控制不良信息提交，维护电力企 业形象。

濫高稳定性提供基于软、硬件的Bypass功能，在特殊情况下（如断电、硬件故障等），仍然能够保 持网络的畅通，消除了产品通常可能成为网络故障点的隐患泊人性化操作及管理充分考虑电力部门网站管理人员日常维护工作的需要，提供了简单易用的配置、管理平 台及多种实用的辅助功能◊ 提供零配置上线，领信WEB盾的默认策略可以满足绝大多数用户的需要，实现即插即用；◊ 提供图形管理和配置界面，适合在任何IP可达地点远程管理；◊ 提供丰富的报表统计及日志管理功能，便于管理人员进行问题跟踪及审计汇总用户收益实践表明，领信 WEB 盾能够为电力网站及网上业务系统提供全方位的解决方案，减少 各类不安全事件给电力行业以及社会造成的损失，保证业务持续稳定的运行，为电力机 构解决了相关法律法规所带来的合规问题及压力此外，从长远利益出发，对于电力内部网络中已上线的Web应用，其存在的安全问题， 整改代码会付出较大代价且难以施行，或者需要较长的整改周期而影响应用效益；对于新发 现的系统漏洞，在漏洞得到修复之前，还需要避免应用程序在补丁期被黑而不得已中断领信 WEB 盾可以协助电力企业轻松解决上述难题，在不更改代码的基础上保护系统安 全，简化维护复杂度，节约维护成本；同时保证修补系统的同时继续运行应用系统，既满足 合规性又不中断业务。

因此，随着电力企业的网上业务活动的日益增多，领信WEB盾将是电力行业信息安全 建设中不可或缺的、回报最佳的一款WEB应用安全防护设备。