方案概述

通過(guò)在高校部署盛邦安全網(wǎng)站監(jiān)測(cè)預(yù)警與立體化防護(hù)解決方案，能夠?qū)崿F(xiàn)對(duì)Web資產(chǎn)的7*24小時(shí)監(jiān)控，在Web資產(chǎn)出現(xiàn)問(wèn)題時(shí)，通過(guò)平臺(tái)進(jìn)行告警，既滿足了學(xué)校實(shí)際的安全建設(shè)需求，又符合了國(guó)家政策法規(guī)要求，同時(shí)減輕了運(yùn)維人員的工作壓力。該方案以Web網(wǎng)站的安全管理過(guò)程為指導(dǎo)，提供從“監(jiān)控”到“預(yù)警”、“檢測(cè)”到“防護(hù)”、“響應(yīng)”到“溯源”循環(huán)管理過(guò)程中各個(gè)環(huán)節(jié)的一體化解決方案，通過(guò)Web安全產(chǎn)品的動(dòng)態(tài)聯(lián)動(dòng)和整體分析，有效提高Web應(yīng)用安全的工作效率，為網(wǎng)站安全運(yùn)行保駕護(hù)航，實(shí)現(xiàn)對(duì)高校Web系統(tǒng)的網(wǎng)絡(luò)安全縱深防御（IATF）的目的。

方案背景

隨著信息化進(jìn)程的推進(jìn)，高校正在逐步展開(kāi)了智慧校園的建設(shè)，包括統(tǒng)一的身份管理系統(tǒng)、教務(wù)管理系統(tǒng)及一卡通系統(tǒng)等。一般情況下，信息系統(tǒng)都是根據(jù)實(shí)際工作需要的增加而逐步建設(shè)的，在開(kāi)始的時(shí)候缺乏統(tǒng)一的規(guī)劃設(shè)計(jì)，因此很多系統(tǒng)是獨(dú)立零散的，甚至部分系統(tǒng)是沒(méi)有記錄所有人或具體內(nèi)容信息的。同時(shí)，不同業(yè)務(wù)形式的信息系統(tǒng)，所使用的框架和開(kāi)放服務(wù)有所區(qū)別，可能面臨的威脅風(fēng)險(xiǎn)各不相同，因此需求的安全等級(jí)和具體策略也各不相同。

具體的安全需求包括：

◆ 門戶網(wǎng)站的安全防護(hù)

例如學(xué)校門戶、招生網(wǎng)站和各院系等網(wǎng)站，在招生、學(xué)生就業(yè)等時(shí)期，會(huì)有大量的學(xué)生或家長(zhǎng)集中訪問(wèn)，容易引起的注意，可能對(duì)網(wǎng)站進(jìn)行掛馬，造成訪客信息泄露；或者進(jìn)行DDoS攻擊，導(dǎo)致網(wǎng)站無(wú)法訪問(wèn)；或者篡改網(wǎng)頁(yè)，造成極壞的社會(huì)影響，甚至利用門戶網(wǎng)站的安全缺陷漏洞來(lái)進(jìn)一步攻擊內(nèi)網(wǎng)；

◆ 業(yè)務(wù)信息系統(tǒng)的安全防護(hù)

例如教務(wù)信息管理系統(tǒng)、教學(xué)資源管理系統(tǒng)或“一卡通”系統(tǒng)，由于存放大量學(xué)籍、成績(jī)和費(fèi)用等敏感信息，也容易吸引攻擊，進(jìn)行成績(jī)篡改或?qū)W歷盜用等非法行為；

◆ 校園網(wǎng)用戶的上網(wǎng)安全防護(hù)

學(xué)生是校園網(wǎng)的主要受眾群體，部分學(xué)生喜歡嘗試新鮮的事務(wù)，在校內(nèi)網(wǎng)使用工具嘗試攻擊，也有學(xué)生喜歡用匿名的身份來(lái)散步謠言。因此，對(duì)校園網(wǎng)用戶的上網(wǎng)行為，也需要必要的管控和審計(jì)。

◆ 網(wǎng)站W(wǎng)ebShell威脅防護(hù)

網(wǎng)站頁(yè)面被非法篡改，是高校面臨的安全問(wèn)題，通過(guò)系統(tǒng)、中間件或數(shù)據(jù)庫(kù)漏洞，上傳WebShell，通過(guò)WebShell最終獲得系統(tǒng)權(quán)限，進(jìn)而對(duì)網(wǎng)站進(jìn)行非法篡改。通過(guò)傳統(tǒng)的掃描手段，無(wú)法檢測(cè)到WebShell這樣的孤島文件，如何對(duì)此問(wèn)題進(jìn)行防護(hù)，也是目前面臨的問(wèn)題。

解決方案

盛邦安全采用云端監(jiān)控預(yù)務(wù)與Web應(yīng)用安全防護(hù)、DDoS防護(hù)等邊界安全防護(hù)設(shè)備、終端篡改保護(hù)、WebShell檢測(cè)相結(jié)合的立體化防護(hù)方案。

實(shí)現(xiàn)如下具體解決方案：

◆ 對(duì)校園網(wǎng)進(jìn)行安全監(jiān)控，包括可用性、安全性和合規(guī)性等監(jiān)控；

◆ 遵循等級(jí)保護(hù)的要求，在接入邊界區(qū)域、應(yīng)用系統(tǒng)區(qū)域及數(shù)據(jù)存儲(chǔ)區(qū)域部署相應(yīng)的WAF、ADS及防篡改產(chǎn)品組件；

◆ 結(jié)合不同業(yè)務(wù)系統(tǒng)的特點(diǎn)及開(kāi)放服務(wù)，制定相應(yīng)的監(jiān)控策略及防護(hù)策略；

◆ 利用監(jiān)控預(yù)務(wù)與WAF等安全產(chǎn)品的聯(lián)動(dòng)能力，對(duì)安全事件進(jìn)行信息共享，同時(shí)提供“一鍵下線”等快速應(yīng)急處置響應(yīng)手段。

◆ 通過(guò)對(duì)WebShell的主動(dòng)檢測(cè)手段，排除網(wǎng)站內(nèi)部的WebShell威脅，保障業(yè)務(wù)系統(tǒng)的安全；

通過(guò)整體方案部署將要實(shí)現(xiàn)：

◆ 對(duì)門戶網(wǎng)站運(yùn)行態(tài)勢(shì)進(jìn)行全面監(jiān)控，且保證風(fēng)險(xiǎn)預(yù)警的實(shí)時(shí)性；

◆ 網(wǎng)站安全得到保證，在報(bào)名或查分等關(guān)鍵時(shí)期同樣能夠承受網(wǎng)絡(luò)流量壓力；

◆ 學(xué)生及教師等用戶訪問(wèn)行為得到安全監(jiān)管，上網(wǎng)行為得到規(guī)范；

◆ 符合監(jiān)管政策的要求，得到相關(guān)單位的認(rèn)可。

通過(guò)盛邦安全提供的校園網(wǎng)站監(jiān)測(cè)預(yù)警與立體化防護(hù)方案，建立了從安全監(jiān)控到防護(hù)的整體解決方案，既滿足了高校實(shí)際的安全建設(shè)需求，又符合了國(guó)家政策法規(guī)要求，同時(shí)提升運(yùn)維人員的工作效率。

方案優(yōu)勢(shì)

◆ 提供從監(jiān)控到防護(hù)再到事后恢復(fù)的閉環(huán)安全方案

◆ 具備在緊急事件爆發(fā)時(shí)的一鍵斷網(wǎng)實(shí)現(xiàn)快速應(yīng)急處置手段

◆ 遵循等級(jí)保護(hù)要求，符合國(guó)家、行業(yè)安全政策規(guī)范

◆ 具備安全服務(wù)的配合支撐能力

相關(guān)產(chǎn)品

典型案例

中國(guó)音樂(lè)學(xué)院

北京電子科技職業(yè)學(xué)院

北京科技大學(xué)

某高職院校網(wǎng)站監(jiān)控立體化防護(hù)方案