WEB應用安全解決方案
應用防火墻與網頁防篡改系統的聯動
第1章 需求分析
1.1. 面臨現狀
隨著互聯網應用的普及,信息的獲取越來越依賴于網絡,從而進一步推動了互聯網應用和網站建設。但是,隨著網站建設的規;,網站安全問題迅速嚴峻。這一點從國慶60周年公安部安全大檢查的報告可以看出。
為了保障網站安全及互聯網信息的正確可信,公安部早在2005年12月1號正式頒布了《互聯網安全保護技術措施規定》,即公安部第82號令,并要求于2006年3月1號起開始實施。該規定在第九條第三款中明確指出:“開辦門戶網站、新聞網站、電子商務網站的,能夠防范網站、網頁被篡改,被篡改后能夠自動恢復”。
CNCERT/CC相關人員表示,網絡攻擊者們目標明確,篡改政府網站主要是為了泄憤,而利用網絡釣魚和網址嫁接等對金融機構、網上交易等站點進行網絡仿冒主要是為了盜用用戶個人信息謀取利益。為了達到更好的攻擊效果,網絡黑客也在不斷更新自己的技術手段,木馬程序已經成為其中最主要的手段之一,應用也最為廣泛。更為可怕的是,由于網絡木馬、病毒背后巨大的經濟利益催生了病毒產業化的進程,制造、傳播、交易一條龍,嚴重威脅到國家和個人的財產安全。
簡而言之,我國網絡與信息安全形勢異常嚴峻,加強安全建設刻不容緩。
1.2. 解決思路
目前,網站安全建設主要是由防火墻、入侵檢測構成的兩層防護體系。出現如此嚴峻的網站安全問題,充分說明了該體系對于網站篡改攻擊防范的局限性,以下從技術方面進行闡述:
1. 從設計思想的角度分析,防火墻、入侵檢測等安全類產品都需要依賴于特定的規則庫來識別威脅,由于規則的形成或升級必然落后于攻擊手段的變更,這在一定程度上為網站攻擊提供了時間的空隙,從目前發生的大多數網站/網頁被篡改的案例分析,主要是借助這個時間差進行的。因此,基于特征庫的進行安全防范的產品或系統是無法確保網站內容安全的。
2. 從防護的方法來說,網頁防篡改產品著眼點在于“事后恢復”,可防止篡改的危害擴大。但是它不能防止攻擊發生;并且他只有在攻擊發生對網頁篡改的行為時才能產生作用,而事實上多數類型的攻擊并不篡改網頁,如DDoS攻擊、CC攻擊、溢出攻擊、cookie竊取、密碼攔截、數據竊取等;還有很多攻擊有可能產生篡改行為,但多數情況并不會篡改網頁,如SQL注入、目錄穿越等;即使是“事后恢復”,網頁防篡改產品也存在工作原理漏洞、服務負載增加、檢測機制繞開、連續篡改等安全問題。而應用防火墻能在應用層理解分析HTTP會話,因此能有效的防止各類應用層攻擊,所在在解決方案中我們提倡采用“動靜”結合的安全布署方式,同時如果應用防火墻和網頁防篡改產品采用同一品牌可實現應用防火墻、網頁防篡改和服務器聯動,實現統一管理、事前防御的目的,提供整個IT設施的安全性。
3. 從技術實現的角度分析,防火墻、入侵檢測等安全類產品主要是針對鏈路層、網絡層信息進行威脅識別,然而,從近幾年網站篡改的大量案例來看,攻擊過程所包含的信息內容在鏈路層、網絡層都是合法的,問題其實主要出現在應用層面,因此傳統的安全防護體系對此類攻擊的防范效果不甚理想。
第2章 產品介紹
當前的網站安全建設主要是由防火墻、入侵檢測構成的兩層防護體系。然而,根據權威機構的統計,75%的信息安全攻擊都是來自web應用的層次上的。
根據市場的需求,目前市場上各安全廠商研發了針對web內容安全的一系列產品及網站安全評估及加固服務,已形成網站內容安全領域最具技術領導力的產品家族—Web應用防火墻和網頁防篡改系統。
2.1. WEB應用防火墻
Web應用防火墻,面向金融、政府、企業、電子商務等所有涉及Web應用的行業,保護WEB 網站及服務器免受各種惡意攻擊,優化業務資源,保障Web應用的可用性和可靠性。 Web應用防火墻工作在應用層,對HTTP(S)進行雙向深層次檢測:對于來自Internet的安全威脅進行實時防御,避免入侵者利用應用層漏洞非法獲取或破壞網站數據,可以有效地抵御黑客的各種攻擊,如SQL注入攻擊、命令注入攻擊、跨站腳本攻擊、跨站偽造、緩沖區溢出、惡意編碼、應用層 DOS/DDOS攻擊等;同時,對WEB服務器側響應的出錯信息、惡意內容及不合規內容進行實時過濾,避免敏感信息泄露,確保網站信息的可靠性。 Web應用防火墻還提供網絡訪問和流量的實時監控,幫助用戶直觀的了解網站工作狀態;借助SSL加速功能,可以顯著提高網站的訪問速度與并發量。
2.2. 網頁防篡改
網頁防篡改系統解決了傳統的兩層防護體系中存在的安全漏洞,采用“容災為主、預防為輔”的設計思想,從應用層面解決網站內容安全的問題。
1. 該系統主要的防護功能不依賴于特征庫,采用“強認證”機制確保內容正確性。因此,該系統不受網站攻擊手段變化帶來的負面影響,是一款充分體現“以不變應萬變”設計思想的安全類軟件。
2. 該系統在技術實現方面也完全不同于防火墻、入侵檢測等產品,其主要關注應用層信息的合法性。該系統以嵌入式過濾技術為核心,輔以實時阻斷、事件觸發等多種預防性保護技術,從而形成針對網站文件的多層次縱深防御體系。
防篡改產品一般由三個相互獨立的子系統構成,分別是監控代理Monitor Agent(簡稱MA)、同步代理Synchronization Agent(簡稱SA)和管理中心Management Center(簡稱MC)。
·監控代理MA——部署于網站服務器,負責實時監控保護網站文件,發現篡改企圖或篡改操作實時發送恢復請求,并及時提交告警信息。
·同步代理SA——部署于同步服務器,負責實時監控備份文件變更,以及監控代理提交的恢復請求,并根據請求執行向網站服務器的文件同步。注:同步服務器通常情況下指CMS 服務器或FTP服務器。
管理中心MC——邏輯上部署于管理服務器,作為用戶與系統之間的接口,負責將操作指令傳達給監控代理和同步代理;同時,負責實時接收來自代理端的各種告警信息并及時通知用戶。
第3章 解決方案
目前大多數政府對外服務門戶網站,以及各大金融能源等重要民生單位網站作為對外服務窗口,展示單位形象及實時發布最新的環境監控信息;為了保證網站內容的安全,門戶網站WEB應用安全策略需要對WEB訪問請求的前期、中期進行全方位的考慮,建立立體化的防御體系,提供事前阻斷和事中防御。
總的來講,門戶網站其對于網站應用安全的關注點主要可以歸納為如下幾點:
·用戶的訪問請求能夠進行分類篩選,從而區分出惡意的訪問請求,并能夠根據一定的規則進行有效的阻斷;
·防止篡改網站信息,實時監控網站和即時復原正確的網站內容,確保網站安全、可靠和穩定運行,任何惡意篡改痕跡將被實時保留,并能夠主動及時地通知管理人員;
·實現動態防護和靜態防護的結合,對網站應用安全設備進行統一監控、統一布署,實現應用安全設備與網站的相互聯動;
針對用戶的需求和解決思路,結合目前web內容方面的安全產品技術特點及服務,可以為用戶提供一個完善的解決方案。
3.1. 方案架構
基于目前應用安全產品構建的客戶的Web應用安全平臺如上圖所示,平臺通過應用防火墻系統、網頁防篡改系統為門戶網站應用構筑了“事前阻斷+事中防御”的縱深防御體系。
3.2. 主要功能
3.2.1. 事前阻斷
作為網站安全的事前過濾與阻斷系統,其首先必須要具備完備并且及時的規則庫與方便的管理功能,可以將功能劃分為如下四個方面:
·攻擊檢測阻斷
防止黑客通過注入SQL語句的方式從網站關聯的數據庫中獲取、修改數據信息或攻擊數據庫。采用正則表達式描述規則,提高規則的可擴展性和可維護性。防止黑客通過注入腳本漏洞方式在網站中植入跨站攻擊腳本、進而攻擊訪問者等等。
·規則定義擴展
用戶可針對網站的特性,可以自定義一些規則,來防止非法信息的提交與顯示。同時,系統自動遠程升級通用過濾規則,從而具備針對最新發現/發布Web漏洞的防御能力。
·告警與審計
實時的報警能力,針對網站進行的攻擊入侵操作,系統提供實時的報警處理,將相關詳細信息以告警的方式提交給網站管理人員。詳細的日志信息不僅可用于遭受攻擊責任的追究和落實,同時也為管理人員全面了解網站安全和系統運行狀況提供了必須的資料。
w ·用戶管理
為提高網站管理的安全性,系統提供多級用戶管理機制,不同用戶的權限(資源配屬)可根據實際需求進行控制。
3.2.2. 事中防御
到了網站內容安全事中防御階段,首先必須要具備完善的保護機制,保護對象包括靜態/動態頁面、數據庫、圖片、文檔等各類文件,其次還要具備相應的輔助功能,以便于用戶的各種管理性工作。根據該系統的特點,可以將功能劃分為如下五個方面:
w ·監控與恢復
針對網站文件安全的保障機制,實時監控網站文件的變更,有效降低篡改發生的概率,并且一旦發生篡改,可以自動實時地進行文件恢復。此外,對所有互聯網訪問進行內容過濾,以確保發布內容的正確性、權威性。
·同步與備份
與各類網站發布方式(如ftp、CMS等)無縫集成,確保網站內容正常更新維護的自動化、實時性。同時,提供網站備份的能力,以便保障系統實施過程中的初始化可以在不借助第三方軟件的情況下順利進行。
·告警與審計
實時的報警能力,針對網站進行的各類篡改企圖或篡改操作,系統提供實時地報警處理,將相關詳細信息以告警的方式提交給網站管理人員。詳細的日志信息不僅可以用于篡改責任的追究和落實,同時也為管理人員全面了解網站安全和系統運行狀況提供了必須的資料。
·防SQL注入
防止黑客通過注入SQL語句的方式從網站關聯的數據庫中獲取、修改數據信息或攻擊數據庫。采用正則表達式描述規則,提高規則的可擴展性和可維護性。
·用戶管理
為提高網站管理的安全性,系統提供多級用戶管理機制,不同用戶的權限(資源配屬)可根據實際需求進行控制。
3.3. 部署方案
根據門戶網站的安全需求,以應用安全產品家族中的應用防火墻、網頁防篡改為基礎的門戶網站安全解決方案部署示意圖如下所示:
1、在網站服務器前端部署應用防火墻系統(硬件)1臺,對WEB業務進行動態攻擊防護,依據一定的規則對訪問請求進行過濾,對攻擊性的請求實施阻斷,有效抵御黑客的攻擊手段,使web站點擁有更強的健壯性和安全性;
2、 選擇網頁防篡改系統【1套】,在網站服務器分別部署網頁防篡改系統的監控代理,負責實時監控保護網站文件,發現篡改企圖或篡改操作實時發送恢復請求,并及時提交告警信息;
另外新添加1臺服務器,部署網頁防篡改系統兩個子系統備份服務和統一監管平臺。該服務器備份Web服務器上的網站內容,以及作為今后網站發布更新的同步服務器負責實時監控備份文件變更,以及監控代理提交的恢復請求,并根據請求執行向網站服務器的文件同步。統一監管平臺作為用戶與系統之間的接口,負責將操作指令傳達給監控代理和同步代理;同時,負責實時接收來自代理端的各種告警信息并及時通知用戶,更重要的是通過統一監管平臺統一布署應用安全防護策略,實現應用防火墻和網頁防篡改系統的聯動。
3.4. 方案特點
3.4.1. 縱深防御,整體聯動,立體調控
根據黑客攻擊特點的不同,為系統各網站應用部署應用防火墻、網頁防篡改系統,同時選擇同一廠商的應用防火墻和網頁防篡改系統可以提供安全可靠的統一監管理平臺,可以實現應用防火墻和網頁防篡改系統的聯動,同時提供“事前+事中”二位一體的縱深防御體系。目前主流的安全廠商都支持應用防火墻和網頁防篡改系統的聯動,同時在防火墻和IPS等設備上進行異構,達到立體調控的效果。
3.4.2. 環境普適,全面支持
隨著網站應用的深入,業務的擴展,基于安全性、穩定性等方面的考慮,昆明市環境監控中心門戶網站應用在原有Linux環境的基礎上,新系統可能向Unix平臺遷移。在這種情況下,產品的環境兼容性就顯得格外重要,產品家族需要是支持環境最全面、兼容性最完善的產品,目前主流的應用安全廠商如啟明、中創、天存都有較高的安全性和穩定性,也有較多的用戶安例。
·支持所有主流操作系統,包括windows、linux、unix等;
·支持所有主流數據庫,包括oracle、Sqlserver、sybase、mysql等。
3.4.3. 安全性高,可用性強
整個應用安全防護系統的數據和自身安全性得到保障。
·信息傳輸的安全性
系統以作為基本網絡運行環境,從以下兩個方面提供信息的安全傳輸:
·完整性:完整性保護可以防止對消息的非法但又難以察覺的篡改,以及確保消息能以正確順序到達,且無增加或減少。
·機密性:保證消息在傳輸中無法被竊聽。
·系統自身的安全性
系統提供進程級的守護能力,保障核心業務進程的故障恢復和安全性。
