Web应用安全解决方案0002.docx
《Web应用安全解决方案0002.docx》由会员分享,可在线阅读,更多相关《Web应用安全解决方案0002.docx(17页珍藏版)》请在冰豆网上搜索。
Web应用安全解决方案0002
Web应用安全解决方案
一.
项目背景及必要性
一.1项目背景
近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化,随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。
近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。
在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。
国内相关行业网站的安全问题有其历史原因:
在旧网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。
而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。
随着网络规模的急剧膨胀,网络用户的快速增长,网站在各行业的信息化建设中已经在扮演至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业、金融证券、政府及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫问题;因此,解决网络安全问题刻不容缓。
当前企业、金融证券和政府业务系统大都居于B/S架构,使用Web应用来运行核心业务,然而,Web应用安全威胁已成为当前信息安全的主要威胁,从以下数据可以看出,80%以上的信息安全威胁来自于Web应用:
图1.1信息安全事件分布
图1.2Web漏洞发展趋势
图1.3最新十大安全威胁
从以上数据可以看出,随着Web应用的极速发展及大量使用,Web应用漏洞在急剧增加,Web安全威胁已成为当前信息安全的主要威胁。
因此,在平台业务建设的同时,必须加强Web应用安全建设,通过全面有效的Web安全防护,保障业务系统正常稳定运行。
基于以上数据信息可以看出,中国铁建的对外网站直接暴露在互联网,存在极大的安全威胁,需要对Web网站做必要的安全防护。
二.中国铁建Web应用安全风险分析
二.1应用层安全风险分析
Web应用系统主要存在以下安全风险:
用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于移动网络对外提供网上WWW服务,因此存在外网非法用户对内部网和服务器的攻击。
二.1.1身份认证漏洞
服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。
这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。
对移动系统的网上移动服务平台,必须加强用户的身份认证,防止对移动网络资源的非授权访问以及越权操作。
二.1.2www服务漏洞
WebServer目前正在成为移动系统对外宣传、开展业务的基地,但公开服务器本身不能保证没有漏洞,不法分子可能利用服务的漏洞修改页面甚至破坏服务器。
系统中的BUG,使得黑客可以远程对公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制地向服务器发出大量指令,以至于服务器“拒绝服务”,最终引起整个系统的崩溃。
这就要求我们必须提高服务器的抗破坏能力,防止拒绝服务(DOS)或分布式拒绝服务(DDOS)之类的恶意攻击,提高服务器备份与恢复、防篡改与自动修复能力。
二.1.3Web网站应用漏洞
Web网站用于对外提供服务,作为对外展示的窗口,部分网站与用户还有相当部分的数据交互,Web网站应用在开发过程中,难免会出现一些漏洞,如:
SQL注入漏洞、跨站漏洞、敏感信息泄露漏洞等,这些漏洞很容易被黑客检测到并加以利用,达到篡改数据,截取数据信息等目的,黑客还可以利用漏洞提升权限,达到控制计算机,损坏数据信息等操作,对用户数据信息造成极大威胁。
二.2管理层安全风险分析
再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。
因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。
移动系统应按照国家关于计算机和网络的一些安全管理条例,如《计算站场地安全要求》、《中华人民共和国计算机信息系统安全保护条例》等,制订安全管理制度。
责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
三.
中国铁建Web网站安全防护方案
根据上述需求分析,对当前Web安全风险分析,XX科技应用安全团队通过对网站安全多年的研究、调研,针对Web应用安全提出了全新的安全防护方式,对WebServer和AppServer采用Web网站安全防护系统(WebGuard网页防篡改保护系统,简称‘WebGuard’)+WAF综合应用安全网关来对网站应用做全面的安全防护,WebGuard采用系统底层文件驱动保护技术+增强型事件触发技术,对Web网站页面直接防护,防止黑客篡改网站页面。
WAF综合应用安全网关能够有效防止各类新型应用攻击,如:
SQL注入攻击、跨站攻击、目录遍历、操作系统命令攻击、Cookie攻击等,还能有效防护给类DDos攻击,CC攻击等主要的流量及应用型拒绝服务式攻击。
设备一览表:
产品名称
产品形态
产品职能
其他说明
Web网站安全防护系统(WebGuard)
软件
通过文件底层驱动技术+增强型事件触发技术,对Web网页文件进去全面有效的防护,防止黑客对Web页面的非法篡改攻击,有效保障Web应用安全。
WebGuard-WAF综合应用安全网关
软件+硬件
针对当前主流的Web应用攻击做全面安全防护,可以防止各类应用攻击,包括SQL注入攻击、跨站攻击、目录遍历、远程文件包含攻击、操作系统命令注入攻击、Cookie注入攻击、其他变形的应用攻击。
还能有效防止DDoS攻击,CC攻击等网络及应用类型的拒绝服务类攻击。
三.1产品介绍
三.1.1WebGuard网页防篡改保护系统解决方案
Web网站安全防护系统由XX科技根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。
主要用于保护站点内容安全,防止黑客非法篡改网页,保护公众形象。
该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。
网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展,第三代网页防篡改技术较之以前的技术有几个特点,响应恢复速度快、判断准确、部署灵活等特点,集成度较高,不依赖于原有web系统架构、部署也不影响网站整体结构。
经过广大用户实践表明,WebGuard已经成为网站安全建设最佳解决方案。
三.1.1.1系统组成原理
WebGuard系统包含三个部分:
监控代理客户端,管理中心服务器和管理客户端,各部分功能如下:
1.监控代理客户端(MonitorClientSetup)安装在Web站点服务器上,根据服务器数量购买客户端数量,主要用于监控站点状态,执行管理中心所配置的策略;
2.管理中心服务器(CenterServerSetup)建议部署在独立pc服务器上,若所管理的web服务器数量较少,也可以同时部署在管理客户端;主要用于用户管理,策略下发,日志监控,以及管理各代理客户端;
3.管理客户端(ConsoleSetup)部署在网管员任意一台计算机,可以由单台pc机替代,主要用于登录管理中心服务器进行配置管理WebGuard中心服务器;
图3.1系统结构示意图
各组建之间通信采取完全加密传输,包括数据传输,用户认证等,确保通信的保密性;
三.1.1.2系统主要功能
Ø基于驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本;
Ø完全防护技术,支持大规模连续篡改攻击防护;
Ø系统后台自动运行,支持断线状态下篡改监测;
Ø驱动技术完全杜绝被篡改内容被外界浏览;
Ø支持多站点分布式部署,统一集中管理功能;
Ø支持大规模虚拟机、双机热备网站系统部署架构;
Ø支持单独文件、文件夹及多级文件夹目录内容篡改保护;
Ø支持网页格式类型分类,便于分类管理;
Ø支持网页自动上传功能,无需人工干涉;
Ø支持异地文件快速同步功能和断点续传功能,极大的增加网站整体安全性和稳定性;
Ø支持多用户管理功能,方便操作;
Ø支持网页自动同步新增、修改、删除等功能;
Ø自动检测文件攻击记录,并实时记入日志,支持导出报表;
Ø支持服务器多种远程管理功能,如远程接管、远程唤醒、远程关机、远程用户注销等;
Ø系统C/S结构,确保高可靠性;
Ø支持多个策略管理,策略设置支持即时生效,无需重启;
Ø支持服务器冗余双机及负载均衡分布部署;
Ø支持多种告警方式,日志告警、声音告警、邮件告警或定制其他告警方式;
Ø支持用户认证,采用加密传输,安全可靠;
Ø系统全中文界面,操作、配置方便,网络管理人员仅需十分钟即可熟练完成系统初始配置,大大提高工作效率;
Ø支持当前所有主流操作系统和web服务器
Ø支持SQL注入攻击防护;
Ø支持跨站脚本攻击防护;
Ø支持对系统文件的访问防护;
Ø支持特殊字符构成的URL利用防护;
Ø支持对危险系统路径的访问防护;
Ø支持构造危险的Cookie攻击防护;
Ø各类攻击的变种防护;
Ø支持自定义检测库;
Ø规则库支持在线升级功能;
三.1.1.3技术特点介绍
Ø完全基于事件触发机制,避免服务器资源额外开支;
Ø文件驱动保护技术,确保系统稳定、安全、高效;
Ø不限制网站发布服务器类型,实现高可用性和扩展性;
Ø文件传输过程加密技术,防窃听和防篡改;
三.1.1.4部署模式
简单部署模式
图3.2简单部署
集群冗余部署模式
图3.3集群冗余部署
部署WebGuard网页防篡改保护系统,对Web应用进行全面保护,即便黑客获得Web目录操作权限,依然无法对Web页面进行篡改,保障Web网站安全。
三.1.2WebGuard-WAF综合应用安全网关
WEB综合安全应用网关(以下简称WAF)是XX科技自有知识产权,自主研发出品的高可靠性、高安全性、高易用性系统。
WAF是网络安全专家团针对“网站型”服务器量身定制的产业化产品,融合了我公司长期对网站系统进行的安全研究成果,应用多项专利技术,主要从网站平台系统可用性和信息可信任的角度,解决WEB防护及加速、内容防篡改、流量分析和管理、异常流量清洗、负载均衡等核心需求,提供事前预警、事中防护、事后分析全周期安全防护解决方案。
图3.4WAF工作原理示意图
WAF源于防护产品精品理念,致力于提高“网站型”服务器,应用服务系统的安全性和可靠性,保障网站应用服务系统的运行质量,提升网站应用系统运行质量,为网站应用服务系统的信息化规划部门、投资决策部门、运行维护部门提供具有参考意义的量化数据。
事前,WAF进行网站服务运行动态监视,实时监测服务能力和服务质量,建立隐患预警机制。
事中,基于“无故障运行时间”理念,依托稳定高效安全的系统内核以及先进全面的多维防护体系,从WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击和WEB应用效能优化等多个角度,保障网站应用服务系统的运行质量。
事后,WAF提供多角度量化的决策支撑数据,为用户提供便捷的使用管理、有效的数据和简洁清晰的阶段性报表,帮助网络维护队伍了解网站的建设情况和运行情况,掌握网站应用服务系统规划设计目标的满足程度、网站应用服务系统运行效能及负载、网站应用服务质量、运行报告等等多个角度的量化的决策支撑数据。
帮助网站系统运行维护队伍从宏观环境、当前建设现状、系统负载、异常行为过程等多个维度综合考虑安全问题,分角色提供既有清晰结论、又有多角度量化的决策支撑数据的高水平报表。
三.1.2.1产品功能
三.1.2.1.1WEB应用威胁防御
WEB防护系统对HTTP数据流进行分析,应用了先进的多维防护体系,对WEB应用攻击进行深入的研究,固化了一套针对WEB应用防护的专用特征规则库,对当前国内主要的WEB应用攻击手段实现了有效的防护机制,可以有效应对黑客传统攻击如缓冲区溢出、CGI扫描、遍历目录、OS命令注入等以及SQL注入和跨站脚本等攻击手段。
系统对于HTTP内容有着完全的访问权和控制权,检查所有的HTTP内容,解释和建立规则。
一旦某个会话被应用防火墙终止并被控制,WAF就会对向内或向外的流量进行多种检查,以阻止内嵌的攻击、数据窃取和身份窃取。
可以指定各种策略对URL、参数和格式等进行检查。
三.1.2.1.2抗拒绝服务攻击
拒绝服务攻击是攻击者通常利用目标服务器的网络协议漏洞或耗尽其系统、网络资源,使得目标服务器业务瘫痪,无法响应正常用户请求。
近年来,拒绝服务攻击事件呈上升趋势,网站系统尤其要加强防范此类恶性攻击事件,避免系统瘫痪。
WAF集成了具有核心知识产权的抗拒绝服务攻击功能,能够防御迄今已知的所有种类的DDoS攻击,如SYNFlood、UDPFlood、ICMPFlood、pingofDeath、Smurf、HTTP-getFlood等等。
同时还能防御未知攻击。
Ø攻击指纹识别
WAF利用多种技术手段对网络数据包进行特征统计和发现,能够准确定位当前的攻击类型,并触发不同的防御机制,在提高效率的同时确保准确度。
Ø异常流量识别
WAF创造性地提出了一种新的、基于数据挖掘的DDoS攻击盲检测技术,利用关联算法和聚类算法自适应的产生检测模型,任何偏离这些正常状态的流量特征都可以被捕获,从而能够实时地、自动地、有效地识别出异常流量。
Ø攻击特征挖掘
WAF具备高效的攻击特征挖掘能力。
通过对网络流量的显微分析,挖掘出攻击特征,把挖掘出的攻击特征交给规则执行机执行。
Ø攻击流量过滤
WAF针对检测出的攻击流量,采用规则执行机,干净彻底地过滤攻击流量,放过正常流量,保护正常服务的进行。
三.1.2.1.3WEB应用加速
WAF在对网站进行全面的安全防护的同时,通过连接池、缓存等机制,实现应用加速,优化网站的性能。
WEB应用加速功能通过高性能的硬件平台和软件加速算法,可以将用户的WEB请求响应速度提高数倍,对网站系统的可用性有巨大的提升。
三.1.2.2产品特色
三.1.2.2.1一流的产品设计理念
Ø“三高”安全防护产品精品
WAF是XX科技自有知识产权,自主研发出品的高可靠性、高安全性、高易用性的信息安全防护系统。
WAF是网络安全专家针对“网站型”服务器量身定制的业化产品,源于安全防护产品精品理念,致力于提高网站平台的可靠性和内容的可信性,保障网站应用服务系统的运行质量,提升网站应用系统服务效率,为网站应用服务系统的维护队伍提供具有参考意义的量化数据。
Ø“一站式”安全管理产品理念
WAF提供“网站型”服务器的可用性问题、内容可信任问题的“一站式”解决方案,用“一个帐号,一次登录,一套界面,三次点击”解决安全问题。
Ø“无故障运行时间提升”理念
WAF深入理解网站服务质量,首位提出网站“无故障运行时间”理念。
WAF从网站应用威胁防护、服务效率动态监视,服务带宽保护和服务质量保障等三个层面,提高网站应用服务系统的连续服务时间,保障网站应用服务系统的运行质量。
三.1.2.2.2领先的核心关键技术
Ø稳定高效安全的系统内核
WAF基于XX科技在操作系统内核以及对硬件电路设计方面多年的沉淀,结合我公司自有知识产权进行优化移植,内核精简、稳定、高效,安全。
Ø先进全面的多维防护体系
WAF通过宏观判断和微观分析、操作系统和应用分析、实时流量和历史特征等等多个角度的信息聚合,围绕WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击和WEB应用效能优化等进行相关多元化组合分析,全方位构建多维防护体系。
Ø主动式应用安全加固技术
WAF通过漏洞扫描、实时WEB威胁防护、WEB应用架构协议规范化等多种手段相结合,动态发现WEB应用威胁,及时提供相应的修复措施、解决方案,并进行主动修复。
三.1.2.2.3提供量化的决策支撑数据
Ø多角度量化的决策支撑数据
WAF在安全防护的基础上,提供多角度量化的决策支撑数据,让网络维护队伍了解网站的建设情况和运行情况。
从网站应用服务系统规划设计目标的满足程度、网站应用服务系统运行效能及负载、网站应用服务质量、运行报告等等多个角度提供量化的决策支撑数据。
Ø提供多角色视角的数据展示
WAF从用户的角色、网站应用系统的服务类型、网站应用系统的服务对象三个层面,提供多种视角的数据展示,并支持展示界面的自定义。
在网站WAF上,用户可以:
✧按照业务视角,将当前各类业务的运行状态和当前安全威胁等级列出;
✧按照行业视角,将网站应用系统对服务对象的服务效能情况列出;
✧根据自身的角色,选择查看不同范围、不同明细粒度和不同侧重点的报表;
✧根据自身操作习惯和业务需要,自定义多套展示界面。
WAF致力于为用户提供便捷的使用管理和有效的数据。
⏹提供简洁清晰的阶段性报表
WAF提供简洁清晰的阶段性报表。
从宏观环境、当前建设现状、系统负载、异常行为过程等多个维度综合考虑安全问题,分角色提供既有清晰结论、又有多角度量化的决策支撑数据的高水平报表。
三.1.2.3产品系列
根据设备性能的不同,WAF分为如下四类产品:
✧WAF-S2000:
WAF千兆增强型
✧WAF-S800:
WAF千兆基础型
✧WAF-S200:
WAF百兆基础型
✧WAF-E200:
企业专用型
WAF系列产品都是功能完备的WEB安全防护设备,适用于透明串联、反向代理、单臂模式,提供WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击、WEB应用加速等安全防护功能,并能为用户提供量化的决策支持数据等行业解决方案。
三.1.2.4部署方式
WAF提供贴合网站网络结构特点的多种部署方式支持,可以根据实际环境需求进行性灵活设计。
三.1.2.4.1透明串接部署
透明模式是最便捷部署的方式,在已经交付使用的系统中需要快速部署WEB防护系统时,推荐使用此种部署方式。
工作在透明方式时,网关工作在链路层,不需要对服务器和其他的网络设备作任何改动。
图3.5透明串接部署示意图
三.1.2.4.2反向代理部署
反向代理部署是WEB防护系统位于服务器的前端,所有与应用系统相关的网络流量都必须经过网关,该部署模式能对应用数据进行全面细致的检查。
图3.6反向代理部署示意图
图33反向代理部署示意图
三.1.2.4.3单臂部署
以单臂方式部署时,WEB防护系统将与WEB应用服务器位于同一个子网或者任意路由可达子网。
WEB应用服务器的网络设置无需任何更改。
由于未更改应用服务器的任何设置,此种方式非常适合不能中断运行的系统。
三.2系统部署
三.2.1详细部署
在DMZ区的WebServer和AppServer服务器上部署网页防篡改监控客户端,用户保护网页文件免遭黑客篡改。
在安全管理区部署防篡改管理中心及防篡改备份客户端,管理中心用于统一管理防篡改各客户端,备份客户端用于后期网站更新发布及WebServer端和APPServer端的篡改恢复。
在DMZ出口交行及Web服务器之间部署WAF综合应用安全网关,启动相应的安全防护策略,防止各类应用攻击,保障网站安全。
三.2.2部署后的效果
网页防篡改系统和WAF综合应用安全网关对DMZ去的Web网站进行全面安全防护,WebGuard防止页面篡改攻击,WAF防止Web应用类攻击,保护Web网站静态页面和动态数据库安全,从而实现对整个Web网站的防护。
防止网页页面篡改及Web应用攻击,保障网站应用安全稳定运行。
四.系统报价
报价单位:
元
产品名称
产品型号
单位
数量
单价
总价
Web网站安全防护系统
WebGuardV5.0
套
3
6.6万
19.8万
WAF综合应用安全网关
WAF-S2000
台
1
18.8万
18.8万
软件支持服务
WebGuard-Update
WAF-Update
年
3
0
0
安装调试费
WebGuard-Install-Service
WAF-Install-Service
次
1
0
0
总价
38.6万
升级会员 