网站防护方案--通用.doc

保险协会查询网站 安全防护方案 © Jan.2024 上海天泰网络技术有限公司 目 录 一、 网站的安全现状 3 二、 WEB应用成为最大的安全盲点 4 三、 保险协会查询网站安全需求分析 5 3.1、保险协会查询网站的作用 5 3.2、网站安全中的薄弱环节 5 3.3、网站的安全现状 5 3.4、Web 安全漏洞分析 6 四、 WEB安全网关防护网站系统 9 4.1、设计目标及需求分析 9 4.2、在设备选型时，需要考虑以下几个因素： 9 4.3、WEB安全网关部署的目标和范围 9 4.4、WEB安全网关的选型及产品功能一览表 10 4.5、 WEB安全网关的主要功能 11 附件 防火墙的不足 14 一、 网站的安全现状 近年来，国内被入侵的网站多为XX、学校、信息综合门户、知名企业等影响力高、受众面广的网站，且不论黑客攻击的动机，仅在后果上，这些网站可谓遭遇了不同程度的尴尬。在被入侵的网站中，XX网站成了重灾区。XX网站的比例大于20%，对电子政务构成严重威胁。 国家计算机网络应急技术处理协调中心（CNCERT/CC）统计的XX网站被黑客入侵的情况，被入侵的网站近1万个，占到大陆网站总体被入侵量的6.25%，这个数字是远远大于网站在大陆网站总数内占的比例，可见，黑客对XX类网站的破坏是明显有针对性的。也就是说，一年来，五个XX网站中就有一个被入侵，这个数字实在令人堪忧。而且，近年来，网站被入侵的数目仍以每年2-3倍的速度在不断递增。 二、 Web应用成为最大的安全盲点 根据新近公布的一份现实威胁分析报告，Web应用正成为最大的安全盲点。 OWASP最新发布的WEB脆弱性10大排名，给出的各类应用攻击列表中，排在最前面的是跨站脚本攻击，这类攻击通常占针对Web应用的所有攻击的30%至50%。 目前黑客攻击所用到的技术一般有以下几类： SQL注入、网络钓鱼、跨站攻击、溢出漏洞、拒绝服务攻击、社会工程学等。 目前恶意Web攻击呈指数形式增长，对抗类似威胁的有效方法之一，就是对Web系统进行主动的安全防御：WEB安全网关应运而生。 Web安全网关诞生于2006年，经过近两年的发展，已经解决了性能跟不上、功能与检测准确度不够、部署比较复杂、维护难度较高等难题。 XXXXX门户网站作为电子政务的窗口和基本服务平台，经过多年的建设，已初具影响。现在系统配置了网络防火墙，但网站系统没有得到有效的防护，随时都有被攻击和篡改的可能。因为防火墙是针对网络层的防护，无法对应用层的攻击进行有效的防护。因此对网站的应用层防护非常迫切。 三、 保险协会查询网站安全需求分析 3.1、保险协会查询网站的作用 3.2、网站安全中的薄弱环节 目前的信息安全事件还主要局限于篡改网页和直接攻击，当然也不排除更大更严重的安全威胁，如利用网站漏洞侵入后台窃取信息；散播病毒进入系统，使系统瘫痪；干扰XX网站的正常服务等。如黑客通过网页隐蔽地传播木马程序、间谍软件或控制僵尸网络活动。这类攻击行为与传统的病毒、蠕虫攻击相比，更像一个威力强大的“看不见的敌人”，可以暗中控制攻击系统进行很多破坏活动，而且这种攻击将越来越专业化。 如此看来，电子政务安全建设一刻都不能放松，尤其是XX门户网站的信息安全问题要纳入电子政务安全体系建设范畴。 电子政务信息安全管理不是一成不变的，它是一个动态的过程，但又是一个必须“长抓不懈”的系统过程。随着安全攻击和防范技术的发展，电子政务的安全策略、技术和管理也在不断地发展。通过建立良好的应用安全防范机制，做到技术和管理的良好配合，是实现XXXXX市劳动和社会保障局电子政务信息系统WEB安全风险防范长期有效的重要途径。 3.3、网站的安全现状 “Web 网站使用了防火墙，所以很安全” 无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置可访问的端口或者应用，把恶意访问排除在外，然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许，后续的安全问题就不是防火墙所能应对的了。 “Web 网站使用了 IDS，所以很安全” 通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙，通过利用程序漏洞，通过正常连接进行攻击的访问无法被识别和处理。 “漏洞扫描工具没发现问题，所以很安全” 当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理，扫描工具无法对网站应用程序进行检测，无法查找应用本身的漏洞。 针对应用层面的攻击可以轻松的突破防火墙保护的网站。例如：最为常见的 SQL注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统而言，这是最为正常的访问连接，没有任何特征能够说明此种访问连接存在恶意攻击。所以，一些简单的 SQL 注入语句就可以使得装备昂贵网络安全设备的网站被轻松攻破。 令人惊诧的是，几乎所有关注 Web 安全领域的人都会存在着上面我们阐述的误区，而当前 Web 的安全现状也同时证明了这些误区的普遍性。“防火墙、IDS 是主要安全手段，SSL 保证了安全性，…”与之相对的是：互联网发展到今天，75％的安全问题竟然是出现在应用程序本身。正如上面介绍的 SQL 注入攻击一样，这是防火墙、SSL、入侵检测系统无法预防、解决和应对的！ 如下图所示，目前安全投资中，只有 10％花在了如何防护应用安全漏洞，而这却是 75％的攻击来源――10％ Vs 75％，这是多么大的差距！这也是造成当前 Web 站点频频被攻陷的一个重要因素。 当前安全现状统计分析图： 3.4、Web 安全漏洞分析 一个完整的 Web 防护不仅仅包含了常见的AV、Firewall 等防护手段，更需要针对应用本身做好安全防护，这也是解决75％安全漏洞的手段。那么什么样的攻击是防火墙、IDS、或者 SSL 无法应对的呢，他们又是如何利用应用本身的漏洞进行攻击的呢？下面我们将做详细的阐述。 我们通过SQL注入缺陷（Injection Flaws，排名第二的攻击）对攻击原理进行一下说明。在网站的应用中需要应用到大量的数据库查询检索等功能，例如最简单的例子是网站登陆，用户需要输入登陆名称和密码进行登陆认证。在早期的开发中通常使用最为简单的 select 语句实现此功能，即 select * from users where username = “XXXX” and password = “XXXX”( 假设数据库 user 表名称为 users，用户名和密码字段名称为 username 和 password)。通过截取用户在文本框中录入的字符串，再进行拼接，形成 select 语句，最终如果表 users 中有符合此条件的记录（即该用户名和密码），系统将会返回有效记录，从而允许登陆系统中。 然而，此开发方法隐藏了一个巨大的漏洞，黑客可以通过 SQL 注入攻击攻入网站。黑客在登陆界面录入的不是用户名，而是一串字符串 (’or 1=1 --)。黑客的目的是在原本应该录入用户的地方录入了一串字符串，导致整个 select 语句发生了变化： select * from users where username=’’or 1=1。 熟知 Select 语句的人知道，在条件语句中，无论用户名称是否正确，由于 1＝1 永远是正确的，所以 select 将会将所有 users 表中的数据返回。最终的结果是，黑客登陆到这个系统中。通过 SQL 注入攻击，黑客可以轻松的敲入一些 sql 语句登陆进网站、对隐秘数据进行查询等等。 除了注入缺陷攻击，常见的应用攻击还有跨网站脚本攻击、恶意文件执行攻击、不安全直接对象应用攻击、跨站点请求伪造攻击、信息泄漏以及利用错误处理机制展开攻击等等。每种攻击都类似 SQL 注入攻击，根据应用程序本身的漏洞，对系统进行破坏工作，例如：获取系统权限、获取机密信息、模拟合法用户等等。 综上所述，这些利用 Web 应用漏洞的攻击是 Web 安全最主要的威胁来源，75％的攻击来源于此，只有使用应用层的防护才能够对网站进行有效的防护。 WEB服务的网络拓扑结构 在WEB系统的网络出口处虽然部署了网络防火墙，但防火墙也有其自身的弱点。(见附件：防火墙的弱点) 四、 WEB安全网关防护网站系统 4.1、设计目标及需求分析 针对目前日益增多的应用层网络攻击行为，需要对网站能够提供有效的安全防护，选用天泰WEB安全网关对网站进行安全防护，防止网站被入侵、防止系统信息被修改、防止对后台数据库的恶意访问、杜绝DDoS攻击，保障系统服务的持续性。通过访问审计，帮助用户了解整个网站的使用情况，提供辅助决策功能。 4.2、在设备选型时，需要考虑以下几个因素： ² 安全性：对网站进行有效的防护，加强应用层的综合防护； ² 可靠性：提供的安全防护设备具有较高的可靠性； ² 先进性：采用先进、成熟的技术和主流的产品，使网络建设能适应未来的需求； ² 实用性：系统设计以实用性为原则，同时应考虑到系统的开放性，兼容性、技术支持服务等能力； ² 兼容性：要求对现有的系统具有良好的兼容性。 4.3、WEB安全网关部署的目标和范围 对XXXXX网站提供全方位的安全防护： n 对常见的WEB攻击进行安全防护 例如：SQL注入攻击，跨站脚本攻击，应用层DDoS防护，已知的蠕虫攻击,以及系统漏洞和系统溢出攻击防护等； n 对敏感资源和数据的非法访问进行阻断； n 提供多种技术的网站加速功能； n 灵活多变的伪装技术使系统避免探测和攻击； n 提供全面的Web流量管理，包括基于网站的流量控制，基于URL的流量控制，基于规则的URL流量控制，最大并发访问数,每秒最大并发访问，URL最大消费带宽等； n 强大的Web资源访问审计，高效的日志处理引擎，实时Web资源访问统计，海量日志处理，丰富的统计报表，详细的访问日志，访问者/访问时间统计报表，客户端操作系统/浏览器统计报表，被访问文件统计报表等； n 针对指定页面，可以查询该页面的访问状况。 4.4、WEB安全网关的选型及产品功能一览表 上海天泰公司在大量应用新技术的条件下，推出了“新一代”Web安全网关。在占领WEB安全技术的制高点上，天泰公司走到了Web安全的最前沿。 对于用户普遍关心的Web安全防御中的性能损耗问题，上海天泰Web安全网关通过采用缓存、压缩、快照等技术提升了WEB系统性能，在最近教育系统的网上查分系统上，使用天泰Web安全网关提高访问速度近10倍。 另外，对于Web内容的深度检测也受到用户重视。当前防御来自HTTP的威胁已经成为安全网关的首要问题之一。网站内容的可变性决定了只有进行经常性的检查才能得到最新的结果。天泰Web安全网关采取静默扫描加策略动态更新的设计理念，解决了应用层安全设备对高性能和时效性的依赖和需求。 在WEB服务器前面部署WEB应用网关，对WEB服务器提供全方位的安全防护，我们推荐上海天泰网络技术有限公司的WEB安全网关WAF-T3，其产品描述如下： 类别 产品描述 产品类型 1U标准机架式 专用千兆硬件架构平台 ≥4个千兆网络接口 全中文系统 部署模式 支持路由、透明、单臂模式部署，适应各种WEB应用和网络环境 WEB防护 防止网络层和应用层的DoS/DDoS攻击，保证应用服务的有效性 保护客户免遭传统安全措施所无法阻挡的应用威胁的侵害，并且无需单独部署应用安全防护设备。WebShield应用安全引擎可以帮助客户阻止会损害系统的应用层攻击 具备强大的基于策略的WEB站点防护功能。安全策略包含了需要对一个WEB站点进行保护的所有信息。内置了大量的专业优化的高效率检测规则，覆盖了当前主要的WEB攻击 支持WEB虚拟站点和服务，隐藏真实应用信息，对外发布WEB应用，提供应用的统一入口 WEB加速 采用多种加速技术,提高网站的访问速度. WEB流量控制 应用网关基于规则的流量管理可以在Web URL级别对流量进行控制, 优化应用系统的网络带宽使用 WEB审计 采集和统计用户对各个Web 应用资源的访问、页面点击率、用户IP、搜索引擎关键字等信息，实现有效的用户行为跟踪和访问统计分析 其他功能 网络攻击防护：NetShield引擎独特的包检测和过滤功能可支持管理员制定策略来保护系统不受这些攻击 虚拟服务：提供多DMZ区域，有效保护不同应用区域安全 ARP攻击防护：能够针对WEB服务器和WEB安全网关网络的ARP攻击进行有效的防护 SNMP管理：支持SNMP管理服务器，可纳入统一的安全网络管理体系 性能指标 保护1-5个网站数 产品资质 公安部《计算机信息系统安全专用产品销售许可证》 WEB防护拓扑结构图： 4.5、 WEB安全网关的主要功能 （1） 提升系统性能 通常，在确定应用性能问题不是由网络基础设施引起之后，那就会认为是服务器硬件造成的。天泰Web安全网关使用多种技术提高应用性能。在应用数据发送到客户端之前，天泰WebCompress™引擎对Web应用数据进行压缩，改善了终端用户性能，降低了带宽消耗；天泰WebCache™引擎实现了对静态和动态生成的HTTP应用内容的高速缓存，因此加快了到用户端的数据传输。另外，天泰Web安全网关还提供多种TCP优化手段来改善网络和服务器基础设施的性能。TCP连接复用将上千客户端短连接减少为少量持久的服务器连接。该TCP优化和其它TCP优化功能可减少服务器负载，改善服务器性能，加速应用响应时间。天泰安全网关的TCP优化对客户端和服务器是完全透明的。 （2） 保护系统安全 天泰Web安全网关具备全面的攻击防御系统，可保证系统不受网络蠕虫/病毒和应用专用漏洞的攻击,最大可能地缓解DoS/DDoS攻击对应用的影响。应用网关系统的核心是WebSwitch™引擎, 该引擎提供了独特的、高性能的第7层功能组合。通过对应用请求进行检查，辨别恶意内容并阻止其进入应用服务器。天泰Web安全网关的安全功能包括： Ø 网络攻击防护——通过在恶意蠕虫和病毒进入应用服务器前进行识别并拒绝，保护应用服务器不受侵袭。天泰Web安全网关的NetShield™引擎独特的包检测和过滤功能（包括对加密流量进行检测）可支持管理员制定策略来保护系统不受这些攻击。 Ø DoS/DDoS攻击保护——识别网络层和应用层DoS/DDoS攻击，最大可能地地缓解攻击对网络和系统造成的危害。 Ø Web应用防火墙——能够完美地保护客户免遭传统安全措施所无法阻挡的应用威胁的侵害，并且无需单独部署应用安全防护设备。天泰WebShield™ Web应用安全引擎不仅可以帮助客户阻止会损害系统的应用层攻击，还能帮助企业满足法规要求，如支付卡行业(PCI)的数据安全标准。 Ø SSL加密——应用内容在传输过程中都受加密保护，通过转移服务器复杂的加/解密任务从而将应用处理能力发挥到了极致。该功能使管理员能保护敏感应用内容的安全，使其摆脱被窃取及被滥用的潜在威胁。 （3） 加强系统审计 天泰Web安全网关能够采集和统计用户对各个Web应用资源的访问、页面点击率、用户IP、搜索引擎关键字等信息，从而实现有效的用户行为跟踪和访问统计分析。提供针对某个页面的访问情况查询功能。 天泰Web安全网关提供的丰富的统计报表不但为系统的安全审计提供了详细的数据，还降低了应用系统的管理维护难度。 （4） 降低系统成本 通过减少所需服务器数量和通过优化可用网络带宽的使用，天泰Web安全网关降低了应用交付的总成本。通过使用直观易用的管理界面，大大降低了系统维护管理成本。另外天泰Web安全网关通过在单一解决方案中集成多种功能，降低了系统整体营运费用。 附件 防火墙的不足 1.防火墙不能抵抗最新的未设置策略的攻击漏洞 对于网路攻击行为的防护，就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络，那么防火墙也没有办法进行有效的防护。 2.防火墙可以阻断网络层攻击，但不能消灭攻击源 互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。 3.防火墙对服务器合法开放的端口的攻击大多无法阻止 某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。对WEB服务器的攻击就属于此类攻击行为。 4.防火墙对待内部主动发起连接的攻击一般无法阻止 “外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将铁壁一样的防火墙瞬间破坏掉。另外，防火墙内部各主机间的攻击行为，防火墙也只有如旁观者一样冷视而爱莫能助。 5．防火墙本身也会出现问题和受到攻击 　防火墙也是一个os，也有着其硬件系统和软件，因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。 6．防火墙不处理病毒 不管是funlove病毒也好，还是CIH也好。在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的。 防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。 - 14 -