WEB应用安全解决方案
应用防火墙与网页防篡改系统的联动
第1章 需求分析
1.1. 面临现状
随着互联网应用的普及,信息的获取越来越依赖于网络,从而进一步推动了互联网应用和网站建设。但是,随着网站建设的规模化,网站安全问题迅速严峻。这一点从国庆60周年公安部安全大检查的报告可以看出。
为了保障网站安全及互联网信息的正确可信,公安部早在2005年12月1号正式颁布了《互联网安全保护技术措施规定》,即公安部第82号令,并要求于2006年3月1号起开始实施。该规定在第九条第三款中明确指出:“开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复”。
CNCERT/CC相关人员表示,网络攻击者们目标明确,篡改政府网站主要是为了泄愤,而利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒主要是为了盗用用户个人信息谋取利益。为了达到更好的攻击效果,网络黑客也在不断更新自己的技术手段,木马程序已经成为其中最主要的手段之一,应用也最为广泛。更为可怕的是,由于网络木马、病毒背后巨大的经济利益催生了病毒产业化的进程,制造、传播、交易一条龙,严重威胁到国家和个人的财产安全。
简而言之,我国网络与信息安全形势异常严峻,加强安全建设刻不容缓。
1.2. 解决思路
目前,网站安全建设主要是由防火墙、入侵检测构成的两层防护体系。出现如此严峻的网站安全问题,充分说明了该体系对于网站篡改攻击防范的局限性,以下从技术方面进行阐述:
1. 从设计思想的角度分析,防火墙、入侵检测等安全类产品都需要依赖于特定的规则库来识别威胁,由于规则的形成或升级必然落后于攻击手段的变更,这在一定程度上为网站攻击提供了时间的空隙,从目前发生的大多数网站/网页被篡改的案例分析,主要是借助这个时间差进行的。因此,基于特征库的进行安全防范的产品或系统是无法确保网站内容安全的。
2. 从防护的方法来说,网页防篡改产品着眼点在于“事后恢复”,可防止篡改的危害扩大。但是它不能防止攻击发生;并且他只有在攻击发生对网页篡改的行为时才能产生作用,而事实上多数类型的攻击并不篡改网页,如DDoS攻击、CC攻击、溢出攻击、cookie窃取、密码拦截、数据窃取等;还有很多攻击有可能产生篡改行为,但多数情况并不会篡改网页,如SQL注入、目录穿越等;即使是“事后恢复”,网页防篡改产品也存在工作原理漏洞、服务负载增加、检测机制绕开、连续篡改等安全问题。而应用防火墙能在应用层理解分析HTTP会话,因此能有效的防止各类应用层攻击,所在在解决方案中我们提倡采用“动静”结合的安全布署方式,同时如果应用防火墙和网页防篡改产品采用同一品牌可实现应用防火墙、网页防篡改和服务器联动,实现统一管理、事前防御的目的,提供整个IT设施的安全性。
3. 从技术实现的角度分析,防火墙、入侵检测等安全类产品主要是针对链路层、网络层信息进行威胁识别,然而,从近几年网站篡改的大量案例来看,攻击过程所包含的信息内容在链路层、网络层都是合法的,问题其实主要出现在应用层面,因此传统的安全防护体系对此类攻击的防范效果不甚理想。
第2章 产品介绍
当前的网站安全建设主要是由防火墙、入侵检测构成的两层防护体系。然而,根据权威机构的统计,75%的信息安全攻击都是来自web应用的层次上的。
根据市场的需求,目前市场上各安全厂商研发了针对web内容安全的一系列产品及网站安全评估及加固服务,已形成网站内容安全领域最具技术领导力的产品家族—Web应用防火墙和网页防篡改系统。
2.1. WEB应用防火墙
Web应用防火墙,面向金融、政府、企业、电子商务等所有涉及Web应用的行业,保护WEB 网站及服务器免受各种恶意攻击,优化业务资源,保障Web应用的可用性和可靠性。 Web应用防火墙工作在应用层,对HTTP(S)进行双向深层次检测:对于来自Internet的安全威胁进行实时防御,避免入侵者利用应用层漏洞非法获取或破坏网站数据,可以有效地抵御黑客的各种攻击,如SQL注入攻击、命令注入攻击、跨站脚本攻击、跨站伪造、缓冲区溢出、恶意编码、应用层 DOS/DDOS攻击等;同时,对WEB服务器侧响应的出错信息、恶意内容及不合规内容进行实时过滤,避免敏感信息泄露,确保网站信息的可靠性。 Web应用防火墙还提供网络访问和流量的实时监控,帮助用户直观的了解网站工作状态;借助SSL加速功能,可以显著提高网站的访问速度与并发量。
2.2. 网页防篡改
网页防篡改系统解决了传统的两层防护体系中存在的安全漏洞,采用“容灾为主、预防为辅”的设计思想,从应用层面解决网站内容安全的问题。
1. 该系统主要的防护功能不依赖于特征库,采用“强认证”机制确保内容正确性。因此,该系统不受网站攻击手段变化带来的负面影响,是一款充分体现“以不变应万变”设计思想的安全类软件。
2. 该系统在技术实现方面也完全不同于防火墙、入侵检测等产品,其主要关注应用层信息的合法性。该系统以嵌入式过滤技术为核心,辅以实时阻断、事件触发等多种预防性保护技术,从而形成针对网站文件的多层次纵深防御体系。
防篡改产品一般由三个相互独立的子系统构成,分别是监控代理Monitor Agent(简称MA)、同步代理Synchronization Agent(简称SA)和管理中心Management Center(简称MC)。
·监控代理MA——部署于网站服务器,负责实时监控保护网站文件,发现篡改企图或篡改操作实时发送恢复请求,并及时提交告警信息。
·同步代理SA——部署于同步服务器,负责实时监控备份文件变更,以及监控代理提交的恢复请求,并根据请求执行向网站服务器的文件同步。注:同步服务器通常情况下指CMS 服务器或FTP服务器。
管理中心MC——逻辑上部署于管理服务器,作为用户与系统之间的接口,负责将操作指令传达给监控代理和同步代理;同时,负责实时接收来自代理端的各种告警信息并及时通知用户。
第3章 解决方案
目前大多数政府对外服务门户网站,以及各大金融能源等重要民生单位网站作为对外服务窗口,展示单位形象及实时发布最新的环境监控信息;为了保证网站内容的安全,门户网站WEB应用安全策略需要对WEB访问请求的前期、中期进行全方位的考虑,建立立体化的防御体系,提供事前阻断和事中防御。
总的来讲,门户网站其对于网站应用安全的关注点主要可以归纳为如下几点:
·用户的访问请求能够进行分类筛选,从而区分出恶意的访问请求,并能够根据一定的规则进行有效的阻断;
·防止篡改网站信息,实时监控网站和即时复原正确的网站内容,确保网站安全、可靠和稳定运行,任何恶意篡改痕迹将被实时保留,并能够主动及时地通知管理人员;
·实现动态防护和静态防护的结合,对网站应用安全设备进行统一监控、统一布署,实现应用安全设备与网站的相互联动;
针对用户的需求和解决思路,结合目前web内容方面的安全产品技术特点及服务,可以为用户提供一个完善的解决方案。
3.1. 方案架构
基于目前应用安全产品构建的客户的Web应用安全平台如上图所示,平台通过应用防火墙系统、网页防篡改系统为门户网站应用构筑了“事前阻断+事中防御”的纵深防御体系。
3.2. 主要功能
3.2.1. 事前阻断
作为网站安全的事前过滤与阻断系统,其首先必须要具备完备并且及时的规则库与方便的管理功能,可以将功能划分为如下四个方面:
·攻击检测阻断
防止黑客通过注入SQL语句的方式从网站关联的数据库中获取、修改数据信息或攻击数据库。采用正则表达式描述规则,提高规则的可扩展性和可维护性。防止黑客通过注入脚本漏洞方式在网站中植入跨站攻击脚本、进而攻击访问者等等。
·规则定义扩展
用户可针对网站的特性,可以自定义一些规则,来防止非法信息的提交与显示。同时,系统自动远程升级通用过滤规则,从而具备针对最新发现/发布Web漏洞的防御能力。
·告警与审计
实时的报警能力,针对网站进行的攻击入侵操作,系统提供实时的报警处理,将相关详细信息以告警的方式提交给网站管理人员。详细的日志信息不仅可用于遭受攻击责任的追究和落实,同时也为管理人员全面了解网站安全和系统运行状况提供了必须的资料。
w ·用户管理
为提高网站管理的安全性,系统提供多级用户管理机制,不同用户的权限(资源配属)可根据实际需求进行控制。
3.2.2. 事中防御
到了网站内容安全事中防御阶段,首先必须要具备完善的保护机制,保护对象包括静态/动态页面、数据库、图片、文档等各类文件,其次还要具备相应的辅助功能,以便于用户的各种管理性工作。根据该系统的特点,可以将功能划分为如下五个方面:
w ·监控与恢复
针对网站文件安全的保障机制,实时监控网站文件的变更,有效降低篡改发生的概率,并且一旦发生篡改,可以自动实时地进行文件恢复。此外,对所有互联网访问进行内容过滤,以确保发布内容的正确性、权威性。
·同步与备份
与各类网站发布方式(如ftp、CMS等)无缝集成,确保网站内容正常更新维护的自动化、实时性。同时,提供网站备份的能力,以便保障系统实施过程中的初始化可以在不借助第三方软件的情况下顺利进行。
·告警与审计
实时的报警能力,针对网站进行的各类篡改企图或篡改操作,系统提供实时地报警处理,将相关详细信息以告警的方式提交给网站管理人员。详细的日志信息不仅可以用于篡改责任的追究和落实,同时也为管理人员全面了解网站安全和系统运行状况提供了必须的资料。
·防SQL注入
防止黑客通过注入SQL语句的方式从网站关联的数据库中获取、修改数据信息或攻击数据库。采用正则表达式描述规则,提高规则的可扩展性和可维护性。
·用户管理
为提高网站管理的安全性,系统提供多级用户管理机制,不同用户的权限(资源配属)可根据实际需求进行控制。
3.3. 部署方案
根据门户网站的安全需求,以应用安全产品家族中的应用防火墙、网页防篡改为基础的门户网站安全解决方案部署示意图如下所示:
1、在网站服务器前端部署应用防火墙系统(硬件)1台,对WEB业务进行动态攻击防护,依据一定的规则对访问请求进行过滤,对攻击性的请求实施阻断,有效抵御黑客的攻击手段,使web站点拥有更强的健壮性和安全性;
2、 选择网页防篡改系统【1套】,在网站服务器分别部署网页防篡改系统的监控代理,负责实时监控保护网站文件,发现篡改企图或篡改操作实时发送恢复请求,并及时提交告警信息;
另外新添加1台服务器,部署网页防篡改系统两个子系统备份服务和统一监管平台。该服务器备份Web服务器上的网站内容,以及作为今后网站发布更新的同步服务器负责实时监控备份文件变更,以及监控代理提交的恢复请求,并根据请求执行向网站服务器的文件同步。统一监管平台作为用户与系统之间的接口,负责将操作指令传达给监控代理和同步代理;同时,负责实时接收来自代理端的各种告警信息并及时通知用户,更重要的是通过统一监管平台统一布署应用安全防护策略,实现应用防火墙和网页防篡改系统的联动。
3.4. 方案特点
3.4.1. 纵深防御,整体联动,立体调控
根据黑客攻击特点的不同,为系统各网站应用部署应用防火墙、网页防篡改系统,同时选择同一厂商的应用防火墙和网页防篡改系统可以提供安全可靠的统一监管理平台,可以实现应用防火墙和网页防篡改系统的联动,同时提供“事前+事中”二位一体的纵深防御体系。目前主流的安全厂商都支持应用防火墙和网页防篡改系统的联动,同时在防火墙和IPS等设备上进行异构,达到立体调控的效果。
3.4.2. 环境普适,全面支持
随着网站应用的深入,业务的扩展,基于安全性、稳定性等方面的考虑,昆明市环境监控中心门户网站应用在原有Linux环境的基础上,新系统可能向Unix平台迁移。在这种情况下,产品的环境兼容性就显得格外重要,产品家族需要是支持环境最全面、兼容性最完善的产品,目前主流的应用安全厂商如启明、中创、天存都有较高的安全性和稳定性,也有较多的用户安例。
·支持所有主流操作系统,包括windows、linux、unix等;
·支持所有主流数据库,包括oracle、Sqlserver、sybase、mysql等。
3.4.3. 安全性高,可用性强
整个应用安全防护系统的数据和自身安全性得到保障。
·信息传输的安全性
系统以作为基本网络运行环境,从以下两个方面提供信息的安全传输:
·完整性:完整性保护可以防止对消息的非法但又难以察觉的篡改,以及确保消息能以正确顺序到达,且无增加或减少。
·机密性:保证消息在传输中无法被窃听。
·系统自身的安全性
系统提供进程级的守护能力,保障核心业务进程的故障恢复和安全性。
