首页 > 解决方案
Web网站安全整体解决方案

一、项目综述

1.1项目背景

当前网络公共信息安全已经成为社会舆论持续关注的焦点,国家对加强信息安全管理的重视程度,已经提高到了新的高度。包括门户网站在内的用户网站系统作为对外服务与展示的窗口,肩负着信息发布、电子办公等重要使命。随着我国的快速持续发展,国际地位的不断提升,XXX各网站系统将会成为省内甚至国内具有极大影响力的网站,网站巨大的政治影响和商业利益将会带来越来越多入侵者的注意,被攻击的可能性大大增加。用户网站系统是尤其重要的系统,其中所承载的办公功能、数据信息以及社会责任异常重大,不容有任何的闪失。因此,对网站系统进行安全加固升级,防患于未然就显得非常重要。

虽然目前网站系统网络边界已部署防火墙系统等针对网络层攻击的防护设备,但这些设备均工作在网络层面,对于网站系统有可能出现的应用层漏洞显得力不从心,无法达到有效的防护效果。对于SQL注入、XSS跨站脚本等目前比较流行的应用层攻击方式以及各种未知的系统层漏洞,目前各网站系统并不具备防

护能力,一旦被恶意入侵者在不断尝试中发现可利用的漏洞,会对Web服务器进行入侵,当其获得控制权后轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码(挂马),使得更多网站访问者受到侵害,这将极大的影响XXX的形象。

因此根据目前XXX网站系统的安全现状,需采取有针对性的网站安全防护加固措施来保障网站系统的持续、稳定运行。同时,为了在重大节假日前、系统改版更新及新开发系统上线前预先进行安全检测,评估网站程序是否存在安全隐患,需要使用单独的扫描系统进行检测。

综上所述,本期项目建设拟根据已有的网站系统安全防御措施进行扩容升级,从时间上覆盖包括事前预警、事中防御以及事后追溯的闭环安全时间轴,从空间上覆盖由边界至主机的立体安全范围,构筑包括安全系统、安全设备、安全运维、安全评估以及配套安全管理制度的多维度、细粒度安全防御体系。

1.2预期成果

    通过本期项目建设,各网站系统应当构筑起多维度细粒度的网站系统安全防御体系。不仅仅单纯的依靠某一种安全系统或安全设备,而是从整体的业务保障需求及业务发展需求出发,融合安全系统、安全人员及安全制度,力争在满足现有各项安全建设标准的前提下有所创新,有所突破,成为新的标准。

二、项目建设必要性

2.1需求分析

通过近年的网络安全建设,XXX网络系统得到了进一步的安全保障,但同时也存在众多安全隐患,一旦相关系统网站遭到恶意入侵者攻击将对XXX的形象、信誉及财产造成极大的负面影响,目前采取的安全措施主要是通过防火墙等系统对网络边界及系统攻击进行防护。对于新型的Web应用攻击方式,如SQL注入、XSS跨站等攻击方式的防护效果较差,不能发挥应有的保护效果,已经不能适应目前的网络安全发展形势。

针对网站系统现状分析,尚存在以下安全隐患及风险:

2.1.1攻击方式分析

以目前常见的Web攻击方式为例,大致可分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出、目录遍历漏洞利用等进行攻击;二是利用网站系统程序脚本等的安全漏洞进行攻击,如SQL注入、跨站脚本攻击等。常见的网站应用攻击主要有如下几种:

1)非法上传(WEB Shell):利用上传木马等方式获取WEB Shell,通过各种方式获取管理员权限后进行文件上传、修改等手段来篡改网页,越权获取信息。恶意人员通过WEB Shell与服务器的数据交换都是通过80WEB端口进行,因此可以穿越防火墙。常用于攻击允许用户上传的网页系统。

2SQL注入(SQL盲注)攻击:恶意人员利用网页系统的漏洞,在访问网页时构造特定的参数实现对WEB系统后台数据库的非法操作,常用于非法修改动态网页数据或者越权获取网页信息。

3XSS跨站脚本攻击:恶意人员利用网页系统的漏洞,当用户提交数据与服务器进行交互时, 攻击者将恶意脚本隐藏在用户提交的数据中,实现篡改服务器正常的响应页面。

4)缓冲区溢出攻击等系统层漏洞攻击:恶意人员利用操作系统等的缓冲区溢出漏洞获取管理员权限,修改网页文件或者动态网页数据,甚至控制服务器进行其他活动。

2.1.2防火墙的局限

防火墙在网络边界得到了广泛的部署,目前主要采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足Web应用防护的需求。防火墙的不足主要体现在:

1)传统的防火墙作为访问控制设备,主要基于IP报文进行检测。设计之初,它就无需理解Web应用程序语言如HTMLXML,也无需理解HTTP会话。因此,它也不可能对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。这样,就留下极大的Web应用安全隐患。

2)有一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,但局限于最初产品的定位以及对Web应用攻击的研究深度不够,只能提供有限的Web应用防护,难以全面的解决当前众多的Web应用安全问题。如SQL注入、XSS跨站脚本漏洞引发的网页篡改及敏感信息泄露等,目前的防火墙系统均无法提供有效而全面的防护,只能在一定程度上缓解攻击。

2.1.3建设需求分析

本期项目需要针对网站系统部署防篡改系统,加强对于来自互联网的攻击抵抗能力,使得即使存在安全隐患的网站系统依然能够防止网络攻击入侵及非法修改。防范的攻击方式包括SQL注入攻击、XSS跨站攻击、上传攻击、网页挂马等。

而防篡改系统建设只能保证网站内容及数据的完整性及有效性,但一些并非针对网站本身内容及数据的攻击方式,如针对网站应用层的缓冲区溢出攻击、针对网站系统的应用层DDOS攻击以及新型的针对网站访问者进行的CSRF跨站伪造等攻击形式,则需要使用WAF应用防火墙系统来完成。

同时,为了在重大节假日前、系统改版更新及新开发系统上线前预先进行安全检测,评估网站程序是否存在安全隐患,需要使用单独的扫描系统进行检测。

 

2.2建设依据

    项目建设将结合XXX自身环境及业务管理需求,遵循国家各项标准制度及网络信息安全标准,主要依据规范标准包括:

MSCTC-GFJ-08 信息技术网站恢复产品安全检验规范》

GB/T18336.1-2001 信息技术安全技术 信息技术安全性评估准则第1部分:简介和一般模型》

GB/T18336.2-2001 信息技术安全技术 信息技术安全性评估准则第2部分:安全功能要求》

GB/T18336.3-2001 信息技术安全技术 信息技术安全性评估准则第3部分:安全保证要求》

《信息系统安全等级保护基本要求(GB/T 22239-2008)》

等相关文件。

   

 三、项目建设目标

3.1建设目标

本期项目建设拟根据已有的网站系统安全防御措施进行扩容升级,从时间上覆盖包括事前预警、事中防御以及事后追溯的闭环安全时间轴,从空间上覆盖由边界至主机的立体安全范围,构筑包括安全系统、安全设备、安全运维、安全评估以及配套安全管理制度的多维度、细粒度安全防御体系。

从安全角度考虑,需要针对各种网站应用层的攻击形式提供有效检测、防护、阻断,降低攻击的影响,从而确保网站系统的连续性和可用性。

   

3.2技术路线

    本期项目建设不仅需要考虑安全技术的完备性,同时需要对投入成本进行考虑。“成本”不仅仅意味着购买安全产品及服务产生的直接支出,还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销等。

最为理想的情况,解决根本问题的方式是对Web应用代码进行源代码整改,严格遵循安全编码,确保网站安全。但通常,源代码审计花费的人力、物力、财力代价过大,对正常业务开展有很大的负面影响,往往得不偿失。

本期项目提出的建设方案为综合使用防篡改系统、WAF应用防火墙系统及Web应用安全扫描系统。

3.2.1防篡改系统

防篡改系统的防护功能主要由安装在Web服务器上的监控客户端实现,该部分主要分为两大模块:文件防护模块及动态防护模块。

文件防护模块负责对网站服务器上的文件内容部分进行防护,而动态防护模块负责对动态应用及数据调用进行防护。


图 系统逻辑架构图


图 系统工作原理图

 

3.2.2应用防火墙系统

网站应用防火墙技术(Web Application Firewall 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙技术不同,WAF技术工作在应用层,因此对Web应用防护具有先天的技术优势。WAF技术对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。

WAF技术能够对恶意攻击者针对网站应用系统的入侵行为、SQL注入、XSS跨站脚本、CSRF跨站伪造等各类Web应用攻击、DD.o.S攻击、缓冲区溢出攻击进行有效检测、阻断及防护。能够作为防火墙系统及防篡改系统的补充为网站系统构筑完善的由三层至七层的网络安全防御体系。

运用WAF技术是防篡改系统的一个完善补充,WAF技术不能针对网站页面、脚本及相关文件内容提供防篡改保护,不能阻止恶意攻击者对于网站页面的篡改等行为,不能够替代防篡改系统。同时,对于网站系统来说需要结合网站安全扫描等安全措施共同实现完整的安全体系。

   

3.2.3应用安全扫描系统

    应用安全扫描线通过复杂的和全面的方法检测 Web 应用安全漏洞,通过并发爬虫审计技术对网站进行全面的、深入的、彻底的风险评估。通过综合性的规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)以及智能化爬虫技术及SQL注入状态检测技术,使得扫描结果速度快,结果准确。

技术架构如下图所示:

   

 

在通常情况下,扫描系统自动化工作方式如下:

爬虫将参考robots.txtsitemap.xml爬过整站链接,对网站结构进行树形展示。对发现的每个页面进行检查和自动化扫描。如果发现漏洞存在,UnisWebScanner显示相关的POST字段、HTTP响应头、影响链接及解决建议。扫描完毕后,可以选择对存在的漏洞进行漏洞验证。如果漏洞真正存在,将有可能获得数据库的敏感信息。对于每次的扫描任务,可以保存为工程,也可以打开已保存的工程继续扫描。

四、项目建设方案

4.1进度计划

   

序号

项目

时间

1

进行详细需求调研,完成设计

2

2

提交方案,进入审查

1

3

项目立项,招投标

2

4

合同签订及系统设备到货

2

5

系统设备安装调试及消缺

3

6

系统试运行

3个月

7

系统验收

1

 

本期网站系统安全建设项目,实施按工程建设的内容分为安全系统扩容建设,实施大体上分为设备采购、安装、联调测试、初验试运行、培训和正式验收等几个阶段。

 

4.2建设方案

系统设计的总体目标是安全的最大化、对维护人员的应用是简易便捷化,对网络用户是透明化。即在不影响网络用户正常浏览网站、不改变原有的网站结构、维护方式的前提下对网站实施最大的限度的保护。

本期项目主要采用防篡改系统及WAF应用防火墙模块对网站系统进行安全加固,并使用扫描系统定期进行安全检测。WAF应用防火墙模块为硬件形态,一般以透明模式接入网站服务器前端,形成防护。WAF模块的主动防御功能,能够在极大的范围内阻截非授权的操作,无需纷繁复杂的操作过程,只需配置相关的站点即可实现针对站点的有效保护。可以与防篡改系统进行相互补充,对网站的安全防护起到至关重要的作用。扫描系统能够预先定位网站目前的安全风险,使得网管人员能够对安全现状有直观的认识。

4.2.1系统选型

本期项目系统的产品选型应当选择技术先进、应用广泛、性能稳定、资质齐全、厂家信誉及服务良好的产品。

本期项目需要对重点网站及服务器进行有效防护,避免发生恶性安全事件,造成不良影响,建设的安全防护系统应要能够阻断对受保护网站的非法操作,可有效地甄别合法操作和非法操作,阻断非法操作对网页的篡改,具备触发式篡改检验引擎,针对受保护网站文件的增删改操作,校验合法性,具备良好的操作运维界面,以及全面细致的安全日志系统。

经综合考虑,本次项目安全建设拟采用北京国舜科技有限公司提供的:

UnisGuard网页防篡改保护系统

UnisGuard网站应用安全防护系统WAF应用防火墙模块

UnisWebScanner网站应用安全扫描系统

该系列产品属于目前市场技术领先产品,产品相关资质齐全,入选中央政采协议供货,具备丰富的大型应用案例,在电信运营及政府领域占据市场主导地位,厂家信誉良好。

4.2.2项目重点解决问题

1)管理范围

每台WAF模块对部署在其后方的网站系统提供保护。防篡改系统部署在网站服务器之上,对服务器主机进行保护。扫描系统能够对网站系统进行安全扫描,能够部署在任意能访问到网站的位置。

2)处理能力

由于WAF模块是以透明模式串接在网络中,因此系统处理能力必须满足高性能、高稳定性要求,需要实时收集并处理相关信息,如果处理能力不足,将造成丢包、延迟等功能问题,影响业务系统的服务能力。

防篡改系统及扫描系统要求对网站系统没有明显影响,峰值资源耗用应当低于10%,正常资源耗用应当小于2%

3)展现

各系统要能够对收集和处理的信息进行及时的整理,并分区域的对信息进行呈现,确保信息和呈现的一致性,并对展现内容描述,确保信息展现的清晰和有效。

4)控制能力    

各系统能够在架构、处理能力、统一展现的基础上,具备相应的控制手段,对于非法的攻击行为进行有效的阻断,可以实现完全自动的工作方式。

5)辅助手段

对于网站系统应进行定期的安全扫描,并进行安全加固。

4.2.3系统性能环境要求

本期项目建设拟部署高性能WAF应用防火墙模块,该WAF模块为硬件形态,部署于防火墙系统与交换机之间,采用透明方式接入。同时在服务器主机之上部署防篡改系统。

WAF模块应具有高性能要求,能够满足较大的数据吞吐量处理能力及较高的每秒HTTP新建连接数的性能要求。系统应采用双操作系统,提供冗余备份能力,并内置Bypass功能。

防篡改系统应当能够满足实时防护要求,对系统的峰值资源占用低于10%,正常资源耗用低于2%

网站应用安全扫描系统应采用便携设备方式(笔记本电脑等),便于接入各种网络环境,便于携带、移动使用。系统要求能够检测各种网站应用安全漏洞,能够对检测出的漏洞进行验证,扫描效率高,漏报、误报率低。

4.2.4系统部署


系统部署示意图

   

4.3风险控制

4.3.1政策环境风险分析及对策

目前,用户业务系统网络结构可能进行调整,应用系统结构的设置及其职能可能会在未来进一步做出调整。为规避这些风险,使应用系统能够适应机构职能调整,本期项目的扩容建设将充分利用现有的信息技术手段,使整个系统具有可扩展性,易于维护升级,更加有效的为用户服务。

4.3.2技术风险分析及对策

本期项目建设可能存在对网络结构、性能,信息安全体系等方面考虑不足的问题,如果通过系统试运行,发现存在缺陷后,可在系统的试运行阶段进行改进和优化。配置的硬件主要包括WAF应用防火墙模块等。原则上使用国内拥有的比较成熟产品,技术上问题不大,主要是保证产品质量,并符合国家有关政策及集团标准要求。

4.3.3组织协调和人力资源风险分析及对策

在工程建设过程中,根据工作需要分级确定专职工程负责人并充分授权。切实加强对系统内部技术人员的知识和能力培训,均衡调度系统的业务和技术人力资源,稳定骨干人员,增强团队的凝聚力。

为了避免在工程建设过程中对服务商的管理、协调不力,用户将加强全过程的质量控制,在招标书、合同等文件中明确服务商应遵循的质量管理体系,明确项目工作范围,明确系统边界、需求、约束条件等前置条件,规范管理。
关于基创隆    联系我们    资料下载