Web应用安全解决专项方案.docx

《Web应用安全解决专项方案.docx》由会员分享，可在线阅读，更多相关《Web应用安全解决专项方案.docx（20页珍藏版）》请在咨信网上搜索。

目 录 一. 项目背景及必需性 3 1.1 项目背景 3 二. 中国铁建Web应用安全风险分析 6 2.1 应用层安全风险分析 6 2.1.1 身份认证漏洞 6 2.1.2 www服务漏洞 6 2.1.3 Web网站应用漏洞 6 2.2 管理层安全风险分析 7 三. 中国铁建Web网站安全防护方案 8 3.1 产品介绍 9 3.1.1 WebGuard网页防篡改保护系统处理方案 9 3.1.2 WebGuard-WAF综合应用安全网关 12 3.2 系统布署 18 3.2.1 具体布署 18 3.2.2 布署后效果 19 四. 系统报价 20 一. 项目背景及必需性 1.1 项目背景 多年来，信息技术飞速发展使大家获取、交流和处理信息手段发生了巨大改变，伴随信息时代到来，信息化发展也为移动工作带来了新挑战和机遇。 近两年来，黑客攻击、网络病毒等等已经屡见不鲜，而且一次比一次破坏力大，对网络安全造成威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。在企业网中，网络管理者对于网络安全普遍缺乏重视，不过伴随网络环境恶化，和一次次付出惨重代价教训，企机关网管理者已经将安全原因看作网络建设、改造关键步骤。 中国相关行业网站安全问题有其历史原因：在旧网络时期，首先因为意识和资金方面原因，和对技术偏好和运行意识不足，普遍全部存在“重技术、轻安全、轻管理”倾向，政府网络建设者在安全方面往往没有太多关注，常常只是在内部网和互联网之间放一个防火墙就万事大吉，有些政府甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充足施展身手空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络全部将是致命性。 伴随网络规模急剧膨胀，网络用户快速增加，网站在各行业信息化建设中已经在饰演至关关键角色，作为数字化信息最关键传输载体，怎样确保企业、金融证券、政府及机关网络能正常运行不受多种网络黑客侵害就成为各地政府不可回避一个紧迫问题；所以，处理网络安全问题刻不容缓。 目前企业、金融证券和政府业务系统大全部居于B/S架构，使用Web应用来运行关键业务，然而，Web应用安全威胁已成为目前信息安全关键威胁，从以下数据能够看出，80%以上信息安全威胁来自于Web应用： 图1.1 信息安全事件分布 图1.2 Web漏洞发展趋势 图1.3 最新十大安全威胁 从以上数据能够看出，伴随Web应用极速发展及大量使用，Web应用漏洞在急剧增加，Web安全威胁已成为目前信息安全关键威胁。所以，在平台业务建设同时，必需加强Web应用安全建设，经过全方面有效Web安全防护，保障业务系统正常稳定运行。 基于以上数据信息能够看出，中国铁建对外网站直接暴露在互联网，存在极大安全威胁，需要对Web网站做必需安全防护。 二. 中国铁建Web应用安全风险分析 2.1 应用层安全风险分析 Web应用系统关键存在以下安全风险：用户提交业务信息被监听或修改；用户对成功提交业务进行事后抵赖；因为移动网络对外提供网上WWW服务，所以存在外网非法用户对内部网和服务器攻击。 2.1.1 身份认证漏洞 服务系统登录和主机登录使用是静态口令，口令在一定时间内是不变，且在数据库中有存放统计，可反复使用。这么非法用户经过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很轻易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。 对移动系统网上移动服务平台，必需加强用户身份认证，预防对移动网络资源非授权访问和越权操作。 2.1.2 www服务漏洞 Web Server现在正在成为移动系统对外宣传、开展业务基地，但公开服务器本身不能确保没有漏洞，不法分子可能利用服务漏洞修改页面甚至破坏服务器。系统中BUG，使得黑客能够远程对公开服务器发出指令，从而造成对系统进行修改和损坏，包含无限制地向服务器发出大量指令，以至于服务器“拒绝服务”，最终引发整个系统瓦解。这就要求我们必需提升服务器抗破坏能力，预防拒绝服务（DOS）或分布式拒绝服务（DDOS）之类恶意攻击，提升服务器备份和恢复、防篡改和自动修复能力。 2.1.3 Web网站应用漏洞 Web网站用于对外提供服务，作为对外展示窗口，部分网站和用户还有相当部分数据交互，Web网站应用在开发过程中，难免会出现部分漏洞，如：SQL注入漏洞、跨站漏洞、敏感信息泄露漏洞等，这些漏洞很轻易被黑客检测到并加以利用，达成篡改数据，截取数据信息等目标，黑客还能够利用漏洞提升权限，达成控制计算机，损坏数据信息等操作，对用户数据信息造成极大威胁。 2.2 管理层安全风险分析  再安全网络设备离不开人管理，再好安全策略最终要靠人来实现，所以管理是整个网络安全中最为关键一环，尤其是对于一个比较庞大和复杂网络，更是如此。所以我们有必需认真分析管理所带来安全风险，并采取对应安全方法。  移动系统应根据国家相关计算机和网络部分安全管理条例，如《计算站场地安全要求》、《中国计算机信息系统安全保护条例》等，制订安全管理制度。  责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等全部可能引发管理安全风险。责权不明，管理混乱，使得部分职员或管理员随便让部分非当地职员甚至外来人员进入机房重地，或职员有意无意泄漏她们所知道部分关键信息，而管理上却没有对应制度来约束。 当网络出现攻击行为或网络受到其它部分安全威胁时（如内部人员违规操作等），无法进行实时检测、监控、汇报和预警。同时，当事故发生后，也无法提供黑客攻击行为追踪线索及破案依据，即缺乏对网络可控性和可审查性。这就要求我们必需对站点访问活动进行多层次统计，立即发觉非法入侵行为。建立全新网络安全机制，必需深刻了解网络并能提供直接处理方案，所以，最可行做法是管理制度和管了处理方案结合。 三. 中国铁建Web网站安全防护方案 依据上述需求分析，对目前Web安全风险分析，XX科技应用安全团体经过对网站安全多年研究、调研，针对Web应用安全提出了全新安全防护方法，对WebServer和AppServer采取Web网站安全防护系统（WebGuard网页防篡改保护系统，简称‘WebGuard’）+WAF综合应用安全网关来对网站应用做全方面安全防护，WebGuard采取系统底层文件驱动保护技术+增强型事件触发技术，对Web网站页面直接防护，预防黑客篡改网站页面。WAF综合应用安全网关能够有效预防各类新型应用攻击，如：SQL注入攻击、跨站攻击、目录遍历、操作系统命令攻击、Cookie攻击等，还能有效防护给类DDos攻击，CC攻击等关键流量及应用型拒绝服务式攻击。 设备一览表： 产品名称 产品形态 产品职能 其它说明 Web网站安全防护系统（WebGuard） 软件 经过文件底层驱动技术+增强型事件触发技术，对Web网页文件进去全方面有效防护，预防黑客对Web页面非法篡改攻击，有效保障Web应用安全。 WebGuard-WAF综合应用安全网关 软件+硬件 针对目前主流Web应用攻击做全方面安全防护，能够预防各类应用攻击，包含SQL注入攻击、跨站攻击、目录遍历、远程文件包含攻击、操作系统命令注入攻击、Cookie注入攻击、其它变形应用攻击。还能有效预防DDoS攻击，CC攻击等网络及应用类型拒绝服务类攻击。 3.1 产品介绍 3.1.1 WebGuard网页防篡改保护系统处理方案 Web网站安全防护系统由XX科技依据长久对Web站点进行安全研究结果自主研发高可靠性、高安全性和高易用性软件系统。关键用于保护站点内容安全，预防黑客非法篡改网页，保护公众形象。该系统也是中国唯一经过国家严格检测第三代网页防篡改技术。网页防篡改技术在近几年当中依据黑客攻击技术发展也得到了较快发展，第三代网页防篡改技术较之以前技术有多个特点，响应恢复速度快、判定正确、布署灵活等特点，集成度较高，不依靠于原有web系统架构、布署也不影响网站整体结构。经过广大用户实践表明，WebGuard 已经成为网站安全建设最好处理方案。 3.1.1.1 系统组成原理 WebGuard系统包含三个部分：监控代理用户端，管理中心服务器和管理用户端，各部分功效以下： 1. 监控代理用户端（Monitor Client Setup）安装在Web站点服务器上，依据服务器数量购置用户端数量，关键用于监控站点状态，实施管理中心所配置策略； 2. 管理中心服务器（Center Server Setup）提议布署在独立pc服务器上，若所管理web服务器数量较少，也能够同时布署在管理用户端；关键用于用户管理，策略下发，日志监控，和管理各代理用户端； 3. 管理用户端(Console Setup)布署在网管员任意一台计算机，能够由单台pc机替换，关键用于登录管理中心服务器进行配置管理WebGuard 中心服务器； 图3.1 系统结构示意图 各组建之间通信采取完全加密传输，包含数据传输，用户认证等，确保通信保密性； 3.1.1.2 系统关键功效 Ø 基于驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本； Ø 完全防护技术，支持大规模连续篡改攻击防护； Ø 系统后台自动运行，支持断线状态下篡改监测； Ø 驱动技术完全杜绝被篡改内容被外界浏览； Ø 支持多站点分布式布署，统一集中管理功效； Ø 支持大规模虚拟机、双机热备网站系统布署架构； Ø 支持单独文件、文件夹及多级文件夹目录内容篡改保护； Ø 支持网页格式类型分类，便于分类管理； Ø 支持网页自动上传功效，无需人工干涉； Ø 支持异地文件快速同时功效和断点续传功效，极大增加网站整体安全性和稳定性； Ø 支持多用户管理功效，方便操作； Ø 支持网页自动同时新增、修改、删除等功效； Ø 自动检测文件攻击统计，并实时记入日志，支持导出报表； Ø 支持服务器多个远程管理功效，如远程接管、远程唤醒、远程关机、远程用户注销等； Ø 系统C/S结构，确保高可靠性； Ø 支持多个策略管理，策略设置支持即时生效，无需重启； Ø 支持服务器冗余双机及负载均衡分布布署； Ø 支持多个告警方法，日志告警、声音告警、邮件告警或定制其它告警方法； Ø 支持用户认证，采取加密传输，安全可靠； Ø 系统全汉字界面，操作、配置方便，网络管理人员仅需十分钟即可熟练完成系统初始配置，大大提升工作效率； Ø 支持目前全部主流操作系统和web服务器 Ø 支持SQL注入攻击防护； Ø 支持跨站脚本攻击防护； Ø 支持对系统文件访问防护； Ø 支持特殊字符组成URL利用防护； Ø 支持对危险系统路径访问防护； Ø 支持结构危险Cookie攻击防护； Ø 各类攻击变种防护； Ø 支持自定义检测库； Ø 规则库支持在线升级功效； 3.1.1.3 技术特点介绍 Ø 完全基于事件触发机制，避免服务器资源额外开支； Ø 文件驱动保护技术，确保系统稳定、安全、高效； Ø 不限制网站公布服务器类型，实现高可用性和扩展性； Ø 文件传输过程加密技术，防窃听和防篡改； 3.1.1.4 布署模式 简单布署模式 图3.2 简单布署 集群冗余布署模式 图3.3 集群冗余布署 布署WebGuard网页防篡改保护系统，对Web应用进行全方面保护，即便黑客取得Web目录操作权限，仍然无法对Web页面进行篡改，保障Web网站安全。 3.1.2 WebGuard-WAF综合应用安全网关 WEB综合安全应用网关（以下简称WAF）是XX科技自有知识产权，自主研发出品高可靠性、高安全性、高易用性系统。 WAF是网络安全教授团针对“网站型”服务器量身定制产业化产品，融合了我企业长久对网站系统进行安全研究结果，应用多项专利技术，关键从网站平台系统可用性和信息可信任角度，处理WEB防护及加速、内容防篡改、流量分析和管理、异常流量清洗、负载均衡等关键需求，提供事前预警、事中防护、事后分析全周期安全防护处理方案。 图3.4 WAF工作原理示意图 WAF源于防护产品精品理念，致力于提升“网站型”服务器，应用服务系统安全性和可靠性，保障网站应用服务系统运行质量，提升网站应用系统运行质量，为网站应用服务系统信息化计划部门、投资决议部门、运行维护部门提供含有参考意义量化数据。 事前，WAF进行网站服务运行动态监视，实时监测服务能力和服务质量，建立隐患预警机制。 事中，基于“无故障运行时间”理念，依靠稳定高效安全系统内核和优异全方面多维防护体系，从WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击和WEB应用效能优化等多个角度，保障网站应用服务系统运行质量。 事后，WAF提供多角度量化决议支撑数据，为用户提供便捷使用管理、有效数据和简练清楚阶段性报表，帮助网络维护队伍了解网站建设情况和运行情况，掌握网站应用服务系统计划设计目标满足程度、网站应用服务系统运行效能及负载、网站应用服务质量、运行汇报等等多个角度量化决议支撑数据。帮助网站系统运行维护队伍从宏观环境、目前建设现实状况、系统负载、异常行为过程等多个维度综合考虑安全问题，分角色提供现有清楚结论、又有多角度量化决议支撑数据高水平报表。 3.1.2.1 产品功效 3.1.2.1.1 WEB应用威胁防御 WEB防护系统对HTTP数据流进行分析，应用了优异多维防护体系，对WEB应用攻击进行深入研究，固化了一套针对WEB应用防护专用特征规则库，对目前中国关键WEB应用攻击手段实现了有效防护机制，能够有效应对黑客传统攻击如缓冲区溢出、CGI扫描、遍历目录、OS命令注入等和SQL注入和跨站脚本等攻击手段。 系统对于HTTP内容有着完全访问权和控制权，检验全部HTTP 内容，解释和建立规则。一旦某个会话被应用防火墙终止并被控制，WAF就会对向内或向外流量进行多个检验，以阻止内嵌攻击、数据窃取和身份窃取。能够指定多种策略对URL、参数和格式等进行检验。 3.1.2.1.2 抗拒绝服务攻击 拒绝服务攻击是攻击者通常利用目标服务器网络协议漏洞或耗尽其系统、网络资源，使得目标服务器业务瘫痪，无法响应正常见户请求。多年来，拒绝服务攻击事件呈上升趋势，网站系统尤其要加强防范这类恶性攻击事件，避免系统瘫痪。 WAF集成了含相关键知识产权抗拒绝服务攻击功效，能够防御迄今已知全部种类DDoS攻击，如SYN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、HTTP-get Flood 等等。同时还能防御未知攻击。 Ø 攻击指纹识别 WAF利用多个技术手段对网络数据包进行特征统计和发觉，能够正确定位目前攻击类型，并触发不一样防御机制，在提升效率同时确保正确度。 Ø 异常流量识别 WAF发明性地提出了一个新、基于数据挖掘DDoS攻击盲检测技术，利用关联算法和聚类算法自适应产生检测模型，任何偏离这些正常状态流量特征全部能够被捕捉，从而能够实时地、自动地、有效地识别出异常流量。 Ø 攻击特征挖掘 WAF含有高效攻击特征挖掘能力。经过对网络流量显微分析，挖掘出攻击特征，把挖掘出攻击特征交给规则实施机实施。 Ø 攻击流量过滤 WAF针对检测出攻击流量，采取规则实施机，洁净根当地过滤攻击流量，放过正常流量，保护正常服务进行。 3.1.2.1.3 WEB应用加速 WAF在对网站进行全方面安全防护同时，经过连接池、缓存等机制，实现应用加速，优化网站性能。 WEB应用加速功效经过高性能硬件平台和软件加速算法，能够将用户WEB请求响应速度提升数倍，对网站系统可用性有巨大提升。 3.1.2.2 产品特色 3.1.2.2.1 一流产品设计理念 Ø “三高”安全防护产品精品 WAF是XX科技自有知识产权，自主研发出品高可靠性、高安全性、高易用性信息安全防护系统。 WAF是网络安全教授针对“网站型”服务器量身定制业化产品，源于安全防护产品精品理念，致力于提升网站平台可靠性和内容可信性，保障网站应用服务系统运行质量，提升网站应用系统服务效率，为网站应用服务系统维护队伍提供含有参考意义量化数据。 Ø “一站式”安全管理产品理念 WAF提供“网站型”服务器可用性问题、内容可信任问题“一站式”处理方案，用“一个帐号，一次登录，一套界面，三次点击”处理安全问题。 Ø “无故障运行时间提升”理念 WAF深入了解网站服务质量，首位提出网站“无故障运行时间”理念。 WAF从网站应用威胁防护、服务效率动态监视，服务带宽保护和服务质量保障等三个层面，提升网站应用服务系统连续服务时间，保障网站应用服务系统运行质量。 3.1.2.2.2 领先关键关键技术 Ø 稳定高效安全系统内核 WAF基于XX科技在操作系统内核和对硬件电路设计方面多年沉淀，结合我企业自有知识产权进行优化移植，内核精简、稳定、高效，安全。 Ø 优异全方面多维防护体系 WAF经过宏观判定和微观分析、操作系统和应用分析、实时流量和历史特征等等多个角度信息聚合，围绕WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击和WEB应用效能优化等进行相关多元化组合分析，全方位构建多维防护体系。 Ø 主动式应用安全加固技术 WAF经过漏洞扫描、实时WEB威胁防护、WEB应用架构协议规范化等多个手段相结合，动态发觉WEB应用威胁，立即提供对应修复方法、处理方案，并进行主动修复。 3.1.2.2.3 提供量化决议支撑数据 Ø 多角度量化决议支撑数据 WAF在安全防护基础上，提供多角度量化决议支撑数据，让网络维护队伍了解网站建设情况和运行情况。从网站应用服务系统计划设计目标满足程度、网站应用服务系统运行效能及负载、网站应用服务质量、运行汇报等等多个角度提供量化决议支撑数据。 Ø 提供多角色视角数据展示 WAF从用户角色、网站应用系统服务类型、网站应用系统服务对象三个层面，提供多个视角数据展示，并支持展示界面自定义。 在网站WAF上，用户能够： ² 根据业务视角，将目前各类业务运行状态和目前安全威胁等级列出； ² 根据行业视角，将网站应用系统对服务对象服务效能情况列出； ² 依据本身角色，选择查看不一样范围、不一样明细粒度和不一样侧关键报表； ² 依据本身操作习惯和业务需要，自定义多套展示界面。 WAF致力于为用户提供便捷使用管理和有效数据。 n 提供简练清楚阶段性报表 WAF提供简练清楚阶段性报表。从宏观环境、目前建设现实状况、系统负载、异常行为过程等多个维度综合考虑安全问题，分角色提供现有清楚结论、又有多角度量化决议支撑数据高水平报表。 3.1.2.3 产品系列 依据设备性能不一样，WAF分为以下四类产品： ² WAF-S：WAF千兆增强型 ² WAF-S800：WAF千兆基础型 ² WAF-S200：WAF百兆基础型 ² WAF-E200：企业专用型 WAF系列产品全部是功效完备WEB安全防护设备，适适用于透明串联、反向代理、单臂模式，提供WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击、WEB应用加速等安全防护功效，并能为用户提供量化决议支持数据等行业处理方案。 3.1.2.4 布署方法 WAF提供贴合网站网络结构特点多个布署方法支持，能够依据实际环境需求进行性灵活设计。 3.1.2.4.1 透明串接布署 透明模式是最便捷布署方法，在已经交付使用系统中需要快速布署WEB防护系统时，推荐使用此种布署方法。工作在透明方法时，网关工作在链路层，不需要对服务器和其它网络设备作任何改动。 图3.5 透明串接布署示意图 3.1.2.4.2 反向代理布署 反向代理布署是WEB防护系统在服务器前端，全部和应用系统相关网络流量全部必需经过网关，该布署模式能对应用数据进行全方面细致检验。 图3.6 反向代理布署示意图 图 Error! No text of specified style in document.1 反向代理布署示意图 3.1.2.4.3 单臂布署 以单臂方法布署时，WEB防护系统将和WEB应用服务器在同一个子网或任意路由可达子网。WEB应用服务器网络设置无需任何更改。因为未更改应用服务器任何设置，此种方法很适合不能中止运行系统。 3.2 系统布署 3.2.1 具体布署 在DMZ区WebServer和AppServer服务器上布署网页防篡改监控用户端，用户保护网页文件免遭黑客篡改。在安全管理区布署防篡改管理中心及防篡改备份用户端，管理中心用于统一管理防篡改各用户端，备份用户端用于后期网站更新公布及WebServer端和APPServer端篡改恢复。 在DMZ出口交行及Web服务器之间布署WAF综合应用安全网关，开启对应安全防护策略，预防各类应用攻击 ，保障网站安全。 3.2.2 布署后效果 网页防篡改系统和WAF综合应用安全网关对DMZ去Web网站进行全方面安全防护，WebGuard预防页面篡改攻击，WAF预防Web应用类攻击，保护Web网站静态页面和动态数据库安全，从而实现对整个Web网站防护。预防网页页面篡改及Web应用攻击，保障网站应用安全稳定运行。 四. 系统报价 报价单位：元 产品名称 产品型号 单位 数量 单价 总价 Web网站安全防护系统 WebGuard V5.0 套 3 6.6万 19.8万 WAF综合应用安全网关 WAF-S 台 1 18.8万 18.8万 软件支持服务 WebGuard-Update WAF-Update 年 3 0 0 安装调试费 WebGuard-Install-Service WAF-Install-Service 次 1 0 0 总价 38.6万