Web应用安全解决方案.docx

目录一. 项目背景及必要性31.1项目背景3二. 中国铁建Web应用安全风险分析62.1应用层安全风险分析62.1.1身份认证漏洞62.1.2 www服务漏洞62.1.3 Web网站应用漏洞62.2管理层安全风险分析7三. 中国铁建Web网站安全防护方案83.1产品介绍93.1.1 WebGuard网页防篡改保护系统解决方案93.1.2 WebGuard-WAF综合应用安全网关123.2系统部署183.2.1详细部署183.2.2部署后的效果19四. 系统报价20一. 项目背景及必要性1.1项目背景近年来，信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化， 随着信息时代的到来，信息化发展也为移动工作带来了新的挑战和机遇。近两年来，黑客攻击、网络病毒等等已经屡见不鲜，而且一次比一次破坏力大，对网络 安全造成的威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。在企业网中， 网络管理者对于网络安全普遍缺乏重视，但是随着网络环境的恶化，以及一次次付出惨重代 价的教训，企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。国内相关行业网站的安全问题有其历史原因：在旧网络时期，一方面因为意识与资金方 面的原因，以及对技术的偏好和运营意识的不足，普遍都存在'重技术、轻安全、轻管理'的倾 向，政府网络建设者在安全方面往往没有太多的关注，常常只是在内部网与互联网之间放一 个防火墙就万事大吉，有些政府甚至什么也不放，直接面对互联网，这就给病毒、黑客提供 了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐 患发生任何一次对整个网络都将是致命性的。随着网络规模的急剧膨胀，网络用户的快速增长，网站在各行业的信息化建设中已经在 扮演至关重要的角色，作为数字化信息的最重要传输载体，如何保证企业、金融证券、政府 及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫 问题；因此，解决网络安全问题刻不容缓。当前企业、金融证券和政府业务系统大都居于B/S架构，使用Web应用来运行核心业务， 然而，Web应用安全威胁已成为当前信息安全的主要威胁，从以下数据可以看出，80%以上的 信息安全威胁来自于Web应用：2010T CNCE RT壮刖的网络安仝件按类型分布CN< ERT/CCJLflb19 5002CH0年ChJCERT处理的网璃安全事件技类型分布图1.1信息安全事件分布Vulnerability Disclosures Affecting Web ApplicationsCumulative, year over year图1.2 Web漏洞发展趋势2010 OWASP新十大安全咸胁图1.3最新十大安全威胁从以上数据可以看出，随着Web应用的极速发展及大量使用，Web应用漏洞在急剧增加， Web安全威胁已成为当前信息安全的主要威胁。因此，在平台业务建设的同时，必须加强Veb 应用安全建设，通过全面有效的Web安全防护，保障业务系统正常稳定运行。基于以上数据信息可以看出，中国铁建的对外网站直接暴露在互联网，存在极大的安全 威胁，需要对Web网站做必要的安全防护。二. 中国铁建Web应用安全风险分析2.1应用层安全风险分析Web应用系统主要存在以下安全风险：用户提交的业务信息被监听或修改；用户对成功 提交的业务进行事后抵赖；由于移动网络对外提供网上WWW服务，因此存在外网非法用户 对内部网和服务器的攻击。2.1.1身份认证漏洞服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库 中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重 放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。对移动系统的网上移动服务平台，必须加强用户的身份认证，防止对移动网络资源的非 授权访问以及越权操作。2.1.2 www服务漏洞Web Server目前正在成为移动系统对外宣传、开展业务的基地，但公开服务器本身不能保 证没有漏洞，不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的BUG，使得 黑客可以远程对公开服务器发出指令，从而导致对系统进行修改和损坏，包括无限制地向服 务器发出大量指令，以至于服务器“拒绝服务”，最终引起整个系统的崩溃。这就要求我们必须 提高服务器的抗破坏能力，防止拒绝服务（DOS）或分布式拒绝服务（DDOS）之类的恶意攻 击，提高服务器备份与恢复、防篡改与自动修复能力。2.1.3 Web网站应用漏洞Web网站用于对外提供服务，作为对外展示的窗口，部分网站与用户还有相当部分的数 据交互，Web网站应用在开发过程中，难免会出现一些漏洞，如：SQL注入漏洞、跨站漏洞、 敏感信息泄露漏洞等，这些漏洞很容易被黑客检测到并加以利用，达到篡改数据，截取数据 信息等目的，黑客还可以利用漏洞提升权限，达到控制计算机，损坏数据信息等操作，对用 户数据信息造成极大威胁。2.2管理层安全风险分析再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整 个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我 们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。移动系统应按照国家关于计算机和网络的一些安全管理条例，如计算站场地安全要求、 中华人民共和国计算机信息系统安全保护条例等，制订安全管理制度。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风 险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入 机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来 约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法 进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追 踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活 动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络 并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。三. 中国铁建Web网站安全防护方案根据上述需求分析，对当前Web安全风险分析，XX科技应用安全团队通过对网站安全多 年的研究、调研，针对Web应用安全提出了全新的安全防护方式，对Webserver和AppServer 采用Web网站安全防护系统（WebGuard网页防篡改保护系统，简称WebGuard）+WAF综 合应用安全网关来对网站应用做全面的安全防护，WebGuard采用系统底层文件驱动保护技术 +增强型事件触发技术，对Web网站页面直接防护，防止黑客篡改网站页面°WAF综合应用 安全网关能够有效防止各类新型应用攻击，如：SQL注入攻击、跨站攻击、目录遍历、操作系统命令攻击、Cookie攻击等，还能有效防护给类DDos攻击，CC攻击等主要的流量及应用 型拒绝服务式攻击。设备一览表:产品名称产品形态产品职能其他说明Web网站安全防护系统（WebGuard）软件通过文件底层驱动技术+增强型事件触发 技术，对Web网页文件进去全面有效的防 护，防止黑客对Web页面的非法篡改攻 击，有效保障Web应用安全。WebGuard-WAF 综合应用安全网关软件+硬件针对当前主流的Web应用攻击做全面安 全防护，可以防止各类应用攻击，包括 SQL注入攻击、跨站攻击、目录遍历、远 程文件包含攻击、操作系统命令注入攻 击、Cookie注入攻击、其他变形的应用攻 击。还能有效防止DDoS攻击，CC攻击 等网络及应用类型的拒绝服务类攻击。3.1产品介绍3.1.1 WebGuard网页防篡改保护系统解决方案Web网站安全防护系统由XX科技根据长期对Web站点进行安全研究成果自主研发的高 可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全，防止黑客非法篡 改网页，保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。 网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展，第三代网页防 篡改技术较之以前的技术有几个特点，响应恢复速度快、判断准确、部署灵活等特点，集成 度较高，不依赖于原有web系统架构、部署也不影响网站整体结构。经过广大用户实践表明， WebGuard已经成为网站安全建设最佳解决方案。3.1.1.1系统组成原理WebGuard系统包含三个部分：监控代理客户端，管理中心服务器和管理客户端，各部分 功能如下：1. 监控代理客户端(Monitor Client Setup)安装在Web站点服务器上，根据服务器数量 购买客户端数量，主要用于监控站点状态，执行管理中心所配置的策略；2. 管理中心服务器(Center Server Setup)建议部署在独立pc服务器上，若所管理的web 服务器数量较少，也可以同时部署在管理客户端；主要用于用户管理，策略下发，日志监控，以及管理各代理客户端；3. 管理客户端(Console Setup)部署在网管员任意一台计算机，可以由单台pc机替代，主 要用于登录管理中心服务器进行配置管理WebGuard中心服务器；死B站点I管理中心般务器管理客尸端Mon 11er Client SetupCenter Servei' SetupConsole Setup图3.1系统结构示意图各组建之间通信采取完全加密传输，包括数据传输，用户认证等，确保通信的保密性;3112系统主要功能> 基于驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本;>完全防护技术，支持大规模连续篡改攻击防护；> 系统后台自动运行，支持断线状态下篡改监测；>驱动技术完全杜绝被篡改内容被外界浏览；>支持多站点分布式部署，统一集中管理功能；> 支持大规模虚拟机、双机热备网站系统部署架构；>支持单独文件、文件夹及多级文件夹目录内容篡改保护；> 支持网页格式类型分类，便于分类管理；> 支持网页自动上传功能，无需人工干涉；> 支持异地文件快速同步功能和断点续传功能，极大的增加网站整体安全性和稳定性;>支持多用户管理功能，方便操作；> 支持网页自动同步新增、修改、删除等功能；> 自动检测文件攻击记录，并实时记入日志，支持导出报表；> 支持服务器多种远程管理功能，如远程接管、远程唤醒、远程关机、远程用户注销 等；>系统C/S结构，确保高可靠性；> 支持多个策略管理，策略设置支持即时生效，无需重启；> 支持服务器冗余双机及负载均衡分布部署；>支持多种告警方式，日志告警、声音告警、邮件告警或定制其他告警方式；> 支持用户认证，采用加密传输，安全可靠；> 系统全中文界面，操作、配置方便，网络管理人员仅需十分钟即可熟练完成系统初 始配置，大大提高工作效率；> 支持当前所有主流操作系统和web服务器> 支持SQL注入攻击防护；>支持跨站脚本攻击防护；>支持对系统文件的访问防护；> 支持特殊字符构成的URL利用防护；> 支持对危险系统路径的访问防护；> 支持构造危险的Cookie攻击防护；> 各类攻击的变种防护；>支持自定义检测库；>规则库支持在线升级功能；3-1-1-3技术特点介绍>完全基于事件触发机制，避免服务器资源额外开支；>文件驱动保护技术，确保系统稳定、安全、高效；>不限制网站发布服务器类型，实现高可用性和扩展性；>文件传输过程加密技术，防窃听和防篡改；简单部署模式图3.2简单部署集群冗余部署模式DMZ图3.3集群冗余部署部署WebGuard网页防篡改保护系统，对Web应用进行全面保护，即便黑客获得Web目录 操作权限，依然无法对Web页面进行篡改，保障Web网站安全。3.1.2 WebGuard-WAF综合应用安全网关WEB综合安全应用网关（以下简称WAF）是XX科技自有知识产权，自主研发出品的高 可靠性、高安全性、高易用性系统。WAF是网络安全专家团针对“网站型”服务器量身定制的产业化产品，融合了我公司长 期对网站系统进行的安全研究成果，应用多项专利技术，主要从网站平台系统可用性和信息 可信任的角度，解决WEB防护及加速、内容防篡改、流量分析和管理、异常流量清洗、负载 均衡等核心需求，提供事前预警、事中防护、事后分析全周期安全防护解决方案。应用层攻击防护I internet月潺带亶据护扣内客面出完整廿拘登图3.4WAF工作原理示意图WAF源于防护产品精品理念，致力于提高“网站型”服务器，应用服务系统的安全性和 可靠性，保障网站应用服务系统的运行质量，提升网站应用系统运行质量，为网站应用服务 系统的信息化规划部门、投资决策部门、运行维护部门提供具有参考意义的量化数据。事前，WAF进行网站服务运行动态监视，实时监测服务能力和服务质量，建立隐患预警 机制。事中，基于“无故障运行时间”理念，依托稳定高效安全的系统内核以及先进全面的多 维防护体系，从WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击和WEB应用效能优化 等多个角度，保障网站应用服务系统的运行质量。事后，WAF提供多角度量化的决策支撑数据，为用户提供便捷的使用管理、有效的数据 和简洁清晰的阶段性报表，帮助网络维护队伍了解网站的建设情况和运行情况，掌握网站应 用服务系统规划设计目标的满足程度、网站应用服务系统运行效能及负载、网站应用服务质 量、运行报告等等多个角度的量化的决策支撑数据。帮助网站系统运行维护队伍从宏观环境、 当前建设现状、系统负载、异常行为过程等多个维度综合考虑安全问题，分角色提供既有清 晰结论、又有多角度量化的决策支撑数据的高水平报表。3.1.2.1产品功能3.1.2.1.1 WEB应用威胁防御WEB防护系统对HTTP数据流进行分析，应用了先进的多维防护体系，对WEB应用攻 击进行深入的研究，固化了一套针对WEB应用防护的专用特征规则库，对当前国内主要的 WEB应用攻击手段实现了有效的防护机制，可以有效应对黑客传统攻击如缓冲区溢出、CGI 扫描、遍历目录、OS命令注入等以及SQL注入和跨站脚本等攻击手段。系统对于HTTP内容有着完全的访问权和控制权，检查所有的HTTP内容，解释和建立 规则。一旦某个会话被应用防火墙终止并被控制，WAF就会对向内或向外的流量进行多种检 查，以阻止内嵌的攻击、数据窃取和身份窃取。可以指定各种策略对URL、参数和格式等进 行检查。3.1.2.1.2抗拒绝服务攻击拒绝服务攻击是攻击者通常利用目标服务器的网络协议漏洞或耗尽其系统、网络资源， 使得目标服务器业务瘫痪，无法响应正常用户请求。近年来，拒绝服务攻击事件呈上升趋势， 网站系统尤其要加强防范此类恶性攻击事件，避免系统瘫痪。WAF集成了具有核心知识产权的抗拒绝服务攻击功能，能够防御迄今已知的所有种类的 DDoS 攻击，如 SYN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、HTTP-get Flood 等等。同时还能防御未知攻击。攻击指纹识别WAF利用多种技术手段对网络数据包进行特征统计和发现，能够准确定位当前的攻击类 型，并触发不同的防御机制，在提高效率的同时确保准确度。异常流量识别WAF创造性地提出了一种新的、基于数据挖掘的DDoS攻击盲检测技术，利用关联算法 和聚类算法自适应的产生检测模型，任何偏离这些正常状态的流量特征都可以被捕获，从而 能够实时地、自动地、有效地识别出异常流量。>攻击特征挖掘WAF具备高效的攻击特征挖掘能力。通过对网络流量的显微分析，挖掘出攻击特征，把 挖掘出的攻击特征交给规则执行机执行。>攻击流量过滤WAF针对检测出的攻击流量，采用规则执行机，干净彻底地过滤攻击流量，放过正常流 量，保护正常服务的进行。3.1.2.1.3 WEB应用加速WAF在对网站进行全面的安全防护的同时，通过连接池、缓存等机制，实现应用加速， 优化网站的性能。WEB应用加速功能通过高性能的硬件平台和软件加速算法，可以将用户的WEB请求响 应速度提高数倍，对网站系统的可用性有巨大的提升。3.1.2.2产品特色3.1.2.2.1 一流的产品设计理念> “三高”安全防护产品精品WAF是XX科技自有知识产权，自主研发出品的高可靠性、高安全性、高易用性的信息 安全防护系统。WAF是网络安全专家针对“网站型”服务器量身定制的业化产品，源于安全防护产品精 品理念，致力于提高网站平台的可靠性和内容的可信性，保障网站应用服务系统的运行质量， 提升网站应用系统服务效率，为网站应用服务系统的维护队伍提供具有参考意义的量化数据。> “一站式”安全管理产品理念WAF提供“网站型”服务器的可用性问题、内容可信任问题的“一站式”解决方案，用 “一个帐号，一次登录，一套界面，三次点击”解决安全问题。> “无故障运行时间提升”理念WAF深入理解网站服务质量，首位提出网站“无故障运行时间”理念。WAF从网站应用威胁防护、服务效率动态监视，服务带宽保护和服务质量保障等三个层面，提高网站应用服务系统的连续服务时间，保障网站应用服务系统的运行质量。3.1.222领先的核心关键技术 稳定高效安全的系统内核WAF基于XX科技在操作系统内核以及对硬件电路设计方面多年的沉淀，结合我公司自 有知识产权进行优化移植，内核精简、稳定、高效，安全。先进全面的多维防护体系WAF通过宏观判断和微观分析、操作系统和应用分析、实时流量和历史特征等等多个角 度的信息聚合，围绕WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击和WEB应用效能 优化等进行相关多元化组合分析，全方位构建多维防护体系。主动式应用安全加固技术WAF通过漏洞扫描、实时WEB威胁防护、WEB应用架构协议规范化等多种手段相结合， 动态发现WEB应用威胁，及时提供相应的修复措施、解决方案，并进行主动修复。3.1.2.2.3提供量化的决策支撑数据 多角度量化的决策支撑数据WAF在安全防护的基础上，提供多角度量化的决策支撑数据，让网络维护队伍了解网站 的建设情况和运行情况。从网站应用服务系统规划设计目标的满足程度、网站应用服务系统 运行效能及负载、网站应用服务质量、运行报告等等多个角度提供量化的决策支撑数据。提供多角色视角的数据展示WAF从用户的角色、网站应用系统的服务类型、网站应用系统的服务对象三个层面，提 供多种视角的数据展示，并支持展示界面的自定义。在网站WAF上，用户可以：按照业务视角，将当前各类业务的运行状态和当前安全威胁等级列出； 按照行业视角，将网站应用系统对服务对象的服务效能情况列出；根据自身的角色，选择查看不同范围、不同明细粒度和不同侧重点的报表；根据自身操作习惯和业务需要，自定义多套展示界面。WAF致力于为用户提供便捷的使用管理和有效的数据。提供简洁清晰的阶段性报表WAF提供简洁清晰的阶段性报表。从宏观环境、当前建设现状、系统负载、异常行为过 程等多个维度综合考虑安全问题，分角色提供既有清晰结论、又有多角度量化的决策支撑数 据的高水平报表。3.1.2.3产品系列根据设备性能的不同，WAF分为如下四类产品： WAF-S2000： WAF千兆增强型 WAF-S800： WAF千兆基础型 WAF-S200： WAF百兆基础型 WAF-E200：企业专用型WAF系列产品都是功能完备的WEB安全防护设备，适用于透明串联、反向代理、单臂 模式，提供WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击、WEB应用加速等安全防护 功能，并能为用户提供量化的决策支持数据等行业解决方案。312.4部署方式WAF提供贴合网站网络结构特点的多种部署方式支持，可以根据实际环境需求进行性灵 活设计。3.1.2.4.1透明串接部署透明模式是最便捷部署的方式，在已经交付使用的系统中需要快速部署WEB防护系统 时，推荐使用此种部署方式。工作在透明方式时，网关工作在链路层，不需要对服务器和其 他的网络设备作任何改动。逢技公网K路川器图3.5透明串接部署示意图3.1.24.2反向代理部署反向代理部署是WEB防护系统位于服务器的前端，所有与应用系统相关的网络流量都必 须经过网关，该部署模式能对应用数据进行全面细致的检查。Wc'ti吨用层网 连接公网的路甬将反向代理服图错误!文档中图有指定向代理部署。示意般向代理部署示意图3.1.2.4.3单臂部署以单臂方式部署时，WEB防护系统将与WEB应用服务器位于同一个子网或者任意路由 可达子网。WEB应用服务器的网络设置无需任何更改。由于未更改应用服务器的任何设置， 此种方式非常适合不能中断运行的系统。3.2系统部署3.2.1详细部署在DMZ区的Webserver和AppServer服务器上部署网页防篡改监控客户端，用户保护网 页文件免遭黑客篡改。在安全管理区部署防篡改管理中心及防篡改备份客户端，管理中心用 于统一管理防篡改各客户端，备份客户端用于后期网站更新发布及Webserver端和APPServer 端的篡改恢复。在DMZ出口交行及Web服务器之间部署WAF综合应用安全网关，启动相应的安全防护策略，防止各类应用攻击，保障网站安全。3.2.2部署后的效果网页防篡改系统和WAF综合应用安全网关对DMZ去的Web网站进行全面安全防护， WebGuard防止页面篡改攻击，WAF防止Web应用类攻击，保护Web网站静态页面和动态数 据库安全，从而实现对整个Web网站的防护。防止网页页面篡改及Web应用攻击，保障网站 应用安全稳定运行。系统报价报价单位：元产品名称产品型号单位数量单价总价Web网站安全防护系统WebGuard V5.0套36.6万19.8 万WAF综合应用安全网关WAF-S2000台118.8 万18.8 万软件支持服务WebGuard-UpdateWAF-Update年300安装调试费WebGuard-Install-ServiceWAF-Install-Service次100总价38.6 万