网站安全整体解决方案todaysec.com/pdf/zy1434434262.pdf · 4 网站安全整体解决方案...
TRANSCRIPT
1
网站安全整体解决方案
网站安全整体解决方案
2
网站安全整体解决方案
目 录
1、方案背景 ............................................................................................................................... 3
1.1 安全事件 .................................................................................................................................................................. 3
1.2 政策类要求和安全规范 ........................................................................................................................................... 5
2、网站潜在风险分析 ................................................................................................................ 6
2.1 高昂的经济利益驱使 ................................................................................................................................................ 6
2.2 网站安全性差,黑客容易得手 ................................................................................................................................ 6
2.3 不重视网站安全,被入侵后的损失不易察觉 ....................................................................................................... 7
2.4 特殊资料较多 ........................................................................................................................................................... 7
3、网站安全整体解决方案结构图 .............................................................................................. 8
3.1 整体结构图 ............................................................................................................................................................... 8
3.2 数据联动图 ............................................................................................................................................................... 9
4、网站安全整体解决方案 ....................................................................................................... 10
4.1 监控预警 ................................................................................................................................................................ 10
4.2 渗透评估 ................................................................................................................................................................ 11
4.3 应用层流量过滤..................................................................................................................................................... 12
3
网站安全整体解决方案
4.4 数据校验与还原...................................................................................................................................................... 13
4.5 统一监管 ................................................................................................................................................................. 14
5、解决方案部署图 .................................................................................................................. 15
5.1 部署位置介绍 ......................................................................................................................................................... 15
5.2 产品分解介绍 ......................................................................................................................................................... 15
5.2.1 统一监管平台 .................................................................................................................................................. 15
5.2.2 网站预警平台 .................................................................................................................................................. 16
5.2.3 今天科技一体化 漏洞扫描系统 ................................................................................................................... 16
5.2.4 今天科技 Web 应用防火墙 .......................................................................................................................... 16
5.2.5 今天科技网页防篡改系统 .............................................................................................................................. 16
6、效果与总结 ......................................................................................................................... 17
6.1 效果 ........................................................................................................................................................................ 17
6.2 价值点 ..................................................................................................................................................................... 17
1、方案背景
1.1 安全事件
在 2013年 7月,互联网安全界“棱镜门”泄密事件轰动全世界,让互联网安全第一次被放大化放在了
社会公众面前,针对互联网安全问题事件一直是层出不穷。从 2013年“两会”的中美黑客攻击事件开始。
互联网安全问题频繁性在各大媒体的头版头条占领首席位置。
2013年“两会”过后,中国人民共和国中央人民政府的官方网站发表了一篇关于“2012年中国政府网
4
网站安全整体解决方案
站被篡改”的文章。
2 月份广西“黑客”篡改考生成绩,黑客从中获利 17 万余元。在教育行业,此类网络安全时间一直层
出不穷。2012 年”四川三河职业学院高考志愿被篡改“事件最为严重,此安全事件导致十余名高考生无法
被学校录取,
5月份“超级网银“被爆出现授权漏洞,导致网上银行交易客户在 24秒内银行卡被洗劫 10万余元。直
接造成了用户的经济损失。
8月份,台湾明星“萧敬腾”个人网站遭受黑客攻击,因每场演唱会都下雨,被大家爱戴称呼“雨神”,
黑客攻击网站,希望“雨神”来到杭州下雨解决天热干旱问题,此事件的发生造成了严重的社会舆论和负
面影响。
5
网站安全整体解决方案
针对 2013年上半年在政府、教育、金融、媒体等各行业出现的黑客攻击事件,给社会、企业等客户要
成了严重的负面影响和直接的经济损失。严重损害了公众形象,在社会中造成了严重的恐慌。
1.2 政策类要求和安全规范
在各个行业中都有自己的网站安全规范或是测评标准,政府还有很多关于网站安全方面的行政发文和
各种检查,2013 年工信部就全国做过针对“十八大”和“两会”前期针对政府所有网站安排测评中心进行
安全评估大检查活动。
有些行业都有明确的政策类要求或是安全规范,例如:
1) 政府行业
互联网安全保护技术措施规定(公安部 82 号令)
国务院办公厅“关于进一步加强政府网站管理工作”的通知
工信部“国务院办公厅关于开展重点领域网络与信息安全检查行动”的通知
2) 金融行业
网上银行系统信息安全通用规范
网上银行系统信息安全保障评估准则
电子银行安全评估指引
3) 教育行业
教育部“建议采用网站安全监测系统”的函件
教育部教育信息化推进办公室发布《省级教育数据中心建设指南》
有些行业就没有相关的政策性要求,例如企业、互联网企业、媒体、林业、公安、医疗等行业。他们
也是有网站安全问题,因网站是暴露在互联网当中,需要客户去访问网站完成电子政府、电子办公、信息
6
网站安全整体解决方案
查询等工作,正式这些看似涉密类的个人信息或特殊类资料,导致了各个行业都需要网站安全。
2、网站潜在风险分析
针对网站这个特殊宣传手段和办公工具,我们专门来分析一下,为何黑客对它一直情有独钟,为何网
站一直是黑客重点的照顾对象,下面我们来具体剖析一下黑客看中了网站的那些部分。
2.1 高昂的经济利益驱使
由于政府类网站、金融类网站、教育类网站在百度、Google、搜狗等互联网搜索引擎中都普遍有较高的
网站排名权重,黑客就是看中了这些网站的形象和品牌效应。黑客通过在这些网站的网页中插入六合彩、
QQ 中奖等非法链接或网站挂马手段骗取客户的个人相关信息,从而换取较高的经济利益价值。导致黑客从
骗取、销赃、收购形成完整的黑色产业链。致使黑客大量集中对网站进行攻击。
2.2 网站安全性差,黑客容易得手
多数的政府官方主站或是高校主站都有将强的安全保护措施,但是针对县级或县级政府单位的网站、
大学中各学院的小网站他们的网站安全措施几乎为零,安全防护比较差。
很多网站开发公司或多或少都有使用公有代码的习惯,网站开发公司无法对代码的安全性进行评估,
而且这样开发出来的网站安全漏洞多,技术维护差的特点,导致黑客很容易入侵网站内部进行篡改页面等
破坏行为。
7
网站安全整体解决方案
2.3 不重视网站安全,被入侵后的损失不易察觉
像一些明星个人网站或林业厅、社保厅这样的电子政务类网站,他们都属于非营利性网站,主要是用
于品牌和形象宣传,或是一些查询相关系统服务的网站,及时网站被入侵后,也不会造成直接的的经济损
失。黑客攻击这类网站主要可以危害明星形象,或是给社会造成负面舆论。黑客就是看这些网站安全性差,
从而有了可乘之机。
2.4 特殊资料较多
针对社保查询、考生成绩查询、公积金查询等相关涉及个人信息的查询系统网站时,这些资料都属于
特殊资料,而且带有涉密性质的资料,但是需要社会大众通过相关门户网站提供个人信息进行定向查询。
8
网站安全整体解决方案
黑客就是看中了这些个人信息资料,篡改相关资料谋取经济利益。针对这样的攻击事件,每年都是层
中不穷。黑客对于这样网站的攻击也一直是乐死不疲。
3、网站安全整体解决方案结构图
3.1 整体结构图
今天科技推出了网站安全整体解决方案中,针对保护对象有网站数据库(Oracle 或 mysql 等)、网站系
统(IIS 系统等)、中间件系统(Apache 或 tomcat 等)、网站代码(JSP、Java 或 PHP 代码)、DNS 域名解析、
网站镜像文件、网站访问流量进行保护、过滤、评估、监控等多方位保护。
我们管这些保护对象叫做安全域,针对安全域的所有设备进行数据采集后,所有数据会汇总到一个数
据分析与处理中心,此中心主要分为四大类模块:监控预警、渗透评估、应用层流量过滤和数据效验及还
原。下面我们来大体说一下工作分配:
1) 监控预警
9
网站安全整体解决方案
监控网站内容合规性,针对网站敏感关键字、图片篡改、网页更新进行监控
针对网站可用性,网站 ping 包延迟、首页响应速度、DNS 解析速度进行监控
针对网站挂马、盗链等黑客行为与百度、Google、微软第三方进行联动,快速定位问题所在
结合 ICP 备案情况进行实时监控联动
2) 渗透评估
从传统的操作系统、数据库、网络设备、远程服务进行漏洞渗透性测试,评估系统漏洞进行报告生成和
解决方法建议。
结合网站代码合规性进行渗透评估,模拟黑客攻击手法,使用攻击用例攻击网站数据库、中间件、网站
系统进行漏洞验证,并生成报告和解决方法建议
3) 应用层流量过滤
应用层流量过滤,主要针对网站的访问流量进行异常性过滤,主要针对 80 和 443 端口的访问流量进行
过滤,针对黑客使用的数据库的 SQL 注入、动态图片的跨站脚本、服务器回复的信息泄露,访问流量
的协议完整性等黑客攻击手段进行拦截
4) 数据效验及还原
针对网站文件进行 1:1 比例进行对比,当比对错误时,就对网站文件进行及时还原。保证网站数据的完
整性、真实性。针对 windows、linux、AIX 等 32 位或 64 都可以直接进行完美兼容,实时效验网站文
件数据。
5) 统一监管
当所有模块处理完数据后会汇总到可视化的统一监管平台,此平台可以对数据进行统一日志收集、运行
状态监视、事件告警流程、统一策略管理进行监管。
针对第三方的运维管理、日志管理、安全管理平台等管理,我们都做了对外接口,可以对接其他的管
理平台,方便客户对众多功能和设备的管理工作,提高管理员的工作效率
3.2 数据联动图
在四个模块中间,模块与模块之间都有相互数据信息分享和联动过程,针对模块之间进行安全防护协
作,提高网站安全系统,形成完整的数据链保护体系。
10
网站安全整体解决方案
下面我们介绍一下联动图的效果和数据链互动:
1) 渗透评估与应用层流量过滤
使用渗透性攻击测试,测试网站安全性,评估网站漏洞并生成详细的报告,生成报告的同时,渗透评估
会自动发送漏洞信息给应用层流量过滤。应用层流量过滤会根据接受到的信息,自动生成防护列表。
提高网站安全性。
2) 应用层流量过滤与数据效验及还原
应用层流量过滤与数据效验及还原,互相会监测对方在线状态,当网络中断,相互监测不到对方时,数
据效验及还原会对网站文件进行锁定,网站文件只有读的权限而没有写的权限。当网络恢复后,数据
效验及还原才会把写的权限下发,恢复网站文件的更新。
4、网站安全整体解决方案
4.1 监控预警
网站监控无处不在,预知网站安全监控
监控网站一举一动,第一时间报警影响
11
网站安全整体解决方案
1) 打造合规性网站内容保障内控体系
准确定位各种各类高风险、不良、反动内容,净化自身网站
2) 规范网站运维人员行为,建立值班读网制度
灵活监测管理各种行为,针对敏感词、性能、内容和图片等因素进行监测。建立网站值班制度
3) 合理分配资源,保证重要业务正常运行
全面了解网站性能,针对 DNS 解析,网站可用性,保证核心业务,提高网站资源利用效率
4) 联动评估
与百度、google、微软等第三方进行实时联动评估网站钓鱼、网站挂马等行为,并与工信部 ICP 备案进
行实时查询联动
4.2 渗透评估
矛与盾的较量永无止境,黑客与客户防护的较量
精美的网站是由系统和环境组成:
1) 系统篇
针对传统操作系统,例如 windows、linux、Unix 操作系统更新和补丁漏洞进行渗透评估
针对 Oracle、mysql、sqlserver 等数据库更新和补丁漏洞进行渗透评估
针对 Cicso、juniper、华为等传统路由与交换网络设备进行渗透评估
检查系统版本更新情况,检查系统自身漏洞情况
2) 环境篇
针对网站代码合规性进行检查,例如 JSP、PHP、Java 等编写语言进行网站开发的代码合规性进行渗透
性测试,评估网站开发过程存在的安全隐患
针对 Apache、tomcat、IIS 这样的中间件系统和环境系统进行渗透性测试,评估系统漏洞及更新情况
检查网站代码合规性,屏蔽网站开发人员安全疏忽问题,检查环境程序及补丁更新情况
12
网站安全整体解决方案
4.3 应用层流量过滤
网站门禁安全保障,禁止黑客攻击侵扰。
针对网站文件、图片、数据库、中间件等系统进行保护,针对网站的访问流量进行异常性过滤,保证
网站访问流量纯绿色。
应用层流量过滤主要是针对访问流量中的各种黑客攻击流量进行过滤,屏蔽异常流量,保护正常访问
流量,防止因为黑客流量攻击造成数据泄露、网站业务中断等现象。主要防护主要分为以下流量过滤:
1) SQL 注入
黑客针对网站数据库,使用数据库攻击语句攻击数据库,从数据库中窃取相关用户信息,篡改数据数据,
导致网站数据错乱,网站无法工作或信息泄露事件的发生
2) 跨站脚本
网站的动态图片、静态图片或动态内容进行攻击,针对网站 HTML 框架进行攻击,窃取网站信息和篡
改内容
3) 信息泄露
黑客模拟正常的访问网站,网站因找不到相关页面,回复 404 服务器信息或是服务器错误信息,黑客根
据相关回复信息中掺杂的敏感信息进行逐层破解攻击
4) 爬虫、扫描器
搜索引擎都是使用爬虫和扫描器针对网站的关键字和相关内容进行快速检索的,有些政府类网站需要屏
蔽这些爬虫和扫描器,此类防护就是针对特殊需求进行防护。黑客有时也会使用扫描器扫描网站漏洞,
13
网站安全整体解决方案
进行漏洞查找。
5) 协议完整性
根据 IETF(互联网工程任务组)制定的 RFC 标准进行流量过滤,针对访问流量不符合架构标准的异常
性阻断,保证网站访问流量是标准协议流量
6) 溢出
黑客使用大量访问网站服务器,导致网站服务器内存缓冲区溢出,内存无法承受多余的计算工作量,导
致网站服务器出现宕机现象
7) 防盗链
在网站代码中插入非法链接,植入类似六合彩、QQ 中奖等链接,致使浏览者点击后泄露个人信息或银
行卡信息泄露,给浏览者造成经济损失
4.4 数据校验与还原
对比网页内容真实性,还原网页、避免篡改时间发生。
网站内容被篡改一直是攻击事件发生频率最高的,针对 windows、linux、AIX 等网站架构环境,数据效
验与还原都可以完美兼容。
因网站开发架构不同,数据效验与还原提供多种防护措施,提高各种网站结构适用性。
1) 内核控制
黑白名单机制,保护网站内容免遭黑客侵扰,方便简单,易用性强
14
网站安全整体解决方案
2) 本地备份
备份机制,以主、备目录摆渡对比方式进行网页篡改防护机制
3) 异地备份
满足等保要求,网站异地备份,使用主服务器和备份服务器方式,进行服务器之间网站备份同步对比机
制,高可用性完美保护网页篡改
4) 数据效验与还原和应用层流量过滤相互联动
数据效验与还原和应用层流量过滤联动,提高网站整体防护能力。相互监控在线状态,当网络出现中断
问题时,第一时间锁定网站文件,保护网站文件免遭修改
4.5 统一监管
设备统一监管,提高产品相互联动性,让所有环节形成整体数据链,快速定位网站问题
在维护和配置中,模块众多,功能配置繁琐,出现问题时,无法快速定位。
1) 策略下发
对众多功能进行统一管理,策略下发等工作,提高整体防护效率
2) 日志收集
统一日志收集,联合评估网站事态
3) 设备监控
统一设备监控,对所有设备性能进行及时监控,当设备出现问题时,第一时间报警响应
4) 级联管控
15
网站安全整体解决方案
以省级、市级、县级等以树形结构进行管理、层层监控
5、解决方案部署图
5.1 部署位置介绍
今天科技安全整体解决方案属于多功能联动,完整数据链相互携手进行整体防御。
网站安全解决方案是由监控预警、渗透评估、应用层流量过滤、数据效验与还原、统一监管五部分组
成
1) 旁路部署:
统一监管(统一监控平台)
监控预警 (网站预警平台)
渗透评估 (今天科技一体化 漏洞扫描系统)
2) 串联部署:
应用层流量过滤 (今天科技 Web 应用防火墙)
3) 服务器安装部署:
数据效验与还原 (今天科技网页防篡改系统)
5.2 产品分解介绍
5.2.1 统一监管平台
今天科技统一监管平台属于旁路部署产品,只需要旁路在网络,网络可达即可对众多安全设备进行统
16
网站安全整体解决方案
一监管,统一监管针对设备日志、设备配置、树形管理结构、综合分析系统,统一监管平台提高了设备管
理的工作效率,针对“攻击事件”发生进行综合判定,减少了出现问题管理员需要以个人经验判定。管理
员可以统一监管平台分析和报警的引导,知道黑客已经进入什么防线,后续设备如何处理动作和人工如何
干预黑客攻击,提高网站安全性提供技术依据。
5.2.2 网站预警平台
网站预警平台属于旁路部署产品,只需要填写监控网站的域名即可对网站应用性、内容合规性等信息
进行 7*24 小时监控。降低人工成本,提高网站运维人员效率,针对传统人工监控效果差、时效性低等问题,
网站预警平台提供网站问题无死角监控方法,从访问延迟到服务器性能全方面测试监控,提高网站可靠性、
实用性,为重要网站业务保驾护航。
5.2.3 今天科技一体化 漏洞扫描系统
漏洞扫描系统区别于传统漏洞扫描,传统漏洞扫描只能针对操作系统、数据库、网络设备进行漏洞评
估。但是针对网站数据库、网站架构、网站代码合规性无法进行漏洞验证。今天科技的漏洞扫描系统就出
传统和创新的结合体,除网站服务器硬件外,从底层的操作系统,到数据库、中间件等环境软件,再到网
站代码进行逐层漏洞检查,整体评估网站安全。而非传统片面性漏洞查询,综合评估网站安全性,还客户
一个真实的渗透测试。
5.2.4 今天科技 Web 应用防火墙
传统的防火墙、IPS 等设备都是针对网络层中出现的安全事件进行有效防护的,防火墙只能封闭端口。
但是 Web 应用防火墙可以针对应用层的攻击行为进行检测,并进行智能判定异常阻断。提高网站访问流量
安全。监控网站访问流量,针对 SQL 注入、XSS 跨站脚本、信息泄露、协议完整性、扫描器、网络爬虫、溢
出等应用层攻击行为进行阻断。
5.2.5 今天科技网页防篡改系统
监控网站内容真实性,针对网站文件进行 1:1 快速比对,当文件比对出现异常时,对网站文件进行及时
恢复,屏蔽网站篡改行为,降低网站政治风险,提高网站安全性。针对网站开发不同,网站恢复提高内核
17
网站安全整体解决方案
控制、本地备份、异地备份多种组合防护模式,适用于各种网站开发环境。
6、效果与总结
6.1 效果
网站整体解决方案的推出,从“事前监控预警和渗透评估、事中流量过滤、事后审计与还原和统一管
理与分析”多方位一体化的数据联动防护。
网站整体解决方案是由软件与硬件相结合进行防护,从网页文件到网站系统,从网站系统到硬件服务
器。网站整体解决方案是由内到外,层层进行有效防护。
6.2 价值点
1) 特色价值点:防止网页篡改,维护公众形象
2) 特色价值点:免遭不良信息毒害,降低政治风险
3) 特色价值点:防止网站挂马,避免成为“肉鸡”危害互联网
4) 特色价值点:统一监控预警网站,降低人工成本,第一时间报警,提高网站预知效果
5) 特色价值点:统一设备管理,日志收集,方便管理人员对众多防护产品的管理和查询