某 县 政 府 网 页 防 篡 改 项 目 解 决 方 案 安 徽 云 图 信 息 技 术 有 限 公 司
目 录 项 目 基 本 信 息... 3 1 项 目 背 景... 3 1.1 项 目 背 景...3 1.2 项 目 现 状...4 1.3 项 目 需 求...5 1.4 项 目 目 标 及 意 义...6 2 解 决 方 案... 6 3 网 页 防 篡 改 介 绍... 7 4 设 备 介 绍... 8
项 目 基 本 信 息 项 目 名 称 某 县 政 府 网 页 防 篡 改 项 目 客 户 方 某 县 政 府 支 持 方 安 徽 云 图 信 息 技 术 有 限 公 司 1 项 目 背 景 1.1 项 目 背 景 随 着 计 算 机 技 术 的 飞 速 发 展 以 及 Internet 宽 带 网 络 的 逐 渐 普 及, 传 统 政 府 的 工 作 模 式 正 在 发 生 着 巨 大 的 改 变, 越 来 越 多 的 企 业 开 始 基 于 计 算 机 技 术 网 络 技 术 以 及 各 种 应 用 系 统 展 开 业 务 工 作 并 且 随 着 Internet 宽 带 网 络 的 普 及, 政 府 开 始 连 接 到 互 联 网 获 取 商 业 机 会, 与 客 户 交 流, 发 布 商 业 信 息, 利 用 丰 富 的 Internet 资 源 来 展 开 商 务 活 动 然 而 与 之 相 对 应 的 是 网 络 站 点 受 攻 击 的 情 况 也 越 来 越 多 在 各 类 网 站 被 攻 击 的 情 况 中, 网 站 主 页 篡 改 给 政 府 带 来 的 影 响 尤 其 恶 劣, 影 响 面 最 广 尤 其 是 含 有 政 治 攻 击 色 彩 的 篡 改, 会 对 政 府 形 象 造 成 严 重 损 害 以 网 页 篡 改 和 垃 圾 邮 件 为 主 的 网 络 安 全 事 件 正 在 大 幅 攀 升 国 家 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心 2004 年 共 收 到 网 络 安 全 事 件 报 告 64686 件, 为 2003 年 的 近 5 倍 在 3 月 24 日 召 开 的 2005 中 国 计 算 机 网 络 安 全 应 急 年 会 上, 国 家 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心 有 关 负 责 人 说, 在 收 到 的 网 络 安 全 事 件 报 告 中, 网 页 篡 改 的
占 45.91%, 其 余 为 垃 圾 邮 件 蠕 虫 网 络 仿 冒 木 马 等 数 字 显 示, 政 府 网 站 最 易 成 为 攻 击 者 选 定 的 目 标, 其 安 全 防 范 有 待 加 强 2005 全 年 网 页 篡 改 事 件 发 生 数 量 已 达 13000 件, 而 且 这 些 统 计 还 不 包 括 隐 蔽 的 篡 改 行 为 远 远 的 将 病 毒 垃 圾 邮 件 等 传 统 网 络 安 全 事 件 抛 到 后 面 1.2 项 目 现 状 现 阶 段 政 府 网 站 系 统 的 安 全 措 施, 还 多 数 仅 限 于 购 置 防 火 墙 等 对 病 毒 的 防 护, 政 府 机 构 的 整 个 网 络 通 常 是 被 一 台 交 换 机 分 隔 成 内 网 ( 政 府 办 公 区 ) 和 外 网 ( 中 心 机 房 ) 两 部 分 互 联 网 上 的 用 户 如 果 要 访 问 政 府 机 构 的 网 站 发 布 服 务 器 (web 服 务 器 ), 需 先 经 路 由 器, 防 火 墙, 然 后 经 中 心 交 换 机 才 能 最 终 访 问 到 网 站 服 务 器 政 府 内 部 则 可 以 通 过 内 网 直 接 访 问 各 服 务 器 ( 如 下 图 所 示 )
1.3 项 目 需 求 某 县 政 府 对 网 络 的 信 息 安 全 需 求 如 下 : 信 息 的 可 管 理 性, 由 于 互 联 网 上 充 斥 有 大 量 不 良 信 息, 政 府 网 络 在 有 效 合 理 利 用 互 联 网 资 源 的 前 提 下, 为 避 免 政 府 上 网 的 负 面 影 响 和 提 高 机 关 效 率, 需 要 对 信 息 进 行 一 定 的 访 问 控 制 而 目 前 网 络 访 问 控 制 的 实 现 方 式 非 常 多, 针 对 各 种 不 同 的 需 求 都 有 较 灵 活 的 实 现 手 段, 导 致 类 似 的 安 全 产 品 种 类 繁 多, 需 要 专 业 的 网 络 安 全 从 业 人 员 为 客 户 选 择 最 佳 的 实 现 途 径, 达 到 最 好 的 性 价 比, 保 障 客 户 的 利 益 信 息 的 保 密 性 和 完 整 性, 由 于 政 府 网 络 上 存 在 重 要 信 息, 对 信 息 的 保 密 性 和 完 整 性 要 求 非 常 高 信 息 可 能 面 临 多 层 次 的 安 全 威 胁, 如 通 过 电 磁 辐 射 或 线 路 干 扰 等 的 物 理 威 胁 泄 漏 或 者 存 放 机 密 信 息 的 系 统 被 攻 击 等 威 胁 同 时 针 对 网 上 保 税 等 电 子 政 务 应 用 还 要 求 严 格 保 障 信 息 的 完 整 性, 这 都 需 要 从 网 络 安 全 角 度 整 体 考 虑, 配 合 统 一 的 网 络 安 全 策 略 并 选 择 相 应 的 安 全 产 品, 保 障 网 络 的 信 息 安 全 统 一 的 安 全 管 理 平 台, 目 政 府 信 息 系 统 较 常 见 的 安 全 威 胁 主 要 来 自 很 多 无 意 的 人 为 因 素 而 造 成 的 风 险 如 由 于 用 户 安 全 意 识 不 强 导 致 的 病 毒 泛 滥 帐 户 口 令 安 全 薄 弱 等, 对 集 中 统 一 的 安 全 管 理 软 件, 如 病 毒 软 件 管 理 系 统 身 份 认 证 管 理 系 统 以 及 网 络 安 全 设 备 统 的 管 理 软 件 等 要 求 较 高 因 此 通 过 安 全 管 理 平 台 可 有 效 的 实 现 全 网 的 安 全 管 理, 同 时 还 可 以 针 对 人 员 进 行 安 全 管 理 和 培 训, 增 强 人 员 的 安 全 防 范 意 识 这 就 对 安 全 管 理 平 台 和 专 业 的 网 络 安 全 服 务 提 出 了 较 高 的 要 求
1.4 项 目 目 标 及 意 义 政 府 机 构 原 有 的 安 全 措 施 ( 如 安 装 防 火 墙 入 侵 检 测 ) 则 主 要 集 中 在 网 络 层 上, 无 法 对 网 页 篡 改 事 件 形 成 有 效 的 监 控 和 防 护 为 了 保 护 政 府 机 构 网 页 不 被 非 法 篡 改, 保 护 政 府 机 构 的 形 象, 同 时 为 保 护 我 们 社 会 主 义 社 会 的 安 定 团 结, 政 府 的 各 级 机 构 都 应 该 重 视 起 来 为 了 推 进 政 府 机 构 综 合 信 息 系 统 建 设, 有 效 地 提 高 政 府 管 理 水 平 和 公 众 服 务 质 量, 提 高 公 共 服 务 的 自 动 化 现 代 化 的 水 平 具 有 十 分 重 要 的 意 义 2 解 决 方 案 根 据 用 户 需 求, 我 们 制 作 了 宏 观 的 拓 扑 示 意 图 : 如 上 图 所 示, 网 页 防 篡 改 设 备 ( 简 称 WAF ), 工 作 在 DMZ 区 或 数 据 中 心, 可 以 无 需 修 改 网 络 及 服 务 器 配 置, 透 明 部 署 在 防 火 墙 和 Web 服 务 器 群 之 间, 对 Web 服 务 器 群 的 出 入 流 量 进 行 有 效 监 控, 从 而 确 保 Web 应 用 的 安 全
而 在 部 署 了 多 业 务 网 段 服 务 器 的 网 络 环 境 中, 网 页 防 篡 改 设 备 也 可 以 采 用 旁 路 方 式 部 署, 提 供 一 种 逻 辑 在 线 防 护 机 制 该 种 部 署 灵 活 性 较 好, 可 以 实 现 业 务 分 流, 对 核 心 系 统 影 响 较 小 旁 路 方 式 部 署 的 技 术 原 理 如 下 : 1. 流 量 牵 引 : 通 过 路 由 方 式, 将 原 来 去 往 目 标 网 站 IP 的 流 量 牵 引 至 WAF 设 备 被 牵 引 的 流 量 为 攻 击 流 量 与 正 常 流 量 混 杂 的 HTTP 流 量 ; 2. 流 量 检 测 和 过 滤 :WAF 设 备 通 过 多 层 的 攻 击 流 量 识 别 与 净 化 功 能, 将 Web 攻 击 流 量 从 混 合 流 量 中 过 滤 ; 3. 流 量 注 入 : 经 过 WAF 过 滤 之 后 的 合 法 流 量 被 重 新 注 入 网 络, 最 终 到 达 目 的 网 站 4. 对 返 回 流 量 检 测 : 网 站 响 应 的 HTTP 流 量 在 返 回 给 客 户 端 之 前, 仍 然 需 要 流 经 WAF 设 备,WAF 可 提 供 安 全 检 测, 经 WAF 检 测 后 的 流 量 最 终 返 回 给 客 户 端 由 于 和 政 府 业 务 部 门 的 日 常 网 络 了 解, 内 网 多 半 是 单 一 的 网 段, 在 此 我 们 建 议 选 择 透 明 部 署 方 式, 如 果 需 要 添 加 多 台 设 备 形 成 防 护 网, 可 根 据 情 况 再 加 设 备 3 网 页 防 篡 改 介 绍 Web 应 用 安 全 问 题 本 质 上 源 于 软 件 质 量 问 题 但 web 应 用 相 对 传 统 的 软 件, 具 有 其 独 特 特 性 Web 应 用 往 往 是 某 个 机 构 所 有 的 应 用, 对 其 产 生 的 漏 洞, 已 知 的 通 用 漏 洞 签 名 缺 乏 有 效 性 ; 需 要 频 繁 的 变 更 以 满 足 业 务 目 标, 从 而 使 得 很 难 维 持 有 序 的 开 发 周 期 ; 需 要 全 面 考 虑 客 户 端 与 服 务 端 的 复 杂 交 互 场 景, 而 往 往 很 多 开 发 者 没 有 很 好 地 理 解 业 务 流 程 ; 缺 乏 经 验 的 开 发 者 难 以 胜 任
针 对 Web 应 用 安 全, 多 数 网 站 的 实 际 情 况 是 : 大 量 早 期 开 发 的 web 应 用, 由 于 历 史 原 因, 都 存 在 不 同 程 度 的 安 全 问 题 对 于 这 些 已 上 线 提 供 生 产 的 web 应 用, 由 于 其 定 制 化 的 特 点 决 定 了 没 有 通 用 补 丁 可 用, 而 整 改 代 码 因 代 价 过 大 变 得 较 难 施 行 或 者 需 要 较 长 的 整 改 周 期 针 对 上 述 现 状, 专 业 的 web 安 全 防 护 工 具 是 一 种 合 理 的 选 择 而 传 统 的 安 全 设 备, 如 防 火 墙 IPS, 作 为 整 体 安 全 策 略 中 不 可 缺 少 的 重 要 模 块, 局 限 于 自 身 的 产 品 定 位 和 防 护 深 度, 不 能 有 效 的 提 供 针 对 web 应 用 攻 击 完 善 的 防 御 能 力 针 对 web 应 用 攻 击, 必 须 采 用 专 门 的 机 制, 对 其 进 行 有 效 检 测 防 护 基 于 这 些 因 素, 产 生 了 防 止 网 页 被 篡 改 的 理 念, 就 是 我 们 俗 称 的 Web 应 用 防 火 墙 ( 简 称 WAF) 基 于 对 http/https 流 量 的 双 向 分 析 为 web 应 用 提 供 实 时 的 防 护 4 设 备 介 绍 绿 盟 科 技 作 为 国 内 首 家 专 业 的 安 全 服 务 提 供 商, 一 直 以 来 的 服 务 宗 旨 是 为 客 户 创 造 价 值 先 后 给 客 户 建 设 和 实 施 了 多 个 备 受 称 赞 的 网 络 安 全 项 目, 并 且 提 供 了 优 质 的 安 全 服 务 对 于 政 府 行 业 的 信 息 系 统, 涉 及 对 信 息 的 完 整 性 保 密 性 和 管 理 性 等 安 全 需 求 保 障 政 府 客 户 在 对 信 息 的 监 管 的 同 时 拥 有 高 效 安 全 的 网 络 绿 盟 科 技 的 WAF 设 备 能 够 保 护 Web 应 用 免 遭 在 线 攻 击 凭 借 持 续 更 新 的 威 胁 知 识 库, 系 统 使 安 全 专 业 人 员 网 络 管 理 者 和 应 用 开 发 者 有 能 力 降 低 Web 应 用 安 全 风 险, 更 好 地 保 障 Web 应 用 稳 定 运 行 1) 降 低 数 据 泄 漏 风 险
Web 承 载 的 交 互 式 应 用 是 数 据 库 的 门 户, 攻 击 者 经 常 通 过 SQL 注 入 等 方 法 入 侵 数 据 库, 造 成 数 据 泄 露 绿 盟 科 技 WAF 系 统 能 检 查 HTTP 请 求 的 各 个 字 段, 用 精 炼 的 规 则 对 攻 击 实 施 过 滤, 加 上 HTTP 协 议 合 规 检 查 状 态 码 过 滤 等 机 制, 降 低 数 据 泄 露 风 险 2) 支 撑 Web 服 务 可 用 性 DDoS 攻 击 对 Web 服 务 可 用 性 的 威 胁 最 大, 绿 盟 科 技 WAF 系 统 集 成 专 业 DDoS 防 护 功 能, 包 括 多 种 动 态 防 护 算 法, 可 以 在 线 过 滤 DDoS 攻 击, 与 SQL 注 入 防 护 等 功 能 一 起 使 用, 提 供 从 网 络 层 到 应 用 层 的 攻 击 过 滤, 支 撑 Web 服 务 可 用 性 3) 控 制 恶 意 访 问 自 动 化 攻 击 工 具 能 构 造 大 规 模 的 恶 意 访 问, 给 Web 应 用 稳 定 性 造 成 很 大 危 害 绿 盟 科 技 WAF 系 统 支 持 多 种 Web 访 问 控 制, 可 以 满 足 不 同 用 户 的 需 求, 包 括 HTTP 访 问 控 制 自 动 化 攻 击 工 具 识 别 控 制 非 法 文 件 上 传 和 下 载 阻 止 盗 链 和 爬 虫 等 4) 保 护 Web 客 户 端 用 户 访 问 站 点 时, 如 果 遭 受 CSRF 攻 击, 用 户 就 会 对 该 站 点 失 去 信 任 因 此, 保 护 Web 客 户 端 也 是 Web 服 务 提 供 者 的 责 任 和 关 切 绿 盟 科 技 WAF 系 统 可 以 提 供 CSRF 防 护 XSS 防 护 Cookie 签 名 和 加 密 等 安 全 策 略, 保 护 Web 客 户 端 产 品 优 势 1) 集 成 专 业 DDoS 防 护 功 能
2) 支 持 多 种 易 于 使 用 的 Web 访 问 控 制 策 略 3) 支 持 灵 活 的 自 定 义 规 则 4) 支 持 路 由 旁 路 部 署 方 式 关 键 功 能 : 1) 降 低 数 据 泄 露 风 险 SQL 注 入 防 护 HTTP 协 议 防 护 Web 漏 洞 攻 击 防 护 信 息 泄 露 ( 状 态 码 过 滤 / 伪 装 ) Web 内 容 安 全 防 护 2) 支 撑 Web 服 务 可 用 性 HTTP Flood 防 护 TCP Flood 防 护 3) 控 制 恶 意 访 问 URL 访 问 控 制 文 件 非 法 下 载 / 上 传 防 护
盗 链 防 护 爬 虫 防 护 4) 保 护 Web 客 户 端 CSRF 防 护 XSS 防 护 Cookie 安 全 ( 加 密 / 签 名 ) 典 型 应 用 ( 图 示 ): 创 新 的 安 全 模 型
为 了 有 效 防 护 网 站, 绿 盟 WAF 采 用 了 一 种 创 新 的 安 全 模 型 这 个 安 全 模 型 针 对 攻 击 事 件, 提 供 事 前 预 防 事 中 防 护 事 后 补 偿 的 整 体 解 决 方 案 事 前,WAF 能 发 现 网 站 漏 洞, 提 醒 管 理 者 修 补 ; 事 中,WAF 能 提 供 基 于 规 则 的 静 态 防 护, 以 及 基 于 应 用 交 互 逻 辑 的 动 态 防 护 ; 事 后,WAF 能 检 测 出 网 页 篡 改, 提 醒 管 理 者 修 复, 并 遮 盖 被 篡 改 页 面 双 向 数 据 检 测 绿 盟 WAF 支 持 透 明 代 理 的 部 署 方 式, 作 为 Web 客 户 端 和 服 务 器 端 的 中 间 人, 避 免 Web 服 务 器 直 接 暴 露 于 互 联 网 上, 监 控 HTTP/HTTPS 双 向 流 量, 对 网 络 层 Web Server/Application 层 双 向 数 据 实 施 检 测 和 保 护, 可 以 降 低 Web 站 点 安 全 风 险
应 对 OWASP Top 10 超 越 传 统 产 品 只 基 于 静 态 规 则 的 防 护 机 制, 绿 盟 WAF 有 效 结 合 了 静 态 规 则 与 基 于 用 户 行 为 识 别 的 动 态 防 御 机 制, 能 够 有 效 降 低 OWASP Top10 中 的 Web 应 用 安 全 风 险 OWASP TOP10 绿 盟 WAF 解 决 方 案 注 入 缺 陷 内 置 一 百 多 条 从 实 际 攻 击 行 为 中 提 炼 的 防 护 规 则, 并 允 许 自 定 义 规 则 跨 站 脚 本 (XSS) 内 置 数 十 条 从 实 际 攻 击 行 为 中 提 炼 的 防 护 规 则, 并 允 许 自 定 义 规 则 失 效 的 验 证 和 会 话 提 供 cookie 安 全 机 制 ( 加 密 签 名 启 用 HTTP Only 启 用 源 IP 校 管 理 验 ), 降 低 会 话 劫 持 篡 改 等 会 话 管 理 风 险 跨 站 请 求 伪 造 提 供 CSRF 防 护 策 略, 在 授 权 客 户 端 与 服 务 器 的 交 互 过 程 中 主 动 插 入 (CSRF) 标 记, 并 检 查 标 记, 来 识 别 恶 意 构 造 的 请 求
安 全 配 置 错 误 云 服 务 平 台 可 以 扫 描 出 错 误 的 安 全 配 置, 给 WAF 提 供 虚 拟 补 丁, 以 降 低 错 误 的 安 全 配 置 所 带 来 的 风 险 不 安 全 加 密 存 储 支 持 出 方 向 数 据 检 测, 可 以 针 对 重 要 的 敏 感 信 息, 部 署 自 定 义 过 滤 规 则, 降 低 未 加 密 重 要 数 据 泄 露 的 风 险 未 能 限 制 URL 访 问 提 供 细 粒 度 的 URL 访 问 控 制 策 略 不 足 的 传 输 层 保 护 支 持 SSL 加 密 和 解 密, 可 以 缓 解 未 经 验 证 的 重 定 向 内 置 的 防 护 规 则, 并 允 许 自 定 义 规 则, 可 以 缓 解 和 转 发 典 型 应 用 网 页 篡 改 在 线 防 护 按 照 网 页 篡 改 事 件 发 生 的 时 序, 绿 盟 WAF 提 供 事 中 防 护 以 及 事 后 补 偿 的 在 线 防 护 解 决 方 案 事 中, 实 时 过 滤 HTTP 请 求 中 混 杂 的 网 页 篡 改 攻 击 流 量 ( 如 SQL 注 入 XSS 等 ) 事 后, 自 动 监 控 网 站 所 有 需 保 护 页 面 的 完 整 性, 检 测 到 网 页 被 篡 改, 第 一 时 间 对 管 理 员 进 行 短 信 告 警, 对 外 仍 显 示 篡 改 前 的 正 常 页 面, 用 户 可 正 常 访 问 网 站 网 页 挂 马 在 线 防 护
网 页 挂 马 为 一 种 相 对 比 较 隐 蔽 的 网 页 篡 改 方 式, 本 质 上 这 种 方 式 也 破 坏 了 网 页 的 完 整 性 网 页 挂 马 攻 击 目 标 为 各 类 网 站 的 最 终 用 户, 网 站 作 为 传 播 网 页 木 马 的 傀 儡 帮 凶, 严 重 影 响 网 站 的 公 信 度 当 用 户 请 求 访 问 某 一 个 页 面 时, 绿 盟 WAF 会 对 服 务 器 侧 响 应 的 网 页 内 容 进 行 在 线 检 测, 判 断 是 否 被 植 入 恶 意 代 码, 并 对 恶 意 代 码 进 行 自 动 过 滤 敏 感 信 息 泄 漏 防 护 绿 盟 WAF 可 以 识 别 并 更 正 Web 应 用 错 误 的 业 务 流 程, 识 别 并 防 护 敏 感 数 据 泄 漏, 满 足 合 规 与 审 计 要 求, 具 体 如 下 : 可 自 定 义 非 法 敏 感 关 键 字, 对 其 进 行 自 动 过 滤, 防 止 非 法 内 容 发 布 为 公 众 浏 览 Web 站 点 可 能 包 含 一 些 不 在 正 常 网 站 数 据 目 录 树 内 的 URL 链 接, 比 如 一 些 网 站 拥 有 者 不 想 被 公 开 访 问 的 目 录 网 站 的 WEB 管 理 界 面 入 口 及 以 前 曾 经 公 开 过 但 后 来 被 隐 藏 的 链 接 WAF 提 供 细 粒 度 的 URL ACL, 防 止 对 这 些 链 接 的 非 授 权 访 问 网 站 隐 身 : 过 滤 服 务 器 侧 出 错 信 息, 如 错 误 类 型 出 现 错 误 脚 本 的 绝 对 路 径 网 页 主 目 录 的 绝 对 路 径 出 现 错 误 的 SQL 语 句 及 参 数 软 件 的 版 本 系 统 的 配 置 信 息 等, 避 免 这 些 敏 感 信 息 为 攻 击 者 利 用 提 升 入 侵 的 概 率 对 数 据 泄 密 具 备 监 管 能 力 能 过 滤 服 务 器 侧 响 应 内 容 中 含 有 的 敏 感 信 息, 如 身 份 证 号 信 用 卡 号 等