网站系统安全防护体系建设方案.doc

1、网站系统安全防护体系建设方案第 1 页 共 30 页目录一、需求说明 .2二、网页防篡改解决方案 .42.1 技术原理 .42.2 部署结构 .52.3 系统组成 .62.4 集群与允余部署 .82.5 方案特点 .92.5.1 篡改检测和恢复 .92.5.2 自动发布和同步 .9三、WEB 应用防护解决方案 .113.1 当前安全风险分析 .113.2 防护计划 .123.2.1 开发流程中加入安全性验证项目 .123.2.2 对网站程序的源代码进行弱点检测 .133.2.3 导入网页应用程序漏洞列表作为审计项目 .133.2.4 部署 Web 应用防火墙进行防御 .143.3 WEB 应用

2、防火墙功能 .153.3.1 集中管控功能 .153.3.2 防护功能 .153.4 预期效益 .16四、内容分发网络解决方案 .184.1 内容分发网络简介 .184.2 CDN 服务功能 .184.3 CDN 服务特点 .20五、负载均衡解决方案 .215.2 广域负载均衡 .235.3 关键功能和特点 .24六、应急响应服务体系 .266.1 事件分类与分级 .266.1.1 事件分类 .266.1.2 事件分级 .266.1.3 预警服务事件严重等级 .276.2 应急响应服 务体系 .28第 2 页 共 30 页一、需求说明针对 Web 应用防护安全需能实现以下功能：一、针对网站主页

3、恶意篡改的监控，防护和快速恢复：（1）支持多种保护模式，防止静态和动态网页内容被非法篡改。（2）能够防止主页防护功能被恶意攻击者非法终止。（3）具备核心内嵌技术，能实现高效快速实现大规模的网页攻击防护。（4）支持实时检测和快速恢复功能。（5）支持多服务器、多站点的主页防护（6）支持对常见的多种网页文件类型的保护。（7）支持网页快照功能，根据需要即时提供快照页面，以满足客户端的访问。二、 对 Web 网站进行多层次检测分析与应用防护：（1）有效保护网站静动态网页以及后台 DB 信息，实现多方位攻击防护。（2） 灵活的策略设置，能够针对各个 WEB 应用的特点，设置个性化的防护策略。（3）不反射保

4、护网站（或 WEB 应用）程序代码防止受到各种已知攻击（如 SQL注入，跨站脚本，钓鱼攻击等）和未知攻击；并能限制未授权用户透过网站访问数据中心，防止入侵者的通信流程。（4）能够根据操作系统、应用平台及评估渗透工具等特征，形成完备的特征库。综合并发连接、并发请求及流量限制，阻断攻击探测或扫描； 同时能够对访问数据流进行协议检查，防止对 WEB 应用的恶意信息获取和特征收集。三、行为审计：（1）能够记录和有效统计用户对 WEB 应用资源的访问，包括页面点击率、 客户对端地址、客户端类型、访问流量、访问时间及搜索引擎关键字信息；并实现有效的用户行为访问统计分析，如基于区域的访问统计，便于识别WEB

5、 应用的访问群体是否符合预期，为应用优化提供依据。（2）对攻击来源和攻击行为支持分类记录探测，数据处理结果形成详细的统计及排序，支持依据威胁的级别生成防护策略。（3）提供多种审计报表，为系统的安全审计提供详细的数据并作为可靠的决策依据。第 3 页 共 30 页四、支持多种 WEB 应用加速技术，减轻服务器负载：（1）支持 URL 级别的流量管理和负载均衡，提供对页面访问的并发连接与速率进行控制，提高应用系统在资源紧张时的可用性。（2）具备访问过载保护能力，缓解 WEB 服务因访问量过大而造成的拒绝服务攻击， 提高系统承受应用层 DOS 攻击的服务能力。（3）及时发现 WEB 应用状态异常，迅速

6、反馈应用服务活动状态，并选择最优秀服务连接。（4）支持轮询、最小负载、请求 URL 及加权等多种均衡策略，满足各种应用环境下的均衡要求。（5）网站主页和 WEB 应用防护系统，需能分别以独立方式及互备方式部署在不同机房。第 4 页 共 30 页二、网页防篡改解决方案Web 网站和 Web 应用系统除了采用常见的网络安全设备进行防护外，需要更有效的网页防篡改系统来专门对页面内容进行保护，防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。2.1 技术原理防 篡 改 体 系 除 了 Web 服 务 器 外 ， 另 外 需 部 署 发 布 服 务 器 ： 发 布 服 务 器 ：位 于 内

7、网 中 ， 本 身 处 在 相 对 安 全 的 环 境 中 ， 其 上 部 署 发 布 服 务 器 软 件 。 所 有 网页 的 合 法 变 更 （ 包 括 增 加 、 修 改 、 删 除 、 重 命 名 ） 都 在 发 布 服 务 器 上 进 行 。 发布 服 务 器 上 具 有 与 Web 服 务 器 上 的 网 页 文 件 完 全 相 同 的 目 录 结 构 ， 发 布 服 务 器上 的 任 何 文 件 /目 录 的 变 化 都 会 自 动 和 立 即 地 反 映 到 Web 服 务 器 的 相 应 位 置 上 ，文 件 /目 录 变 更 的 方 法 可 以 是 任 意 方 式 的 （

8、例 如 ： FTP、 SFTP、 RCP、 NFS、 文件 共 享 等 ） 。 网 页 变 更 后 ， “发 布 服 务 器 软 件 ”将 其 同 步 到 Web 服 务 器 上 。 Web 服 务 器 ：位 于 Internet/DMZ 中 ， 本 身 处 在 不 安 全 的 环 境 中 ， 其 上 部 署 Web 服 务 器 端 防篡 改 模 块 及 内 容 同 步 软 件 模 块 。防 篡 改 系 统 的 运 行 原 理 ： 防 篡 改对所有网页元素（包括静态页面、动态脚本、图像文件、多媒体文件以及所有能以 URL 形式访问的实体）在发布时进行 128 位密钥的 HMAC-MD5（RFC

9、2104）计算，生成唯一的、不可逆转的和不可伪造的数字水印。第 5 页 共 30 页浏览者请求访问任一网页元素时，篡改检测模块（作为 Web 服务器软件的一部分）读出网页元素的内容重新计算数字水印，并与之前存储的数字水印进行比对，网页元素的任何篡改都能够被可靠地计算出来。 防 窃 听任何通信实体（包括发布服务器和 Web 服务器和控制台）之间采用工业标准的SSL3.0/TLS1.0 安全通讯协议（RFC2246 ） ，确保网页元素文件和数字水印数据流在通信过程中不被黑客窃取和分析。 身 份 鉴 别通信实体间进行强身份鉴别。首先，Web 服务器要确保上传文件的发布服务器的身份真实性，不能接受伪造

10、的发布服务器上传的文件；其次，发布服务器要确保是在与 Web 服务器通信，确保发送的文件能够到 Web 服务器上。因此，双方彼此都进了身份鉴别。亦即：发布服务器采用客户端数字证书与 Web 服务器通讯，同时也验证 Web 服务器数字证书的真实性。2.2 部署结构目 前 ， 大 部 分 网 站 都 使 用 内 容 管 理 系 统 （ CMS） 来 管 理 网 页 产 生 的 全 过 程 ， 包 括网 页 的 编 辑 、 审 核 、 签 发 和 合 成 等 。 在 网 站 的 网 络 拓 扑 中 ， 发 布 服 务 器 部 署 在 原 有的 内 容 管 理 系 统 和 Web 服 务 器 之 间

11、， 下 图 表 明 三 者 之 间 的 关 系 。发 布 服 务 器 上 具 有 与 Web 服 务 器 上 的 网 站 文 件 完 全 相 同 的 目 录 结 构 ， 任 何 文 件 /目 录 的 变 化 都 会 自 动 映 射 到 Web 服 务 器 的 相 应 位 置 上 。网 页 的 合 法 变 更 （ 包 括 增 加 、 修 改 、 删 除 、 重 命 名 ） 都 在 发 布 服 务 器 上 进 行 ， 变更 的 手 段 可 以 是 任 意 方 式 的 （ 例 如 ： FTP、 SFTP、 RCP、 NFS、 文 件 共 享 等 ） 。 网页 变 更 后 ， 发 布 服 务 器 将

12、其 同 步 到 Web 服 务 器 上 。 无 论 什 么 情 况 下 ， 不 允 许 直 接变 更 Web 服 务 器 上 的 页 面 文 件 。第 6 页 共 30 页下 图 为 防 篡 改 系 统 的 逻 辑 部 署 图 。 若 无 多 余 服 务 器 可 供 使 用 ， 则 发 布 服 务 器 可 与 内容 管 理 服 务 器 建 构 在 同 一 服 务 器 上 ：2.3 系统组成从逻辑上，防篡改系统由页面保护子系统、自动发布子系统和监控管理子系统组成，三部分的关系如下图所示。发布服务器自动发布子系统（自动发布程序）管理和监控子系统内容管理系统（第三方软件）Web 服务器Web 服务器

13、软件（第三方软件）页面保护子系统（应用防护/篡改检测）自动发布子系统（同步服务器） 页 面 保 护 子 系 统第 7 页 共 30 页页 面 保 护 子 系 统 是 系 统 的 核 心 ， 内 嵌 在 Web 服 务 器 软 件 里 （ 即 前 述 的 核 心内 嵌 模 块 ） ， 包 含 应 用 防 护 模 块 和 篡 改 检 测 模 块 。应 用 防 护 模 块 对 每 个 用 户 的 请 求 进 行 安 全 性 检 查 ： 如 果 正 常 则 发 送 给 Web服 务 器 软 件 ； 如 果 发 现 有 攻 击 特 征 码 ， 即 刻 中 止 此 次 请 求 并 进 行 报 警 。篡 改

14、 检 测 模 块 对 每 个 发 送 的 网 页 进 行 即 时 的 完 整 性 检 查 ： 如 果 网 页 正 常 则 对外 发 送 ； 如 果 被 篡 改 则 阻 断 对 外 发 送 ， 并 依 照 一 定 策 略 进 行 报 警 和 恢 复 。对 于 Windows 系 统 ， 页 面 保 护 子 系 统 还 包 括 一 个 增 强 型 事 件 触 发 式 检 测 模 块 ，该 模 块 驻 留 于 操 作 系 统 内 核 ， 阻 止 大 部 分 常 规 篡 改 手 段 。 自 动 发 布 子 系 统自 动 发 布 子 系 统 负 责 页 面 的 自 动 发 布 ， 由 发 送 端 和 接

15、 收 端 组 成 ： 发 送 端 位 于发 布 服 务 器 上 ， 称 之 为 自 动 发 布 程 序 ， 它 监 测 到 文 件 系 统 变 化 即 进 行 计 算 该文 件 水 印 ， 并 进 行 SSL 发 送 ； 接 收 端 位 于 Web 服 务 器 上 ， 称 之 为 同 步 服 务器 ， 它 接 收 到 网 页 和 水 印 后 ， 将 网 页 存 放 在 文 件 系 统 中 ， 将 水 印 存 放 在 安 全数 据 库 里 。 所 有 合 法 网 页 的 增 加 、 修 改 和 删 除 都 通 过 自 动 发 布 子 系 统 进 行 。 监 控 管 理 子 系 统负 责 篡 改

16、后 自 动 恢 复 ， 也 提 供 系 统 管 理 员 的 使 用 界 面 。 其 功 能 包 括 ： 手 工 上传 、 查 看 警 告 、 检 测 系 统 运 行 情 况 、 修 改 配 置 、 查 看 和 处 理 日 志 等 。日 志 记 录 所 有 系 统 、 发 布 、 篡 改 检 测 和 自 动 恢 复 等 信 息 ， 可 以 分 类 分 日 期 查看 ， 并 根 据 管 理 员 的 要 求 实 现 转 储 。 日 志 记 录 还 支 持 syslog， 以 实 现 与 安 全管 理 平 台 的 接 口 。第 8 页 共 30 页2.4 集群与允余部署Web 站点运行的稳定性是最关键

17、的，防篡改系统支持所有部件的多机工作和热备，可以有多台安装了防篡改模块和同步服务软件的 Web 服务器，也可以有两发布服务器，避免单点失效问题，如下图所示。 Web 服 务 器 多 机 和 集 群发 布 服 务 器 支 持 1 对 多 达 64 台 Web 服 务 器 的 内 容 同 步 ， 这 些 Web 服 务 器的 操 作 系 统 、 Web 服 务 器 系 统 软 件 、 应 用 脚 本 及 网 页 内 容 既 可 以 相 同 也 可 以不 同 。 本 案 提 供 的 解 决 方 案 将 可 实 现 异 种 系 统 架 构 下 对 不 同 内 容 的 统 一 管 理 。 发 布 服 务

18、 器 双 机支 持 发 布 服 务 器 双 机 协 同 工 作 ， 即 一 台 主 发 布 服 务 器 和 一 台 热 备 发 布 服 务 器 。在 这 种 部 署 情 形 下 ， 内 容 管 理 系 统 （ CMS） 需 要 将 内 容 同 时 发 布 到 两 台 发布 服 务 器 上 。 正 常 状 态 下 ， 主 发 布 服 务 器 工 作 时 ， 由 它 对 所 有 Web 服 务 器进 行 内 容 同 步 。 如 果 热 备 发 布 服 务 器 运 行 失 效 （ 不 影 响 网 站 系 统 运 行 ） ， 一旦 在 它 修 复 后 可 以 从 主 发 布 服 务 器 恢 复 数 据

19、 ， 进 入 正 常 热 备 状 态 。 主 发 布服 务 器 如 果 失 效 （ 即 不 发 心 跳 信 号 ） ， 热 备 发 布 服 务 器 会 接 管 工 作 ， 由 热 备服 务 器 对 所 有 Web 服 务 器 进 行 内 容 同 步 。 当 主 发 布 服 务 器 修 复 后 ， 两 机 同 时工 作 ， 经 过 一 段 时 间 的 数 据 交 接 时 间 ， 热 备 发 布 服 务 器 重 新 进 入 热 备 状 态 。第 9 页 共 30 页2.5 方案特点2.5.1 篡改检测和恢复 支 持 安 全 散 列 检 测 方 法 ； 可 检 测 静 态 页 面 /动 态 脚 本

20、/二 进 制 实 体 ； 支 持 对 注 入 式 攻 击 的 防 护 ； 网 页 发 布 同 时 自 动 更 新 水 印 值 ； 网 页 发 送 时 比 较 网 页 和 水 印 值 ； 支 持 断 线 /连 线 状 态 下 篡 改 检 测 ； 支 持 连 线 状 态 下 网 页 恢 复 ； 网 页 篡 改 时 多 种 方 式 报 警 ； 网 页 篡 改 时 可 执 行 外 部 程 序 或 命 令 ； 可 以 按 不 同 容 器 选 择 待 检 测 的 网 页 ； 支 持 增 强 型 事 件 触 发 检 测 技 术 ； 加 密 存 放 水 印 值 数 据 库 ； 支 持 各 种 私 钥 的 硬

21、件 存 储 ； 支 持 使 用 外 接 安 全 密 码 算 法 。2.5.2 自动发布和同步 自 动 检 测 发 布 服 务 器 上 文 件 系 统 任 何 变 化 ； 文 件 变 化 自 动 同 步 到 多 个 Web 服 务 器 ； 支 持 文 件 /目 录 的 增 加 /删 除 /修 改 /更 名 ； 支 持 任 何 内 容 管 理 系 统 ； 支 持 虚 拟 目 录 /虚 拟 主 机 ； 支 持 页 面 包 含 文 件 ； 支 持 双 机 方 式 的 冗 余 部 署 ； 断 线 后 自 动 重 联 ； 上 传 失 败 后 自 动 重 试 ； 使 用 SSL 安 全 协 议 进 行 通 信 ； 保 证 通 信 过 程 不 被 篡 改 和 不 被 窃 听 ；