1、 中国铁建 Web 应用安全解决方案目 录一. 项目背景及必要性 .31.1 项目背景 .3二. 中国铁建 Web 应用安全风险分析 .62.1 应用层安全风险分析 .62.1.1 身份认证漏洞 .62.1.2 www 服务漏洞 .62.1.3 Web 网站应用漏洞 .62.2 管理层安全风险分析 .7三. 中国铁建 Web 网站安全防护方案 .83.1 产品介绍 .93.1.1 WebGuard 网页防篡改保护系统解决方案 .93.1.2 WebGuard-WAF 综合应用安全网关 .123.2 系统部署 .183.2.1 详细部署 .183.2.2 部署后的效果 .19四. 系统报价 .2
2、0中国铁建 Web 应用安全解决方案一. 项目背景及必要性1.1 项目背景近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化,随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。 国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资
3、金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。随着网络规模的急剧膨胀,网络用户的快速增长,网站在各行业的信息化建设中已经在扮演至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业、金融证券、政府及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个
4、紧迫问题;因此,解决网络安全问题刻不容缓。当前企业、金融证券和政府业务系统大都居于 B/S 架构,使用 Web 应用来运行核心业务,然而,Web 应用安全威胁已成为当前信息安全的主要威胁,从以下数据可以看出,80%以上的信息安全威胁来自于 Web 应用:中国铁建 Web 应用安全解决方案图 1.1 信息安全事件分布图 1.2 Web 漏洞发展趋势中国铁建 Web 应用安全解决方案图 1.3 最新十大安全威胁从以上数据可以看出,随着 Web 应用的极速发展及大量使用, Web 应用漏洞在急剧增加,Web 安全威胁已成为当前信息安全的主要威胁。因此,在平台业务建设的同时,必须加强 Web 应用安全
5、建设,通过全面有效的 Web 安全防护,保障业务系统正常稳定运行。基于以上数据信息可以看出,中国铁建的对外网站直接暴露在互联网,存在极大的安全威胁,需要对 Web 网站做必要的安全防护。中国铁建 Web 应用安全解决方案二. 中国铁建 Web 应用安全风险分析2.1 应用层安全风险分析Web 应用系统主要存在以下安全风险:用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于移动网络对外提供网上 WWW 服务,因此存在外网非法用户对内部网和服务器的攻击。 2.1.1 身份认证漏洞服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用
6、。这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。对移动系统的网上移动服务平台,必须加强用户的身份认证,防止对移动网络资源的非授权访问以及越权操作。 2.1.2 www 服务漏洞Web Server 目前正在成为移动系统对外宣传、开展业务的基地,但公开服务器本身不能保证没有漏洞,不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的 BUG,使得黑客可以远程对公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制地向服务器发出大量指令,以至于服务器“拒绝服务”,最终引起整个系统的崩溃。这就要求我们必
7、须提高服务器的抗破坏能力,防止拒绝服务(DOS)或分布式拒绝服务(DDOS )之类的恶意攻击,提高服务器备份与恢复、防篡改与自动修复能力。2.1.3 Web 网站应用漏洞Web 网站用于对外提供服务,作为对外展示的窗口,部分网站与用户还有相当部分的数据交互,Web 网站应用在开发过程中,难免会出现一些漏洞,如: SQL 注入漏洞、跨站漏洞、敏感信息泄露漏洞等,这些漏洞很容易被黑客检测到并加以利用,达到篡改数据,截取数据信息等目的,黑客还可以利用漏洞提升权限,达到控制计算机,损坏数据信息等操作,中国铁建 Web 应用安全解决方案对用户数据信息造成极大威胁。2.2 管理层安全风险分析再安全的网络设
8、备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。 移动系统应按照国家关于计算机和网络的一些安全管理条例,如计算站场地安全要求、 中华人民共和国计算机信息系统安全保护条例等,制订安全管理制度。 责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。 当网络出
9、现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等) ,无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。 中国铁建 Web 应用安全解决方案三. 中国铁建 Web 网站安全防护方案根据上述需求分析,对当前 Web 安全风险分析,XX 科技应用安全团队通过对网站安全多年的研究、调研,针对 Web 应用安全提出了全新的安
10、全防护方式,对 WebServer 和AppServer 采用 Web 网站安全防护系统(WebGuard 网页防篡改保护系统,简称 WebGuard)+WAF 综合应用安全网关来对网站应用做全面的安全防护,WebGuard 采用系统底层文件驱动保护技术+增强型事件触发技术,对 Web 网站页面直接防护,防止黑客篡改网站页面。WAF 综合应用安全网关能够有效防止各类新型应用攻击,如:SQL 注入攻击、跨站攻击、目录遍历、操作系统命令攻击、Cookie 攻击等,还能有效防护给类 DDos 攻击,CC 攻击等主要的流量及应用型拒绝服务式攻击。设备一览表:产品名称 产品形态 产品职能 其他说明Web
11、 网站安全防护系统(WebGuard )软件 通过文件底层驱动技术+增强型事件触发技术,对 Web 网页文件进去全面有效的防护,防止黑客对 Web 页面的非法篡改攻击,有效保障 Web 应用安全。WebGuard-WAF 综合应用安全网关软件+硬件 针对当前主流的 Web 应用攻击做全面安全防护,可以防止各类应用攻击,包括SQL 注入攻击、跨站攻击、目录遍历、远程文件包含攻击、操作系统命令注入攻击、Cookie 注入攻击、其他变形的应用攻击。还能有效防止 DDoS 攻击,CC攻击等网络及应用类型的拒绝服务类攻击。中国铁建 Web 应用安全解决方案3.1 产品介绍3.1.1 WebGuard 网
12、页防篡改保护系统解决方案Web 网站安全防护系统由 XX 科技根据长期对 Web 站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全,防止黑客非法篡改网页,保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展,第三代网页防篡改技术较之以前的技术有几个特点,响应恢复速度快、判断准确、部署灵活等特点,集成度较高,不依赖于原有 web 系统架构、部署也不影响网站整体结构。经过广大用户实践表明,WebGuard 已经成为网站安全建设最佳解决方案。3.1.1.1 系统组成原
13、理WebGuard 系统包含三个部分:监控代理客户端,管理中心服务器和管理客户端,各部分功能如下:1. 监控代理客户端(Monitor Client Setup)安装在 Web 站点服务器上,根据服务器数量购买客户端数量,主要用于监控站点状态,执行管理中心所配置的策略;2. 管理中心服务器(Center Server Setup)建议部署在独立 pc 服务器上,若所管理的web 服务器数量较少,也可以同时部署在管理客户端;主要用于用户管理,策略下发,日志监控,以及管理各代理客户端;3. 管理客户端(Console Setup)部署在网管员任意一台计算机,可以由单台 pc 机替代,主要用于登录管
14、理中心服务器进行配置管理 WebGuard 中心服务器;图 3.1 系统结构示意图各组建之间通信采取完全加密传输,包括数据传输,用户认证等,确保通信的保密性;中国铁建 Web 应用安全解决方案3.1.1.2 系统主要功能 基于驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本; 完全防护技术,支持大规模连续篡改攻击防护; 系统后台自动运行,支持断线状态下篡改监测; 驱动技术完全杜绝被篡改内容被外界浏览; 支持多站点分布式部署,统一集中管理功能; 支持大规模虚拟机、双机热备网站系统部署架构; 支持单独文件、文件夹及多级文件夹目录内容篡改保护; 支持网页格式类型分类,便于分类管理; 支持网
15、页自动上传功能,无需人工干涉; 支持异地文件快速同步功能和断点续传功能,极大的增加网站整体安全性和稳定性; 支持多用户管理功能,方便操作; 支持网页自动同步新增、修改、删除等功能; 自动检测文件攻击记录,并实时记入日志,支持导出报表; 支持服务器多种远程管理功能,如远程接管、远程唤醒、远程关机、远程用户注销等; 系统 C/S 结构,确保高可靠性; 支持多个策略管理,策略设置支持即时生效,无需重启; 支持服务器冗余双机及负载均衡分布部署; 支持多种告警方式,日志告警、声音告警、邮件告警或定制其他告警方式; 支持用户认证,采用加密传输,安全可靠; 系统全中文界面,操作、配置方便,网络管理人员仅需十
16、分钟即可熟练完成系统初始配置,大大提高工作效率; 支持当前所有主流操作系统和 web 服务器 支持 SQL 注入攻击防护; 支持跨站脚本攻击防护; 支持对系统文件的访问防护; 中国铁建 Web 应用安全解决方案 支持特殊字符构成的 URL 利用防护; 支持对危险系统路径的访问防护; 支持构造危险的 Cookie 攻击防护; 各类攻击的变种防护; 支持自定义检测库; 规则库支持在线升级功能;3.1.1.3 技术特点介绍 完全基于事件触发机制,避免服务器资源额外开支; 文件驱动保护技术,确保系统稳定、安全、高效; 不限制网站发布服务器类型,实现高可用性和扩展性; 文件传输过程加密技术,防窃听和防篡改;3.1.1.4 部署模式简单部署模式图 3.2 简单部署集群冗余部署模式